Kiépítési naplók az Azure Active Directoryban

  • Cikk
  • 11 perc alatt elolvasható

Az Azure Active Directory (Azure AD) több külső szolgáltatással is integrálható, így felhasználókat építhet ki a bérlőbe. Ha egy kiépített felhasználóval kapcsolatos probléma elhárítására van szüksége, a Azure AD kiépítési naplókban rögzített információkat felhasználhatja a megoldás megtalálásához.

Két további tevékenységnapló is rendelkezésre áll a bérlő állapotának monitorozásához:

  • Bejelentkezések – Információk a bejelentkezésekről és arról, hogy a felhasználók hogyan használják az erőforrásokat.
  • Naplózás – Információk a bérlőre alkalmazott változásokról, például a felhasználókról, a csoportkezelésről vagy a bérlő erőforrásaira alkalmazott frissítésekről.

Ez a cikk áttekintést nyújt a kiépítési naplókról.

Mit tehetek vele?

A kiépítési naplók segítségével a következő kérdésekre kaphat választ:

  • Milyen csoportok lettek sikeresen létrehozva a ServiceNow-ban?

  • Mely felhasználókat sikerült eltávolítani az Adobe-ból?

  • Milyen felhasználók lettek sikeresen létrehozva a Workdayből az Active Directoryban?

Hogyan férhet hozzá a kiépítési naplókhoz?

A kiépítési naplók megtekintéséhez a bérlőnek egy Azure AD Prémium licenccel kell rendelkeznie. A Azure AD kiadás frissítéséhez lásd: Első lépések a prémium szintű Azure Active Directory.

Az alkalmazástulajdonosok megtekinthetik a saját alkalmazásuk naplóit. A kiépítési naplók megtekintéséhez a következő szerepkörök szükségesek:

  • Jelentésolvasó
  • Biztonsági olvasó
  • Biztonsági operátor
  • Biztonsági rendszergazda
  • alkalmazás-rendszergazda
  • Felhőalkalmazás-rendszergazda
  • Globális rendszergazda
  • Egyéni szerepkörben lévő felhasználók kiépítésinaplók engedéllyel

A kiépítési napló adatainak eléréséhez a következő lehetőségek közül választhat:

  • Válassza a Kiépítési naplók lehetőséget a Azure AD Figyelés szakaszában.

  • Streamelje a kiépítési naplókat az Azure Monitorba. Ez a módszer lehetővé teszi a kiterjesztett adatmegőrzést, valamint egyéni irányítópultok, riasztások és lekérdezések készítését.

  • Kérdezze le a Microsoft Graph API a kiépítési naplókhoz.

  • Töltse le a kiépítési naplókat CSV- vagy JSON-fájlként.

A kiépítési naplók megtekintése

A kiépítési napló hatékonyabb megtekintéséhez szánjon néhány percet a nézet igényei szerinti testreszabására. Megadhatja, hogy milyen oszlopokat tartalmazzon, és szűrje az adatokat, hogy szűkítse a dolgokat.

Az elrendezés testreszabása

A kiépítési napló alapértelmezett nézetet tartalmaz, de testre szabhatja az oszlopokat.

  1. Válassza az Oszlopok lehetőséget a napló tetején található menüből.
  2. Jelölje ki a megtekinteni kívánt oszlopokat, és válassza az ablak alján található Mentés gombot.

Képernyőkép az oszlopok testreszabására szolgáló gombról.

Ezzel a területtel több mezőt jeleníthet meg, vagy eltávolíthatja a már megjelenített mezőket.

Az eredmények szűrése

A kiépítési adatok szűrésekor egyes szűrőértékek dinamikusan lesznek feltöltve a bérlő alapján. Ha például nem rendelkezik "létrehozási" eseményekkel a bérlőben, nem lesz Szűrő létrehozása lehetőség.

Az Identitás szűrővel megadhatja a kívánt nevet vagy identitást. Ez az identitás lehet felhasználó, csoport, szerepkör vagy más objektum.

Az objektum neve vagy azonosítója alapján kereshet. Az azonosító forgatókönyv szerint változik.

  • Ha objektumot épít ki Azure AD a Salesforce-ba, a forrásazonosító a felhasználó objektumazonosítója a Azure AD. A célazonosító a Salesforce-beli felhasználó azonosítója.
  • Ha Workdayből Azure AD épít ki, a forrásazonosító a Workday feldolgozó alkalmazottjának azonosítója. A célazonosító a Azure AD felhasználó azonosítója.
  • Ha felhasználókat épít ki a bérlők közötti szinkronizáláshoz, a forrásazonosító a forrásbérlőben lévő felhasználó azonosítója. A célazonosító a célbérlőben lévő felhasználó azonosítója.

