Synchronizace atributů rozšíření pro zřizování aplikací Microsoft Entra

Id Microsoft Entra musí obsahovat všechna data (atributy) vyžadovaná k vytvoření profilu uživatele při zřizování uživatelských účtů z Microsoft Entra ID pro aplikaci SaaS nebo místní aplikaci. Při přizpůsobení mapování atributů pro zřizování uživatelů můžete zjistit, že atribut, který chcete mapovat, se nezobrazuje v seznamu zdrojových atributů v Microsoft Entra ID. V tomto článku se dozvíte, jak přidat chybějící atribut.

Určení, kam je potřeba přidat rozšíření

Přidání chybějících atributů potřebných pro aplikaci se spustí buď v místní Active Directory, nebo v MICROSOFT Entra ID v závislosti na tom, kde se nacházejí uživatelské účty a jak se převedou do Microsoft Entra ID.

Nejprve určete, kteří uživatelé ve vašem tenantovi Microsoft Entra potřebují přístup k aplikaci, a proto budou v rozsahu zřizování aplikace.

Dále určete, jaký je zdroj atributu a topologie, jak se tito uživatelé přenesou do Microsoft Entra ID.

Zdroj atributu	Topologie	Požadované kroky
Systém personálního oddělení	Pracovníci z personálního systému jsou zřízeni jako uživatelé do Microsoft Entra ID.	Vytvořte atribut rozšíření v Microsoft Entra ID. Aktualizujte příchozí mapování hr tak, aby se v microsoft Entra ID uživatelů z personálního systému naplnil atribut rozšíření.
Systém personálního oddělení	Pracovní procesy z personálního systému se zřizují jako uživatelé ve službě Windows Server AD. Microsoft Entra Připojení synchronizace cloudu je synchronizuje do Microsoft Entra ID.	V případě potřeby rozšiřte schéma AD. Vytvořte atribut rozšíření v Microsoft Entra ID pomocí cloudové synchronizace. Aktualizujte příchozí mapování hr tak, aby se atribut rozšíření na uživatele AD naplnil ze systému personálního oddělení.
Systém personálního oddělení	Pracovní procesy z personálního systému se zřizují jako uživatelé ve službě Windows Server AD. Microsoft Entra Připojení je synchronizuje do Microsoft Entra ID.	V případě potřeby rozšiřte schéma AD. Vytvoření atributu rozšíření v Microsoft Entra ID pomocí Microsoft Entra Připojení. Aktualizujte příchozí mapování hr tak, aby se atribut rozšíření na uživatele AD naplnil ze systému personálního oddělení.

Pokud jsou uživatelé vaší organizace již v místní Active Directory nebo je vytváříte ve službě Active Directory, musíte synchronizovat uživatele ze služby Active Directory do Microsoft Entra ID. Uživatele a atributy můžete synchronizovat pomocí Microsoft Entra Připojení nebo Microsoft Entra Připojení cloudové synchronizace.

1. Obraťte se na správce domény místní Active Directory, jestli jsou požadované atributy součástí třídy objektu schématu User služby AD DS, a pokud ne, rozšiřte schéma služby Doména služby Active Directory Services v doménách, kde tito uživatelé mají účty.
2. Nakonfigurujte Microsoft Entra Připojení nebo Microsoft Entra Připojení synchronizaci cloudu, aby synchronizovali uživatele s atributem rozšíření ze služby Active Directory do Microsoft Entra ID. Obě tato řešení automaticky synchronizují určité atributy s ID Microsoft Entra, ale ne všechny atributy. Některé atributy (například sAMAccountName) synchronizované ve výchozím nastavení nemusí být zpřístupněny pomocí rozhraní Graph API. V těchto případech můžete pomocí funkce rozšíření adresáře Microsoft Entra Připojení synchronizovat atribut s ID Microsoft Entra nebo použít Microsoft Entra Připojení synchronizaci cloudu. Tímto způsobem je atribut viditelný pro rozhraní Graph API a službu Microsoft Entra provisioning.
3. Pokud uživatelé v místní Active Directory ještě nemají požadované atributy, budete muset aktualizovat uživatele ve službě Active Directory. Tuto aktualizaci je možné provést buď čtením vlastností z Workday, ze SAP SuccessFactors, nebo v případě, že používáte jiný systém personálního oddělení, pomocí příchozího rozhraní API pro personální oddělení.
4. Počkejte na synchronizaci služby Microsoft Entra Připojení nebo Microsoft Entra Připojení synchronizace cloudu, které jste provedli ve schématu služby Active Directory, a uživatelů služby Active Directory do Microsoft Entra ID.

