Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten dokument zawiera koncepcyjne omówienie aprowizacji użytkowników przychodzących opartych na interfejsie API firmy Microsoft.
Introduction
Obecnie przedsiębiorstwa mają różne autorytatywne systemy rekordów. Aby ustanowić pełny cykl życia tożsamości, zwiększyć poziom zabezpieczeń i zachować zgodność z przepisami, dane tożsamości w identyfikatorze Entra firmy Microsoft muszą być zsynchronizowane z danymi pracowników zarządzanymi w tych systemach rekordów. System rekordów może być aplikacją kadrową, aplikacją płacową, arkuszem kalkulacyjnym lub tabelami SQL w bazie danych hostowanej lokalnie lub w chmurze.
With API-driven inbound provisioning, the Microsoft Entra provisioning service now supports integration with any system of record. Customers and partners can use any automation tool of their choice to retrieve workforce data from the system of record and ingest it into Microsoft Entra ID. Administrator IT ma pełną kontrolę nad sposobem przetwarzania i przekształcania danych za pomocą mapowań atrybutów. Once the workforce data is available in Microsoft Entra ID, the IT admin can configure appropriate joiner-mover-leaver business processes using Lifecycle Workflows.
Supported scenarios
Kilka scenariuszy aprowizacji użytkowników przychodzących jest włączanych przy użyciu aprowizacji przychodzącej opartej na interfejsie API. Ten diagram przedstawia najbardziej typowe scenariusze.
Scenariusz 1. Umożliwienie zespołom IT importowania wyodrębniania danych HR przy użyciu dowolnego narzędzia automatyzacji
Pliki proste, pliki CSV i tabele przejściowe SQL są często używane w scenariuszach integracji przedsiębiorstwa. Informacje o pracownikach, wykonawcach i dostawcach są okresowo eksportowane do jednego z tych formatów, a narzędzie automatyzacji służy do synchronizowania tych danych z katalogami tożsamości przedsiębiorstwa. W przypadku aprowizacji przychodzącej opartej na interfejsie API zespoły IT mogą korzystać z dowolnego wybranego narzędzia automatyzacji (na przykład skryptów programu PowerShell lub usługi Azure Logic Apps), aby zmodernizować i uprościć tę integrację.
Scenariusz 2. Włączanie niezależnych dostawców oprogramowania do tworzenia bezpośredniej integracji z identyfikatorem Entra firmy Microsoft
W przypadku aprowizacji przychodzącej opartej na interfejsie API dostawcy niezależnych dostawców zasobów mogą dostarczać natywne środowiska synchronizacji, dzięki czemu zmiany w systemie HR automatycznie przepływają do identyfikatora Entra firmy Microsoft i połączonych domen lokalna usługa Active Directory. Na przykład aplikacja hr lub aplikacje systemów informacyjnych uczniów mogą wysyłać dane do identyfikatora Entra firmy Microsoft, gdy tylko transakcja zostanie ukończona lub jako aktualizacja zbiorcza na koniec dnia.
Scenariusz 3. Umożliwienie integratorom systemów tworzenia większej liczby łączników w systemach rekordów
Partnerzy mogą tworzyć niestandardowe łączniki kadr, aby spełnić różne wymagania dotyczące integracji dotyczące przepływu danych z systemów rekordu do identyfikatora Entra firmy Microsoft.
We wszystkich powyższych scenariuszach integracja jest uproszczona, ponieważ usługa aprowizacji firmy Microsoft przejmuje odpowiedzialność za porównywanie profilów tożsamości, ograniczenie synchronizacji danych do logiki określania zakresu skonfigurowanej przez administratora IT oraz wykonywanie przepływu atrybutów opartych na regułach i transformacji zarządzanej w centrum administracyjnym firmy Microsoft Entra.
End-to-end flow
Kroki przepływu pracy
- Administrator IT konfiguruje aplikację aprowizacji użytkowników przychodzących opartą na interfejsie API z galerii aplikacji Firmy Microsoft Entra Enterprise.