Megjegyzés

Előfordulhat, hogy a felhasználó neve nem mindig szerepel az Identitás oszlopban. Mindig lesz egy azonosító.

A Dátum szűrővel időkeretet lehet meghatározni a visszaadott adatokhoz. Lehetséges értékek:

  • Egy hónap
  • Hét nap
  • 30 nap
  • 24 óra
  • Egyéni időintervallum (kezdő dátum és záró dátum konfigurálása)

Az Állapot szűrővel a következőket választhatja ki:

  • Mind
  • Siker
  • Hiba
  • Kihagyva

A Művelet szűrővel szűrheti az alábbi műveleteket:

  • Létrehozás
  • Frissítés
  • Törlés
  • Letiltás
  • Egyéb

Az alapértelmezett nézet szűrői mellett az alábbi szűrőket is beállíthatja.

  • Feladatazonosító: Minden olyan alkalmazáshoz egyedi feladatazonosító van társítva, amelyhez engedélyezte a kiépítést.

  • Ciklusazonosító: A ciklusazonosító egyedileg azonosítja a kiépítési ciklust. Ezt az azonosítót megoszthatja a terméktámogatással, hogy megkeresse azt a ciklust, amelyben ez az esemény történt.

  • Változásazonosító: A változásazonosító a kiépítési esemény egyedi azonosítója. A kiépítési esemény kereséséhez megoszthatja ezt az azonosítót a terméktámogatással.

  • Forrásrendszer: Megadhatja, hogy honnan lesz kiépítve az identitás. Ha például objektumot épít ki Azure AD a ServiceNow-ba, a forrásrendszer Azure AD.

  • Célrendszer: Megadhatja, hogy az identitás hová legyen kiépítve. Ha például objektumot épít ki Azure AD a ServiceNow-ba, a célrendszer a ServiceNow.

  • Alkalmazás: Csak egy adott sztringet tartalmazó megjelenítendő névvel vagy objektumazonosítóval rendelkező alkalmazásrekordokat jeleníthet meg. Bérlők közötti szinkronizáláshoz ne az alkalmazásazonosítót, hanem a konfiguráció objektumazonosítóját használja.

A kiépítési naplók elemzése

Amikor kiválaszt egy elemet a kiépítési lista nézetben, további részleteket kap erről az elemről, például a felhasználó kiépítésének lépéseit és a hibaelhárítási tippeket. A részletek négy lapra vannak csoportosítva.

  • Lépések: Az objektumok kiépítésének lépéseit vázolja fel. Az objektumok üzembe helyezése négy lépésből állhat:

    1. Importálja az objektumot.
    2. Állapítsa meg, hogy az objektum hatókörben van-e.
    3. Egyezzen az objektummal a forrás és a cél között.
    4. Az objektum kiépítése (létrehozás, frissítés, törlés vagy letiltás).

    Képernyőkép a Kiépítési lépésekről a Lépések lapon.

  • Hibaelhárítás & Javaslatok: Megadja a hibakódot és az okot. A hibainformációk csak akkor érhetők el, ha hiba történik.

  • Módosított tulajdonságok: A régi és az új értéket jeleníti meg. Ha nincs régi érték, akkor az oszlop üres.

  • Összefoglalás: Áttekintést nyújt a történtekről és az objektum azonosítóiról a forrás- és célrendszerekben.

Naplók letöltése CSV-ként vagy JSON-ként

A kiépítési naplókat később is letöltheti, ha a Azure Portal naplói között a Letöltés lehetőséget választja. A rendszer a kiválasztott szűrési feltételek alapján szűri a fájlt. A lehető legkonkrétabb szűrőket állítsa be a letöltés méretének és időpontjának csökkentése érdekében.

A CSV-letöltés három fájlt tartalmaz:

  • ProvisioningLogs: Letölti az összes naplót, kivéve a kiépítési lépéseket és a módosított tulajdonságokat.
  • ProvisioningLogs_ProvisioningSteps: A kiépítési lépéseket és a változásazonosítót tartalmazza. A változásazonosítóval csatlakozhat az eseményhez a másik két fájllal.
  • ProvisioningLogs_ModifiedProperties: A módosított attribútumokat és a változásazonosítót tartalmazza. A változásazonosítóval csatlakozhat az eseményhez a másik két fájllal.

