Controllare lo stato del provisioning utenti
Il servizio di provisioning Microsoft Entra esegue un ciclo di provisioning iniziale sul sistema di origine e sul sistema di destinazione, seguito da cicli incrementali periodici. Quando si configura il provisioning per un'app, è possibile controllare lo stato corrente del servizio di provisioning e verificare quando un utente è in grado di accedere a un'app.
Visualizzare l'indicatore di stato del provisioning
Nella pagina Provisioning per un'app è possibile visualizzare lo stato del servizio di provisioning Di Microsoft Entra. La sezione Stato corrente nella parte inferiore della pagina indica se un ciclo di provisioning ha avviato il provisioning degli account utente. È possibile controllare lo stato di avanzamento del ciclo, vedere il numero di utenti e gruppi di cui è stato effettuato il provisioning e verificare il numero di ruoli creati.
Quando si configura il provisioning automatico per la prima volta, nella sezione Stato corrente nella parte inferiore della pagina viene visualizzato lo stato del ciclo di provisioning iniziale. Questa sezione viene aggiornata ogni volta che viene eseguito un ciclo incrementale. Vengono visualizzati i dettagli seguenti:
- Tipo di ciclo di provisioning (iniziale o incrementale) attualmente in esecuzione o completato per l'ultima volta.
- Indicatore di stato che mostra la percentuale del ciclo di provisioning completato. La percentuale riflette il numero di pagine di cui è stato effettuato il provisioning. Ogni pagina può contenere più utenti o gruppi, quindi la percentuale non è direttamente correlata al numero di utenti, gruppi o ruoli di cui è stato effettuato il provisioning.
- Pulsante Aggiorna che è possibile usare per mantenere aggiornata la visualizzazione.
- Numero di utenti e gruppi nell'archivio dati del connettore. Il conteggio aumenta ogni volta che un oggetto viene aggiunto all'ambito del provisioning. Il conteggio non si arresta se un utente viene eliminato leggero o eliminato definitivamente perché l'operazione non rimuove l'oggetto dall'archivio dati del connettore. Il conteggio viene ricalcolato la prima sincronizzazione dopo la reimpostazione di CDS
- Collegamento Visualizza log di controllo, che apre i log di provisioning di Microsoft Entra. Per altre informazioni sulle operazioni eseguite dal servizio di provisioning utenti, incluso lo stato di provisioning per singoli utenti, vedere Usare i log di provisioning più avanti nell'articolo.
Al termine di un ciclo di provisioning, la sezione Statistiche a data mostra i numeri cumulativi di utenti e gruppi di cui è stato effettuato il provisioning fino alla data di completamento e alla durata dell'ultimo ciclo. L'ID attività identifica in modo univoco il ciclo di provisioning più recente. L'ID processo è un identificatore univoco per il processo di provisioning ed è specifico dell'app nel tenant.
Lo stato del provisioning viene visualizzato nell'interfaccia di amministrazione di Microsoft Entra in Applicazioni>di identità Applicazioni>> aziendali [nome applicazione] >Provisioning.
È anche possibile usare Microsoft Graph per monitorare a livello di codice lo stato del provisioning in un'applicazione. Per altre informazioni, vedere Monitorare il provisioning.
Usare i log di provisioning per controllare lo stato di provisioning di un utente
Per visualizzare lo stato del provisioning per un utente selezionato, consultare i log di provisioning (anteprima) in Microsoft Entra ID. Tutte le operazioni eseguite dal servizio di provisioning utenti vengono registrate nei log di provisioning di Microsoft Entra. I log includono operazioni di lettura e scrittura eseguite nei sistemi di origine e di destinazione. Vengono registrati anche i dati utente associati correlati alle operazioni di lettura e scrittura.
È possibile accedere ai log di provisioning nell'interfaccia di amministrazione di Microsoft Entra selezionando Applicazioni di identità>Applicazioni>aziendali>Log di provisioning nella sezione Attività. È possibile eseguire ricerche nei dati di provisioning in base al nome dell'utente o all'identificatore nel sistema di origine o nel sistema di destinazione. Per informazioni dettagliate, vedere Log di provisioning (anteprima).
