Zelfstudie: kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra-id
Microsoft Entra ID biedt ondersteuning voor het inrichten van gebruikers voor niet-Microsoft SaaS-toepassingen zoals Salesforce, G Suite en anderen. Als u gebruikersinrichting inschakelt voor een niet-Microsoft SaaS-toepassing, beheert het Microsoft Entra-beheercentrum de kenmerkwaarden via kenmerktoewijzingen.
Voordat u aan de slag gaat, moet u ervoor zorgen dat u bekend bent met app-beheer en concepten voor eenmalige aanmelding (SSO ). Zie de volgende koppelingen:
Er is een vooraf geconfigureerde set kenmerken en kenmerktoewijzingen tussen Microsoft Entra-gebruikersobjecten en de gebruikersobjecten van elke SaaS-app. Sommige apps beheren andere typen objecten naast gebruikersobjecten, zoals objecten voor groepen.
U kunt de standaardtoewijzingen van kenmerken aanpassen op basis van de behoeften van uw bedrijf. Dit betekent dat u bestaande kenmerktoewijzingen kunt wijzigen of verwijderen, of nieuwe kenmerktoewijzingen kunt maken.
Notitie
Naast het configureren van kenmerktoewijzingen via de Microsoft Entra-interface, kunt u de JSON-weergave van uw schema bekijken, downloaden en bewerken.
Kenmerktoewijzingen voor gebruikers wijzigen
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Volg deze stappen om toegang te krijgen tot de functie Toewijzingen voor het inrichten van gebruikers:
Meld u als toepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Er wordt een lijst met alle geconfigureerde apps weergegeven, met inbegrip van apps die zijn toegevoegd vanuit de galerie.
Selecteer een app om verschillende deelvensters voor de app weer te geven, waaronder het deelvenster Beheren. Hier kunt u rapporten bekijken en app-instellingen beheren.
Selecteer Inrichten om de instellingen voor het inrichten van gebruikersaccounts voor de geselecteerde app te beheren.
Vouw toewijzingen uit om de gebruikerskenmerken weer te geven en te bewerken die tussen Microsoft Entra-id en de doeltoepassing stromen. Als de doeltoepassing dit ondersteunt, kunt u hier desgewenst het inrichten van groepen en gebruikersaccounts configureren.
Selecteer een configuratie in Toewijzingen om het bijbehorende scherm Kenmerktoewijzing te openen. Voor SaaS-toepassingen zijn bepaalde kenmerktoewijzingen vereist om correct te functioneren. Voor vereiste kenmerken is de functie Verwijderen niet beschikbaar.
In deze schermopname ziet u dat het kenmerk Gebruikersnaam van een beheerd object in Salesforce is gevuld met de waarde userPrincipalName van het gekoppelde Microsoft Entra-object.
Notitie
Het wissen van Maken heeft geen invloed op bestaande gebruikers. Als Maken niet is geselecteerd, kunt u geen nieuwe gebruikers aanmaken.
Selecteer een bestaande kenmerktoewijzing om het scherm Kenmerk bewerken te openen. Hier kunt u de gebruikerskenmerken bewerken die tussen Microsoft Entra-id en de doeltoepassing stromen.
Informatie over typen kenmerktoewijzingen
Met kenmerktoewijzingen bepaalt u hoe kenmerken worden ingevuld in een niet-Microsoft SaaS-toepassing. Er worden vier verschillende toewijzingstypen ondersteund:
- Direct : het doelkenmerk wordt gevuld met de waarde van een kenmerk van het gekoppelde object in Microsoft Entra-id.
- Constante: het doelkenmerk wordt gevuld met een specifieke tekenreeks die u hebt opgegeven.
- Expressie: het doelkenmerk wordt ingevuld op basis van het resultaat van een scriptachtige expressie. Zie Schrijfexpressies voor kenmerktoewijzingen in Microsoft Entra-id voor meer informatie over expressies.
- Geen: het doelkenmerk blijft ongewijzigd. Als het doelkenmerk echter ooit leeg is, wordt deze gevuld met de standaardwaarde die u opgeeft.
