在 Microsoft Entra ID 中,术语 应用预配 是指自动为应用程序创建用户标识和角色。
Microsoft Entra 应用程序预配是指在用户需要访问的应用程序中自动创建用户标识和角色。 除了创建用户标识之外,自动预配还包括在状态或角色更改时维护和删除用户标识。 常见方案包括将 Microsoft Entra 用户预配到 SaaS 应用程序中。
Microsoft Entra ID 还支持将用户预配到托管在本地或虚拟机中的应用程序中,而无需打开任何防火墙。 下表提供协议与支持的连接器的映射。
| 协议 | 连接器 |
|---|---|
| SCIM |
SCIM - SaaS SCIM - 本地/专用网络 |
| LDAP | LDAP |
| SQL | SQL |
| REST | Web 服务 |
| SOAP | Web 服务 |
| 平面文件 | PowerShell |
| 自定义 | 自定义 ECMA 连接器 |
- 自动预配:在加入团队或组织时,自动在合适的系统中为新人员创建新帐户。
- 自动取消预配:当人员离开团队或组织时,自动停用正确的系统中的帐户。
- 在系统之间同步数据:根据目录或人力资源系统的变化,使应用和系统中的标识保持最新。
- 配置组:将组配置到支持它们的应用程序。
- 控制访问权限:监视和审核应用程序中预配的用户。
- 在棕地场景中无缝部署:在系统之间匹配现有标识,允许轻松集成,即使目标系统中已存在用户也是如此。
- 使用丰富的自定义:利用可自定义的属性映射,以定义应将哪些用户数据从源系统流向目标系统。
- 获取关键事件的警报:预配服务针对关键事件提供警报,允许进行 Log Analytics 集成,以便你可以在其中定义自定义警报来满足业务需求。
什么是 SCIM?
为了帮助自动进行预配和取消预配,应用会公开专有用户和组 API。 多个应用中的用户管理是一项挑战,因为每个应用都尝试执行相同的操作。 例如,创建或更新用户、将用户添加到组或取消预配用户。 通常,开发人员实现这些操作略有不同。 例如,使用不同的终结点路径、不同的方法来指定用户信息,以及不同的架构来表示每个信息元素。
为了解决这些难题,跨域身份管理系统 (SCIM) 规范提供了一个公共用户架构,可帮助用户移入、移出应用和围绕应用移动。 SCIM 正在成为预配的事实上的标准,当与联合标准(如安全断言标记语言(SAML)或 OpenID Connect(OIDC)一起使用时,可为管理员提供基于端到端标准的访问管理解决方案。
有关开发 SCIM 终结点以自动将用户和组预配到应用程序的详细指南,请参阅 生成 SCIM 终结点并配置用户预配。 许多应用程序直接与 Microsoft Entra ID 集成。 一些示例包括 Slack、Azure Databricks 和 Snowflake。
手动预配与自动预配
Microsoft Entra 库中的应用程序支持以下两种预配模式之一:
- 手动 预配意味着尚未为应用自动Microsoft Entra 预配连接器。 必须手动创建它们。 例如,将用户直接添加到应用的管理门户或上传包含用户帐户详细信息的电子表格。 请参阅应用提供的文档,或联系应用开发人员以确定可用的机制。
- 自动 意味着此应用程序提供了Microsoft Entra 预配连接器。 按照专门为应用程序设置配置的教程进行操作。
将应用程序添加到企业应用后,应用程序支持的预配模式也会显示在 “预配 ”选项卡上。
自动预配的优点
现代组织中使用的应用程序数量继续增长。 作为 IT 管理员,你必须大规模管理访问管理。 使用 SAML 或 OIDC 等标准进行单一登录(SSO),但访问也需要将用户预配到应用中。 你可能认为预配意味着手动创建每个用户帐户或每周上传 CSV 文件。 这些过程非常耗时、昂贵且容易出错。 若要简化此过程,请使用 SAML 实时 (JIT) 自动进行预配。 使用相同的过程取消预配用户,以应对用户离开组织或由于角色变化而不再需要访问某些应用的情况。
使用自动预配的一些常见动机包括:
- 最大程度地提高预配过程的效率和准确性。
- 节省与托管和维护自定义开发的预配解决方案和脚本相关的成本。
- 在离开组织时,通过立即从关键 SaaS 应用中删除用户的标识来保护组织。
- 轻松地将大量用户导入到特定的 SaaS 应用程序或系统中。
- 一组策略,用于确定可登录到应用的预配用户。
Microsoft Entra 用户预配可以帮助解决这些难题。 若要详细了解客户如何使用 Microsoft Entra 用户预配,请阅读 ASOS 案例研究。
我可以将哪些应用程序和系统用于 Microsoft Entra 自动用户预配?
Microsoft Entra 功能预集成对许多常用 SaaS 应用和人力资源系统的支持,以及对实现 SCIM 2.0 标准特定部分的应用的通用支持。
支持 SCIM 2.0 的应用程序:有关如何通用连接实现基于 SCIM 2.0 的用户管理 API 的应用程序的信息,请参阅 生成 SCIM 终结点并配置用户预配。
使用现有目录或数据库或提供预配接口的应用程序:请参阅有关如何预配到 LDAP 目录、SQL 数据库、具有 REST 或 SOAP 接口的教程,或者可以通过自定义 ECMA 连接器PowerShell 访问。
支持通过 SAML 进行实时预配的应用程序。
如何为应用程序设置自动预配?
对于支持 SCIM 2.0 的应用程序,请按照 生成 SCIM 终结点并配置用户预配中的步骤操作。