Condividi tramite

Funzionamento del provisioning di applicazioni in Microsoft Entra ID

  • Articolo

Il provisioning automatico si riferisce alla creazione di identità e ruoli utente nelle applicazioni cloud a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Prima di iniziare una distribuzione, puoi rivedere questo articolo per informazioni sul funzionamento del provisioning di Microsoft Entra e per ottenere consigli sulla configurazione.

Il servizio di provisioning Microsoft Entra effettua il provisioning degli utenti nelle app SaaS e in altri sistemi connettendosi a un endpoint dell'API di gestione utenti SCIM (System for Cross-Domain Identity Management) 2.0 fornito dal fornitore dell'applicazione o da un agente di provisioning locale. Questo endpoint SCIM consente a Microsoft Entra ID di creare, aggiornare e rimuovere gli utenti a livello programmatico. Per alcune applicazioni, il servizio di provisioning può anche creare, aggiornare e rimuovere oggetti aggiuntivi relative alle identità, ad esempio i gruppi. Il canale usato per il provisioning tra Microsoft Entra ID e l'applicazione viene crittografato con crittografia HTTPS TLS 1.2.

Servizio di provisioning Microsoft EntraFigura 1: il servizio di provisioning Microsoft Entra

Flusso di lavoro del provisioning utenti in uscitaFigura 2: flusso di lavoro del provisioning utenti "in uscita" da Microsoft Entra ID ad applicazioni SaaS diffuse

Flusso di lavoro del provisioning utenti in ingressoFigura 3: flusso di lavoro del provisioning utenti "in ingresso" da applicazioni di Gestione risorse umane (HCM) diffuse verso Microsoft Entra ID e Windows Server Active Directory

Provisioning con SCIM 2.0

Il servizio di provisioning di Microsoft Entra usa il protocollo SCIM 2.0 per il provisioning automatico. Il servizio si connette all'endpoint SCIM per l'applicazione e usa lo schema dell'oggetto utente SCIM e le API REST per automatizzare il provisioning e il deprovisioning di utenti e gruppi. Per la maggior parte delle applicazioni nella raccolta di Microsoft Entra viene fornito un connettore di provisioning basato su SCIM. Gli sviluppatori usano l'API di gestione utenti SCIM 2.0 in Microsoft Entra ID per creare endpoint per le app che si integrano con il servizio di provisioning. Per informazioni dettagliate, consulta Creare un endpoint SCIM e configurare il provisioning utenti. L'agente di provisioning locale converte anche le operazioni SCIM di Microsoft Entra in LDAP, SQL, REST o SOAP, PowerShell, chiamate a un connettore ECMA personalizzato o a connettori e gateway creati dai partner.

Per richiedere un connettore di provisioning Microsoft Entra automatico per un'app che attualmente non ne ha uno, consulta Richiesta di applicazione Microsoft Entra.

Autorizzazione

Le credenziali sono necessarie a Microsoft Entra ID per connettersi all'API di gestione utenti dell'applicazione. Durante la configurazione del provisioning utenti automatico per un'applicazione, è necessario immettere credenziali valide. Per le applicazioni della raccolta, puoi trovare i tipi di credenziali e i requisiti per l'applicazione facendo riferimento all'esercitazione sull'app. Per le applicazioni non della raccolta, puoi fare riferimento alla documentazione SCIM per conoscere i tipi di credenziali e i requisiti. Nell'Interfaccia di amministrazione di Microsoft Entra puoi testare le credenziali tramite un tentativo di connessione di Microsoft Entra ID all'app di provisioning dell'app usando le credenziali fornite.

Attributi di mapping

Quando abiliti il provisioning utenti per un'applicazione SaaS di terze parti, l'Interfaccia di amministrazione di Microsoft Entra controlla i valori degli attributi tramite il mapping degli attributi. Il mapping determina gli attributi utente trasmessi tra Microsoft Entra ID e l'applicazione di destinazione durante il provisioning o l'aggiornamento degli account utente.

