Kurz – Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID
Microsoft Entra ID poskytuje podporu zřizování uživatelů pro aplikace SaaS jiné společnosti než Microsoft, jako jsou Salesforce, G Suite a další. Pokud povolíte zřizování uživatelů pro aplikaci SaaS jiné společnosti než Microsoft, centrum pro správu Microsoft Entra řídí jeho hodnoty atributů prostřednictvím mapování atributů.
Než začnete, ujistěte se, že znáte koncepty správy aplikací a jednotného přihlašování (SSO ). Podívejte se na následující odkazy:
Existuje předkonfigurovaná sada atributů a mapování atributů mezi uživatelskými objekty Microsoft Entra a uživatelskými objekty každé aplikace SaaS. Některé aplikace spravují jiné typy objektů společně s uživateli, jako jsou skupiny.
Výchozí mapování atributů můžete přizpůsobit podle potřeb vaší firmy. Můžete tedy změnit nebo odstranit existující mapování atributů nebo vytvořit nová mapování atributů.
Poznámka:
Kromě konfigurace mapování atributů prostřednictvím rozhraní Microsoft Entra můžete zkontrolovat, stáhnout a upravit reprezentaci schématu JSON.
Úprava mapování atributů uživatele
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Pokud chcete získat přístup k funkci Mapování zřizování uživatelů, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce aplikací.
Přejděte k podnikovým aplikacím> identit.>
Zobrazí se seznam všech nakonfigurovaných aplikací, včetně aplikací přidaných z galerie.
Vyberte libovolnou aplikaci, která načte podokno správy aplikací, kde můžete zobrazit sestavy a spravovat nastavení aplikace.
Výběrem možnosti Zřizování můžete spravovat nastavení zřizování uživatelských účtů pro vybranou aplikaci.
Rozbalte mapování a zobrazte a upravte atributy uživatele, které proudí mezi ID Microsoft Entra a cílovou aplikací. Pokud ji cílová aplikace podporuje, můžete v této části volitelně nakonfigurovat zřizování skupin a uživatelských účtů.
Výběrem konfigurace Mapování otevřete související obrazovku Mapování atributů. Aplikace SaaS vyžadují správné fungování určitých mapování atributů. U požadovaných atributů není funkce Odstranit k dispozici.
Na tomto snímku obrazovky vidíte, že atribut Uživatelské jméno spravovaného objektu v Salesforce je naplněn hodnotou userPrincipalName propojeného objektu Microsoft Entra.
Poznámka:
Zrušením zaškrtnutí políčka Vytvořit nedojde k ovlivnění stávajících uživatelů. Pokud není vybraná možnost Vytvořit , nemůžete vytvářet nové uživatele.
Výběrem existujícího mapování atributů otevřete obrazovku Upravit atribut . Tady můžete upravit atributy uživatele, které proudí mezi ID Microsoft Entra a cílovou aplikací.
Principy typů mapování atributů
Pomocí mapování atributů řídíte, jak se atributy naplní v aplikaci SaaS jiné společnosti než Microsoft. Podporují se čtyři různé typy mapování:
- Direct – cílový atribut je naplněn hodnotou atributu propojeného objektu v Microsoft Entra ID.
- Konstanta – cílový atribut se naplní konkrétním řetězcem, který jste zadali.
- Výraz – cílový atribut se naplní na základě výsledku výrazu podobného skriptu. Další informace o výrazech naleznete v tématu Zápis výrazů pro mapování atributů v Microsoft Entra ID.
- None – cílový atribut zůstane nezměněný. Pokud je však cílový atribut někdy prázdný, naplní se výchozí hodnotou, kterou zadáte.
Spolu s těmito čtyřmi základními typy podporují vlastní mapování atributů koncept volitelného přiřazení výchozí hodnoty. Výchozí přiřazení hodnoty zajišťuje, aby cílový atribut byl naplněn hodnotou, pokud není hodnota v Microsoft Entra ID nebo v cílovém objektu. Nejběžnější konfigurací je ponechat tuto prázdnou. Další informace o mapování atributů naleznete v tématu Jak funguje zřizování aplikací v Microsoft Entra ID.
