Oktatóanyag – SaaS-alkalmazások felhasználói kiépítési attribútumleképezéseinek testreszabása a Microsoft Entra ID-ban
A Microsoft Entra ID támogatást nyújt a nem Microsoft SaaS-alkalmazások, például a Salesforce, a G Suite és más alkalmazások felhasználói kiépítéséhez. Ha engedélyezi a felhasználók kiépítését egy nem Microsoft SaaS-alkalmazáshoz, a Microsoft Entra felügyeleti központ attribútumleképezésekkel vezérli az attribútumértékeket.
Az első lépések előtt győződjön meg arról, hogy ismeri az alkalmazáskezelés és az egyszeri bejelentkezés (SSO) fogalmait. Tekintse meg a következő hivatkozásokat:
- Rövid útmutatók az alkalmazáskezelésről a Microsoft Entra ID-ban
- Mi az az egyszeri bejelentkezés (SSO)?
A Microsoft Entra felhasználói objektumai és az egyes SaaS-alkalmazások felhasználói objektumai között előre konfigurált attribútumok és attribútumleképezések találhatók. Egyes alkalmazások más típusú objektumokat is kezelnek a Felhasználókkal együtt, például a Csoportokat.
Az alapértelmezett attribútumleképezéseket az üzleti igényeinek megfelelően szabhatja testre. Így módosíthatja vagy törölheti a meglévő attribútumleképezéseket, vagy létrehozhat új attribútumleképezéseket.
Feljegyzés
AMellett, hogy attribútumleképezéseket konfigurál a Microsoft Entra felületén, áttekintheti, letöltheti és szerkesztheti a séma JSON-ábrázolását.
Felhasználói attribútumleképezések szerkesztése
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Kövesse az alábbi lépéseket a felhasználói kiépítés leképezési funkciójának eléréséhez:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásadminisztrátorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
Megjelenik az összes konfigurált alkalmazás listája, beleértve a katalógusból felvett alkalmazásokat is.
Jelölje ki bármelyik alkalmazást az alkalmazásfelügyeleti panel betöltéséhez, ahol megtekintheti a jelentéseket és kezelheti az alkalmazásbeállításokat.
Válassza a Kiépítés lehetőséget a kiválasztott alkalmazás felhasználói fiókkiépítési beállításainak kezeléséhez.
Bontsa ki a Leképezések elemet a Microsoft Entra ID és a célalkalmazás között folyó felhasználói attribútumok megtekintéséhez és szerkesztéséhez. Ha a célalkalmazás támogatja, ebben a szakaszban igény szerint konfigurálhatja a csoportok és felhasználói fiókok kiépítését.
Válasszon ki egy leképezési konfigurációt a kapcsolódó attribútumleképezési képernyő megnyitásához. Az SaaS-alkalmazások bizonyos attribútumleképezéseket igényelnek a helyes működéshez. A szükséges attribútumok esetében a Törlés funkció nem érhető el.
Ebben a képernyőképen láthatja, hogy a Salesforce-ban egy felügyelt objektum Felhasználónév attribútuma fel van töltve a csatolt Microsoft Entra Objektum userPrincipalName értékével.
Feljegyzés
A Létrehozás törlése nincs hatással a meglévő felhasználókra. Ha a Létrehozás nincs kiválasztva, nem hozhat létre új felhasználókat.
Válasszon ki egy meglévő attribútumleképezést az Attribútum szerkesztése képernyő megnyitásához. Itt szerkesztheti a Microsoft Entra ID és a célalkalmazás között folyó felhasználói attribútumokat.
Az attribútumleképezés típusainak ismertetése
Az attribútumleképezésekkel szabályozhatja, hogy az attribútumok hogyan legyenek feltöltve egy nem Microsoft SaaS-alkalmazásban. Négy különböző leképezési típus támogatott:
- Közvetlen – a célattribútum a Csatolt objektum attribútumának értékével van feltöltve a Microsoft Entra-azonosítóban.
- Állandó – a célattribútum egy megadott sztringgel van feltöltve.
