Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este documento fornece uma visão geral conceitual do provisionamento de usuário de entrada orientado pela API do Microsoft Entra.
Introduction
Hoje em dia, as empresas dispõem de vários sistemas de registo autorizados. Para estabelecer o ciclo de vida de identidade de ponta a ponta, fortalecer a postura de segurança e permanecer em conformidade com as regulamentações, os dados de identidade no Microsoft Entra ID devem ser mantidos em sincronia com os dados da força de trabalho gerenciados nesses sistemas de registro. O sistema de registro pode ser um aplicativo de RH, um aplicativo de folha de pagamento, uma planilha ou tabelas SQL em um banco de dados hospedado no local ou na nuvem.
With API-driven inbound provisioning, the Microsoft Entra provisioning service now supports integration with any system of record. Customers and partners can use any automation tool of their choice to retrieve workforce data from the system of record and ingest it into Microsoft Entra ID. O administrador de TI tem controle total sobre como os dados são processados e transformados com mapeamentos de atributos. Once the workforce data is available in Microsoft Entra ID, the IT admin can configure appropriate joiner-mover-leaver business processes using Lifecycle Workflows.
Supported scenarios
Vários cenários de provisionamento de usuário de entrada são habilitados usando o provisionamento de entrada controlado por API. Este diagrama demonstra os cenários mais comuns.
Cenário 1: Permitir que as equipes de TI importem extrações de dados de RH usando qualquer ferramenta de automação
Arquivos simples, arquivos CSV e tabelas de preparo SQL são comumente usados em cenários de integração empresarial. As informações de funcionários, contratantes e fornecedores são exportadas periodicamente para um desses formatos e uma ferramenta de automação é usada para sincronizar esses dados com diretórios de identidade corporativa. Com o provisionamento de entrada orientado por API, as equipes de TI podem usar qualquer ferramenta de automação de sua escolha (por exemplo: scripts do PowerShell ou Aplicativos Lógicos do Azure) para modernizar e simplificar essa integração.
Cenário 2: Habilitar ISVs para criar integração direta com o Microsoft Entra ID
Com o provisionamento de entrada orientado por API, os ISVs de RH podem enviar experiências de sincronização nativas para que as alterações no sistema de RH fluam automaticamente para o ID do Microsoft Entra e para domínios do Ative Directory locais conectados. Por exemplo, um aplicativo de RH ou um aplicativo de sistemas de informações para estudantes pode enviar dados para o Microsoft Entra ID assim que uma transação for concluída ou como atualização em massa no final do dia.
Cenário 3: Permitir que os integradores de sistemas criem mais conectores para sistemas de registro
Os parceiros podem criar conectores de RH personalizados para atender a diferentes requisitos de integração em torno do fluxo de dados de sistemas de registro para o Microsoft Entra ID.
Em todos os cenários acima, a integração é simplificada à medida que o serviço de provisionamento do Microsoft Entra assume a responsabilidade de executar a comparação de perfil de identidade, restringir a sincronização de dados à lógica de escopo configurada pelo administrador de TI e executar o fluxo de atributos baseado em regras e a transformação gerenciada no centro de administração do Microsoft Entra.
End-to-end flow
Etapas do fluxo de trabalho
- O administrador de TI configura um aplicativo de provisionamento de usuário de entrada orientado por API na galeria do Microsoft Entra Enterprise App.
- O administrador de TI concede permissões de acesso e fornece detalhes de acesso ao endpoint para o desenvolvedor/parceiro/integrador de sistemas da API.
- O desenvolvedor/parceiro/integrador de sistema da API cria um cliente de API para enviar dados de identidade autoritativos para o ID do Microsoft Entra.
- O cliente de API lê dados de identidade da fonte autorizada.
- The API client sends a POST request to provisioning /bulkUpload API endpoint associated with the provisioning app.
Note
O cliente de API não precisa realizar comparações entre os atributos de origem e os valores de atributo de destino para determinar qual operação (criar/atualizar/habilitar/desabilitar) invocar. Isso é tratado automaticamente pelo serviço de provisionamento. O cliente de API simplesmente carrega os dados de identidade lidos do sistema de origem, empacotando-os como solicitação em massa usando construções de esquema SCIM.