Principy vlastností mapování atributů
V předchozí části jste se seznámili s vlastností typu mapování atributů. Spolu s touto vlastností mapování atributů také podporuje atributy:
- Atribut zdroje – atribut uživatele ze zdrojového systému (příklad: Microsoft Entra ID).
- Cílový atribut – atribut uživatele v cílovém systému (příklad: ServiceNow).
- Výchozí hodnota, pokud null (volitelné) – hodnota, která je předána cílovému systému, pokud je zdrojový atribut null. Tato hodnota je zřízena pouze při vytvoření uživatele. Při aktualizaci existujícího uživatele není zřízena výchozí hodnota, pokud není zřízena hodnota null. Například při vytváření uživatele přidejte výchozí hodnotu pro název úlohy s výrazem:
Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle])
. Další informace o výrazech naleznete v tématu Referenční informace k zápisu výrazů pro mapování atributů v Microsoft Entra ID. - Porovná objekty používající tento atribut – zda se toto mapování má použít k jednoznačné identifikaci uživatelů mezi zdrojovými a cílovými systémy. Používá se u
userPrincipalName
atributu pošty v MICROSOFT Entra ID a namapováno na pole uživatelského jména v cílové aplikaci. - Odpovídající priorita – Lze nastavit více odpovídajících atributů. Pokud je jich více, vyhodnotí se v pořadí definovaném tímto polem. Jakmile se najde shoda, nevyhodnotí se žádné další odpovídající atributy. I když můžete nastavit tolik odpovídajících atributů, kolik chcete, zvažte, jestli jsou atributy, které používáte jako odpovídající atributy, skutečně jedinečné a musí se shodovat s atributy. Obecně platí, že zákazníci mají v konfiguraci jeden nebo dva odpovídající atributy.
- Použijte mapování.
- Vždy – Použijte toto mapování na akce vytváření a aktualizace uživatelů.
- Pouze během vytváření – Toto mapování použijte pouze u akcí vytváření uživatelů.
Porovnávání uživatelů ve zdrojových a cílových systémech
Službu zřizování Microsoft Entra je možné nasadit v obou scénářích "zeleného pole" (kde uživatelé v cílovém systému neexistují) a "brownfield" (kde už uživatelé v cílovém systému existují). Pro podporu obou scénářů používá služba zřizování koncept odpovídajících atributů. Odpovídající atributy umožňují určit, jak jednoznačně identifikovat uživatele ve zdroji a shodovat uživatele v cíli. V rámci plánování nasazení identifikujte atribut, který lze použít k jednoznačné identifikaci uživatele ve zdrojových a cílových systémech. Poznámky:
- Odpovídající atributy by měly být jedinečné: Zákazníci často používají atributy, jako je userPrincipalName, mail nebo ID objektu jako odpovídající atribut.
- Jako odpovídající atributy lze použít více atributů: Můžete definovat více atributů, které se mají vyhodnotit při porovnávání uživatelů a pořadí, ve kterém se vyhodnotí (definované jako odpovídající priorita v uživatelském rozhraní). Pokud například definujete tři atributy jako odpovídající atributy a uživatel se jedinečně shoduje po vyhodnocení prvních dvou atributů, služba třetí atribut nevyhodnotí. Služba vyhodnotí odpovídající atributy v zadaném pořadí a přestane vyhodnocovat, když se najde shoda.
- Hodnota ve zdroji a cíli se nemusí přesně shodovat: Hodnota v cíli může být funkcí hodnoty ve zdroji. Proto může mít atribut emailAddress ve zdroji a userPrincipalName v cíli a odpovídat funkci atributu emailAddress, která nahradí některé znaky určitou konstantní hodnotou.
- Porovnávání na základě kombinace atributů se nepodporuje: Většina aplikací nepodporuje dotazování na základě dvou vlastností. Proto není možné se shodovat na základě kombinace atributů. Po druhé je možné vyhodnotit jednotlivé vlastnosti.