- Kifejezés – a célattribútum egy szkriptszerű kifejezés eredménye alapján lesz feltöltve. További információ a kifejezésekről: Kifejezések írása attribútumleképezésekhez a Microsoft Entra ID-ban.
- Nincs – a célattribútum nincs módosítva. Ha azonban a célattribútum mindig üres, akkor a megadott alapértelmezett értékkel töltődik fel.
A négy alaptípus mellett az egyéni attribútumleképezések támogatják az opcionális alapértelmezett érték-hozzárendelés fogalmát. Az alapértelmezett érték-hozzárendelés biztosítja, hogy a célattribútumok fel vannak töltve egy értékkel, ha nincs érték a Microsoft Entra-azonosítóban vagy a célobjektumon. A leggyakoribb konfiguráció az, hogy ezt hagyja üresen. További információ a leképezési attribútumokról: Az alkalmazáskiépítés működése a Microsoft Entra ID-ban.
Az attribútumleképezés tulajdonságainak ismertetése
Az előző szakaszban bevezettük az attribútumleképezés típusú tulajdonságot. Ezzel a tulajdonsággal együtt az attribútumleképezések az attribútumokat is támogatják:
- Forrásattribútum – A forrásrendszer felhasználói attribútuma (például: Microsoft Entra ID).
- Célattribútum – A célrendszer felhasználói attribútuma (például: ServiceNow).
- Alapértelmezett érték, ha null (nem kötelező) – A célrendszernek átadott érték, ha a forrásattribútum null. Ez az érték csak egy felhasználó létrehozásakor lesz kiépítve. Az "alapértelmezett érték, ha null" nincs kiépítve egy meglévő felhasználó frissítésekor. Adjon hozzá például egy alapértelmezett értéket a feladatcímhez egy felhasználó létrehozásakor a következő kifejezéssel:
Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle])
. A kifejezésekről további információt a Microsoft Entra ID-ban található attribútumleképezések kifejezéseinek írására vonatkozó referencia című témakörben talál. - Az attribútumot használó objektumok egyezése – Azt jelzi, hogy ezt a leképezést kell-e használni a felhasználók egyedi azonosítására a forrás- és célrendszerek között.
userPrincipalName
A Microsoft Entra ID-ban használt és egy célalkalmazás felhasználónév mezőjére leképezett vagy e-mail attribútumként használható. - Egyező sorrend – Több egyező attribútum is beállítható. Ha több van, azokat a mező által meghatározott sorrendben értékeli ki a rendszer. Amint talál egyezést, a rendszer nem értékeli ki a további egyező attribútumokat. Bár annyi egyező attribútumot állíthat be, amennyit csak szeretne, fontolja meg, hogy az egyező attribútumként használt attribútumok valóban egyediek-e, és egyező attribútumoknak kell lenniük. Az ügyfelek általában egy vagy két egyező attribútummal rendelkeznek a konfigurációjukban.
- Alkalmazza a leképezést.
- Always – Alkalmazza ezt a leképezést a felhasználólétrehozási és frissítési műveletekre is.
- Csak a létrehozás során – Ezt a leképezést csak a felhasználólétrehozási műveletekre alkalmazza.
A forrás- és célrendszerek felhasználóinak egyeztetése
A Microsoft Entra kiépítési szolgáltatás üzembe helyezhető mindkét "zöldmezős" forgatókönyvben (ahol a felhasználók nem léteznek a célrendszerben) és a "barnamezős" forgatókönyvekben (ahol a felhasználók már léteznek a célrendszerben). Mindkét forgatókönyv támogatásához a kiépítési szolgáltatás az egyező attribútumok fogalmát használja. Az egyező attribútumok segítségével meghatározhatja, hogyan azonosíthat egyedileg egy felhasználót a forrásban, és hogyan egyezhet meg a célban szereplő felhasználóval. Az üzembe helyezés megtervezése során azonosítsa azt az attribútumot, amely a forrás- és célrendszerekben lévő felhasználók egyedi azonosítására használható. Fontos tudnivalók:
- Az egyező attribútumoknak egyedinek kell lenniük: az ügyfelek gyakran olyan attribútumokat használnak, mint a userPrincipalName, a mail vagy az objektumazonosító egyező attribútumként.
