Worum handelt es sich bei der personalbasierten Bereitstellung?

Personalbasierte Bereitstellung

Die personalbasierte Bereitstellung ist die Erstellung digitaler Identitäten auf der Grundlage eines Personalsystems. Die Personalsysteme werden zur Autoritätsquelle für diese neu erstellten digitalen Identitäten und sind häufig der Ausgangspunkt zahlreicher Bereitstellungsprozesse. Wenn beispielsweise in Ihrem Unternehmen ein neuer Mitarbeiter eingestellt wird, wird er im Personalsystem erstellt. Durch die Erstellung wird die Bereitstellung eines Benutzerkontos in Active Directory ausgelöst, und Microsoft Entra Connect stellt dieses Konto dann für Microsoft Entra ID bereit.

Organisationen können entweder lokale Personalsysteme wie SAP HCM, cloudbasierte Personalsysteme wie SAP SuccessFactors oder Workday oder eine Kombination aus beiden nutzen. In der Vergangenheit wurden bei der Integration in lokale Personalsysteme für die personalbasierte Bereitstellung lokale HR-Tools wie SAP Identity Management (SAP IDM) oder Microsoft Identity Manager (MIM) zum Erstellen von Benutzern in Active Directory verwendet. Microsoft Entra kann auch mit lokalen Personalsystemen verwendet werden, um Benutzer in Active Directory zu erstellen und zu aktualisieren. In Umgebungen ohne Active Directory können mit Microsoft Entra Benutzer in Microsoft Entra ID erstellt und aktualisiert werden.

Lokale personalbasierte Bereitstellung

Bei der lokalen personalbasierten Bereitstellung werden ein lokales Personalsystem und eine Lösung zum Bereitstellen neuer digitaler Identitäten verwendet.

Personalsysteme sind in verschiedenen Paketen und Softwarebündeln erhältlich und können SQL-Server oder -Dateien zum Austausch von Daten mit anderen Systemen verwenden.

Kunden, die SAP Human Capital Management (HCM) verwenden und SAP SuccessFactors besitzen, können Identitäten in Microsoft Entra ID mithilfe der SAP Integration Suite einbringen, um Listen von Mitarbeitenden zwischen SAP HCM und SAP SuccessFactors zu synchronisieren. Von dort aus können Sie Identitäten direkt in die Microsoft Entra ID einbringen oder sie in Active Directory Domain Services bereitstellen.

Diagramm der SAP HR-Integrationen.

Die API-gesteuerte eingehende Bereitstellung von Microsoft Entra ermöglicht Ihnen außerdem die Integration in lokale Personalsysteme. Flatfiles, CSV-Dateien und SQL-Stagingtabellen werden häufig in Unternehmensintegrationsszenarien verwendet. Mitarbeiter-, Auftragnehmer- und Lieferanteninformationen werden regelmäßig in eines dieser Formate exportiert, und es wird ein Automatisierungstool verwendet, um diese Daten mit den Identitätsverzeichnissen des Unternehmens zu synchronisieren. Partner können benutzerdefinierte HR-Connectors erstellen, um verschiedene Integrationsanforderungen für den Datenfluss von Aufzeichnungssystemen zu Microsoft Entra ID zu erfüllen. Mit der API-gesteuerten eingehenden Bereitstellung wird die Integration vereinfacht, da der Microsoft Entra-Bereitstellungsdienst die Verantwortung für Folgendes übernimmt: Durchführung eines Identitätsprofilvergleichs, Beschränkung der Datensynchronisierung auf die von der IT-Administration konfigurierte Bereichslogik und Ausführung des regelbasierten Attributflows sowie der im Microsoft Entra Admin Center verwalteten Transformation.

Diagramm mit API-Workflowszenarien.

Sie können auch Microsoft Identity Manager verwenden, um die Bereitstellung auszulösen, wenn eine neue Identität in einem lokalen HR-System erstellt wird. Mithilfe von MIM können Sie Benutzer aus Ihren lokalen Personalsystemen in Active Directory oder Microsoft Entra ID bereitstellen. Informationen zu Microsoft Identity Manager und zu den unterstützten Systemen finden Sie in der Dokumentation zu Microsoft Identity Manager.

Diagramm: SAP HR-Integrationen in MIM

Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung

In der Vergangenheit haben sich IT-Mitarbeiter zum Erstellen, Aktualisieren und Löschen von Mitarbeitern auf manuelle Methoden verlassen. Zum Synchronisieren von Mitarbeiterdaten wurden Methoden wie das Hochladen von CSV-Dateien oder benutzerdefinierte Skripts verwendet. Diese Bereitstellungsprozesse sind fehleranfällig, unsicher und schwer zu verwalten.

Zum Verwalten der Identitätszyklen von Mitarbeitern, Anbietern oder vorübergehend Beschäftigten bietet der Microsoft Entra-Benutzerbereitstellungsdienst die Integration mit cloudbasierten Anwendungen für das Personalwesen (Human Resources, HR). Als Beispiele sind hier Workday oder SuccessFactors zu nennen.

Microsoft Entra ID nutzt diese Integration, um die folgenden Workflows für HR-Cloudanwendungen (Apps) zu ermöglichen:

  • Bereitstellen von Benutzern in Azure Active Directory: Ausgewählte Benutzergruppen aus einer HR-Cloud-App werden in einer oder mehreren Azure Active Directory-Domänen bereitgestellt.
  • Bereitstellen reiner Cloudbenutzer in Microsoft Entra ID: In den Fällen, in denen Azure Active Directory nicht verwendet wird, werden Benutzer direkt aus der HR-Cloud-App in Microsoft Entra ID bereitgestellt.
  • Rückschreiben in die HR-Cloud-App:E-Mail-Adressen und Benutzernamen-Attribute werden aus Microsoft Entra zurück in die HR-Cloud-App geschrieben.

