Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps im Azure-Portal

Dieser Artikel enthält eine Beschreibung der allgemeinen Schritte zum Verwalten der automatischen Bereitstellung und zum Aufheben der Bereitstellung von Benutzerkonten für Anwendungen, die dies unterstützen. Die Bereitstellung von Benutzerkonten umfasst das Erstellen, Aktualisieren und/oder Deaktivieren der Benutzerkontodatensätze im lokalen Benutzerprofilspeicher einer Anwendung. Die meisten Cloud- und SaaS-Anwendungen speichern Benutzerrolle und -berechtigungen im eigenen lokalen Profilspeicher des jeweiligen Benutzers. Das Vorkommen eines solchen Benutzerdatensatzes im lokalen Speicher ist erforderlich, damit das einmalige Anmelden und der Zugriff funktionieren. Weitere Informationen zur automatischen Bereitstellung von Benutzerkonten finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen mit Azure Active Directory.

Wichtig

Azure Active Directory (Azure AD) enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen, die für die automatische Bereitstellung mit Azure AD aktiviert sind. Suchen Sie zunächst in der Liste der Tutorials zur Integration von SaaS-Apps in Azure Active Directory nach dem für Ihre Anwendung spezifischen Tutorial zur Bereitstellungseinrichtung. Wahrscheinlich finden Sie eine Schritt-für-Schritt-Anleitung zum Konfigurieren der App und von Azure AD für das Erstellen der Bereitstellungsverbindung.

Suchen Ihrer Apps im Portal

Im Azure Active Directory-Portal können Sie alle Anwendungen in einem Verzeichnis anzeigen und verwalten, die für einmaliges Anmelden konfiguriert sind. Unternehmens-Apps sind Apps, die innerhalb Ihrer Organisation bereitgestellt und verwendet werden. Führen Sie zum Anzeigen und Verwalten Ihrer Unternehmens-Apps diese Schritte aus:

  1. Öffnen Sie das Azure Active Directory-Portal.

  2. Wählen Sie im linken Bereich die Option Unternehmensanwendungen aus. Eine Liste mit allen konfigurierten Apps wird angezeigt, einschließlich Apps, die aus dem Katalog hinzugefügt wurden.

  3. Wählen Sie eine beliebige App aus, um ihren Ressourcenbereich zu laden, in dem Sie Berichte anzeigen und App-Einstellungen verwalten können.

  4. Wählen Sie Bereitstellung aus, um die Einstellungen für die Bereitstellung von Benutzerkonten für die ausgewählte App zu verwalten.

    Provisioning screen to manage user account provisioning settings

Bereitstellungsmodi

Der Bereich Bereitstellung beginnt mit dem Menü Modus, das die unterstützten Bereitstellungsmodi eine Unternehmensanwendung zeigt und deren Konfiguration ermöglicht. Die verfügbaren Optionen umfassen:

  • Automatisch: Diese Option wird angezeigt, wenn Azure AD die automatische API-basierte Bereitstellung bzw. das Aufheben der Bereitstellung von Benutzerkonten für diese Anwendung unterstützt. Wählen Sie den Modus zum Anzeigen einer Oberfläche, auf der Administratoren folgende Aufgaben ausführen können:

    • Konfigurieren von Azure AD zum Herstellen einer Verbindung mit der Benutzerverwaltungs-API der Anwendung
    • Erstellen von Kontozuordnungen und Workflows, die definieren, wie die Benutzerkontendaten zwischen Azure AD und der App übertragen werden sollen
    • Verwalten des Azure AD-Bereitstellungsdiensts
  • Manuell: Diese Option wird angezeigt, wenn Azure AD die automatische Bereitstellung von Benutzerkonten für diese Anwendung nicht unterstützt. Dies bedeutet, dass in der Anwendung gespeicherte Benutzerkontodatensätze basierend auf den Benutzerverwaltungs- und Bereitstellungsfunktionen dieser Anwendung (einschließlich SAML Just-in-Time-Bereitstellung) mit einem externen Prozess verwaltet werden müssen.

Konfigurieren der automatischen Bereitstellung von Benutzerkonten

Wählen Sie die Option Automatisch aus, um Einstellungen für Administratoranmeldeinformationen, Zuordnungen, das Starten und Beenden sowie für die Synchronisierung anzugeben.

Administratoranmeldeinformationen

Erweitern Sie Administratoranmeldeinformationen, um die Anmeldeinformationen einzugeben, die Azure AD zum Herstellen einer Verbindung mit der Benutzerverwaltungs-API der Anwendung benötigt. Die erforderliche Eingabe variiert je nach Anwendung. Informationen zu den Anmeldeinformationstypen und den Anforderungen für bestimmte Anwendungen finden Sie im Konfigurationstutorial der jeweiligen Anwendung.