- Több attribútum is használható egyező attribútumként: Definiálhat több kiértékelendő attribútumot a felhasználók egyeztetésekor és a kiértékelési sorrendben (a felhasználói felületen egyező elsőbbségként definiálva). Ha például három attribútumot határoz meg egyező attribútumként, és egy felhasználó egyedileg egyezik az első két attribútum kiértékelése után, a szolgáltatás nem értékeli ki a harmadik attribútumot. A szolgáltatás a megadott sorrendben értékeli ki az egyező attribútumokat, és leállítja az egyezések kiértékelését.
- A forrás és a cél értékének nem kell pontosan egyeznie: A célérték lehet a forrásban lévő érték függvénye. Így lehet egy e-mailAddress attribútum a forrásban és a userPrincipalName a célban, és megfelelhet az e-mailAddress attribútum függvényének, amely bizonyos karaktereket állandó értékre cserél.
- Az attribútumok kombinációján alapuló egyeztetés nem támogatott: a legtöbb alkalmazás nem támogatja a két tulajdonságon alapuló lekérdezést. Ezért az attribútumok kombinációja alapján nem lehet egyezni. Az egyes tulajdonságok kiértékelése egy másik után lehetséges.
- Minden felhasználónak rendelkeznie kell legalább egy egyező attribútum értékével: Ha egy egyező attribútumot határoz meg, minden felhasználónak rendelkeznie kell az attribútum értékével a forrásrendszerben. Ha például a userPrincipalName nevet adja meg egyező attribútumként, minden felhasználónak rendelkeznie kell egy userPrincipalName névvel. Ha több egyező attribútumot határoz meg (például az extensionAttribute1 és a Mail bővítményt is), nem minden felhasználónak kell ugyanazzal az egyező attribútummal rendelkeznie. Az egyik felhasználó rendelkezhet egy extensionAttribute1 kiterjesztéssel, de nem e-mailben, míg egy másik felhasználónak lehet e-mailje, de nincs extensionAttribute1.
- A célalkalmazásnak támogatnia kell a megfelelő attribútum szűrését: Az alkalmazásfejlesztők lehetővé teszik az attribútumok egy részhalmazának szűrését a felhasználói vagy csoport API-jukon. A katalógusban lévő alkalmazások esetében biztosítjuk, hogy az alapértelmezett attribútumleképezés olyan attribútum legyen, amelyen a célalkalmazás API-ja támogatja a szűrést. A célalkalmazás alapértelmezett egyező attribútumának módosításakor ellenőrizze a nem Microsoft API dokumentációjában, hogy az attribútum szűrhető-e.
Csoportattribútum-leképezések szerkesztése
A kiválasztott számú alkalmazás, például a ServiceNow, a Box és a G Suite támogatja a csoport- és felhasználói objektumok kiépítését. A csoportobjektumok tartalmazhatnak csoporttulajdonságokat, például megjelenítendő neveket és e-mail aliasokat, valamint csoporttagokat.
A csoportkiépítés opcionálisan engedélyezhető vagy letiltható a Csoportleképezés lehetőség kiválasztásával a Leképezések területen, és az Attribútumleképezés képernyőn a kívánt beállításra van beállítva.
A csoportobjektumok részeként kiépített attribútumok ugyanúgy testre szabhatók, mint a korábban ismertetett felhasználói objektumok.
Tipp.
A csoportobjektumok (tulajdonságok és tagok) kiépítése külön fogalom a csoportok alkalmazáshoz való hozzárendelésétől. Hozzárendelhet egy csoportot egy alkalmazáshoz, de csak a csoport felhasználói objektumait építheti ki. A csoportok hozzárendelésekben való használatához nem szükséges teljes csoportobjektumok kiépítése.
