Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Dokument bietet einen konzeptionellen Überblick über die von der Microsoft Entra-API gesteuerte Bereitstellung eingehender Benutzer*innen.
Introduction
Unternehmen verfügen heute über verschiedene maßgebliche Aufzeichnungssysteme. Um den End-to-End-Identitätslebenszyklus einzurichten, den Sicherheitsstatus zu stärken und mit Vorschriften konform zu bleiben, müssen Identitätsdaten in Microsoft Entra ID mit den in diesen Aufzeichnungssystemen verwalteten Personaldaten synchron gehalten werden. Bei dem Aufzeichnungssystem kann es sich um eine HR-App, eine App für die Lohnabrechnung, ein Arbeitsblatt oder SQL-Tabellen in einer Datenbank handeln, die entweder lokal oder in der Cloud gehostet wird.
With API-driven inbound provisioning, the Microsoft Entra provisioning service now supports integration with any system of record. Customers and partners can use any automation tool of their choice to retrieve workforce data from the system of record and ingest it into Microsoft Entra ID. Der IT-Administrator hat die volle Kontrolle darüber, wie die Daten mit Attributzuordnungen verarbeitet und transformiert werden. Once the workforce data is available in Microsoft Entra ID, the IT admin can configure appropriate joiner-mover-leaver business processes using Lifecycle Workflows.
Supported scenarios
Mehrere Szenarien für die Bereitstellung eingehender Benutzer werden mithilfe der API-gesteuerten eingehenden Bereitstellung ermöglicht. In diesem Diagramm werden die gängigsten Szenarien veranschaulicht.
Szenario 1: IT-Teams das Importieren von HR-Datenextrakten mithilfe eines beliebigen Automatisierungstools ermöglichen
Flatfiles, CSV-Dateien und SQL-Stagingtabellen werden häufig in Unternehmensintegrationsszenarien verwendet. Mitarbeiter-, Auftragnehmer- und Lieferanteninformationen werden regelmäßig in eines dieser Formate exportiert, und es wird ein Automatisierungstool verwendet, um diese Daten mit den Identitätsverzeichnissen des Unternehmens zu synchronisieren. Bei der API-gesteuerten eingehenden Bereitstellung können IT-Teams jedes Automatisierungstool ihrer Wahl (z. B. PowerShell-Skripts oder Azure Logic Apps) verwenden, um diese Integration zu modernisieren und zu vereinfachen.
Szenario 2: ISVs die Erstellung einer direkten Integration in Microsoft Entra ermöglichen
Mit der API-gesteuerten eingehenden Bereitstellung können ISVs für Personalsoftware native Synchronisierungsfunktionen bereitstellen, sodass Änderungen im Personalsystem automatisch in Microsoft Entra ID und verbundene lokale Active Directory-Domänen einfließen. Beispielsweise kann eine Personal-App oder eine App für ein Studenteninformationssystem Daten an Microsoft Entra ID senden – direkt nach Abschluss einer Transaktion oder als Massenaktualisierung am Ende des Tages.
Szenario 3: Systemintegratoren ermöglichen, weitere Connectors für Aufzeichnungssysteme zu erstellen
Partner können benutzerdefinierte HR-Connectors erstellen, um verschiedene Integrationsanforderungen für den Datenfluss von Aufzeichnungssystemen zu Microsoft Entra ID zu erfüllen.
In allen oben beschriebenen Szenarien wird die Integration vereinfacht, da der Microsoft Entra-Bereitstellungsdienst die Verantwortung für Folgendes übernimmt: Durchführung eines Identitätsprofilvergleichs, Beschränkung der Datensynchronisierung auf die von der IT-Administration konfigurierte Bereichslogik und Ausführung des regelbasierten Attributflows sowie der im Microsoft Entra Admin Center verwalteten Transformation.
End-to-end flow
Schritte des Workflows
- IT-Administrator*innen konfigurieren eine API-gesteuerte App für die Bereitstellung eingehender Benutzer*innen aus dem Microsoft Entra Enterprise-App-Katalog.
