Extensiekenmerken synchroniseren voor Microsoft Entra Application Provisioning
Microsoft Entra-id moet alle gegevens (kenmerken) bevatten die vereist zijn voor het maken van een gebruikersprofiel bij het inrichten van gebruikersaccounts van Microsoft Entra ID naar een SaaS-app of on-premises toepassing. Bij het aanpassen van kenmerktoewijzingen voor het inrichten van gebruikers, kan het zijn dat het kenmerk dat u wilt toewijzen, niet wordt weergegeven in de lijst Met bronkenmerken in Microsoft Entra-id. In dit artikel wordt beschreven hoe u het ontbrekende kenmerk toevoegt.
Bepalen waar de extensies moeten worden toegevoegd
Het toevoegen van ontbrekende kenmerken die nodig zijn voor een toepassing, wordt gestart in on-premises Active Directory of in Microsoft Entra-id, afhankelijk van waar de gebruikersaccounts zich bevinden en hoe ze worden overgebracht naar Microsoft Entra-id.
Bepaal eerst welke gebruikers in uw Microsoft Entra-tenant toegang nodig hebben tot de toepassing en daarom binnen het bereik van het inrichten van de toepassing.
Bepaal vervolgens wat de bron is van het kenmerk en de topologie voor hoe deze gebruikers worden overgebracht naar Microsoft Entra-id.
| Bron van kenmerk | Topologie | Vereiste stappen |
|---|---|---|
| HR-systeem | Werknemers van het HR-systeem worden ingericht als gebruikers in Microsoft Entra ID. | Maak een extensiekenmerk in Microsoft Entra-id. Werk de binnenkomende TOEWIJZING van HR bij om het extensiekenmerk in te vullen voor Microsoft Entra ID-gebruikers van het HR-systeem. |
| HR-systeem | Werknemers van het HR-systeem worden ingericht als gebruikers in Windows Server AD. Microsoft Entra Verbinding maken cloudsynchronisatie synchroniseert deze in Microsoft Entra-id. |
Breid het AD-schema zo nodig uit. Maak een extensiekenmerk in Microsoft Entra-id met behulp van cloudsynchronisatie. Werk de binnenkomende TOEWIJZING van HR bij om het extensiekenmerk op de AD-gebruiker van het HR-systeem te vullen. |
| HR-systeem | Werknemers van het HR-systeem worden ingericht als gebruikers in Windows Server AD. Microsoft Entra Verbinding maken synchroniseert deze in Microsoft Entra-id. |
Breid het AD-schema zo nodig uit. Maak een extensiekenmerk in Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken. Werk de binnenkomende TOEWIJZING van HR bij om het extensiekenmerk op de AD-gebruiker van het HR-systeem te vullen. |
Als de gebruikers van uw organisatie zich al in on-premises Active Directory bevinden of als u ze in Active Directory maakt, moet u de gebruikers van Active Directory synchroniseren met Microsoft Entra-id. U kunt gebruikers en kenmerken synchroniseren met Behulp van Microsoft Entra Verbinding maken of Microsoft Entra Verbinding maken cloudsynchronisatie.
- Neem contact op met de on-premises Active Directory-domeinbeheerders of de vereiste kenmerken deel uitmaken van de objectklasse van het AD DS-schema
User. Als dat niet het is, kunt u het Active Directory-domein Services-schema uitbreiden in de domeinen waar deze gebruikers accounts hebben. - Configureer Microsoft Entra Verbinding maken of Microsoft Entra Verbinding maken cloudsynchronisatie om de gebruikers te synchroniseren met hun extensiekenmerk van Active Directory naar Microsoft Entra-id. Met beide oplossingen worden bepaalde kenmerken automatisch gesynchroniseerd met Microsoft Entra ID, maar niet alle kenmerken. Bovendien worden sommige kenmerken (zoals
sAMAccountName) die standaard worden gesynchroniseerd, mogelijk niet weergegeven met behulp van de Graph API. In deze gevallen kunt u de functie Microsoft Entra Verbinding maken directory-extensie gebruiken om het kenmerk te synchroniseren met Microsoft Entra ID of Microsoft Entra Verbinding maken cloudsynchronisatie te gebruiken. Op die manier is het kenmerk zichtbaar voor de Graph API en de Microsoft Entra-inrichtingsservice. - Als de gebruikers in on-premises Active Directory nog niet over de vereiste kenmerken beschikken, moet u de gebruikers in Active Directory bijwerken. Deze update kan worden uitgevoerd door de eigenschappen van Workday, SAP SuccessFactors te lezen of als u een ander HR-systeem gebruikt, met behulp van de inkomende HR-API.
- Wacht totDat Microsoft Entra Verbinding maken of Microsoft Entra Verbinding maken cloudsynchronisatie deze updates synchroniseert die u in het Active Directory-schema en de Active Directory-gebruikers in Microsoft Entra-id hebt aangebracht.