Tra gli oggetti utente di Microsoft Entra e gli oggetti utente di ogni app SaaS è disponibile un set preconfigurato di attributi e mapping degli attributi. Alcune app gestiscono altri tipi di oggetti insieme agli utenti, come i gruppi.

Quando si configura il provisioning, è importante esaminare e configurare il mapping attributi e i flussi di lavoro che definiscono il flusso di proprietà utente (o gruppo) da Microsoft Entra ID all'applicazione. Rivedi e configura la proprietà corrispondente (Abbina gli oggetti in base a questo attributo) che viene usata per identificare e abbinare in modo univoco utenti/gruppi tra i due sistemi.

Puoi personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali. Quindi, puoi modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi. Per i dettagli, consulta Personalizzazione dei mapping degli attributi del provisioning utenti per le applicazioni SaaS.

Quando configuri il provisioning in un'applicazione SaaS, come mapping degli attributi puoi specificare il mapping di espressioni. Per questo tipo di mapping è necessario scrivere un'espressione analoga a uno script, che permette di trasformare i dati utente in formati più idonei all'applicazione SaaS. Per i dettagli, consulta Scrittura di espressioni per i mapping degli attributi.

Ambito

Ambito basato sull'assegnazione

Per il provisioning in uscita da Microsoft Entra ID a un'applicazione SaaS, basarsi sulle assegnazioni di utenti o gruppi è il modo più comune per stabilire quali sono gli utenti inclusi nell'ambito del provisioning. Poiché le assegnazioni utente vengono usate anche per l'abilitazione di Single Sign-On, è possibile usare lo stesso metodo per gestire l'accesso e il provisioning. L'ambito basato sull'assegnazione non si applica agli scenari di provisioning in ingresso, ad esempio Workday e Successfactor.

  • Gruppi. Con un piano di licenza Microsoft Entra ID P1 o P2, puoi usare i gruppi per assegnare l'accesso a un'applicazione SaaS. Quindi, quando l'ambito del provisioning è impostato su Sincronizza solo gli utenti e i gruppi assegnati, il servizio di provisioning di Microsoft Entra effettuerà il provisioning o il deprovisioning degli utenti in base alla loro appartenenza o meno, in qualità di membri, a un gruppo assegnato all'applicazione. Non viene effettuato il provisioning dell'oggetto gruppo, a meno che l'applicazione non supporti gli oggetti gruppo. Assicurati che i gruppi assegnati all'applicazione dispongano della proprietà "SecurityEnabled" impostata su "True".

  • Gruppi dinamici. Il servizio di provisioning utenti Microsoft Entra è in grado di leggere ed effettuare il provisioning degli utenti in gruppi di appartenenza dinamica. Tieni presenti questi consigli e avvertenze:

    • L'utilizzo di gruppi dinamici può compromettere le prestazioni del provisioning end-to-end da Microsoft Entra ID alle applicazioni SaaS.

    • La velocità di provisioning o deprovisioning di un utente di un gruppo dinamico in un'applicazione SaaS dipende dalla velocità con cui il gruppo dinamico riesce a valutare le modifiche all'appartenenza. Per informazioni su come controllare lo stato di elaborazione di un gruppo dinamico, consulta Controllare lo stato di elaborazione per una regola di appartenenza.

    • Quando un utente perde l'appartenenza al gruppo dinamico, viene considerato come un evento di deprovisioning. Considera questo scenario quando cri regole per i gruppi di appartenenza dinamica.

  • Gruppi annidati. Il servizio di provisioning utenti Microsoft Entra non è in grado di leggere o di effettuare il provisioning degli utenti in gruppi annidati. Può effettuare la lettura e il provisioning solo degli utenti che sono membri immediati del gruppo assegnato in modo esplicito. Si tratta di una limitazione delle "assegnazioni basate su gruppi alle applicazioni", che ha effetto anche su Single Sign-On e viene descritta in Uso di un gruppo per gestire l'accesso ad applicazioni SaaS. Come soluzione alternativa, assegna in modo esplicito o definisci l'ambito nei gruppi contenenti gli utenti di cui è necessario effettuare il provisioning.

