Che cos'è il provisioning?

Il provisioning e il deprovisioning sono i processi che assicurano la coerenza delle identità digitali tra più sistemi. Questi processi vengono in genere utilizzati come parte della gestione del ciclo di vita delle identità.

Il provisioning è il processo di creazione di un'identità in un sistema di destinazione in base a determinate condizioni. Il deprovisioning è il processo di rimozione dell'identità dal sistema di destinazione, quando le condizioni non vengono più soddisfatte. La sincronizzazione è il processo che consente di mantenere aggiornato l'oggetto di cui è stato effettuato il provisioning, in modo che l'oggetto di origine e quello di destinazione siano simili.

Ad esempio, un nuovo utente che entra a far parte dell'organizzazione viene immesso nel sistema di gestione delle risorse umane (RU). A questo punto, il provisioning dal sistema di gestione delle risorse umanea Microsoft Entra ID può creare un account utente corrispondente in Microsoft Entra ID. Le applicazioni che eseguono query su Microsoft Entra ID possono visualizzare l'account del nuovo dipendente. Se sono presenti applicazioni che non usano Microsoft Entra ID, il provisioning da Microsoft Entra ID per i database di tali applicazioni, garantisce che l'utente possa accedere a tutte le applicazioni di cui l'utente ha bisogno. L'utente può quindi iniziare a lavorare e avrà accesso fin dal primo giorno alle applicazioni e ai sistemi necessari. Analogamente, quando le loro proprietà, ad esempio il reparto o lo stato lavorativo, cambiano nel sistema delle risorse umane, la sincronizzazione di tali aggiornamenti dal sistema delle risorse umane a Microsoft Entra ID garantisce la coerenza. Inoltre, questa sincronizzazione si estende ad altre applicazioni e ai database di destinazione.

Microsoft Entra ID attualmente fornisce tre aree di provisioning automatizzato. Sono:

• Provisioning da un sistema di record autorevole esterno non basato su directory ad Microsoft Entra ID tramite provisioning basato su sistema di gestione delle risorse umane
• Provisioning da Microsoft Entra ID alle applicazioni tramite provisioning di app
• Provisioning tra servizi di dominio di Microsoft Entra ID e Active Directory, tramite provisioning tra directory

Provisioning basato su risorse umane

Il provisioning dal sistema di gestione delle risorse umane a Microsoft Entra ID implica la creazione di oggetti, solitamente identità utente che rappresentano ogni dipendente, ma in alcuni casi altri oggetti che rappresentano reparti o altre strutture, in base alle informazioni del sistema di gestione delle risorse umane.

Lo scenario più comune è quando un nuovo dipendente entra a far parte dell'azienda e viene immesso nel sistema di gestione delle risorse umane. Quando si verifica, ne viene effettuato automaticamente il provisioning come nuovo utente in Microsoft Entra ID, senza la necessità di coinvolgere l'amministrazione per ogni nuova assunzione. In generale, il provisioning basato su risorse umane copre gli scenari seguenti.

• Assunzione di nuovi dipendenti: quando viene aggiunto un nuovo dipendente a un sistema di gestione delle risorse umane, viene automaticamente creato un account utente in Active Directory, in Microsoft Entra ID e, facoltativamente, nelle directory di altre applicazioni supportate da Microsoft Entra ID, con writeback dell'indirizzo di posta elettronica nel sistema di gestione delle risorse umane.
• gli aggiornamenti degli attributi e dei profili dei dipendenti: quando un record dei dipendenti viene aggiornato in tale sistema HR (ad esempio il nome, il titolo o il manager), l'account utente dell'impiegato viene aggiornato automaticamente in Active Directory, Microsoft Entra ID, e, facoltativamente, in altre applicazioni supportate dall'ID Microsoft Entra.
• Interruzioni del rapporto con i dipendenti: quando il rapporto con un dipendente viene terminato, il relativo account utente viene automaticamente bloccato per l'accesso o rimosso da Active Directory, Microsoft Entra ID e altre applicazioni.
• Riassunzioni dei dipendenti: quando un dipendente viene riassunto e immesso nuovamente nel sistema di gestione delle risorse umane nel cloud, è possibile riattivare automaticamente il vecchio account utente o effettuarne nuovamente il provisioning (a seconda delle preferenze).

