Configurare l'app di provisioning in ingresso basata sulle API

Introduzione

Questa esercitazione descrive come configurare il provisioning utenti in ingresso basato su API.

Questa funzionalità è disponibile solo quando si configurano le app di Enterprise Gallery seguenti:

• Provisioning utenti in ingresso basato sulle API in Microsoft Entra ID
• Provisioning utenti in ingresso basato sulle API in ACTIVE Directory locale

Prerequisiti

Per completare i passaggi di questa esercitazione, è necessario accedere all'interfaccia di amministrazione di Microsoft Entra con i ruoli seguenti:

• Application Amministrazione istrator (se si sta configurando il provisioning utenti in ingresso in Microsoft Entra ID) O
• Application Amministrazione istrator + Hybrid Identity Amministrazione istrator (se si sta configurando il provisioning utenti in ingresso in Active Directory locale)

Se si sta configurando il provisioning utenti in ingresso in Active Directory locale, è necessario accedere a un Windows Server in cui è possibile installare l'agente di provisioning per la connessione al controller di dominio di Active Directory.

Creare l'app di provisioning basata sulle API

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali.

3. Fare clic su Nuova applicazione per creare una nuova applicazione di provisioning.

4. Immettere API-driven nel campo di ricerca e quindi selezionare l'applicazione per la configurazione:

   • Provisioning utenti in ingresso basato su API in AD locale: selezionare questa app se si esegue il provisioning di identità ibride (identità che richiedono sia l'account AD locale che l'account Microsoft Entra) dal sistema di record. Dopo aver effettuato il provisioning di questi account in AD locale, questi vengono sincronizzati automaticamente con il tenant di Microsoft Entra usando Microsoft Entra Connessione Sync o Microsoft Entra Connessione sincronizzazione cloud.
   • Provisioning utenti in ingresso basato sulle API in Microsoft Entra ID: selezionare questa app se si esegue il provisioning di identità solo cloud (identità che non richiedono account AD locali e necessitano solo dell'account Microsoft Entra) dal sistema di record.

   

5. Nel campo Nome rinominare l'applicazione per soddisfare i requisiti di denominazione e quindi fare clic su Crea.

   

   Nota

   Se si prevede di inserire dati da più origini, ognuno con le proprie regole di sincronizzazione, è possibile creare più app e assegnare a ogni app un nome descrittivo, ad esempio Provision-Employees-From-CSV-to-AD o Provision-Contractors-From-SQL-to-AD.

6. Al termine della creazione dell'applicazione, passare al pannello Provisioning e fare clic su Inizia.

7. Passare dalla modalità di provisioning manuale a automatica.

A seconda dell'app selezionata, usare una delle sezioni seguenti per completare la configurazione:

• Configurare il provisioning in ingresso basato sulle API in AD locale
• Configurare il provisioning in ingresso basato sulle API in Microsoft Entra ID

Configurare il provisioning in ingresso basato sulle API in AD locale

1. Dopo aver impostato modalità di provisioning su Automatico, fare clic su Salva per creare la configurazione iniziale del processo di provisioning.
2. Fare clic sul banner informativo sull'agente di provisioning di Microsoft Entra.
3. Fare clic su Accetta termini e download per scaricare Microsoft Entra provisioning Agent.
4. Fare riferimento alla procedura descritta qui per installare e configurare l'agente di provisioning. Questo passaggio registra i domini Active Directory locale con il tenant di Microsoft Entra.
5. Al termine della registrazione dell'agente, selezionare il dominio nel dominio di Active Directory a discesa e specificare il nome distinto dell'unità organizzativa in cui vengono creati nuovi account utente per impostazione predefinita.

   Nota

   Se il dominio di ACTIVE Directory non è visibile nell'elenco a discesa Dominio di Active Directory, ricaricare l'app di provisioning nel browser. Fare clic su Visualizza agenti locali per il dominio per assicurarsi che lo stato dell'agente sia integro.

