Mengelola pemetaan dan pengguna dalam aplikasi yang tidak cocok dengan pengguna di ID Microsoft Entra

Artikel
2024-04-06

Saat mengintegrasikan aplikasi yang ada dengan MICROSOFT Entra ID, untuk provisi atau akses menyeluruh (SSO), Anda dapat menentukan ada pengguna di penyimpanan data aplikasi yang tidak sesuai dengan pengguna di ID Microsoft Entra, atau yang tidak cocok dengan pengguna apa pun di ID Microsoft Entra.

Layanan provisi Microsoft Entra bergantung pada aturan pencocokan yang dapat dikonfigurasi untuk menentukan apakah pengguna di ID Microsoft Entra sesuai dengan pengguna dalam aplikasi, mencari aplikasi untuk pengguna dengan properti yang cocok dari pengguna ID Microsoft Entra. Misalnya, aturan yang cocok adalah membandingkan atribut pengguna userPrincipalName ID Microsoft Entra dengan properti aplikasi userName . Saat pengguna di MICROSOFT Entra ID dengan userPrincipalName nilai alice.smith@contoso.com ditetapkan ke peran aplikasi, layanan provisi Microsoft Entra melakukan pencarian aplikasi, dengan kueri seperti userName eq "alice.smith@contoso.com". Jika pencarian aplikasi menunjukkan tidak ada pengguna yang cocok, layanan provisi Microsoft Entra akan membuat pengguna baru dalam aplikasi.

Jika aplikasi belum memiliki pengguna, maka proses ini mengisi penyimpanan data aplikasi dengan pengguna saat mereka ditetapkan di ID Microsoft Entra. Namun, jika aplikasi sudah memiliki pengguna, maka dua situasi dapat muncul. Pertama, mungkin ada orang dengan akun pengguna dalam aplikasi tetapi pencocokan gagal menemukannya - mungkin pengguna diwakili dalam aplikasi asmith@contoso.com daripada alice.smith@contoso.com dan sehingga layanan provisi Microsoft Entra pencarian tidak menemukannya. Dalam situasi itu, orang tersebut mungkin berakhir dengan pengguna duplikat dalam aplikasi. Kedua, mungkin ada orang dengan akun pengguna dalam aplikasi yang tidak memiliki pengguna di ID Microsoft Entra. Dalam situasi ini, layanan provisi Microsoft Entra tidak berinteraksi dengan pengguna tersebut dalam aplikasi, namun, jika aplikasi dikonfigurasi untuk mengandalkan ID Microsoft Entra sebagai penyedia identitasnya sendiri, pengguna tersebut tidak akan dapat masuk lagi: aplikasi akan mengalihkan orang tersebut untuk masuk dengan ID Microsoft Entra, tetapi orang tersebut tidak memiliki pengguna di ID Microsoft Entra.

Inkonsistensi antara ID Microsoft Entra dan penyimpanan data aplikasi yang ada dapat terjadi karena berbagai alasan, termasuk:

administrator aplikasi membuat pengguna dalam aplikasi secara langsung, seperti untuk kontraktor atau vendor, yang tidak diwakili dalam sistem sumber SDM rekaman tetapi memang memerlukan akses aplikasi,
perubahan identitas dan atribut, seperti orang yang mengubah namanya, tidak dikirim ke ID Microsoft Entra atau aplikasi, sehingga representasi kedaluarsa dalam satu atau sistem lainnya, atau
organisasi menggunakan produk manajemen identitas yang secara independen menyediakan Windows Server AD dan aplikasi dengan komunitas yang berbeda. Misalnya, karyawan toko memerlukan akses aplikasi tetapi tidak memerlukan kotak surat Exchange, sehingga karyawan toko tidak diwakili di Windows Server AD atau ID Microsoft Entra.

Sebelum mengaktifkan provisi atau SSO ke aplikasi dengan pengguna yang ada, Anda harus memeriksa untuk memastikan bahwa pengguna cocok, dan menyelidiki dan menyelesaikan pengguna tersebut dari aplikasi yang tidak cocok. Artikel ini menguraikan opsi cara mengatasi situasi berbeda yang tidak dapat dicocokkan pengguna.

