Synchronizowanie atrybutów rozszerzenia dla aprowizacji aplikacji firmy Microsoft

  • Artykuł

Identyfikator Entra firmy Microsoft musi zawierać wszystkie dane (atrybuty) wymagane do utworzenia profilu użytkownika podczas aprowizowania kont użytkowników z identyfikatora Entra firmy Microsoft do aplikacji SaaS lub aplikacji lokalnej. Podczas dostosowywania mapowań atrybutów na potrzeby aprowizacji użytkowników może się okazać, że atrybut, który chcesz mapować, nie jest wyświetlany na liście atrybutów źródłowych w identyfikatorze Entra firmy Microsoft. W tym artykule pokazano, jak dodać brakujący atrybut.

Określanie, gdzie należy dodać rozszerzenia

Dodanie brakujących atrybutów potrzebnych dla aplikacji rozpocznie się w lokalna usługa Active Directory lub w identyfikatorze Entra firmy Microsoft, w zależności od tego, gdzie znajdują się konta użytkowników i jak są one wprowadzane do identyfikatora Entra firmy Microsoft.

Najpierw zidentyfikuj, którzy użytkownicy w dzierżawie firmy Microsoft Entra potrzebują dostępu do aplikacji, a zatem będą w zakresie aprowizacji w aplikacji.

Następnie określ źródło atrybutu i topologię sposobu, w jaki ci użytkownicy są wprowadzani do identyfikatora Entra firmy Microsoft.

Źródło atrybutu Topologia Wymagane kroki
System hr Pracownicy z systemu HR są aprowizowani jako użytkownicy w usłudze Microsoft Entra ID. Utwórz atrybut rozszerzenia w identyfikatorze Entra firmy Microsoft.
Zaktualizuj mapowanie ruchu przychodzącego hr, aby wypełnić atrybut rozszerzenia dla użytkowników microsoft Entra ID z systemu HR.
System hr Pracownicy z systemu KADR są aprowizowani jako użytkownicy w usłudze AD systemu Windows Server.
Usługa Microsoft Entra Połączenie cloud sync synchronizuje je z identyfikatorem Entra firmy Microsoft.		 W razie potrzeby rozszerz schemat usługi AD.
Utwórz atrybut rozszerzenia w identyfikatorze Entra firmy Microsoft przy użyciu synchronizacji w chmurze.
Zaktualizuj mapowanie ruchu przychodzącego hr, aby wypełnić atrybut rozszerzenia dla użytkownika usługi AD z systemu HR.
System hr Pracownicy z systemu KADR są aprowizowani jako użytkownicy w usłudze AD systemu Windows Server.
Firma Microsoft Entra Połączenie synchronizuje je z identyfikatorem Entra firmy Microsoft.		 W razie potrzeby rozszerz schemat usługi AD.
Utwórz atrybut rozszerzenia w identyfikatorze Entra firmy Microsoft przy użyciu Połączenie firmy Microsoft.
Zaktualizuj mapowanie ruchu przychodzącego hr, aby wypełnić atrybut rozszerzenia dla użytkownika usługi AD z systemu HR.

Jeśli użytkownicy twojej organizacji znajdują się już w lokalna usługa Active Directory lub tworzysz je w usłudze Active Directory, musisz zsynchronizować użytkowników z usługi Active Directory do identyfikatora Entra firmy Microsoft. Można synchronizować użytkowników i atrybuty przy użyciu usługi Microsoft Entra Połączenie lub microsoft Entra Połączenie synchronizacji w chmurze.