Unterstützte HR-Szenarien

Der Microsoft Entra-Benutzerbereitstellungsdienst ermöglicht die Automatisierung der folgenden HR-basierten Identity Lifecycle Management-Szenarien:

  • Einstellen neuer Mitarbeiter: Wenn Sie einen neuen Mitarbeiter zur HR-Cloud-App hinzufügen, wird in Azure Active Directory und Microsoft Entra ID automatisch ein Benutzerkonto mit der Option erstellt, E-Mail-Adress- und Benutzernamenattribute in die HR-Cloud-App rückzuschreiben.
  • Aktualisieren von Mitarbeiterattributen und -profilen: Wenn Sie in der HR-Cloud-App einen Mitarbeiterdatensatz wie beispielsweise Name, Titel oder Vorgesetzter aktualisieren, wird das entsprechende Benutzerkonto automatisch in Active Directory und Microsoft Entra ID aktualisiert.
  • Kündigen von Mitarbeitern: Wenn Sie das Arbeitsverhältnis eines Mitarbeiters in der HR-Cloud-App beenden, wird das entsprechende Benutzerkonto in Active Directory und Microsoft Entra automatisch deaktiviert.
  • Erneutes Einstellen von Mitarbeitern: Wenn Sie einen Mitarbeiter in der HR-Cloud-App erneut einstellen, kann sein altes Konto in Active Directory und Microsoft Entra ID automatisch reaktiviert bzw. erneut bereitgestellt werden.

Für wen ist diese Integration am besten geeignet?

Die Integration der HR-Cloud-App mit der MIcrosoft Entra-Benutzerbereitstellung ist ideal für Unternehmen geeignet, für die Folgendes gilt:

  • Sie wünschen sich eine vorgefertigte, cloudbasierte Lösung für die HR-Benutzerbereitstellung in der Cloud.
  • Benutzer müssen direkt aus der HR-Cloud-App in Active Directory oder Microsoft Entra ID bereitgestellt werden.
  • Benutzer müssen mithilfe von Daten bereitgestellt werden, die aus der HR-Cloud-App abgerufen werden.
  • Benutzer müssen bei Einstellungen, Wechseln und Kündigungen nur auf Grundlage von Änderungsinformationen, die in der HR-Cloud-App erkannt werden, mit einer oder mehreren Azure Active Directory-Gesamtstrukturen, -Domänen und -Organisationseinheiten synchronisiert werden.
  • Sie verwenden Office 365 für E-Mail-Funktionen.

Hauptvorteile

Diese Funktion der vom Personalwesen (HR) gesteuerten IT-Bereitstellung bietet erhebliche Geschäftsvorteile, wie nachfolgend aufgeführt:

  • Produktivitätssteigerung: Sie können jetzt die Zuweisung von Benutzerkonten und Office 365-Lizenzen automatisieren und den Zugriff auf Schlüsselgruppen ermöglichen. Durch die Automatisierung von Zuweisungen haben Neueinstellungen sofortigen Zugriff auf ihre Arbeitstools, und die Produktivität erhöht sich.
  • Risikomanagement: Sie können die Sicherheit erhöhen, indem Sie Änderungen anhand von Mitarbeiterstatus oder Gruppenmitgliedschaft mit Daten, die aus der HR-Cloud-App einfließen, automatisieren. Die Automatisierung von Änderungen stellt sicher, dass Benutzeridentitäten und der Zugriff auf wichtige Anwendungen automatisch aktualisiert werden, wenn Benutzer innerhalb des Unternehmen wechseln oder es verlassen.
  • Erfüllung von Compliance und Governance: Microsoft Entra ID unterstützt native Überwachungsprotokolle für Anforderungen zur Benutzerbereitstellung, die von Apps sowohl von Quell- als auch von Zielsystemen ausgeführt werden. Durch die Überwachung können Sie über einen einzigen Bildschirm nachverfolgen, wer Zugriff auf die Apps hat.
  • Kostenmanagement: Durch Vermeiden von Ineffizienzen und menschlichen Fehlern, die bei einer manuellen Bereitstellung entstehen, reduziert die automatische Benutzerbereitstellung die Kosten. Sie reduziert auch den Bedarf an benutzerdefiniert entwickelten Lösungen für die Benutzerbereitstellung, die im Laufe der Zeit mithilfe älterer und veralteter Plattformen erstellt wurden.

Verwalten von Lebenszyklus-Workflows für Zugang/Wechsel/Abgang

Sie können Ihren personalbasierten Bereitstellungsprozess erweitern, um Geschäftsprozesse und Sicherheitskontrollen im Zusammenhang mit Neueinstellung, Personalwechsel und Beendigung des Arbeitsverhältnisses weiter zu automatisieren. Mit Microsoft Entra ID Governance-Lebenszyklus-Workflows können Sie etwa folgende Workflows für Zugang/Wechsel/Abgang konfigurieren:

  • „X“ Tage vor dem Eintrittsdatum des neuen Mitarbeiters wird eine E-Mail an den Vorgesetzten gesendet, der Benutzer wird Gruppen hinzugefügt, und ein befristeter Zugriffspass für die erste Anmeldung wird generiert.
  • Wenn sich die Abteilung, die Position oder die Gruppenmitgliedschaft eines Benutzers ändert, wird eine benutzerdefinierte Aufgabe gestartet.
  • Am letzten Arbeitstag wird eine E-Mail an den Vorgesetzten gesendet, und der Benutzer wird aus Gruppen und Lizenzzuweisungen entfernt.
  • „X“ Tage nach Beendigung des Arbeitsverhältnisses wird der Benutzer aus Microsoft Entra ID gelöscht.

Nächste Schritte