Tentukan apakah ada pengguna dalam aplikasi yang tidak cocok

Jika Anda sudah menentukan daftar pengguna dalam aplikasi yang tidak cocok dengan pengguna di ID Microsoft Entra, lanjutkan di bagian berikutnya.

Prosedur untuk menentukan pengguna mana dalam aplikasi yang tidak cocok dengan pengguna di MICROSOFT Entra ID tergantung pada bagaimana aplikasi atau akan diintegrasikan dengan ID Microsoft Entra.

Jika Anda menggunakan SAP Cloud Identity Services, ikuti tutorial provisi SAP Cloud Identity Services melalui langkah untuk memastikan pengguna SAP Cloud Identity Services yang ada memiliki atribut pencocokan yang diperlukan. Dalam tutorial itu, Anda mengekspor daftar pengguna dari SAP Cloud Identity Services ke file CSV, lalu menggunakan PowerShell untuk mencocokkan pengguna tersebut dengan pengguna di ID Microsoft Entra.
Jika aplikasi Anda menggunakan direktori LDAP, ikuti tutorial provisi direktori LDAP melalui langkah untuk mengumpulkan pengguna yang ada dari direktori LDAP. Dalam tutorial itu, gunakan PowerShell untuk mencocokkan pengguna tersebut dengan pengguna di ID Microsoft Entra.
Untuk aplikasi lain, termasuk aplikasi dengan database SQL atau yang memiliki dukungan provisi di galeri aplikasi, ikuti tutorial untuk mengatur pengguna aplikasi yang ada melalui langkah untuk mengonfirmasi ID Microsoft Entra memiliki pengguna yang cocok dengan pengguna dari aplikasi.
Untuk aplikasi lain yang tidak memiliki antarmuka provisi, ikuti tutorial untuk mengatur pengguna aplikasi yang tidak mendukung provisi melalui langkah untuk mengonfirmasi ID Microsoft Entra memiliki pengguna yang cocok dengan pengguna dari aplikasi.

Ketika skrip PowerShell yang disediakan dalam tutorial tersebut selesai, skrip tersebut menampilkan kesalahan jika ada rekaman dari aplikasi yang tidak terletak di ID Microsoft Entra. Jika tidak semua rekaman untuk pengguna dari penyimpanan data aplikasi dapat ditemukan sebagai pengguna di ID Microsoft Entra, Anda harus menyelidiki rekaman mana yang tidak cocok dan mengapa, lalu mengatasi masalah kecocokan menggunakan salah satu opsi di bagian berikutnya.

Opsi untuk memastikan pengguna cocok antara aplikasi dan ID Microsoft Entra

Bagian ini menyediakan beberapa opsi untuk mengatasi pengguna yang tidak cocok dalam aplikasi. Berdasarkan tujuan organisasi Anda dan masalah data antara ID Microsoft Entra dan aplikasi, pilih opsi yang sesuai untuk setiap pengguna. Mungkin tidak ada satu opsi pun yang mencakup semua pengguna dalam aplikasi tertentu.

Opsi	Pembaruan diperlukan sebelum provisi
Menghapus pengguna uji dari aplikasi	Pengguna dalam aplikasi
Menghapus pengguna dari aplikasi untuk orang-orang yang tidak lagi menjadi bagian dari organisasi	Pengguna dalam aplikasi
Menghapus pengguna dari aplikasi dan membuatnya dibuat ulang dari ID Microsoft Entra	Pengguna dalam aplikasi
Memperbarui properti pengguna yang cocok dalam aplikasi	Pengguna dalam aplikasi
Memperbarui pengguna dalam aplikasi dengan properti baru	Pengguna dalam aplikasi
Mengubah aturan atau properti yang cocok ketika alamat email tidak cocok dengan nama prinsipal pengguna	Pengguna dalam aplikasi atau aturan pencocokan aplikasi Microsoft Entra
Memperbarui atribut pengguna yang cocok di MICROSOFT Entra ID	Pengguna di MICROSOFT Entra ID
Memperbarui sinkronisasi Microsoft Entra Koneksi atau aturan provisi Cloud Sync untuk menyinkronkan pengguna dan atribut yang diperlukan	Microsoft Entra Koneksi Sync atau Microsoft Entra cloud Sync, yang akan memperbarui pengguna di ID Microsoft Entra
Memperbarui pengguna di ID Microsoft Entra dengan atribut baru	Pengguna di MICROSOFT Entra ID
Mengubah aturan yang cocok ke atribut lain yang sudah diisi di ID Microsoft Entra	Aturan pencocokan aplikasi Microsoft Entra
Membuat pengguna di Windows Server AD untuk pengguna di aplikasi yang memerlukan akses aplikasi berkelanjutan	Pengguna di Windows Server AD, yang akan memperbarui pengguna MICROSOFT Entra ID
Membuat pengguna di ID Microsoft Entra untuk pengguna di aplikasi yang memerlukan akses aplikasi berkelanjutan	Pengguna di MICROSOFT Entra ID
Pertahankan pengguna terpisah dan tidak cocok dalam aplikasi dan ID Microsoft Entra	Tidak