  1. Sprawdź lokalna usługa Active Directory, czy wymagane atrybuty są częścią klasy obiektów schematu User usług AD DS, a jeśli nie, rozszerz schemat usług domena usługi Active Directory Services w domenach, w których ci użytkownicy mają konta.
  2. Skonfiguruj synchronizację z chmurą microsoft Entra Połączenie lub Microsoft Entra Połączenie w chmurze, aby zsynchronizować użytkowników z atrybutem rozszerzenia z usługi Active Directory do identyfikatora Entra firmy Microsoft. Oba te rozwiązania automatycznie synchronizują pewne atrybuty z identyfikatorem Entra firmy Microsoft, ale nie wszystkie atrybuty. Ponadto niektóre atrybuty (takie jak sAMAccountName) synchronizowane domyślnie mogą nie być uwidocznione przy użyciu interfejsu API programu Graph. W takich przypadkach można użyć funkcji rozszerzenia katalogu Microsoft Entra Połączenie, aby zsynchronizować atrybut z identyfikatorem Entra firmy Microsoft lub użyć usługi Microsoft Entra Połączenie synchronizacji w chmurze. Dzięki temu atrybut jest widoczny dla interfejsu API programu Graph i usługi aprowizacji firmy Microsoft.
  3. Jeśli użytkownicy w lokalna usługa Active Directory nie mają jeszcze wymaganych atrybutów, musisz zaktualizować użytkowników w usłudze Active Directory. Tę aktualizację można wykonać, odczytując właściwości z produktu Workday, z rozwiązania SAP SuccessFactors lub jeśli używasz innego systemu HR, korzystając z przychodzącego interfejsu API HR.
  4. Zaczekaj na synchronizację z chmurą microsoft Entra Połączenie lub Microsoft Entra Połączenie w chmurze, aby zsynchronizować te aktualizacje wprowadzone w schemacie usługi Active Directory i użytkowników usługi Active Directory do identyfikatora Entra firmy Microsoft.

Alternatywnie, jeśli żaden z użytkowników, którzy potrzebują dostępu do aplikacji, pochodzi z lokalna usługa Active Directory, należy utworzyć rozszerzenia schematu przy użyciu programu PowerShell lub programu Microsoft Graph w identyfikatorze Entra firmy Microsoft przed skonfigurowaniem aprowizacji w aplikacji.

W poniższych sekcjach opisano sposób tworzenia atrybutów rozszerzenia dla dzierżawy z użytkownikami tylko w chmurze oraz dzierżawy z użytkownikami usługi Active Directory.

Tworzenie atrybutu rozszerzenia w dzierżawie z tylko użytkownikami chmury

Za pomocą programu Microsoft Graph i programu PowerShell można rozszerzyć schemat użytkownika dla użytkowników w usłudze Microsoft Entra ID. Jest to konieczne, jeśli masz użytkowników, którzy potrzebują tego atrybutu, a żaden z nich nie pochodzi lub nie jest zsynchronizowany z lokalna usługa Active Directory. (Jeśli masz usługę Active Directory, kontynuuj czytanie poniżej w sekcji dotyczącej korzystania z funkcji rozszerzenia katalogu Microsoft Entra Połączenie w celu zsynchronizowania atrybutu z identyfikatorem Entra firmy Microsoft).

Po utworzeniu rozszerzeń schematu te atrybuty rozszerzenia są automatycznie wykrywane podczas następnego odwiedzania strony aprowizacji w centrum administracyjnym firmy Microsoft Entra, w większości przypadków.

Jeśli masz więcej niż 1000 jednostek usługi, możesz znaleźć rozszerzenia brakujące na liście atrybutów źródłowych. Jeśli utworzony atrybut nie jest automatycznie wyświetlany, sprawdź, czy atrybut został utworzony i dodaj go ręcznie do schematu. Aby sprawdzić, czy został utworzony, użyj programu Microsoft Graph i Eksploratora programu Graph. Aby dodać go ręcznie do schematu, zobacz Edytowanie listy obsługiwanych atrybutów.

Tworzenie atrybutu rozszerzenia tylko dla użytkowników chmury przy użyciu programu Microsoft Graph

Schemat użytkowników firmy Microsoft Entra można rozszerzyć przy użyciu programu Microsoft Graph.

Najpierw wyświetl listę aplikacji w dzierżawie, aby uzyskać identyfikator aplikacji, nad którą pracujesz. Aby dowiedzieć się więcej, zobacz List extensionProperties (Lista rozszerzeńWłaściwości).