Als geen van de gebruikers die toegang nodig hebben tot de toepassing afkomstig is van on-premises Active Directory, moet u schema-extensies maken met behulp van PowerShell of Microsoft Graph in Microsoft Entra ID voordat u de inrichting voor uw toepassing configureert.
In de volgende secties wordt beschreven hoe u extensiekenmerken maakt voor een tenant met alleen cloudgebruikers en voor een tenant met Active Directory-gebruikers.
Een extensiekenmerk maken in een tenant met alleen cloudgebruikers
U kunt Microsoft Graph en PowerShell gebruiken om het gebruikersschema voor gebruikers in Microsoft Entra ID uit te breiden. Dit is nodig als u gebruikers hebt die dat kenmerk nodig hebben en geen van hen afkomstig is uit of gesynchroniseerd vanuit on-premises Active Directory. (Als u Active Directory hebt, leest u hieronder verder in de sectie over het gebruik van de functie Microsoft Entra Verbinding maken directory-extensie om het kenmerk te synchroniseren met Microsoft Entra ID.)
Zodra schema-extensies zijn gemaakt, worden deze extensiekenmerken automatisch gedetecteerd wanneer u de inrichtingspagina in het Microsoft Entra-beheercentrum bezoekt.
Als u meer dan 1000 service-principals hebt, kunnen er extensies ontbreken in de lijst met bronkenmerken. Als een kenmerk dat u hebt gemaakt niet automatisch wordt weergegeven, controleert u of het kenmerk is gemaakt en voegt u het handmatig toe aan uw schema. Gebruik Microsoft Graph en Graph Explorer om te controleren of deze is gemaakt. Als u het handmatig wilt toevoegen aan uw schema, raadpleegt u de lijst met ondersteunde kenmerken bewerken.
Een extensiekenmerk maken voor gebruikers in de cloud die alleen Microsoft Graph gebruiken
U kunt het schema van Microsoft Entra-gebruikers uitbreiden met Behulp van Microsoft Graph.
Vermeld eerst de apps in uw tenant om de id op te halen van de app waaraan u werkt. Zie List extensionProperties voor meer informatie.
GET https://graph.microsoft.com/v1.0/applications
Maak vervolgens het extensiekenmerk. Vervang de onderstaande id-eigenschap door de id die in de vorige stap is opgehaald. U moet het kenmerk Id gebruiken en niet de 'appId'. Zie [Create extensionProperty]/graph/api/application-post-extensionproperty) voor meer informatie.
POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json
{
"name": "extensionName",
"dataType": "string",
"targetObjects": [
"User"
]
}
Met de vorige aanvraag is een extensiekenmerk gemaakt met de indeling extension_appID_extensionName. U kunt nu een gebruiker bijwerken met dit extensiekenmerk. Raadpleeg voor meer informatie Gebruiker bijwerken.
PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json
{
"extension_inputAppId_extensionName": "extensionValue"
}
Controleer tenslotte het kenmerk voor de gebruiker. Raadpleeg voor meer informatie Een gebruiker ophalen. Graph v1.0 retourneert standaard geen directory-extensiekenmerken van een gebruiker, tenzij de kenmerken in de aanvraag zijn opgegeven als een van de eigenschappen die moeten worden geretourneerd.
GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName
Een extensiekenmerk maken voor alleen cloudgebruikers met Behulp van PowerShell
U kunt een aangepaste extensie maken met behulp van PowerShell.
Notitie
Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.
#Connect to your Azure AD tenant
Connect-AzureAD
#Create an application (you can instead use an existing application if you would like)
$App = New-AzureADApplication -DisplayName “test app name” -IdentifierUris https://testapp
#Create a service principal
New-AzureADServicePrincipal -AppId $App.AppId
#Create an extension property
New-AzureADApplicationExtensionProperty -ObjectId $App.ObjectId -Name “TestAttributeName” -DataType “String” -TargetObjects “User”
U kunt desgewenst testen of u de extensie-eigenschap alleen voor een cloudgebruiker kunt instellen.
#List users in your tenant to determine the objectid for your user
Get-AzureADUser
#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-AzureADUserExtension -objectid 0ccf8df6-62f1-4175-9e55-73da9e742690 -ExtensionName “extension_6552753978624005a48638a778921fan3_TestAttributeName”
#Verify that the attribute was added correctly.
Get-AzureADUser -ObjectId 0ccf8df6-62f1-4175-9e55-73da9e742690 | Select -ExpandProperty ExtensionProperty
Een extensiekenmerk maken met cloudsynchronisatie
Als u gebruikers in Active Directory hebt en Microsoft Entra Verbinding maken cloudsynchronisatie gebruikt, detecteert cloudsynchronisatie automatisch uw extensies in on-premises Active Directory wanneer u een nieuwe toewijzing toevoegt. Als u Microsoft Entra Verbinding maken synchronisatie gebruikt, gaat u verder met lezen in de volgende sectie, maakt u een extensiekenmerk met behulp van Microsoft Entra Verbinding maken.
