Post-Save Listener für Userobjekte erstellen

[AlexD1979 10]

Hallo Community,

Ich beschäftige mich gerade etwas ausführlicher mit dem Azure AD und der Benutzerverwaltung dort. Ich habe mir eine Aufgabe überlegt, um die Änderungen an Benutzerobjekten aus einem Azure AD in ein externes System zu replizieren. Damit möchte ich mir das Leben erleichtern und die Doppelpflege von Benutzern verhindern. Das externe System hat sowohl eine Public API als auch ein .Net oder Java SDK mit den erforderlichen Methoden für CreateUser und UpdateUser.

 

Mein Problem ist nun, wie kann ich es in Azure realisieren, dass ich jede Änderung an einem Benutzer / einer Gruppe mit verlinkten Benutzern als Event mitbekomme?

 

Ich habe mich bereits mit der Microsoft Graph API beschäftigt und kann im Prinzip die Userobjekte lesen, auch habe ich mir Azure Automate schon angesehen. Aber mir fehlt gerade der "letzte" Meter, wie ich nach Erstellung eines neuen Benutzers ein Event auslösen kann, was dann eine externe API oder eine bestimmten Prozess oder programmierte Logik in Azure triggert und die Daten des neuen Objektes nach extern übertragt.

Ich habe noch etwas davon gelesen, dass man subscriptions erstellen kann auf Gruppen und die funktionieren dann wie ein Listener, aber die Subscriptions sind aktive Verbindungen, die vom externen System aufgebaut und die Verbindung dauerhaft offen gehalten werden muss, das ist nicht unbedingt das, was ich mir vorstelle.

 

Kann mir da jemand von euch etwas Hilfestellung geben wie ich den Ansatz wählen müsste?

[Dukel 454]

Wird das Azure AD aus einem Lokalen AD gefüttert (sprich via AD Connect gesynct)?

Dann kann man vorher anfangen. Mit einem IDM On Prem wird der AD User (und somit auch der Azure AD User) erstellt und alle anderen externen Tätigkeiten werden vom IDM ebenfalls getätigt.

[AlexD1979 10]

vor 3 Minuten schrieb Dukel:

Wird das Azure AD aus einem Lokalen AD gefüttert (sprich via AD Connect gesynct)?

Guten Morgen,

Nein, dass ist eine reine Azure AD Subscription in der Cloud als zentrales Usermanagement für alle angeschlossenen Applikationen. Ich brauche aber nicht den SAML / SSO weg, den gibt es schon, ich brauche wirklich nur Username,E-Mail, Vorname und Nachname als den Userobjekten für einen Sync.  Es kann getriggert sein für "Echtzeit-Sync" oder wenn es auch geht irgendwie scheduled, alle x Minuten einen Export erstellen in CSV, den ich dann irgendwo ablegen kann für einen Import.

[NilsK 2.934]

Moin,

 

ich verstehe den Ansatz, möchte aber aus Erfahrung darauf hinweisen, dass solche zunächst simplen Szenarien sich oft schnell ausweiten und man sich dann mit einem "simpel gebastelten" Abgleich in der Sackgasse befindet. Schon allein die Frage, wie mit Änderungen an bestehenden Objekten umzugehen ist, kann sich zu einer "echten Angelegenheit" ausweiten.

 

Mit dem Identity Management in so einem Szenario habe ich mich noch nicht näher befassen müssen, und es sieht mir aus, als habe Microsoft dafür tatsächlich keine echte Lösung vorrätig. Das einzige wäre MIM, aber das dürfte um Größenordnungen zu "fett" sein.

 

So bliebe also zunächst wohl nur der naive Ansatz, das Verzeichnis über das API auszulesen und mit irgendeiner Logik zu erkennen, welche Objekte repliziert werden müssen. "Irgendeine Logik" sage ich extra, weil sich genau da der Aufwand und der konkrete Bedarf verstecken können.

 

Gruß, Nils

 

[Dukel 454]

Evtl. helfen E-T-L (Extract-Transform-Load, eher im DB Umfeld bekannt) Tools dabei. Hier gibt es auch Cloud Lösungen.

[AlexD1979 10]

vor 56 Minuten schrieb Dukel:

Evtl. helfen E-T-L (Extract-Transform-Load, eher im DB Umfeld bekannt) Tools dabei. Hier gibt es auch Cloud Lösungen.

Wäre noch eine weitere Möglichkeit, die in Betracht bezogen werden kann, danke.