Menghapus pengguna uji dari aplikasi

Mungkin ada pengguna uji dalam aplikasi yang tersisa dari penyebaran awalnya. Jika ada pengguna yang tidak lagi diperlukan, maka mereka dapat dihapus dari aplikasi.

Menghapus pengguna dari aplikasi untuk orang-orang yang tidak lagi menjadi bagian dari organisasi

Pengguna mungkin tidak lagi berafiliasi dengan organisasi, dan tidak lagi memerlukan akses ke aplikasi, tetapi masih merupakan pengguna di sumber data aplikasi. Ini dapat terjadi jika administrator aplikasi dihilangkan untuk menghapus pengguna, atau tidak diberitahu bahwa perubahan diperlukan. Jika pengguna tidak lagi diperlukan, maka dapat dihapus dari aplikasi.

Menghapus pengguna dari aplikasi dan membuatnya dibuat ulang dari ID Microsoft Entra

Jika aplikasi saat ini tidak digunakan secara luas, atau tidak mempertahankan status per pengguna, maka opsi lain adalah menghapus pengguna dari aplikasi sehingga tidak ada lagi pengguna yang tidak cocok. Kemudian, saat pengguna meminta atau diberi aplikasi di ID Microsoft Entra, mereka akan diprovisikan aksesnya.

Memperbarui properti pengguna yang cocok dalam aplikasi

Pengguna mungkin ada di aplikasi dan di ID Microsoft Entra, tetapi pengguna dalam aplikasi kehilangan properti yang diperlukan untuk pencocokan, atau properti memiliki nilai yang salah.

Misalnya, ketika administrator SAP membuat pengguna di SAP Cloud Identity Services menggunakan konsol adminnya, pengguna mungkin tidak memiliki userName properti. Namun, properti tersebut mungkin yang digunakan untuk mencocokkan dengan pengguna di ID Microsoft Entra. userName Jika properti adalah properti yang dimaksudkan untuk pencocokan, maka Anda memerlukan administrator SAP untuk memperbarui pengguna SAP Cloud Identity Services yang ada agar memiliki nilai userName properti.

Misalnya, administrator aplikasi telah mengatur alamat email pengguna sebagai properti mail pengguna dalam aplikasi, ketika pengguna pertama kali ditambahkan ke aplikasi. Namun, nantinya alamat email orang tersebut dan userPrincipalName diubah dalam ID Microsoft Entra. Namun, jika aplikasi tidak memerlukan alamat email, atau penyedia email memiliki pengalihan yang memungkinkan alamat email lama untuk terus meneruskan, maka administrator aplikasi mungkin melewatkan bahwa perlu mail ada properti yang diperbarui di sumber data aplikasi. Inkonsistensi ini dapat diselesaikan dengan administrator aplikasi yang mengubah mail properti pada pengguna aplikasi untuk memiliki nilai saat ini, atau dengan mengubah aturan yang cocok, seperti yang dijelaskan di bagian berikut.

Memperbarui pengguna dalam aplikasi dengan properti baru

Sistem manajemen identitas organisasi sebelumnya mungkin telah membuat pengguna di aplikasi sebagai pengguna lokal. Jika organisasi tidak memiliki penyedia identitas tunggal pada saat itu, pengguna dalam aplikasi tidak memerlukan properti apa pun untuk berkorelasi dengan sistem lain. Misalnya, produk manajemen identitas sebelumnya membuat pengguna dalam aplikasi berdasarkan sumber SDM otoritatif. Sistem manajemen identitas tersebut mempertahankan korelasi antara pengguna yang dibuatnya dalam aplikasi dengan sumber SDM, dan tidak menyediakan pengidentifikasi sumber SDM apa pun ke aplikasi. Kemudian, ketika mencoba menghubungkan aplikasi ke penyewa MICROSOFT Entra ID yang diisi dari sumber SDM yang sama, ID Microsoft Entra mungkin memiliki pengguna untuk semua orang yang sama seperti dalam aplikasi, tetapi pencocokan gagal untuk semua pengguna karena tidak ada properti yang sama.

