什麼是 Azure Active Directory 中的應用程式布建?

在 Azure Active Directory (Azure AD) ,「應用 程式布建」一詞是指自動建立應用程式的使用者身分識別和角色。

顯示布建案例的圖表。

Azure AD 為「軟體即服務」 (SaaS) 應用程式布建指的是在雲端中自動建立使用者身分識別和角色, (saas) 使用者需要存取的應用程式。 除了建立使用者身分識別以外,自動佈建還包括隨著狀態或角色變更,維護和移除使用者身分識別。 常見的案例包括將 Azure AD 使用者佈建到 DropboxSalesforceServiceNow等應用程式。

Azure AD 支援將使用者布建到裝載于內部部署的 SaaS 應用程式和應用程式,或是基礎結構即服務 (IaaS) 解決方案,例如虛擬機器。 您可能會有依賴 LDAP 使用者存放區或 SQL 資料庫的繼承應用程式。 藉由使用 Azure AD 布建服務,您可以建立、更新及刪除內部部署應用程式中的使用者,而不需要開啟防火牆或處理 TCP 埠。

您可以使用輕量代理程式,將使用者布建到內部部署應用程式並管理存取權。 搭配應用程式 proxy 使用 Azure AD 時,您可以管理對內部部署應用程式的存取,並使用布建服務來提供自動使用者布建 () 和應用程式 proxy) (單一登入。

應用程式布建可讓您:

  • 自動化佈建:當人員加入您的小組或組織時,在正確的系統中為新的人員自動建立新帳戶。
  • 自動 解除布建:當使用者離開小組或組織時,會自動停用正確系統中的帳戶。
  • 同步處理系統之間的資料:確保您的應用程式和系統中的身分識別會根據目錄或人力資源系統中的變更保持最新狀態。
  • 佈建群組:將群組佈建至加以支援的應用程式。
  • 管理存取權:監視和審核已布建到您應用程式的人員。
  • 在棕地案例中順暢部署:比對系統之間現有的身分識別,並可讓您輕鬆進行整合,即便使用者已存在於目標系統亦然。
  • 使用豐富的自訂:充分運用可自訂的屬性對應,其中定義了哪些使用者資料應該從來源系統流向目標系統。
  • 取得重大事件的警示:佈建服務會提供重大事件的警示,並可讓您根據本身的商業需求定義自訂警示,以進行 Log Analytics 整合。

什麼是 SCIM?

為了協助您自動執行佈建和取消佈建,應用程式會公開專屬的使用者和群組 API。 但是任何嘗試在多個應用程式中管理使用者的人,都會告訴您,每個應用程式都會嘗試執行相同的動作,例如建立或更新使用者、將使用者新增至群組或取消布建使用者。 但是,所有這些動作都是使用不同的端點路徑、不同的方法來指定使用者資訊,以及不同的架構來表示資訊的每個元素,以稍微不同的方式來執行。

為了克服這些挑戰,跨網域身分識別管理系統 (SCIM) 規格提供了通用的使用者結構描述,可協助使用者在應用程式之間移入、移出和轉移。 SCIM 成為布建的實際標準,而且與同盟標準(如安全性判斷提示標記語言 (SAML) 或 OpenID Connect (OIDC) )搭配使用時,會為系統管理員提供端對端的標準解決方案來進行存取管理。

如需開發 SCIM 端點以將使用者和群組對應用程式的佈建和取消佈建自動化的詳細指引,請參閱建置 SCIM 端點和設定使用者佈建。 針對資源庫中預先整合的應用程式(例如,鬆弛、Azure Databricks 和雪花),您可以略過開發人員檔,並使用教學課程中提供的教學課程,將SaaS 應用程式與 Azure Active Directory 整合

手動與自動佈建

Azure AD 資源庫中的應用程式支援兩種佈建模式之一:

  • 手動 布建表示尚未為應用程式提供自動 Azure AD 布建連接器。 您必須手動建立使用者帳戶。 例如,將使用者直接新增到應用程式的系統管理入口網站,或上傳包含使用者帳戶詳細資料的試算表。 請參閱應用程式提供的文件,或洽詢應用程式開發人員,以判斷有哪些機制可供使用。
  • 「自動」表示已經為此應用程式開發 Azure AD 佈建連接器。 遵循設定應用程式布建的特定設定教學課程。 您可以在整合 SaaS 應用程式與 Azure Active Directory 的教學課程中找到應用程式教學課程。

當您將應用程式新增至企業應用程式之後, 在 [布建] 索引 標籤上也會顯示應用程式所支援的布建模式。

自動佈建的優點

隨著現代化組織中使用的應用程式數目持續增長,大規模的存取管理成為 IT 管理員的工作之一。 SAML 或 OIDC 等標準可讓系統管理員快速設定單一登入 (SSO) ,但存取權也需要將使用者布建到應用程式。 對許多系統管理員而言,布建表示以手動方式建立每個使用者帳戶,或每週上傳 CSV 檔案。 這些程式很耗時、昂貴且容易發生錯誤。 我們採用了像是即時 (JIT) 的解決方案來自動布建。 企業也需要解決方案,以在使用者離開組織時取消布建使用者,或不再要求根據角色變更存取特定應用程式。

使用自動佈建的常見動機包括:

  • 盡可能提高佈建程序的效率和正確性。
  • 節省與裝載及維護自訂開發的佈建解決方案和指令碼相關的成本。
  • 在使用者離開組織時,立即從主要 SaaS 應用程式中移除使用者的身分識別,以保護您的組織。
  • 輕鬆將大量使用者匯入至特定的 SaaS 應用程式或系統中。
  • 可用一組原則來判斷已佈建的使用者以及可登入應用程式的使用者。

Azure AD 使用者佈建有助於克服這些難題。 若要深入瞭解客戶如何使用 Azure AD 使用者布建,請閱讀ASOS 案例研究。 下列影片提供 Azure AD 中的使用者布建總覽。

哪些應用程式和系統可以搭配使用 Azure AD 自動使用者佈建?

Azure AD 的特色是可為多種熱門 SaaS 應用程式和人力資源系統提供預先整合的支援,以及為實作 SCIM 2.0 標準之特定部分的應用程式提供一般支援。

  • 預先整合的應用程式 (資源庫 SaaS 應用程式):您可以在 與 Azure Active Directory 整合 SaaS 應用程式的教學課程中,找到 Azure AD 支援預先整合布建連接器的所有應用程式。 資源庫中列出的預先整合應用程式通常會使用 SCIM 2.0 型的使用者管理 API 來進行佈建。

    顯示 DropBox、Salesforce 和其他人標誌的影像。

    如果您想要求對新的應用程式進行佈建,您可以要求應用程式與我們的應用程式庫進行整合。 針對使用者佈建要求,我們要求應用程式必須具有符合 SCIM 規範的端點。 要求應用程式廠商遵循 SCIM 標準,讓我們可以快速將應用程式上架到我們的平臺。

  • 支援 SCIM 2.0 的應用程式:如需如何以一般方式連接執行 SCIM 2.0 型使用者管理 api 之應用程式的詳細資訊,請參閱 建立 SCIM 端點和設定使用者布建

如何對應用程式設定自動佈建?

針對資源庫中列出的預先整合應用程式,您可以使用逐步指引來設定自動佈建。 請參閱整合 SaaS 應用程式與 Azure Active Directory 的教學課程。 下列影片示範如何設定 SalesForce 的自動使用者佈建。

針對支援 SCIM 2.0 的其他應用程式,請遵循 建立 SCIM 端點和設定使用者布建中的步驟。

後續步驟