A támogatott attribútumok listájának szerkesztése
Az adott alkalmazáshoz támogatott felhasználói attribútumok előre konfigurálva vannak. A legtöbb alkalmazás felhasználói felügyeleti API-k nem támogatják a sémafelderítést. A Microsoft Entra kiépítési szolgáltatás tehát nem tudja dinamikusan létrehozni a támogatott attribútumok listáját az alkalmazás hívásával.
Egyes alkalmazások azonban támogatják az egyéni attribútumokat, és a Microsoft Entra kiépítési szolgáltatás képes olvasni és írni az egyéni attribútumokra. Ha meg szeretné adni a definícióikat a Microsoft Entra Felügyeleti központban, jelölje be a Speciális beállítások megjelenítése jelölőnégyzetet az Attribútumleképezés képernyő alján, majd válassza az alkalmazás attribútumlistájának szerkesztése lehetőséget.
Az attribútumlista testreszabását támogató alkalmazások és rendszerek a következők:
- Salesforce
- ServiceNow
- Workday–Active Directory/Workday –Microsoft Entra ID
- SuccessFactors to Active Directory / SuccessFactors to Microsoft Entra ID
- Microsoft Entra ID (a Microsoft Entra ID Graph API alapértelmezett attribútumai és az egyéni címtárkiterjesztések támogatottak). További információ a bővítmények létrehozásáról: A Microsoft Entra-alkalmazáskiépítés bővítményattribútumainak szinkronizálása és a Microsoft Entra ID-ban való üzembe helyezés ismert problémái
- A tartományközi identitást (SCIM) 2.0-t támogató alkalmazások
- A Microsoft Entra ID támogatja a Workday vagy SuccessFactors for XPATH és JSONPath metaadatokra való visszaírást. A Microsoft Entra ID nem támogatja az alapértelmezett sémában nem szereplő új Workday- vagy SuccessFactors-attribútumokat
Feljegyzés
A támogatott attribútumok listájának szerkesztése csak azoknak a rendszergazdáknak ajánlott, akik testre szabták alkalmazásuk és rendszerük sémáját, és első kézből ismerik az egyéni attribútumok definiálásának módját, vagy ha egy forrásattribútum nem jelenik meg automatikusan a Microsoft Entra Felügyeleti központ felhasználói felületén. Ez néha megköveteli az alkalmazások vagy rendszerek által biztosított API-k és fejlesztői eszközök megismerését. A támogatott attribútumok listájának szerkesztési lehetősége alapértelmezés szerint le van zárva, de az ügyfelek a következő URL-címre lépve engedélyezhetik a funkciót: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true . Ezután az alkalmazásra lépve megtekintheti az attribútumlistát.
Feljegyzés
Ha a Microsoft Entra ID címtárkiterjesztési attribútuma nem jelenik meg automatikusan az attribútumleképezés legördülő listájában, manuálisan hozzáadhatja a "Microsoft Entra attribútumlistához". Ha manuálisan adja hozzá a Microsoft Entra címtárbővítmény-attribútumait a kiépítési alkalmazáshoz, vegye figyelembe, hogy a címtárbővítmény attribútumainak neve megkülönbözteti a kis- és nagybetűket. Például: Ha rendelkezik egy címtárkiterjesztési attribútummal, extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenter
győződjön meg arról, hogy a címtárban megadott formátumban adja meg. A többértékű címtárbővítmény-attribútumok kiépítése nem támogatott.
A támogatott attribútumok listájának szerkesztésekor a következő tulajdonságok jelennek meg:
- Név – A célobjektum sémájában meghatározott attribútum rendszerneve.
- Típus – Az attribútum által tárolt adatok típusa a célobjektum sémájában meghatározott módon, amely az alábbi típusok egyike lehet.
- Bináris – Az attribútum bináris adatokat tartalmaz.
- Logikai – Az attribútum igaz vagy hamis értéket tartalmaz.
- DateTime – Az attribútum dátumsztringet tartalmaz.
- Egész szám – Az attribútum egész számot tartalmaz.
- Hivatkozás – Az attribútum egy azonosítót tartalmaz, amely a célalkalmazás egy másik táblájában tárolt értékre hivatkozik.
- Karakterlánc – Az attribútum szöveges sztringet tartalmaz.