- Všichni uživatelé musí mít hodnotu alespoň pro jeden odpovídající atribut: Pokud definujete jeden odpovídající atribut, musí mít všichni uživatelé hodnotu pro tento atribut ve zdrojovém systému. Pokud například definujete userPrincipalName jako odpovídající atribut, všichni uživatelé musí mít userPrincipalName. Pokud definujete více odpovídajících atributů (například extensionAttribute1 i pošta), nemusí mít všichni uživatelé stejný odpovídající atribut. Jeden uživatel může mít příponuAttribute1, ale ne poštu, zatímco jiný uživatel může mít poštu, ale žádné extensionAttribute1.
- Cílová aplikace musí podporovat filtrování podle odpovídajícího atributu: Vývojáři aplikací umožňují filtrovat podmnožinu atributů ve svém uživatelském nebo skupinovém rozhraní API. U aplikací v galerii zajistíme, aby výchozí mapování atributů bylo pro atribut, podle kterého rozhraní API cílové aplikace podporuje filtrování. Při změně výchozího odpovídajícího atributu pro cílovou aplikaci zkontrolujte dokumentaci k rozhraní API jiné společnosti než Microsoft a ujistěte se, že je možné atribut filtrovat.
Úprava mapování atributů skupiny
Vybraný počet aplikací, jako je ServiceNow, Box a G Suite, podporuje schopnost zřizovat objekty skupin a uživatelů. Objekty skupiny můžou obsahovat vlastnosti skupiny, jako jsou zobrazovaná jména a e-mailové aliasy, spolu s členy skupiny.
Zřizování skupin můžete volitelně povolit nebo zakázat výběrem mapování skupiny v části Mapování a nastavením Povoleno na požadovanou možnost na obrazovce Mapování atributů.
Atributy zřízené jako součást objektů skupiny lze přizpůsobit stejným způsobem jako objekty uživatele, jak jsme popsali dříve.
Tip
Zřizování objektů skupiny (vlastností a členů) je odlišný koncept od přiřazování skupin k aplikaci. Ke skupině je možné přiřadit skupinu, ale zřídit pouze objekty uživatele obsažené ve skupině. Zřizování objektů celé skupiny není nutné k používání skupin v přiřazeních.
Úprava seznamu podporovaných atributů
Atributy uživatele podporované pro danou aplikaci jsou předem nakonfigurované. Většina rozhraní API pro správu uživatelů aplikace nepodporuje zjišťování schémat. Služba Microsoft Entra provisioning tedy nemůže dynamicky generovat seznam podporovaných atributů voláním aplikace.
Některé aplikace však podporují vlastní atributy a služba zřizování Microsoft Entra může číst a zapisovat do vlastních atributů. Pokud chcete zadat jejich definice do Centra pro správu Microsoft Entra, zaškrtněte políčko Zobrazit upřesňující možnosti v dolní části obrazovky Mapování atributů a pak vyberte Upravit seznam atributů pro vaši aplikaci.
Aplikace a systémy, které podporují přizpůsobení seznamu atributů, zahrnují:
- Salesforce
- ServiceNow
- Workday do Active Directory / Workday do Microsoft Entra ID
- SuccessFactors to Active Directory / SuccessFactors to Microsoft Entra ID
- Microsoft Entra ID (podporují se výchozí atributy rozhraní Microsoft Entra ID Graph API a rozšíření vlastních adresářů ). Další informace o vytváření rozšíření naleznete v tématu Synchronizace atributů rozšíření pro zřizování aplikací Microsoft Entra a známé problémy při zřizování v Microsoft Entra ID
- Aplikace, které podporují systém pro multidoménovou identitu (SCIM) 2.0
- Microsoft Entra ID podporuje zpětný zápis do Workday nebo SuccessFactors pro metadata XPATH a JSONPath. Id Microsoft Entra nepodporuje nové atributy Workday ani SuccessFactors, které nejsou součástí výchozího schématu.