- IT-Administrator*innen gewähren Zugriffsberechtigungen und stellen API-Entwickler*innen/Partnern/Systemintegratoren Endpunktzugriffsdetails bereit.
- API-Entwickler*innen/Partner*innen/Systemintegrator*innen erstellen einen API-Client, um autorisierende Identitätsdaten an Microsoft Entra ID zu senden.
- Der API-Client liest Identitätsdaten aus der maßgeblichen Quelle.
- The API client sends a POST request to provisioning /bulkUpload API endpoint associated with the provisioning app.
Note
Der API-Client muss keine Vergleiche zwischen den Quellattributen und den Werten der Zielattribute durchführen, um festzustellen, welcher Vorgang (erstellen/aktualisieren/aktivieren/deaktivieren) aufgerufen werden soll. Dies wird automatisch vom Bereitstellungsdienst durchgeführt. Der API-Client lädt einfach die aus dem Quellsystem gelesenen Identitätsdaten hoch, indem er sie als Massenanforderung mithilfe von SCIM-Schemakonstrukten verpackt.
- Bei erfolgreicher Ausführung wird ein
Accepted 202 Statuszurückgegeben. - Der Microsoft Entra-Bereitstellungsdienst verarbeitet die empfangenen Daten, wendet die Attributzuordnungsregeln an und schließt die Benutzerbereitstellung ab.
- Je nach konfigurierter Bereitstellungs-App werden die Benutzer und Benutzerinnen entweder in einer lokalen Active Directory-Instanz (für Hybridbenutzer und Hybridbenutzerinnen) oder in Microsoft Entra ID (für reine Cloudbenutzer und Cloudbenutzerinnen) bereitgestellt.
- Der API-Client fragt dann den API-Endpunkt der Bereitstellungsprotokolle nach dem Status jedes gesendeten Datensatzes ab.
- Wenn bei der Verarbeitung eines Datensatzes ein Fehler auftritt, kann der API-Client die Fehlerdetails überprüfen und Datensätze, die den fehlgeschlagenen Vorgängen entsprechen, in der nächsten Massenanforderung (Schritt 5) einschließen.
- Die IT-Administrator kann jederzeit den Status des Bereitstellungsauftrags überprüfen und Ereignisse in den Bereitstellungsprotokollen anzeigen.
Wichtige Features der API-gesteuerten Bereitstellung eingehender Benutzer
- Available as a provisioning app that exposes an asynchronous Microsoft Graph provisioning /bulkUpload API endpoint accessed using valid OAuth token.
- Mandantenadministratoren müssen API-Clients gewähren, die mit dieser Bereitstellungs-App interagieren, die Graph-Berechtigungen
SynchronizationData-User.Upload,SynchronizationData-User.Upload.OwnedBy(für ISVs) undProvisioningLog.Read.All. - Der Graph-API-Endpunkt akzeptiert gültige Massenanforderungsnutzdaten mithilfe von SCIM-Schemakonstrukten.
- Mit SCIM-Schemaerweiterungen können Sie jedes Attribut in den Massenanforderungsnutzdaten senden.
- Der
/bulkUploadAPI-Endpunkt erzwingt die folgenden Einschränkungsgrenzwerte:- Es gibt eine Beschränkung von 40 API-Aufrufen innerhalb eines beliebigen 5-Sekunden-Fensters. Wenn dieser Schwellenwert überschritten wird, gibt der Dienst eine HTTP 429 -Antwort (Zu viele Anforderungen) zurück. Um Drosselung zu vermeiden, implementieren Sie Pacinglogik im Client, um Anforderungen für das Leerzeichen freizuspeichern , z. B. Das Hinzufügen von Verzögerungen oder die Behandlung von Ratenbeschränkungen zwischen Übermittlungen.
