Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här dokumentet innehåller en konceptuell översikt över microsoft Entra API-driven etablering av inkommande användare.
Introduction
Idag har företag olika auktoritativa system för arkivhandling. För att upprätta identitetslivscykel från slutpunkt till slutpunkt, stärka säkerhetsstatusen och följa reglerna måste identitetsdata i Microsoft Entra-ID hållas synkroniserade med personaldata som hanteras i dessa registersystem. Postsystemet kan vara en HR-app, en löneapp, ett kalkylblad eller SQL-tabeller i en databas som finns lokalt eller i molnet.
With API-driven inbound provisioning, the Microsoft Entra provisioning service now supports integration with any system of record. Customers and partners can use any automation tool of their choice to retrieve workforce data from the system of record and ingest it into Microsoft Entra ID. IT-administratören har fullständig kontroll över hur data bearbetas och transformeras med attributmappningar. Once the workforce data is available in Microsoft Entra ID, the IT admin can configure appropriate joiner-mover-leaver business processes using Lifecycle Workflows.
Supported scenarios
Flera scenarier för etablering av inkommande användare aktiveras med hjälp av API-driven inkommande etablering. Det här diagrammet visar de vanligaste scenarierna.
Scenario 1: Gör det möjligt för IT-team att importera HR-dataextrakt med hjälp av automatiseringsverktyg
Flata filer, CSV-filer och SQL-mellanlagringstabeller används ofta i företagsintegreringsscenarier. Information om anställda, entreprenörer och leverantörer exporteras regelbundet till något av dessa format och ett automatiseringsverktyg används för att synkronisera dessa data med företagsidentitetskataloger. Med API-driven inkommande etablering kan IT-team använda valfritt automatiseringsverktyg (till exempel PowerShell-skript eller Azure Logic Apps) för att modernisera och förenkla integreringen.
Scenario 2: Aktivera ISV:er för att skapa direktintegrering med Microsoft Entra-ID
Med API-driven inkommande etablering kan HR ISV:er leverera inbyggda synkroniseringsupplevelser så att ändringar i HR-systemet automatiskt flödar till Microsoft Entra-ID och anslutna lokal Active Directory domäner. Till exempel kan en HR-app eller studentinformationssystemapp skicka data till Microsoft Entra-ID så snart en transaktion har slutförts eller som massuppdatering i slutet av dagen.
Scenario 3: Gör det möjligt för systemintegrerare att skapa fler anslutningsappar till postsystem
Partner kan skapa anpassade HR-anslutningsappar för att uppfylla olika integreringskrav kring dataflöde från postsystem till Microsoft Entra-ID.
I alla scenarier ovan förenklas integreringen när Microsoft Entra-etableringstjänsten tar över ansvaret för att utföra en jämförelse av identitetsprofiler, begränsa datasynkroniseringen till omfångslogik som konfigurerats av IT-administratören och köra regelbaserat attributflöde och transformering som hanteras i Administrationscenter för Microsoft Entra.
End-to-end flow
Steg i arbetsflödet
- IT-administratören konfigurerar en API-driven app för inkommande användaretablering från Microsoft Entra Enterprise-appgalleriet.
- IT-administratören beviljar åtkomstbehörigheter och tillhandahåller information om slutpunktsåtkomst till API-utvecklaren/partnern/systemintegreraren.
- API-utvecklaren/partnern/systemintegratören skapar en API-klient för att skicka auktoritativa identitetsdata till Microsoft Entra-ID.
- API-klienten läser identitetsdata från den auktoritativa källan.
- The API client sends a POST request to provisioning /bulkUpload API endpoint associated with the provisioning app.
Note
API-klienten behöver inte göra några jämförelser mellan källattributen och målattributvärdena för att avgöra vilken åtgärd (skapa/uppdatera/aktivera/inaktivera) som ska anropas. Detta hanteras automatiskt av etableringstjänsten. API-klienten laddar helt enkelt upp identitetsdata som lästs från källsystemet genom att paketera dem som massbegäran med hjälp av SCIM-schemakonstruktioner.
- Om det lyckas returneras en
Accepted 202 Status. - Microsoft Entra-etableringstjänsten bearbetar mottagna data, tillämpar attributmappningsreglerna och slutför användaretablering.
- Beroende på vilken etableringsapp som har konfigurerats etableras användaren antingen i lokal Active Directory (för hybridanvändare) eller Microsoft Entra-ID (endast för molnanvändare).
- API-klienten frågar sedan API-slutpunkten för etableringsloggarna om statusen för varje post som skickas.
- Om bearbetningen av en post misslyckas kan API-klienten kontrollera felinformationen och inkludera poster som motsvarar de misslyckade åtgärderna i nästa massbegäran (steg 5).
- IT-administratören kan när som helst kontrollera statusen för etableringsjobbet och visa händelser i etableringsloggarna.
Viktiga funktioner i API-driven etablering av inkommande användare
- Available as a provisioning app that exposes an asynchronous Microsoft Graph provisioning /bulkUpload API endpoint accessed using valid OAuth token.
- Klientadministratörer måste bevilja API-klienter som interagerar med den här etableringsappen Graph-behörigheterna
SynchronizationData-User.Upload,SynchronizationData-User.Upload.OwnedBy(för ISV:er) ochProvisioningLog.Read.All. - Graph API-slutpunkten accepterar giltiga nyttolaster för massbegäran med hjälp av SCIM-schemakonstruktioner.
- Med SCIM-schematillägg kan du skicka valfritt attribut i nyttolasten för massbegäran.
-
/bulkUploadAPI-slutpunkten tillämpar följande begränsningsgränser:- Det finns en gräns på 40 API-anrop inom ett 5-sekundersfönster. Om det här tröskelvärdet överskrids returnerar tjänsten ett HTTP 429-svar (för många begäranden). För att undvika begränsning implementerar du pacing-logik i klienten för att få ut utrymme på begäranden , till exempel lägga till fördröjningar eller hastighetsbegränsningshantering mellan inskickade.
- Det finns en gräns på 2 000 API-anrop per 24-timmarsperiod under Entra ID P1/P2-licensen och 6 000 API-anrop under Entra ID-styrningslicensen. Om du överskrider dessa gränser resulterar det i ett HTTP 429-svar (för många begäranden). Om du vill hålla dig inom kvoten kontrollerar du att dina SCIM-massnyttolaster är optimerade för att inkludera upp till 50 åtgärder per API-anrop.
- Varje API-slutpunkt är associerad med en specifik etableringsapp i Microsoft Entra-ID. Du kan integrera flera datakällor genom att skapa en etableringsapp för varje datakälla.
- Inkommande nyttolaster för massbegäran bearbetas nästan i realtid.
- Admins can check provisioning progress by viewing the provisioning logs.
- API-klienter kan spåra förloppet genom att köra frågor mot API:et för etableringsloggar.
License requirements
Den här funktionen är tillgänglig med Microsoft Entra ID P1-, P2- och Microsoft Entra ID-styrningslicenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.
Api-användningsvägledning
/bulkUpload API-slutpunkten utökar antalet sätt som du kan hantera användare på i Microsoft Entra-ID. Om du vill hjälpa dig att avgöra om /bulkUpload API-slutpunkten är rätt för ditt integreringsscenario kan du läsa den här tabellen som jämför den med andra API-baserade integreringsalternativ.
