Vad är appetablering i Azure Active Directory?

  • Artikel
  • 5 minuter för att läsa

I Azure Active Directory (Azure AD) syftar termen appetablering på att automatiskt skapa användaridentiteter och roller för program.

Diagram som visar etableringsscenarier.

Azure AD-programetablering syftar på att automatiskt skapa användaridentiteter och roller i de program som användarna behöver åtkomst till. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras. Vanliga scenarier är att etablera en Azure AD-användare i SaaS-program som Dropbox, Salesforce, ServiceNowoch mycket mer.

Azure AD stöder också etablering av användare till program som finns lokalt eller på en virtuell dator, utan att behöva öppna några brandväggar. Om ditt program stöder SCIM,eller om du har skapat en SCIM-gateway för att ansluta till ditt äldre program, kan du använda Azure AD-etableringsagenten för att ansluta direkt till ditt program och automatisera etablering och avetablering. Om du har äldre program som inte stöder SCIM och förlitar sig på ett LDAP-användararkiv eller en SQL-databas, kan Azure AD även stödja dem.

Med appetablering kan du:

  • Automatisera etablering: Skapa automatiskt nya konton i rätt system för nya personer när de går med i ditt team eller din organisation.
  • Automatisera avetablering: Inaktivera konton automatiskt i rätt system när personer lämnar teamet eller organisationen.
  • Synkronisera data mellan system: Se till att identiteterna i dina appar och system hålls uppdaterade baserat på ändringar i katalogen eller personalsystemet.
  • Etablera grupper: Etablera grupper till program som stöder dem.
  • Styra åtkomst: Övervaka och granska vem som har etablerats i dina program.
  • Distribuera sömlöst i brown field-scenarier: Matcha befintliga identiteter mellan system och möjliggör enkel integrering, även när användarna redan finns i målsystemet.
  • Använd omfattande anpassning: Dra nytta av anpassningsbara attributmappningar som definierar vilka användardata som ska flöda från källsystemet till målsystemet.
  • Hämta aviseringar för kritiska händelser: Etableringstjänsten tillhandahåller aviseringar för kritiska händelser och möjliggör Log Analytics-integrering där du kan definiera anpassade aviseringar som passar dina affärsbehov.

Vad är SCIM?

För att automatisera etablering och avetablering exponerar appar egna användar- och grupp-API:er. Men alla som försöker hantera användare i fler än en app säger att varje app försöker utföra samma åtgärder, till exempel att skapa eller uppdatera användare, lägga till användare i grupper eller avetablera användare. Men alla dessa åtgärder implementeras något annorlunda med hjälp av olika slutpunktssökvägar, olika metoder för att ange användarinformation och ett annat schema för att representera varje informationselement.

För att hantera dessa utmaningar tillhandahåller System for Cross-domain Identity Management (SCIM)-specifikationen ett gemensamt användarschema som hjälper användare att flytta till, från och runt appar. SCIM håller på att bli den faktiska standarden för etablering och ger administratörer en standardbaserad lösning för åtkomsthantering när den används med federationsstandarder som Security Assertions Markup Language (SAML) eller OpenID Anslut (OIDC).

Detaljerad information om hur du utvecklar en SCIM-slutpunkt för att automatisera etablering och avetablering av användare och grupper till ett program finns i Skapa en SCIM-slutpunkt och konfigurera användareablering. För förintegrerade program i galleriet, till exempel Slack, Azure Databricks och Snowflake, kan du hoppa över utvecklardokumentationen och använda självstudierna i Självstudier för att integrera SaaS-program med Azure Active Directory.

Manuell jämfört med automatisk etablering

Program i Azure AD-galleriet stöder ett av två etableringslägen:

  • Manuell etablering innebär att det inte finns någon automatisk anslutningsapp för Azure AD-etablering för appen ännu. Användarkonton måste skapas manuellt. Exempel är att lägga till användare direkt i appens administrationsportal eller ladda upp ett kalkylblad med användarkontoinformation. Läs dokumentationen som tillhandahålls av appen eller kontakta apputvecklaren för att ta reda på vilka mekanismer som är tillgängliga.
  • Automatiskt innebär att en anslutningsapp för Azure AD-etablering har utvecklats för det här programmet. Följ installationskursen som är specifik för att konfigurera etablering för programmet. App-självstudier finns i Självstudier för att integrera SaaS-program med Azure Active Directory.

Etableringsläget som stöds av ett program visas också på fliken Etablering när du har lagt till programmet i dina företagsappar.

Fördelar med automatisk etablering

Allt eftersom antalet program som används i moderna organisationer fortsätter att växa får IT-administratörerna i uppgift att hantera åtkomsten i stor skala. Standarder som SAML eller OIDC gör att administratörer snabbt kan konfigurera enkel inloggning (SSO), men åtkomst kräver också att användarna etableras i appen. För många administratörer innebär etablering att manuellt skapa varje användarkonto eller ladda upp CSV-filer varje vecka. Dessa processer är tidskrävande, dyra och felbenägna. Lösningar som SAML just-in-time (JIT) har vidtagits för att automatisera etablering. Företag behöver också en lösning för att avetablera användare när de lämnar organisationen eller inte längre behöver åtkomst till vissa appar baserat på rolländring.

Några vanliga motiveringar för att använda automatisk etablering är:

  • Maximera effektiviteten och noggrannheten i etableringsprocesser.
  • Lägre kostnader för värdhantering och underhåll av anpassade etableringslösningar och skript.
  • Skydda din organisation genom att omedelbart ta bort användarnas identiteter från viktiga SaaS-appar när de lämnar organisationen.
  • Importera enkelt ett stort antal användare till ett visst SaaS-program eller -system.
  • Ha en enda uppsättning principer för att avgöra vem som har etablerats och vem som kan logga in på en app.

Azure AD-användareablering kan hjälpa dig att hantera dessa utmaningar. Mer information om hur kunder har använt Azure AD-användareablering finns i ASOS-fallstudien. Följande videoklipp ger en översikt över användareablering i Azure AD.

Vilka program och system kan jag använda med automatisk användareablering i Azure AD?

Azure AD har förintegrerat stöd för många populära SaaS-appar och personalsystem, och allmänt stöd för appar som implementerar specifika delar av SCIM 2.0-standarden.

  • Förintegrerade program (galleri SaaS-appar): Du hittar alla program som Azure AD stöder en förintegrerad etableringsanslutning för i Självstudier för att integrera SaaS-program med Azure Active Directory. De förintegrerade program som listas i galleriet använder vanligtvis SCIM 2.0-baserade API:er för användarhantering för etablering.

    Bild som visar logotyper för DropBox, Salesforce och andra.

    Om du vill begära ett nytt program för etablering kan du begära att ditt program integreras med vårt appgalleri. För en begäran om användareablering kräver vi att programmet har en SCIM-kompatibel slutpunkt. Begär att programleverantören följer SCIM-standarden så att vi snabbt kan publicera appen på vår plattform.

  • Program som stöder SCIM 2.0: Information om hur du ansluter program som implementerar SCIM 2.0-baserade API:er för användarhantering finns i Skapa en SCIM-slutpunktoch konfigurera användareablering.

Hur gör jag för att konfigurera automatisk etablering för ett program?

För förintegrerade program som listas i galleriet finns stegvisa anvisningar tillgängliga för att konfigurera automatisk etablering. Se Självstudier för att integrera SaaS-program med Azure Active Directory. Följande videoklipp visar hur du ställer in automatisk användareablering för SalesForce.

För andra program som stöder SCIM 2.0 följer du stegen i Skapa en SCIM-slutpunkt och konfigurerar användareablering.

Nästa steg