- Es gibt einen Grenzwert auf Mandantenebene von 2.000 API-Aufrufen pro 24-Stunden-Zeitraum unter der Entra ID P1/P2-Lizenz und 6.000 API-Aufrufe unter der Entra ID Governance-Lizenz. Das Überschreiten dieser Grenzwerte führt zu einer HTTP 429-Antwort (Zu viele Anforderungen). Um innerhalb des Kontingents zu bleiben, stellen Sie sicher, dass Ihre SCIM-Massennutzlasten optimiert sind, um bis zu 50 Vorgänge pro API-Aufruf einzuschließen.
- Jeder API-Endpunkt ist einer bestimmten Bereitstellungs-App in Microsoft Entra ID zugeordnet. Sie können mehrere Datenquellen integrieren, indem Sie eine Bereitstellungs-App für jede Datenquelle erstellen.
- Eingehende Massenanforderungsnutzdaten werden in Quasi-Echtzeit verarbeitet.
- Admins can check provisioning progress by viewing the provisioning logs.
- API-Clients können den Fortschritt nachverfolgen, indem sie die API für Bereitstellungsprotokolle abfragen.
License requirements
Dieses Feature ist mit Microsoft Entra ID P1-, P2- und Microsoft Entra ID Governance-Lizenzen verfügbar. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Leitfaden zur API-Verwendung
Der API-Endpunkt /bulkUpload erweitert die Anzahl der Möglichkeiten, wie Sie Benutzer und Benutzerinnen in Microsoft Entra ID verwalten können. Um festzustellen, ob der API-Endpunkt /bulkUpload für Ihr Integrationsszenario geeignet ist, sehen Sie sich diese Tabelle an, in der er mit anderen API-basierten Integrationsoptionen verglichen wird.
| Anwendungsszenario zur API-Zuordnung | Benutzererstellungs-API | HR-Eingehender-Massenvorgang-API | Benutzereinladungs-API | Direkte Zuweisungs-API |
|---|---|---|---|---|
| Wenn Ihr Identitätserstellungsszenario folgender Beschreibung entspricht... | Ad-hoc-Benutzererstellung in Microsoft Entra ID für ein Benutzerkonto, das keinem Mitarbeiter bzw. keiner Mitarbeiterin in einer HR-Quelle zugeordnet ist | Beschaffung von Mitarbeiterdatensätzen aus einer maßgeblichen HR-Quelle, und Sie möchten, dass diese Mitarbeiter bzw. Mitarbeiterinnen „Mitgliedskonten“ in Microsoft Entra ID oder in der lokalen Active Directory-Instanz haben | Ad-hoc-Gastbenutzererstellung in Microsoft Entra ID für Freigabezwecke, wobei die Gäste jeweils über eindeutige Zugriffsrechte verfügen | Zugriffszuweisung für vorhandene Benutzer und Gasterstellung in Microsoft Entra ID (Vorschau), um den neuen standardisierten Gastzugriff zu gewähren |
| ...verwenden Sie die API... | Create user | Perform bulkUpload. | Create invitation | Create accessPackageAssignmentRequest |
| Das resultierende Benutzerkonto wird zuerst erstellt in... | Microsoft Entra-ID | Lokale Active Directory- oder Microsoft Entra ID | Microsoft Entra-ID | Microsoft Entra-ID |
| Der resultierende Benutzer authentifiziert sich bei... | Microsoft Entra ID mit dem Kennwort, das Sie angeben | Lokale Active Directory-Instanz von Microsoft Entra ID mit einem temporären Zugriffspass, der von Entra-Lifecycle-Workflows bereitgestellt wird | Home-Mandant oder anderer Identitätsanbieter | Home-Mandant oder anderer Identitätsanbieter |
| Nachfolgende Aktualisierungen des Benutzers können erfolgen über | Graph-API oder Microsoft Entra Admin Center | Graph-API oder HR-Eingehender-Massenvorgang-API oder Microsoft Entra Admin Center | Graph-API oder Microsoft Entra Admin Center | Graph-API oder Microsoft Entra Admin Center |
| Der Benutzerlebenszyklus zu Beschäftigungsbeginn wird bestimmt durch... | Manual processes |
