Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw w centrum administracyjnym firmy Microsoft Entra

  • Artykuł

W tym artykule opisano ogólne kroki zarządzania automatyczną aprowizowaniem i anulowaniem aprowizacji kont użytkowników dla aplikacji, które je obsługują. Aprowizowanie konta użytkownika to czynność tworzenia, aktualizowania i/lub wyłączania rekordów kont użytkowników w lokalnym magazynie profilów użytkowników aplikacji. Większość aplikacji w chmurze i SaaS, a także wiele aplikacji lokalnych przechowuje rolę i uprawnienia we własnym lokalnym magazynie profilów użytkowników aplikacji. Obecność takiego rekordu użytkownika w magazynie lokalnym aplikacji jest wymagana do logowania jednokrotnego i dostępu do pracy. Aby dowiedzieć się więcej na temat automatycznej aprowizacji kont użytkowników, zobacz Automate User Provisioning and Deprovisioning to SaaS Applications with Microsoft Entra ID (Automatyzowanie aprowizacji użytkowników i anulowanie aprowizacji w aplikacjach SaaS przy użyciu identyfikatora entra firmy Microsoft).

Ważne

Microsoft Entra ID zawiera galerię zawierającą tysiące wstępnie zintegrowanych aplikacji, które są włączone do automatycznej aprowizacji za pomocą identyfikatora Entra firmy Microsoft. Zacznij od znalezienia samouczka dotyczącego konfiguracji aprowizacji specyficznego dla aplikacji na liście samouczków dotyczących sposobu integrowania aplikacji SaaS z identyfikatorem Entra firmy Microsoft. Prawdopodobnie znajdziesz wskazówki krok po kroku dotyczące konfigurowania zarówno aplikacji, jak i identyfikatora Entra firmy Microsoft w celu utworzenia połączenia aprowizacji.

Znajdowanie aplikacji w portalu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Użyj centrum administracyjnego firmy Microsoft Entra, aby wyświetlić wszystkie aplikacje skonfigurowane do logowania jednokrotnego w katalogu i zarządzać nimi. Aplikacje dla przedsiębiorstw to aplikacje, które są wdrażane i używane w organizacji. Wykonaj następujące kroki, aby wyświetlić aplikacje dla przedsiębiorstw i zarządzać nimi:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

  3. Zostanie wyświetlona lista wszystkich skonfigurowanych aplikacji, w tym aplikacji dodanych z galerii.

  4. Wybierz dowolną aplikację, aby załadować okienko zasobów, w którym można wyświetlać raporty i zarządzać ustawieniami aplikacji.

  5. Wybierz pozycję Aprowizowanie , aby zarządzać ustawieniami aprowizacji kont użytkowników dla wybranej aplikacji.

    Ekran aprowizacji umożliwiający zarządzanie ustawieniami aprowizacji kont użytkowników

Tryby aprowizacji

Okienko Aprowizacja rozpoczyna się od menu Tryb , w którym są wyświetlane tryby aprowizacji obsługiwane przez aplikację dla przedsiębiorstw i pozwala je skonfigurować. Dostępne opcje obejmują:

  • Automatycznie — ta opcja jest wyświetlana, jeśli identyfikator entra firmy Microsoft obsługuje automatyczną aprowizację kont użytkowników w tej aplikacji lub jej anulowanie aprowizacji. Wybierz ten tryb, aby wyświetlić interfejs ułatwiając administratorom:

    • Konfigurowanie identyfikatora entra firmy Microsoft w celu nawiązania połączenia z interfejsem API zarządzania użytkownikami aplikacji
    • Tworzenie mapowań kont i przepływów pracy definiujących sposób przepływu danych konta użytkownika między identyfikatorem Entra firmy Microsoft i aplikacją
    • Zarządzanie usługą aprowizacji firmy Microsoft

  • Ręczne — ta opcja jest wyświetlana, jeśli identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji kont użytkowników w tej aplikacji. W takim przypadku rekordy konta użytkownika przechowywane w aplikacji muszą być zarządzane przy użyciu procesu zewnętrznego w oparciu o możliwości zarządzania użytkownikami i aprowizowania udostępniane przez tę aplikację (które mogą obejmować aprowizowanie just-in-time SAML).

