Sdílet prostřednictvím


Zřizování na vyžádání v Microsoft Entra ID

Zřizování na vyžádání slouží ke zřízení uživatele nebo skupiny v sekundách. Kromě jiného můžete tuto funkci využít k:

  • Rychlé řešení potíží s konfigurací
  • Ověřte výrazy, které jste definovali.
  • Filtry oborů testů

Jak používat zřizování na vyžádání

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce aplikací.
  1. Přejděte na Podnikové aplikace> identit>a>vyberte aplikaci.
  2. Vyberte Zřizování.
  1. Přejděte k >konfiguracím synchronizace>externích>identit identit mezi tenanty.
  2. Vyberte konfiguraci a přejděte na stránku Konfigurace zřizování .
  1. Nakonfigurujte zřizování zadáním přihlašovacích údajů správce.

  2. Vyberte Zřídit na vyžádání.

  3. Vyhledejte uživatele podle jména, příjmení, zobrazovaného jména, hlavního názvu uživatele nebo e-mailové adresy. Případně můžete vyhledat skupinu a vyzvednout až pět uživatelů.

    Poznámka:

    Pro aplikaci zřizování hr v cloudu (Workday / SuccessFactors to Active Directory / Microsoft Entra ID) se vstupní hodnota liší. Ve scénáři Workday zadejte ID pracovního procesu nebo WID uživatele v Workday. V případě scénáře SuccessFactors zadejte "personIdExternal" uživatele v SuccessFactors.

  4. V dolní části stránky vyberte Zřídit .

    Snímek obrazovky znázorňující uživatelské rozhraní Centra pro správu Microsoft Entra pro zřizování uživatele na vyžádání

Vysvětlení kroků zřizování

Proces zřizování na vyžádání se pokusí zobrazit kroky, které služba zřizování provádí při zřizování uživatele. Zřízení uživatele obvykle probíhá v pěti krocích. Jeden nebo více těchto kroků, které jsou vysvětleny v následujících částech, se zobrazují během zřizování na vyžádání.

Krok 1: Testování připojení

Služba zřizování se pokusí autorizovat přístup k cílovému systému provedením požadavku na testovacího uživatele. Služba zřizování očekává odpověď, která značí, že služba autorizovaná k pokračování v krocích zřizování. Tento krok se zobrazí jenom v případě, že selže. Při úspěšném kroku se během zřizování na vyžádání nezobrazuje.

Rady pro řešení potíží

  • Ujistěte se, že jste do cílového systému zadali platné přihlašovací údaje, jako je token tajného klíče a adresa URL tenanta. Požadované přihlašovací údaje se liší podle aplikace. Podrobné kurzy konfigurace najdete v seznamu kurzů.
  • Ujistěte se, že cílový systém podporuje filtrování odpovídajících atributů definovaných v podokně Mapování atributů. Možná budete muset zkontrolovat dokumentaci k rozhraní API, kterou poskytuje vývojář aplikace, abyste porozuměli podporovaným filtrům.
  • Pro aplikace SCIM (System for Cross-Domain Identity Management) použijte nástroj REST API, jako je cURL. Tyto nástroje vám pomůžou zajistit, aby aplikace reagovala na žádosti o autorizaci způsobem, který služba zřizování Microsoft Entra očekává. Podívejte se na příklad požadavku.

Krok 2: Import uživatele

Dále služba zřizování načte uživatele ze zdrojového systému. Atributy uživatele, které služba načte, se později použijí k:

  • Vyhodnoťte, jestli je uživatel v oboru zřizování.
  • Zkontrolujte cílový systém pro existujícího uživatele.
  • Určete, jaké atributy uživatele se mají exportovat do cílového systému.

Zobrazit podrobnosti

V části Podrobnosti zobrazení se zobrazují vlastnosti uživatele, který byl importován ze zdrojového systému (například ID Microsoft Entra).

Rady pro řešení potíží

  • Import uživatele může selhat, pokud v objektu uživatele ve zdrojovém systému chybí odpovídající atribut. Pokud chcete tuto chybu vyřešit, vyzkoušejte jeden z těchto přístupů:

    • Aktualizujte objekt uživatele hodnotou pro odpovídající atribut.
    • Změňte odpovídající atribut v konfiguraci zřizování.
  • Pokud v importovaném seznamu chybí atribut, který jste očekávali, ujistěte se, že atribut má hodnotu objektu uživatele ve zdrojovém systému. Služba zřizování v současné době nepodporuje zřizování atributů null.

  • Ujistěte se, že stránka mapování atributů vaší konfigurace zřizování obsahuje atribut, který očekáváte.

Krok 3: Určení, jestli je uživatel v oboru

Dále služba zřizování určuje, jestli je uživatel v oboru zřizování. Služba bere v úvahu například tyto aspekty:

  • Určuje, jestli je uživatel přiřazen k aplikaci.
  • Určuje, jestli je obor nastavený na Synchronizovat přiřazené nebo Synchronizovat vše.
  • Filtry oborů definované v konfiguraci zřizování

Zobrazit podrobnosti

V části Podrobnosti zobrazení se zobrazují podmínky rozsahu, které byly vyhodnoceny. Může se zobrazit jedna nebo více následujících vlastností:

  • Aktivní ve zdrojovém systému označuje, že uživatel má vlastnost IsActive nastavenou na true v Microsoft Entra ID.
  • Přiřazeno k aplikaci označuje, že uživatel je přiřazen k aplikaci v Microsoft Entra ID.
  • Synchronizace rozsahu znamená , že nastavení oboru umožňuje všem uživatelům a skupinám v tenantovi.
  • Uživatel má požadovanou roli , která označuje, že uživatel má potřebné role, které se mají zřídit do aplikace.
  • Filtry oborů se zobrazují také v případě, že jste definovali filtry oborů pro vaši aplikaci. Filtr se zobrazí v následujícím formátu: {scoping filter title} {scoping filter attribute} {scoping filter operator} {scoping filter operator} {scoping filter value}.

