什麼是 Microsoft Entra 識別碼中的應用程式佈建?
在 Microsoft Entra ID 中,應用程式佈建一詞是指自動建立應用程式的使用者身分識別和角色。
「Microsoft Entra 應用程式佈建」一詞是指在使用者需要存取的應用程式中,自動建立使用者身分識別與角色。 除了建立使用者識別之外,自動佈建還包括在狀態或角色變更時,維護及移除使用者識別。 常見案例包括將 Microsoft Entra 使用者布建至 SaaS 應用程式,例如 Dropbox、 Salesforce、 ServiceNow 等等。
Microsoft Entra ID 也支援將使用者布建到裝載於內部部署或虛擬機的應用程式,而不需要開啟任何防火牆。 下表提供通訊協定與支援的連接器對應。
| 通訊協定 | 連接器 |
|---|---|
| SCIM | SCIM - SaaS SCIM - 內部部署/專用網 |
| LDAP | Ldap |
| SQL | SQL |
| REST | Web 服務 |
| SOAP | Web 服務 |
| 一般檔案 | PowerShell |
| 自訂 | 自訂 ECMA 連接器 合作夥伴所建置的 連線 器和閘道 |
- 自動化佈建:當新的人員加入小組或組織時,自動在正確的系統中為其建立新帳戶。
- 自動取消佈建:當人員離開小組或組織時,在正確的系統中自動停用帳戶。
- 同步處理系統之間的數據:根據目錄或人力資源系統中的變更,讓應用程式和系統中的身分識別保持最新狀態。
- 佈建群組:將群組佈建至支援群組的應用程式。
- 控管存取:監視和稽核應用程式中布建的使用者。
- 在棕地案例中順暢部署:比對系統之間現有的身分識別,並可讓您輕鬆進行整合,即便使用者已存在於目標系統亦然。
- 使用豐富的自訂:充分運用可自訂的屬性對應,其中定義了哪些使用者資料應該從來源系統流向目標系統。
- 取得重大事件的警示:佈建服務會提供重大事件的警示,並可讓您根據本身的商業需求定義自訂警示,以進行 Log Analytics 整合。
什麼是 SCIM?
為了協助自動佈建與取消佈建,應用程式會公開專屬使用者與群組 API。 多個應用程式中的使用者管理是一項挑戰,因為每個應用程式都嘗試執行相同的動作。 例如,建立或更新使用者、將使用者新增至群組,或取消布建使用者。 開發人員通常會實作這些動作稍有不同。 例如,使用不同的端點路徑、不同的方法來指定用戶資訊,以及不同的架構來代表每個信息元素。
為了克服這些挑戰,跨網域身分識別管理系統 (SCIM) 規格提供了通用的使用者結構描述,可協助使用者在應用程式之間移入、移出和轉移。 SCIM 逐漸成為佈建的既定標準;與安全性聲明標記語言 (SAML) 或 OpenID Connect (OIDC) 等同盟標準搭配使用時,SCIM 可為管理員提供端對端、以標準為基礎的存取管理解決方案。
如需開發 SCIM 端點以將使用者和群組布建和取消布建至應用程式的詳細指引,請參閱 建置 SCIM 端點並設定使用者布建。 許多應用程式會直接與 Microsoft Entra 識別元整合。 一些範例包括 Slack、Azure Databricks 和 Snowflake。 針對這些應用程式,請略過開發人員檔,並使用教學課程中 提供的教學課程,將 SaaS 應用程式與 Microsoft Entra ID 整合。
手動佈建與自動佈建
Microsoft Entra 資源庫中的應用程式支援下列兩種佈建模式之一:
- 手動佈建表示尚未有應用程式的自動 Microsoft Entra 佈建連接器。 您必須手動建立它們。 例如,將使用者直接新增至應用程式的管理入口網站,或上傳包含使用者帳戶詳細資料的試算表。 請參閱應用程式提供的文件,或連絡應用程式開發人員以判斷可用的機制。