Untuk mengatasi masalah pencocokan ini, lakukan langkah-langkah berikut.

Pilih properti pengguna yang tidak digunakan yang ada di aplikasi, atau tambahkan properti baru ke skema pengguna dalam aplikasi.
Isi properti tersebut pada semua pengguna dalam aplikasi dengan data dari sumber otoritatif, seperti nomor ID karyawan atau alamat email, yang sudah ada pada pengguna di ID Microsoft Entra.
Perbarui konfigurasi pemetaan atribut provisi aplikasi Microsoft Entra untuk aplikasi sehingga properti ini disertakan dalam aturan yang cocok.

Mengubah aturan atau properti yang cocok ketika alamat email tidak cocok dengan nama prinsipal pengguna

Secara default, beberapa pemetaan layanan provisi Microsoft Entra untuk aplikasi mengirim userPrincipalName atribut agar cocok dengan properti alamat email aplikasi. Beberapa organisasi memiliki alamat email utama untuk pengguna mereka yang berbeda dari nama prinsipal pengguna mereka. Jika aplikasi menyimpan alamat email sebagai properti pengguna, dan bukan userPrincipalName, maka Anda perlu mengubah pengguna dalam aplikasi, atau aturan yang cocok.

Jika Anda berencana untuk menggunakan akses menyeluruh dari ID Microsoft Entra ke aplikasi, maka Anda mungkin ingin mengubah aplikasi untuk menambahkan properti pada pengguna untuk menahan userPrincipalName. Kemudian, isi properti tersebut pada setiap pengguna dalam aplikasi dengan userPrincipalName pengguna dari ID Microsoft Entra, dan perbarui konfigurasi provisi aplikasi Microsoft Entra sehingga properti ini disertakan dalam aturan yang cocok.
Jika Anda tidak berencana untuk menggunakan akses menyeluruh dari ID Microsoft Entra, alternatifnya adalah memperbarui konfigurasi pemetaan atribut provisi aplikasi Microsoft Entra, agar sesuai dengan atribut alamat email pengguna Microsoft Entra dalam aturan yang cocok.

Memperbarui atribut pengguna yang cocok di MICROSOFT Entra ID

Dalam beberapa situasi, atribut yang digunakan untuk pencocokan memiliki nilai di pengguna ID Microsoft Entra yang sudah kedaluarsa. Misalnya, seseorang telah mengubah namanya, tetapi perubahan nama tidak dilakukan di pengguna ID Microsoft Entra.

Jika pengguna dibuat dan dikelola hanya di ID Microsoft Entra, maka Anda harus memperbarui pengguna untuk memiliki atribut yang benar. Jika atribut pengguna berasal dari sistem upstream, seperti Windows Server AD atau sumber SDM, maka Anda perlu mengubah nilai di sumber upstream, dan menunggu perubahan terlihat di ID Microsoft Entra.

Memperbarui sinkronisasi Microsoft Entra Koneksi atau aturan provisi Cloud Sync untuk menyinkronkan pengguna dan atribut yang diperlukan

Dalam beberapa situasi, sistem manajemen identitas sebelumnya telah mengisi pengguna Windows Server AD dengan atribut yang sesuai yang dapat berfungsi sebagai atribut yang cocok dengan aplikasi lain. Misalnya, jika sistem manajemen identitas sebelumnya terhubung ke sumber SDM, maka pengguna AD memiliki employeeId atribut yang diisi oleh sistem manajemen identitas sebelumnya dengan ID karyawan pengguna. Untuk contoh lain, sistem manajemen identitas sebelumnya telah menulis ID pengguna unik aplikasi sebagai atribut ekstensi dalam skema Windows Server AD. Namun, jika tidak ada atribut yang dipilih untuk sinkronisasi ke ID Microsoft Entra, atau pengguna di luar cakupan sinkronisasi ke dalam ID Microsoft Entra, maka representasi ID Microsoft Entra dari komunitas pengguna mungkin tidak lengkap.