Naast deze vier basistypen kunt u via ondersteuning voor aangepaste kenmerktoewijzingen het concept van toewijzing van een optionele standaardwaarde gebruiken. De standaardwaardetoewijzing zorgt ervoor dat een doelkenmerk wordt gevuld met een waarde als er geen waarde is in Microsoft Entra-id of in het doelobject. De meest gangbare configuratie is om dit leeg te laten. Zie Hoe toepassingsinrichting werkt in Microsoft Entra-id voor meer informatie over toewijzingskenmerken.
Informatie over eigenschappen van kenmerktoewijzingen
In de vorige sectie hebt u kennisgemaakt met de eigenschap kenmerktoewijzingstype. Naast deze eigenschap ondersteunen kenmerktoewijzingen ook de kenmerken:
- Bronkenmerk: het gebruikerskenmerk van het bronsysteem (bijvoorbeeld: Microsoft Entra-id).
- Doelkenmerk: het gebruikerskenmerk in het doelsysteem (bijvoorbeeld: ServiceNow).
- Standaardwaarde als null (optioneel): de waarde die wordt doorgegeven aan het doelsysteem als het bronkenmerk null is. Deze waarde wordt alleen ingericht wanneer een gebruiker wordt gemaakt. De 'standaardwaarde wanneer null' niet is ingericht bij het bijwerken van een bestaande gebruiker. Voeg bijvoorbeeld een standaardwaarde voor functie toe bij het maken van een gebruiker met de expressie:
Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle])
Zie Naslaginformatie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra ID voor meer informatie over expressies. - Objecten koppelen met dit kenmerk: geeft aan of deze toewijzing moet worden gebruikt om gebruikers uniek te identificeren tussen het bron- en doelsysteem. Wordt gebruikt voor
userPrincipalName
of e-mailkenmerk in Microsoft Entra-id en toegewezen aan een gebruikersnaamveld in een doeltoepassing. - Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Als dat het geval is, worden deze geëvalueerd in de volgorde die hier is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd. Hoewel u zoveel overeenkomende kenmerken kunt instellen als u wilt, kunt u overwegen of de kenmerken die u gebruikt als overeenkomende kenmerken echt uniek zijn en overeenkomende kenmerken moeten zijn. Over het algemeen hebben klanten een of twee overeenkomende kenmerken in hun configuratie.
- Pas de toewijzing toe.
- Altijd: deze toewijzing toepassen bij het maken en bijwerken van gebruikers.
- Alleen tijdens het maken van een object: deze toewijzing alleen toepassen bij het maken van gebruikers.
Overeenkomende gebruikers in het bron- en doelsysteem
De Microsoft Entra-inrichtingsservice kan worden geïmplementeerd in zowel 'groene veld'-scenario's (waarbij gebruikers niet bestaan in het doelsysteem) als 'brownfield'-scenario's (waarbij gebruikers al in het doelsysteem bestaan). Om beide scenario's te ondersteunen, hanteert de inrichtingsservice het concept van overeenkomende kenmerken. Overeenkomende kenmerken maken het mogelijk om te bepalen hoe een gebruiker in het bronsysteem uniek wordt geïdentificeerd en wordt gekoppeld aan de gebruiker in het doelsysteem. Als onderdeel van het plannen van uw implementatie, identificeert u het kenmerk dat kan worden gebruikt om een gebruiker uniek te identificeren in de bron- en doelsystemen. Punten die u moet in acht nemen:
- Overeenkomende kenmerken moeten uniek zijn: klanten gebruiken vaak kenmerken zoals userPrincipalName, mail of object-id als het overeenkomende kenmerk.
- Meerdere kenmerken kunnen worden gebruikt als overeenkomende kenmerken: u kunt meerdere kenmerken definiëren die moeten worden geëvalueerd wanneer overeenkomende gebruikers worden geëvalueerd en de volgorde waarin ze worden geëvalueerd (gedefinieerd als overeenkomende prioriteit in de gebruikersinterface). Als u bijvoorbeeld drie kenmerken definieert als overeenkomende kenmerken en een gebruiker uniek wordt vergeleken nadat de eerste twee kenmerken zijn geëvalueerd, wordt het derde kenmerk niet geëvalueerd. De service evalueert overeenkomende kenmerken in de opgegeven volgorde en stopt met evalueren wanneer er een overeenkomst wordt gevonden.
