Основные понятия подготовки на основе API, управляемого входящего трафика
В этом документе представлен обзор подготовки входящих пользователей на основе API Microsoft Entra.
Введение
Сегодня предприятия имеют различные авторитетные системы записи. Чтобы установить комплексный жизненный цикл удостоверений, укрепить состояние безопасности и обеспечить соответствие нормативным требованиям, данные удостоверений в идентификаторе Microsoft Entra ID должны быть синхронизированы с данными рабочей силы, управляемыми в этих системах записей. Система записей может быть приложением отдела кадров, приложением для оплаты труда, электронной таблицей или таблицами SQL в базе данных, размещенной в локальной или облачной среде.
Благодаря входящей подготовке, управляемой API, служба подготовки Microsoft Entra теперь поддерживает интеграцию с любой системой записей. Клиенты и партнеры могут использовать любое средство автоматизации для получения данных рабочей силы из системы записей и приема их в идентификатор Microsoft Entra. ИТ-администратор имеет полный контроль над обработкой и преобразованием данных с помощью сопоставлений атрибутов. После того как данные рабочей силы будут доступны в идентификаторе Microsoft Entra, ИТ-администратор может настроить соответствующие бизнес-процессы joiner-mover-leaver с помощью рабочих процессов жизненного цикла.
Поддерживаемые сценарии
Несколько сценариев подготовки входящих пользователей включены с помощью входящего трафика, управляемого API. На этой схеме показаны наиболее распространенные сценарии.
Сценарий 1. Включение ИТ-команд для импорта данных отдела кадров с помощью любого средства автоматизации
Неструктурированные файлы, CSV-файлы и промежуточные таблицы SQL обычно используются в сценариях интеграции предприятия. Сведения о сотрудниках, подрядчиках и поставщиках периодически экспортируются в один из этих форматов, а средство автоматизации используется для синхронизации этих данных с корпоративными каталогами удостоверений. С помощью входящего подготовки на основе API ИТ-отделы могут использовать любой инструмент автоматизации по своему выбору (например, скрипты PowerShell или Azure Logic Apps) для модернизации и упрощения этой интеграции.
Сценарий 2. Включение прямых интеграции поставщиков программного обеспечения с идентификатором Microsoft Entra
С помощью входящего подготовки на основе API поставщики программного обеспечения могут отправлять собственные возможности синхронизации, чтобы изменения в системе кадров автоматически втекали в идентификатор Microsoft Entra и подключенные домены локальная служба Active Directory. Например, приложение отдела кадров или приложение для информационных систем учащихся может отправлять данные в идентификатор Microsoft Entra, как только транзакция завершена или в течение полного массового обновления.
Сценарий 3. Включение системных интеграторов для создания дополнительных соединителей в системах записей
Партнеры могут создавать пользовательские соединители кадров для удовлетворения различных требований интеграции вокруг потока данных из систем записи в идентификатор Microsoft Entra ID.
Во всех описанных выше сценариях интеграция упрощается, так как служба подготовки Microsoft Entra берет на себя ответственность за сравнение профилей удостоверений, ограничение синхронизации данных на логику области, настроенную ИТ-администратором, и выполнение потока атрибутов на основе правил и преобразования, управляемого в Центре администрирования Microsoft Entra.
Полный поток процесса
Шаги рабочего процесса
- ИТ-администратор настраивает приложение подготовки пользователей на основе API из коллекции приложений Microsoft Entra Enterprise.
- ИТ-администратор предоставляет разрешения на доступ и предоставляет сведения о доступе к конечной точке разработчику ИЛИ партнеру или системной интегратору API.
- Разработчик API/ партнер или системный интегратор создает клиент API для отправки достоверных данных удостоверения в идентификатор Microsoft Entra.
- Клиент API считывает данные удостоверения из авторитетного источника.
- Клиент API отправляет запрос POST на подготовку конечной точки API /bulkUpload , связанной с приложением подготовки.
Примечание.