Konfigurowanie automatycznej aprowizacji konta użytkownika

Wybierz opcję Automatyczna, aby określić ustawienia poświadczeń administratora, mapowań, uruchamiania i zatrzymywania oraz synchronizacji.

poświadczenia Administracja

Rozwiń węzeł Administracja Poświadczenia, aby wprowadzić poświadczenia wymagane dla identyfikatora Entra firmy Microsoft w celu nawiązania połączenia z interfejsem API zarządzania użytkownikami aplikacji. Wymagane dane wejściowe różnią się w zależności od aplikacji. Aby dowiedzieć się więcej o typach poświadczeń i wymaganiach dotyczących określonych aplikacji, zobacz samouczek konfiguracji dla tej konkretnej aplikacji.

Wybierz pozycję Testuj Połączenie ion, aby przetestować poświadczenia, próbując połączyć się z aplikacją aprowizacji aplikacji przy użyciu podanych poświadczeń.

Mapowania

Rozwiń węzeł Mapowania, aby wyświetlić i edytować atrybuty użytkownika, które przepływają między identyfikatorem Entra firmy Microsoft i aplikacją docelową po aprowizacji lub aktualizowaniu kont użytkowników.

Istnieje wstępnie skonfigurowany zestaw mapowań między obiektami użytkownika Firmy Microsoft Entra i obiektami użytkownika każdej aplikacji SaaS. Niektóre aplikacje zarządzają również obiektami grupowymi. Wybierz mapowanie w tabeli, aby otworzyć edytor mapowania, w którym można je wyświetlić i dostosować.

Obsługiwane dostosowania obejmują:

  • Włączanie i wyłączanie mapowań dla określonych obiektów, takich jak obiekt użytkownika Microsoft Entra, do obiektu użytkownika aplikacji SaaS.

  • Edytowanie atrybutów, które przepływają z obiektu użytkownika Microsoft Entra do obiektu użytkownika aplikacji. Aby uzyskać więcej informacji na temat mapowania atrybutów, zobacz Opis typów mapowania atrybutów.

  • Filtrowanie akcji aprowizacji uruchamianych przez identyfikator Entra firmy Microsoft w docelowej aplikacji. Zamiast mieć w pełni zsynchronizowane obiekty identyfikatora Entra firmy Microsoft, można ograniczyć przebieg akcji.

    Na przykład wybierz pozycję Aktualizuj , a firma Microsoft Entra-only aktualizuje istniejące konta użytkowników w aplikacji, ale nie tworzy nowych. Wybierz pozycję Utwórz i platforma Azure tworzy tylko nowe konta użytkowników, ale nie aktualizuje istniejących. Ta funkcja umożliwia administratorom tworzenie różnych mapowań na potrzeby tworzenia konta i aktualizowania przepływów pracy.

  • Dodawanie nowego mapowania atrybutów. Wybierz pozycję Dodaj nowe mapowanie w dolnej części okienka Mapowanie atrybutów. Wypełnij formularz Edytuj atrybut i wybierz przycisk OK, aby dodać nowe mapowanie do listy.

Ustawienia

Rozwiń Ustawienia, aby ustawić adres e-mail, aby otrzymywać powiadomienia i czy otrzymywać alerty dotyczące błędów. Wybierz również zakres użytkowników do synchronizacji. Wybierz synchronizację wszystkich użytkowników i grup lub tylko przypisanych użytkowników.

Stan aprowizacji

Jeśli aprowizacja jest włączana po raz pierwszy dla aplikacji, włącz usługę, zmieniając stan aprowizacji na . Ta zmiana powoduje, że usługa aprowizacji firmy Microsoft uruchamia cykl początkowy. Odczytuje on użytkowników przypisanych w sekcji Użytkownicy i grupy, wykonuje zapytania dotyczące aplikacji docelowej dla nich, a następnie uruchamia akcje aprowizacji zdefiniowane w sekcji Mapowania identyfikatorów entra firmy Microsoft. W trakcie tego procesu usługa aprowizacji przechowuje buforowane dane dotyczące kont użytkowników, które zarządza. Usługa przechowuje buforowane dane, więc konta niezarządzane w aplikacjach docelowych, które nigdy nie były w zakresie przypisania, nie mają wpływu na operacje anulowania aprowizacji. Po cyklu początkowym usługa aprowizacji automatycznie synchronizuje obiekty użytkowników i grup w interwale czterdzieści minut.

Zmień stan aprowizacji na Wyłączone, aby wstrzymać usługę aprowizacji. W tym stanie platforma Azure nie tworzy, aktualizuje ani nie usuwa żadnych obiektów użytkowników ani grup w aplikacji. Zmień stan z powrotem na Wł. , a usługa wybiera miejsce, w którym została przerwana.