| Användningsfallsscenario för API-mappning | API för användarskapande | MASS-API för inkommande HR | API för användarinbjudan | API för direkttilldelning |
|---|---|---|---|---|
| När ditt scenario för identitetsskapande är... | Skapa ad hoc-användare i Microsoft Entra-ID för en användare som inte är associerad med någon arbetare i en HR-källa | Hämtar medarbetares poster från en auktoritativ HR-källa och du vill att de anställda ska ha "medlemskonton" i Microsoft Entra-ID eller lokal Active Directory | Skapa ad hoc-gästanvändare i Microsoft Entra-ID för delningsändamål, där gästen har unika åtkomsträttigheter | Åtkomsttilldelning för befintliga användare och (förhandsversion) gästskapande i Microsoft Entra-ID för att ge den nya gäststandardiserade åtkomsten |
| ... använd API:et... | Create user | Perform bulkUpload. | Create invitation | Create accessPackageAssignmentRequest |
| Den resulterande användaren skapas först i... | Microsoft Entra-ID | Lokalt Active Directory- eller Microsoft Entra-ID | Microsoft Entra-ID | Microsoft Entra-ID |
| Den resulterande användaren autentiserar till... | Microsoft Entra-ID med det lösenord du anger | Lokal Active Directory för Microsoft Entra-ID, med ett tillfälligt åtkomstpass som tillhandahålls av Arbetsflöden för Entra-livscykel | Hemklientorganisation eller annan identitetsprovider | Hemklientorganisation eller annan identitetsprovider |
| Efterföljande uppdateringar av användaren kan göras via | Administrationscenter för Graph API eller Microsoft Entra | Graph API eller HR inkommande mass-API eller Microsoft Entra administrationscenter | Administrationscenter för Graph API eller Microsoft Entra | Administrationscenter för Graph API eller Microsoft Entra |
| Livscykeln för användaren när deras anställning startar, bestäms av... | Manual processes |
Registrera livscykelarbetsflöden för Entra som utlöses baserat på employeeHireDate attributet |
Entitlement management | Automatic assignment using Entitlement management access packages |
| Livscykeln för användaren när deras anställning avslutas bestäms av... | Manual processes |
Arbetsflöden för avregistrering av entra-livscykel som utlöses baserat på employeeLeaveDateTime attributet |
Access reviews | Rättighetshantering när användaren förlorar sin senaste åtkomstpakettilldelning tas de bort |
Rekommenderad utbildningsväg
| # | Learning objective | Guidance |
|---|---|---|
| 1. | Du vill veta mer om api-specifikationerna för inkommande etablering. | Refer to /bulkUpload API spec document. |
| 2. | Du vill lära dig mer om API-drivna etableringsbegrepp, scenarier och begränsningar. | Se Vanliga frågor och svar om API-driven inkommande etablering. |
| 3. | As an Admin user, you want to quickly test the inbound provisioning API. | * Skapa EN API-driven etableringsapp för inkommande trafik * Testa API med Graph Explorer |
| 4. | Med ett tjänstkonto eller en hanterad identitet vill du snabbt testa API:et för inkommande etablering. | * Skapa EN API-driven etableringsapp för inkommande trafik * Grant API permissions * Testa API med cURL |
| 5. | Du vill utöka den API-drivna etableringsappen för att bearbeta fler anpassade attribut. | Se självstudien Utöka API-driven etablering för att synkronisera anpassade attribut |
| 6. | Du vill automatisera dataöverföringen från ditt postsystem till API-slutpunkten för inkommande etablering. | Se självstudierna * Snabbstart med PowerShell * Snabbstart med Azure Logic Apps |
| 7. | Du vill felsöka problem med API för inkommande etablering | Refer to the Troubleshooting guide. |
Externa utbildningsresurser
Följande innehåll, som skapats av våra partner och MicrosoftSVP:er, ger extra vägledning om hur du distribuerar och konfigurerar API-driven etablering för olika integreringsscenarier.
Video tutorials
- John Savill förklarar hur API-driven etablering fungerar
- Microsoft MVP Nick Ross förklarar hur du konfigurerar API-driven etablering
- Microsoft MVP Nick Ross förklarar hur du hämtar HR-data från en Excel-fil i SharePoint med hjälp av Power Automate och API-driven etablering
- Microsoft partner IdentityXP 4-delsserie om API-driven etablering
Blogginlägg, presentationer och andra användbara länkar
- Microsoft MVP Pim Jacobs artikel som förklarar hur du utför BAMBOO HR API-driven etablering till lokal Active Directory
- Microsoft MVP Pim Jacobs presentation om hur du konfigurerar anslutningsprocessen och leaver-processen med hjälp av API-drivna etablerings- och livscykelarbetsflöden
- Microsoft MVP Marius Solbakkens artikel som förklarar hur du hämtar Excel-data med hjälp av PowerShell-skript och API-driven etablering
- Suryendu Bhattacharyyas artikel om hur du anropar API-drivande etablering med anpassad GitHub-åtgärd
- Microsoft MVP Jan Vidar Elvens Bicep-mall för API-driven etablering