- De waarde in de bron en het doel hoeven niet exact overeen te komen: De waarde in het doel kan een functie zijn van de waarde in de bron. Dit betekent dat de ene waarde kan bestaan uit het kenmerk emailAddress in de bron en userPrincipalName in het doel, waarna ze worden gekoppeld via een functie van het kenmerk emailAddress waarmee een aantal tekens wordt vervangen door de waarde van een constante.
- Overeenkomend op basis van een combinatie van kenmerken wordt niet ondersteund: de meeste toepassingen bieden geen ondersteuning voor het uitvoeren van query's op basis van twee eigenschappen. Daarom is het niet mogelijk om te overeenkomen op basis van een combinatie van kenmerken. Het is mogelijk om enkele eigenschappen na elkaar te evalueren.
- Alle gebruikers moeten een waarde hebben voor ten minste één overeenkomend kenmerk: als u één overeenkomend kenmerk definieert, moeten alle gebruikers een waarde voor dat kenmerk hebben in het bronsysteem. Als u bijvoorbeeld userPrincipalName definieert als het overeenkomende kenmerk, moeten alle gebruikers een userPrincipalName hebben. Als u meerdere overeenkomende kenmerken definieert (bijvoorbeeld extensionAttribute1 en mail), hoeven niet alle gebruikers hetzelfde overeenkomende kenmerk te hebben. De ene gebruiker kan wel het kenmerk extensionAttribute1 hebben maar niet mail, terwijl een andere gebruiker het kenmerk mail heeft maar niet extensionAttribute1.
- De doeltoepassing moet filteren op het overeenkomende kenmerk ondersteunen: toepassingsontwikkelaars kunnen filteren op een subset van kenmerken in hun gebruikers- of groeps-API. Voor toepassingen in de galerie zorgen we ervoor dat de toewijzing van het standaardkenmerk wordt uitgevoerd voor een kenmerk waarop kan worden gefilterd door de API van de doeltoepassing. Wanneer u het standaardkoppelingskenmerk voor de doeltoepassing wijzigt, controleert u de documentatie van de niet-Microsoft-API om ervoor te zorgen dat het kenmerk kan worden gefilterd.
Toewijzingen van groepskenmerken bewerken
Een geselecteerd aantal toepassingen, zoals ServiceNow, Box en G Suite, biedt ondersteuning voor de mogelijkheid om groeps- en gebruikersobjecten in te richten. Groepsobjecten kunnen groepseigenschappen bevatten, zoals weergavenamen en e-mailaliassen, naast groepsleden.
Het inrichten van groepen kan desgewenst worden in- of uitgeschakeld door de groepstoewijzing te selecteren onder Toewijzingen en Ingeschakeld in te stellen op de gewenste optie in het scherm Kenmerktoewijzing.
De kenmerken die als onderdeel van groepsobjecten worden ingericht, kunnen op dezelfde manier worden aangepast als gebruikersobjecten, zoals eerder is beschreven.
Tip
Het inrichten van groepsobjecten (eigenschappen en leden) is een ander concept dan het toewijzen van groepen aan een toepassing. Het is mogelijk om een groep toe te wijzen aan een toepassing, maar alleen de gebruikersobjecten in de groep in te richten. Het inrichten van volledige groepsobjecten is niet vereist voor het gebruik van groepen in toewijzingen.
De lijst met ondersteunde kenmerken bewerken
De gebruikerskenmerken die voor een bepaalde toepassing worden ondersteund, zijn vooraf geconfigureerd. De meeste API's voor gebruikersbeheer van toepassingen bieden geen ondersteuning voor schemadetectie. De Microsoft Entra-inrichtingsservice kan dus niet dynamisch de lijst met ondersteunde kenmerken genereren door aanroepen naar de toepassing uit te voeren.