Poznámka:
Úpravy seznamu podporovaných atributů se doporučuje jenom správcům, kteří přizpůsobili schéma svých aplikací a systémů, a mají přehled o tom, jak byly definovány vlastní atributy nebo jestli se zdrojový atribut automaticky nezobrazuje v uživatelském rozhraní Centra pro správu Microsoft Entra. Někdy to vyžaduje znalost rozhraní API a vývojářských nástrojů poskytovaných aplikací nebo systémem. Možnost upravovat seznam podporovaných atributů je ve výchozím nastavení uzamčená, ale zákazníci můžou tuto funkci povolit tak, že přejdou na následující adresu URL: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true Pak můžete přejít do aplikace a zobrazit seznam atributů.
Poznámka:
Pokud se atribut rozšíření adresáře v Microsoft Entra ID nezobrazuje automaticky v rozevíracím seznamu mapování atributů, můžete ho ručně přidat do seznamu atributů Microsoft Entra. Při ručním přidávání atributů rozšíření adresáře Microsoft Entra do zřizovací aplikace mějte na paměti, že názvy atributů rozšíření adresáře rozlišují malá a velká písmena. Příklad: Pokud máte atribut rozšíření adresáře s názvem extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenter
, ujistěte se, že jste ho zadali ve stejném formátu, jak je definováno v adresáři. Zřizování atributů rozšíření s více hodnotami adresáře není podporováno.
Při úpravě seznamu podporovaných atributů jsou k dispozici následující vlastnosti:
- Name – systémový název atributu, jak je definováno ve schématu cílového objektu.
- Typ – typ dat, která atribut ukládá, jak je definováno ve schématu cílového objektu, což může být jeden z následujících typů.
- Binární – atribut obsahuje binární data.
- Logická hodnota – Atribut obsahuje hodnotu True nebo False.
- DateTime – atribut obsahuje řetězec kalendářního data.
- Celé číslo – Atribut obsahuje celé číslo.
- Odkaz – Atribut obsahuje ID, které odkazuje na hodnotu uloženou v jiné tabulce v cílové aplikaci.
- Řetězec – atribut obsahuje textový řetězec.
- Primární klíč? – Určuje, zda je atribut definován jako pole primárního klíče ve schématu cílového objektu.
- Povinné? – Určuje, jestli se atribut vyžaduje k naplnění v cílové aplikaci nebo systému.
- Více hodnot? – Určuje, zda atribut podporuje více hodnot.
- Přesný případ? – Určuje, jestli se hodnoty atributů vyhodnocují rozlišováním velkých a malých písmen.
- Výraz rozhraní API – Nepoužívejte, pokud k tomu není potřeba dát pokyn v dokumentaci ke konkrétnímu konektoru zřizování (například Workday).
- Odkazovaný atribut objektu – Pokud se jedná o atribut typu odkaz, pak tato nabídka umožňuje vybrat tabulku a atribut v cílové aplikaci, která obsahuje hodnotu přidruženou k atributu. Pokud máte například atribut s názvem "Department", jehož uložená hodnota odkazuje na objekt v samostatné tabulce Oddělení, vyberte
Departments.Name
byste . Referenční tabulky a pole primárního ID podporovaná pro danou aplikaci jsou předem nakonfigurovaná a nelze je upravovat pomocí Centra pro správu Microsoft Entra. Můžete je ale upravit pomocí rozhraní Microsoft Graph API.
Zřízení atributu vlastního rozšíření pro aplikaci kompatibilní s SCIM
Požadavek SCIM pro komentáře (RFC) definuje základní schéma uživatele a skupiny a zároveň umožňuje rozšíření schématu tak, aby vyhovovala potřebám vaší aplikace. Přidání vlastního atributu do aplikace SCIM:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce aplikací.
- Přejděte k podnikovým aplikacím> identit.>
- Vyberte aplikaci a pak vyberte Zřizování.
- V části Mapování vyberte objekt (uživatel nebo skupina), pro který chcete přidat vlastní atribut.
- V dolní části stránky vyberte Zobrazit upřesňující možnosti.
