Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce document fournit une présentation conceptuelle du provisionnement des utilisateurs entrants piloté par l'API Microsoft Entra.
Introduction
Aujourd’hui, les entreprises disposent de divers systèmes d’enregistrement faisant autorité. Pour établir un cycle de vie des identités de bout en bout, renforcer la sécurité et rester conforme aux réglementations, les données d'identité dans Microsoft Entra ID doivent être synchronisées avec les données de main-d'œuvre gérées dans ces systèmes d'enregistrement. Le système d'enregistrement peut être une application RH, une application de paie, une feuille de calcul ou des tables SQL dans une base de données hébergée sur site ou dans le cloud.
With API-driven inbound provisioning, the Microsoft Entra provisioning service now supports integration with any system of record. Customers and partners can use any automation tool of their choice to retrieve workforce data from the system of record and ingest it into Microsoft Entra ID. L’administrateur informatique a un contrôle total sur la façon dont les données sont traitées et transformées avec des mappages d’attributs. Once the workforce data is available in Microsoft Entra ID, the IT admin can configure appropriate joiner-mover-leaver business processes using Lifecycle Workflows.
Supported scenarios
Plusieurs scénarios d’approvisionnement d’utilisateurs entrants sont activés à l’aide de l’approvisionnement entrant piloté par les API. Ce diagramme illustre les scénarios les plus courants.
Scénario 1 : Permettre aux équipes informatiques d’importer des extraits de données RH à l’aide de n’importe quel outil d’automatisation
Les fichiers plats, les fichiers CSV et les tables intermédiaires SQL sont couramment utilisés dans les scénarios d’intégration d’entreprise. Les informations sur les employés, les sous-traitants et les fournisseurs sont périodiquement exportées dans l'un de ces formats et un outil d'automatisation est utilisé pour synchroniser ces données avec les répertoires d'identités de l'entreprise. Avec l’approvisionnement entrant piloté par les API, les équipes informatiques peuvent utiliser n’importe quel outil d’automatisation de leur choix (par exemple : scripts PowerShell ou Azure Logic Apps) pour moderniser et simplifier cette intégration.
Scénario 2 : permettre aux éditeurs de logiciels indépendants de créer une intégration directe avec Microsoft Entra ID
Grâce au provisionnement entrant piloté par API, les éditeurs de logiciels RH peuvent proposer des expériences de synchronisation natives afin que les modifications apportées au système RH soient automatiquement transmises à Microsoft Entra ID et aux domaines Active Directory sur site connectés. Par exemple, une application RH ou une application de système d'information sur les étudiants peut envoyer des données à Microsoft Entra ID dès qu'une transaction est terminée ou sous forme de mise à jour groupée de fin de journée.
Scénario 3 : Permettre aux intégrateurs de systèmes de créer plus de connecteurs aux systèmes d’enregistrement
Les partenaires peuvent créer des connecteurs RH personnalisés pour répondre à différentes exigences d'intégration autour du flux de données depuis les systèmes d'enregistrement vers Microsoft Entra ID.
Dans tous les scénarios ci-dessus, l'intégration est simplifiée car le service de provisionnement Microsoft Entra assume la responsabilité d'effectuer la comparaison des profils d'identité, de limiter la synchronisation des données à la logique de portée configurée par l'administrateur informatique et d'exécuter le flux d'attributs et la transformation basés sur des règles gérés dans le centre d'administration Microsoft Entra.
End-to-end flow
Étapes du flux de travail
- L'administrateur informatique configure une application de provisionnement d'utilisateurs entrants pilotée par API à partir de la galerie Microsoft Entra Enterprise App.
- L'administrateur informatique accorde des autorisations d'accès et fournit les détails d'accès au point de terminaison au développeur/partenaire/intégrateur système de l'API.
- Le développeur/partenaire/intégrateur système d’API crée un client API pour envoyer des données d’identité faisant autorité à Microsoft Entra ID.
- Le client API lit les données d’identité à partir de la source faisant autorité.
- The API client sends a POST request to provisioning /bulkUpload API endpoint associated with the provisioning app.
Note
Le client API n’a pas besoin d’effectuer des comparaisons entre les attributs source et les valeurs d’attribut cible pour déterminer l’opération (créer/mettre à jour/activer/désactiver) à appeler. Cela est géré automatiquement par le service configuré. Le client API charge simplement les données d’identité lues à partir du système source en les empaquetant en tant que requête en bloc à l’aide de constructions de schéma SCIM.
- En cas de réussite, un
Accepted 202 Statusest retourné. - Le service de provisionnement Microsoft Entra traite les données reçues, applique les règles de mappage d'attributs et termine le provisionnement des utilisateurs.