Sommige toepassingen ondersteunen echter aangepaste kenmerken en de Microsoft Entra-inrichtingsservice kan aangepaste kenmerken lezen en schrijven. Als u de bijbehorende definities wilt invoeren in het Microsoft Entra-beheercentrum, schakelt u het selectievakje Geavanceerde opties weergeven onder aan het scherm Kenmerktoewijzingen in en selecteert u vervolgens Kenmerklijst bewerken voor uw app.
Enkele voorbeelden van toepassingen en systemen die ondersteuning bieden voor aanpassing van de lijst met kenmerken:
- Salesforce
- ServiceNow
- Workday naar Active Directory/Workday naar Microsoft Entra-id
- SuccessFactors naar Active Directory/SuccessFactors naar Microsoft Entra-id
- Microsoft Entra ID (Microsoft Entra ID Graph API-standaardkenmerken en aangepaste directory-extensies worden ondersteund). Zie Voor meer informatie over het maken van extensies de synchronisatie van extensiekenmerken voor Microsoft Entra Application Provisioning en Bekende problemen voor het inrichten in Microsoft Entra ID
- Apps die ondersteuning bieden voor System for Cross-Domain Identity (SCIM) 2.0
- Microsoft Entra ID ondersteunt writeback naar Workday of SuccessFactors voor XPATH- en JSONPath-metagegevens. Microsoft Entra ID biedt geen ondersteuning voor nieuwe kenmerken van Workday of SuccessFactors die niet zijn opgenomen in het standaardschema
Notitie
Het bewerken van de lijst met ondersteunde kenmerken wordt alleen aanbevolen voor beheerders die het schema van hun toepassingen en systemen hebben aangepast en zelf weten hoe hun aangepaste kenmerken zijn gedefinieerd of als een bronkenmerk niet automatisch wordt weergegeven in de gebruikersinterface van het Microsoft Entra-beheercentrum. Hiervoor kan het nodig zijn om ervaring te hebben met de API's en ontwikkeltools van een toepassing of systeem. De mogelijkheid om de lijst met ondersteunde kenmerken te bewerken is standaard vergrendeld, maar klanten kunnen deze mogelijkheid inschakelen door naar de volgende URL te gaan: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true. Vervolgens kunt u naar uw toepassing navigeren om de lijst met kenmerken weer te geven.
Notitie
Wanneer een kenmerk van een mapextensie in Microsoft Entra ID niet automatisch wordt weergegeven in de vervolgkeuzelijst voor kenmerktoewijzingen, kunt u dit handmatig toevoegen aan de lijst met kenmerken van Microsoft Entra. Wanneer u handmatig microsoft Entra-adreslijstextensiekenmerken toevoegt aan uw inrichtings-app, moet u er rekening mee houden dat kenmerknamen van directory-extensies hoofdlettergevoelig zijn. Als u bijvoorbeeld een kenmerk voor de mapextensie hebt met de naam extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenter
, moet u deze in dezelfde indeling invoeren als gedefinieerd in de map. Het inrichten van kenmerken van mapuitbreidingen met meerdere waarden wordt niet ondersteund.
Wanneer u de lijst met ondersteunde kenmerken bewerkt, worden de volgende eigenschappen opgegeven:
- Naam: de systeemnaam van het kenmerk, zoals gedefinieerd in het schema van het doelobject.
- Type : het type gegevens dat door het kenmerk wordt opgeslagen, zoals gedefinieerd in het schema van het doelobject. Dit kan een van de volgende typen zijn.
- Binair: het kenmerk bevat binaire gegevens.
- Booleaans: het kenmerk bevat een waarde True of False.
- DatumTijd: het kenmerk bevat een datumtekenreeks.
- Geheel getal: het kenmerk bevat een geheel getal.
- Verwijzing: het kenmerk bevat een id die verwijst naar een waarde die is opgeslagen in een andere tabel in de doeltoepassing.
- Tekensreeks: het kenmerk bevat een tekenreeks.
- Primaire sleutel?: Of het kenmerk is gedefinieerd als een primaire-sleutelveld in het schema van het doelobject.