- Administrator IT udziela uprawnień dostępu i udostępnia szczegóły dostępu do punktu końcowego deweloperowi interfejsu API/partnerowi/integratorowi systemu.
- Deweloper interfejsu API/partner/integrator systemu tworzy klienta interfejsu API w celu wysyłania autorytatywnych danych tożsamości do identyfikatora Entra firmy Microsoft.
- Klient interfejsu API odczytuje dane tożsamości ze źródła autorytatywnego.
- The API client sends a POST request to provisioning /bulkUpload API endpoint associated with the provisioning app.
Note
Klient interfejsu API nie musi wykonywać żadnych porównań między atrybutami źródłowymi i wartościami atrybutów docelowych w celu określenia operacji (create/update/enable/disable) do wywołania. Jest to automatycznie obsługiwane przez usługę aprowizacji. Klient interfejsu API po prostu przekazuje dane tożsamości odczytane z systemu źródłowego, pakując je jako żądanie zbiorcze przy użyciu konstrukcji schematu SCIM.
- Jeśli operacja powiedzie się,
Accepted 202 Statuszostanie zwrócona wartość . - Usługa aprowizacji firmy Microsoft przetwarza odebrane dane, stosuje reguły mapowania atrybutów i kończy aprowizację użytkowników.
- W zależności od skonfigurowanej aplikacji aprowizacji użytkownik jest aprowizowany w lokalna usługa Active Directory (dla użytkowników hybrydowych) lub Microsoft Entra ID (dla użytkowników korzystających tylko z chmury).
- Następnie klient interfejsu API wysyła zapytanie do punktu końcowego interfejsu API dzienników aprowizacji pod kątem stanu każdego wysłanego rekordu.
- Jeśli przetwarzanie dowolnego rekordu zakończy się niepowodzeniem, klient interfejsu API może sprawdzić szczegóły błędu i dołączyć rekordy odpowiadające operacjom, które zakończyły się niepowodzeniem w następnym żądaniu zbiorczym (krok 5).
- W dowolnym momencie administrator IT może sprawdzić stan zadania aprowizacji i wyświetlić zdarzenia w dziennikach aprowizacji.
Najważniejsze funkcje aprowizacji użytkowników przychodzących opartych na interfejsie API
- Available as a provisioning app that exposes an asynchronous Microsoft Graph provisioning /bulkUpload API endpoint accessed using valid OAuth token.
- Administratorzy dzierżawy muszą udzielać klientom interfejsu API interakcji z tą aplikacją aprowizacji uprawnienia
SynchronizationData-User.Uploadprogramu Graph ,SynchronizationData-User.Upload.OwnedBy(dla niezależnych dostawców oprogramowania) iProvisioningLog.Read.All. - Punkt końcowy interfejsu API programu Graph akceptuje prawidłowe ładunki żądań zbiorczych przy użyciu konstrukcji schematu SCIM.
- Za pomocą rozszerzeń schematu SCIM można wysłać dowolny atrybut w ładunku żądania zbiorczego.
- Punkt
/bulkUploadkońcowy interfejsu API wymusza następujące limity ograniczania przepustowości:- Istnieje limit 40 wywołań interfejsu API w dowolnym 5-sekundowym oknie. Jeśli ten próg zostanie przekroczony, usługa zwróci odpowiedź HTTP 429 (zbyt wiele żądań). Aby uniknąć ograniczania przepustowości, zaimplementuj logikę pacing w kliencie, aby zwolnić miejsce na żądania — takie jak dodawanie opóźnień lub obsługa limitu szybkości między przesyłaniem.
- Istnieje limit na poziomie dzierżawy 2000 wywołań interfejsu API na okres 24-godzinny w ramach licencji Entra ID P1/P2 oraz 6000 wywołań interfejsu API w ramach licencji Entra ID Governance. Przekroczenie tych limitów powoduje odpowiedź HTTP 429 (zbyt wiele żądań). Aby zachować limit przydziału, upewnij się, że ładunki zbiorcze SCIM są zoptymalizowane pod kątem dołączania do 50 operacji na wywołanie interfejsu API.
