Condividi tramite

Provisioning di utenti in applicazioni tramite PowerShell

  • Articolo

La documentazione seguente fornisce informazioni sulla configurazione e sull'esercitazione che illustrano come usare il connettore PowerShell generico e l'host del connettore ECMA (Extensible Connectivity) per integrare Microsoft Entra ID con sistemi esterni che offrono API basate su Windows PowerShell.

Per ulteriori informazioni, vedere Documentazione tecnica sul connettore Windows PowerShell

Prerequisiti di provisioning tramite Windows PowerShell

Le sezioni seguenti illustrano in dettaglio i prerequisiti per questa esercitazione.

Scaricare i file di intallazione di PowerShell

Scaricare i file di installazione di PowerShell dal repository GitHub. I file di installazione sono costituiti dal file di configurazione, dal file di input, dal file di schema e dagli script utilizzati.

On-premises prerequisites (Prerequisiti locali)

Il connettore fornisce un bridge tra le funzionalità dell'host del connettore ECMA e Windows PowerShell. Prima di usare il connettore, verificare che nel server che ospita il connettore sia disponibile quanto segue:

  • Windows Server 2016 o versione successiva.
  • Almeno 3 GB di RAM per ospitare un agente di provisioning.
  • .NET Framework 4.7.2
  • Windows PowerShell 2.0, 3.0 o 4.0
  • Connettività tra il server di hosting, il connettore e il sistema di destinazione con cui interagiscono gli script di PowerShell.
  • I criteri di esecuzione nel server devono essere configurati per consentire al connettore di eseguire script di Windows PowerShell. Se gli script eseguiti dal connettore non hanno una firma digitale, eseguire questo comando per configurare i criteri di esecuzione:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • La distribuzione di questo connettore richiede uno o più script di PowerShell. Alcuni prodotti Microsoft possono fornire script utilizzabili con questo connettore e le istruzioni di supporto per tali script verrebbe fornita dal prodotto di cui sopra. Se si sviluppano script personalizzati da usare con questo connettore, è necessario avere familiarità con l'API dell'agente di gestione della connettività estendibile per poter sviluppare e gestire tali script. Se si esegue l'integrazione con sistemi di terze parti usando script personalizzati in un ambiente di produzione, è consigliabile collaborare con il fornitore di terze parti o un partner di distribuzione al fine di avere assistenza, indicazioni e supporto per questa integrazione.

Requisiti del cloud

  • Un tenant di Microsoft Entra con una licenza P1 o Premium P2 di Microsoft Entra ID (oppure EMS E3 o E5). L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
  • Ruolo Amministratore identità ibrida per la configurazione dell'agente di provisioning e dei ruoli Amministratore applicazione o Amministratore applicazione cloud per la configurazione del provisioning nel portale di Azure.
  • Gli utenti di Microsoft Entra di cui eseguire il provisioning devono essere già popolati con tutti gli attributi necessari per lo schema.

Scaricare, installare e configurare il pacchetto dell’agente di provisioning di Microsoft Entra Connect

Se l'agente di provisioning è già stato scaricato e configurato per un'altra applicazione locale, continuare la lettura alla sezione successiva.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione cloud>Agenti.

Screenshot del nuovo schermo esperienza utente.

  1. Selezionare Scarica l'agente locale, esaminare le condizioni d’uso, quindi selezionare Accetta termini e scarica.

    Nota

    Usare agenti di provisioning diversi per il provisioning di applicazioni locali e il provisioning cloud di Microsoft Entra Connect/provisioning basato su HR. Tutti e tre gli scenari non devono essere gestiti con lo stesso agente.

  2. Aprire il programma di installazione dell'agente di provisioning, accettare le condizioni d’uso e selezionare Installa.

  3. Quando si apre la configurazione guidata dell'agente di provisioning di Microsoft Entra, passare alla scheda Seleziona estensione e selezionare Provisioning dell'applicazione locale quando viene richiesta l'estensione da abilitare.