Durch Klicken auf Verbindung testen können Sie die Anmeldeinformationen testen, indem Sie Azure AD versuchen lassen, mit den angegebenen Anmeldeinformationen eine Verbindung mit der Bereitstellungs-App der App herzustellen.

Zuordnungen

Erweitern Sie Zuordnungen, um die Benutzerattribute anzuzeigen und zu bearbeiten, die beim Bereitstellen oder Aktualisieren von Benutzerkonten zwischen Azure AD und der Zielanwendung übertragen werden.

Zwischen Azure AD-Benutzerobjekten und Benutzerobjekten der einzelnen SaaS-Apps ist eine vorkonfigurierte Gruppe von Zuordnungen vorhanden. Einige Apps verwalten auch Gruppenobjekte. Wählen Sie in der Tabelle eine Zuordnung aus, um den Zuordnungs-Editor zu öffnen, in dem Sie diese anzeigen lassen und anpassen können.

Unterstützte Anpassungen umfassen:

  • Aktivieren und Deaktivieren von Zuordnungen für bestimmte Objekte, z. B. das Azure AD-Benutzerobjekt an das Benutzerobjekt der SaaS-App.

  • Bearbeiten der Attribute, die vom Azure AD-Benutzerobjekt an das Benutzerobjekt der App übermittelt werden Weitere Informationen zur Attributzuordnung finden Sie unter Grundlegendes zu Attributzuordnungstypen.

  • Filtern Sie die Bereitstellungsaktionen, die Azure AD für die Zielanwendung ausführt. Anstatt eine vollständige Synchronisierung von Objekten durch Azure AD zuzulassen, können Sie die ausgeführten Aktionen beschränken.

    Beispiel: Wenn Sie nur Aktualisieren auswählen, aktualisiert Azure AD nur vorhandene Benutzerkonten in einer Anwendung, ohne neue zu erstellen. Wird nur Erstellen ausgewählt, erstellt Azure nur neue Benutzerkonten, ohne vorhandene Konten zu aktualisieren. Dieses Feature ermöglicht Administratoren das Erstellen verschiedener Zuordnungen für Workflows zur Erstellung und Aktualisierung von Konten.

  • Hinzufügen einer neuen Attributzuordnung. Klicken Sie unten im Bereich Attributzuordnung auf Neue Zuordnung hinzufügen. Füllen Sie das Formular Attribut bearbeiten aus, und klicken Sie auf OK, um die neue Zuordnung der Liste hinzuzufügen.

Einstellungen

Erweitern Sie die Einstellungen, um eine E-Mail-Adresse für den Empfang von Benachrichtigungen festzulegen und anzugeben, ob Sie Warnungen zu Fehlern erhalten möchten. Sie können auch den Umfang der zu synchronisierenden Benutzer auswählen. Sie können wählen, ob alle Benutzer und Gruppen synchronisiert werden sollen oder nur die, die zugewiesen sind.

Bereitstellungsstatus

Wenn die Bereitstellung für eine Anwendung zum ersten Mal aktiviert wird, legen Sie den Bereitstellungsstatus auf Ein fest, um den Dienst zu aktivieren. Diese Änderung bewirkt, dass der Azure AD-Bereitstellungsdienst eine anfänglichen Zyklus ausführt. Hierbei liest er die im Abschnitt Benutzer und Gruppen zugewiesenen Benutzer, fragt die Zielanwendung auf diese Benutzer ab und führt dann die im Azure AD-Abschnitt Zuordnungen definierten Bereitstellungsaktionen aus. Während dieses Vorgangs speichert der Bereitstellungsdienst Daten im Cache dazu, welche Benutzerkonten er verwaltet, damit die Bereitstellung nicht verwalteter Konten innerhalb der Zielanwendungen, die nicht im Zuweisungsumfang enthalten waren, nicht aufgehoben wird. Nach dem ersten Zyklus synchronisiert der Bereitstellungsdienst automatisch Benutzer- und Gruppenobjekte in einem 40-Minuten-Intervall.

Durch Ändern des Bereitstellungsstatus in Aus wird der Bereitstellungsdienst angehalten. In diesem Status werden von Azure keine Benutzer- oder Gruppenobjekte in der App erstellt, aktualisiert oder entfernt. Wenn Sie den Zustand wieder in Ein ändern, fährt der Dienst da fort, wo er aufgehört hat.