I log di provisioning registrano tutte le operazioni eseguite dal servizio di provisioning, tra cui:
- Esecuzione di query su Microsoft Entra ID per gli utenti assegnati nell'ambito del provisioning
- Esecuzione nell'app di destinazione di query sull'esistenza di tali utenti
- Confronto degli oggetti utente tra i sistemi
- Aggiunta, aggiornamento o disabilitazione dell'account utente nel sistema di destinazione in base al confronto
Per altre informazioni su come leggere i log di provisioning nell'interfaccia di amministrazione di Microsoft Entra, vedere la guida alla creazione di report sul provisioning.
Quanto tempo sarà necessario per eseguire il provisioning degli utenti?
Quando si usa il provisioning utenti automatico con un'applicazione, è necessario tenere presenti alcuni aspetti. Prima di tutto, Microsoft Entra ID effettua automaticamente il provisioning e aggiorna gli account utente in un'app in base a elementi come l'assegnazione di utenti e gruppi. La sincronizzazione avviene a intervalli di tempo pianificati regolarmente, in genere ogni 40 minuti.
Il tempo necessario per il provisioning di un determinato utente dipende principalmente dal fatto che il processo di provisioning esegua un ciclo iniziale o un ciclo incrementale.
Per il ciclo iniziale, il tempo del processo dipende da molti fattori, tra cui il numero di utenti e gruppi nell'ambito del provisioning e il numero totale di utenti e gruppi nel sistema di origine. La prima sincronizzazione tra Microsoft Entra ID e un'app avviene fino a 20 minuti o richiedere fino a diverse ore. Il tempo dipende dalle dimensioni della directory Microsoft Entra e dal numero di utenti nell'ambito del provisioning. Un elenco completo di fattori che influiscono sulle prestazioni iniziali del ciclo sono riepilogati più avanti in questa sezione.
Per i cicli incrementali, dopo il ciclo iniziale, i tempi di processo tendono a essere più veloci (entro 10 minuti), poiché il servizio di provisioning archivia filigrane che rappresentano lo stato di entrambi i sistemi dopo il ciclo iniziale, migliorando le prestazioni delle sincronizzazioni successive. Il tempo del processo dipende dal numero di modifiche rilevate nel ciclo di provisioning. Se sono presenti meno di 5.000 modifiche all'appartenenza a utenti o gruppi, il processo può terminare entro un singolo ciclo di provisioning incrementale.
La tabella seguente riepiloga i tempi di sincronizzazione per gli scenari di provisioning più comuni. In questi scenari, il sistema di origine è Microsoft Entra ID e il sistema di destinazione è un'applicazione SaaS. I tempi di sincronizzazione derivano da un'analisi statistica dei processi di sincronizzazione per le applicazioni SaaS ServiceNow, Workplace, Salesforce e G Suite.
| Configurazione dell'ambito | Utenti, gruppi e membri nell'ambito | Tempo del ciclo iniziale |
|---|---|---|
| Sincronizza solo utenti e gruppi assegnati | < 1,000 | < 30 minuti |
| Sincronizza solo utenti e gruppi assegnati | 1.000 - 10.000 | 142 - 708 minuti |
| Sincronizza solo utenti e gruppi assegnati | 10.000 - 100.000 | 1.170 - 2.340 minuti |
| Sincronizzare tutti gli utenti e i gruppi in Microsoft Entra ID | < 1,000 | < 30 minuti |
| Sincronizzare tutti gli utenti e i gruppi in Microsoft Entra ID | 1.000 - 10.000 | < 30 - 120 minuti |
| Sincronizzare tutti gli utenti e i gruppi in Microsoft Entra ID | 10.000 - 100.000 | 713 - 1.425 minuti |
| Sincronizzare tutti gli utenti in Microsoft Entra ID | < 1,000 | < 30 minuti |
| Sincronizzare tutti gli utenti in Microsoft Entra ID | 1.000 - 10.000 | 43 - 86 minuti |
Solo per la configurazione Sincronizzazione utenti e gruppi assegnati, è possibile usare le formule seguenti per determinare i tempi di ciclo iniziale minimo e massimo approssimativo previsto:
- Minuti minimi = 0,01 x [Numero di utenti, gruppi e membri del gruppo assegnati]
- Numero massimo di minuti = 0,08 x [Numero di utenti, gruppi e membri del gruppo assegnati]
Riepilogo dei fattori che influenzano il tempo necessario per completare un ciclo iniziale:
Numero totale di utenti e gruppi nell'ambito del provisioning.