GET https://graph.microsoft.com/v1.0/applications

Następnie utwórz atrybut rozszerzenia. Zastąp właściwość ID poniżej identyfikatorem pobranym w poprzednim kroku. Musisz użyć atrybutu "ID" , a nie "appId". Aby dowiedzieć się więcej, zobacz [Create extensionProperty]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

Poprzednie żądanie utworzyło atrybut rozszerzenia o formacie extension_appID_extensionName. Teraz możesz zaktualizować użytkownika za pomocą tego atrybutu rozszerzenia. Aby dowiedzieć się więcej, zobacz Aktualizowanie użytkownika.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

Na koniec zweryfikuj atrybut użytkownika. Aby dowiedzieć się więcej, zobacz Pobieranie użytkownika. Program Graph w wersji 1.0 domyślnie nie zwraca żadnych atrybutów rozszerzenia katalogu użytkownika, chyba że atrybuty są określone w żądaniu jako jedna z właściwości do zwrócenia.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Tworzenie atrybutu rozszerzenia tylko dla użytkowników chmury przy użyciu programu PowerShell

Rozszerzenie niestandardowe można utworzyć przy użyciu programu PowerShell.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

#Connect to your Azure AD tenant
Connect-AzureAD

#Create an application (you can instead use an existing application if you would like)
$App = New-AzureADApplication -DisplayName “test app name” -IdentifierUris https://testapp

#Create a service principal
New-AzureADServicePrincipal -AppId $App.AppId

#Create an extension property
New-AzureADApplicationExtensionProperty -ObjectId $App.ObjectId -Name “TestAttributeName” -DataType “String” -TargetObjects “User”

Opcjonalnie możesz przetestować, czy można ustawić właściwość rozszerzenia tylko dla użytkownika chmury.

#List users in your tenant to determine the objectid for your user
Get-AzureADUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-AzureADUserExtension -objectid 0ccf8df6-62f1-4175-9e55-73da9e742690 -ExtensionName “extension_6552753978624005a48638a778921fan3_TestAttributeName”

#Verify that the attribute was added correctly.
Get-AzureADUser -ObjectId 0ccf8df6-62f1-4175-9e55-73da9e742690 | Select -ExpandProperty ExtensionProperty

Tworzenie atrybutu rozszerzenia przy użyciu synchronizacji w chmurze

Jeśli masz użytkowników w usłudze Active Directory i korzystasz z usługi Microsoft Entra Połączenie synchronizacji z chmurą, synchronizacja w chmurze automatycznie odnajduje rozszerzenia w lokalna usługa Active Directory podczas dodawania nowego mapowania. Jeśli używasz usługi Microsoft Entra Połączenie sync, kontynuuj czytanie w następnej sekcji, utwórz atrybut rozszerzenia przy użyciu usługi Microsoft Entra Połączenie.

Wykonaj poniższe kroki, aby automatycznie wykryć te atrybuty i skonfigurować odpowiednie mapowanie na identyfikator Entra firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator tożsamości hybrydowej.
  2. Przejdź do sekcji Zarządzanie hybrydą>tożsamości>Microsoft Entra Połączenie> Cloud sync.
  3. Wybierz konfigurację, którą chcesz dodać atrybut rozszerzenia i mapowanie.
  4. W obszarze Zarządzaj atrybutami wybierz pozycję kliknij, aby edytować mapowania.
  5. Wybierz pozycję Dodaj mapowanie atrybutów. Atrybuty są automatycznie odnajdywane.
  6. Nowe atrybuty są dostępne na liście rozwijanej w obszarze atrybutu źródłowego.
  7. Wypełnij żądany typ mapowania i wybierz pozycję Zastosuj.

Aby uzyskać więcej informacji, zobacz Mapowanie atrybutów niestandardowych w usłudze Microsoft Entra Połączenie synchronizacji z chmurą.

Tworzenie atrybutu rozszerzenia przy użyciu usługi Microsoft Entra Połączenie

Jeśli użytkownicy, którzy uzyskują dostęp do aplikacji, pochodzą z lokalna usługa Active Directory, należy zsynchronizować atrybuty z użytkownikami z usługi Active Directory do identyfikatora Entra firmy Microsoft. Jeśli używasz usługi Microsoft Entra Połączenie, przed skonfigurowaniem aprowizacji w aplikacji należy wykonać następujące zadania.

