Menyediakan atribut keamanan kustom dari sumber SDM

2025-06-24

Provisi atribut keamanan kustom memungkinkan pelanggan untuk mengatur atribut keamanan kustom secara otomatis menggunakan kemampuan provisi masuk Microsoft Entra. Dengan fitur ini, Anda dapat sumber nilai untuk atribut keamanan kustom dari sumber otoritatif, seperti dari sistem SDM. Provisi atribut keamanan kustom mendukung sumber berikut: Workday, SAP SuccessFactors, dan sistem SDM terintegrasi lainnya yang menggunakan provisi berbasis API. Target provisi adalah penyewa ID Microsoft Entra Anda.

Diagram arsitektur atribut keamanan kustom.

Atribut keamanan kustom

Atribut keamanan kustom di MICROSOFT Entra ID adalah atribut khusus bisnis (pasangan nilai kunci) yang dapat Anda tentukan dan tetapkan ke objek Microsoft Entra. Atribut ini dapat digunakan untuk menyimpan informasi, mengategorikan objek, atau menerapkan kontrol akses yang disempurnakan atas sumber daya Azure tertentu. Untuk mempelajari selengkapnya tentang atribut keamanan kustom, lihat Apa itu atribut keamanan kustom di MICROSOFT Entra ID?.

Prasyarat

Untuk menyediakan atribut keamanan kustom, Anda harus memenuhi prasyarat berikut:

Lisensi Microsoft Entra ID Premium P1 untuk mengatur salah satu aplikasi penyediaan masuk berikut:
Atribut keamanan khusus yang aktif di penyewa Anda untuk keperluan penemuan selama proses pemetaan atribut. Sebelum menggunakan fitur ini, Anda harus membuat set atribut keamanan kustom di penyewa ID Microsoft Entra Anda. Layanan provisi mendukung pengaturan bentuk bebas tunggal dan nilai yang telah ditentukan sebelumnya untuk atribut keamanan kustom jenis String, , Integerdan Boolean.
Untuk mengonfigurasi atribut keamanan kustom dalam pemetaan atribut aplikasi provisi masuk Anda, masuk ke pusat admin Microsoft Entra sebagai pengguna yang diberi peran Microsoft Entra dari Administrator Aplikasi dan Administrator Provisi Atribut:
- Administrator Aplikasi diperlukan untuk membuat dan memperbarui aplikasi provisi.
- Administrator Provisi Atribut diperlukan untuk menambahkan atau menghapus atribut keamanan kustom di bagian pemetaan atribut dari aplikasi provisi.

Batasan yang diketahui

Penyediaan atribut keamanan kustom multinilai tidak didukung.
Penyediaan atribut keamanan kustom yang dinonaktifkan tidak didukung.
Dengan peran Pembaca Log Atribut , Anda tidak dapat melihat nilai atribut keamanan kustom di log provisi.

Mengonfigurasi aplikasi provisi Anda dengan atribut keamanan kustom

Sebelum memulai, ikuti langkah-langkah ini untuk menambahkan atribut keamanan kustom di penyewa Microsoft Entra ID Anda dan memetakan atribut keamanan kustom di aplikasi provisi masuk Anda.

Tentukan atribut keamanan kustom di penyewa Microsoft Entra ID Anda

Di pusat admin Microsoft Entra, akses opsi untuk menambahkan atribut keamanan kustom dari Entra ID>atribut keamanan kustom. Anda harus memiliki setidaknya peran Administrator Definisi Atribut untuk menyelesaikan tugas ini.

Contoh ini mencakup atribut keamanan kustom yang dapat Anda tambahkan ke penyewa Anda. Gunakan set HRConfidentialData atribut lalu tambahkan atribut berikut ke:

EEOStatus (String)
FLSAStatus (String)
PayGrade (String)
PayScaleType (String)
IsRehire (Boolean)
EmployeeLevel (Bilangan bulat)

Memetakan atribut keamanan kustom di aplikasi provisi masuk Anda

Masuk ke pusat admin Microsoft Entra sebagai pengguna yang memiliki izin peran Administrator Aplikasi dan Administrator Provisi Atribut .
Masuk ke Aplikasi Perusahaan, lalu buka aplikasi provisi masuk.
Buka layar Penyediaan.