Untuk mengatasi masalah ini, Anda perlu mengubah sinkronisasi Microsoft Entra Koneksi atau konfigurasi sinkronisasi cloud Microsoft Entra untuk memastikan semua pengguna yang sesuai di Windows Server AD yang juga ada dalam aplikasi berada dalam cakupan untuk disediakan ke ID Microsoft Entra, dan bahwa atribut yang disinkronkan dari pengguna tersebut menyertakan atribut yang akan digunakan untuk tujuan pencocokan. Jika Anda menggunakan sinkronisasi Microsoft Entra Koneksi, lihat Microsoft Entra Koneksi Sync: Mengonfigurasi pemfilteran dan Microsoft Entra Koneksi Sync: Ekstensi direktori. Jika Anda menggunakan sinkronisasi cloud Microsoft Entra, lihat Pemetaan atribut di ekstensi direktori sinkronisasi Microsoft Entra Cloud Sync dan Cloud dan pemetaan atribut kustom.

Memperbarui pengguna di ID Microsoft Entra dengan atribut baru

Dalam beberapa situasi, aplikasi mungkin menyimpan pengidentifikasi unik untuk pengguna yang saat ini tidak disimpan dalam skema ID Microsoft Entra untuk pengguna. Misalnya, jika Anda menggunakan SAP Cloud Identity Services, Anda mungkin ingin memiliki ID pengguna SAP sebagai atribut yang cocok, atau jika Anda menggunakan sistem Linux, Anda mungkin ingin memiliki ID pengguna Linux sebagai atribut yang cocok. Namun, properti tersebut bukan bagian dari skema pengguna ID Microsoft Entra, sehingga kemungkinan tidak ada pada salah satu pengguna di ID Microsoft Entra.

Untuk menggunakan atribut baru untuk pencocokan, lakukan langkah-langkah berikut.

Pilih atribut ekstensi yang tidak digunakan yang ada di ID Microsoft Entra, atau perluas skema pengguna Microsoft Entra dengan atribut baru.
Isi atribut tersebut pada semua pengguna di MICROSOFT Entra ID dengan data dari sumber otoritatif, seperti aplikasi atau sistem SDM. Jika pengguna disinkronkan dari Windows Server AD atau disediakan dari sistem SDM, Anda mungkin perlu membuat perubahan tersebut di sumber hulu tersebut.
Perbarui konfigurasi pemetaan atribut provisi aplikasi Microsoft Entra dan sertakan atribut ini dalam aturan yang cocok.

Mengubah aturan yang cocok ke atribut lain yang sudah diisi di ID Microsoft Entra

Aturan pencocokan default untuk aplikasi di galeri aplikasi mengandalkan atribut yang umumnya ada di semua pengguna ID Microsoft Entra di semua pelanggan Microsoft, seperti userPrincipalName. Aturan ini cocok untuk pengujian tujuan umum atau untuk provisi ke dalam aplikasi baru yang saat ini tidak memiliki pengguna. Namun banyak organisasi mungkin telah mengisi pengguna ID Microsoft Entra dengan atribut lain yang relevan dengan organisasi mereka, seperti ID karyawan. Jika ada atribut lain yang cocok untuk pencocokan, perbarui konfigurasi pemetaan atribut provisi aplikasi Microsoft Entra dan sertakan atribut ini dalam aturan yang cocok.

Mengonfigurasi provisi masuk dari sumber SDM ke ID Microsoft Entra

Idealnya organisasi yang telah memprovisikan pengguna ke dalam beberapa aplikasi secara independen, harus mengandalkan pengidentifikasi umum untuk pengguna yang berasal dari sumber otoritatif seperti sistem SDM. Banyak sistem SDM memiliki properti yang berfungsi serta pengidentifikasi, seperti employeeId yang dapat diperlakukan unik sehingga tidak ada dua orang yang memiliki ID karyawan yang sama. Jika Anda memiliki sumber SDM, seperti Workday atau SuccessFactors, maka membawa atribut seperti employeeId dari sumber tersebut sering kali dapat membuat aturan pencocokan yang sesuai.

Untuk menggunakan atribut dengan nilai yang diperoleh dari sumber otoritatif untuk pencocokan, lakukan langkah-langkah berikut.

Pilih atribut skema pengguna ID Microsoft Entra yang sesuai, atau perluas skema pengguna Microsoft Entra dengan atribut baru, yang nilainya sesuai dengan properti pengguna yang setara dalam aplikasi.
Pastikan bahwa properti juga ada di sumber SDM untuk semua orang yang memiliki pengguna di ID Microsoft Entra dan aplikasi.
Konfigurasikan provisi masuk dari sumber SDM tersebut ke ID Microsoft Entra.
Tunggu hingga pengguna di MICROSOFT Entra ID diperbarui dengan atribut baru.
Perbarui konfigurasi pemetaan atribut provisi aplikasi Microsoft Entra dan sertakan atribut ini dalam aturan yang cocok.

Membuat pengguna di Windows Server AD untuk pengguna di aplikasi yang memerlukan akses aplikasi berkelanjutan

Jika ada pengguna dari aplikasi yang tidak sesuai dengan seseorang di sumber SDM otoritatif, tetapi akan memerlukan akses ke aplikasi berbasis Windows Server AD dan aplikasi terintegrasi ID Microsoft Entra di masa mendatang, dan organisasi Anda menggunakan Microsoft Entra Koneksi Sync atau Microsoft Entra Cloud Sync untuk memprovisikan pengguna dari Windows Server AD ke ID Microsoft Entra, kemudian Anda dapat membuat pengguna di Windows Server AD untuk setiap pengguna yang belum ada.

Jika pengguna tidak akan memerlukan akses ke aplikasi berbasis Windows Server AD, buat pengguna di ID Microsoft Entra, seperti yang dijelaskan di bagian berikutnya.

Membuat pengguna di ID Microsoft Entra untuk pengguna di aplikasi yang memerlukan akses aplikasi berkelanjutan

Jika ada pengguna dari aplikasi yang tidak sesuai dengan seseorang di sumber SDM otoritatif, tetapi akan memerlukan akses berkelanjutan dan diatur dari Microsoft Entra, Anda dapat membuat pengguna Microsoft Entra untuk mereka. Anda dapat membuat pengguna secara massal dengan menggunakan:

File CSV, seperti yang dijelaskan dalam Membuat pengguna secara massal di pusat admin Microsoft Entra
Cmdlet New-MgUser

Pastikan bahwa pengguna baru ini diisi dengan atribut yang diperlukan untuk ID Microsoft Entra agar nanti cocok dengan pengguna yang ada dalam aplikasi, dan atribut yang diperlukan oleh ID Microsoft Entra, termasuk userPrincipalName, , mailNicknamedan displayName. userPrincipalName harus unik di antara semua pengguna di direktori.

Membuat pengguna secara massal menggunakan PowerShell

Bagian ini memperlihatkan cara berinteraksi dengan ID Microsoft Entra dengan menggunakan cmdlet Microsoft Graph PowerShell .

Pertama kali organisasi Anda menggunakan cmdlet ini untuk skenario ini, Anda harus berada dalam peran Administrator Global agar Microsoft Graph PowerShell dapat digunakan di penyewa Anda. Interaksi berikutnya dapat menggunakan peran dengan hak istimewa yang lebih rendah, seperti Administrator Pengguna.

Jika Anda sudah memiliki sesi PowerShell tempat Anda mengidentifikasi pengguna dalam aplikasi yang tidak ada di ID Microsoft Entra, lanjutkan pada langkah 6 di bawah ini. Jika tidak, buka PowerShell.
Jika Anda belum menginstal modul Microsoft Graph PowerShell , instal modul Microsoft.Graph.Users dan lainnya dengan menggunakan perintah ini:
```
Install-Module Microsoft.Graph
```
Jika Anda sudah menginstal modul, pastikan Anda menggunakan versi terbarunya:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Koneksi ke ID Microsoft Entra:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"