- Vyberte Upravit seznam atributů pro AppName.
- V dolní části seznamu atributů zadejte informace o vlastním atributu do zadaných polí. Pak vyberte Přidat atribut.
V případě aplikací SCIM musí název atributu postupovat podle vzoru uvedeného v příkladu. CustomExtensionName a CustomAttribute je možné přizpůsobit podle požadavků vaší aplikace, například: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute
Tyto pokyny platí jenom pro aplikace s podporou SCIM. Aplikace, jako je ServiceNow a Salesforce, nejsou integrované s Microsoft Entra ID pomocí SCIM, a proto nevyžadují tento konkrétní obor názvů při přidávání vlastního atributu.
Vlastní atributy nemohou být odkazované atributy, vícehodnotové ani komplexní atributy. Vlastní atributy rozšíření s více hodnotami a komplexními typy jsou v současné době podporovány pouze pro aplikace v galerii. Hlavička schématu vlastního rozšíření je v příkladu vynechána, protože se neodesílají v požadavcích od klienta Microsoft Entra SCIM.
Příklad reprezentace uživatele s atributem rozšíření:
{
"schemas":[
"urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
],
"userName":"bjensen",
"id": "48af03ac28ad4fb88478",
"externalId":"bjensen",
"name":{
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen",
"givenName":"Barbara"
},
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "701984",
"costCenter": "4130",
"organization": "Universal Studios",
"division": "Theme Park",
"department": "Tour Operations",
"manager": {
"value": "26118915-6090-4610-87e4-49d8ca9f808d",
"$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
"displayName": "John Smith"
}
},
"urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
"CustomAttribute": "701984",
},
"meta": {
"resourceType": "User",
"created": "2010-01-23T04:56:22Z",
"lastModified": "2011-05-13T04:42:34Z",
"version": "W\/\"3694e05e9dff591\"",
"location": "https://example.com/v2/Users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
}
Zřízení role pro aplikaci SCIM
Pomocí kroků v příkladu zřiďte role aplikace pro uživatele pro vaši aplikaci. Popis je specifický pro vlastní aplikace SCIM. Pro aplikace galerie, jako je Salesforce a ServiceNow, použijte předdefinované mapování rolí. Odrážky popisují, jak transformovat atribut AppRoleAssignments na formát, který vaše aplikace očekává.
- Mapování atributu appRoleAssignment v Microsoft Entra ID na roli ve vaší aplikaci vyžaduje transformaci atributu pomocí výrazu. Atribut appRoleAssignment by neměl být mapován přímo na atribut role bez použití výrazu k analýze podrobností role.
Poznámka:
Při zřizování rolí z podnikových aplikací standard SCIM definuje atributy role podnikového uživatele odlišně. Další informace naleznete v tématu Vývoj a plánování zřizování pro koncový bod SCIM v Microsoft Entra ID.
SingleAppRoleAssignment
Kdy použít: Pomocí výrazu SingleAppRoleAssignment zřiďte jednu roli pro uživatele a určete primární roli.
Postupy konfigurace: Pomocí kroků popsaných v postupu přejděte na stránku mapování atributů a pomocí výrazu SingleAppRoleAssignment namapujte na atribut role. Existují tři atributy role, ze které si můžete vybrat (roles[primary eq "True"].display
, roles[primary eq "True"].type
a roles[primary eq "True"].value
). Do mapování můžete zahrnout libovolný nebo všechny atributy role. Pokud chcete zahrnout více než jedno, stačí přidat nové mapování a zahrnout ho jako cílový atribut.
Aspekty, které je třeba zvážit
- Ujistěte se, že není uživateli přiřazeno více rolí. Neexistuje žádná záruka, kterou roli zřídíte.
SingleAppRoleAssignments
Zkontrolujte atribut. Atribut není kompatibilní s nastavením oboru naSync All users and groups
.
