Procedura: Esportare la configurazione del provisioning ed eseguire il rollback a uno stato valido noto

  • Articolo

In questo articolo vengono illustrate le operazioni seguenti:

  • Esportare e importare la configurazione del provisioning dall'interfaccia di amministrazione di Microsoft Entra
  • Esportare e importare la configurazione del provisioning usando l'API Microsoft Graph

Esportare e importare la configurazione del provisioning dall'interfaccia di amministrazione di Microsoft Entra

Esportare la configurazione del provisioning

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per esportare la configurazione:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.
  2. Passare ad Applicazioni di identità>Applicazioni>aziendali e scegliere l'applicazione.
  3. Nel riquadro di spostamento sinistro selezionare Provisioning. Nella pagina di configurazione del provisioning fare clic sui mapping degli attributi, quindi visualizzare le opzioni avanzate e infine esaminare lo schema. Verrà aperto l'editor dello schema.
  4. Fare clic sul download nella barra dei comandi nella parte superiore della pagina per scaricare lo schema.

Ripristino di emergenza: eseguire il rollback a uno stato valido noto

L'esportazione e il salvataggio della configurazione consentono di eseguire il rollback a una versione precedente della configurazione. È consigliabile esportare la configurazione del provisioning e salvarla per usarla in un secondo momento in qualsiasi momento in cui si apporta una modifica ai mapping degli attributi o ai filtri di ambito. Aprire il file JSON scaricato, copiare l'intero contenuto. Sostituire quindi l'intero contenuto del payload JSON nell'editor dello schema e quindi salvare. Se è presente un ciclo di provisioning attivo, viene completato e il ciclo successivo usa lo schema aggiornato. Il ciclo successivo è anche un ciclo iniziale, che rivaluta ogni utente e gruppo in base alla nuova configurazione.

Alcuni aspetti da considerare quando si esegue il rollback a una configurazione precedente:

  • Gli utenti vengono valutati di nuovo per determinare se devono trovarsi nell'ambito. Se i filtri di ambito sono stati modificati, un utente non è più nell'ambito perché è disabilitato. Anche se il comportamento è quello desiderato nella maggior parte dei casi, è possibile che si voglia evitare. Per evitare il comportamento, usare la funzionalità ignora le eliminazioni dell'ambito.
  • La modifica della configurazione del provisioning riavvia il servizio e attiva un ciclo iniziale.

Esportare e importare la configurazione del provisioning usando l'API Microsoft Graph

È possibile usare l'API Microsoft Graph e Microsoft Graph Explorer per esportare i mapping e lo schema degli attributi di provisioning utenti in un file JSON e importarlo nuovamente in Microsoft Entra ID. È anche possibile usare i passaggi acquisiti qui per creare un backup della configurazione del provisioning.

Passaggio 1: Recuperare l'ID entità di provisioning servizio app (ID oggetto)

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra e passare alla sezione Proprietà dell'applicazione di provisioning. Ad esempio, se si vuole esportare il mapping dell'applicazione Workday in Ad User Provisioning passare alla sezione Proprietà dell'app.

  2. Nella sezione delle proprietà dell'app di provisioning, copiare il valore GUID associato al campo Object ID (ID oggetto). Questo valore viene chiamato anche ServicePrincipalId dell'app e viene usato nelle operazioni di Microsoft Graph Explorer.

    Workday App Service Principal ID

Passaggio 2: Accedere a Microsoft Graph Explorer

  1. Avviare Microsoft Graph Explorer

  2. Fare clic sul pulsante "Accedi con Microsoft" e accedere con le credenziali di Microsoft Entra Global Amministrazione istrator o App Amministrazione.

    Microsoft Graph Sign-in

  3. Al termine dell'accesso, i dettagli dell'account utente vengono visualizzati nel riquadro a sinistra.

Passaggio 3: Recuperare l'ID processo di provisioning dell'app di provisioning

In Microsoft Graph Explorer, eseguire la query GET seguente, sostituendo [servicePrincipalId] con il ServicePrincipalId estratto dal Passaggio 1.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs

Si ottiene una risposta come illustrato. Copiare l'attributo id presente nella risposta. Questo valore è ProvisioningJobId e viene usato per recuperare i metadati dello schema sottostanti.

Provisioning Job ID

Passaggio 4: Scaricare lo schema di provisioning

In Microsoft Graph Explorer, eseguire la query GET seguente, sostituendo [servicePrincipalId] e [ProvisioningJobId] con il ServicePrincipalId e il ProvisioningJobId recuperati nei passaggi precedenti.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema

Copiare l'oggetto JSON dalla risposta e salvarlo in un file per creare un backup dello schema.

Passaggio 5: Importare lo schema di provisioning

Attenzione

Eseguire questo passaggio solo se è necessario modificare lo schema per la configurazione che non può essere modificato usando l'interfaccia di amministrazione di Microsoft Entra o se è necessario ripristinare la configurazione da un file di cui è stato eseguito il backup in precedenza con uno schema valido e funzionante.

In Microsoft Graph Explorer, eseguire la query PUT seguente, sostituendo [servicePrincipalId] e [ProvisioningJobId] con il ServicePrincipalId e il ProvisioningJobId recuperati nei passaggi precedenti.

    PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema

Nella scheda "Corpo della richiesta" copiare il contenuto del file dello schema JSON.

Request Body

Nella scheda "Richiesta delle intestazioni" aggiungere l'attributo di intestazione Content-Type con valore "application/json"

Request Headers

Selezionare Esegui query per importare il nuovo schema.