Zřizování na vyžádání v Microsoft Entra ID

Zřizování na vyžádání slouží ke zřízení uživatele nebo skupiny v sekundách. Kromě jiného můžete tuto funkci využít k:

• Rychlé řešení potíží s konfigurací
• Ověřte výrazy, které jste definovali.
• Filtry oborů testů

Jak používat zřizování na vyžádání

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.

2. Přejděte na Podnikové aplikace> identit>a>vyberte aplikaci.
3. Vyberte Zřizování.

2. Přejděte k >konfiguracím synchronizace>externích>identit identit mezi tenanty.
3. Vyberte konfiguraci a přejděte na stránku Konfigurace zřizování .

4. Nakonfigurujte zřizování zadáním přihlašovacích údajů správce.

5. Vyberte Zřídit na vyžádání.

6. Vyhledejte uživatele podle jména, příjmení, zobrazovaného jména, hlavního názvu uživatele nebo e-mailové adresy. Případně můžete vyhledat skupinu a vyzvednout až pět uživatelů.

   Poznámka:

   Pro aplikaci zřizování hr v cloudu (Workday / SuccessFactors to Active Directory / Microsoft Entra ID) se vstupní hodnota liší. Ve scénáři Workday zadejte ID pracovního procesu nebo WID uživatele v Workday. V případě scénáře SuccessFactors zadejte "personIdExternal" uživatele v SuccessFactors.

7. V dolní části stránky vyberte Zřídit .

   

Vysvětlení kroků zřizování

Proces zřizování na vyžádání se pokusí zobrazit kroky, které služba zřizování provádí při zřizování uživatele. Zřízení uživatele obvykle probíhá v pěti krocích. Jeden nebo více těchto kroků, které jsou vysvětleny v následujících částech, se zobrazují během zřizování na vyžádání.

Krok 1: Testování připojení

Služba zřizování se pokusí autorizovat přístup k cílovému systému provedením požadavku na testovacího uživatele. Služba zřizování očekává odpověď, která značí, že služba autorizovaná k pokračování v krocích zřizování. Tento krok se zobrazí jenom v případě, že selže. Při úspěšném kroku se během zřizování na vyžádání nezobrazuje.

Rady pro řešení potíží

• Ujistěte se, že jste do cílového systému zadali platné přihlašovací údaje, jako je token tajného klíče a adresa URL tenanta. Požadované přihlašovací údaje se liší podle aplikace. Podrobné kurzy konfigurace najdete v seznamu kurzů.
• Ujistěte se, že cílový systém podporuje filtrování odpovídajících atributů definovaných v podokně Mapování atributů. Možná budete muset zkontrolovat dokumentaci k rozhraní API, kterou poskytuje vývojář aplikace, abyste porozuměli podporovaným filtrům.
• Pro aplikace SCIM (System for Cross-Domain Identity Management) můžete použít nástroj, jako je Postman. Tyto nástroje vám pomůžou zajistit, aby aplikace reagovala na žádosti o autorizaci způsobem, který služba zřizování Microsoft Entra očekává. Podívejte se na příklad požadavku.

Krok 2: Import uživatele

Dále služba zřizování načte uživatele ze zdrojového systému. Atributy uživatele, které služba načte, se později použijí k:

• Vyhodnoťte, jestli je uživatel v oboru zřizování.
• Zkontrolujte cílový systém pro existujícího uživatele.
• Určete, jaké atributy uživatele se mají exportovat do cílového systému.

Zobrazit podrobnosti

V části Podrobnosti zobrazení se zobrazují vlastnosti uživatele, který byl importován ze zdrojového systému (například ID Microsoft Entra).

Rady pro řešení potíží

• Import uživatele může selhat, pokud v objektu uživatele ve zdrojovém systému chybí odpovídající atribut. Pokud chcete tuto chybu vyřešit, vyzkoušejte jeden z těchto přístupů:

  • Aktualizujte objekt uživatele hodnotou pro odpovídající atribut.
  • Změňte odpovídající atribut v konfiguraci zřizování.

• Pokud v importovaném seznamu chybí atribut, který jste očekávali, ujistěte se, že atribut má hodnotu objektu uživatele ve zdrojovém systému. Služba zřizování v současné době nepodporuje zřizování atributů null.

• Ujistěte se, že stránka mapování atributů vaší konfigurace zřizování obsahuje atribut, který očekáváte.

Krok 3: Určení, jestli je uživatel v oboru

Dále služba zřizování určuje, jestli je uživatel v oboru zřizování. Služba bere v úvahu například tyto aspekty:

• Určuje, jestli je uživatel přiřazen k aplikaci.
• Určuje, jestli je obor nastavený na Synchronizovat přiřazené nebo Synchronizovat vše.
• Filtry oborů definované v konfiguraci zřizování

Zobrazit podrobnosti

V části Podrobnosti zobrazení se zobrazují podmínky rozsahu, které byly vyhodnoceny. Může se zobrazit jedna nebo více následujících vlastností:

• Aktivní ve zdrojovém systému označuje, že uživatel má vlastnost IsActive nastavenou na true v Microsoft Entra ID.
• Přiřazeno k aplikaci označuje, že uživatel je přiřazen k aplikaci v Microsoft Entra ID.
• Synchronizace rozsahu znamená , že nastavení oboru umožňuje všem uživatelům a skupinám v tenantovi.
• Uživatel má požadovanou roli , která označuje, že uživatel má potřebné role, které se mají zřídit do aplikace.
• Filtry oborů se zobrazují také v případě, že jste definovali filtry oborů pro vaši aplikaci. Filtr se zobrazí v následujícím formátu: {scoping filter title} {scoping filter attribute} {scoping filter operator} {scoping filter operator} {scoping filter value}.