Gebruik de onderstaande stappen om deze kenmerken automatisch te ontdekken en een bijbehorende toewijzing in te stellen aan Microsoft Entra-id.
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteit Beheer istrator.
- Blader naar hybride>identiteitsbeheer>microsoft Entra Verbinding maken> Cloud-synchronisatie.
- Selecteer de configuratie die u wilt toevoegen aan het extensiekenmerk en de toewijzing.
- Selecteer onder Kenmerken beheren klik om toewijzingen te bewerken.
- Selecteer Kenmerktoewijzing toevoegen. De kenmerken worden automatisch gedetecteerd.
- De nieuwe kenmerken zijn beschikbaar in de vervolgkeuzelijst onder bronkenmerk.
- Vul het gewenste type toewijzing in en selecteer Toepassen.
Zie Aangepaste kenmerktoewijzing in Microsoft Entra Verbinding maken cloudsynchronisatie voor meer informatie.
Een extensiekenmerk maken met Microsoft Entra Verbinding maken
Als gebruikers die toegang hebben tot de toepassingen afkomstig zijn van on-premises Active Directory, moet u de kenmerken synchroniseren met de gebruikers van Active Directory naar Microsoft Entra-id. Als u Microsoft Entra Verbinding maken gebruikt, moet u de volgende taken uitvoeren voordat u de inrichting voor uw toepassing configureert.
Neem contact op met de on-premises Active Directory-domeinbeheerders of de vereiste kenmerken deel uitmaken van de objectklasse van het AD DS-schema
User. Als dat niet het is, kunt u het Active Directory-domein Services-schema uitbreiden in de domeinen waar deze gebruikers accounts hebben.Open de wizard Microsoft Entra Verbinding maken, kies Taken en kies synchronisatieopties aanpassen.
Meld u aan als een Globale Beheer istrator.
Selecteer op de pagina Optionele functies dan Synchronisatie kenmerk mapextensie.
Selecteer de kenmerken die u wilt uitbreiden naar De Microsoft Entra-id.
Notitie
De zoekopdracht onder Beschikbare kenmerken is hoofdlettergevoelig.
Voltooi de wizard Microsoft Entra Verbinding maken en laat een volledige synchronisatiecyclus worden uitgevoerd. Wanneer de cyclus is voltooid, wordt het schema uitgebreid en worden de nieuwe waarden gesynchroniseerd tussen uw on-premises AD en Microsoft Entra-id.
Notitie
De mogelijkheid om referentiekenmerken in te richten vanuit on-premises AD, zoals managedby of DN/DistinguishedName, wordt momenteel niet ondersteund. U kunt de functie aanvragen op User Voice.
Het nieuwe kenmerk vullen en gebruiken
In het Microsoft Entra-beheercentrum, terwijl u gebruikerskenmerktoewijzingen bewerkt voor eenmalige aanmelding of inrichting van Microsoft Entra-id naar een toepassing, bevat de lijst met bronkenmerken nu het toegevoegde kenmerk in de indeling <attributename> (extension_<appID>_<attributename>), waarbij appID de id is van een tijdelijke aanduiding voor een toepassing in uw tenant. Selecteer het kenmerk en wijs het toe aan de doeltoepassing voor inrichting.
Vervolgens moet u die gebruikers die zijn toegewezen aan de toepassing vullen met het vereiste kenmerk, voordat u het inrichten voor de toepassing inschakelt. Als het kenmerk niet afkomstig is uit Active Directory, zijn er vijf manieren om de gebruikers bulksgewijs te vullen:
- Als de eigenschappen afkomstig zijn van een HR-systeem en u de werknemers van dat HR-systeem inricht als gebruikers in Active Directory, configureert u vervolgens een toewijzing vanuit Workday, SAP SuccessFactors of als u een ander HR-systeem gebruikt, met behulp van de inkomende HR-API naar het kenmerk Active Directory. Wacht vervolgens op Microsoft Entra Verbinding maken of Microsoft Entra Verbinding maken cloudsynchronisatie om deze updates die u hebt aangebracht in het Active Directory-schema en de Active Directory-gebruikers te synchroniseren met Microsoft Entra ID.
- Als de eigenschappen afkomstig zijn van een HR-systeem en u geen Active Directory gebruikt, kunt u een toewijzing configureren vanuit Workday, SAP SuccessFactors of anderen via de binnenkomende API naar het microsoft Entra-gebruikerskenmerk.
- Als de eigenschappen afkomstig zijn van een ander on-premises systeem, kunt u de MIM-Verbinding maken or voor Microsoft Graph configureren om Microsoft Entra-gebruikers te maken of bij te werken.
- Als de eigenschappen afkomstig zijn van de gebruikers zelf, kunt u de gebruikers vragen de waarden van het kenmerk op te geven wanneer ze toegang tot de toepassing aanvragen door de kenmerkvereisten in de rechtenbeheercatalogus op te slaan.
- In alle andere situaties kan een aangepaste toepassing de gebruikers bijwerken via de Microsoft Graph API.