自动用户预配是在目标系统(如软件即服务应用程序)中自动创建、维护和删除用户标识的过程。
为什么要启用自动预配?
在用户首次登录前就要求应用程序中存在用户记录,因此应用程序需要进行用户预配。 这不仅对服务提供商有好处,客户也能因此受益。
作为服务提供商获得的权益
通过使用 Microsoft 标识平台增强应用程序的安全性。
减少采用你的应用程序所需的实际和感知的客户工作量。
通过基于跨域身份管理系统 (SCIM) 的预配,为自动用户预配降低与多个标识提供者 (IdP) 集成的成本。
通过提供丰富的日志来帮助客户解决用户预配问题,降低支持成本。
提高应用程序在 Microsoft Entra 应用库中的可见性。
获取应用教程页面中的采用优先级的列表。
作为客户获得的权益
通过为更改角色或将组织留给应用程序的用户自动删除对应用程序的访问权限,提高安全性。
通过避免人为错误和与手动预配相关的重复工作,简化应用程序的用户管理。
降低托管和维护自定义开发的预配解决方案的成本。
选择预配方法
Microsoft Entra ID 提供了多个集成路径,以便为应用程序启用自动用户预配。
Microsoft Entra 预配服务管理从 Microsoft Entra ID 到应用程序(出站设置)以及从应用程序到 Microsoft Entra ID(入站设置)的用户预配和取消预配。 服务将连接到应用程序提供的跨域身份管理系统 (SCIM) 用户管理 API 终结点。
使用 Microsoft Graph 时,应用程序通过查询 Microsoft Graph API 来管理从 Microsoft Entra ID 到应用程序的用户和组的入站和出站预配。
如果你的应用程序使用 SAML 进行联合身份验证,则可以启用安全断言标记语言即时 (SAML JIT) 用户预配。 它使用在 SAML 令牌中发送的声明信息来预配用户。
若要帮助确定要用于应用程序的集成选项,请参阅高级对比表,然后查看每个选项的详细信息。
| 自动预配启用或增强的功能 | Microsoft Entra 预配服务 (SCIM 2.0) | Microsoft图形 API (OData v4.0) | SAML JIT |
|---|---|---|---|
| Microsoft Entra ID 中的用户和组管理 | √ | √ | 仅限用户 |
| 管理从本地 Active Directory 同步的用户和组 | √* | √* | 仅限用户* |
| 在预配对 Microsoft 365 数据(Teams、SharePoint、电子邮件、日历和文档等)的访问期间,访问用户和组以外的数据 | +X | √ | X |
| 基于业务规则创建、读取和更新用户 | √ | √ | √ |
| 基于业务规则删除用户 | √ | √ | X |
| 从 Microsoft Entra 管理中心管理所有应用程序的自动用户预配 | √ | X | √ |
| 支持多个标识提供者 | √ | X | √ |
| 支持来宾帐户 (B2B) | √ | √ | √ |
| 支持非企业帐户 (B2C) | X | √ | √ |
*– 需要设置 Microsoft Entra Connect 将用户从 AD 同步到 Microsoft Entra ID。
+– 使用 SCIM 进行预配不会阻止你将应用程序与用于其他目的的 Microsoft Graph 集成。
Microsoft Entra 预配服务 (SCIM)
Microsoft Entra 预配服务使用 SCIM,这是许多标识提供者 (IdP) 和应用程序(例如,Slack、G Suite、Dropbox)支持的预配行业标准。 如果除了 Microsoft Entra 之外还需要支持 IdP,则建议使用 Microsoft Entra ID 预配服务,因为任何符合 SCIM 要求的 IdP 都可以连接到 SCIM 终结点。 生成简单的/用户终结点,你可以启用预配,而不必维护自己的同步引擎。
有关 Microsoft Entra 预配服务如何使用 SCIM 的详细信息,请参阅:
使用 Microsoft Graph 预配
使用 Microsoft Graph 进行预配时,你有权访问 Graph 中提供的所有富格式用户数据。 除了用户和组的详细信息外,还可以获取其他信息,如用户的角色、经理和直接下属、拥有和注册的设备,以及 Microsoft Graph 中提供的数百个其他数据片段。
超过 1500 万家组织和 90% 的财富 500 强公司使用 Microsoft Entra ID,同时订阅 Microsoft 365、Microsoft Azure 或企业移动性套件等 Microsoft 云服务。 你可以使用 Microsoft Graph 将你的应用与管理工作流,如员工入职(和离职)、配置文件维护等。
详细了解如何使用 Microsoft Graph 预配:
使用 SAML JIT 预配
如果只想在首次登录应用程序时预配用户,而不需要自动取消对用户的预配,则 SAML JIT 不失为一个选择。 应用程序必须支持 SAML 2.0 作为联合身份验证协议,才能使用 SAML JIT。
SAML JIT 使用 SAML 令牌中的声明信息来创建和更新应用程序中的用户信息。 客户可根据需要在 Microsoft Entra 应用程序中配置这些必需的声明。 有时需要从应用程序端启用 JIT 预配,以便客户可以使用此功能。 SAML JIT 对创建和更新用户很有用,但它不能删除或停用应用程序中的用户。
后续步骤
提交应用程序列表并与 Microsoft 合作,以便在 Microsoft 网站上创建文档。