- Elsődleges kulcs? - Az attribútum elsődleges kulcsmezőként van-e definiálva a célobjektum sémájában.
- Kötelező? - Azt, hogy az attribútumot ki kell-e tölteni a célalkalmazásban vagy a rendszerben.
- Többértékű? - Az attribútum támogatja-e a több értéket.
- Pontos eset? - Az attribútumértékek kis- és nagybetűkre érzékeny kiértékelése.
- API-kifejezés – Csak akkor használja, ha egy adott kiépítési összekötő (például a Workday) dokumentációja erre utasítja.
- Hivatkozott objektumattribútum – Ha referencia típusú attribútum, akkor ebben a menüben kiválaszthatja a táblát és az attribútumot a célalkalmazásban, amely az attribútumhoz társított értéket tartalmazza. Ha például egy "Részleg" nevű attribútummal rendelkezik, amelynek tárolt értéke egy külön "Részlegek" táblában lévő objektumra hivatkozik, akkor válassza a lehetőséget
Departments.Name
. A referenciatáblák és az adott alkalmazáshoz támogatott elsődleges azonosító mezők előre konfigurálva vannak, és nem szerkeszthetők a Microsoft Entra felügyeleti központban. A Microsoft Graph API-val azonban szerkesztheti őket.
Egyéni bővítményattribútum kiépítése SCIM-kompatibilis alkalmazáshoz
Az SCIM Megjegyzések kérése (RFC) meghatároz egy alapvető felhasználó- és csoportsémát, ugyanakkor lehetővé teszi a séma bővítményeinek használatát az alkalmazás igényeinek megfelelően. Egyéni attribútum hozzáadása SCIM-alkalmazásokhoz:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásadminisztrátorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
- Jelölje ki az alkalmazást, majd válassza a Kiépítés lehetőséget.
- A Leképezések területen válassza ki azt az objektumot (felhasználót vagy csoportot), amelyhez egyéni attribútumot szeretne hozzáadni.
- A lap alján válassza a Speciális beállítások megjelenítése lehetőséget.
- Válassza az AppName attribútumlistájának szerkesztése lehetőséget.
- Az attribútumlista alján adja meg az egyéni attribútum adatait a megadott mezőkben. Ezután válassza az Attribútum hozzáadása lehetőséget.
SCIM-alkalmazások esetén az attribútum nevének a példában látható mintát kell követnie. A "CustomExtensionName" és a "CustomAttribute" az alkalmazás igényei szerint testre szabható, például: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute
Ezek az utasítások csak SCIM-kompatibilis alkalmazásokra vonatkoznak. Az olyan alkalmazások, mint a ServiceNow és a Salesforce nem integrálva vannak a Microsoft Entra ID-val az SCIM használatával, ezért egyéni attribútumok hozzáadásakor nem igényelnek ilyen névteret.
Az egyéni attribútumok nem lehetnek hivatkozási attribútumok, többértékű vagy összetett típusú attribútumok. Az egyéni többértékű és összetett típusú bővítményattribútumok jelenleg csak a katalógusban lévő alkalmazások esetében támogatottak. Az egyéni bővítményséma fejléce nem szerepel a példában, mert a rendszer nem küldi el a Microsoft Entra SCIM-ügyféltől érkező kérésekben.
Példa egy bővítményattribútummal rendelkező felhasználó ábrázolása:
{
"schemas":[
"urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
],
"userName":"bjensen",
"id": "48af03ac28ad4fb88478",
"externalId":"bjensen",
"name":{
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen",
"givenName":"Barbara"
},
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "701984",
"costCenter": "4130",
"organization": "Universal Studios",
"division": "Theme Park",
"department": "Tour Operations",
"manager": {
"value": "26118915-6090-4610-87e4-49d8ca9f808d",
"$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
"displayName": "John Smith"
}
},
"urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
"CustomAttribute": "701984",
},
"meta": {
"resourceType": "User",
"created": "2010-01-23T04:56:22Z",
"lastModified": "2011-05-13T04:42:34Z",
"version": "W\/\"3694e05e9dff591\"",
"location": "https://example.com/v2/Users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
}
Szerepkör kiépítése SCIM-alkalmazáshoz
A példában ismertetett lépésekkel alkalmazásszerepköröket építhet ki egy felhasználó számára az alkalmazáshoz. A leírás az egyéni SCIM-alkalmazásokra vonatkozik. Az olyan katalógusalkalmazások esetében, mint a Salesforce és a ServiceNow, használja az előre definiált szerepkör-leképezéseket. A listajelek azt írják le, hogyan alakíthatja át az AppRoleAssignments attribútumot az alkalmazás által várt formátumra.