- Vereist? Of het kenmerk moet worden ingevuld in de doeltoepassing of het doelsysteem.
- Meerdere waarden?: Of het kenmerk meerdere waarden ondersteunt.
- Hoofdlettergevoelig?: Of bij het evalueren van de kenmerkwaarden onderscheid wordt gemaakt tussen hoofdletters en kleine letters.
- API-expressie: Alleen gebruiken als dit wordt vermeld in de documentatie voor een specifieke inrichtingsconnector (zoals Workday).
- Objectkenmerk waarnaar wordt verwezen: als het een kenmerk van het type Verwijzing is, kunt u in dit menu de tabel en het kenmerk in de doeltoepassing selecteren die de waarde bevat die aan het kenmerk is gekoppeld. Als u bijvoorbeeld een kenmerk met de naam 'Afdeling' hebt waarvan de opgeslagen waarde verwijst naar een object in een afzonderlijke tabel Afdelingen, selecteert
Departments.Name
u . De referentietabellen en de primaire id-velden die voor een bepaalde toepassing worden ondersteund, zijn vooraf geconfigureerd en kunnen niet worden bewerkt met behulp van het Microsoft Entra-beheercentrum. U kunt ze echter bewerken met behulp van de Microsoft Graph API.
Een aangepast uitbreidingskenmerk inrichten voor een SCIM-compatibele toepassing
De SCIM-aanvraag voor opmerkingen (RFC) definieert een basisschema voor gebruikers en groepen, terwijl u ook uitbreidingen voor het schema toestaat om te voldoen aan de behoeften van uw toepassing. Een aangepast kenmerk toevoegen aan een SCIM-toepassing:
- Meld u als toepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
- Selecteer uw toepassing en selecteer vervolgens Inrichten.
- Selecteer onder Toewijzingenhet object (gebruiker of groep) waarvoor u een aangepast kenmerk wilt toevoegen.
- U kunt ook onderaan de pagina Geavanceerde opties weergeven selecteren.
- Selecteer Kenmerkenlijst bewerken voor
. - Voer in de velden onderaan de lijst met kenmerken gegevens in voor het aangepaste kenmerk. Selecteer ten slotte Kenmerk toevoegen.
Voor SCIM-toepassingen moet de kenmerknaam het patroon volgen dat in het voorbeeld wordt weergegeven. CustomExtensionName en CustomAttribute kunnen worden aangepast volgens de vereisten van uw toepassing, bijvoorbeeld: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute
Deze instructies gelden alleen voor SCIM-compatibele toepassingen. Toepassingen zoals ServiceNow en Salesforce zijn niet geïntegreerd met Microsoft Entra ID met behulp van SCIM. Daarom is deze specifieke naamruimte niet vereist bij het toevoegen van een aangepast kenmerk.
Aangepaste kenmerken kunnen geen referentiële kenmerken, meerdere waarden of complexe kenmerken zijn. Aangepaste uitbreidingskenmerken met meerdere waarden en van een complex type worden momenteel alleen ondersteund voor toepassingen in de galerie. De schemaheader van de aangepaste extensie wordt weggelaten in het voorbeeld omdat deze niet wordt verzonden in aanvragen van de Microsoft Entra SCIM-client.
Voorbeeld van een gebruiker met een uitbreidingskenmerk:
{
"schemas":[
"urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
],
"userName":"bjensen",
"id": "48af03ac28ad4fb88478",
"externalId":"bjensen",
"name":{
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen",
"givenName":"Barbara"
},
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "701984",
"costCenter": "4130",
"organization": "Universal Studios",
"division": "Theme Park",
"department": "Tour Operations",
"manager": {
"value": "26118915-6090-4610-87e4-49d8ca9f808d",
"$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
"displayName": "John Smith"
}
},
"urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
"CustomAttribute": "701984",
},
"meta": {
"resourceType": "User",
"created": "2010-01-23T04:56:22Z",
"lastModified": "2011-05-13T04:42:34Z",
"version": "W\/\"3694e05e9dff591\"",
"location": "https://example.com/v2/Users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
}
Een rol inrichten bij een SCIM-app
Gebruik de stappen in het voorbeeld om toepassingsrollen voor een gebruiker in te richten voor uw toepassing. De beschrijving is specifiek voor aangepaste SCIM-toepassingen. Gebruik voor galerietoepassingen zoals Salesforce en ServiceNow de vooraf gedefinieerde roltoewijzingen. In de opsommingstekens wordt beschreven hoe u het kenmerk AppRoleAssignments transformeert naar de indeling die uw toepassing verwacht.