Ambito basato sugli attributi

Puoi usare i filtri di ambito per definire regole basate su attributi per determinare gli utenti per i quali viene eseguito il provisioning per un'applicazione. Questo metodo viene usato comunemente per il provisioning in ingresso dalle applicazioni HCM a Microsoft Entra ID e Active Directory. I filtri per la definizione dell’ambito vengono configurati come parte dei mapping degli attributi per ogni connettore di provisioning degli utenti di Microsoft Entra. Per informazioni dettagliate sulla configurazione dei filtri di ambito basati su attributi, consulta Provisioning dell'applicazione basato su attributi con filtri di ambito.

Utenti B2B (guest)

È possibile usare il servizio di provisioning utenti di Microsoft Entra per effettuare il provisioning degli utenti B2B (guest) di Microsoft Entra ID in applicazioni SaaS. Tuttavia, per consentire agli utenti B2B di accedere all'applicazione SaaS usando Microsoft Entra ID, è necessario configurare manualmente l'applicazione SaaS per l'uso di Microsoft Entra ID come provider di identità SAML (Security Assertion Markup Language).

Segui queste linee guida generali per la configurazione delle app SaaS per utenti B2B (guest):

  • Per la maggior parte delle app, la configurazione degli utenti deve essere eseguita manualmente. Gli utenti devono essere creati manualmente anche nell'app.
  • Per le app che supportano la configurazione automatica, come Dropbox, vengono creati inviti separati dalle app. Gli utenti devono assicurarsi di accettare ogni invito.
  • Negli attributi utente, per attenuare eventuali problemi col disco del profilo utente (UPD) danneggiato negli utenti guest, imposta sempre I'ID utente su user.mail.

Nota

UserPrincipalName per un utente di Collaborazione B2B rappresenta l'indirizzo email dell'utente esterno alias@theirdomain come "alias_theirdomain#EXT#@yourdomain". Quando l'attributo userPrincipalName viene incluso nel mapping degli attributi come attributo di origine e viene eseguito il provisioning di un utente B2B, #EXT# e il tuo dominio vengono rimossi da userPrincipalName, quindi per la corrispondenza o il provisioning viene usato solo il relativo alias@theirdomain originale. Se è necessario il nome dell'entità utente completo, inclusi #EXT# e il dominio, sostituisci userPrincipalName con originalUserPrincipalName come attributo di origine.
userPrincipalName = alias@theirdomain
originalUserPrincipalName = alias_theirdomain#EXT#@yourdomain

Cicli di provisioning: iniziale e incrementale

Quando Microsoft Entra ID è il sistema di origine, il servizio di provisioning usa la query delta per tenere traccia delle modifiche nei dati di Microsoft Graph per monitorare gli utenti e i gruppi. Il servizio di provisioning esegue un ciclo iniziale rispetto al sistema di origine e a quello di destinazione, seguito da cicli incrementali periodici.

Ciclo iniziale

Quando viene avviato il servizio di provisioning, il primo ciclo consiste nelle operazioni seguenti:

  1. Il servizio esegue una query su tutti gli utenti e i gruppi presenti nel sistema di origine e riprende tutti gli attributi definiti nei mapping attributi.

  2. Il servizio filtra gli utenti e i gruppi restituiti, usando assegnazioni configurate o filtri di ambito basati su attributi.

  3. Quando un utente viene assegnato o incluso nell'ambito per il provisioning, il servizio esegue una query sul sistema di destinazione per individuare un utente corrispondente usando gli attributi di corrispondenza specificati. Se ad esempio il nome userPrincipal nel sistema di origine è l’attributo di corrispondenza ed è mappato a userName nel sistema di destinazione, il servizio di provisioning esegue una query sul sistema di destinazione per trovare i valori di userName che corrispondono ai valori del nome userPrincipal nel sistema di origine.