Клиент API не должен выполнять никаких сравнений между исходными атрибутами и целевыми значениями атрибутов, чтобы определить, какая операция (create/update/enable/disable) должна вызываться. Это автоматически обрабатывается службой подготовки. Клиент API просто отправляет данные удостоверения, считываемые из исходной системы, упаковав его в виде массового запроса с помощью конструкций схемы SCIM.
- В случае успешного выполнения возвращается объект
Accepted 202 Status
. - Служба подготовки Microsoft Entra обрабатывает полученные данные, применяет правила сопоставления атрибутов и завершает подготовку пользователей.
- В зависимости от настроенного приложения подготовки пользователь подготавливается либо в локальная служба Active Directory (для гибридных пользователей), либо в идентификатор Microsoft Entra (только для облачных пользователей).
- Затем клиент API запрашивает конечную точку API журналов подготовки для состояния каждой записи, отправленной.
- Если обработка любой записи завершается ошибкой, клиент API может проверить сведения об ошибке и включить записи, соответствующие неудачным операциям в следующем массовом запросе (шаг 5).
- В любое время ИТ-администратор может проверить состояние задания подготовки и просмотреть события в журналах подготовки.
Ключевые функции входящего подготовки пользователей на основе API
- Доступно в качестве приложения подготовки, которое предоставляет асинхронную конечную точку API /bulkUpload API Microsoft Graph, доступ к ней с использованием допустимого маркера OAuth.
- Администраторы клиента должны предоставить клиентам API, взаимодействующим с этим приложением подготовки, разрешение
SynchronizationData-User.Upload
Graph. - Конечная точка API Graph принимает допустимые полезные данные массового запроса с помощью конструкций схемы SCIM.
- С помощью расширений схемы SCIM можно отправлять любой атрибут в полезных данных массового запроса.
- Ограничение скорости для API подготовки для входящего трафика составляет 40 запросов массовой отправки в секунду. Каждый массовый запрос может содержать не более 50 записей пользователей, тем самым поддерживая скорость отправки 2000 записей в секунду.
- Каждая конечная точка API связана с определенным приложением подготовки в идентификаторе Microsoft Entra. Вы можете интегрировать несколько источников данных, создав приложение подготовки для каждого источника данных.
- Полезные данные входящих массовых запросов обрабатываются практически в режиме реального времени.
- Администраторы могут проверить ход подготовки, просмотрев журналы подготовки.
- Клиенты API могут отслеживать ход выполнения, запрашивая API подготовки журналов.
Требования к лицензиям
Эта функция доступна с лицензиями Microsoft Entra ID P1, P2 и Управление идентификацией Microsoft Entra. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Руководство по использованию API
Конечная /bulkUpload
точка API расширяет количество способов управления пользователями в идентификаторе Microsoft Entra. Чтобы определить, подходит ли /bulkUpload
конечная точка API для сценария интеграции, см. в этой таблице, которая сравнивает ее с другими параметрами интеграции на основе API.
Сценарий использования для сопоставления API | API создания пользователей | API для входящего трафика кадров | API приглашения пользователей | API прямого назначения |
---|---|---|---|---|
Когда сценарий создания удостоверений... | Создание нерегламентированного пользователя в идентификаторе Microsoft Entra для пользователя, не связанного с какой-либо рабочей ролью в источнике кадров | Получение записей сотрудников из авторитетного источника кадров, и вы хотите, чтобы эти сотрудники имели учетные записи участников в идентификаторе Microsoft Entra или локальная служба Active Directory | Создание нерегламентированного гостевого пользователя в идентификаторе Microsoft Entra в целях общего доступа, где у гостя есть уникальные права доступа | Назначение доступа для существующих пользователей и (предварительная версия) гостевого создания в идентификаторе Microsoft Entra ID для предоставления нового гостевого стандартизированного доступа |
... используйте API... | Создание пользователя | Выполнение bulkUpload. | Создание приглашения | Создание accessPackageAssignmentRequest |
Полученный пользователь сначала создается в... | Microsoft Entra ID | Локальный идентификатор Active Directory или Microsoft Entra | Microsoft Entra ID | Microsoft Entra ID |
Результирующий пользователь проходит проверку подлинности в... | Идентификатор Microsoft Entra с указанным паролем | Локальный Active Directory идентификатора Microsoft Entra с временным проходом доступа, предоставляемым рабочими процессами жизненного цикла записи | Домашний клиент или другой поставщик удостоверений | Домашний клиент или другой поставщик удостоверений |
Последующие обновления пользователя можно выполнить с помощью | API Graph или Центр администрирования Microsoft Entra | API Graph или API для входящего трафика входящего трафика или Центр администрирования Microsoft Entra | API Graph или Центр администрирования Microsoft Entra | API Graph или Центр администрирования Microsoft Entra |
Жизненный цикл пользователя при запуске их трудоустройства определяется... | Ручные процессы | Рабочие процессы жизненного цикла записей, которые активируются на основе атрибута employeeHireDate |
Управление правами | Автоматическое назначение с помощью пакетов доступа управления правами |
Жизненный цикл пользователя при завершении работы определяется... | Ручные процессы | Рабочие процессы жизненного цикла записи, которые активируются на основе атрибута employeeLeaveDateTime |
Проверки доступа | Управление правами, когда пользователь теряет свое последнее назначение пакета доступа, они удаляются |
Рекомендуемая схема обучения
# | Цель обучения | Руководство |
---|---|---|
1. | Вы хотите узнать больше о спецификациях API для входящего трафика. | См. документ спецификации API /bulkUpload. |
2. | Вы хотите узнать больше о концепциях подготовки на основе API, сценариях и ограничениях. | Ознакомьтесь с часто задаваемыми вопросами о входящей подготовке на основе API. |
3. | Как пользователь администратора, вы хотите быстро протестировать API подготовки для входящего трафика. | * Создание приложения подготовки на основе API на основе входящего трафика * Тестирование API с помощью обозревателя Graph |
4. | С помощью учетной записи службы или управляемого удостоверения необходимо быстро протестировать API подготовки для входящего трафика. | * Создание приложения подготовки на основе API на основе входящего трафика * Предоставление разрешений API * Тестирование API с помощью cURL |
5. | Вы хотите расширить приложение подготовки на основе API для обработки дополнительных пользовательских атрибутов. | Ознакомьтесь с руководством по расширению подготовки на основе API для синхронизации пользовательских атрибутов. |
6. | Вы хотите автоматизировать отправку данных из системы записи в конечную точку API подготовки для входящего трафика. | Ознакомьтесь с руководствами * Краткое руководство по PowerShell * Краткое руководство по Azure Logic Apps |
7. | Вы хотите устранить неполадки с API подготовки для входящего трафика | Ознакомьтесь с руководством по устранению неполадок. |
Ресурсы внешнего обучения
Следующее содержимое, созданное нашими партнерами и MVP Майкрософт, предоставляет дополнительные рекомендации по развертыванию и настройке подготовки на основе API для различных сценариев интеграции.
Видеоучебники
- Джон Савил объясняет , как работает подготовка на основе API
- Microsoft MVP Nick Ross объясняет , как настроить подготовку на основе API
- Microsoft MVP Nick Ross объясняет , как источник данных отдела кадров из файла Excel в SharePoint с помощью Power Automate и подготовки на основе API
- Серия 4-частей Microsoft IdentityXP на основе API
Записи блога, презентации и другие полезные ссылки
- Статья Microsoft MVP Pim Джейкоба, объясняющая, как выполнять подготовку API на основе Бамбука HR для локальная служба Active Directory
- Презентация Microsoft MVP Pim Jacob о настройке процесса соединения и выхода с помощью рабочих процессов подготовки на основе API и жизненного цикла
- Статья Microsoft MVP Мариус Solbakken, объясняющая , как создавать данные Excel с помощью скрипта PowerShell и подготовки на основе API
- Статья Suryendu Bhattacharyya о том, как вызвать подготовку api-вождения с помощью пользовательского действия GitHub Action
- Шаблон Bicep Microsoft MVP Jan Vidar Elven для подготовки на основе API