- Voor het toewijzen van een appRoleAssignment in Microsoft Entra ID aan een rol in uw toepassing moet u het kenmerk transformeren met behulp van een expressie. Het kenmerk appRoleAssignment mag niet rechtstreeks worden toegewezen aan een rolkenmerk zonder een expressie te gebruiken om de roldetails te parseren.
Notitie
Bij het inrichten van rollen van bedrijfstoepassingen definieert de SCIM-standaard kenmerken van bedrijfsgebruikersrollen anders. Zie Ontwikkelen en plannen voor een SCIM-eindpunt in Microsoft Entra ID voor meer informatie.
SingleAppRoleAssignment
Wanneer gebruikt u: Gebruik de expressie SingleAppRoleAssignment om één rol in te richten voor een gebruiker en om de primaire rol op te geven.
Configureren: gebruik de stappen die worden beschreven om naar de pagina met kenmerktoewijzingen te navigeren en de expressie SingleAppRoleAssignment te gebruiken om toe te wijzen aan het kenmerk rollen. Er zijn drie rolkenmerken om uit te kiezen (roles[primary eq "True"].display
, roles[primary eq "True"].type
en roles[primary eq "True"].value
). U kunt ervoor kiezen om bepaalde of alle role-kenmerken in uw toewijzingen op te nemen. Als u er meer dan één wilt gebruiken, voegt u gewoon een nieuwe toewijzing toe en neemt u deze op als het doelkenmerk.
Aandachtspunten
- Zorg ervoor dat meerdere rollen niet zijn toegewezen aan een gebruiker. Er is geen garantie welke rol wordt ingericht.
- Controleer het
SingleAppRoleAssignments
kenmerk. Het kenmerk is niet compatibel met het instellen van het bereik.Sync All users and groups
Voorbeeldaanvraag (POST)
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"externalId": "alias",
"userName": "alias@contoso.OnMicrosoft.com",
"active": true,
"displayName": "First Name Last Name",
"meta": {
"resourceType": "User"
},
"roles": [{
"primary": true,
"type": "WindowsAzureActiveDirectoryRole",
"value": "Admin"
}
]}
Voorbeelduitvoer (PATCH)
"Operations": [
{
"op": "Add",
"path": "roles",
"value": [{
"value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
}
]
}]
De aanvraagindelingen in de PATCH en POST verschillen. Om ervoor te zorgen dat POST en PATCH in dezelfde indeling worden verzonden, kunt u de functievlag gebruiken die hier wordt beschreven.
AppRoleAssignmentsComplex
Wanneer te gebruiken: Gebruik de expressie AppRoleAssignmentsComplex om meerdere rollen in te richten voor een gebruiker. Configureren: bewerk de lijst met ondersteunde kenmerken zoals beschreven om een nieuw kenmerk voor rollen op te nemen:
Gebruik vervolgens de expressie AppRoleAssignmentsComplex om toe te wijzen aan het aangepaste rolkenmerk, zoals wordt weergegeven in de afbeelding:
Aandachtspunten
- Alle rollen worden ingericht als primair = onwaar.
- Het
id
kenmerk is niet vereist in SCIM-rollen. Gebruik in plaats daarvan hetvalue
kenmerk. Als hetvalue
kenmerk bijvoorbeeld de naam of id voor de rol bevat, gebruikt u het om de rol in te richten. U kunt de functievlag hier gebruiken om het id-kenmerkprobleem op te lossen. Vertrouwen op het waardekenmerk is echter niet altijd voldoende; Als er bijvoorbeeld meerdere rollen zijn met dezelfde naam of id. In bepaalde gevallen is het nodig om het id-kenmerk te gebruiken om de rol correct in te richten
Beperkingen
- AppRoleAssignmentsComplex is niet compatibel met het instellingsbereik 'Alle gebruikers en groepen synchroniseren'.