Nota

Panduan ini menampilkan tangkapan layar provisi berbasis API ke ID Microsoft Entra. Jika Anda menggunakan aplikasi provisi Workday atau SuccessFactors, maka Anda akan melihat atribut dan konfigurasi terkait Workday dan SuccessFactors.
Pilih Sunting penyediaan.
Pilih Pemetaan atribut untuk membuka layar pemetaan atribut.
Tentukan atribut sumber yang ingin Anda simpan data SDM sensitif, lalu centang kotak Perlihatkan opsi tingkat lanjut untuk membuka daftar atribut.
Pilih Edit daftar atribut untuk API untuk mengidentifikasi atribut yang ingin Anda uji.
- Uji provisi atribut keamanan kustom dengan API Provisi Masuk dengan menentukan namespace layanan skema SCIM: urn:ietf:params:scim:schemas:extension:microsoft:entra:csa. Pastikan untuk menyertakan atribut berikut:
  - urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatus
  - urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatus
  - urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGrade
  - urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayScaleType
  - urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:isRehire
  - urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EmployeeLevel
Nota

Anda dapat menentukan namespace skema SCIM Anda sendiri untuk mewakili data SDM sensitif dalam payload SCIM Anda. Pastikan dimulai dengan urn:ietf:params:scim:schemas:extension.
- Jika Anda menggunakan Workday atau SuccessFactors sebagai sumber SDM Anda, perbarui daftar atribut dengan ekspresi API untuk mengambil data SDM yang akan disimpan ada dalam daftar atribut keamanan kustom.
- Jika Anda ingin mengambil kumpulan data SDM yang sama dari SuccessFactors, gunakan ekspresi API berikut:
  - $.employmentNav.results[0].jobInfoNav.results[0].eeoClass
  - $.employmentNav.results[0].jobInfoNav.results[0].flsaStatus
  - $.employmentNav.results[0].jobInfoNav.results[0].payGradeNav.name
  - $.employmentNav.results[0].jobInfoNav.results[0].payScaleType
Simpan perubahan skema.
Dari layar Pemetaan atribut , pilih Tambahkan pemetaan baru.
- Atribut keamanan kustom ditampilkan dalam format CustomSecurityAttributes.<AttributeSetName>_<AttributeName>.

Tambahkan pemetaan berikut, lalu simpan perubahan:

Atribut sumber API	Atribut sasaran Microsoft Entra ID
urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatus	CustomSecurityAttributes.HRConfidentialData_EEOStatus
urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatus	CustomSecurityAttributes.HRConfidentialData_FLSAStatus
urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGrade	CustomSecurityAttributes.DataRahasiaSDM_GolonganGaji
urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayScaleType	CustomSecurityAttributes.DataRahasiaSDM_JenisSkalaGaji
urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:isRehire	AtributKeamananKhusus.DataRahasiaHR_ApakahDipekerjakanKembali
urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EmployeeLevel	CustomSecurityAttributes.HRDataRahasia_SDMLvKaryawan

Menguji provisi atribut keamanan kustom

Setelah Anda memetakan atribut sumber SDM ke atribut keamanan kustom, gunakan metode berikut untuk menguji alur data atribut keamanan kustom. Metode yang Anda pilih tergantung pada jenis aplikasi provisi Anda.

Jika pekerjaan Anda menggunakan Workday atau SuccessFactors sebagai sumbernya, gunakan kemampuan provisi sesuai permintaan untuk menguji aliran data atribut keamanan kustom.
Jika pekerjaan Anda menggunakan provisi berbasis API, kirim payload massal SCIM ke titik akhir API bulkUpload pekerjaan Anda.

Uji dengan aplikasi penyediaan SuccessFactors

Dalam contoh ini, atribut SAP SuccessFactors dipetakan ke atribut keamanan kustom seperti yang ditunjukkan di sini:

Cuplikan layar opsi pemetaan atribut SAP.

Buka pekerjaan provisi SuccessFactors, lalu pilih Provisi sesuai permintaan.

Cuplikan layar gambaran umum ID Microsoft Entra dengan pilihan Provisi sesuai permintaan.

Dalam kotak Pilih pengguna , masukkan atribut personIdExternal pengguna yang ingin Anda uji.

Log provisi menampilkan atribut keamanan kustom yang Anda tetapkan.