Příklad požadavku (POST)
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"externalId": "alias",
"userName": "alias@contoso.OnMicrosoft.com",
"active": true,
"displayName": "First Name Last Name",
"meta": {
"resourceType": "User"
},
"roles": [{
"primary": true,
"type": "WindowsAzureActiveDirectoryRole",
"value": "Admin"
}
]}
Příklad výstupu (PATCH)
"Operations": [
{
"op": "Add",
"path": "roles",
"value": [{
"value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
}
]
}]
Formáty požadavků v patch a POST se liší. Pokud chcete zajistit, aby se POST a PATCH odesílaly ve stejném formátu, můžete použít příznak funkce popsaný tady.
AppRoleAssignmentsComplex
Kdy použít: Pomocí výrazu AppRoleAssignmentsComplex zřiďte pro uživatele více rolí. Postup konfigurace: Upravte seznam podporovaných atributů podle popisu tak, aby zahrnoval nový atribut pro role:
Potom pomocí výrazu AppRoleAssignmentsComplex namapujte na atribut vlastní role, jak je znázorněno na obrázku:
Aspekty, které je třeba zvážit
- Všechny role jsou zřízeny jako primární = false.
- Atribut
id
není vyžadován v rolích SCIM.value
Místo toho použijte atribut. Pokud napříkladvalue
atribut obsahuje název nebo identifikátor role, použijte ho ke zřízení role. Tento příznak funkce můžete použít k opravě problému s atributem ID. Spoléhání se však výhradně na atribut hodnoty není vždy dostatečné; Pokud například existuje více rolí se stejným názvem nebo identifikátorem. V některých případech je nutné k řádnému zřízení role použít atribut ID.
Omezení
- AppRoleAssignmentsComplex není kompatibilní s nastavením oboru pro synchronizaci všech uživatelů a skupin.
Příklad požadavku (POST)
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"externalId": "alias",
"userName": "alias@contoso.OnMicrosoft.com",
"active": true,
"displayName": "First Name Last Name",
"meta": {
"resourceType": "User"
},
"roles": [
{
"primary": false,
"type": "WindowsAzureActiveDirectoryRole",
"displayName": "Admin",
"value": "Admin"
},
{
"primary": false,
"type": "WindowsAzureActiveDirectoryRole",
"displayName": "User",
"value": "User"
}
]
}
Příklad výstupu (PATCH)
"Operations": [
{
"op": "Add",
"path": "roles",
"value": [
{
"value": "{"id":"06b07648-ecfe-589f-9d2f-6325724a46ee","value":"Admin","displayName":"Admin"}
},
{
"value": "{"id":"06b07648-ecfe-599f-9d2f-6325724a46ee","value":"User","displayName":"User"}
}
]
}
]
AssertiveAppRoleAssignmentsComplex (doporučeno pro složité role)
Kdy použít: Použijte AssertiveAppRoleAssignmentsComplex k povolení funkce PATCH Replace. U aplikací SCIM, které podporují více rolí, se tím zajistí odebrání rolí v ID Microsoft Entra také v cílové aplikaci. Funkce nahrazení také odebere všechny další role, které uživatel má, které se neprojeví v ID Entra.
Rozdíl mezi AppRoleAssignmentsComplex a AssertiveAppRoleAssignmentsComplex je režim volání opravy a účinek na cílový systen. První funkce patch přidává pouze a proto neodebere žádné existující role v cíli. Druhá funkce PATCH nahrazuje role v cílovém systému, pokud nebyly přiřazeny uživateli v ID Entra.
Postup konfigurace: Upravte seznam podporovaných atributů podle popisu tak, aby zahrnoval nový atribut pro role:
Potom pomocí výrazu AssertiveAppRoleAssignmentsComplex namapujte na atribut vlastní role, jak je znázorněno na obrázku:
Aspekty, které je třeba zvážit
- Všechny role jsou zřízeny jako primární = false.
- Atribut
id
není vyžadován v rolích SCIM.value
Místo toho použijte atribut. Pokud napříkladvalue
atribut obsahuje název nebo identifikátor role, použijte ho ke zřízení role. Tento příznak funkce můžete použít k opravě problému s atributem ID. Spoléhání se však výhradně na atribut hodnoty není vždy dostatečné; Pokud například existuje více rolí se stejným názvem nebo identifikátorem. V některých případech je nutné k řádnému zřízení role použít atribut ID.
