Condividi tramite

Gestire il provisioning degli account utente per le app aziendali nell'Interfaccia di amministrazione di Microsoft Entra

  • Articolo

Questo articolo descrive la procedura generale per gestire il provisioning e il deprovisioning automatici degli account utente per le applicazioni che li supportano. Il provisioning degli account utente è l'atto di creazione, aggiornamento e/o la disabilitazione di record di account utente nell'archivio di profili utente locale di un'applicazione. La maggior parte delle applicazioni cloud e SaaS, così come molte applicazioni locali, archiviano il ruolo e le autorizzazioni nell'archivio dei profili utente locale dell'applicazione. La presenza di un record utente di questo tipo nell'archivio locale dell'applicazione è necessaria per l'accesso Single Sign-On e l'accesso al lavoro. Per altre informazioni sul provisioning automatico degli account utente, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.

Importante

Microsoft Entra ID offre una raccolta contenente migliaia di applicazioni preintegrate, abilitate per il provisioning automatico con Microsoft Entra ID. Per iniziare, individuare l'esercitazione relativa alla configurazione del provisioning specifica dell’applicazione nell'elenco delle esercitazioni su come integrare le app SaaS con Microsoft Entra ID. È probabile che siano disponibili istruzioni dettagliate per la configurazione sia dell'app che di Microsoft Entra ID per creare la connessione di provisioning.

Individuazione delle app nel portale

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Usare l'Interfaccia di amministrazione di Microsoft Entra per visualizzare e gestire tutte le applicazioni configurate per l'accesso Single Sign-On in una directory. Le app aziendali sono app distribuite e usate all'interno dell'organizzazione. Per visualizzare e gestire le applicazioni aziendali, seguire questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali.

  3. Verrà visualizzato un elenco di tutte le app configurate, incluse le app aggiunte dalla raccolta.

  4. Selezionare un'app per caricare il relativo riquadro delle risorse, in cui è possibile visualizzare i report e gestire le impostazioni delle app.

  5. Selezionare Provisioning per gestire le impostazioni di provisioning degli account utente per l'app selezionata.

    Schermata Provisioning per la gestione delle impostazioni di provisioning degli account utente

Modalità di provisioning

Il riquadro Provisioning inizia con un menu Modalità, che mostra le modalità di provisioning supportate per un'applicazione aziendale e ne consente la configurazione. Le opzioni disponibili includono:

  • Automatica: questa opzione viene visualizzata se Microsoft Entra ID supporta il provisioning o il deprovisioning automatico basato sulle API per gli account utente nell’applicazione. Selezionare questa modalità per visualizzare un'interfaccia che consenta agli amministratori di:

    • Configurare Microsoft Entra ID per connettersi all'API di gestione utenti dell'applicazione
    • Creare mapping degli account e flussi di lavoro che definiscono la modalità di flusso dei dati degli account utente tra Microsoft Entra ID e l'app
    • Gestire il servizio di provisioning di Microsoft Entra

  • Manuale: questa opzione viene visualizzata se Microsoft Entra ID non supporta il provisioning automatico di account utente in questa applicazione. In questo caso, i record relativi agli account utente archiviati nell'applicazione devono essere gestiti usando un processo esterno, in base alle funzionalità di gestione e provisioning degli utenti fornite dall'applicazione, che possono includere il provisioning just-in-time SAML.

Configurazione del provisioning automatico degli account utente

Selezionare l'opzione Automatica per specificare le impostazioni per le credenziali di amministratore, i mapping, l'avvio e l'arresto, nonché la sincronizzazione.

Credenziali di amministratore

Espandere Credenziali amministratore per immettere le credenziali necessarie a Microsoft Entra ID per connettersi all'API di gestione degli utenti dell'applicazione. L'input necessario dipende dall'applicazione. Per informazioni sui tipi di credenziali e sui requisiti per applicazioni specifiche, vedere l' esercitazione sulla configurazione per l'applicazione specifica.

Selezionare Testa connessione per testare le credenziali tramite un tentativo di connessione di Microsoft Entra ID all'app di provisioning dell'app con le credenziali fornite.

Mapping

Espandere Mapping per visualizzare e modificare gli attributi utente trasmessi tra Microsoft Entra ID e l'applicazione di destinazione durante il provisioning o l'aggiornamento degli account utente.

Esiste un set preconfigurato di mapping tra gli oggetti utente di Microsoft Entra ID e gli oggetti utente di ogni app SaaS. Alcune app gestiscono anche gli oggetti di gruppo. Selezionare un mapping nella tabella per aprire l'editor di mapping in cui è possibile visualizzare e personalizzare i mapping.

Le personalizzazioni supportate includono:

  • Abilitare e disabilitare i mapping per oggetti specifici, ad esempio l'oggetto utente di Microsoft Entra all'oggetto utente dell'app SaaS.

  • Modificare gli attributi che devono essere trasmessi dall'oggetto utente di Microsoft Entra all'oggetto utente dell'app. Per altre informazioni sul mapping degli attributi, vedere Informazioni sui tipi di mapping degli attributi.

  • Applicare un filtro alle azioni di provisioning che Microsoft Entra esegue nell'applicazione di destinazione. Anziché permettere a Microsoft Entra ID di eseguire la sincronizzazione completa degli oggetti, è possibile limitare le azioni eseguite.

    Ad esempio se si seleziona Aggiorna, Microsoft Entra aggiornerà solo gli account utente esistenti in un'applicazione, senza crearne di nuovi. Selezionando solo Crea, Azure creerà solo nuovi account utente, senza aggiornare quelli esistenti. Questa funzionalità consente agli amministratori di creare diversi mapping per i flussi di lavoro di creazione e aggiornamento degli account.

  • Aggiunta di un nuovo mapping di attributi. Selezionare Aggiungi nuovo mapping nella parte inferiore del riquadro Mapping attributi. Compilare il modulo Modifica attributo e selezionare OK per aggiungere il nuovo mapping all'elenco.

Impostazione

Espandere Impostazioni per impostare un indirizzo di posta elettronica per ricevere notifiche ed eventualmente avvisi in caso di errori. Selezionare anche l'ambito degli utenti da sincronizzare. Scegliere se sincronizzare tutti gli utenti e i gruppi o solo gli utenti assegnati.

Stato del provisioning

Se il provisioning viene abilitato per la prima volta per un'applicazione, attivare il servizio impostando Stato del provisioning su . Questa modifica provoca l'esecuzione di un ciclo iniziale del servizio di provisioning di Microsoft Entra. Il servizio legge gli utenti assegnati nella sezione Utenti e gruppi, esegue query nell'applicazione di destinazione per ricercare tali utenti e quindi esegue le azioni di provisioning definite nella sezione Mapping di Microsoft Entra ID. Durante questo processo, il servizio di provisioning archivia i dati memorizzati nella cache relativi agli account utente gestiti. Il servizio archivia i dati memorizzati nella cache in modo che gli account non gestiti nelle applicazioni di destinazione, che non erano mai inclusi nell'ambito dell'assegnazione, non siano interessati dalle operazioni di deprovisioning. Dopo il ciclo iniziale, il servizio di provisioning sincronizza automaticamente gli oggetti utente e gruppo a intervalli di quaranta minuti.

Impostare Stato del provisioning su No per sospendere il servizio di provisioning. In questo stato Azure non crea, aggiorna né rimuove oggetti utente o gruppo nell'app. Impostare lo stato di nuovo su e il servizio ripartirà dal punto in cui si era interrotto.