Nota

Nilai sumber dan target atribut keamanan kustom disembunyikan dalam catatan penyediaan.
Di layar Atribut keamanan kustom profil ID Microsoft Entra pengguna, Anda dapat melihat nilai aktual yang ditetapkan untuk pengguna tersebut. Anda memerlukan setidaknya peran Administrator Penugasan Atribut atau Pembaca Penetapan Atribut untuk melihat data ini.

Uji dengan aplikasi provisi berbasis API

Buat payload permintaan massal SCIM yang menyertakan nilai untuk atribut keamanan kustom.
- Untuk mengakses payload SCIM lengkap, lihat Contoh payload SCIM.
Salin URL API bulkUpload dari halaman gambaran umum pekerjaan provisi.

Cuplikan layar titik akhir API Provisioning dari payload.
Gunakan Graph Explorer atau cURL, lalu posting payload SCIM ke titik akhir API bulkUpload .
- Jika tidak ada kesalahan dalam format payload SCIM, Anda menerima status Diterima .
- Tunggu beberapa menit, lalu periksa log penyediaan dari pekerjaan penyediaan yang didorong oleh API Anda.
Atribut keamanan kustom ditampilkan seperti dalam contoh berikut.

Nota

Nilai sumber dan target atribut keamanan kustom disembunyikan dalam catatan provisi. Untuk melihat nilai aktual yang ditetapkan untuk pengguna, buka profil ID Microsoft Entra pengguna.
Anda melihat data di layar Atribut keamanan kustom . Anda memerlukan setidaknya peran Administrator Penugasan Atribut atau Pembaca Penetapan Atribut untuk melihat data ini.

Contoh payload SCIM dengan atribut keamanan kustom

Contoh permintaan massal SCIM ini mencakup bidang kustom di bawah ekstensi urn:ietf:params:scim:schemas:extension:microsoft:entra:csa yang dapat dipetakan ke atribut keamanan kustom.

{
    "schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
    "Operations": [{
            "method": "POST",
            "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
            "path": "/Users",
            "data": {
                "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa"],
                "id": "2819c223-7f76-453a-919d-413861904646",
                "externalId": "701984",
                "userName": "bjensen@example.com",
                "name": {
                    "formatted": "Ms. Barbara J Jensen, III",
                    "familyName": "Jensen",
                    "givenName": "Barbara",
                    "middleName": "Jane",
                    "honorificPrefix": "Ms.",
                    "honorificSuffix": "III"
                },
                "displayName": "Babs Jensen",
                "nickName": "Babs",
                "emails": [{
                        "value": "bjensen@example.com",
                        "type": "work",
                        "primary": true
                    }
                ],
                "addresses": [{
                        "type": "work",
                        "streetAddress": "234300 Universal City Plaza",
                        "locality": "Hollywood",
                        "region": "CA",
                        "postalCode": "91608",
                        "country": "USA",
                        "formatted": "100 Universal City Plaza\nHollywood, CA 91608 USA",
                        "primary": true
                    }
                ],
                "phoneNumbers": [{
                        "value": "555-555-5555",
                        "type": "work"
                    }
                ],
                "userType": "Employee",
                "title": "Tour Guide",
                "preferredLanguage": "en-US",
                "locale": "en-US",
                "timezone": "America/Los_Angeles",
                "active": true,
                "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
                    "employeeNumber": "701984",
                    "costCenter": "4130",
                    "organization": "Universal Studios",
                    "division": "Theme Park",
                    "department": "Tour Operations",
                    "manager": {
                        "value": "89607",
                        "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
                        "displayName": "John Smith"
                    }
                },
                "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
                    "EEOStatus":"Semi-skilled",
                    "FLSAStatus":"Non-exempt",
                    "PayGrade":"IC-Level5",
                    "PayScaleType":"Revenue-based",
					"IsRehire": false,
					"EmployeeLevel": 64					
                }
            }
        }, {
            "method": "POST",
            "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
            "path": "/Users",
            "data": {
                "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa" ],
                "id": "2819c223-7f76-453a-919d-413861904646",
                "externalId": "701985",
                "userName": "Kjensen@example.com",
                "name": {
                    "formatted": "Ms. Kathy J Jensen, III",
                    "familyName": "Jensen",
                    "givenName": "Kathy",
                    "middleName": "Jane",
                    "honorificPrefix": "Ms.",
                    "honorificSuffix": "III"
                },
                "displayName": "Kathy Jensen",
                "nickName": "Kathy",
                "emails": [{
                        "value": "kjensen@example.com",
                        "type": "work",
                        "primary": true
                    }
                ],
                "addresses": [{
                        "type": "work",
                        "streetAddress": "100 Oracle City Plaza",
                        "locality": "Hollywood",
                        "region": "CA",
                        "postalCode": "91618",
                        "country": "USA",
                        "formatted": "100 Oracle City Plaza\nHollywood, CA 91618 USA",
                        "primary": true
                    }
                ],
                "phoneNumbers": [{
                        "value": "555-555-5545",
                        "type": "work"
                    }
                ],
                "userType": "Employee",
                "title": "Tour Lead",
                "preferredLanguage": "en-US",
                "locale": "en-US",
                "timezone": "America/Los_Angeles",
                "active": true,
                "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
                    "employeeNumber": "701984",
                    "costCenter": "4130",
                    "organization": "Universal Studios",
                    "division": "Theme Park",
                    "department": "Tour Operations",
                    "manager": {
                        "value": "89607",
                        "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
                        "displayName": "John Smith"
                    }
                },
                "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
                    "EEOStatus":"Skilled",
                    "FLSAStatus":"Exempt",
                    "PayGrade":"Manager-Level2",
                    "PayScaleType":"Profit-based",
					"IsRehire": true,
					"EmployeeLevel": 63
                }
                