  4. L'agente di provisioning utilizza il browser web del sistema operativo per visualizzare una finestra popup per l'autenticazione a Microsoft Entra ID e potenzialmente anche al provider di identità dell'organizzazione. Se si utilizza Internet Explorer come browser su Windows Server, potrebbe essere necessario aggiungere siti Web Microsoft all'elenco dei siti attendibili del browser per consentire l'esecuzione corretta di JavaScript.

  5. Quando viene richiesta l’autorizzazione, specificare le credenziali di un amministratore di Microsoft Entra. L'utente deve avere almeno il ruolo di amministratore dell'identità ibrida.

  6. Selezionare Conferma per confermare l’impostazione. Al termine dell'installazione, è possibile selezionare Uscire e chiudere anche il programma di installazione del pacchetto dell'agente di provisioning.

Configurare un’app ECMA locale

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali.
  3. Selezionare Nuova applicazione.
  4. Cercare l'applicazione App ECMA locale, assegnare un nome all’app e selezionare Crea per aggiungerla al tenant.
  5. Passare alla pagina Provisioning dell'applicazione.
  6. Seleziona Inizia.
  7. Alla pagina Provisioning, modificare la modalità ad Automatico.
  8. Nella sezione Connettività locale, selezionare l'agente appena distribuito e selezionare Assegna agente/i.
  9. Mantenere aperta questa finestra del browser mentre si completa il passaggio successivo della configurazione usando la configurazione guidata.

Posizionare i file InputFile.txt e Schema.xml nei percorsi

Prima di poter creare il connettore PowerShell per questa esercitazione, è necessario copiare i file InputFile.txt e Schema.xml nei percorsi corretti. Questi file sono quelli necessari per effettuare il download nella sezione Scarica i file di installazione di PowerShell.

file location
InputFile.txt C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData
Schema.xml C:\Program Files\Microsoft ECMA2Host\Service\ECMA

Configurare il certificato host del connettore Microsoft Entra ECMA

  1. Nel Windows Server in cui è installato l'agente di provisioning, fare clic con il pulsante destro del mouse sulla Configurazione guidata Microsoft ECMA2Host dal menu Start ed eseguire come amministratore. L'esecuzione come amministratore di Windows è necessaria per la procedura guidata al fine di creare i registri eventi di Windows necessari.
  2. Dopo l'avvio della configurazione host del Connettore ECMA, se si sta eseguendo la procedura guidata per la prima volta, verrà chiesto di creare un certificato. Lasciare la porta predefinita 8585 e selezionare Genera certificato per generare un certificato. Il certificato generato automaticamente verrà autofirmato come parte della radice attendibile. Il certificato SAN corrisponde al nome host.
  3. Seleziona Salva.

Creare il connettore PowerShell

Schermata generale

  1. Avviare la Configurazione guidata di Microsoft ECMA2Host dal menu Start.

  2. Nella parte superiore selezionare Importa e selezionare il file configuration.xml nel passaggio 1.

  3. Il nuovo connettore deve essere creato e visualizzato in rosso. Fare clic su Modifica.

  4. Generare un token segreto usato per l'autenticazione di Microsoft Entra ID nel connettore. Esso deve contenere almeno 12 caratteri univoci per ogni applicazione. Se non si dispone già di un generatore di segreti, è possibile usare un comando di PowerShell come il seguente per generare una stringa casuale di esempio.

    -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})

  5. Nella pagina Proprietà tutte le informazioni devono essere popolate. La tabella viene fornita come riferimento. Fare clic su Avanti.

    Proprietà valore
    Nome Il nome scelto per il connettore, che deve essere univoco in tutti i connettori presenti nell'ambiente. Ad esempio: PowerShell.
    Timer asincrono automatico (minuti) 120
    Token segreto Immettere il token segreto qui. Deve contenere almeno 12 caratteri.
    DLL estensione Per il connettore PowerShell selezionare Microsoft.IAM.Connector.PowerShell.dll.

