Sprawdzanie stanu aprowizacji użytkowników
Usługa aprowizacji Azure AD uruchamia początkowy cykl aprowizacji względem systemu źródłowego i systemu docelowego, a następnie okresowe cykle przyrostowe. Podczas konfigurowania aprowizacji dla aplikacji można sprawdzić bieżący stan usługi aprowizacji i sprawdzić, kiedy użytkownik będzie mógł uzyskać dostęp do aplikacji.
Wyświetlanie paska postępu aprowizacji
Na stronie Aprowizowanie aplikacji możesz wyświetlić stan usługi aprowizacji Azure AD. W sekcji Bieżący stan w dolnej części strony pokazano, czy cykl aprowizacji rozpoczął aprowizowanie kont użytkowników. Możesz obejrzeć postęp cyklu, zobaczyć, ilu użytkowników i grup zostało aprowizowanych, i zobaczyć, ile ról zostało utworzonych.
Podczas pierwszego konfigurowania automatycznej aprowizacji sekcja Bieżący stan w dolnej części strony pokazuje stan początkowego cyklu aprowizacji. Ta sekcja jest aktualizowana przy każdym uruchomieniu cyklu przyrostowego. Zostaną wyświetlone następujące szczegóły:
- Typ cyklu aprowizacji (początkowy lub przyrostowy), który jest aktualnie uruchomiony lub został ostatnio ukończony.
- Pasek postępu przedstawiający procent ukończonego cyklu aprowizacji. Wartość procentowa odzwierciedla liczbę zaaprowizowanych stron. Należy pamiętać, że każda strona może zawierać wielu użytkowników lub grup, dlatego wartość procentowa nie jest bezpośrednio skorelowana z liczbą użytkowników, grup lub ról aprowizowania.
- Przycisk Odśwież , którego można użyć do aktualizowania widoku.
- Liczba użytkowników i grup w magazynie danych łącznika. Liczba zwiększa się za każdym razem, gdy obiekt zostanie dodany do zakresu aprowizacji. Liczba nie spadnie, jeśli użytkownik zostanie usunięty nietrwale lub trwale usunięty, ponieważ nie spowoduje to usunięcia obiektu z magazynu danych łącznika. Liczba zostanie ponownie obliczona podczas pierwszej synchronizacji po zresetowaniu usługi CDS
- Link Wyświetl dzienniki inspekcji, który otwiera dzienniki aprowizacji Azure AD, aby uzyskać szczegółowe informacje o wszystkich operacjach uruchamianych przez usługę aprowizacji użytkowników, w tym o stanie aprowizacji dla poszczególnych użytkowników (zobacz sekcję Korzystanie z dzienników aprowizacji poniżej).
Po zakończeniu cyklu aprowizacji sekcja Statystyki do daty przedstawia skumulowaną liczbę użytkowników i grup, które zostały aprowizowane do tej pory, wraz z datą ukończenia i czasem trwania ostatniego cyklu. Identyfikator działania jednoznacznie identyfikuje najnowszy cykl aprowizacji. Identyfikator zadania jest unikatowym identyfikatorem zadania aprowizacji i jest specyficzny dla aplikacji w dzierżawie.
Postęp aprowizacji można wyświetlić w Azure Portal na karcie Aprowizowanie w usłudze Azure Active Directory > Enterprise Apps > [nazwa aplikacji]. >
Sprawdzanie stanu aprowizacji użytkownika przy użyciu dzienników aprowizacji
Aby wyświetlić stan aprowizacji wybranego użytkownika, zapoznaj się z dziennikami aprowizacji (wersja zapoznawcza) w Azure AD. Wszystkie operacje uruchamiane przez usługę aprowizacji użytkowników są rejestrowane w dziennikach aprowizacji Azure AD. Obejmuje to wszystkie operacje odczytu i zapisu wykonane w systemach źródłowych i docelowych oraz dane użytkownika, które zostały odczytane lub zapisane podczas każdej operacji.
Możesz uzyskać dostęp do dzienników aprowizacji w Azure Portal, wybierając pozycję Dzienniki aprowizacji aplikacji usługi Azure Active Directory>Enterprise (>wersja zapoznawcza) w sekcji Działanie. Dane aprowizacji można przeszukiwać na podstawie nazwy użytkownika lub identyfikatora w systemie źródłowym lub docelowym. Aby uzyskać szczegółowe informacje, zobacz Aprowizacja dzienników (wersja zapoznawcza).
Dzienniki aprowizacji rejestrują wszystkie operacje wykonywane przez usługę aprowizacji, w tym:
- Wykonywanie zapytań Azure AD dla przypisanych użytkowników, którzy mają zakres aprowizacji
- Wykonywanie zapytań dotyczących aplikacji docelowej pod kątem istnienia tych użytkowników
- Porównywanie obiektów użytkownika między systemem
- Dodawanie, aktualizowanie lub wyłączanie konta użytkownika w systemie docelowym na podstawie porównania
Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji w Azure Portal, zobacz przewodnik raportowania aprowizacji.
Jak długo potrwa aprowizowania użytkowników?
W przypadku korzystania z automatycznej aprowizacji użytkowników w aplikacji Azure AD automatycznie aprowizować i aktualizować konta użytkowników w aplikacji w oparciu o takie rzeczy jak przypisanie użytkowników i grup w regularnym przedziale czasu, zazwyczaj co 40 minut.
Czas potrzebny na aprowizację danego użytkownika zależy głównie od tego, czy zadanie aprowizacji uruchamia cykl początkowy, czy cykl przyrostowy.
