Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive la procedura generale per gestire il provisioning e il deprovisioning automatici degli account utente per le applicazioni che li supportano. La fornitura degli account utente è l'atto di creare, aggiornare e/o disabilitare i record dell'account utente nell'archivio profili utente locale di un'applicazione. La maggior parte delle applicazioni cloud e SaaS, così come molte applicazioni locali, archiviano il ruolo e le autorizzazioni nell'archivio dei profili utente locale dell'applicazione. La presenza di un record utente di questo tipo nell'archivio locale dell'applicazione è necessaria per l'accesso Single Sign-On e l'accesso al lavoro. Per ulteriori informazioni sul provisioning automatico degli account utenti, vedere Automatizzare il provisioning degli utenti e il deprovisioning in applicazioni SaaS con Microsoft Entra ID.
Importante
Microsoft Entra ID offre una raccolta contenente migliaia di applicazioni preintegrate, abilitate per il provisioning automatico con Microsoft Entra ID. Si dovrebbe iniziare trovando l'esercitazione sulla configurazione del provisioning specifica per la propria applicazione nell'elenco delle esercitazioni su come integrare app SaaS con Microsoft Entra ID. È probabile che siano disponibili istruzioni dettagliate per la configurazione sia dell'app che di Microsoft Entra ID per creare la connessione di provisioning.
Individuazione delle app nel portale
Usare l'Interfaccia di amministrazione di Microsoft Entra per visualizzare e gestire tutte le applicazioni configurate per l'accesso Single Sign-On in una directory. Le app aziendali sono app distribuite e usate all'interno dell'organizzazione. Per visualizzare e gestire le applicazioni aziendali, seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'applicazione.
Passare a Entra ID> e applicazioni aziendali.
Verrà visualizzato un elenco di tutte le app configurate, incluse le app aggiunte dalla raccolta.
Selezionare un'app per caricare il relativo riquadro delle risorse, in cui è possibile visualizzare i report e gestire le impostazioni delle app.
Selezionare Provisioning per gestire le impostazioni di provisioning dell'account utente per l'app selezionata.
Modalità di provisioning
Il riquadro Provisioning inizia con un menu Modalità , che mostra le modalità di provisioning supportate per un'applicazione aziendale e consente di configurarle. Le opzioni disponibili includono:
Automatico : questa opzione viene visualizzata se Microsoft Entra ID supporta il provisioning automatico basato su API o il deprovisioning degli account utente in questa applicazione. Selezionare questa modalità per visualizzare un'interfaccia che consenta agli amministratori di:
- Configurare Microsoft Entra ID per connettersi all'API di gestione utenti dell'applicazione
- Creare mapping degli account e flussi di lavoro che definiscono la modalità di flusso dei dati degli account utente tra Microsoft Entra ID e l'app
- Gestire il servizio di provisioning di Microsoft Entra
Manuale - Questa opzione viene visualizzata se Microsoft Entra ID non supporta il provisioning automatico degli account utente per questa applicazione. In questo caso, i record relativi agli account utente archiviati nell'applicazione devono essere gestiti usando un processo esterno, in base alle funzionalità di gestione e provisioning degli utenti fornite dall'applicazione, che possono includere il provisioning just-in-time SAML.
Configurazione del provisioning automatico degli account utente
Selezionare l'opzione Automatico per specificare le impostazioni per le credenziali di amministratore, i mapping, l'avvio e l'arresto e la sincronizzazione.
Credenziali di amministratore
Espandere Credenziali amministratore per immettere le credenziali necessarie per Microsoft Entra ID, al fine di connettersi all'API di gestione utenti dell'applicazione. L'input necessario dipende dall'applicazione. Per informazioni sui tipi di credenziali e sui requisiti per applicazioni specifiche, vedere l'esercitazione sulla configurazione per tale applicazione specifica.
Selezionare Test connessione per testare le credenziali facendo in modo che Microsoft Entra ID tenti di connettersi all'app di provisioning dell'app usando le credenziali fornite.
Mapping
Espandere Mapping per visualizzare e modificare gli attributi utente trasmessi tra Microsoft Entra ID e l'applicazione di destinazione quando viene effettuato il provisioning o l'aggiornamento degli account utente.
Esiste un set preconfigurato di mapping tra gli oggetti utente di Microsoft Entra ID e gli oggetti utente di ogni app SaaS. Alcune app gestiscono anche gli oggetti di gruppo. Selezionare un mapping nella tabella per aprire l'editor di mapping in cui è possibile visualizzare e personalizzare i mapping.
Le personalizzazioni supportate includono:
Abilitare e disabilitare i mapping per oggetti specifici, ad esempio l'oggetto utente di Microsoft Entra all'oggetto utente dell'app SaaS.
Modificare gli attributi che devono essere trasmessi dall'oggetto utente di Microsoft Entra all'oggetto utente dell'app. Per altre informazioni sul mapping degli attributi, vedere Informazioni sui tipi di mapping degli attributi.
Applicare un filtro alle azioni di provisioning che Microsoft Entra esegue nell'applicazione di destinazione. Anziché permettere a Microsoft Entra ID di eseguire la sincronizzazione completa degli oggetti, è possibile limitare le azioni eseguite.
Ad esempio, selezionare Solo Aggiorna e Microsoft Entra-only aggiorna gli account utente esistenti in un'applicazione, ma non ne crea di nuovi. Selezionare Solo Crea e Azure crea solo nuovi account utente, ma non ne aggiorna quelli esistenti. Questa funzionalità consente agli amministratori di creare diversi mapping per i flussi di lavoro di creazione e aggiornamento degli account.
Aggiunta di un nuovo mapping di attributi. Selezionare Aggiungi nuova mappatura nella parte inferiore del riquadro Mappatura attributi. Compilare il modulo Modifica attributo e selezionare OK per aggiungere il nuovo mapping all'elenco.
Impostazione
Espandere Impostazioni per impostare un indirizzo di posta elettronica per ricevere notifiche e se ricevere avvisi in caso di errori. Selezionare anche l'ambito degli utenti da sincronizzare. Scegliere se sincronizzare tutti gli utenti e i gruppi o solo gli utenti assegnati.
Stato del provisioning
Se il provisioning viene abilitato per la prima volta per un'applicazione, attivare il servizio modificando lo stato del provisioning su Sì. Questa modifica provoca l'esecuzione di un ciclo iniziale del servizio di provisioning di Microsoft Entra. Legge gli utenti assegnati nella sezione Utenti e gruppi , esegue una query sull'applicazione di destinazione e quindi esegue le azioni di provisioning definite nella sezione Mapping ID di Microsoft Entra. Durante questo processo, il servizio di provisioning archivia i dati memorizzati nella cache relativi agli account utente gestiti. Il servizio archivia i dati memorizzati nella cache in modo che gli account non gestiti nelle applicazioni di destinazione, che non erano mai inclusi nell'ambito dell'assegnazione, non siano interessati dalle operazioni di deprovisioning. Dopo il ciclo iniziale, il servizio di provisioning sincronizza automaticamente gli oggetti utente e gruppo a intervalli di quaranta minuti.
Impostare Stato provisioningsu Disattivato per sospendere il servizio di provisioning. In questo stato Azure non crea, aggiorna né rimuove oggetti utente o gruppo nell'app. Reimposta lo stato su On e il servizio riprende da dove era stato interrotto.