Případně pokud žádný z uživatelů, kteří potřebují přístup k aplikaci, pochází z místní Active Directory, budete muset před konfigurací zřizování pro vaši aplikaci vytvořit rozšíření schématu pomocí PowerShellu nebo Microsoft Graphu v Microsoft Entra ID.

Následující části popisují, jak vytvořit atributy rozšíření pro tenanta pouze s cloudovými uživateli a pro tenanta s uživateli služby Active Directory.

Vytvoření atributu rozšíření v tenantovi pouze s uživateli cloudu

Pomocí Microsoft Graphu a PowerShellu můžete rozšířit uživatelské schéma pro uživatele v Microsoft Entra ID. To je nezbytné, pokud máte uživatele, kteří tento atribut potřebují, a nikdo z nich nepochází nebo se synchronizuje z místní Active Directory. (Pokud máte Active Directory, pokračujte v následujícím článku v části o použití funkce rozšíření adresáře Microsoft Entra Připojení k synchronizaci atributu s ID Microsoft Entra.)

Po vytvoření rozšíření schématu se tyto atributy rozšíření automaticky zjistí při příští návštěvě stránky zřizování v Centru pro správu Microsoft Entra ve většině případů.

Pokud máte více než 1 000 instančních objektů, možná v seznamu zdrojových atributů chybí rozšíření. Pokud se vytvořený atribut automaticky nezobrazí, ověřte, že byl atribut vytvořen, a přidejte ho ručně do schématu. K ověření vytvoření použijte Microsoft Graph a Graph Explorer. Pokud ho chcete přidat ručně do schématu, přečtěte si článek Úpravy seznamu podporovaných atributů.

Vytvoření atributu rozšíření pouze pro uživatele cloudu pomocí Microsoft Graphu

Schéma uživatelů Microsoft Entra můžete rozšířit pomocí Microsoft Graphu.

Nejprve vypište aplikace ve vašem tenantovi, abyste získali ID aplikace, na které pracujete. Další informace najdete v tématu Seznam rozšířeníProperties.

GET https://graph.microsoft.com/v1.0/applications

Dále vytvořte atribut rozšíření. Níže uvedená vlastnost ID nahraďte ID načteným v předchozím kroku. Musíte použít atribut "ID" a ne "appId". Další informace najdete v tématu [Vytvoření rozšířeníProperty]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

Předchozí požadavek vytvořil atribut rozšíření s formátem extension_appID_extensionName. Teď můžete uživatele aktualizovat pomocí tohoto atributu rozšíření. Další informace najdete v tématu Aktualizace uživatele.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

Nakonec ověřte atribut uživatele. Další informace najdete v tématu Získání uživatele. Graph v1.0 ve výchozím nastavení nevrací žádné atributy rozšíření adresáře uživatele, pokud nejsou atributy zadané v požadavku jako jedna z vlastností, které se mají vrátit.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Vytvoření atributu rozšíření jenom pro uživatele cloudu pomocí PowerShellu

Vlastní rozšíření můžete vytvořit pomocí PowerShellu.

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.

#Connect to your Azure AD tenant
Connect-AzureAD

#Create an application (you can instead use an existing application if you would like)
$App = New-AzureADApplication -DisplayName “test app name” -IdentifierUris https://testapp

#Create a service principal
New-AzureADServicePrincipal -AppId $App.AppId

#Create an extension property
New-AzureADApplicationExtensionProperty -ObjectId $App.ObjectId -Name “TestAttributeName” -DataType “String” -TargetObjects “User”

Volitelně můžete otestovat, že vlastnost rozšíření můžete nastavit pouze u uživatele cloudu.

#List users in your tenant to determine the objectid for your user
Get-AzureADUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-AzureADUserExtension -objectid 0ccf8df6-62f1-4175-9e55-73da9e742690 -ExtensionName “extension_6552753978624005a48638a778921fan3_TestAttributeName”

#Verify that the attribute was added correctly.
Get-AzureADUser -ObjectId 0ccf8df6-62f1-4175-9e55-73da9e742690 | Select -ExpandProperty ExtensionProperty

Vytvoření atributu rozšíření pomocí cloudové synchronizace

Pokud máte uživatele ve službě Active Directory a používáte Microsoft Entra Připojení synchronizaci cloudu, synchronizace cloudu automaticky zjistí vaše rozšíření v místní Active Directory, když přejdete na přidání nového mapování. Pokud používáte synchronizaci Microsoft Entra Připojení, pokračujte ve čtení v další části a vytvořte atribut rozšíření pomocí microsoft Entra Připojení.

