Memeriksa status provisi pengguna

  • Artikel

Layanan provisi Microsoft Entra menjalankan siklus provisi awal terhadap sistem sumber dan sistem target, diikuti oleh siklus bertahap berkala. Saat mengonfigurasi provisi untuk aplikasi, Anda dapat memeriksa status layanan provisi saat ini dan melihat kapan pengguna dapat mengakses aplikasi.

Melihat bilah kemajuan provisi

Pada halaman Provisi untuk aplikasi, Anda dapat melihat status layanan provisi Microsoft Entra. Bagian Status Saat Ini di bagian bawah halaman memperlihatkan apakah siklus provisi telah mulai melakukan provisi akun pengguna. Anda dapat melihat kemajuan siklus, melihat banyaknya pengguna dan grup yang telah diprovisikan, dan melihat banyaknya peran yang dibuat.

Saat pertama kali Anda mengonfigurasi provisi otomatis, bagian Status Saat Ini di bagian bawah halaman memperlihatkan status siklus provisi awal. Bagian ini diperbarui setiap kali siklus inkremental dijalankan. Detail berikut ditampilkan:

  • Jenis siklus provisi (awal atau bertahap) yang saat ini dijalankan atau terakhir selesai.
  • Bilah kemajuan yang memperlihatkan persentase siklus provisi yang telah selesai. Persentase tersebut mencerminkan jumlah halaman yang diprovisikan. Setiap halaman dapat berisi beberapa pengguna atau grup, sehingga persentase tidak secara langsung berkorelasi dengan jumlah pengguna, grup, atau peran yang disediakan.
  • Tombol Refresh yang bisa digunakan agar tampilan tetap diperbarui.
  • Jumlah Pengguna dan Grup di penyimpanan data konektor. Jumlah akan meningkat setiap kali objek ditambahkan ke cakupan provisi. Jumlah tidak turun jika pengguna dihapus sementara atau dihapus secara permanen karena operasi tidak menghapus objek dari penyimpanan data konektor. Jumlah dihitung ulang sinkronisasi pertama setelah CDS direset
  • Tautan Lihat Log Audit, yang membuka log provisi Microsoft Entra. Untuk mempelajari selengkapnya tentang operasi yang dijalankan oleh layanan provisi pengguna, termasuk status provisi untuk pengguna individual, lihat Menggunakan log provisi nanti di artikel.

Setelah siklus provisi selesai, bagian Statistik hingga saat ini menunjukkan jumlah kumulatif pengguna dan grup yang telah diprovisikan hingga saat ini, beserta tanggal dan durasi penyelesaian siklus terakhir. ID Aktivitas secara unik mengidentifikasi siklus provisi terbaru. ID Pekerjaan adalah pengidentifikasi unik untuk pekerjaan provisi, dan khusus untuk aplikasi di penyewa Anda.

Kemajuan provisi dilihat di pusat admin Microsoft Entra di Provisi aplikasi> Identity>Applications>Enterprise [nama aplikasi]. >

Provisioning page progress bar

Anda juga dapat menggunakan Microsoft Graph untuk memantau status provisi ke aplikasi secara terprogram. Untuk informasi selengkapnya, lihat memantau provisi.

Menggunakan log provisi untuk memeriksa status provisi pengguna

Untuk melihat status provisi untuk pengguna yang dipilih, lihat Log provisi (pratinjau) di ID Microsoft Entra. Semua operasi yang dijalankan oleh layanan provisi pengguna dicatat dalam log provisi Microsoft Entra. Log termasuk operasi baca dan tulis yang dibuat untuk sistem sumber dan target. Data pengguna terkait yang terkait dengan operasi baca dan tulis juga dicatat.

Anda dapat mengakses log provisi di pusat admin Microsoft Entra dengan memilih log Provisi aplikasi>Perusahaan Aplikasi>Identitas>di bagian Aktivitas. Anda dapat mencari data provisi berdasarkan nama pengguna atau pengidentifikasi baik di sistem sumber atau sistem target. Untuk mengetahui detailnya, lihat Log provisi (pratinjau).