A JSON-fájl megnyitása

A JSON-fájl megnyitásához használjon szövegszerkesztőt, például a Microsoft Visual Studio Code-ot. A Visual Studio Code szintaxiskiemeléssel megkönnyíti a fájl olvasását. A JSON-fájlt böngészők használatával is megnyithatja, például a Microsoft Edge-ben.

A JSON-fájl lekérése

A JSON-fájl a letöltés méretének csökkentése érdekében rövidített formátumban lesz letöltve. Ez a formátum megnehezítheti a hasznos adatok olvasását. A fájl lekéréséhez tekintse meg a következő két lehetőséget:

  • A JSON formázásához használja a Visual Studio Code-ot.

  • A JSON formázása a PowerShell használatával. Ez a szkript tabulátorokat és szóközöket tartalmazó formátumban adja ki a JSON-t:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

A JSON-fájl elemzése

Íme néhány példaparancs a JSON-fájl PowerShell-lel való használatához. Bármilyen programozási nyelvet használhat, amelyet szívesen használ.

Először olvassa el a JSON-fájlt a következő parancs futtatásával:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Most már a forgatókönyvének megfelelően elemezheti az adatokat. Bemutatunk néhány példát:

  • A JSON-fájlban lévő összes feladatazonosító kimenete:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Az összes olyan esemény változásazonosítójának kimenete, ahol a művelet "create" volt:

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Alapismeretek

Íme néhány tipp és szempont a jelentések kiépítéséhez:

  • A Azure Portal 30 napig tárolja a jelentett kiépítési adatokat, ha prémium kiadással rendelkezik, és 7 napig, ha ingyenes kiadással rendelkezik. A kiépítési naplókat 30 napnál tovább megőrzés céljából közzéteheti a Log Analyticsben .

  • A change ID attribútumot egyedi azonosítóként is használhatja, ami hasznos lehet például a terméktámogatással való interakció során.

  • Előfordulhat, hogy olyan felhasználók kihagyott eseményeit látja, akik nem tartoznak a hatókörbe. Ez a viselkedés várható, különösen akkor, ha a szinkronizálási hatókör minden felhasználóra és csoportra be van állítva. A szolgáltatás kiértékeli a bérlő összes objektumát, még azokat is, amelyek nem tartoznak a hatókörbe.

  • A kiépítési naplók nem jelenítik meg a szerepkör-importálásokat (az AWS-re, a Salesforce-ra és a Zendeskre vonatkozik). A szerepkör-importálások naplóit az auditnaplókban találja.

Hibakódok

Az alábbi táblázat segítségével jobban megértheti, hogyan háríthatja el a kiépítési naplókban található hibákat. A hiányzó hibakódok esetén a lap alján található hivatkozásra kattintva küldhet visszajelzést.

Hibakód Leírás
Konfliktus
EntryConflict		 Javítsa ki az ütköző attribútumértékeket Azure AD vagy az alkalmazásban. Vagy tekintse át az egyező attribútumkonfigurációt, ha az ütköző felhasználói fióknak egyeznie kellett volna, és át kellett volna vennie. Az egyező attribútumok konfigurálásával kapcsolatos további információkért tekintse át a dokumentációt .
TooManyRequests A célalkalmazás elutasította a felhasználó frissítésére tett kísérletet, mert túlterhelt, és túl sok kérést fogadott. Nincs mit tenni. Ez a kísérlet automatikusan ki lesz vonva. A Microsoftot is értesítették erről a problémáról.
InternalServerError A célalkalmazás váratlan hibát adott vissza. Előfordulhat, hogy a célalkalmazással kapcsolatos szolgáltatásbeli probléma megakadályozza a működését. Ezt a kísérletet a rendszer automatikusan újrapróbálja 40 percen belül.
InsufficientRights,
MethodNotAllowed,
Nincs megadva,
Nem engedélyezett		 Azure AD hitelesítve a célalkalmazással, de nem volt jogosult a frissítés végrehajtására. Tekintse át a célalkalmazás által megadott utasításokat, valamint a megfelelő alkalmazás-oktatóanyagot.
UnprocessableEntity A célalkalmazás váratlan választ adott vissza. Előfordulhat, hogy a célalkalmazás konfigurációja nem megfelelő, vagy a célalkalmazással kapcsolatos szolgáltatásbeli probléma megakadályozhatja a működését.
WebExceptionProtocolError HTTP-protokollhiba történt a célalkalmazáshoz való csatlakozáskor. Nincs mit tenni. Ezt a kísérletet a rendszer automatikusan újrapróbálja 40 percen belül.
InvalidAnchor A kiépítési szolgáltatás által korábban létrehozott vagy egyeztetett felhasználó már nem létezik. Győződjön meg arról, hogy a felhasználó létezik. Az összes felhasználó új egyezésének kényszerítéséhez indítsa újra a feladatot a Microsoft Graph API.