- En fonction de l'application de provisionnement configurée, l'utilisateur est provisionné soit dans Active Directory sur site (pour les utilisateurs hybrides), soit dans Microsoft Entra ID (pour les utilisateurs cloud uniquement).
- Le client API interroge ensuite le point de terminaison d’API des journaux d’approvisionnement pour déterminer l’état de chaque enregistrement envoyé.
- Si le traitement d’un enregistrement échoue, le client API peut vérifier les détails de l’erreur et inclure les enregistrements correspondant aux opérations ayant échoué dans la requête en bloc suivante (étape 5).
- À tout moment, l’administrateur informatique peut vérifier le statut du travail d’approvisionnement et afficher les événements dans les journaux d’approvisionnement.
Principales fonctionnalités du provisionnement d’utilisateurs entrants piloté par les API
- Available as a provisioning app that exposes an asynchronous Microsoft Graph provisioning /bulkUpload API endpoint accessed using valid OAuth token.
- Les administrateurs de locataires doivent accorder aux clients d’API qui interagissent avec cette application d’approvisionnement les autorisations
SynchronizationData-User.UploadGraph (SynchronizationData-User.Upload.OwnedBypour les éditeurs de logiciels indépendants) etProvisioningLog.Read.All. - Le point de terminaison API Graph accepte les charges utiles de requête en bloc valides à l’aide de constructions de schéma SCIM.
- Avec les extensions de schéma SCIM, vous pouvez envoyer n’importe quel attribut dans la charge utile de requête en bloc.
- Le
/bulkUploadpoint de terminaison d’API applique les limites de limitation suivantes :- Il existe une limite de 40 appels d’API dans une fenêtre de 5 secondes. Si ce seuil est dépassé, le service retourne une réponse HTTP 429 (Trop de requêtes). Pour éviter la limitation, implémentez la logique de pacing dans le client pour espacer les demandes, telles que l’ajout de retards ou la gestion de la limite de débit entre les soumissions.
- Il existe une limite de 2 000 appels d’API au niveau du locataire par période de 24 heures sous la licence Entra ID P1/P2 et 6 000 appels d’API sous la licence Entra ID Governance. Le dépassement de ces limites entraîne une réponse HTTP 429 (Trop de requêtes). Pour rester dans le quota, assurez-vous que vos charges utiles en bloc SCIM sont optimisées pour inclure jusqu’à 50 opérations par appel d’API.
- Chaque point de terminaison d'API est associé à une application de provisionnement spécifique dans Microsoft Entra ID. Vous pouvez intégrer plusieurs sources de données en créant une application d’approvisionnement pour chaque source de données.
- Les charges utiles des requêtes en bloc entrantes sont traitées en quasi temps réel.
- Admins can check provisioning progress by viewing the provisioning logs.
- Les clients d’API peuvent suivre la progression en interrogeant l’API journaux d’approvisionnement.
License requirements
Cette fonctionnalité est disponible avec les licences Microsoft Entra ID P1, P2 et Gouvernance Microsoft Entra ID. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.
Conseils d'utilisation de l'API
Le point de terminaison de l'API /bulkUpload augmente le nombre de façons dont vous pouvez gérer les utilisateurs dans Microsoft Entra ID. Pour vous aider à déterminer si le point de terminaison de l'API /bulkUpload convient à votre scénario d'intégration, reportez-vous à ce tableau qui le compare à d'autres options d'intégration basées sur l'API.