Rady pro řešení potíží

Krok 4: Shoda uživatele mezi zdrojem a cílem

V tomto kroku se služba pokusí shodovat s uživatelem načteným v kroku importu s uživatelem v cílovém systému.

Zobrazit podrobnosti

Na stránce Zobrazit podrobnosti se zobrazují vlastnosti uživatelů, kteří se v cílovém systému shodovali. Kontextové podokno se změní následujícím způsobem:

  • Pokud se v cílovém systému neshodují žádní uživatelé, nezobrazí se žádné vlastnosti.
  • Pokud se jeden uživatel shoduje v cílovém systému, zobrazí se vlastnosti tohoto uživatele.
  • Pokud se shoduje více uživatelů, zobrazí se vlastnosti obou uživatelů.
  • Pokud je součástí mapování atributů více odpovídajících atributů, vyhodnotí se každý odpovídající atribut postupně a zobrazí se odpovídající uživatelé tohoto atributu.

Rady pro řešení potíží

  • Služba zřizování nemusí být schopná odpovídat uživateli ve zdrojovém systému jedinečně s uživatelem v cíli. Tento problém vyřešíte tak, že zajistíte, aby byl odpovídající atribut jedinečný.
  • Ujistěte se, že cílový systém podporuje filtrování atributu definovaného jako odpovídající atribut.

Krok 5: Provedení akce

Služba zřizování nakonec provede akci, například vytvoření, aktualizaci, odstranění nebo přeskočení uživatele.

Tady je příklad toho, co se může zobrazit po úspěšném zřízení uživatele na vyžádání:

Snímek obrazovky znázorňující úspěšné zřizování uživatele na vyžádání

Zobrazit podrobnosti

V části Zobrazit podrobnosti se zobrazí atributy, které byly změněny v cílovém systému. Toto zobrazení představuje konečný výstup aktivity služby zřizování a atributů, které byly exportovány. Pokud tento krok selže, zobrazené atributy představují atributy, které se služba zřizování pokusila upravit.

Rady pro řešení potíží

  • Chyby při exportu změn se můžou výrazně lišit. V dokumentaci najdete protokoly zřizování běžných selhání.
  • Zřizování na vyžádání říká, že skupinu nebo uživatele nejde zřídit, protože nejsou přiřazené k aplikaci. Mezi přiřazením objektu k aplikaci a při zajišťování na vyžádání dochází ke zpoždění replikace až o několik minut. Možná budete muset několik minut počkat a zkusit to znovu.

Nejčastější dotazy

  • Potřebujete vypnout zřizování pro použití zřizování na vyžádání? Pro aplikace, které používají dlouhodobý nosný token nebo uživatelské jméno a heslo pro autorizaci, nejsou vyžadovány žádné další kroky. Aplikace, které k autorizaci používají OAuth, v současné době vyžadují, aby se úloha zřizování zastavila před použitím zřizování na vyžádání. Aplikace, jako je G Suite, Box, Workplace by Facebook a Slack, spadají do této kategorie. Probíhá práce na podpoře zřizování na vyžádání pro všechny aplikace bez nutnosti zastavit zřizování úloh.

  • Jak dlouho trvá zřizování na vyžádání? Zřizování na vyžádání obvykle trvá méně než 30 sekund.

Známá omezení

V současné době existuje několik známých omezení zřizování na vyžádání. Publikujte své návrhy a zpětnou vazbu , abychom mohli lépe určit, jaká vylepšení byste měli udělat dál.

Poznámka:

Následující omezení jsou specifická pro možnosti zřizování na vyžádání. Informace o tom, jestli aplikace podporuje zřizování skupin, odstranění nebo jiných funkcí, najdete v kurzu pro danou aplikaci.

  • Zřizování skupin na vyžádání podporuje aktualizaci až pěti členů najednou. Konektory pro synchronizaci mezi tenanty, Workday atd. nepodporuje zřizování skupin a v důsledku toho nepodporuje zřizování skupin na vyžádání.
  • Rozhraní API žádosti o zřízení na vyžádání může přijmout pouze jednu skupinu s až 5 členy najednou.
  • Zřizování skupin na vyžádání není podporováno pro synchronizaci mezi tenanty.
  • Zřizování na vyžádání podporuje zřizování jednoho uživatele najednou prostřednictvím Centra pro správu Microsoft Entra.
  • Obnovení dříve obnovitelně odstraněného uživatele v cílovém tenantovi se zřizováním na vyžádání se nepodporuje. Pokud se pokusíte obnovit obnovitelné odstranění uživatele se zřizováním na vyžádání a pak ho obnovíte, může to vést k duplicitním uživatelům.
  • Zřizování rolí na vyžádání se nepodporuje.
  • Zřizování na vyžádání podporuje zakázání uživatelů, kteří byli z aplikace nepřiřazení. Nepodporuje ale zakázání nebo odstranění uživatelů, kteří byli zakázáni nebo odstraněni z ID Microsoft Entra. Tito uživatelé se při hledání uživatele nezobrazí.
  • Zřizování na vyžádání nepodporuje vnořené skupiny, které nejsou přímo přiřazené k aplikaci.

Další kroky