            }
        }
    ],
    "failOnErrors": null
}

Memprovisikan atribut keamanan kustom untuk pengguna hibrid

Pengguna hibrid disediakan dari sistem SDM terlebih dahulu di Direktori Aktif lokal lalu disinkronkan ke ID Microsoft Entra menggunakan Sinkronisasi Entra Connect atau Sinkronisasi Cloud. Atribut keamanan kustom dapat ditetapkan ke pengguna hibrid, dan atribut ini hanya ada di profil ID Microsoft Entra pengguna hibrid.

Bagian ini menjelaskan topologi provisi untuk menyediakan atribut keamanan kustom secara otomatis untuk pengguna hibrid. Ini menggunakan Workday sebagai sumber SDM tepercaya. Namun, topologi yang sama juga dapat digunakan dengan SuccessFactors dan provisi berbasis API.

Katakanlah Workday adalah sistem SDM utama Anda untuk mencatat identitas. Untuk mengatur atribut keamanan kustom pada pengguna hibrid yang bersumber dari Workday, konfigurasikan dua aplikasi provisi:

Workday ke penyediaan Active Directory lokal: Aplikasi penyediaan ini membuat dan memperbarui pengguna gabungan di Active Directory lokal. Ini hanya memproses atribut normal dari Workday.
Penyediaan Workday ke Microsoft Entra ID: Konfigurasikan aplikasi penyediaan ini untuk memproses operasi Pembaruan saja dan batasi pemetaan atribut agar hanya menyertakan atribut keamanan khusus sebagai atribut target.

Dengan topologi ini, berikut adalah cara kerja alur end-to-end:

Diagram alur cara kerja pemetaan atribut keamanan kustom untuk pengguna hibrid.

Aplikasi penyediaan Workday-to-AD mengimpor profil pengguna inti dari Workday.
Aplikasi membuat/memperbarui akun pengguna di Direktori Aktif lokal menggunakan ID Karyawan sebagai pengidentifikasi yang cocok.
Sinkronisasi Microsoft Entra Connect / Sinkronisasi Cloud menyinkronkan profil pengguna ke ID Microsoft Entra.
Jika Anda telah mengonfigurasi Workday Writeback, informasi email atau nomor telepon ditulis kembali ke Workday.
Aplikasi pemrosesan ID Workday-to-Microsoft Entra dikonfigurasi untuk hanya memproses pembaruan dan menetapkan atribut rahasia sebagai atribut keamanan khusus. Gunakan editor skema di bawah Tampilkan opsi tingkat lanjut untuk menghapus pemetaan atribut default seperti accountEnabled dan isSoftDeleted yang tidak relevan dalam skenario ini.

Cuplikan layar pemetaan atribut untuk pengguna hibrid.

Konfigurasi ini menetapkan atribut keamanan kustom untuk pengguna hibrid yang disinkronkan ke ID Microsoft Entra dari Direktori Aktif lokal.