- Każdy punkt końcowy interfejsu API jest skojarzony z określoną aplikacją aprowizacji w identyfikatorze Entra firmy Microsoft. Możesz zintegrować wiele źródeł danych, tworząc aplikację aprowizacji dla każdego źródła danych.
- Przychodzące ładunki żądań zbiorczych są przetwarzane niemal w czasie rzeczywistym.
- Admins can check provisioning progress by viewing the provisioning logs.
- Klienci interfejsu API mogą śledzić postęp, wykonując zapytania dotyczące interfejsu API dzienników aprowizacji.
License requirements
Ta funkcja jest dostępna w przypadku licencji microsoft Entra ID P1, P2 i Zarządzanie tożsamością Microsoft Entra. Aby znaleźć odpowiednią licencję na wymagania, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
Wskazówki dotyczące użycia interfejsu API
Punkt /bulkUpload końcowy interfejsu API rozszerza liczbę sposobów zarządzania użytkownikami w usłudze Microsoft Entra ID. Aby ułatwić określenie, czy punkt końcowy interfejsu /bulkUpload API jest odpowiedni dla danego scenariusza integracji, zapoznaj się z tą tabelą, która porównuje go z innymi opcjami integracji opartymi na interfejsie API.
| Mapowanie interfejsu API przy użyciu scenariusza przypadku | Interfejs API tworzenia użytkownika | Interfejs API ruchu przychodzącego dla ruchu przychodzącego | Interfejs API zaproszenia użytkownika | Interfejs API przypisania bezpośredniego |
|---|---|---|---|---|
| Gdy scenariusz tworzenia tożsamości jest... | Tworzenie użytkowników ad hoc w identyfikatorze Entra firmy Microsoft dla użytkownika, który nie jest skojarzony z żadnym procesem roboczym w źródle kadr | Określanie źródła autorytatywnego działu KADR rekordów pracowników i chcesz, aby ci pracownicy mieli konta "członka" w identyfikatorze Microsoft Entra ID lub lokalna usługa Active Directory | Tworzenie użytkownika-gościa ad hoc w identyfikatorze Entra firmy Microsoft na potrzeby udostępniania, gdzie gość ma unikatowe prawa dostępu | Przypisanie dostępu dla istniejących użytkowników i (wersja zapoznawcza) tworzenia gościa w identyfikatorze Entra firmy Microsoft w celu udzielenia nowego standardowego dostępu gościa |
| ... użyj interfejsu API... | Create user | Perform bulkUpload. | Create invitation | Create accessPackageAssignmentRequest |
| Wynikowy użytkownik jest najpierw tworzony w... | Microsoft Entra ID | Lokalny identyfikator usługi Active Directory lub Microsoft Entra ID | Microsoft Entra ID | Microsoft Entra ID |
| Wynikowy użytkownik uwierzytelnia się w... | Microsoft Entra ID z podasz hasło | Lokalna usługa Active Directory firmy Microsoft Entra ID z tymczasowym dostępem przekazywanym przez przepływy pracy cyklu życia entra | Dzierżawa domowa lub inny dostawca tożsamości | Dzierżawa domowa lub inny dostawca tożsamości |
| Kolejne aktualizacje użytkownika można wykonać za pośrednictwem | Interfejs API programu Graph lub centrum administracyjne firmy Microsoft Entra | Interfejs API programu Graph lub interfejs API ruchu przychodzącego dla ruchu przychodzącego lub centrum administracyjnego firmy Microsoft Entra | Interfejs API programu Graph lub centrum administracyjne firmy Microsoft Entra | Interfejs API programu Graph lub centrum administracyjne firmy Microsoft Entra |
| Cykl życia użytkownika po rozpoczęciu zatrudnienia jest określany przez... | Manual processes | that trigger on based on attribute) | Entitlement management | Automatic assignment using Entitlement management access packages |
| Cykl życia użytkownika po zakończeniu zatrudnienia jest określany przez... | Manual processes |
Pobieranie przepływów pracy cyklu życia odłączania wyzwalanych na podstawie atrybutu employeeLeaveDateTime |
Access reviews | Zarządzanie upoważnieniami po utracie ostatniego przypisania pakietu dostępu przez użytkownika zostaje usunięte |
Zalecana ścieżka szkoleniowa
| # | Learning objective | Guidance |
|---|---|---|
| 1. | Chcesz dowiedzieć się więcej na temat specyfikacji interfejsu API aprowizacji dla ruchu przychodzącego. | Refer to /bulkUpload API spec document. |
| 2. | Chcesz zapoznać się z pojęciami, scenariuszami i ograniczeniami dotyczącymi aprowizacji opartej na interfejsie API. | Zapoznaj się z często zadawanymi pytaniami dotyczącymi aprowizacji przychodzącej opartej na interfejsie API. |
| 3. | As an Admin user, you want to quickly test the inbound provisioning API. | * Tworzenie aplikacji inbound provisioning opartej na interfejsie API * Testowanie interfejsu API przy użyciu Eksploratora programu Graph |
| 4. | Za pomocą konta usługi lub tożsamości zarządzanej chcesz szybko przetestować interfejs API aprowizacji ruchu przychodzącego. | * Tworzenie aplikacji inbound provisioning opartej na interfejsie API * Grant API permissions * Testowanie interfejsu API przy użyciu biblioteki cURL |
| 5. | Chcesz rozszerzyć aplikację aprowizacji opartą na interfejsie API, aby przetworzyć więcej atrybutów niestandardowych. | Zapoznaj się z samouczkiem Rozszerzanie aprowizacji opartej na interfejsie API w celu synchronizacji atrybutów niestandardowych |
| 6. | Chcesz zautomatyzować przekazywanie danych z systemu rekordów do punktu końcowego interfejsu API aprowizacji dla ruchu przychodzącego. | Zapoznaj się z samouczkami * Szybki start z programem PowerShell * Szybki start z usługą Azure Logic Apps |
| 7. | Chcesz rozwiązać problemy z interfejsem API aprowizacji ruchu przychodzącego | Refer to the Troubleshooting guide. |
Zasoby szkoleniowe zewnętrzne
Poniższa zawartość, utworzona przez naszych partnerów i dostawców MVP firmy Microsoft, oferuje dodatkowe wskazówki dotyczące wdrażania i konfigurowania aprowizacji opartej na interfejsie API w różnych scenariuszach integracji.
Video tutorials
- John Savill wyjaśnia , jak działa aprowizowanie oparte na interfejsie API
- Microsoft MVP Nick Ross wyjaśnia , jak skonfigurować aprowizację opartą na interfejsie API
- Microsoft MVP Nick Ross wyjaśnia , jak źródło danych HR z pliku programu Excel w programie SharePoint przy użyciu usługi Power Automate i aprowizacji opartej na interfejsie API
- Seria części programu Microsoft Partner IdentityXP 4 dotycząca aprowizacji opartej na interfejsie API
Wpisy w blogu, prezentacje i inne przydatne linki
- Artykuł Z konferencji Microsoft MVP Pim Jacob wyjaśniający, jak wykonywać aprowizację opartą na interfejsie API bamboo HR w celu lokalna usługa Active Directory
- Prezentacja programu Microsoft MVP Pim Jacoba na temat konfigurowania procesu dołączania i opuszczania przy użyciu przepływów pracy aprowizacji i cyklu życia opartego na interfejsie API
- Artykuł mVP firmy Microsoft Marius Solbakken wyjaśniający , jak pozyskiwać dane programu Excel przy użyciu skryptu programu PowerShell i aprowizacji opartej na interfejsie API
- Artykuł Suryendu Bhattacharyya dotyczący sposobu wywoływania aprowizacji opartej na interfejsie API przy użyciu niestandardowej akcji usługi GitHub
- Szablon Bicep programu Microsoft MVP Jan Vidar Elven na potrzeby aprowizacji opartej na interfejsie API