Screenshot della schermata generale

Connettività

La scheda connettività consente di specificare i parametri di configurazione per la connessione a un sistema remoto. Configurare la scheda connettività con le informazioni fornite nella tabella.

  • Nella pagina Connettività tutte le informazioni devono essere popolate. La tabella viene fornita come riferimento. Fare clic su Avanti.

Screenshot della schermata di connettività

Parametro Valore Scopo
Server <Blank> Nome del server a cui deve connettersi il connettore.
Domain <Blank> Dominio delle credenziali da archiviare e usare quando viene eseguito il connettore.
User <Blank> Nome utente delle credenziali da archiviare e usare quando viene eseguito il connettore.
Password <Blank> Password delle credenziali da archiviare e usare quando viene eseguito il connettore.
Impersonate Connector Account Non selezionato Se impostato su True, il servizio di sincronizzazione esegue gli script di Windows PowerShell nel contesto delle credenziali specificate. Se possibile, è consigliabile usare il parametro $Credentials passato a ogni script anziché la rappresentazione.
Load User Profile When Impersonating Non selezionato Indica a Windows di caricare il profilo utente delle credenziali del connettore durante la rappresentazione. Se l'utente rappresentato ha un profilo mobile, il connettore non carica il profilo mobile.
Logon Type When Impersonating None Tipo di accesso durante la rappresentazione. Per altre informazioni, vedere la documentazione di dwLogonType.
Signed Scripts Only Non selezionato Se impostato su True, il connettore Windows PowerShell verifica che ogni script presenti una firma digitale valida. Se impostato su False, assicurarsi che i criteri di esecuzione di Windows PowerShell per il server del servizio di sincronizzazione siano impostati su RemoteSigned o su Unrestricted.
Nome dello script del modulo comune (con estensione) xADSyncPSConnectorModule.psm1 Il connettore consente di archiviare un modulo di Windows PowerShell condiviso nella configurazione. Quando il connettore esegue uno script, il modulo di Windows PowerShell viene estratto nel file system perché possa essere importato da ogni script.
Script del modulo comune Codice del modulo del connettore PowerShell di AD Sync come valore. Questo modulo verrà creato automaticamente da ECMA2Host quando il connettore è in esecuzione.
Script di convalida <Blank> Lo script di convalida è uno script Windows PowerShell facoltativo che può essere usato per verificare la validità dei parametri di configurazione del connettore specificati dall'amministratore.
Script dello schema Codice GetSchema come valore.
Nomi dei parametri di configurazione aggiuntivi FileName,Delimiter,Encoding Oltre alle impostazioni di configurazione standard è possibile definire impostazioni di configurazione personalizzate aggiuntive specifiche dell'istanza del connettore. Questi parametri possono essere specificati a livello di connettore, di partizione o di passaggio di esecuzione e sono accessibili dal relativo script di Windows PowerShell.
Nomi dei parametri di configurazione crittografati aggiuntivi <Blank>

Funzionalità

La scheda Funzionalità definisce il comportamento e le funzionalità del connettore. Dopo aver creato il connettore, non sarà più possibile modificare le selezioni effettuate in questa scheda. Configurare la scheda funzionalità con le informazioni fornite nella tabella.

  • Nella pagina Funzionalità tutte le informazioni devono essere popolate. La tabella viene fornita come riferimento. Fare clic su Avanti.

Screenshot della schermata delle funzionalità.