Nota

Konfigurasi di atas bergantung pada tiga siklus sinkronisasi yang berbeda untuk diselesaikan dalam urutan tertentu. Jika profil pengguna hibrid tidak tersedia di Microsoft Entra ID, ketika pekerjaan provisi ID Workday-to-Microsoft Entra dijalankan, maka operasi pembaruan akan gagal dan akan dicoba kembali selama eksekusi berikutnya. Jika Anda menggunakan aplikasi provisioning-ke-Microsoft Entra ID yang digerakkan oleh API, maka Anda memiliki kontrol yang lebih baik untuk menjadwalkan pelaksanaan pembaruan atribut keamanan kustom.

Izin API untuk provisi atribut keamanan kustom

Fitur ini memperkenalkan izin Graph API baru berikut. Fungsionalitas ini memungkinkan Anda mengakses dan memodifikasi skema aplikasi provisi yang berisi pemetaan atribut keamanan kustom, baik secara langsung atau atas nama pengguna yang masuk.

CustomSecAttributeProvisioning.ReadWrite.All: Izin ini memberikan kemampuan aplikasi panggilan untuk membaca dan menulis pemetaan atribut yang berisi atribut keamanan kustom. Izin ini dengan Application.ReadWrite.OwnedBy atau Synchronization.ReadWrite.All ( Application.ReadWrite.All dari hak istimewa paling rendah hingga tertinggi) diperlukan untuk mengedit aplikasi provisi yang berisi pemetaan atribut keamanan kustom. Izin ini memungkinkan Anda untuk mendapatkan skema lengkap yang menyertakan atribut keamanan kustom dan memperbarui atau mengatur ulang skema dengan atribut keamanan kustom.
CustomSecAttributeProvisioning.Read.All: Izin ini memberikan kemampuan aplikasi panggilan untuk membaca pemetaan atribut dan log provisi yang berisi atribut keamanan kustom. Izin ini dengan Synchronization.Read.All atau Application.Read.All (dari hak istimewa paling rendah hingga tertinggi) diperlukan untuk melihat nama dan nilai atribut keamanan kustom dalam sumber daya yang dilindungi.

Jika aplikasi tidak memiliki CustomSecAttributeProvisioning.ReadWrite.All izin atau CustomSecAttributeProvisioning.Read.All izin, aplikasi tidak dapat mengakses atau memodifikasi aplikasi provisi yang berisi atribut keamanan kustom. Sebagai gantinya, pesan kesalahan atau data yang diredaksi muncul.

Memecahkan masalah provisi atribut keamanan kustom

Masalah	Langkah-langkah pemecahan masalah
Atribut Keamanan Kustom tidak muncul di menu turun-bawah daftar pemetaan atribut Target.	- Pastikan Anda menambahkan atribut keamanan kustom ke aplikasi provisi yang mendukung atribut keamanan kustom. - Pastikan bahwa pengguna yang masuk diberi peran Administrator Provisi Atribut (untuk akses edit) atau Pembaca Provisi Atribut (untuk akses tampilan).
Kesalahan ditampilkan saat Anda mengatur ulang atau memperbarui skema aplikasi provisi. `HTTP 403 Forbidden - InsufficientAccountPermission Provisioning schema has custom security attributes. The account does not have sufficient permissions to perform this operation.`	Pastikan bahwa pengguna yang masuk diberi peran Administrator Provisi Atribut.
Tidak dapat menghapus atribut keamanan kustom yang ada dalam pemetaan atribut.	Pastikan bahwa pengguna yang masuk diberi peran Administrator Provisi Atribut.
Tabel pemetaan atribut memiliki baris tempat string `redacted` muncul di bawah atribut sumber dan target.	Perilaku ini dirancang jika pengguna yang masuk tidak memiliki peran Administrator Provisi Atribut atau Pembaca Provisi Atribut . Menugaskan salah satu dari peran ini akan menampilkan pemetaan atribut keamanan kustom.
Kesalahan mengembalikan `The provisioning service does not support setting custom security attributes of type boolean and integer. Unable to set CSA attribute`.	Hapus atribut keamanan kustom bilangan bulat/Boolean dari pemetaan atribut aplikasi provisi.
Kesalahan mengembalikan `The provisioning service does not support setting custom security attributes that are deactivated. Unable to set CSA attribute <attribute name>`.	Ada upaya untuk memperbarui atribut keamanan kustom yang dinonaktifkan. Hapus atribut keamanan kustom yang dinonaktifkan dari pemetaan atribut aplikasi provisi.

Langkah selanjutnya

Menyesuaikan pemetaan atribut