- 自動 表示 Microsoft Entra 布建連接器可供此應用程式使用。 請遵循專門用來為應用程式設定佈建的設定教學課程。 在教學課程中 尋找應用程式教學課程,以整合 SaaS 應用程式與 Microsoft Entra ID。
當您將應用程式新增至企業應用程式後,該應用程式支援的佈建模式也會顯示在 [佈建] 索引標籤上。
自動佈建的優點
新式組織中所使用的應用程式數目會持續成長。 身為IT系統管理員,您必須大規模管理存取管理。 您可以使用 SAML 或 OIDC 之類的標準進行單一登入 (SSO),但存取也需要您將使用者布建到應用程式中。 您可能會認為布建表示手動建立每個用戶帳戶,或每周上傳 CSV 檔案。 這些流程不僅耗時、成本昂貴且容易發生錯誤。 若要簡化程式,請使用 SAML Just-In-Time (JIT) 將佈建自動化。 當使用者離開組織或不再需要根據角色變更存取特定應用程式時,請使用相同的程式來取消布建使用者。
一些使用自動佈建的常見動機包括:
- 盡可能提高佈建流程的效率與正確性。
- 節省與裝載及維護自訂開發的佈建解決方案和指令碼相關的成本。
- 在使用者離開組織時,立即從主要 SaaS 應用程式中移除使用者的身分識別,以保護您的組織。
- 輕鬆將大量使用者匯入至特定的 SaaS 應用程式或系統中。
- 一組原則,用來判斷可登入應用程式的已布建使用者。
Microsoft Entra 使用者佈建有助於克服這些挑戰。 若要深入了解客戶如何使用 Microsoft Entra 使用者布建,請閱讀 ASOS 案例研究。 下列影片提供 Microsoft Entra ID 中使用者布建的概觀。
哪些應用程式與系統可以和 Microsoft Entra 自動使用者佈建搭配使用?
Microsoft Entra 功能預先整合了許多熱門 SaaS 應用程式和人力資源系統的支援,以及實作 SCIM 2.0 標準特定部分之應用程式的一般支援。
預先整合的應用程式(資源庫 SaaS 應用程式):您可以在教學課程中 尋找 Microsoft Entra ID 支援預先整合佈建連接器的所有應用程式,以整合 SaaS 應用程式與 Microsoft Entra ID。 資源庫中所列的預先整合應用程式通常會使用 SCIM 2.0 型使用者管理 API 進行佈建。
若要要求新的應用程式進行布建,請參閱 提交要求以在 Microsoft Entra 應用連結庫中發佈您的應用程式。 針對使用者布建要求,我們需要應用程式具有符合 SCIM 規範的端點。 要求應用程式廠商遵循 SCIM 標準,以便我們可以快速地將應用程式上線到我們的平臺。
支援 SCIM 2.0 的應用程式:如需如何一般連接實作 SCIM 2.0 型使用者管理 API 的應用程式的相關信息,請參閱 建置 SCIM 端點並設定使用者布建。
使用現有目錄或資料庫或提供布建介面的應用程式:請參閱教學課程,以瞭解如何布建至LDAP目錄、SQL資料庫、具有 REST 或 SOAP 介面,或可透過 PowerShell、自定義 ECMA 連接器或合作夥伴所建置的連接器和網關來連線機。
支援透過 SAML 進行 Just-In-Time 布建的應用程式。
如何對應用程式設定自動佈建?
如需資源庫中所列的預先整合應用程式,請使用現有的逐步指引來設定自動布建,請參閱 將 SaaS 應用程式與 Microsoft Entra ID 整合的教學課程。 下列影片說明如何設定 SalesForce 的自動使用者布建。
對於支援 SCIM 2.0 的其他應用程式,請遵循建置 SCIM 端點並設定使用者布建中的步驟。