  1. Sprawdź lokalna usługa Active Directory, czy wymagane atrybuty są częścią klasy obiektów schematu User usług AD DS, a jeśli nie, rozszerz schemat usług domena usługi Active Directory Services w domenach, w których ci użytkownicy mają konta.

  2. Otwórz kreatora Microsoft Entra Połączenie, wybierz pozycję Zadania, a następnie wybierz pozycję Dostosuj opcje synchronizacji.

  3. Zaloguj się jako globalny Administracja istrator.

  4. Na stronie Funkcje opcjonalne wybierz pozycję Synchronizacja atrybutów rozszerzenia katalogu.

  5. Wybierz atrybuty, które chcesz rozszerzyć na identyfikator Entra firmy Microsoft.

    Uwaga

    Wyszukiwanie w obszarze Dostępne atrybuty uwzględnia wielkość liter.

  6. Zakończ pracę kreatora Połączenie firmy Microsoft i zezwól na uruchomienie pełnego cyklu synchronizacji. Po zakończeniu cyklu schemat jest rozszerzony, a nowe wartości są synchronizowane między lokalną usługą AD i identyfikatorem Entra firmy Microsoft.

Uwaga

Możliwość aprowizacji atrybutów referencyjnych z lokalnej usługi AD, takiej jak managedby lub DN/DistinguishedName, nie jest obecnie obsługiwana. Możesz zażądać tej funkcji w funkcji User Voice.

Wypełnianie i używanie nowego atrybutu

W centrum administracyjnym firmy Microsoft Entra podczas edytowania mapowań atrybutów użytkownika na potrzeby logowania jednokrotnego lub aprowizacji z identyfikatora Entra firmy Microsoft do aplikacji lista atrybutów źródłowych będzie teraz zawierać dodany atrybut w formacie <attributename> (extension_<appID>_<attributename>), gdzie appID jest identyfikatorem aplikacji zastępczej w dzierżawie. Wybierz atrybut i zamapuj go na aplikację docelową na potrzeby aprowizacji.

Strona wyboru rozszerzeń katalogu kreatora Połączenie firmy Microsoft

Następnie należy wypełnić tych użytkowników przypisanych do aplikacji wymaganym atrybutem przed włączeniem aprowizacji aplikacji. Jeśli atrybut nie pochodzi z usługi Active Directory, istnieje pięć sposobów zbiorczego wypełniania użytkowników:

  • Jeśli właściwości pochodzą z systemu HR i aprowizujesz pracowników z tego systemu KADR jako użytkowników w usłudze Active Directory, skonfiguruj mapowanie z produktu Workday, SAP SuccessFactors lub jeśli używasz innego systemu KADR, przy użyciu przychodzącego interfejsu API HR do atrybutu usługi Active Directory. Następnie zaczekaj na synchronizację z chmurą microsoft Entra Połączenie lub Microsoft Entra Połączenie w chmurze, aby zsynchronizować te aktualizacje wprowadzone w schemacie usługi Active Directory i użytkowników usługi Active Directory do identyfikatora Entra firmy Microsoft.
  • Jeśli właściwości pochodzą z systemu HR i nie używasz usługi Active Directory, możesz skonfigurować mapowanie z produktu Workday, SAP SuccessFactors lub innych za pośrednictwem interfejsu API przychodzącego do atrybutu użytkownika Entra firmy Microsoft.
  • Jeśli właściwości pochodzą z innego systemu lokalnego, możesz skonfigurować Połączenie or programu MIM dla programu Microsoft Graph w celu utworzenia lub zaktualizowania użytkowników usługi Microsoft Entra.
  • Jeśli właściwości pochodzą od samych użytkowników, możesz poprosić użytkowników o podanie wartości atrybutu podczas żądania dostępu do aplikacji, uwzględniając wymagania dotyczące atrybutów w wykazie zarządzania upoważnieniami.
  • W przypadku wszystkich innych sytuacji aplikacja niestandardowa może zaktualizować użytkowników za pośrednictwem interfejsu API programu Microsoft Graph .

Następne kroki