| Utiliser le scénario de cas pour le mappage d'API | API de création d'utilisateurs | API RH entrante en masse | API d'invitation d'utilisateur | API d’affectation directe |
|---|---|---|---|---|
| Lorsque votre scénario de création d'identité est... | Création d'un utilisateur ad hoc dans Microsoft Entra ID pour un utilisateur non associé à un collaborateur dans une source RH | Vous recherchez les dossiers des employés auprès d'une source RH faisant autorité et vous souhaitez que ces employés aient des comptes « membre » dans Microsoft Entra ID ou dans Active Directory local | Création d'un utilisateur invité ad hoc dans Microsoft Entra ID, à des fins de partage, où l'invité dispose de droits d'accès uniques | Affectation d’accès pour les utilisateurs existants et (préversion) création d’invités dans Microsoft Entra ID pour octroyer au nouvel invité un accès normalisé |
| ...utiliser l'API... | Create user | Perform bulkUpload. | Create invitation | Create accessPackageAssignmentRequest |
| L'utilisateur résultant est d'abord créé dans... | Microsoft Entra ID (système d'identification de Microsoft) | Active Directory local ou Microsoft Entra ID | Microsoft Entra ID (système d'identification de Microsoft) | Microsoft Entra ID (système d'identification de Microsoft) |
| L'utilisateur résultant s'authentifie auprès de... | Microsoft Entra ID, avec le mot de passe que vous fournissez | Active Directory local de Microsoft Entra ID, avec un Passe d'accès temporaire fourni par les workflows de cycle de vie Entra | Locataire du domicile ou autre fournisseur d’identité | Locataire du domicile ou autre fournisseur d’identité |
| Les mises à jour ultérieures de l'utilisateur peuvent être effectuées via | API Graph ou centre d’administration Microsoft Entra | API Graph ou API HR inbound bulk ou centre d’administration Microsoft Entra | API Graph ou centre d’administration Microsoft Entra | API Graph ou centre d’administration Microsoft Entra |
| Le cycle de vie de l'utilisateur au début de son emploi est déterminé par... | Manual processes |
Flux de travail du cycle de vie d'intégration Entra qui se déclenchent en fonction de l'attribut employeeHireDate |
Entitlement management | Automatic assignment using Entitlement management access packages |
| Le cycle de vie de l'utilisateur à la fin de son emploi est déterminé par... | Manual processes |
Flux de travail du cycle de vie de déconnexion entrant qui se déclenchent en fonction de l'attribut employeeLeaveDateTime |
Access reviews | Gestion des droits lorsque l'utilisateur perd sa dernière attribution de package d'accès, il est supprimé |
Parcours d’apprentissage recommandé
| # | Learning objective | Guidance |
|---|---|---|
| 1. | Vous souhaitez en savoir plus sur les spécifications de l'API de provisionnement entrant. | Refer to /bulkUpload API spec document. |
| 2. | Vous souhaitez vous familiariser avec les concepts, les scénarios et les limitations de l'approvisionnement piloté par l'API. | Reportez-vous à la Foire aux questions sur le provisionnement entrant piloté par l'API. |
| 3. | As an Admin user, you want to quickly test the inbound provisioning API. | * Créer une application de provisionnement entrant pilotée par l'API * Tester l'API à l'aide de l'explorateur Microsoft Azure Active Directory Graph |
| 4. | Avec un compte de service ou une identité gérée, vous souhaitez tester rapidement l'API de provisionnement entrant. | * Créer une application de provisionnement entrant pilotée par l'API * Grant API permissions * Tester l’API à l’aide de cURL |
| 5. | Vous souhaitez étendre l'application de provisionnement basée sur l'API pour traiter davantage d'attributs personnalisés. | Reportez-vous au didacticiel Étendre le provisionnement piloté par l'API pour synchroniser les attributs personnalisés |
| 6. | Vous souhaitez automatiser le chargement des données depuis votre système d'enregistrement vers le point de terminaison de l'API de provisionnement entrant. | Reportez-vous aux tutoriels * Démarrage rapide avec PowerShell * Démarrage rapide avec Azure Logic Apps |
| 7. | Vous souhaitez résoudre les problèmes d'API de provisionnement entrant | Refer to the Troubleshooting guide. |
Ressources d'apprentissage externes
Le contenu suivant, créé par nos partenaires et Microsoft MVP, offre des conseils supplémentaires sur la façon de déployer et de configurer le provisionnement piloté par API pour divers scénarios d'intégration.
Video tutorials
- John Savill explique le fonctionnement du provisionnement piloté par API
- Nick Ross, MVP Microsoft, explique comment configurer le provisionnement basé sur l'API
- Nick Ross, MVP Microsoft, explique comment extraire des données RH à partir d'un fichier Excel dans SharePoint à l'aide de Power Automate et du provisionnement piloté par API
- Partenaire Microsoft IdentityXP, série en 4 parties sur le provisionnement basé sur les API
Articles de blog, présentations et autres liens utiles
- Article de Microsoft MVP Pim Jacob expliquant comment effectuer un provisionnement basé sur l'API Bamboo HR vers Active Directory sur site
- Présentation de Microsoft MVP Pim Jacob sur la façon de configurer le processus d'arrivée et de départ à l'aide de workflows de provisionnement et de cycle de vie pilotés par API
- Article du MVP Microsoft Marius Solbakken expliquant comment générer des données Excel à l'aide d'un script PowerShell et d'un provisionnement piloté par API
- Article de Suryendu Bhattacharyya sur la façon d'invoquer le provisionnement de pilotage d'API à l'aide d'une action GitHub personnalisée
- Modèle Bicep de Microsoft MVP Jan Vidar Elven pour le provisionnement piloté par API