  4. Se nel sistema di destinazione non viene trovato un utente corrispondente, questo viene creato usando gli attributi restituiti dal sistema di origine. Dopo aver creato l'account utente, il servizio di provisioning rileva e memorizza nella cache l'ID del sistema di destinazione per il nuovo utente. Questo ID viene usato per eseguire tutte le operazioni future su tale utente.

  5. Se invece viene trovato un utente corrispondente, questo viene aggiornato usando gli attributi forniti dal sistema di origine. Dopo aver abbinato l'account utente, il servizio di provisioning rileva e memorizza nella cache l'ID del sistema di destinazione per il nuovo utente. Questo ID viene usato per eseguire tutte le operazioni future su tale utente.

  6. Se il mapping degli attributi contiene attributi di "riferimento", il servizio esegue altri aggiornamenti nel sistema di destinazione per creare e collegare gli oggetti a cui viene fatto riferimento. È ad esempio possibile che nel sistema di destinazione un utente abbia un attributo "Manager" collegato a un altro utente creato nel sistema di destinazione.

  7. Al termine del ciclo iniziale, il servizio salva in modo permanente un limite che fornisce il punto iniziale per i successivi cicli incrementali.

Alcune applicazioni come ServiceNow, G Suite e Box supportano non solo il provisioning degli utenti, ma anche quello dei gruppi e dei relativi membri. In questi casi, se nei mapping è abilitato il provisioning di gruppi, il servizio di provisioning sincronizza gli utenti e i gruppi e successivamente i gruppi di appartenenza dinamica.

Cicli incrementali

Dopo il ciclo iniziale, tutti gli altri cicli consisteranno in quanto segue:

  1. Il servizio esegue una query sul sistema di origine per trovare gli utenti e i gruppi che sono stati aggiornati dopo il salvataggio dell'ultimo limite.

  2. Il servizio filtra gli utenti e i gruppi restituiti, usando assegnazioni configurate o filtri di ambito basati su attributi.

  3. Quando un utente viene assegnato o incluso nell'ambito per il provisioning, il servizio esegue una query sul sistema di destinazione per individuare un utente corrispondente usando gli attributi di corrispondenza specificati.

  4. Se nel sistema di destinazione non viene trovato un utente corrispondente, questo viene creato usando gli attributi restituiti dal sistema di origine. Dopo aver creato l'account utente, il servizio di provisioning rileva e memorizza nella cache l'ID del sistema di destinazione per il nuovo utente. Questo ID viene usato per eseguire tutte le operazioni future su tale utente.

  5. Se invece viene trovato un utente corrispondente, questo viene aggiornato usando gli attributi forniti dal sistema di origine. Se si tratta di un account appena assegnato e abbinato, il servizio di provisioning rileva e memorizza nella cache l'ID del sistema di destinazione per il nuovo utente. Questo ID viene usato per eseguire tutte le operazioni future su tale utente.

  6. Se il mapping degli attributi contiene attributi di "riferimento", il servizio esegue altri aggiornamenti nel sistema di destinazione per creare e collegare gli oggetti a cui viene fatto riferimento. È ad esempio possibile che nel sistema di destinazione un utente abbia un attributo "Manager" collegato a un altro utente creato nel sistema di destinazione.

  7. Se un utente precedentemente incluso nell'ambito per il provisioning viene rimosso dall'ambito e la relativa assegnazione viene annullata, il servizio disabilita l'utente nel sistema di destinazione eseguendo un aggiornamento.

  8. Se un utente precedentemente incluso nell'ambito per il provisioning viene disabilitato o eliminato temporaneamente nel sistema di origine, il servizio disabilita l'utente nel sistema di destinazione eseguendo un aggiornamento.