W przypadku cyklu początkowego czas zadania zależy od wielu czynników, w tym liczby użytkowników i grup w zakresie aprowizacji oraz całkowitej liczby użytkowników i grup w systemie źródłowym. Pierwsza synchronizacja między Azure AD a aplikacją może potrwać od 20 minut do kilku godzin, w zależności od rozmiaru katalogu Azure AD i liczby użytkowników w zakresie aprowizacji. Kompleksowa lista czynników wpływających na wydajność cyklu początkowego zostanie podsumowana w dalszej części tej sekcji.
W przypadku cykli przyrostowych po cyklu początkowym czasy zadań wydają się być szybsze (np. w ciągu 10 minut), ponieważ usługa aprowizacji przechowuje znaki wodne reprezentujące stan obu systemów po cyklu początkowym, zwiększając wydajność kolejnych synchronizacji. Czas zadania zależy od liczby zmian wykrytych w tym cyklu aprowizacji. Jeśli liczba użytkowników lub członkostwa w grupie jest mniejsza niż 5000, zadanie może zakończyć się w ramach jednego cyklu aprowizacji przyrostowej.
Poniższa tabela zawiera podsumowanie czasów synchronizacji dla typowych scenariuszy aprowizacji. W tych scenariuszach system źródłowy jest Azure AD, a system docelowy to aplikacja SaaS. Czasy synchronizacji pochodzą z statystycznej analizy zadań synchronizacji dla aplikacji SaaS ServiceNow, Workplace, Salesforce i G Suite.
| Konfiguracja zakresu | Użytkownicy, grupy i członkowie w zakresie | Początkowy czas cyklu | Czas cyklu przyrostowego |
|---|---|---|---|
| Synchronizowanie przypisanych użytkowników i grup tylko | < 1,000 | < 30 minut | < 30 minut |
| Synchronizowanie przypisanych użytkowników i grup tylko | 1,000 - 10,000 | 142–708 minut | < 30 minut |
| Synchronizowanie przypisanych użytkowników i grup tylko | 10,000 - 100,000 | 1170 – 2340 minut | < 30 minut |
| Synchronizuj wszystkich użytkowników i grupy w Azure AD | < 1,000 | < 30 minut | < 30 minut |
| Synchronizuj wszystkich użytkowników i grupy w Azure AD | 1,000 - 10,000 | < 30–120 minut | < 30 minut |
| Synchronizuj wszystkich użytkowników i grupy w Azure AD | 10,000 - 100,000 | 713 – 1425 minut | < 30 minut |
| Synchronizuj wszystkich użytkowników w Azure AD | < 1,000 | < 30 minut | < 30 minut |
| Synchronizuj wszystkich użytkowników w Azure AD | 1,000 - 10,000 | 43 – 86 minut | < 30 minut |
Tylko w przypadku konfiguracji Synchronizacja przypisana przez użytkownika i grupy można użyć następujących formuł, aby określić przybliżony minimalny i maksymalny oczekiwany czas cyklu początkowego :
- Minimalna liczba minut = 0,01 x [Liczba przypisanych użytkowników, grup i członków grupy]
- Maksymalna liczba minut = 0,08 x [liczba przypisanych użytkowników, grup i członków grupy]
Podsumowanie czynników wpływających na czas potrzebny do ukończenia cyklu początkowego:
Łączna liczba użytkowników i grup w zakresie aprowizacji.
Całkowita liczba użytkowników, grup i członków grupy znajdujących się w systemie źródłowym (Azure AD).
Niezależnie od tego, czy użytkownicy w zakresie aprowizacji są dopasowywani do istniejących użytkowników w aplikacji docelowej, czy też muszą zostać utworzeni po raz pierwszy. Zadania synchronizacji, dla których wszyscy użytkownicy są tworzone po raz pierwszy, trwają około dwa razy dłużej niż zadania synchronizacji, dla których wszyscy użytkownicy są zgodni z istniejącymi użytkownikami.
Liczba błędów w dziennikach aprowizacji. Wydajność jest wolniejsza, jeśli występuje wiele błędów, a usługa aprowizacji przeszła w stan kwarantanny.
Limity szybkości żądań i ograniczanie przepustowości zaimplementowane przez system docelowy. Niektóre systemy docelowe implementują limity szybkości żądań i ograniczanie przepustowości, co może mieć wpływ na wydajność podczas dużych operacji synchronizacji. W tych warunkach aplikacja, która odbiera zbyt wiele żądań zbyt szybko, może spowolnić szybkość odpowiedzi lub zamknąć połączenie. Aby zwiększyć wydajność, łącznik musi dostosować się, nie wysyłając żądań aplikacji szybciej niż aplikacja może je przetworzyć. Aprowizacja łączników utworzonych przez firmę Microsoft wprowadza tę korektę.
Liczba i rozmiary przypisanych grup. Synchronizowanie przypisanych grup trwa dłużej niż synchronizowanie użytkowników. Zarówno liczba, jak i rozmiary przypisanych grup wpływają na wydajność. Jeśli aplikacja ma włączone mapowania na potrzeby synchronizacji obiektów grupy, właściwości grupy, takie jak nazwy grup i członkostwa, są synchronizowane oprócz użytkowników. Te dodatkowe synchronizacje będą trwać dłużej niż tylko synchronizowanie obiektów użytkownika.
Jeśli wydajność stanie się problemem i próbujesz aprowizować większość użytkowników i grup w dzierżawie, użyj filtrów określania zakresu. Filtry określania zakresu umożliwiają dostosowanie danych wyodrębnianych przez usługę aprowizacji z Azure AD przez odfiltrowanie użytkowników na podstawie określonych wartości atrybutów. Aby uzyskać więcej informacji na temat filtrów określania zakresu, zobacz Aprowizowanie aplikacji opartej na atrybutach z filtrami określania zakresu.