Log provisi mencatat semua operasi yang dilakukan oleh layanan provisi, termasuk:

  • Mengkueri ID Microsoft Entra untuk pengguna yang ditetapkan yang berada dalam cakupan provisi
  • Mengajukan kueri aplikasi target untuk keberadaan pengguna tersebut
  • Membandingkan objek pengguna antara sistem
  • Menambahkan, memperbarui, atau menonaktifkan akun pengguna di sistem target berdasarkan perbandingan

Untuk informasi selengkapnya tentang cara membaca log provisi di pusat admin Microsoft Entra, lihat panduan pelaporan provisi.

Berapa lama waktu yang dibutuhkan untuk memprovisikan pengguna?

Saat Anda menggunakan provisi pengguna otomatis dengan aplikasi, ada beberapa hal yang perlu diingat. Pertama, ID Microsoft Entra secara otomatis memprovisikan dan memperbarui akun pengguna di aplikasi berdasarkan hal-hal seperti penetapan pengguna dan grup. Sinkronisasi terjadi pada interval waktu yang dijadwalkan secara teratur, biasanya setiap 40 menit.

Waktu yang diperlukan bagi pengguna tertentu untuk diprovisikan sangat tergantung pada apakah pekerjaan provisi menjalankan siklus awal atau siklus bertahap.

  • Untuk siklus awal, waktu pekerjaan bergantung pada berbagai faktor, termasuk jumlah pengguna dan grup dalam cakupan provisi, dan jumlah total pengguna dan grup dalam sistem sumber. Sinkronisasi pertama antara ID Microsoft Entra dan aplikasi terjadi secepat 20 menit atau memakan waktu selama beberapa jam. Waktu tergantung pada ukuran direktori Microsoft Entra dan jumlah pengguna dalam cakupan provisi. Daftar komprehensif faktor yang mempengaruhi performa siklus awal dirangkum kemudian di bagian ini.

  • Untuk siklus bertahap, setelah siklus awal, waktu pekerjaan cenderung lebih cepat (dalam 10 menit), karena layanan provisi menyimpan marka air yang mewakili status kedua sistem setelah siklus awal, meningkatkan performa sinkronisasi berikutnya. Waktu kerja bergantung pada jumlah perubahan yang terdeteksi dalam siklus provisi tersebut. Jika ada kurang dari 5.000 perubahan keanggotaan pengguna atau grup, pekerjaan dapat selesai dalam satu siklus provisi bertahap.

Tabel berikut ini meringkas waktu sinkronisasi untuk skenario provisi umum. Dalam skenario ini, sistem sumber adalah MICROSOFT Entra ID dan sistem target adalah aplikasi SaaS. Waktu sinkronisasi berasal dari analisis statistik pekerjaan sinkronisasi untuk aplikasi SaaS ServiceNow, Workplace, Salesforce, dan G Suite.

Konfigurasi cakupan Pengguna, grup, dan anggota dalam cakupan Waktu siklus awal
Menyinkronkan pengguna dan grup yang ditetapkan saja < 1.000 < 30 menit
Menyinkronkan pengguna dan grup yang ditetapkan saja 1.000 - 10.000 142 - 708 menit
Menyinkronkan pengguna dan grup yang ditetapkan saja 10.000 - 100.000 1.170 - 2.340 menit
Menyinkronkan semua pengguna dan grup di ID Microsoft Entra < 1.000 < 30 menit
Menyinkronkan semua pengguna dan grup di ID Microsoft Entra 1.000 - 10.000 < 30 - 120 menit
Menyinkronkan semua pengguna dan grup di ID Microsoft Entra 10.000 - 100.000 713 - 1.425 menit
Menyinkronkan semua pengguna di MICROSOFT Entra ID < 1.000 < 30 menit
Menyinkronkan semua pengguna di MICROSOFT Entra ID 1.000 - 10.000 43 - 86 menit

Untuk konfigurasi Sinkronkan pengguna dan grup yang ditetapkan saja, Anda bisa menggunakan rumus berikut untuk menentukan perkiraan waktu siklus awal minimum dan maksimum diharapkan:

  • Jumlah menit minimum = 0,01 x [Jumlah pengguna, grup, dan anggota grup yang ditetapkan]
  • Menit maksimum = 0,08 x [Jumlah pengguna, grup, dan anggota grup yang ditetapkan]

Ringkasan faktor-faktor yang memengaruhi waktu yang diperlukan untuk menyelesaikan siklus awal:

  • Jumlah total pengguna dan grup dalam cakupan provisi.