- Az appRoleAssignment a Microsoft Entra ID-ban az alkalmazás egy szerepkörére való leképezéséhez az attribútumot egy kifejezés használatával kell átalakítani. Az appRoleAssignment attribútumot nem szabad közvetlenül egy szerepkörattribútumhoz leképezni anélkül, hogy kifejezéssel elemezné a szerepkör részleteit.
Feljegyzés
A szerepkörök vállalati alkalmazásokból való kiépítésekor az SCIM szabvány eltérően határozza meg a vállalati felhasználói szerepkör-attribútumokat. További információ: SCIM-végpont fejlesztése és kiépítése a Microsoft Entra ID-ban.
SingleAppRoleAssignment
Mikor érdemes használni: A SingleAppRoleAssignment kifejezéssel egyetlen szerepkört építhet ki egy felhasználó számára, és megadhatja az elsődleges szerepkört.
Konfigurálás: A leírt lépésekkel lépjen az attribútumleképezések lapra, és a SingleAppRoleAssignment kifejezéssel rendelje le a szerepkör-attribútumot. Három szerepkörattribútum közül választhat (roles[primary eq "True"].display
ésroles[primary eq "True"].type
roles[primary eq "True"].value
). Választhatja, hogy a szerepkör-attribútumok bármelyikét vagy az összeset belefoglalja a leképezésekbe. Ha egynél több leképezést szeretne felvenni, csak adjon hozzá egy új leképezést, és vegye fel célattribútumként.
Megfontolandó szempontok
- Győződjön meg arról, hogy több szerepkör nincs hozzárendelve egy felhasználóhoz. Nincs garancia arra, hogy melyik szerepkör van kiépítve.
- Ellenőrizze az
SingleAppRoleAssignments
attribútumot. Az attribútum nem kompatibilis a hatókörSync All users and groups
beállításával.
Példakérés (POST)
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"externalId": "alias",
"userName": "alias@contoso.OnMicrosoft.com",
"active": true,
"displayName": "First Name Last Name",
"meta": {
"resourceType": "User"
},
"roles": [{
"primary": true,
"type": "WindowsAzureActiveDirectoryRole",
"value": "Admin"
}
]}
Példakimenet (PATCH)
"Operations": [
{
"op": "Add",
"path": "roles",
"value": [{
"value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
}
]
}]
A PATCH és a POST kérelemformátumai eltérnek. Annak érdekében, hogy a POST és a PATCH azonos formátumban legyen elküldve, használhatja az itt ismertetett funkciójelölőt.
AppRoleAssignmentsComplex
Mikor érdemes használni: Az AppRoleAssignmentsComplex kifejezéssel több szerepkört is kiépíthet egy felhasználó számára. Konfigurálás: Szerkessze a támogatott attribútumok listáját az alábbiak szerint, hogy új attribútumot adjon meg a szerepkörökhöz:
Ezután az AppRoleAssignmentsComplex kifejezéssel megfeleltethet az egyéni szerepkör-attribútumnak a képen látható módon:
Megfontolandó szempontok
- Minden szerepkör elsődleges = hamisként van kiépítve.