6. Fare clic su Test connessione per assicurarsi che Microsoft Entra ID possa connettersi all'agente di provisioning.
7. Fare clic su Salva per salvare le modifiche.
8. Al termine dell'operazione di salvataggio, verranno visualizzati altri due pannelli di espansione, uno per mapping e uno per Impostazioni. Prima di procedere al passaggio successivo, specificare un ID di posta elettronica di notifica valido e salvare di nuovo la configurazione.

   Nota

   L'invio del messaggio di posta elettronica di notifica in Impostazioni è obbligatorio. Se il messaggio di posta elettronica di notifica viene lasciato vuoto, il provisioning diventa in quarantena quando si avvia l'esecuzione.

9. Fare clic sul collegamento ipertestuale nel pannello di espansione Mapping per visualizzare i mapping degli attributi predefiniti.

   Nota

   La configurazione predefinita nella pagina Mapping attributi esegue il mapping degli attributi SCIM Core User e Enterprise User agli attributi DI AD locali. È consigliabile usare i mapping predefiniti per iniziare e personalizzare questi mapping in un secondo momento man mano che si ha familiarità con il flusso di dati complessivo.

10. Completare la configurazione seguendo la procedura descritta nella sezione Iniziare ad accettare le richieste di provisioning.

Configurare il provisioning in ingresso basato sulle API in Microsoft Entra ID

1. Dopo aver impostato modalità di provisioning su Automatico, fare clic su Salva per creare la configurazione iniziale del processo di provisioning.

2. Al termine dell'operazione di salvataggio, verranno visualizzati altri due pannelli di espansione, uno per Mapping e uno per Impostazioni. Prima di procedere al passaggio successivo, assicurarsi di specificare un ID di posta elettronica di notifica valido e salvare la configurazione ancora una volta.

   Nota

   L'invio del messaggio di posta elettronica di notifica in Impostazioni è obbligatorio. Se il messaggio di posta elettronica di notifica viene lasciato vuoto, il provisioning diventa in quarantena quando si avvia l'esecuzione.

3. Fare clic sul collegamento ipertestuale nel pannello di espansione Mapping per visualizzare i mapping degli attributi predefiniti.

   Nota

   La configurazione predefinita nella pagina Mapping attributi esegue il mapping degli attributi SCIM Core User e Enterprise User agli attributi DI AD locali. È consigliabile usare i mapping predefiniti per iniziare e personalizzare questi mapping in un secondo momento man mano che si ha familiarità con il flusso di dati complessivo.

4. Completare la configurazione seguendo la procedura descritta nella sezione Iniziare ad accettare le richieste di provisioning.

Iniziare ad accettare le richieste di provisioning

1. Aprire la pagina Panoramica del provisioning dell'applicazione di provisioning>.
2. In questa pagina è possibile eseguire le azioni seguenti:
   • Pulsante avvia il controllo del provisioning : fare clic su questo pulsante per posizionare il processo di provisioning in modalità di ascolto per elaborare i payload delle richieste di caricamento bulk in ingresso.
   • Arresta il pulsante di controllo del provisioning : usare questa opzione per sospendere o arrestare il processo di provisioning.
   • Pulsante di controllo Riavvia il provisioning : usare questa opzione per eliminare eventuali payload di richiesta esistenti in sospeso durante l'elaborazione e avviare un nuovo ciclo di provisioning.
   • Pulsante di controllo Modifica provisioning : usare questa opzione per modificare le impostazioni del processo, i mapping degli attributi e per personalizzare lo schema di provisioning.
   • Pulsante di controllo provisioning su richiesta : questa funzionalità non è supportata per il provisioning in ingresso basato sulle API.
   • Testo dell'URL dell'endpoint dell'API di provisioning: copiare il valore dell'URL HTTPS visualizzato e salvarlo in un Blocco note o OneNote per usarlo in un secondo momento con il client API.
3. Espandere il pannello Statistiche fino a data>Visualizzare le informazioni tecniche e copiare l'URL dell'endpoint dell'API di provisioning. Condividere questo URL con lo sviluppatore dell'API dopo aver concesso l'autorizzazione di accesso per richiamare l'API.

Passaggi successivi

• Concedere l'accesso all'API di provisioning in ingresso
• Domande frequenti sul provisioning in ingresso basato sulle API
• Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID