Автоматизируйте предоставление и удаление пользователей приложениям SaaS с помощью Azure Active Directory

Question

Прежде всего, я абсолютно новичок в Azure, поэтому, если мои вопросы кажутся необразованными, в этом причина.

Я ищу руководство или лучше - понимание того, сколько усилий требуется.чтобы обеспечить автоматическую инициализацию пользователей и де-инициализацию в качестве поставщика SaaS согласно здесь .

В настоящее время мой SaaS не указан в галерее приложений Azure Active Directory, а вместо этого мои клиентывключить единый вход (SSO), настроив единый вход в приложения, которых нет в галерее приложений Azure Active Directory согласно здесь .

В идеальном случае мои клиенты будутпродолжить настройку единого входа в приложения, которых нет в галерее приложений Azure Active Directory.Это сказанное после того, как они успешно сконфигурируют интеграцию, должно включить автоматическую инициализацию и удаление пользователей с моим SaaS.

Правильно, с чего начать?:)

Answer 1

У вас есть два варианта: SCIM 2.0 или Microsoft Graph.Вы можете использовать один или другой по отдельности или оба вместе.

Вариант 1: SCIM 2.0

Начните здесь: Использование системы для управления междоменной идентификацией(SCIM) для автоматического предоставления пользователей и групп из Azure Active Directory приложениям

Azure AD изначально поддерживает SCIM 2.0 , стандартизированный способ обмена идентификационной информацией, который также может работать с другимиSCIM-совместимые системы.

Одним из преимуществ является то, что есть шанс, что вы сможете повторно использовать эту работу для другой системы идентификации.Другой способ заключается в том, что служба обеспечения Azure AD позаботится о фильтрации и отправит только пользователей и группы, назначенные клиенту приложению.

Недостатком является то, что вы будете более ограничены схемой и протоколомSCIM 2.0, по сравнению с тем, что вы могли бы получить при встроенной интеграции с Microsoft Graph.

Опция 2: Microsoft Graph

Начните здесь: Используйте дельта-запрос дляотслеживать изменения в данных Microsoft Graph

Microsoft Graph API имеет две функции отслеживания изменений, которые ваше приложение может использовать для синхронизации изменений пользователей и групп: уведомления об изменениях (выполучать пинг каждый раз, когда что-то меняется) и дельта-запрос (вы получаете все изменения с момента последней проверки).

Преимущество здесь в том, что у вас гораздо больший контроль над процессом и параметрами синхронизации, и вы будетеиметь возможность предоставлять очень богатые интеграции (при необходимости) с Office 365 и другой облачной службой Microsofts.