- Az
id
attribútum nem szükséges SCIM-szerepkörökben. Használja inkább azvalue
attribútumot. Ha például azvalue
attribútum tartalmazza a szerepkör nevét vagy azonosítót, használja a szerepkör kiépítéséhez. Az azonosító attribútummal kapcsolatos probléma megoldásához itt a funkciójelzőt használhatja. A kizárólag az értékattribútumra való támaszkodás azonban nem mindig elegendő; Ha például több szerepkör is azonos nevű vagy azonosítójú. Bizonyos esetekben az azonosító attribútummal kell megfelelően kiépíteni a szerepkört
Korlátozások
- Az AppRoleAssignmentsComplex nem kompatibilis a "Minden felhasználó és csoport szinkronizálása" beállítás hatókörével.
Példakérés (POST)
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"externalId": "alias",
"userName": "alias@contoso.OnMicrosoft.com",
"active": true,
"displayName": "First Name Last Name",
"meta": {
"resourceType": "User"
},
"roles": [
{
"primary": false,
"type": "WindowsAzureActiveDirectoryRole",
"displayName": "Admin",
"value": "Admin"
},
{
"primary": false,
"type": "WindowsAzureActiveDirectoryRole",
"displayName": "User",
"value": "User"
}
]
}
Példakimenet (PATCH)
"Operations": [
{
"op": "Add",
"path": "roles",
"value": [
{
"value": "{"id":"06b07648-ecfe-589f-9d2f-6325724a46ee","value":"Admin","displayName":"Admin"}
},
{
"value": "{"id":"06b07648-ecfe-599f-9d2f-6325724a46ee","value":"User","displayName":"User"}
}
]
}
]
AssertiveAppRoleAssignmentsComplex (összetett szerepkörökhöz ajánlott)
Mikor érdemes használni: Az AssertiveAppRoleAssignmentsComplex használatával engedélyezze a PATCH Replace funkciót. A több szerepkört támogató SCIM-alkalmazások esetében ez biztosítja, hogy a Microsoft Entra-azonosítóban eltávolított szerepkörök is törlődnek a célalkalmazásban. A csere funkció a felhasználó által az Entra-azonosítóban nem szereplő további szerepköröket is eltávolítja
Az AppRoleAssignmentsComplex és az AssertiveAppRoleAssignmentsComplex közötti különbség a javításhívás módja és a cél systenre gyakorolt hatás. Az előbbi csak a PATCH-et adja hozzá, ezért nem távolít el meglévő szerepköröket a célon. Az utóbbi lecseréli a PATCH-et, amely eltávolítja a szerepköröket a célrendszerben, ha nem lettek hozzárendelve a felhasználóhoz az Entra-azonosítón.
Konfigurálás: Szerkessze a támogatott attribútumok listáját az alábbiak szerint, hogy új attribútumot adjon meg a szerepkörökhöz:
Ezután az AssertiveAppRoleAssignmentsComplex kifejezéssel képezheti le az egyéni szerepkör attribútumát a képen látható módon:
Megfontolandó szempontok
- Minden szerepkör elsődleges = hamisként van kiépítve.
- Az
id
attribútum nem szükséges SCIM-szerepkörökben. Használja inkább azvalue
attribútumot. Ha például azvalue
attribútum tartalmazza a szerepkör nevét vagy azonosítót, használja a szerepkör kiépítéséhez. Az azonosító attribútummal kapcsolatos probléma megoldásához itt a funkciójelzőt használhatja. A kizárólag az értékattribútumra való támaszkodás azonban nem mindig elegendő; Ha például több szerepkör is azonos nevű vagy azonosítójú. Bizonyos esetekben az azonosító attribútummal kell megfelelően kiépíteni a szerepkört
Korlátozások
- Az AssertiveAppRoleAssignmentsComplex nem kompatibilis a "Minden felhasználó és csoport szinkronizálása" beállítás hatókörével.
