Microsoft Entra ID 支持 跨域身份管理系统 (SCIM) 2.0 标准,根据不同的预配方案提供多种支持方式。 Microsoft Entra可以充当:
- SCIM 客户端,将用户和组从 Microsoft Entra 预配到合作伙伴应用程序中。
- SCIM 服务提供商公开 SCIM API,允许外部系统将用户和组直接预配到Microsoft Entra。
本文概述了 Microsoft Entra ID 中的 SCIM 支持,并帮助你了解哪些功能和文档适用于你的方案。
Microsoft Entra ID中的 SCIM 一目了然
| 情景 | 由Microsoft Entra扮演的角色 | 典型用例 |
|---|---|---|
| 将用户和群组预配到 SaaS 应用 | SCIM 客户端 | 在 ServiceNow、Zoom 或 Dropbox 等应用程序中自动创建、更新和取消预配帐户 |
| 将用户和组配置到 Microsoft Entra | SCIM 服务提供商 | 将 HR 系统、合作伙伴平台或自定义标识管道中的用户同步到Microsoft Entra ID |
作为 SCIM 客户端的 Entra (应用预配)
Microsoft Entra ID 包括一个内置的预配服务,该服务充当 SCIM 客户端。 在此模型中,Microsoft Entra ID向公开符合 SCIM 的终结点的应用程序发送 SCIM 请求。
你能做什么
充当 SCIM 客户端时,Microsoft Entra ID可以:
- 在第三方应用程序中预配和取消预配用户
- 使用户属性随时间推移保持同步
- 创建和管理组和组成员身份
- 支持公开 SCIM 终结点的云和本地应用程序
- 使用属性映射应用条件逻辑和转换
IT 管理员通常使用此功能自动执行 SaaS 应用程序的访问生命周期管理,而无需编写自定义同步代码。
了解详细信息的位置
作为 SCIM 服务提供商 Microsoft Entra (SCIM APIs)
Microsoft Entra ID还通过其SCIM 2.0 API充当SCIM 服务提供商。 在此模型中,HR 系统等外部系统可以调用由Microsoft Entra ID公开的 SCIM API 终结点来管理标识数据。
你能做什么
使用 Microsoft Entra ID SCIM API,可以:
- 在Microsoft Entra中创建、读取、更新和删除用户
- 创建和管理安全组和Microsoft 365组
- 管理组成员资格
- 使用标准 SCIM 终结点发现支持的架构、资源类型和服务功能
- 使用现有的 SCIM 客户端、连接器和自动化框架集成
此功能专为 基于标准的标识生命周期自动化而设计,尤其是在客户或合作伙伴已使用 SCIM 与 HR 应用、中间件服务和其他标识和访问平台等应用程序集成时。
常见场景
- 将用户从 HR 系统同步到 Microsoft Entra ID
- 将标识从另一个标识提供者迁移到Microsoft Entra ID
- 跨多个平台使用基于 SCIM 的单个预配管道
- 使合作伙伴能够使用行业标准协议将标识预配到客户Microsoft Entra ID租户
了解详细信息的位置
Microsoft Graph与 SCIM:何时使用
Microsoft Entra ID支持 微软 Graph API 和 SCIM API 两者 来管理用户和组。 正确的选择取决于集成需求。
需要使用 Microsoft Graph 时:
- 访问Microsoft标识、安全性和Microsoft 365功能的完整范围
- 使用丰富的关系和高级标识功能
- 构建以Microsoft为中心的深度集成应用程序
- 超越生命周期预配,使用微软特定的概念
想要以下情况下使用 SCIM:
- 使用行业标准 SCIM 2.0 协议集成
- 重复使用现有的 SCIM 客户端、连接器或预配框架
- 主要关注 用户和组生命周期管理
- 跨多个平台和标识提供者标准化标识预配
许多客户和合作伙伴根据具体场景使用两种方法——SCIM 用于生命周期同步,Microsoft Graph 用于获取更丰富的 Microsoft 特定功能。
总结
Microsoft Entra ID 通过支持 SCIM 扮演的两个互补角色,在基于标准的身份预配方面提供灵活的解决方案:
- 作为SCIM 客户端,可以启用从 Microsoft Entra ID 到业务应用程序的预配功能。
- 作为 SCIM 服务提供商,允许通过 SCIM API 将业务应用程序预配到Microsoft Entra ID。
这些功能与Microsoft Graph一起,使客户和合作伙伴可以选择使用最适合其体系结构、工具和长期标识策略的模型与Microsoft Entra集成。