A kiépítés újraindítása elindít egy kezdeti ciklust, amely időt vehet igénybe. A kiépítés újraindítása a kiépítési szolgáltatás által a működéshez használt gyorsítótárat is törli. Ez azt jelenti, hogy a bérlőben lévő összes felhasználót és csoportot újra ki kell értékelni, és előfordulhat, hogy bizonyos kiépítési események elvesznek.
NotImplemented A célalkalmazás váratlan választ adott vissza. Előfordulhat, hogy az alkalmazás konfigurációja nem megfelelő, vagy a célalkalmazással kapcsolatos szolgáltatással kapcsolatos probléma megakadályozhatja a működését. Tekintse át a célalkalmazás által megadott utasításokat, valamint a megfelelő alkalmazás-oktatóanyagot.
MandatoryFieldsMissing,
MissingValues		 A felhasználó nem hozható létre, mert hiányoznak a szükséges értékek. Javítsa ki a hiányzó attribútumértékeket a forrásrekordban, vagy tekintse át az egyező attribútumkonfigurációt, hogy a szükséges mezők ne legyenek kihagyva. További információ az egyező attribútumok konfigurálásáról.
SchemaAttributeNotFound A műveletet nem lehetett végrehajtani, mert olyan attribútum lett megadva, amely nem létezik a célalkalmazásban. Tekintse meg az attribútumok testreszabásával kapcsolatos dokumentációt , és győződjön meg arról, hogy a konfiguráció helyes.
InternalError Belső szolgáltatáshiba történt a Azure AD kiépítési szolgáltatásban. Nincs mit tenni. Ezt a kísérletet a rendszer automatikusan újrapróbálja 40 percen belül.
InvalidDomain A műveletet nem lehetett végrehajtani, mert egy attribútumérték érvénytelen tartománynevet tartalmaz. Frissítse a felhasználó tartománynevét, vagy adja hozzá a célalkalmazás engedélyezett listájához.
Időtúllépés A művelet nem hajtható végre, mert a célalkalmazás túl sokáig tartott a válaszadáshoz. Nincs mit tenni. Ezt a kísérletet a rendszer automatikusan újrapróbálja 40 percen belül.
LicenseLimitExceeded A felhasználó nem hozható létre a célalkalmazásban, mert ehhez a felhasználóhoz nincsenek elérhető licencek. Szerezzen be további licenceket a célalkalmazáshoz. Vagy tekintse át a felhasználói hozzárendeléseket és az attribútumleképezés konfigurációját, és győződjön meg arról, hogy a megfelelő felhasználók a megfelelő attribútumokkal vannak hozzárendelve.
DuplicateTargetEntries A művelet nem hajtható végre, mert a célalkalmazás több felhasználója is megtalálható a konfigurált egyező attribútumokkal. Távolítsa el a duplikált felhasználót a célalkalmazásból, vagy konfigurálja újra az attribútumleképezéseket.
DuplicateSourceEntries A művelet nem hajtható végre, mert több felhasználó is megtalálható a konfigurált egyező attribútumokkal. Távolítsa el a duplikált felhasználót, vagy konfigurálja újra az attribútumleképezéseket.
ImportSkipped Az egyes felhasználók kiértékelésekor a rendszer megpróbálja importálni a felhasználót a forrásrendszerből. Ez a hiba általában akkor fordul elő, ha az importált felhasználó hiányzik az attribútumleképezésekben definiált egyező tulajdonságból. Ha nincs érték a felhasználói objektumban az egyező attribútumhoz, a rendszer nem tudja kiértékelni a hatókör-meghatározást, az egyeztetést vagy a módosítások exportálását. A hiba jelenléte nem jelzi, hogy a felhasználó hatókörben van, mert még nem értékelte ki a felhasználó hatókörkezelését.
EntrySynchronizationSkipped A kiépítési szolgáltatás sikeresen lekérdezte a forrásrendszert, és azonosította a felhasználót. Nem történt további művelet a felhasználón, és a rendszer kihagyta őket. Lehet, hogy a felhasználó hatókörén kívül volt, vagy a felhasználó már létezik a célrendszerben további módosítások nélkül.
SystemForCrossDomainIdentity
ManagementMultipleEntriesInResponse		 Egy felhasználó vagy csoport lekérésére irányuló GET kérés több felhasználót vagy csoportot fogadott a válaszban. A rendszer várhatóan csak egy felhasználót vagy csoportot fogad a válaszban. Ha például GET csoportkérést hajt végre egy csoport lekéréséhez, adjon meg egy szűrőt a tagok kizárásához, és a System for Cross-Domain Identity Management (SCIM) végpontja visszaadja a tagokat, ez a hibaüzenet jelenik meg.
SystemForCrossDomainIdentity
ManagementServiceIncompatible		 A Azure AD kiépítési szolgáltatás nem tudja elemezni a külső alkalmazás válaszát. Az alkalmazásfejlesztővel együttműködve győződjön meg arról, hogy az SCIM-kiszolgáló kompatibilis a Azure AD SCIM-ügyféllel.
SchemaPropertyCanOnlyAcceptValue A célrendszer tulajdonsága csak egy értéket fogad el, de a forrásrendszer tulajdonsága többel rendelkezik. Győződjön meg arról, hogy egy egyértékű attribútumot rendel a hibát jelző tulajdonsághoz, frissítse a forrásban lévő értéket egyértékűre, vagy távolítsa el az attribútumot a leképezésekből.

