Provisioning su richiesta in Microsoft Entra ID

Usare il provisioning su richiesta per effettuare il provisioning di un utente o di un gruppo in pochi secondi. Tra le altre cose, è possibile usare questa funzionalità per:

• Risolvere rapidamente i problemi di configurazione.
• Convalidare le espressioni definite.
• Testare i filtri per la definizione dell'ambito.

Come usare il provisioning su richiesta

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione.

2. Passare a Identità>Applicazioni>Applicazioni aziendali> e selezionare l'applicazione.
3. Selezionare Provisioning.

2. Passare a Identità>Identità esterne>Sincronizzazione tra tenant>Configurazioni.
3. Selezionare la configurazione e quindi passare alla pagina di configurazione Provisioning.

4. Configurare il provisioning fornendo le credenziali di amministratore.

5. Selezionare Provisioning su richiesta.

6. Cercare un utente in base a nome, cognome, nome visualizzato, nome dell'entità utente o indirizzo di posta elettronica. In alternativa, è possibile cercare un gruppo e selezionare fino a cinque utenti.

   Nota

   Per l'app di provisioning di risorse umane sul cloud (Workday/SuccessFactors in Active Directory/Microsoft Entra ID), il valore di input è diverso. Per lo scenario Workday, specificare il valore di "WorkerID" o "WID" dell'utente. Per lo scenario SuccessFactors, specificare il valore "personIdExternal" dell'utente.

7. Selezionare Provisioning nella parte inferiore della pagina.

   

Informazioni sulla procedura di provisioning

La procedura di provisioning su richiesta mostra i passaggi eseguiti dal servizio di provisioning durante il provisioning di un utente. Per effettuare il provisioning di un utente sono in genere necessari cinque passaggi. Uno o più di questi passaggi, illustrati nelle sezioni seguenti, vengono mostrati durante l'esperienza di provisioning su richiesta.

Passaggio 1: Test della connessione

Il servizio di provisioning tenta di autorizzare l'accesso al sistema di destinazione effettuando una richiesta per un "utente di test". Il servizio di provisioning si aspetta una risposta che indica che il servizio è autorizzato a continuare con i passaggi di provisioning. Questo passaggio viene mostrato solo quando non riesce. Non viene mostrato durante l'esperienza di provisioning su richiesta quando viene completato correttamente.

Suggerimenti per la risoluzione dei problemi

• Assicurarsi di aver fornito credenziali valide, ad esempio il token segreto e l'URL del tenant, nel sistema di destinazione. Le credenziali necessarie variano in base all'applicazione. Per esercitazioni dettagliate sulla configurazione, vedere l'elenco di esercitazioni.
• Assicurarsi che il sistema di destinazione supporti il filtro sugli attributi di corrispondenza definiti nel riquadro Mapping degli attributi. Potrebbe essere necessario consultare la documentazione dell'API fornita dallo sviluppatore dell'applicazione per informazioni sui filtri supportati.
• Per le applicazioni SCIM (System for Cross-Domain Identity Management), è possibile usare uno strumento come Postman. Tali strumenti consentono di assicurarsi che l'applicazione risponda alle richieste di autorizzazione nel modo previsto dal servizio di provisioning di Microsoft Entra. Ecco un esempio di richiesta.

Passaggio 2: Importazione dell'utente

Il servizio di provisioning recupera quindi l'utente dal sistema di origine. Gli attributi utente recuperati dal servizio vengono usati in un secondo momento per:

• Valutare se l'utente è incluso nell'ambito del provisioning.
• Verificare l'esistenza di un utente nel sistema di destinazione.
• Determinare quali attributi utente esportare nel sistema di destinazione.

Visualizza dettagli

La sezione Visualizza dettagli mostra le proprietà dell'utente importate dal sistema di origine (ad esempio, Microsoft Entra ID).

Suggerimenti per la risoluzione dei problemi

• L'importazione dell'utente può non riuscire quando l'attributo di corrispondenza non è presente nell'oggetto utente nel sistema di origine. Per risolvere questo errore, provare uno degli approcci seguenti:

  • Aggiornare l'oggetto utente con un valore per l'attributo di corrispondenza.
  • Cambiare l'attributo di corrispondenza nella configurazione del provisioning.

• Se nell'elenco importato manca un attributo previsto, verificare che l'attributo abbia un valore nell'oggetto utente nel sistema di origine. Il servizio di provisioning attualmente non supporta il provisioning degli attributi Null.

• Assicurarsi che la pagina Mapping degli attributi della configurazione del provisioning contenga l'attributo previsto.

Passaggio 3: Determinazione se l'utente è incluso nell'ambito

Il servizio di provisioning determina quindi se l'utente è incluso nell'ambito per il provisioning. Il servizio considera aspetti come:

• Se l'utente è stato assegnato o meno all'applicazione.
• Se l'ambito è impostato su Sincronizza assegnati o Sincronizza tutti.
• I filtri di definizione dell'ambito specificati nella configurazione del provisioning.

Visualizza dettagli

La sezione Visualizza dettagli mostra le condizioni di ambito valutate. Potrebbero essere presenti una o più proprietà seguenti:

• Attivo nel sistema di origine indica che la proprietà IsActive dell'utente è impostata su true in Microsoft Entra ID.
• Assegnato all'applicazione indica che l'utente è assegnato all'applicazione in Microsoft Entra ID.
• Sincronizzazione di tutti nell'ambito indica che l'impostazione dell'ambito include tutti gli utenti e i gruppi nel tenant.
• L'utente ha il ruolo necessario indica che l'utente ha i ruoli necessari per essere sottoposto a provisioning nell'applicazione.
• Filtri di ambito vengono visualizzati anche se sono stati definiti filtri di ambito per l'applicazione. Il filtro viene visualizzato con il formato seguente: {titolo filtro ambito} {attributo filtro ambito} {operatore filtro ambito} {valore filtro ambito}.