Parametro Valore Scopo
Distinguished Name Style (Stile di nome distinto) None Indica se il connettore supporta i nomi distinti e il relativo stile.
Export Type (Tipo di esportazione) ObjectReplace Determina il tipo degli oggetti che vengono presentati allo script di esportazione.
Data Normalization (Normalizzazione dei dati) None Indica al servizio di sincronizzazione di normalizzare gli attributi di ancoraggio prima che vengano forniti agli script.
Object Confirmation (Conferma degli oggetti) Normale Tale oggetto viene ignorato.
Use DN as Anchor Non selezionato Se la funzionalità Distinguished Name Style è impostata su LDAP, l'attributo di ancoraggio per lo spazio del connettore è anche il nome distinto.
Concurrent Operations of Several Connectors Selezionato Se selezionata, è possibile eseguire contemporaneamente più connettori Windows PowerShell.
Partizioni Non selezionato Se selezionata, il connettore supporta più partizioni e l'individuazione delle partizioni.
Hierarchy Non selezionato Se selezionata, il connettore supporta una struttura gerarchica di tipo LDAP.
Enable Import Selezionato Se selezionata, il connettore importa i dati attraverso gli script di importazione.
Enable Delta Import Non selezionato Se selezionata, il connettore può richiedere i differenziali dagli script di importazione.
Enable Export Selezionato Se selezionata, il connettore esporta i dati attraverso gli script di esportazione.
Enable Full Export Selezionato Non supportato. Tale oggetto verrà ignorato.
No Reference Values In First Export Pass Non selezionato Se selezionata, gli attributi di riferimento vengono esportati in un secondo passaggio di esportazione.
Enable Object Rename Non selezionato Se selezionata, è possibile modificare i nomi distinti.
Delete-Add As Replace Selezionato Non supportato. Tale oggetto verrà ignorato.
Enable Export Password in First Pass Non selezionato Non supportato. Tale oggetto verrà ignorato.

Parametri globali

La scheda Global Parameters (Parametri globali) consente di configurare gli script di Windows PowerShell eseguiti dal connettore. È anche possibile configurare i valori globali per le impostazioni di configurazione personalizzate definite nella scheda Connectivity (Connettività). Configurare la scheda parametri globali con le informazioni fornite nella tabella.

  • Nella pagina Parametri globali tutte le informazioni devono essere popolate. La tabella viene fornita come riferimento. Fare clic su Avanti.

Screenshot della schermata globale.

Parametro Valore
Script di partizione <Blank>
Script di gerarchia <Blank>
Iniziare script di importazione <Blank>
Script di importazione Incollare lo script di importazione come valore
Terminare script di importazione <Blank>
Iniziare script di esportazione <Blank>
Script di esportazione Incollare lo script di esportazione come valore
Terminare script di esportazione <Blank>
Iniziare script di password <Blank>
Script di estensione password <Blank>
Terminare script di password <Blank>
FileName_Global InputFile.txt
Delimiter_Global ;
Encoding_Global <Vuoto> (per impostazione predefinita UTF8)

Partizioni, Profili di esecuzione, Esportazione, FullImport

Mantenere le impostazioni predefinite e fare clic su Avanti.

Tipi di oggetto

Configurare la scheda tipi oggetto con le informazioni fornite nella tabella.

  • Nella pagina Tipi oggetto tutte le informazioni devono essere popolate. La tabella viene fornita come riferimento. Fare clic su Avanti.

Screenshot della schermata tipi oggetto.

Parametro Valore
Oggetto di destinazione Persona
Ancora AzureObjectID
Attributo query AzureObjectID
DN AzureObjectID

Selezione degli attributi

Verificare che siano selezionati gli attributi seguenti:

  • Nella pagina Seleziona attributi tutte le informazioni devono essere popolate. La tabella viene fornita come riferimento. Fare clic su Avanti.

  • AzureObjectID

  • IsActive

  • DisplayName

  • EmployeeId

  • Title

  • UserName

  • E-mail

Screenshot della schermata di selezione degli attributi.

Deprovisioning

Nella pagina Deprovisioning è possibile specificare se si vuole che Microsoft Entra ID rimuova gli utenti dalla directory quando escono dall'ambito dell'applicazione. In caso affermativo, in Disabilita flusso selezionare Elimina, quindi in Elimina flusso selezionare Elimina. Se si sceglie Imposta valore attributo, gli attributi selezionati nella pagina precedente non saranno disponibili per la selezione nella pagina Deprovisioning.

  • Nella pagina Deprovisioning tutte le informazioni devono essere popolate. La tabella viene fornita come riferimento. Fare clic su Avanti.

Screenshot della schermata di deprovisioning.

Accertarsi che il servizio ECMA2Host sia in esecuzione e possa leggere dal file tramite PowerShell

Seguire questa procedura per verificare che il connettore host si sia avviato e abbia identificato tutti gli utenti esistenti nel sistema di destinazione.

  1. Nel server in cui è in esecuzione l'host del connettore Microsoft Entra ECMA, selezionare Avvia.
  2. Selezionare eseguire, se necessario, quindi immettere services.msc nella casella.
  3. Nell'Elenco servizi, assicurarsi che Microsoft ECMA2Host sia presente e in esecuzione. In caso contrario, selezionare Avvia.
  4. Nel server in cui è in esecuzione l'host del connettore Microsoft Entra ECMA, lanciare PowerShell.
  5. Passare alla cartella in cui è stato installato l'host ECMA, ad esempio C:\Program Files\Microsoft ECMA2Host.
  6. Passare alla sottodirectory Troubleshooting.
  7. Eseguire lo script TestECMA2HostConnection.ps1 nella directory come illustrato e specificare come argomenti il nome del connettore e il ObjectTypePath valore cache. Se l'host del connettore non è in ascolto sulla porta TCP 8585, potrebbe essere necessario specificare anche l'argomento -Port. Quando richiesto, digitare il token segreto configurato per tale connettore. 
    PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9
Supply values for the following parameters:
SecretToken: ************
  8. Se lo script visualizza un messaggio di errore o di avviso, verificare che il servizio sia in esecuzione e che il nome del connettore e il token segreto corrispondano a quelli configurati nella configurazione guidata.
  9. Se lo script visualizza l'output False, vuol dire che il connettore non ha visualizzato voci nel sistema di destinazione di origine per gli utenti esistenti. Se si tratta di una nuova installazione del sistema di destinazione, allora questo comportamento è prevedibile ed è possibile procedere alla sezione successiva.
  10. Tuttavia, se il sistema di destinazione contiene già uno o più utenti ma lo script visualizzato è False, ciò indica che il connettore non è riuscito a effettuare la lettura dal sistema di destinazione. Se si tenta di eseguire il provisioning, Microsoft Entra ID potrebbe non abbinare correttamente gli utenti della directory di origine con quelli di Microsoft Entra ID. Attendere alcuni minuti prima che l'host del connettore completi la lettura degli oggetti dal sistema di destinazione esistente, quindi rieseguire lo script. Se l'output continua a essere False, controllare la configurazione del connettore e che le autorizzazioni nel sistema di destinazione consentano al connettore di rilevare gli utenti esistenti.

Testare la connessione da Microsoft Entra ID all'host del connettore

  1. Tornare alla finestra del Web browser in cui si stava configurando il provisioning dell'applicazione nel portale.

    Nota

    Se si è verificato il timeout della finestra, è necessario selezionare nuovamente l'agente.

    1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
    2. Passare a Identità>Applicazioni>Applicazioni aziendali.
    3. Selezionare l'applicazione App ECMA locale.
    4. Selezionare Provisioning.
    5. Se appare Attività iniziali, modificare la modalità in Automatica, quindi nella sezione Connettività locale selezionare l'agente appena distribuito e selezionare Assegna agente/i, dopodiché attendere 10 minuti. In caso contrario, passare a Modifica provisioning.

  2. Nella sezione Credenziali amministratore, inserire l’URL seguente. Sostituire la parte connectorName con il nome del connettore nell'host ECMA, ad esempio PowerShell. Se è stato fornito un certificato dall'autorità di certificazione per l'host ECMA, sostituire localhost con il nome host del server in cui è installato l'host ECMA.

