Concepts d’approvisionnement entrant pilotés par les API

Ce document fournit une présentation conceptuelle du provisionnement des utilisateurs entrants piloté par l'API Microsoft Entra.

Introduction

Aujourd’hui, les entreprises disposent de divers systèmes d’enregistrement faisant autorité. Pour établir un cycle de vie des identités de bout en bout, renforcer la sécurité et rester conforme aux réglementations, les données d'identité dans Microsoft Entra ID doivent être synchronisées avec les données de main-d'œuvre gérées dans ces systèmes d'enregistrement. Le système d'enregistrement peut être une application RH, une application de paie, une feuille de calcul ou des tables SQL dans une base de données hébergée sur site ou dans le cloud.

Grâce au provisionnement entrant piloté par API, le service de provisionnement Microsoft Entra prend désormais en charge l'intégration avec n'importe quel système d'enregistrement. Les clients et les partenaires peuvent utiliser n'importe quel outil d'automatisation de leur choix pour récupérer les données de main-d'œuvre du système d'enregistrement et les ingérer dans Microsoft Entra ID. L’administrateur informatique a un contrôle total sur la façon dont les données sont traitées et transformées avec des mappages d’attributs. Une fois que les données sur la main-d'œuvre sont disponibles dans Microsoft Entra ID, l'administrateur informatique peut configurer les processus métier appropriés pour les arrivées, les déménagements et les départs à l'aide des workflows du cycle de vie.

Scénarios pris en charge

Plusieurs scénarios d’approvisionnement d’utilisateurs entrants sont activés à l’aide de l’approvisionnement entrant piloté par les API. Ce diagramme illustre les scénarios les plus courants.

Diagramme montrant des scénarios de flux de travail d’API.

Scénario 1 : Permettre aux équipes informatiques d’importer des extraits de données RH à l’aide de n’importe quel outil d’automatisation

Les fichiers plats, les fichiers CSV et les tables intermédiaires SQL sont couramment utilisés dans les scénarios d’intégration d’entreprise. Les informations sur les employés, les sous-traitants et les fournisseurs sont périodiquement exportées dans l'un de ces formats et un outil d'automatisation est utilisé pour synchroniser ces données avec les répertoires d'identités de l'entreprise. Avec l’approvisionnement entrant piloté par les API, les équipes informatiques peuvent utiliser n’importe quel outil d’automatisation de leur choix (par exemple : scripts PowerShell ou Azure Logic Apps) pour moderniser et simplifier cette intégration.

Scénario 2 : permettre aux éditeurs de logiciels indépendants de créer une intégration directe avec Microsoft Entra ID

Grâce au provisionnement entrant piloté par API, les éditeurs de logiciels RH peuvent proposer des expériences de synchronisation natives afin que les modifications apportées au système RH soient automatiquement transmises à Microsoft Entra ID et aux domaines Active Directory sur site connectés. Par exemple, une application RH ou une application de système d'information sur les étudiants peut envoyer des données à Microsoft Entra ID dès qu'une transaction est terminée ou sous forme de mise à jour groupée de fin de journée.

Scénario 3 : Permettre aux intégrateurs de systèmes de créer plus de connecteurs aux systèmes d’enregistrement

Les partenaires peuvent créer des connecteurs RH personnalisés pour répondre à différentes exigences d'intégration autour du flux de données depuis les systèmes d'enregistrement vers Microsoft Entra ID.

Dans tous les scénarios ci-dessus, l'intégration est simplifiée car le service de provisionnement Microsoft Entra assume la responsabilité d'effectuer la comparaison des profils d'identité, de limiter la synchronisation des données à la logique de portée configurée par l'administrateur informatique et d'exécuter le flux d'attributs et la transformation basés sur des règles gérés dans le centre d'administration Microsoft Entra.

Flux de bout en bout

Diagramme du flux de travail de bout en bout de l’approvisionnement entrant.