Per il provisioning basato sul sistema di gestione delle risorse umane con Microsoft Entra ID sono disponibili tre opzioni di distribuzione:

1. Per le organizzazioni con una singola sottoscrizione di Workday o SuccessFactors che non usano Active Directory
2. Per le organizzazioni con una singola sottoscrizione di Workday o SuccessFactors che hanno sia Active Directory che Microsoft Entra ID
3. Per le organizzazioni con più sistemi RU o con un sistema RU locale come SAP, Oracle eBusiness o PeopleSoft

Per altre informazioni, vedere Che cos'è il provisioning basato su risorse umane?

Provisioning di app

In Microsoft Entra ID, il termine provisioning di app si riferisce alla creazione automatica di copie delle identità utente nelle applicazioni a cui gli utenti devono accedere, per le applicazioni che hanno un proprio archivio dati distinto da Microsoft Entra ID o Active Directory. Oltre a creare le identità utente, il provisioning di app include la manutenzione e la rimozione delle identità utente da tali app quando lo stato o i ruoli dell'utente cambiano. Gli scenari comuni includono il provisioning di un utente di Microsoft Entra ID in applicazioni come Dropbox, Salesforce, ServiceNow, in quanto ognuna di queste applicazioni ha un proprio repository utente distinto da Microsoft Entra ID.

Microsoft Entra ID supporta anche il provisioning degli utenti nelle applicazioni ospitate in locale o in una macchina virtuale, senza dover aprire alcun firewall. Se l'applicazione supporta SCIMo si è creato un gateway SCIM per la connessione all'applicazione legacy, è possibile usare l'agente di provisioning di Microsoft Entra per connettersi direttamente all'applicazione e automatizzare il provisioning e il deprovisioning. Se si dispone di applicazioni legacy che non supportano SCIM e si basano su un archivio utenti LDAP o un database SQL o che dispongono di un'API SOAP o REST, Microsoft Entra ID può supportare anche tali applicazioni.

Per altre informazioni, vedere Che cos'è il provisioning di app?

Provisioning tra directory

Molte organizzazioni si affidano ad Active Directory e ad Microsoft Entra ID e possono avere applicazioni connesse ad Active Directory, ad esempio file server locali.

Poiché molte organizzazioni in passato hanno distribuito il provisioning basato su risorse umane in locale, potrebbero avere già le identità utente per tutti i dipendenti in Active Directory. Lo scenario più comune per il provisioning tra directory è quando un utente già presente in Active Directory viene sottoposto a provisioning in Microsoft Entra ID. Questo provisioning viene in genere eseguito da Microsoft Entra Connect Sync o dal provisioning cloud di Microsoft Entra Connect.

Inoltre, è possibile che le organizzazioni scelgano di effettuare il provisioning anche in sistemi locali da Microsoft Entra ID. Ad esempio, un'organizzazione può avere ospiti nella directory Microsoft Entra, ma tali ospiti devono accedere, tramite il proxy dell'app, alle applicazioni Web locali basate sull'autenticazione integrata di Windows (WIA). Questo scenario richiede il provisioning di account AD locali per tali utenti in Microsoft Entra ID.

Per altre informazioni, vedere Che cos'è il provisioning tra directory?

Passaggi successivi

• Che cos'è la gestione del ciclo di vita delle identità?
• Che cos'è il provisioning basato su risorse umane?
• Che cos'è il provisioning di app?
• Che cos'è il provisioning tra directory?
• Gestire il ciclo di vita dei video degli utenti