Entra Onboarding-Lebenszyklusworkflows, die basierend auf dem Attribut employeeHireDate ausgelöst werden |
Entitlement management | Automatic assignment using Entitlement management access packages |
| Der Benutzerlebenszyklus am Beschäftigungsende wird bestimmt durch... | Manual processes |
Entra-Offboarding-Lebenszyklusworkflows, die basierend auf dem Attribut employeeLeaveDateTime ausgelöst werden |
Access reviews | Berechtigungsverwaltung, wenn der Benutzer oder die Benutzerin die letzte Zugriffspaketzuweisung verliert, wird er bzw. sie entfernt. |
Empfohlener Lernpfad
| # | Learning objective | Guidance |
|---|---|---|
| 1. | Sie möchten mehr über die API-Spezifikationen für die eingehende Bereitstellung erfahren. | Refer to /bulkUpload API spec document. |
| 2. | Sie möchten sich mit den API-gesteuerten Bereitstellungskonzepten, Szenarien und Einschränkungen vertraut machen. | Weitere Informationen finden Sie unter Häufig gestellte Fragen zur API-gesteuerten eingehenden Bereitstellung. |
| 3. | As an Admin user, you want to quickly test the inbound provisioning API. | * Erstellen der API-gesteuerten eingehenden Bereitstellungs-App * Testen der API mit Graph Explorer |
| 4. | Mit einem Dienstkonto oder einer verwalteten Identität möchten Sie die API für die eingehende Bereitstellung schnell testen. | * Erstellen der API-gesteuerten eingehenden Bereitstellungs-App * Grant API permissions * Testen der API mit cURL |
| 5. | Sie möchten die API-gesteuerte Bereitstellungs-App erweitern, um mehr benutzerdefinierte Attribute zu verarbeiten. | Weitere Informationen finden Sie im Tutorial Erweitern der API-gesteuerten Bereitstellung zur Synchronisierung benutzerdefinierter Attribute. |
| 6. | Sie möchten den Datenupload von Ihrem Datensatzsystem auf den API-Endpunkt für die eingehende Bereitstellung automatisieren. | Weitere Informationen finden Sie in den folgenden Tutorials * Schnellstart mit PowerShell * Schnellstart mit Azure Logic Apps |
| 7. | Sie möchten Probleme mit der API für die eingehende Bereitstellung beheben. | Refer to the Troubleshooting guide. |
Externe Lernressourcen
Die folgenden Inhalte, die von unseren Partnern und Microsoft MVPs erstellt wurden, bieten zusätzliche Anleitungen zum Bereitstellen und Konfigurieren der API-gesteuerten Bereitstellung für verschiedene Integrationsszenarien.
Video tutorials
- John Savill erklärt, wie die API-gesteuerte Bereitstellung funktioniert.
- Microsoft MVP Nick Ross erläutert, wie die API-gesteuerte Bereitstellung konfiguriert wird.
- Microsoft MVP Nick Ross erläutert, wie HR-Daten aus einer Excel-Datei in SharePoint mithilfe von Power Automate und der API-gesteuerten Bereitstellung bezogen werden.
- Microsoft Partner IdentityXP bietet eine 4-teilige Serie zur API-gesteuerten Bereitstellung
Blogbeiträge, Präsentationen und andere nützliche Links
- Microsoft MVP Pim Jacobs Artikel erläutert, wie die API-gesteuerte Bereitstellung von Bamboo HR in der lokalen Active Directory-Instanz ausgeführt wird
- Microsoft MVP Pim Jacobs Präsentation zum Konfigurieren des Beitritts- und Austrittsprozesses mithilfe der API-gesteuerten Bereitstellung und Lebenszyklusworkflows
- Microsoft MVP Marius Solbakkens Artikel erläutert, wie Excel-Daten mithilfe von PowerShell-Skripts und der API-gesteuerten Bereitstellung bezogen werden.
- Suryendu Bhattacharyyas Artikel zum Aufrufen der API-gesteuerten Bereitstellung mit benutzerdefinierter GitHub Action
- Microsoft MVP Jan Vidar Elvens Bicep-Vorlage für die API-gesteuerte Bereitstellung