Problemi di configurazione del provisioning utenti in un'applicazione della raccolta di Azure AD

Per configurare il provisioning utenti automatico per un'app (se supportato), è necessario seguire istruzioni specifiche per preparare l'applicazione a questa operazione. Sarà quindi possibile usare il Portale di Azure per configurare il servizio di provisioning per sincronizzare gli account utente con l'applicazione.

È sempre consigliabile iniziare cercando l'esercitazione di configurazione specifica per il provisioning dell'applicazione desiderata. Seguire quindi i passaggi riportati per configurare l'app e Azure AD e creare la connessione di provisioning. Le esercitazioni per le app sono disponibili nell'Elenco di esercitazioni sulla procedura di integrazione delle applicazioni SaaS con Azure Active Directory.

Come verificare se viene eseguito il provisioning

Dopo aver configurato il servizio, sarà possibile ricavare la maggior parte delle informazioni dettagliate sul funzionamento del servizio in due posizioni:

  • Log di provisioning (anteprima): i log di provisioning registrano tutte le operazioni eseguite dal servizio di provisioning, inclusa la query Azure AD per gli utenti assegnati che si trovano nell'ambito del provisioning. l'esecuzione nell'app di destinazione di query per l'esistenza di tali utenti, il confronto degli oggetti utente tra i sistemi e quindi l'aggiunta, l'aggiornamento o la disabilitazione dell'account utente nel sistema di destinazione in base al confronto. È possibile accedere ai log di provisioning nella portale di Azure selezionando Azure Active Directory>Enterprise I log Di appProvisioning>(anteprima) nella sezione Attività.

  • Stato corrente : Un riepilogo dell'ultima esecuzione di provisioning per una determinata app può essere visualizzato nella sezione Azure Active Directory Enterprise > Apps > [Nome applicazione] >Provisioning, nella parte inferiore della schermata sotto le impostazioni del servizio. La sezione Stato corrente mostra se un ciclo di provisioning ha avviato il provisioning degli account utente. È possibile controllare lo stato di avanzamento del ciclo, vedere il numero di utenti e gruppi di cui è stato effettuato il provisioning e vedere il numero di ruoli creati. In caso di errori, i dettagli sono disponibili in [Log di provisioning (.. /reports-monitoring/concept-provisioning-logs.md?context=azure/active-directory/manage-apps/context/manage-apps-context.

Aree problematiche generali con provisioning da considerare

Di seguito è riportato un elenco delle aree problematiche generali che è possibile analizzare se si ha un'idea del punto da cui iniziare.

Avvio non riuscito del servizio di provisioning

Se si imposta lo stato di provisioningsu attiva nella sezione Azure Active Directory Enterprise Apps > [Nome applicazione] >Provisioning del portale di Azure>. ma in seguito a successivi ricaricamenti non vengono visualizzati altri dettagli nella pagina, È probabile che il servizio sia in esecuzione ma non abbia ancora completato un ciclo iniziale. Controllare i log di provisioning descritti in precedenza per determinare le operazioni eseguite dal servizio e se sono presenti errori.

Nota

Un ciclo iniziale può richiedere da 20 minuti a diverse ore, a seconda delle dimensioni della directory Azure AD e del numero di utenti nell'ambito del provisioning. Le sincronizzazioni successive dopo il ciclo iniziale sono più veloci, poiché il servizio di provisioning archivia filigrane che rappresentano lo stato di entrambi i sistemi dopo il ciclo iniziale, migliorando le prestazioni delle sincronizzazioni successive.

Impossibile salvare la configurazione a causa di un errore nelle credenziali dell'app

Ai fini del provisioning, Azure AD richiede credenziali valide che consentano di connettersi a un'API di gestione utenti fornita da tale app. Se queste credenziali non funzionano o non sono note, vedere l'esercitazione per configurare questa app, descritta in precedenza.

I log di provisioning dicono che gli utenti vengono ignorati e non vengono effettuato il provisioning anche se vengono assegnati

Quando un utente viene visualizzato come "ignorato" nei log di provisioning, è molto importante leggere i dettagli estesi nel messaggio di log per determinare il motivo. Di seguito sono elencati i motivi e le risoluzioni comuni:

  • È stato configurato un filtro di definizione dell'ambitoche esclude l'utente in base a un valore di attributo. Per altre informazioni, vedere Provisioning di applicazioni basate su attributi con filtri di ambito.

  • L'utente "non è autorizzato in modo efficiente". Se viene visualizzato questo messaggio di errore specifico, si è verificato un problema con il record di assegnazione degli utenti archiviato in Azure AD. Per risolvere il problema, annullare l'assegnazione dell'utente (o del gruppo) dall'app e riassegnarla. Per altre informazioni, vedere Assegnare un utente o un gruppo a un'app aziendale.

  • Attributo obbligatorio mancante o non popolato per un utente. Un aspetto importante da considerare quando si configura il provisioning è quello di esaminare e configurare il mapping degli attributi e i flussi di lavoro che definiscono il tipo di flusso di proprietà utente (o gruppo) da Azure AD all'applicazione. Rientra in questo ambito anche l'impostazione della "proprietà di abbinamento" che può essere usata per identificare e abbinare in modo univoco utenti/gruppi tra i due sistemi. Per altre informazioni su questo processo importante, vedere Personalizzazione dei mapping degli attributi di provisioning utenti.

    • Mapping degli attributi per gruppi: provisioning dei dettagli del gruppo e del nome del gruppo, oltre ai membri, se supportato per alcune applicazioni. È possibile abilitare o disabilitare questa funzionalità abilitando o disabilitando il mapping per gli oggetti gruppo visualizzati nella scheda Provisioning . Se il provisioning dei gruppi è abilitato, assicurarsi di esaminare i mapping degli attributi per assicurarsi che venga usato un campo appropriato per l'ID corrispondente. Può trattarsi del nome visualizzato o dell'alias di posta elettronica, poiché il provisioning del gruppo e dei relativi membri non viene eseguito se la proprietà di abbinamento è vuota o non popolata per un gruppo in Azure AD.

Passaggi successivi

Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Azure Active Directory