  9. Se un utente precedentemente incluso nell'ambito per il provisioning viene eliminato definitivamente nel sistema di origine, il servizio elimina l'utente nel sistema di destinazione. In Microsoft Entra ID gli utenti vengono eliminati definitivamente dopo che sono trascorsi 30 giorni dall'eliminazione temporanea.

  10. Al termine del ciclo incrementale, il servizio salva in modo permanente un nuovo limite che fornisce il punto di iniziale per i successivi cicli incrementali.

Nota

Eventualmente, puoi disabilitare le operazioni di creazione, aggiornamento o eliminazione usando le caselle di controllo Azioni oggetto di destinazione nella sezione Mapping. La logica per disabilitare un utente durante un aggiornamento viene controllata anche tramite un mapping di attributi da un campo come accountEnabled.

Il servizio di provisioning continuerà a eseguire cicli incrementali back-to-back all'infinito, in base agli intervalli definiti nell'esercitazione specifica di ogni applicazione. I cicli incrementali continuano fino al verificarsi di uno di questi eventi:

  • Il servizio viene arrestato manualmente tramite l'Interfaccia di amministrazione di Microsoft Entra o tramite l'apposito comando dell'API Microsoft Graph.
  • Un nuovo ciclo iniziale viene attivato tramite l'opzione Riavvia provisioning nell'Interfaccia di amministrazione di Microsoft Entra o usando l'apposito comando dell'API Microsoft Graph. L'azione cancella gli eventuali limiti salvati e comporta una nuova valutazione di tutti gli oggetti di origine. Inoltre, l'azione non interrompe i collegamenti tra gli oggetti di origine e di destinazione. Per interrompere i collegamenti, usa Riavvia synchronizationJob con la richiesta:
POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Authorization: Bearer <token>
Content-type: application/json
{
   "criteria": {
       "resetScope": "Full"
   }
}
  • Viene attivato un nuovo ciclo iniziale a causa di una modifica nel mapping degli attributi o nei filtri di ambito. Questa azione cancella anche gli eventuali limiti salvati e tutti gli oggetti di origine vengono nuovamente valutati.
  • Il processo di provisioning entra in quarantena (vedere esempio) a causa di errori molto frequenti e vi rimane per più di quattro settimane. In questo caso, il servizio viene disabilitato automaticamente.

Errori e ripetizione di tentativi

Se non è possibile aggiungere, aggiornare o eliminare un singolo utente nel sistema di destinazione a causa di un errore in tale sistema, il tentativo di eseguire questa operazione viene ripetuto nel ciclo di sincronizzazione successivo. Le operazioni con errori vengono ripetute automaticamente, riducendo progressivamente la frequenza dei tentativi. Per risolvere l'errore, gli amministratori devono verificare i log di provisioning per determinare la causa radice del problema e intraprendere l'azione appropriata. Ecco alcuni esempi di errori comuni:

  • Per gli utenti nel sistema di origine non è definito un valore di attributo che è necessario nel sistema di destinazione.
  • Per gli utenti nel sistema di origine è definito un valore di attributo per cui è impostato un vincolo di unicità nel sistema di destinazione e lo stesso valore è presente in un altro record utente

Questi errori possono essere risolti modificando i valori di attributo per l'utente interessato nel sistema di origine o modificando i mapping attributi in modo da non causare conflitti.

Quarantena

Se la maggior parte o tutte le chiamate al sistema di destinazione non riescono a causa di un errore (ad esempio nel caso di credenziali di amministratore non valide), il processo di provisioning passa allo stato di "quarantena". Questo stato viene indicato nel report sintetico del provisioning e tramite email, se le notifiche e-mail sono state configurate nell'interfaccia di amministrazione di Microsoft Entra.

In stato di quarantena, la frequenza dei cicli incrementali viene gradualmente ridotta fino a diventare giornaliera.

Dopo che tutti gli errori sono stati risolti, il processo di provisioning esce dalla quarantena e viene avviato il ciclo di sincronizzazione successivo. Se lo stato di quarantena dura per più di quattro settimane, il processo di provisioning viene disabilitato. Per altre informazioni sugli stati di quarantena, vai qui.

Tempo richiesto per il provisioning

Le prestazioni variano a seconda del fatto che il processo di provisioning esegua un ciclo di provisioning iniziale o incrementale. Per informazioni dettagliate sul tempo necessario per il provisioning e su come monitorare lo stato del servizio di provisioning, consulta Controllare lo stato del provisioning dell'utente.

Come stabilire se il provisioning utenti viene eseguito correttamente

Tutte le operazioni eseguite dal servizio di provisioning utenti vengono registrate nei log di provisioning di Microsoft Entra. Nei log sono incluse tutte le operazioni di lettura e scrittura eseguite nei sistemi di origine e di destinazione, oltre ai dati degli utenti che sono stati letti o scritti durante ogni operazione. Per ulteriori informazioni su come leggere i log di provisioning nell'Interfaccia di amministrazione di Microsoft Entra, consulta la guida ai report sul provisioning.

Deprovisioning

Il servizio di provisioning di Microsoft Entra mantiene sincronizzati i sistemi di origine e di destinazione eseguendo il deprovisioning gli account quando viene revocato l'accesso dell'utente.

Il servizio di provisioning supporta sia l'eliminazione sia la disabilitazione (a volte definita eliminazione temporanea) degli utenti. La definizione esatta di disabilitazione ed eliminazione varia in base all'implementazione dell'applicazione di destinazione, ma generalmente la disabilitazione indica che l'utente non può effettuare l'accesso. Un'eliminazione indica che l'utente è stato rimosso completamente dall'applicazione. Per le applicazioni SCIM, una disabilitazione corrisponde a una richiesta di impostare la proprietà active su false per un utente.

Configurare l'applicazione per disabilitare un utente

Assicurati che la casella di controllo per gli aggiornamenti sia selezionata.

Verifica il mapping della proprietà active per l'applicazione. Se usi un'applicazione dalla raccolta di app, il mapping potrebbe essere leggermente diverso. In questo caso, usa il mapping predefinito per le applicazioni della raccolta.

Disabilitare un utente

Configurare l'applicazione per eliminare un utente

Lo scenario attiva una disabilitazione o un'eliminazione:

  • Un utente viene temporaneamente eliminato in Microsoft Entra ID (spostato nel cestino/proprietà AccountEnabled impostata su false). Trenta giorni dopo l'eliminazione di un utente in Microsoft Entra ID, l'utente viene eliminato definitivamente dal tenant. A questo punto, il servizio di provisioning invia una richiesta DELETE per eliminare definitivamente l'utente nell'applicazione. In qualsiasi momento durante la finestra di 30 giorni, puoi eliminare manualmente un utente in modo permanente, operazione che invia una richiesta di eliminazione all'applicazione.
  • Un utente viene eliminato definitivamente/rimosso dal cestino in Microsoft Entra ID.
  • Un utente non è assegnato da un'app.
  • Un utente passa dallo stato In ambito a Fuori ambito (non supera più il filtro per la definizione dell'ambito).

Eliminare un utente

Per impostazione predefinita, il servizio di provisioning di Microsoft Entra elimina o disabilita gli utenti fuori ambito. Se vuoi eseguire l'override di questo comportamento predefinito, puoi impostare un flag per ignorare le eliminazioni out-of-scope.

Quando si verifica uno dei quattro eventi e l'applicazione di destinazione non supporta l'eliminazione temporanea, il servizio di provisioning invia una richiesta DELETE per eliminare definitivamente l'utente dall'applicazione.

Se vedi IsSoftDeleted nei mapping degli attributi, viene usato per determinare lo stato dell'utente e per stabilire se inviare una richiesta di aggiornamento con active = false per eliminare temporaneamente l'utente.