Numero totale di utenti, gruppi e membri del gruppo presenti nel sistema di origine (ID Microsoft Entra).
Se gli utenti nell'ambito del provisioning corrispondono agli utenti esistenti nell'applicazione di destinazione o devono essere creati per la prima volta. I processi di sincronizzazione per i quali tutti gli utenti vengono creati per la prima volta richiedono circa il doppio del tempo necessario per i processi di sincronizzazione per i quali tutti gli utenti vengono confrontati con gli utenti esistenti.
Numero di errori nei log di provisioning. Le prestazioni risultano ridotte se sono presenti troppi errori e se il servizio di provisioning è in stato di quarantena.
Limitazioni relative al numero e alla frequenza delle richieste implementate dal sistema di destinazione. Alcuni sistemi di destinazione implementano limiti di frequenza delle richieste e limitazioni, che possono influire sulle prestazioni durante operazioni di sincronizzazione di grandi dimensioni. In queste condizioni, un'applicazione che riceve un numero eccessivo di richieste potrebbe ridurre la propria velocità di risposta o interrompere la connessione. Per migliorare le prestazioni, il connettore deve essere regolato in modo da non inviare le richieste di app più velocemente di quanto l'app possa elaborarle. I connettori di provisioning creati da Microsoft sono in grado di eseguire questa regolazione.
Numero e dimensione dei gruppi assegnati. La sincronizzazione dei gruppi assegnati richiede più tempo rispetto alla sincronizzazione degli utenti. Il numero e la dimensione dei gruppi assegnati incidono sulle prestazioni. Se in un'applicazione è abilitato il mapping per la sincronizzazione dell'oggetto del gruppo, in aggiunta agli utenti vengono sincronizzate le proprietà del gruppo, come i nomi e le appartenenze del gruppo. Queste sincronizzazioni richiedono più tempo rispetto alla sincronizzazione degli oggetti utente.
Se le prestazioni diventano un problema e si sta tentando di effettuare il provisioning della maggior parte degli utenti e dei gruppi nel tenant, usare i filtri di ambito. I filtri di ambito consentono di ottimizzare i dati estratti dal servizio di provisioning dall'ID Microsoft Entra filtrando gli utenti in base a valori di attributo specifici. Per altre informazioni sui filtri di ambito, vedere Provisioning dell'applicazione basato su attributi con filtri per la definizione dell'ambito.
Nella maggior parte dei casi, il ciclo incrementale viene completato in 30 minuti. Tuttavia, quando sono presenti centinaia o migliaia di modifiche dell'utente o modifiche all'appartenenza a gruppi, il tempo del ciclo incrementale aumenterà proporzionalmente con il numero di modifiche apportate al processo e può richiedere diverse ore. L'uso di utenti e gruppi assegnati dalla sincronizzazione e ridurre al minimo il numero di utenti/gruppi nell'ambito del provisioning consente di ridurre il tempo di sincronizzazione.
Consigli per ridurre il tempo necessario per effettuare il provisioning di un utente e/o di un gruppo:
- Impostare l'ambito di provisioning per sincronizzare
assigned users and groups, anzichésync all users and groups. - Ridurre al minimo il numero di utenti e gruppi nell'ambito del provisioning.
- Creare più processi di provisioning destinati allo stesso sistema. Quando si esegue questa operazione, ogni processo di sincronizzazione funzionerà in modo indipendente, riducendo il tempo necessario per elaborare le modifiche. Assicurarsi che l'ambito degli utenti sia distinto tra questi processi di provisioning per evitare modifiche da un processo che influisce su un altro.
- Aggiungere filtri di ambito per limitare ulteriormente il numero di utenti e gruppi nell'ambito del provisioning.
Passaggi successivi
Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID