Provisioning su richiesta nell'ID Microsoft Entra

Usare il provisioning su richiesta per effettuare il provisioning di un utente o un gruppo in secondi. Tra le altre cose, è possibile usare questa funzionalità per:

• Risolvere rapidamente i problemi di configurazione.
• Convalidare le espressioni definite.
• Testare i filtri di ambito.

Come usare il provisioning su richiesta

Suggerimento

I passaggi in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione Microsoft Entra almeno un amministratore dell'applicazione.

2. Passare alle applicazioni Identity>Applications>>Enterprise selezionare l'applicazione.
3. Selezionare Provisioning.

2. Passare a Identità>identità esterne configurazioni>di sincronizzazione> tra tenant
3. Selezionare la configurazione e quindi passare alla pagina di configurazione del provisioning .

4. Configurare il provisioning fornendo le credenziali di amministratore.

5. Selezionare Provision on demand (Provision on demand).

6. Cercare un utente in base al nome, al cognome, al nome visualizzato, al nome dell'entità utente o all'indirizzo di posta elettronica. In alternativa, è possibile cercare un gruppo e scegliere fino a cinque utenti.

   Nota

   Per l'app cloud HR provisioning (Workday/SuccessFactors in Active Directory/Microsoft Entra ID), il valore di input è diverso. Per lo scenario workday, specificare "WorkerID" o "WID" dell'utente in Workday. Per lo scenario SuccessFactors, specificare "personIdExternal" dell'utente in SuccessFactors.

7. Selezionare Provision (Provision) nella parte inferiore della pagina.

   

Informazioni sui passaggi di provisioning

Il processo di provisioning su richiesta tenta di illustrare i passaggi necessari al servizio di provisioning durante il provisioning di un utente. In genere sono disponibili cinque passaggi per effettuare il provisioning di un utente. Uno o più passaggi, descritti nelle sezioni seguenti, vengono visualizzati durante l'esperienza di provisioning su richiesta.

Passaggio 1: Testare la connessione

Il servizio di provisioning tenta di autorizzare l'accesso al sistema di destinazione eseguendo una richiesta di "utente di test". Il servizio di provisioning prevede una risposta che indica che il servizio autorizzato a continuare con i passaggi di provisioning. Questo passaggio viene visualizzato solo quando ha esito negativo. Non viene visualizzato durante l'esperienza di provisioning su richiesta quando il passaggio ha esito positivo.

Suggerimenti per la risoluzione dei problemi

• Assicurarsi di aver fornito credenziali valide, ad esempio il token segreto e l'URL del tenant, al sistema di destinazione. Le credenziali necessarie variano in base all'applicazione. Per esercitazioni dettagliate sulla configurazione, vedere l'elenco delle esercitazioni.
• Assicurarsi che il sistema di destinazione supporti il filtro sugli attributi corrispondenti definiti nel riquadro Mapping attributi . Potrebbe essere necessario controllare la documentazione dell'API fornita dallo sviluppatore dell'applicazione per comprendere i filtri supportati.
• Per le applicazioni System for Cross-Domain Identity Management (SCIM), è possibile usare uno strumento come Postman. Tali strumenti consentono di assicurarsi che l'applicazione risponda alle richieste di autorizzazione nel modo previsto dal servizio di provisioning Microsoft Entra. Esaminare una richiesta di esempio.

Passaggio 2: Importare l'utente

Successivamente, il servizio di provisioning recupera l'utente dal sistema di origine. Gli attributi utente recuperati dal servizio vengono usati più avanti per:

• Valutare se l'utente è nell'ambito del provisioning.
• Controllare il sistema di destinazione per un utente esistente.
• Determinare gli attributi utente da esportare nel sistema di destinazione.

Visualizza i dettagli

La sezione Visualizza dettagli mostra le proprietà dell'utente importato dal sistema di origine, ad esempio Microsoft Entra ID.

Suggerimenti per la risoluzione dei problemi

• L'importazione dell'utente può non riuscire quando l'attributo corrispondente non è presente nell'oggetto utente nel sistema di origine. Per risolvere questo errore, provare uno di questi approcci:

  • Aggiornare l'oggetto utente con un valore per l'attributo corrispondente.
  • Modificare l'attributo corrispondente nella configurazione del provisioning.

• Se un attributo previsto manca dall'elenco importato, assicurarsi che l'attributo abbia un valore sull'oggetto utente nel sistema di origine. Il servizio di provisioning attualmente non supporta il provisioning di attributi Null.

• Assicurarsi che la pagina Mapping attributi della configurazione di provisioning contenga l'attributo previsto.

Passaggio 3: Determinare se l'utente è nell'ambito

Successivamente, il servizio di provisioning determina se l'utente è nell'ambito del provisioning. Il servizio considera aspetti come:

• Indica se l'utente viene assegnato all'applicazione.
• Se l'ambito è impostato su Sincronizza assegnato o Sincronizza tutto.
• Filtri di ambito definiti nella configurazione del provisioning.

Visualizza i dettagli

La sezione Visualizza dettagli mostra le condizioni di ambito valutate. Potrebbe essere visualizzato uno o più delle proprietà seguenti:

• Attivo nel sistema di origine indica che l'utente ha la proprietà IsActive impostata su true in Microsoft Entra ID.
• Assegnato all'applicazione indica che l'utente viene assegnato all'applicazione in Microsoft Entra ID.
• La sincronizzazione dell'ambito indica che l'impostazione dell'ambito consente a tutti gli utenti e ai gruppi nel tenant.
• L'utente ha un ruolo obbligatorio indica che l'utente ha i ruoli necessari da effettuare nel provisioning nell'applicazione.
• I filtri di ambito vengono inoltre visualizzati se sono stati definiti filtri di ambito per l'applicazione. Il filtro viene visualizzato con il formato seguente: {titolo filtro di ambito} {attributo filtro di ambito} {operatore filtro di ambito} {valore filtro ambito}.

Suggerimenti per la risoluzione dei problemi

• Assicurarsi di aver definito un ruolo di ambito valido. Ad esempio, evitare di usare l'operatore Greater_Than con un valore non predefinito.
• Se l'utente non ha il ruolo necessario, esaminare i suggerimenti per il provisioning degli utenti assegnati al ruolo di accesso predefinito.

Passaggio 4: Associare l'utente tra origine e destinazione

In questo passaggio, il servizio tenta di corrispondere all'utente recuperato nel passaggio di importazione con un utente nel sistema di destinazione.

Visualizza i dettagli

La pagina Visualizza dettagli mostra le proprietà degli utenti corrispondenti nel sistema di destinazione. Il riquadro di contesto viene modificato nel modo seguente:

• Se non sono corrispondenti utenti nel sistema di destinazione, non vengono visualizzate proprietà.
• Se un utente corrisponde al sistema di destinazione, vengono visualizzate le proprietà dell'utente.
• Se più utenti corrispondono, vengono visualizzate le proprietà di entrambi gli utenti.
• Se più attributi corrispondenti fanno parte dei mapping degli attributi, ogni attributo corrispondente viene valutato in sequenza e gli utenti corrispondenti per tale attributo vengono visualizzati.

Suggerimenti per la risoluzione dei problemi

• Il servizio di provisioning potrebbe non essere in grado di corrispondere a un utente nel sistema di origine in modo univoco con un utente nella destinazione. Risolvere questo problema assicurandosi che l'attributo corrispondente sia univoco.
• Assicurarsi che il sistema di destinazione supporti il filtro sull'attributo definito come attributo corrispondente.

Passaggio 5: Eseguire l'azione

Infine, il servizio di provisioning esegue un'azione, ad esempio la creazione, l'aggiornamento, l'eliminazione o l'eliminazione dell'utente.

Ecco un esempio di ciò che potrebbe essere visualizzato dopo il provisioning su richiesta di un utente:

Visualizza i dettagli

La sezione Visualizza dettagli visualizza gli attributi modificati nel sistema di destinazione. Questa visualizzazione rappresenta l'output finale dell'attività del servizio di provisioning e gli attributi esportati. Se questo passaggio ha esito negativo, gli attributi visualizzati rappresentano gli attributi che il servizio di provisioning ha tentato di modificare.

Suggerimenti per la risoluzione dei problemi

• Gli errori per l'esportazione delle modifiche possono variare notevolmente. Controllare la documentazione relativa al provisioning dei log per errori comuni.
• Il provisioning su richiesta indica che il gruppo o l'utente non può essere effettuato il provisioning perché non sono assegnati all'applicazione. È previsto un ritardo di replica fino a pochi minuti tra quando un oggetto viene assegnato a un'applicazione e quando tale assegnazione viene rispettata nel provisioning su richiesta. Potrebbe essere necessario attendere alcuni minuti e riprovare.

Domande frequenti

• È necessario disattivare il provisioning per usare il provisioning su richiesta? Per le applicazioni che usano un token di connessione di lunga durata o un nome utente e una password per l'autorizzazione, non sono necessari altri passaggi. Le applicazioni che usano OAuth per l'autorizzazione richiedono attualmente che il processo di provisioning venga arrestato prima di usare il provisioning su richiesta. Le applicazioni come G Suite, Box, Workplace by Facebook e Slack rientrano in questa categoria. Il lavoro è in corso per supportare il provisioning su richiesta per tutte le applicazioni senza dover interrompere il provisioning dei processi.

• Quanto tempo richiede il provisioning su richiesta? Il provisioning su richiesta richiede in genere meno di 30 secondi.

Limitazioni note

Esistono attualmente alcune limitazioni note per il provisioning su richiesta. Pubblicare i suggerimenti e i commenti in modo da poter determinare meglio quali miglioramenti apportare.

Nota

Le limitazioni seguenti sono specifiche per la funzionalità di provisioning su richiesta. Per informazioni sul fatto che un'applicazione supporti i gruppi di provisioning, le eliminazioni o altre funzionalità, controllare l'esercitazione per tale applicazione.

• Il provisioning su richiesta dei gruppi supporta l'aggiornamento fino a cinque membri alla volta. I connettori per la sincronizzazione tra tenant, Workday e così via non supportano il provisioning dei gruppi e, di conseguenza, non supportano il provisioning su richiesta dei gruppi.

• Il provisioning su richiesta dei gruppi non è supportato per la sincronizzazione tra tenant.

• Il provisioning su richiesta supporta il provisioning di un utente alla volta tramite l'interfaccia di amministrazione Microsoft Entra.
• Il ripristino di un utente eliminato in precedenza nel tenant di destinazione con provisioning su richiesta non è supportato. Se si tenta di eliminare un utente con provisioning su richiesta e quindi ripristinare l'utente, può causare utenti duplicati.
• Il provisioning su richiesta dei ruoli non è supportato.
• Il provisioning su richiesta supporta la disabilitazione degli utenti non assegnati dall'applicazione. Tuttavia, non supporta la disabilitazione o l'eliminazione di utenti disabilitati o eliminati dall'ID di Microsoft Entra. Questi utenti non vengono visualizzati quando si cerca un utente.
• Il provisioning su richiesta non supporta gruppi annidati che non vengono assegnati direttamente all'applicazione.
• L'API richiesta di provisioning su richiesta può accettare solo un singolo gruppo con un massimo di 5 membri alla volta.

Passaggi successivi

• Risoluzione dei problemi relativi al provisioning