Étapes du flux de travail

  1. L'administrateur informatique configure une application de provisionnement d'utilisateurs entrants pilotée par API à partir de la galerie Microsoft Entra Enterprise App.
  2. L'administrateur informatique accorde des autorisations d'accès et fournit les détails d'accès au point de terminaison au développeur/partenaire/intégrateur système de l'API.
  3. Le développeur/partenaire/intégrateur système d’API crée un client API pour envoyer des données d’identité faisant autorité à Microsoft Entra ID.
  4. Le client API lit les données d’identité à partir de la source faisant autorité.
  5. Le client API envoie une requête POST au point de terminaison d’API d’approvisionnement /bulkUpload associé à l’application d’approvisionnement.

    Notes

    Le client API n’a pas besoin d’effectuer des comparaisons entre les attributs source et les valeurs d’attribut cible pour déterminer l’opération (créer/mettre à jour/activer/désactiver) à appeler. Cela est géré automatiquement par le service configuré. Le client API charge simplement les données d’identité lues à partir du système source en les empaquetant en tant que requête en bloc à l’aide de constructions de schéma SCIM.

  6. En cas de réussite, un Accepted 202 Status est retourné.
  7. Le service de provisionnement Microsoft Entra traite les données reçues, applique les règles de mappage d'attributs et termine le provisionnement des utilisateurs.
  8. En fonction de l'application de provisionnement configurée, l'utilisateur est provisionné soit dans Active Directory sur site (pour les utilisateurs hybrides), soit dans Microsoft Entra ID (pour les utilisateurs cloud uniquement).
  9. Le client API interroge ensuite le point de terminaison d’API des journaux d’approvisionnement pour déterminer l’état de chaque enregistrement envoyé.
  10. Si le traitement d’un enregistrement échoue, le client API peut vérifier les détails de l’erreur et inclure les enregistrements correspondant aux opérations ayant échoué dans la requête en bloc suivante (étape 5).
  11. À tout moment, l’administrateur informatique peut vérifier le statut du travail d’approvisionnement et afficher les événements dans les journaux d’approvisionnement.

Principales fonctionnalités du provisionnement d’utilisateurs entrants piloté par les API

  • Disponible en tant qu'application d'approvisionnement qui expose un point de terminaison asynchrone de l'API d'approvisionnement /bulkUpload Microsoft Graph accessible à l'aide d'un jeton OAuth valide.
  • Les administrateurs de locataire doivent accorder aux clients d’API qui interagissent avec cette application d’approvisionnement l’autorisation SynchronizationData-User.UploadGraph.
  • Le point de terminaison API Graph accepte les charges utiles de requête en bloc valides à l’aide de constructions de schéma SCIM.
  • Avec les extensions de schéma SCIM, vous pouvez envoyer n’importe quel attribut dans la charge utile de requête en bloc.
  • La limite de débit pour l’API d’approvisionnement entrant est de 40 requêtes de chargement en bloc par seconde. Chaque requête en bloc peut contenir un maximum de 50 enregistrements utilisateur, ce qui prend en charge un taux de chargement de 2 000 enregistrements par seconde.
  • Chaque point de terminaison d'API est associé à une application de provisionnement spécifique dans Microsoft Entra ID. Vous pouvez intégrer plusieurs sources de données en créant une application d’approvisionnement pour chaque source de données.
  • Les charges utiles des requêtes en bloc entrantes sont traitées en quasi temps réel.
  • Les administrateurs peuvent vérifier la progression de l’approvisionnement en consultant les journaux d’approvisionnement.
  • Les clients d’API peuvent suivre la progression en interrogeant l’API journaux d’approvisionnement.

Conditions de licence :

Cette fonctionnalité est disponible avec les licences Microsoft Entra ID P1, P2 et Gouvernance Microsoft Entra ID. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.

Conseils d'utilisation de l'API

Le point de terminaison de l'API /bulkUpload augmente le nombre de façons dont vous pouvez gérer les utilisateurs dans Microsoft Entra ID. Pour vous aider à déterminer si le point de terminaison de l'API /bulkUpload convient à votre scénario d'intégration, reportez-vous à ce tableau qui le compare à d'autres options d'intégration basées sur l'API.

Utiliser le scénario de cas pour le mappage d'API API de création d'utilisateurs API RH entrante en masse API d'invitation d'utilisateur API d’affectation directe
Lorsque votre scénario de création d'identité est... Création d'un utilisateur ad hoc dans Microsoft Entra ID pour un utilisateur non associé à un collaborateur dans une source RH Vous recherchez les dossiers des employés auprès d'une source RH faisant autorité et vous souhaitez que ces employés aient des comptes « membre » dans Microsoft Entra ID ou dans Active Directory local Création d'un utilisateur invité ad hoc dans Microsoft Entra ID, à des fins de partage, où l'invité dispose de droits d'accès uniques Affectation d’accès pour les utilisateurs existants et (préversion) création d’invités dans Microsoft Entra ID pour octroyer au nouvel invité un accès normalisé
...utiliser l'API... Créer un utilisateur Effectuer bulkUpload. Créer une invitation Créer accessPackageAssignmentRequest
L'utilisateur résultant est d'abord créé dans... Microsoft Entra ID Active Directory local ou Microsoft Entra ID Microsoft Entra ID Microsoft Entra ID
L'utilisateur résultant s'authentifie auprès de... Microsoft Entra ID, avec le mot de passe que vous fournissez Active Directory local de Microsoft Entra ID, avec un Passe d'accès temporaire fourni par les workflows de cycle de vie Entra Locataire du domicile ou autre fournisseur d’identité Locataire du domicile ou autre fournisseur d’identité
Les mises à jour ultérieures de l'utilisateur peuvent être effectuées via API Graph ou centre d’administration Microsoft Entra API Graph ou API HR inbound bulk ou centre d’administration Microsoft Entra API Graph ou centre d’administration Microsoft Entra API Graph ou centre d’administration Microsoft Entra
Le cycle de vie de l'utilisateur au début de son emploi est déterminé par... Processus manuels Flux de travail du cycle de vie d'intégration Entra qui se déclenchent en fonction de l'attribut employeeHireDate Gestion des droits d’utilisation Attribution automatique à l'aide des packages d'accès à la gestion des droits d’utilisation
Le cycle de vie de l'utilisateur à la fin de son emploi est déterminé par... Processus manuels Flux de travail du cycle de vie de déconnexion entrant qui se déclenchent en fonction de l'attribut employeeLeaveDateTime Révisions d’accès Gestion des droits lorsque l'utilisateur perd sa dernière attribution de package d'accès, il est supprimé
# Objectif d’apprentissage Guidance
1. Vous souhaitez en savoir plus sur les spécifications de l'API de provisionnement entrant. Reportez-vous au document de spécification de l'API /bulkUpload.
2. Vous souhaitez vous familiariser avec les concepts, les scénarios et les limitations de l'approvisionnement piloté par l'API. Reportez-vous à la Foire aux questions sur le provisionnement entrant piloté par l'API.
3. En tant qu'utilisateur administrateur, vous souhaitez tester rapidement l'API de provisionnement entrant. * Créer une application de provisionnement entrant pilotée par l'API
* Tester l'API à l'aide de l'explorateur Microsoft Azure Active Directory Graph
4. Avec un compte de service ou une identité gérée, vous souhaitez tester rapidement l'API de provisionnement entrant. * Créer une application de provisionnement entrant pilotée par l'API
* Accorder des autorisations d'API
* Tester l’API à l’aide de cURL
5. Vous souhaitez étendre l'application de provisionnement basée sur l'API pour traiter davantage d'attributs personnalisés. Reportez-vous au didacticiel Étendre le provisionnement piloté par l'API pour synchroniser les attributs personnalisés
6. Vous souhaitez automatiser le chargement des données depuis votre système d'enregistrement vers le point de terminaison de l'API de provisionnement entrant. Reportez-vous aux tutoriels
* Démarrage rapide avec PowerShell
* Démarrage rapide avec Azure Logic Apps
7. Vous souhaitez résoudre les problèmes d'API de provisionnement entrant Reportez-vous au Guide de dépannage.

Ressources d'apprentissage externes

Le contenu suivant, créé par nos partenaires et Microsoft MVP, offre des conseils supplémentaires sur la façon de déployer et de configurer le provisionnement piloté par API pour divers scénarios d'intégration.

Étapes suivantes