什麼是佈建?
佈建和取消佈建是確保數位身分識別在多個系統上保持一致的程序。 這些程式通常用來作為身分識別生命週期管理的一部分。
布建 是根據特定條件在目標系統中建立身分識別的程式。 取消布 建是在不再符合條件時,從目標系統移除身分識別的程式。 同步 處理是讓布建物件保持最新狀態的程式,讓來源對象和目標對象類似。
例如,當新員工加入您的組織時,該員工會輸入至 HR 系統。 此時, 從 HR 布建到 Microsoft Entra 識別碼,可以在 entra ID Microsoft中建立對應的用戶帳戶。 查詢Microsoft Entra標識符的應用程式可以看到該新員工的帳戶。 如果有應用程式未使用 Microsoft Entra ID,則 從 Microsoft Entra ID 佈建至 這些應用程式的資料庫,可確保用戶能夠存取使用者需要存取的所有應用程式。 此程式可讓用戶開始工作,並能夠存取第一天所需的應用程式和系統。 同樣地,當其屬性,例如其部門或就業狀態、HR 系統中的變更、將這些更新從 HR 系統同步處理到Microsoft Entra ID,並進一步同步處理至其他應用程式和目標資料庫時,可確保一致性。
Microsoft Entra ID 目前提供三個自動化佈建區域。 畫面如下:
- 透過 HR 驅動佈建,從外部非目錄權威記錄系統佈建到 Microsoft Entra ID
- 透過應用程式佈建,從 Microsoft Entra ID 佈建至應用程式
- 透過目錄間佈建,在 Microsoft Entra ID 與 Active Directory 網域服務之間佈建
HR 驅動的佈建
從 HR 布建到Microsoft Entra 標識元牽涉到建立物件,通常是代表每位員工的使用者身分識別,但在某些情況下,代表部門或其他結構的其他對象會根據 HR 系統中的資訊。
最常見的案例是,當新員工加入您的公司時,他們會進入人力資源系統。 一旦發生這種情況,它們就會在 Microsoft Entra ID 中自動布建為新使用者,而不需要每個新進員工的系統管理介入。 一般而言,從 HR 布建可以涵蓋下列案例。
- 僱用新員工 - 將新員工 新增至 HR 系統時,會自動在 Active Directory 中建立使用者帳戶、Microsoft Entra 識別碼,以及選擇性地在目錄內針對 Microsoft Entra ID 所支援的其他應用程式,並將電子郵件位址回寫至 HR 系統。
- 員工屬性和配置檔更新 - 當員工記錄在該 HR 系統中更新時(例如其名稱、職稱或經理),其用戶帳戶會在 Active Directory 中自動更新、Microsoft Entra ID,以及Microsoft Entra ID 所支援的選擇性其他應用程式。
- 員工終止 - 當員工在 HR 中終止時,其使用者帳戶會自動遭到封鎖,使其無法登入或移除 Active Directory、Microsoft Entra ID 和其他應用程式中。
- 員工重新僱用 - 當員工在雲端 HR 中重新接任時,其舊帳戶可以自動重新啟用或重新佈建(視您的喜好而定)。
具有 Microsoft Entra 識別符的 HR 驅動布建有三個部署選項:
- 對於具有 Workday 或 SuccessFactors 單一訂用帳戶且不使用 Active Directory 的組織
- 對於具有 Workday 或 SuccessFactors 單一訂用帳戶且同時具有 Active Directory 和 Microsoft Entra 標識符的組織
- 適用於具有多個 HR 系統或內部部署 HR 系統的組織,例如 SAP、Oracle eBusiness 或 PeopleSoft
如需詳細資訊,請參閱 什麼是 HR 驅動布建?
應用程式佈建
在 Microsoft Entra ID 中,應用程式布建一詞是指在使用者需要存取的應用程式中自動建立使用者身分識別複本,而對於具有自己數據存放區的應用程式,與 Microsoft Entra ID 或 Active Directory 不同。 除了建立使用者身分識別之外,應用程式布建還包含從這些應用程式維護及移除使用者身分識別,因為使用者的狀態或角色有所變更。 常見案例包括將Microsoft Entra 使用者布建到Dropbox、Salesforce、ServiceNow等應用程式中,因為這些應用程式都有自己的使用者存放庫,與Microsoft Entra ID 不同。
Microsoft Entra ID 也支援將使用者佈建到託管於內部部署或虛擬機器中的應用程式,而不需要開啟任何防火牆。 如果您的應用程式支援 SCIM,或您已建置 SCIM 閘道以連線到舊版應用程式,您可以使用 Microsoft Entra 佈建代理程式直接連線到您的應用程式,並自動佈建和取消佈建。 如果您有不支援 SCIM 且依賴 LDAP 使用者存放區或 SQL 資料庫或具有 SOAP 或 REST API 的舊版應用程式,Microsoft Entra ID 也可以支援這些應用程式。
如需詳細資訊,請參閱 什麼是應用程式佈建?
目錄間布建
許多組織都依賴 Active Directory 和 Microsoft Entra ID,而且可能會有應用程式連線到 Active Directory,例如內部部署檔伺服器。
由於許多組織過去已部署內部部署人力資源驅動的布建,因此他們可能已經有 Active Directory 中所有員工的使用者身分識別。 最常見的目錄間布建案例是將已在 Active Directory 中的使用者布建到 Microsoft Entra ID。 此布建通常是透過Microsoft Entra Connect Sync 或 Microsoft Entra Connect 雲端布建來完成。
此外,組織可能也想要從 Microsoft Entra ID 布建至內部部署系統。 例如,組織可能已將來賓帶入 Microsoft Entra 目錄,但這些來賓必須透過應用程式 Proxy 存取內部部署 Windows 整合式驗證 (WIA) 型 Web 應用程式。 此案例需要為Microsoft Entra標識碼中的使用者布建內部部署AD帳戶。
如需詳細資訊,請參閱 什麼是目錄間布建?