Jika ini pertama kalinya Anda menggunakan perintah ini, Anda harus menyetujui untuk mengizinkan alat Baris Perintah Microsoft Graph memiliki izin ini.
Bawa ke lingkungan PowerShell Anda array pengguna dari aplikasi, yang juga memiliki bidang yang merupakan atribut yang diperlukan ID Microsoft Entra - nama utama pengguna, nama panggilan email, dan nama lengkap pengguna. Skrip ini mengasumsikan array $dbu_not_matched_list berisi pengguna dari aplikasi yang tidak cocok.
```
$filename = ".\Users-to-create.csv"
$bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
```
Tentukan dalam sesi PowerShell Anda kolom mana dalam array pengguna yang akan dibuat sesuai dengan properti yang diperlukan ID Microsoft Entra. Misalnya, Anda mungkin memiliki pengguna dalam database di mana nilai dalam kolom bernama EMail adalah nilai yang ingin Anda gunakan sebagai Nama prinsipal pengguna Microsoft Entra, nilai dalam kolom Alias berisi nama panggilan email ID Microsoft Entra, dan nilai dalam kolom Full name berisi nama tampilan pengguna:
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```

Buka skrip berikut di editor teks. Anda mungkin perlu mengubah skrip ini untuk menambahkan atribut Microsoft Entra yang diperlukan oleh aplikasi Anda, atau jika $azuread_match_attr_name bukan mailNickname atau userPrincipalName, untuk menyediakan atribut Microsoft Entra tersebut.

$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}

Tempelkan skrip yang dihasilkan dari editor teks Anda ke sesi PowerShell Anda. Jika terjadi kesalahan, Anda harus memperbaikinya sebelum melanjutkan.

Pertahankan pengguna terpisah dan tidak cocok dalam aplikasi dan ID Microsoft Entra

Mungkin ada pengguna admin super di sumber data aplikasi yang tidak sesuai dengan orang tertentu di ID Microsoft Entra. Jika Anda tidak membuat pengguna Microsoft Entra untuk mereka, maka pengguna tersebut tidak akan dapat dikelola dari ID Microsoft Entra atau Tata Kelola ID Microsoft Entra. Karena pengguna tersebut tidak akan dapat masuk dengan MICROSOFT Entra ID, jadi jika Anda mengonfigurasi aplikasi untuk menggunakan ID Microsoft Entra sebagai penyedia identitas, pastikan bahwa pengguna tersebut berada di luar cakupan menggunakan ID Microsoft Entra untuk autentikasi.

Mengekspor ulang pengguna

Setelah membuat pembaruan untuk pengguna Microsoft Entra, pengguna dalam aplikasi, atau aturan pencocokan aplikasi Microsoft Entra, Anda harus mengekspor ulang dan melakukan prosedur pencocokan untuk aplikasi Anda lagi, untuk memastikan semua pengguna berkorelasi.

Jika Anda menggunakan SAP Cloud Identity Services, ikuti tutorial provisi SAP Cloud Identity Services mulai dari langkah untuk memastikan pengguna SAP Cloud Identity Services yang ada memiliki atribut pencocokan yang diperlukan. Dalam tutorial itu, Anda mengekspor daftar pengguna dari SAP Cloud Identity Services ke file CSV, lalu menggunakan PowerShell untuk mencocokkan pengguna tersebut dengan pengguna di ID Microsoft Entra.
Jika aplikasi Anda menggunakan direktori LDAP, ikuti tutorial provisi direktori LDAP mulai dari langkah untuk mengumpulkan pengguna yang ada dari direktori LDAP.
Untuk aplikasi lain, termasuk aplikasi dengan database SQL atau yang memiliki dukungan provisi di galeri aplikasi, ikuti tutorial untuk mengatur pengguna aplikasi yang ada mulai dari langkah untuk mengumpulkan pengguna yang ada dari aplikasi.

Menetapkan pengguna ke peran aplikasi dan mengaktifkan provisi

Setelah Anda menyelesaikan pembaruan yang diperlukan dan mengonfirmasi semua pengguna dari aplikasi yang cocok dengan pengguna di ID Microsoft Entra, maka Anda harus menetapkan pengguna di ID Microsoft Entra yang memerlukan akses ke aplikasi ke peran aplikasi aplikasi Microsoft Entra, lalu mengaktifkan provisi ke aplikasi.

Jika Anda menggunakan SAP Cloud Identity Services, lanjutkan tutorial provisi SAP Cloud Identity Services mulai dari langkah untuk memastikan pengguna Microsoft Entra yang ada memiliki atribut yang diperlukan.

Bagikan melalui