Voorbeeldaanvraag (POST)
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"externalId": "alias",
"userName": "alias@contoso.OnMicrosoft.com",
"active": true,
"displayName": "First Name Last Name",
"meta": {
"resourceType": "User"
},
"roles": [
{
"primary": false,
"type": "WindowsAzureActiveDirectoryRole",
"displayName": "Admin",
"value": "Admin"
},
{
"primary": false,
"type": "WindowsAzureActiveDirectoryRole",
"displayName": "User",
"value": "User"
}
]
}
Voorbeelduitvoer (PATCH)
"Operations": [
{
"op": "Add",
"path": "roles",
"value": [
{
"value": "{"id":"06b07648-ecfe-589f-9d2f-6325724a46ee","value":"Admin","displayName":"Admin"}
},
{
"value": "{"id":"06b07648-ecfe-599f-9d2f-6325724a46ee","value":"User","displayName":"User"}
}
]
}
]
AssertiveAppRoleAssignmentsComplex (aanbevolen voor complexe rollen)
Wanneer te gebruiken: Gebruik het AssertiveAppRoleAssignmentsComplex om patch replace-functionaliteit in te schakelen. Voor SCIM-toepassingen die meerdere rollen ondersteunen, zorgt dit ervoor dat rollen die zijn verwijderd in Microsoft Entra-id ook worden verwijderd in de doeltoepassing. De vervangingsfunctionaliteit verwijdert ook eventuele extra rollen die de gebruiker heeft die niet worden weergegeven in Entra-id
Het verschil tussen het AppRoleAssignmentsComplex en AssertiveAppRoleAssignmentsComplex is de modus van de patchaanroep en het effect op de doel systen. De voormalige patch voegt alleen toe en verwijdert daarom geen bestaande rollen op het doel. De laatste vervangt PATCH die rollen in het doelsysteem verwijdert als ze niet zijn toegewezen aan de gebruiker op Entra ID.
Configureren: bewerk de lijst met ondersteunde kenmerken zoals beschreven om een nieuw kenmerk voor rollen op te nemen:
Gebruik vervolgens de expressie AssertiveAppRoleAssignmentsComplex om toe te wijzen aan het aangepaste rolkenmerk, zoals wordt weergegeven in de afbeelding:
Aandachtspunten
- Alle rollen worden ingericht als primair = onwaar.
- Het
id
kenmerk is niet vereist in SCIM-rollen. Gebruik in plaats daarvan hetvalue
kenmerk. Als hetvalue
kenmerk bijvoorbeeld de naam of id voor de rol bevat, gebruikt u het om de rol in te richten. U kunt de functievlag hier gebruiken om het id-kenmerkprobleem op te lossen. Vertrouwen op het waardekenmerk is echter niet altijd voldoende; Als er bijvoorbeeld meerdere rollen zijn met dezelfde naam of id. In bepaalde gevallen is het nodig om het id-kenmerk te gebruiken om de rol correct in te richten
Beperkingen
- AssertiveAppRoleAssignmentsComplex is niet compatibel met het instellingsbereik 'Alle gebruikers en groepen synchroniseren'.
Voorbeeldaanvraag (POST)
{"schemas":["urn:ietf:params:scim:schemas:core:2.0:User"],
"externalId":"contoso",
"userName":"contoso@alias.onmicrosoft.com",
"active":true,
"roles":[{
"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"User",
"value":"User"},
{"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"Test",
"value":"Test"}],
}
Voorbeelduitvoer (PATCH)
{"schemas":["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[{
"op":"replace",
"path":"roles",
"value":[{
"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"User",
"value":"User"},
{"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"Test",
"value":"Test"}
]
}
]
}
Een kenmerk met meerdere waarden inrichten
Bepaalde kenmerken, zoals phoneNumbers en e-mailberichten, zijn kenmerken met meerdere waarden, waarbij u verschillende typen telefoonnummers of e-mailberichten moet opgeven. Gebruik de expressie voor kenmerken met meerdere waarden. Hiermee kunt u het kenmerktype opgeven en toewijzen aan het bijbehorende Microsoft Entra-gebruikerskenmerk voor de waarde.