    Proprietà valore
    URL tenant https://localhost:8585/ecma2host_connectorName/scim

  3. Immettere il valore del Token segreto definito al momento della creazione del connettore.

    Nota

    Se l'agente è stato appena assegnato all'applicazione, attendere 10 minuti perché la registrazione sia completata. Il test di connettività non funzionerà fino al completamento della registrazione. Forzare il completamento della registrazione dell'agente riavviando l'agente di provisioning nel server può velocizzare il processo di registrazione. Passare al proprio server, cercare servizi nella barra di ricerca di Windows, identificare il servizio Agente di provisioning di Microsoft Entra Connect, fare clic con il pulsante destro del mouse sul servizio e riavviare.

  4. Selezionare Test connessione e attendere un minuto.

  5. Dopo che il test di connessione ha esito positivo e indica che le credenziali specificate sono autorizzate ad abilitare il provisioning, selezionare Salva.

Configurare il collegamento dell’applicazione

Tornare alla finestra del Web browser in cui si stava configurando il provisioning dell'applicazione.

Nota

Se si è verificato il timeout della finestra, è necessario selezionare nuovamente l'agente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali.

  3. Selezionare l'applicazione App ECMA locale.

  4. Selezionare Provisioning.

  5. Se appare Attività iniziali, modificare la modalità in Automatica, quindi nella sezione Connettività locale selezionare l'agente distribuito e selezionare Assegna agente/i. In caso contrario, passare a Modifica provisioning.

  6. Nella sezione Credenziali amministratore, inserire l’URL seguente. Sostituire la parte {connectorName} con il nome del connettore nell'host del connettore ECMA, ad esempio CSV. Il nome del connettore fa distinzione tra maiuscole e minuscole e deve corrispondere a quello configurato nella procedura guidata. Inoltre, è possibile sostituire localhost con il nome host del computer.

    Proprietà valore
    URL tenant https://localhost:8585/ecma2host_CSV/scim

  7. Immettere il valore del Token segreto definito al momento della creazione del connettore.

    Nota

    Se l'agente è stato appena assegnato all'applicazione, attendere 10 minuti perché la registrazione sia completata. Il test di connettività non funzionerà fino al completamento della registrazione. Forzare il completamento della registrazione dell'agente riavviando l'agente di provisioning nel server può velocizzare il processo di registrazione. Passare al proprio server, cercare servizi nella barra di ricerca di Windows, identificare il servizio Agente di provisioning di Microsoft Entra Connect, fare clic con il pulsante destro del mouse sul servizio e riavviare.

  8. Selezionare Test connessione e attendere un minuto.

  9. Dopo che il test di connessione ha esito positivo e indica che le credenziali specificate sono autorizzate ad abilitare il provisioning, selezionare Salva.

Configurare i mapping degli attributi

È ora necessario eseguire il mapping degli attributi tra la rappresentazione dell'utente in Microsoft Entra ID e la rappresentazione di un utente in InputFile.txt locale.

Si userà il portale di Azure per configurare il mapping tra gli attributi dell'utente di Microsoft Entra e gli attributi selezionati in precedenza nella configurazione guidata dell'host ECMA.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali.

  3. Selezionare l'applicazione App ECMA locale.

  4. Selezionare Provisioning.

  5. Selezionare Modifica provisioning e attendere 10 secondi.

  6. Espandere Mapping e selezionare Effettua il provisioning degli utenti Microsoft Entra. Se questa è la prima volta che sono stati configurati i mapping degli attributi per questa applicazione, sarà presente un solo mapping per un segnaposto.

  7. Per verificare che lo schema sia disponibile in Microsoft Entra ID, selezionare la casella di controllo Mostra opzioni avanzate e selezionare Modifica elenco di attributi per ScimOnPremises. Assicurarsi che tutti gli attributi selezionati nella configurazione guidata siano elencati. In caso contrario, attendere alcuni minuti perché lo schema venga aggiornato, quindi ricaricare la pagina. Dopo aver visualizzato gli attributi elencati, annullare da questa pagina per tornare all'elenco dei mapping.