- Se for bem-sucedido, um
Accepted 202 Statusserá retornado. - O serviço de provisionamento do Microsoft Entra processa os dados recebidos, aplica as regras de mapeamento de atributos e conclui o provisionamento do usuário.
- Dependendo do aplicativo de provisionamento configurado, o usuário é provisionado no Ative Directory local (para usuários híbridos) ou no Microsoft Entra ID (para usuários somente na nuvem).
- Em seguida, o Cliente de API consulta o ponto de extremidade da API de logs de provisionamento para obter o status de cada registro enviado.
- Se o processamento de qualquer registro falhar, o cliente de API poderá verificar os detalhes do erro e incluir registros correspondentes às operações com falha na próxima solicitação em massa (etapa 5).
- A qualquer momento, o administrador de TI pode verificar o status do trabalho de provisionamento e exibir eventos nos logs de provisionamento.
Principais recursos do provisionamento de usuário de entrada orientado por API
- Available as a provisioning app that exposes an asynchronous Microsoft Graph provisioning /bulkUpload API endpoint accessed using valid OAuth token.
- Os administradores de locatários devem conceder aos clientes de API que interagem com esse aplicativo de provisionamento as permissões
SynchronizationData-User.UploadGraph ,SynchronizationData-User.Upload.OwnedBy(para ISVs) eProvisioningLog.Read.All. - O ponto de extremidade da API do Graph aceita cargas úteis de solicitação em massa válidas usando construções de esquema SCIM.
- Com as extensões de esquema SCIM, você pode enviar qualquer atributo na carga útil de solicitação em massa.
- O
/bulkUploadponto de extremidade da API impõe os seguintes limites de limitação:- Há um limite de 40 chamadas de API em qualquer janela de 5 segundos. Se esse limite for excedido, o serviço retornará uma resposta HTTP 429 (muitas solicitações). Para evitar a limitação, implemente a lógica de ritmo no cliente para espaçar as solicitações, como adicionar atrasos ou manipulação de limite de taxa entre envios.
- Há um limite de nível de locatário de 2.000 chamadas de API por período de 24 horas sob a licença Entra ID P1/P2 e 6.000 chamadas de API sob a licença Entra ID Governance. Exceder esses limites resulta em uma resposta HTTP 429 (muitas solicitações). Para permanecer dentro da cota, certifique-se de que suas cargas úteis em massa SCIM sejam otimizadas para incluir até 50 operações por chamada de API.
- Cada ponto de extremidade da API está associado a um aplicativo de provisionamento específico na ID do Microsoft Entra. Você pode integrar várias fontes de dados criando um aplicativo de provisionamento para cada fonte de dados.
- As cargas úteis recebidas em massa são processadas quase em tempo real.
- Admins can check provisioning progress by viewing the provisioning logs.
- Os clientes de API podem acompanhar o progresso consultando a API de logs de provisionamento.
License requirements
Este recurso está disponível com as licenças Microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.
Diretrizes de uso da API
O /bulkUpload ponto de extremidade da API expande o número de maneiras que você pode gerenciar usuários no Microsoft Entra ID. Para ajudá-lo a determinar se o ponto de extremidade da /bulkUpload API é adequado para o seu cenário de integração, consulte esta tabela que o compara com outras opções de integração baseadas em API.