phoneNumbers[type eq "work"].value
phoneNumbers[type eq "mobile"]
.waardephoneNumbers[type eq "fax"].value
"phoneNumbers": [ { "value": "555-555-5555", "type": "work" }, { "value": "555-555-5555", "type": "mobile" }, { "value": "555-555-5555", "type": "fax" } ]
De standaardkenmerken en standaardkenmerktoewijzingen herstellen
Als u helemaal opnieuw moet beginnen en de instellingen van de bestaande toewijzingen wilt resetten, schakelt u het selectievakje Standaardtoewijzingen herstellen in en slaat u de configuratie op. Hiermee stelt u alle toewijzingen en bereikfilters in alsof de toepassing vanuit de toepassingsgalerie is toegevoegd aan uw Microsoft Entra-tenant.
Als u deze optie selecteert, worden alle gebruikers opnieuw gesynchroniseerd terwijl de inrichtingsservice wordt uitgevoerd.
Belangrijk
We raden u ten zeerste aan Inrichtingsstatus op Uit te zetten voordat u deze optie uitvoert.
Wat u moet weten
- Microsoft Entra ID biedt een efficiënte implementatie van een synchronisatieproces. In een geïnitialiseerde omgeving worden alleen objecten waarvoor updates vereist zijn, verwerkt tijdens een synchronisatiecyclus.
- Het bijwerken van kenmerktoewijzingen is van invloed op de prestaties van een synchronisatiecyclus. Om de configuratie van een kenmerktoewijzings bij te werken, moeten alle beheerde objecten opnieuw worden geëvalueerd.
- Een aanbevolen best practice is om het aantal opeenvolgende wijzigingen in uw kenmerktoewijzingen daarom tot een minimum te beperken.
- Het toevoegen van een fotokenmerk dat moet worden ingericht voor een app wordt momenteel niet ondersteund, omdat u de indeling voor het synchroniseren van de foto niet kunt opgeven. U kunt de functie op User Voice aanvragen.
- Het kenmerk
IsSoftDeleted
maakt vaak deel uit van de standaardtoewijzingen voor een toepassing.IsSoftdeleted
kan waar zijn in een van de vier scenario's: 1) De gebruiker valt buiten het bereik omdat deze niet is toegewezen vanuit de toepassing. 2) De gebruiker valt buiten het bereik omdat het niet voldoet aan een bereikfilter. 3) De gebruiker wordt voorlopig verwijderd in Microsoft Entra ID. 4) De eigenschapAccountEnabled
is ingesteld op false voor de gebruiker. Probeer het kenmerk in uwIsSoftDeleted
kenmerktoewijzingen te bewaren. - De Microsoft Entra-inrichtingsservice biedt geen ondersteuning voor het inrichten van null-waarden.
- Deze primaire sleutel mag doorgaans
ID
niet worden opgenomen als een doelkenmerk in uw kenmerktoewijzingen. - Het kenmerk role moet meestal worden toegewezen met behulp van een expressie, in plaats van een directe toewijzing. Zie Een rol inrichten voor een SCIM-app voor meer informatie over roltoewijzing.
- Hoewel u groepen uit uw toewijzingen kunt uitschakelen, wordt het uitschakelen van gebruikers niet ondersteund.
Volgende stappen
- Automatisch gebruikers voor SaaS-apps inrichten en de inrichting ongedaan maken
- Expressies schrijven voor kenmerktoewijzingen
- Bereikfilters voor het inrichten van gebruikers
- SCIM gebruiken om automatische inrichting van gebruikers en groepen van Microsoft Entra-id in te schakelen voor toepassingen
- Lijst met zelfstudies voor het integreren van SaaS-apps