Hibakódok bérlők közötti szinkronizáláshoz

Az alábbi táblázat segítségével jobban megértheti, hogyan háríthatja el a bérlők közötti szinkronizálás kiépítési naplóiban található hibákat. A hiányzó hibakódok esetén a lap alján található hivatkozásra kattintva küldhet visszajelzést.

Hibakód Ok Megoldás
AzureActiveDirectoryCannotUpdateObjectsOriginatedInExternalService A szinkronizálási motor nem tudott frissíteni egy vagy több felhasználói tulajdonságot a célbérlőben.

A művelet a Microsoft Graph API szolgáltatói (SOA) kényszerítése miatt meghiúsult. Jelenleg a következő tulajdonságok jelennek meg a listában:
Mail
showInAddressList		 Bizonyos esetekben (például ha showInAddressList a tulajdonság a felhasználói frissítés része) a szinkronizálási motor automatikusan újrapróbálkozhat a (felhasználó) frissítésével a jogsértő tulajdonság nélkül. Ellenkező esetben a tulajdonságot közvetlenül a célbérlőben kell frissítenie.
AzureDirectoryB2BManagementPolicyCheckFailure Az automatikus beváltást engedélyező bérlők közötti szinkronizálási szabályzat meghiúsult.

A szinkronizálási motor ellenőrzi, hogy a célbérlő rendszergazdája létrehozott-e egy bérlők közötti bejövő szinkronizálási szabályzatot, amely lehetővé teszi az automatikus visszaváltást. A szinkronizálási motor azt is ellenőrzi, hogy a forrásbérlő rendszergazdája engedélyezte-e a kimenő szabályzatot az automatikus visszaváltáshoz.		 Győződjön meg arról, hogy az automatikus visszaváltási beállítás engedélyezve van a forrás- és a célbérlők esetében is. További információ: Automatikus beváltás beállítása.
AzureActiveDirectoryQuotaLimitExceeded A bérlőben lévő objektumok száma meghaladja a címtárkorlátot.

Azure AD korlátozza a bérlőben létrehozható objektumok számát.		 Ellenőrizze, hogy növelhető-e a kvóta. További információ a címtárkorlátokról és a kvóta növelésének lépéseiről: Azure AD szolgáltatáskorlátok és -korlátozások.
InvitationCreationFailure A Azure AD kiépítési szolgáltatás megpróbálta meghívni a felhasználót a célbérlőben. A meghívás nem sikerült. Lépjen a felhasználói beállítások lapjára Azure AD > külső felhasználók > együttműködési korlátozásaival, és győződjön meg arról, hogy az adott bérlővel való együttműködés engedélyezve van.
AzureActiveDirectoryInsufficientRights Ha a célbérlőben egy B2B-felhasználó nem felhasználó, segélyszolgálati Rendszergazda vagy felhasználói fiók Rendszergazda szerepkörrel rendelkezik, nem törölhető. Távolítsa el a szerepkör(ek)et a felhasználóról a célbérlőben a felhasználó sikeres törléséhez a célbérlőben.

Következő lépések