Rady pro řešení potíží

• Ujistěte se, že jste definovali platnou roli oboru. Vyhněte se například použití operátoru Greater_Than s neintegerovou hodnotou.
• Pokud uživatel nemá potřebnou roli, projděte si tipy pro zřizování uživatelů přiřazených k výchozí roli přístupu.

Krok 4: Shoda uživatele mezi zdrojem a cílem

V tomto kroku se služba pokusí shodovat s uživatelem načteným v kroku importu s uživatelem v cílovém systému.

Zobrazit podrobnosti

Na stránce Zobrazit podrobnosti se zobrazují vlastnosti uživatelů, kteří se v cílovém systému shodovali. Kontextové podokno se změní následujícím způsobem:

• Pokud se v cílovém systému neshodují žádní uživatelé, nezobrazí se žádné vlastnosti.
• Pokud se jeden uživatel shoduje v cílovém systému, zobrazí se vlastnosti tohoto uživatele.
• Pokud se shoduje více uživatelů, zobrazí se vlastnosti obou uživatelů.
• Pokud je součástí mapování atributů více odpovídajících atributů, vyhodnotí se každý odpovídající atribut postupně a zobrazí se odpovídající uživatelé tohoto atributu.

Rady pro řešení potíží

• Služba zřizování nemusí být schopná odpovídat uživateli ve zdrojovém systému jedinečně s uživatelem v cíli. Tento problém vyřešíte tak, že zajistíte, aby byl odpovídající atribut jedinečný.
• Ujistěte se, že cílový systém podporuje filtrování atributu definovaného jako odpovídající atribut.

Krok 5: Provedení akce

Služba zřizování nakonec provede akci, například vytvoření, aktualizaci, odstranění nebo přeskočení uživatele.

Tady je příklad toho, co se může zobrazit po úspěšném zřízení uživatele na vyžádání:

Zobrazit podrobnosti

V části Zobrazit podrobnosti se zobrazí atributy, které byly změněny v cílovém systému. Toto zobrazení představuje konečný výstup aktivity služby zřizování a atributů, které byly exportovány. Pokud tento krok selže, zobrazené atributy představují atributy, které se služba zřizování pokusila upravit.

Rady pro řešení potíží

• Chyby při exportu změn se můžou výrazně lišit. V dokumentaci najdete protokoly zřizování běžných selhání.
• Zřizování na vyžádání říká, že skupinu nebo uživatele nejde zřídit, protože nejsou přiřazené k aplikaci. Mezi přiřazením objektu k aplikaci a při zajišťování na vyžádání dochází ke zpoždění replikace až o několik minut. Možná budete muset několik minut počkat a zkusit to znovu.

Nejčastější dotazy

• Potřebujete vypnout zřizování pro použití zřizování na vyžádání? Pro aplikace, které používají dlouhodobý nosný token nebo uživatelské jméno a heslo pro autorizaci, nejsou vyžadovány žádné další kroky. Aplikace, které k autorizaci používají OAuth, v současné době vyžadují, aby se úloha zřizování zastavila před použitím zřizování na vyžádání. Aplikace, jako je G Suite, Box, Workplace by Facebook a Slack, spadají do této kategorie. Probíhá práce na podpoře zřizování na vyžádání pro všechny aplikace bez nutnosti zastavit zřizování úloh.

• Jak dlouho trvá zřizování na vyžádání? Zřizování na vyžádání obvykle trvá méně než 30 sekund.

Známá omezení

V současné době existuje několik známých omezení zřizování na vyžádání. Publikujte své návrhy a zpětnou vazbu , abychom mohli lépe určit, jaká vylepšení byste měli udělat dál.

Poznámka:

Následující omezení jsou specifická pro možnosti zřizování na vyžádání. Informace o tom, jestli aplikace podporuje zřizování skupin, odstranění nebo jiných funkcí, najdete v kurzu pro danou aplikaci.

• Zřizování skupin na vyžádání podporuje aktualizaci až pěti členů najednou. Připojení orům pro synchronizaci mezi tenanty, Workday atd. nepodporují zřizování skupin a v důsledku toho nepodporují zřizování skupin na vyžádání.
• Rozhraní API žádosti o zřízení na vyžádání může přijmout pouze jednu skupinu s až 5 členy najednou.

• Zřizování skupin na vyžádání není podporováno pro synchronizaci mezi tenanty.

• Zřizování na vyžádání podporuje zřizování jednoho uživatele najednou prostřednictvím Centra pro správu Microsoft Entra.
• Obnovení dříve obnovitelně odstraněného uživatele v cílovém tenantovi se zřizováním na vyžádání se nepodporuje. Pokud se pokusíte obnovit obnovitelné odstranění uživatele se zřizováním na vyžádání a pak ho obnovíte, může to vést k duplicitním uživatelům.
• Zřizování rolí na vyžádání se nepodporuje.
• Zřizování na vyžádání podporuje zakázání uživatelů, kteří byli z aplikace nepřiřazení. Nepodporuje ale zakázání nebo odstranění uživatelů, kteří byli zakázáni nebo odstraněni z ID Microsoft Entra. Tito uživatelé se při hledání uživatele nezobrazí.
• Zřizování na vyžádání nepodporuje vnořené skupiny, které nejsou přímo přiřazené k aplikaci.

Další kroky

• Řešení potíží se zřizováním