Pomocí následujícího postupu můžete tyto atributy automaticky nakonfigurovat a nastavit odpovídající mapování na ID Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní identita Správa istrator.
2. Přejděte ke správě hybridních>identit>Microsoft Entra Připojení> Cloud synchronizace.
3. Vyberte konfiguraci, kterou chcete přidat atribut rozšíření a mapování.
4. V části Spravovat atributy vyberte kliknutím upravit mapování.
5. Vyberte Přidat mapování atributů. Atributy se automaticky zjistí.
6. Nové atributy jsou k dispozici v rozevíracím seznamu pod zdrojovým atributem.
7. Vyplňte požadovaný typ mapování a vyberte Použít.

Další informace naleznete v tématu Mapování vlastních atributů v Microsoft Entra Připojení cloudové synchronizaci.

Vytvoření atributu rozšíření pomocí Připojení Microsoft Entra

Pokud uživatelé, kteří přistupují k aplikacím, pocházejí z místní Active Directory, musíte synchronizovat atributy s uživateli ze služby Active Directory do Microsoft Entra ID. Pokud používáte Microsoft Entra Připojení, budete muset před konfigurací zřizování pro vaši aplikaci provést následující úlohy.

1. Obraťte se na správce domény místní Active Directory, jestli jsou požadované atributy součástí třídy objektu schématu User služby AD DS, a pokud ne, rozšiřte schéma služby Doména služby Active Directory Services v doménách, kde tito uživatelé mají účty.

2. Otevřete průvodce Microsoft Entra Připojení, zvolte Úlohy a pak zvolte Přizpůsobit možnosti synchronizace.

3. Přihlaste se jako globální Správa istrator.

4. Na stránce Volitelné funkce vyberte Synchronizaci atributů rozšíření adresáře.

5. Vyberte atributy, které chcete rozšířit na ID Microsoft Entra.

   Poznámka:

   Vyhledávání v části Dostupné atributy rozlišují malá a velká písmena .

6. Dokončete průvodce Microsoft Entra Připojení a povolte spuštění úplného cyklu synchronizace. Po dokončení cyklu se schéma rozšíří a nové hodnoty se synchronizují mezi vaší místní službou AD a Id Microsoft Entra.

Poznámka:

Možnost zřizovat referenční atributy z místní služby AD, jako je managedby nebo DN/DistinguishedName, se dnes nepodporuje. Tuto funkci můžete požádat v uživatelském hlasu.

Naplnění a použití nového atributu

V Centru pro správu Microsoft Entra při úpravách mapování atributů uživatele pro jednotné přihlašování nebo zřizování z Microsoft Entra ID pro aplikaci teď seznam atributů Zdroj bude obsahovat přidaný atribut ve formátu <attributename> (extension_<appID>_<attributename>), kde appID je identifikátor zástupné aplikace ve vašem tenantovi. Vyberte atribut a namapujte ho na cílovou aplikaci pro zřizování.

Potom budete muset tyto uživatele přiřazené k aplikaci naplnit požadovaným atributem před povolením zřizování aplikace. Pokud atribut nepochází ze služby Active Directory, existuje pět způsobů, jak uživatele hromadně naplnit:

• Pokud vlastnosti pocházejí ze systému personálního oddělení a zřizujete pracovní procesy z tohoto systému personálního oddělení jako uživatele ve službě Active Directory, nakonfigurujte mapování z Workday, SAP SuccessFactors nebo pokud používáte jiný systém personálního oddělení, pomocí rozhraní API pro příchozí hr na atribut Active Directory. Potom počkejte, až microsoft Entra Připojení nebo Microsoft Entra Připojení synchronizaci cloudu, aby se synchronizovaly aktualizace provedené ve schématu služby Active Directory a uživatelé služby Active Directory do Microsoft Entra ID.
• Pokud vlastnosti pocházejí z personálního systému a nepoužíváte Active Directory, můžete nakonfigurovat mapování z Workday, SAP SuccessFactors nebo jiných prostřednictvím příchozího rozhraní API na atribut uživatele Microsoft Entra.
• Pokud vlastnosti pocházejí z jiného místního systému, můžete nakonfigurovat mim Připojení or pro Microsoft Graph k vytvoření nebo aktualizaci uživatelů Microsoft Entra.
• Pokud vlastnosti pocházejí od samotných uživatelů, můžete uživatele požádat, aby při vyžádání přístupu k aplikaci zadávali hodnoty atributu, a to zahrnutím požadavků na atribut v katalogu správy nároků.
• Ve všech ostatních situacích může vlastní aplikace aktualizovat uživatele prostřednictvím rozhraní Microsoft Graph API.

Další kroky

• Definujte, kdo je v oboru zřizování