Eventi di deprovisioning

La tabella descrive come configurare le azioni di deprovisioning con il servizio di provisioning Microsoft Entra. Queste regole sono stabilite per le applicazioni esterne alla raccolta e personalizzate, ma in genere si applicano alle applicazioni della raccolta. Tuttavia, il comportamento delle applicazioni della raccolta può essere diverso, in quanto sono ottimizzate per soddisfare le esigenze dell'applicazione. Ad esempio, se l'applicazione di destinazione non supporta l'eliminazione temporanea, il servizio di provisioning di Microsoft Entra potrebbe inviare una richiesta di eliminazione definitiva per eliminare gli utenti, anziché quella temporanea.

Scenario Come eseguire la configurazione in Microsoft Entra ID
Un utente non è stato assegnato da un'app, è stato eliminato in Microsoft Entra ID o il suo accesso è stato bloccato. Non fare niente. Rimuovere isSoftDeleted dai mapping degli attributi e/o impostare la proprietà ignorare flag di eliminazione fuori ambito su true.
Un utente non è stato assegnato da un'app, è stato eliminato in Microsoft Entra ID o il suo accesso è stato bloccato. È necessario impostare un attributo specifico su true o false. Esegui il mapping di isSoftDeleted all'attributo che desideri impostare su false.
Un utente è disabilitato in Microsoft Entra ID, non assegnato da un'applicazione, eliminato in Microsoft Entra ID o il suo accesso è bloccato. Vuoi inviare una richiesta DELETE all'applicazione di destinazione. Questo è attualmente supportato per un set limitato di applicazioni della raccolta in cui è necessaria la funzionalità. Non è configurabile dai clienti.
Un utente viene eliminato in Microsoft Entra ID. Non vuoi eseguire alcuna operazione nell'applicazione di destinazione. Assicurati che "Elimina" non sia selezionata come una delle azioni dell'oggetto di destinazione nell'esperienza di configurazione degli attributi.
Un utente viene eliminato in Microsoft Entra ID. Vuoi impostare il valore di un attributo nell'applicazione di destinazione. Non supportato.
Un utente viene eliminato in Microsoft Entra ID. Vuoi eliminare l'utente nell'applicazione di destinazione Assicurati che Elimina sia selezionata come una delle azioni dell'oggetto di destinazione nell'esperienza di configurazione degli attributi.

Limitazioni note

  • Quando un utente o un gruppo non è assegnato da un'app e non è più gestito con il servizio di provisioning, viene inviata una richiesta di disabilitazione. A questo punto, il servizio non gestisce l'utente e una richiesta di eliminazione temporanea non viene inviata quando l'utente viene eliminato dall’elenco.
  • Il provisioning di un utente disabilitato in Microsoft Entra ID non è supportato. Devono essere attivi in Microsoft Entra ID prima di eseguirne il provisioning.
  • Quando un utente passa da eliminazione temporanea ad attivo, il servizio di provisioning di Microsoft Entra attiva l'utente nell'app di destinazione, ma non ripristina automaticamente il gruppo di appartenenza dinamica. L'applicazione di destinazione deve mantenere il gruppo di appartenenza dinamica per l'utente in uno stato inattivo. Se l'applicazione di destinazione non supporta il mantenimento dello stato inattivo, è possibile riavviare il provisioning per aggiornare i gruppi di appartenenza dinamica.

Consiglio

Quando sviluppi un'applicazione, supporta sempre le eliminazioni temporanee e le eliminazioni definitive. Ciò consente ai clienti di eseguire il ripristino quando un utente è disabilitato accidentalmente.

Passaggi successivi

Pianificare una distribuzione automatica del provisioning utenti

Configurare il provisioning per un'app della raccolta

Creare un endpoint SCIM e configurare il provisioning durante la creazione dell'app

Risolvere i problemi di configurazione e provisioning degli utenti in un'applicazione.