| Cenário de caso de uso para mapeamento de API | API de criação de usuários | API em massa de entrada de RH | API de convite do usuário | API de atribuição direta |
|---|---|---|---|---|
| Quando o seu cenário de criação de identidade é... | Criação de usuário ad-hoc no Microsoft Entra ID para um usuário não associado a nenhum trabalhador em uma fonte de RH | Fornecer registros de funcionários de uma fonte de RH autorizada e você deseja que esses funcionários tenham contas de "membro" no ID do Microsoft Entra ou no Ative Directory local | Criação de usuário convidado ad-hoc no Microsoft Entra ID, para fins de compartilhamento, onde o convidado tem direitos de acesso exclusivos | Atribuição de acesso para usuários existentes e (visualização) criação de convidado no Microsoft Entra ID, para dar ao novo convidado acesso padronizado |
| ... use a API... | Create user | Perform bulkUpload. | Create invitation | Create accessPackageAssignmentRequest |
| O usuário resultante é criado pela primeira vez em... | Microsoft Entra ID | Ative Directory local ou ID do Microsoft Entra | Microsoft Entra ID | Microsoft Entra ID |
| O usuário resultante se autentica em... | Microsoft Entra ID, com a senha que você fornecer | Ative Directory local da ID do Microsoft Entra, com um Passe de Acesso Temporário fornecido pelos fluxos de trabalho do Ciclo de Vida do Entra | Inquilino residencial ou outro fornecedor de identidade | Inquilino residencial ou outro fornecedor de identidade |
| Atualizações subsequentes para o usuário podem ser feitas via | Graph API ou centro de administração do Microsoft Entra | API gráfica ou API em massa de entrada de RH ou centro de administração do Microsoft Entra | Graph API ou centro de administração do Microsoft Entra | Graph API ou centro de administração do Microsoft Entra |
| O ciclo de vida do usuário quando seu emprego começa, é determinado por... | Manual processes |
Fluxos de trabalho do ciclo de vida de integração do Entra que são acionados com base no employeeHireDate atributo |
Entitlement management | Automatic assignment using Entitlement management access packages |
| O ciclo de vida do usuário quando seu emprego é encerrado é determinado por... | Manual processes |
Entra fluxos de trabalho do ciclo de vida offboarding que são acionados com base no employeeLeaveDateTime atributo |
Access reviews | Gerenciamento de direitos Quando o usuário perde sua última atribuição de pacote de acesso, ele é removido |
Percurso de aprendizagem recomendado
| # | Learning objective | Guidance |
|---|---|---|
| 1. | Você deseja saber mais sobre as especificações da API de provisionamento de entrada. | Refer to /bulkUpload API spec document. |
| 2. | Você deseja se familiarizar mais com os conceitos, cenários e limitações de provisionamento orientados por API. | Consulte Perguntas frequentes sobre provisionamento de entrada orientado por API. |
| 3. | As an Admin user, you want to quickly test the inbound provisioning API. | * Criar aplicativo de provisionamento de entrada orientado por API * API de teste usando o Graph Explorer |
| 4. | Com uma conta de serviço ou identidade gerenciada, você deseja testar rapidamente a API de provisionamento de entrada. | * Criar aplicativo de provisionamento de entrada orientado por API * Grant API permissions * API de teste usando cURL |
| 5. | Você deseja estender o aplicativo de provisionamento controlado por API para processar mais atributos personalizados. | Consulte o tutorial Estender o provisionamento controlado por API para sincronizar atributos personalizados |
| 6. | Você deseja automatizar o upload de dados do seu sistema de registro para o ponto de extremidade da API de provisionamento de entrada. | Consulte os tutoriais * Início rápido com o PowerShell * Início rápido com os Aplicativos Lógicos do Azure |
| 7. | Você deseja solucionar problemas de API de provisionamento de entrada | Refer to the Troubleshooting guide. |
Recursos de aprendizagem externos
O conteúdo a seguir, criado por nossos parceiros e MVPs da Microsoft, oferece orientação extra sobre como implantar e configurar o provisionamento controlado por API para vários cenários de integração.
Video tutorials
- John Savill explica como funciona o provisionamento orientado por API
- Nick Ross, MVP da Microsoft, explica como configurar o provisionamento controlado por API
- Nick Ross, MVP da Microsoft, explica como obter dados de RH de um arquivo do Excel no SharePoint usando o Power Automate e o provisionamento orientado por API
- Série de 4 partes do parceiro Microsoft IdentityXP sobre provisionamento controlado por API
Entradas de blogue, apresentações e outras ligações úteis
- Artigo do Microsoft MVP Pim Jacob explicando como executar o provisionamento orientado por API do Bamboo HR para o Ative Directory local
- Apresentação do Microsoft MVP Pim Jacob sobre como configurar o processo de marceneiro e leaver usando provisionamento orientado por API e fluxos de trabalho de ciclo de vida
- Artigo do Microsoft MVP Marius Solbakken explicando como originar dados do Excel usando script do PowerShell e provisionamento controlado por API
- Artigo de Suryendu Bhattacharyya sobre como invocar o provisionamento de condução de API usando a ação personalizada do GitHub
- Modelo Bicep do Microsoft MVP jan Vidar Elven para provisionamento controlado por API