Példakérés (POST)
{"schemas":["urn:ietf:params:scim:schemas:core:2.0:User"],
"externalId":"contoso",
"userName":"contoso@alias.onmicrosoft.com",
"active":true,
"roles":[{
"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"User",
"value":"User"},
{"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"Test",
"value":"Test"}],
}
Példakimenet (PATCH)
{"schemas":["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[{
"op":"replace",
"path":"roles",
"value":[{
"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"User",
"value":"User"},
{"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"Test",
"value":"Test"}
]
}
]
}
Többértékű attribútum kiépítése
Bizonyos attribútumok, például a phoneNumbers és az e-mailek többértékű attribútumok, ahol különböző típusú telefonszámokat vagy e-maileket kell megadnia. Használja a kifejezést többértékű attribútumokhoz. Ez lehetővé teszi, hogy megadja az attribútum típusát és leképezését az érték megfelelő Microsoft Entra felhasználói attribútumához.
phoneNumbers[type eq "work"].value
phoneNumbers[type eq "mobile"]
.értékphoneNumbers[type eq "fax"].value
"phoneNumbers": [ { "value": "555-555-5555", "type": "work" }, { "value": "555-555-5555", "type": "mobile" }, { "value": "555-555-5555", "type": "fax" } ]
Az alapértelmezett attribútumok és attribútumleképezések visszaállítása
Ha újra kell kezdenie, és vissza kell állítania a meglévő leképezéseket az alapértelmezett állapotba, jelölje be az alapértelmezett leképezések visszaállítása jelölőnégyzetet, és mentse a konfigurációt. Ezzel úgy állítja be az összes leképezési és hatókörszűrőt, mintha az alkalmazást hozzáadták volna a Microsoft Entra-bérlőhöz az alkalmazásgyűjteményből.
Ha ezt a beállítást választja, az összes felhasználó újraszinkronizálását kényszeríti a kiépítési szolgáltatás futtatása közben.
Fontos
Javasoljuk, hogy a beállítás meghívása előtt állítsa be a kiépítési állapotot kikapcsolva.
Alapismeretek
- A Microsoft Entra ID a szinkronizálási folyamat hatékony megvalósítását biztosítja. Inicializált környezetben a szinkronizálási ciklus során csak a frissítéseket igénylő objektumok lesznek feldolgozva.
- Az attribútumleképezések frissítése hatással van a szinkronizálási ciklus teljesítményére. Az attribútumleképezési konfiguráció frissítéséhez minden felügyelt objektumot újra kell értékelni.
- Ajánlott eljárás az attribútumleképezések egymást követő módosításainak számának minimális szinten tartása.
- Az alkalmazáshoz kiépíteni kívánt fényképattribútum hozzáadása ma nem támogatott, mivel nem adhatja meg a fénykép szinkronizálásának formátumát. A felhasználói hangon kérheti a funkciót.
- Az attribútum
IsSoftDeleted
gyakran része az alkalmazások alapértelmezett leképezéseinek.IsSoftdeleted
négy forgatókönyv egyikében lehet igaz: 1) A felhasználó nem rendelkezik hatókörrel, mert nincs hozzárendelve az alkalmazástól. 2) A felhasználó hatókörén kívül esik, mert nem felel meg a hatókörszűrőnek. 3) A felhasználó törölve van a Microsoft Entra azonosítójában. 4) A tulajdonságAccountEnabled
értéke hamis a felhasználón. Próbálja meg megtartani azIsSoftDeleted
attribútumot az attribútumleképezésekben. - A Microsoft Entra kiépítési szolgáltatás nem támogatja a null értékek kiépítését.
- Az elsődleges kulcsot általában
ID
nem szabad célattribútumként szerepeltetni az attribútumleképezésekben. - A szerepkörattribútumot általában egy kifejezéssel kell leképezni, nem pedig közvetlen leképezéssel. A szerepkör-megfeleltetéssel kapcsolatos további információkért lásd : Szerepkör kiépítése SCIM-alkalmazásokhoz.
- Bár letilthatja a csoportokat a leképezésekből, a felhasználók letiltása nem támogatott.
Következő lépések
- Felhasználói kiépítés/leépítés automatizálása az SaaS-alkalmazásokban
- Kifejezések írása attribútumleképezésekhez
- Hatókörszűrők a felhasználói kiépítéshez
- Felhasználók és csoportok automatikus kiépítésének engedélyezése az SCIM használatával a Microsoft Entra ID-ból az alkalmazásokba
- Az SaaS-alkalmazások integrálásával kapcsolatos oktatóanyagok listája