  • Jumlah total pengguna, grup, dan anggota grup yang ada dalam sistem sumber (ID Microsoft Entra).

  • Apakah pengguna dalam cakupan provisi dicocokkan dengan pengguna yang ada di aplikasi target, atau perlu dibuat untuk pertama kalinya. Sinkronkan pekerjaan yang semua penggunanya dibuat untuk pertama kalinya membutuhkan waktu kira-kira dua kali lebih lama dari pekerjaan sinkronisasi yang semua penggunanya cocok dengan pengguna yang ada.

  • Jumlah kesalahan dalam log provisi. Performa lebih lambat jika ada banyak kesalahan dan layanan provisi telah berada dalam status karantina.

  • Batas laju permintaan yang diterapkan oleh sistem target. Beberapa sistem target menerapkan batas tingkat permintaan dan pembatasan, yang dapat memengaruhi performa selama operasi sinkronisasi besar. Dalam kondisi ini, aplikasi yang menerima terlalu banyak permintaan terlalu cepat dapat memperlambat tingkat responsnya atau menutup koneksi. Untuk meningkatkan performa, konektor perlu menyesuaikan dengan tidak mengirimkan permintaan aplikasi lebih cepat daripada kemampuan proses aplikasi. Memprovisikan konektor yang dibuat oleh Microsoft membuat penyesuaian ini.

  • Jumlah dan ukuran grup yang ditetapkan. Menyinkronkan grup yang ditetapkan membutuhkan waktu lebih lama daripada menyinkronkan pengguna. Jumlah maupun ukuran grup yang ditetapkan memengaruhi performa. Jika aplikasi memiliki pemetaan yang diaktifkan untuk sinkronisasi objek grup, properti grup seperti nama grup dan keanggotaan akan disinkronkan selain pengguna. Sinkronisasi ini memakan waktu lebih lama daripada hanya menyinkronkan objek pengguna.

  • Jika performa menjadi masalah, dan Anda mencoba menyediakan sebagian besar pengguna dan grup di penyewa Anda, maka gunakan filter cakupan. Filter cakupan memungkinkan Anda menyempurnakan data yang diekstrak layanan provisi dari ID Microsoft Entra dengan memfilter pengguna berdasarkan nilai atribut tertentu. Untuk informasi selengkapnya tentang filter cakupan, lihat provisi aplikasi berbasis atribut dengan filter cakupan.

Dalam kebanyakan kasus, siklus bertahap selesai dalam 30 menit. Namun, ketika ada ratusan atau ribuan perubahan pengguna atau perubahan keanggotaan grup, waktu siklus bertambah bertahap akan meningkat secara proporsional dengan jumlah perubahan pada proses dan dapat memakan waktu beberapa jam. Menggunakan pengguna dan grup yang ditetapkan sinkronisasi dan meminimalkan jumlah pengguna/grup dalam cakupan provisi akan membantu mengurangi waktu sinkronisasi.

Rekomendasi untuk mengurangi waktu provisi pengguna dan/atau grup:

  1. Atur cakupan provisi untuk menyinkronkan assigned users and groups, bukan sync all users and groups.
  2. Minimalkan jumlah pengguna dan grup dalam cakupan provisi.
  3. Buat beberapa pekerjaan provisi yang menargetkan sistem yang sama. Saat melakukan ini, setiap pekerjaan sinkronisasi akan beroperasi secara independen, mengurangi waktu untuk memproses perubahan. Pastikan bahwa cakupan pengguna berbeda antara pekerjaan provisi ini untuk menghindari perubahan dari satu pekerjaan yang berdampak pada pekerjaan lain.
  4. Tambahkan filter cakupan untuk membatasi jumlah pengguna dan grup lebih lanjut dalam cakupan provisi.

Langkah berikutnya

Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan Microsoft Entra ID