Suggerimenti per la risoluzione dei problemi

• Assicurarsi di aver definito un ruolo di ambito valido. Ad esempio, evitare di usare l'operatore Greater_Than con un valore non intero.
• Se l'utente non ha il ruolo necessario, esaminare i suggerimenti per il provisioning degli utenti assegnati al ruolo di accesso predefinito.

Passaggio 4: Corrispondenza dell'utente tra sistema di origine e di destinazione

In questo passaggio il servizio tenta di mettere in corrispondenza l'utente recuperato nel passaggio di importazione con un utente nel sistema di destinazione.

Visualizza dettagli

La pagina Visualizza dettagli mostra le proprietà degli utenti messi in corrispondenza nel sistema di destinazione. Il riquadro del contesto cambia come segue:

• Se nessun utente corrisponde nel sistema di destinazione, non vengono visualizzate proprietà.
• Se un utente corrisponde nel sistema di destinazione, vengono visualizzate le relative proprietà.
• Se più utenti corrispondono, vengono visualizzate le proprietà di tutti.
• Se più attributi di corrispondenza fanno parte dei mapping degli attributi, ogni attributo di corrispondenza viene valutato in sequenza e vengono visualizzati gli utenti corrispondenti per tale attributo.

Suggerimenti per la risoluzione dei problemi

• Il servizio di provisioning potrebbe non essere in grado di mettere in corrispondenza un utente nel sistema di origine in modo univoco con un utente nel sistema di destinazione. Per risolvere questo problema, assicurarsi che l'attributo di corrispondenza sia univoco.
• Assicurarsi che il sistema di destinazione supporti il filtro sull'attributo definito come attributo di corrispondenza.

Passaggio 5: Esecuzione dell'azione

Infine, il servizio di provisioning esegue un'azione, ad esempio per creare, aggiornare, eliminare o ignorare l'utente.

Ecco un esempio del risultato del provisioning su richiesta riuscito per un utente:

Visualizza dettagli

La sezione Visualizza dettagli mostra gli attributi modificati nel sistema di destinazione. Questa visualizzazione rappresenta l'output finale dell'attività del servizio di provisioning e gli attributi esportati. Se questo passaggio non riesce, gli attributi visualizzati rappresentano gli attributi che il servizio di provisioning ha tentato di modificare.

Suggerimenti per la risoluzione dei problemi

• Gli errori per l'esportazione delle modifiche possono variare notevolmente. Per informazioni sugli errori comuni, consultare la documentazione relativa ai log di provisioning.
• Il provisioning su richiesta indica che non è possibile effettuare il provisioning del gruppo o dell'utente perché non è assegnato all'applicazione. Si verifica un ritardo di replica di alcuni minuti tra quando un oggetto viene assegnato a un'applicazione e quando tale assegnazione viene rispettata nel provisioning su richiesta. Può essere necessario attendere alcuni minuti e riprovare.

Domande frequenti

• È necessario disattivare il provisioning per usare il provisioning su richiesta? Per le applicazioni che usano un token di connessione di lunga durata o un nome utente e una password per l'autorizzazione, non sono necessari altri passaggi. Le applicazioni che usano OAuth per l'autorizzazione richiedono attualmente che il processo di provisioning venga arrestato prima di usare il provisioning su richiesta. Applicazioni come G Suite, Box, Workplace by Facebook e Slack rientrano in questa categoria. L'aggiunta del supporto del provisioning su richiesta per tutte le applicazioni senza la necessità di arrestare i processi di provisioning è in fase di lavorazione.

• Quanto tempo richiede il provisioning su richiesta? Il provisioning su richiesta richiede in genere meno di 30 secondi.

Limitazioni note

Esistono attualmente alcune limitazioni note per il provisioning su richiesta. Inviare suggerimenti e feedback per consentirci di determinare quali miglioramenti apportare in seguito.

Nota

Le limitazioni seguenti sono specifiche per la funzionalità di provisioning su richiesta. Per sapere se un'applicazione supporta o meno i gruppi di provisioning, le eliminazioni e altre funzionalità, consultare l'esercitazione per tale applicazione.

• Il provisioning su richiesta dei gruppi supporta l'aggiornamento di un massimo di cinque membri alla volta. I connettori per la sincronizzazione tra tenant, Workday e così via, non supportano il provisioning dei gruppi e, di conseguenza, il provisioning su richiesta dei gruppi.
• L'API di richiesta di provisioning su richiesta può accettare solo un singolo gruppo con un totale di 5 membri alla volta.

• Il provisioning su richiesta dei gruppi non è supportato per la sincronizzazione tra tenant.

• Il provisioning su richiesta supporta il provisioning di un utente alla volta tramite l'interfaccia di amministrazione di Microsoft Entra.
• Il ripristino di un utente eliminato temporaneamente in precedenza nel tenant di destinazione con il provisioning su richiesta non è supportato. Se si tenta di eliminare temporaneamente un utente con il provisioning su richiesta e quindi di ripristinarlo, possono essere generati utenti duplicati.
• Il provisioning su richiesta dei ruoli non è supportato.
• Il provisioning su richiesta supporta la disabilitazione degli utenti la cui assegnazione all'applicazione è stata annullata. Tuttavia, non supporta la disabilitazione o l'eliminazione di utenti che sono stati disabilitati o eliminati da Microsoft Entra ID. Questi utenti non vengono visualizzati nelle ricerche.
• Il provisioning su richiesta non supporta i gruppi annidati non assegnati direttamente all'applicazione.

Passaggi successivi

• Risoluzione dei problemi relativi al provisioning