Omezení
- AssertiveAppRoleAssignmentsComplex není kompatibilní s nastavením oboru pro synchronizaci všech uživatelů a skupin.
Příklad požadavku (POST)
{"schemas":["urn:ietf:params:scim:schemas:core:2.0:User"],
"externalId":"contoso",
"userName":"contoso@alias.onmicrosoft.com",
"active":true,
"roles":[{
"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"User",
"value":"User"},
{"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"Test",
"value":"Test"}],
}
Příklad výstupu (PATCH)
{"schemas":["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[{
"op":"replace",
"path":"roles",
"value":[{
"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"User",
"value":"User"},
{"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"Test",
"value":"Test"}
]
}
]
}
Zřízení atributu s více hodnotami
Některé atributy, jako jsou telefonní číslo a e-maily, jsou atributy s více hodnotami, kde potřebujete zadat různé typy telefonních čísel nebo e-mailů. Použijte výraz pro atributy s více hodnotami. Umožňuje zadat typ atributu a namapovat, který pro hodnotu odpovídá atributu uživatele Microsoft Entra.
phoneNumbers[type eq "work"].value
phoneNumbers[type eq "mobile"]
.hodnotaphoneNumbers[type eq "fax"].value
"phoneNumbers": [ { "value": "555-555-5555", "type": "work" }, { "value": "555-555-5555", "type": "mobile" }, { "value": "555-555-5555", "type": "fax" } ]
Obnovení výchozích atributů a mapování atributů
Pokud potřebujete začít znovu a resetovat stávající mapování zpět do výchozího stavu, můžete zaškrtnout políčko Obnovit výchozí mapování a uložit konfiguraci. Tím nastavíte všechna mapování a filtry oborů, jako kdyby byla aplikace přidána do vašeho tenanta Microsoft Entra z galerie aplikací.
Výběrem této možnosti vynutíte opětovnou synchronizaci všech uživatelů, když je spuštěná služba zřizování.
Důležité
Před vyvoláním této možnosti důrazně doporučujeme nastavit stav zřizování na Vypnuto .
Co byste měli vědět
- Microsoft Entra ID poskytuje efektivní implementaci procesu synchronizace. V inicializovaném prostředí se během synchronizačního cyklu zpracovávají pouze objekty vyžadující aktualizace.
- Aktualizace mapování atributů ovlivňuje výkon synchronizačního cyklu. Aktualizace konfigurace mapování atributů vyžaduje opětovné hodnocení všech spravovaných objektů.
- Doporučeným postupem je zachovat minimální počet po sobě jdoucích změn mapování atributů.
- Přidání atributu fotky, který se má zřídit do aplikace, se dnes nepodporuje, protože nemůžete určit formát pro synchronizaci fotky. Tuto funkci můžete požádat v uživatelském hlasu.
- Atribut
IsSoftDeleted
je často součástí výchozích mapování pro aplikaci.IsSoftdeleted
může být pravdivá v jednom ze čtyř scénářů: 1) Uživatel je mimo rozsah kvůli nepřiřazování z aplikace. 2) Uživatel je mimo rozsah kvůli tomu, že nesplňuje filtr oborů. 3) Uživatel je v Microsoft Entra ID. 4) VlastnostAccountEnabled
je nastavena na hodnotu false pro uživatele. Pokuste se zachovatIsSoftDeleted
atribut v mapování atributů. - Služba zřizování Microsoft Entra nepodporuje zřizování hodnot null.
- Primární klíč, obvykle
ID
, by neměl být zahrnut jako cílový atribut v mapování atributů. - Atribut role je obvykle potřeba mapovat pomocí výrazu, nikoli přímého mapování. Další informace o mapování rolí najdete v tématu Zřízení role pro aplikaci SCIM.
- I když můžete zakázat skupiny z mapování, zakázání uživatelů se nepodporuje.