  8. Fare clic sul mapping del SEGNAPOSTO userPrincipalName. Questo mapping viene aggiunto per impostazione predefinita quando si configura per la prima volta il provisioning locale. Cambiare il valore in modo che corrisponda a quanto segue:

    Tipo di mapping Attributo di origine Attributo di destinazione
    Connessione diretta userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName

  9. A questo punto, selezionare Aggiungi nuovo mapping e ripetere il passaggio successivo per ogni mapping.

  10. Specificare gli attributi di origine e di destinazione per ciascuno dei mapping nella tabella seguente.

    Tipo di mapping Attributo di origine Attributo di destinazione
    Connessione diretta objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID
    Connessione diretta userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName
    Connessione diretta displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName
    Connessione diretta employeeId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId
    Connessione diretta jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title
    Connessione diretta mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Espressione Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive

    Screenshot dei mapping degli attributi.

  11. Dopo aver aggiunto tutti i mapping, selezionare Salva.

Assegnare gli utenti a un'applicazione

Ora che si dispone dell'host del connettore Microsoft Entra ECMA che comunica con Microsoft Entra ID e del mapping degli attributi configurato, è possibile passare alla configurazione di chi è nell'ambito del provisioning.

Importante

Se è stato eseguito l'accesso usando un ruolo di amministratore delle identità ibride, è necessario disconnettersi e accedere con un account avente almeno il ruolo di amministratore di applicazioni per questa sezione. Il ruolo di Amministratore delle identità ibride non dispone delle autorizzazioni necessarie per assegnare utenti alle applicazioni.

Se in InputFile.txt sono presenti utenti esistenti, è necessario creare assegnazioni di ruolo dell'applicazione per tali utenti. Per altre informazioni su come creare assegnazioni di ruolo dell'applicazione in blocco, vedere governance degli utenti esistenti di un'applicazione in Microsoft Entra ID.

In caso contrario, se non sono presenti utenti correnti dell'applicazione, selezionare un utente di test da Microsoft Entra che verrà sottoposto a provisioning nell'applicazione.

  1. Assicurarsi che l'utente selezionato disponga di tutte le proprietà mappate agli attributi necessari dello schema.
  2. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
  3. Passare a Identità>Applicazioni>Applicazioni aziendali.
  4. Selezionare l'applicazione App ECMA locale.
  5. Nel riquadro sinistro, in Gestisci, fare clic su Utenti e gruppi.
  6. Selezionare Aggiungi utente/gruppo.
  7. In Utenti, selezionare Nessun utente selezionato.
  8. Selezionare gli utenti a destra, quindi selezionare il pulsante Seleziona.
  9. Ora, selezionare Assegna.

Test del provisioning

Ora che gli attributi sono mappati e gli utenti sono assegnati, è possibile testare il provisioning su richiesta con uno degli utenti.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali.
  3. Selezionare l'applicazione App ECMA locale.
  4. Selezionare Provisioning.
  5. Selezionare Provisioning su richiesta.
  6. Cercare uno degli utenti di test e selezionare Effettua il provisioning.
  7. Dopo alcuni secondi, viene visualizzato il messaggio Utente creato correttamente nel sistema di destinazione con un elenco degli attributi utente.

Avviare il provisioning degli utenti

  1. Al termine del provisioning su richiesta, tornare alla pagina di configurazione del provisioning. Assicurarsi che l'ambito sia impostato solo su utenti e gruppi assegnati, attivare il provisioning impostandolo su On e selezionare Salva.
  2. Attendere alcuni minuti per l'avvio del provisioning. Può richiedere fino a 40 minuti. Al termine del processo di provisioning, come descritto nella sezione successiva, se il test è stato completato, è possibile modificare lo stato del provisioning in Disattivato e selezionare Salva. Questa azione impedisce l'esecuzione del servizio di provisioning in futuro.

Passaggi successivi