Aprowizowanie na żądanie w identyfikatorze Entra firmy Microsoft

Aprowizacja na żądanie umożliwia aprowizowanie użytkownika lub grupy w ciągu kilku sekund. Między innymi można użyć tej funkcji do:

• Szybkie rozwiązywanie problemów z konfiguracją.
• Sprawdź poprawność zdefiniowanych wyrażeń.
• Testowanie filtrów określania zakresu.

Jak używać aprowizacji na żądanie

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.

2. Przejdź do pozycji Aplikacje tożsamości>Dla>przedsiębiorstw> wybierz aplikację.
3. Wybierz pozycję Aprowizowanie.

2. Przejdź do sekcji Identity External Identities Cross-tenant Synchronization Configurations (Tożsamości zewnętrzne tożsamości>między dzierżawami>) — Konfiguracje synchronizacji>między dzierżawami
3. Wybierz konfigurację , a następnie przejdź do strony Konfiguracja aprowizacji .

4. Skonfiguruj aprowizację, podając poświadczenia administratora.

5. Wybierz pozycję Aprowizuj na żądanie.

6. Wyszukaj użytkownika według imienia, nazwiska, nazwy wyświetlanej, głównej nazwy użytkownika lub adresu e-mail. Alternatywnie możesz wyszukać grupę i odebrać maksymalnie pięciu użytkowników.

   Uwaga

   W przypadku aplikacji aprowizacji cloud HR (Workday/SuccessFactors do usługi Active Directory/Microsoft Entra ID) wartość wejściowa jest inna. W przypadku scenariusza produktu Workday podaj wartość "WorkerID" lub "WID" użytkownika w usłudze Workday. W przypadku scenariusza SuccessFactors podaj wartość "personIdExternal" użytkownika w rozwiązaniu SuccessFactors.

7. Wybierz pozycję Aprowizuj w dolnej części strony.

   

Omówienie kroków aprowizacji

Proces aprowizacji na żądanie próbuje pokazać kroki wykonywane przez usługę aprowizacji podczas aprowizacji użytkownika. Aprowizowania użytkownika jest zwykle pięć kroków. Co najmniej jeden z tych kroków, opisany w poniższych sekcjach, jest wyświetlany podczas obsługi administracyjnej na żądanie.

Krok 1. Testowanie połączenia

Usługa aprowizacji próbuje autoryzować dostęp do systemu docelowego, wysyłając żądanie dla "użytkownika testowego". Usługa aprowizacji oczekuje odpowiedzi, która wskazuje, że usługa autoryzowana do kontynuowania kroków aprowizacji. Ten krok jest wyświetlany tylko wtedy, gdy zakończy się niepowodzeniem. Nie jest ona wyświetlana w środowisku aprowizacji na żądanie, gdy krok zakończy się pomyślnie.

Wskazówki dotyczące rozwiązywania problemów

• Upewnij się, że podano prawidłowe poświadczenia, takie jak token tajny i adres URL dzierżawy, do systemu docelowego. Wymagane poświadczenia różnią się w zależności od aplikacji. Aby uzyskać szczegółowe samouczki dotyczące konfiguracji, zobacz listę samouczków.
• Upewnij się, że system docelowy obsługuje filtrowanie pasujących atrybutów zdefiniowanych w okienku Mapowania atrybutów . Aby zrozumieć obsługiwane filtry, może być konieczne sprawdzenie dokumentacji interfejsu API dostarczonej przez dewelopera aplikacji.
• W przypadku aplikacji System for Cross-domain Identity Management (SCIM) można użyć narzędzia takiego jak Postman. Takie narzędzia ułatwiają zapewnienie, że aplikacja odpowiada na żądania autoryzacji w sposób oczekiwany przez usługę aprowizacji firmy Microsoft. Zapoznaj się z przykładowym żądaniem.

Krok 2. Importowanie użytkownika

Następnie usługa aprowizacji pobiera użytkownika z systemu źródłowego. Atrybuty użytkownika pobierane przez usługę są używane później do:

• Oceń, czy użytkownik znajduje się w zakresie aprowizacji.
• Sprawdź system docelowy dla istniejącego użytkownika.
• Określ, jakie atrybuty użytkownika mają być eksportowane do systemu docelowego.

Wyświetl szczegóły

W sekcji Wyświetlanie szczegółów przedstawiono właściwości użytkownika zaimportowanego z systemu źródłowego (na przykład Microsoft Entra ID).

Wskazówki dotyczące rozwiązywania problemów

• Importowanie użytkownika może zakończyć się niepowodzeniem, gdy brakuje odpowiedniego atrybutu w obiekcie użytkownika w systemie źródłowym. Aby rozwiązać ten problem, spróbuj wykonać jedną z następujących metod:

  • Zaktualizuj obiekt użytkownika wartością pasującego atrybutu.
  • Zmień pasujący atrybut w konfiguracji aprowizacji.

• Jeśli w importowanej liście brakuje oczekiwanego atrybutu, upewnij się, że atrybut ma wartość obiektu użytkownika w systemie źródłowym. Usługa aprowizacji obecnie nie obsługuje aprowizacji atrybutów null.

• Upewnij się, że strona Mapowanie atrybutów konfiguracji aprowizacji zawiera oczekiwany atrybut.

Krok 3. Określanie, czy użytkownik znajduje się w zakresie

Następnie usługa aprowizacji określa, czy użytkownik jest w zakresie aprowizacji. Usługa uwzględnia takie aspekty jak:

• Czy użytkownik jest przypisany do aplikacji.
• Określa, czy zakres jest ustawiony na Przypisano synchronizację, czy Synchronizuj wszystko.
• Filtry określania zakresu zdefiniowane w konfiguracji aprowizacji.

Wyświetl szczegóły

W sekcji Wyświetlanie szczegółów przedstawiono warunki określania zakresu, które zostały ocenione. Może zostać wyświetlona co najmniej jedna z następujących właściwości:

• Aktywny w systemie źródłowym wskazuje, że użytkownik ma właściwość IsActive ustawioną na wartość true w identyfikatorze Entra firmy Microsoft.
• Przypisano do aplikacji wskazuje, że użytkownik jest przypisany do aplikacji w identyfikatorze Entra firmy Microsoft.
• Synchronizacja zakresu oznacza , że ustawienie zakresu zezwala wszystkim użytkownikom i grupom w dzierżawie.
• Użytkownik ma wymaganą rolę wskazuje, że użytkownik ma niezbędne role do aprowizacji w aplikacji.
• Filtry określania zakresu są również wyświetlane, jeśli zdefiniowano filtry określania zakresu dla aplikacji. Filtr jest wyświetlany z następującym formatem: {scoping filter title} {scoping filter attribute} {scoping filter operator} {scoping filter value} {scoping filter value}.

Wskazówki dotyczące rozwiązywania problemów

• Upewnij się, że zdefiniowano prawidłową rolę określania zakresu. Na przykład unikaj używania operatora Greater_Than z wartością inną niż całkowita.
• Jeśli użytkownik nie ma niezbędnej roli, zapoznaj się z poradami dotyczącymi aprowizacji użytkowników przypisanych do domyślnej roli dostępu.

Krok 4. Dopasowanie użytkownika między elementem źródłowym i docelowym

W tym kroku usługa próbuje dopasować użytkownika, który został pobrany w kroku importu z użytkownikiem w systemie docelowym.

Wyświetl szczegóły

Na stronie Szczegóły widoku są wyświetlane właściwości użytkowników, którzy zostali dopasowani w systemie docelowym. Okienko kontekstu zmienia się w następujący sposób:

• Jeśli żaden użytkownik nie jest zgodny w systemie docelowym, żadne właściwości nie są wyświetlane.
• Jeśli jeden użytkownik pasuje do systemu docelowego, zostaną wyświetlone właściwości tego użytkownika.
• Jeśli wielu użytkowników jest zgodna, zostaną wyświetlone właściwości obu użytkowników.
• Jeśli wiele pasujących atrybutów jest częścią mapowań atrybutów, każdy pasujący atrybut jest obliczany sekwencyjnie, a dopasowani użytkownicy dla tego atrybutu są wyświetlane.

Wskazówki dotyczące rozwiązywania problemów

• Usługa aprowizacji może nie być w stanie dopasować użytkownika do systemu źródłowego unikatowo z użytkownikiem w obiekcie docelowym. Rozwiąż ten problem, upewniając się, że pasujący atrybut jest unikatowy.
• Upewnij się, że system docelowy obsługuje filtrowanie atrybutu zdefiniowanego jako pasujący atrybut.

Krok 5. Wykonywanie akcji

Na koniec usługa aprowizacji podejmuje akcję, taką jak tworzenie, aktualizowanie, usuwanie lub pomijanie użytkownika.

Oto przykład tego, co można zobaczyć po pomyślnym aprowizacji na żądanie użytkownika:

Wyświetl szczegóły

W sekcji Wyświetlanie szczegółów są wyświetlane atrybuty, które zostały zmodyfikowane w systemie docelowym. Ten ekran reprezentuje końcowe dane wyjściowe działania usługi aprowizacji i atrybuty, które zostały wyeksportowane. Jeśli ten krok zakończy się niepowodzeniem, wyświetlane atrybuty reprezentują atrybuty, które usługa aprowizacji próbowała zmodyfikować.

Wskazówki dotyczące rozwiązywania problemów

• Błędy eksportowania zmian mogą się znacznie różnić. Zapoznaj się z dokumentacją dotyczącą dzienników aprowizacji pod kątem typowych błędów.
• Aprowizacja na żądanie wskazuje, że nie można aprowizować grupy lub użytkownika, ponieważ nie są przypisane do aplikacji. Opóźnienie replikacji może potrwać do kilku minut od momentu przypisania obiektu do aplikacji i czasu, gdy to przypisanie zostanie uznane w aprowizacji na żądanie. Może być konieczne odczekenie kilku minut i ponowienie próby.

Często zadawane pytania

• Czy musisz wyłączyć aprowizację, aby korzystać z aprowizacji na żądanie? W przypadku aplikacji, które używają długotrwałego tokenu elementu nośnego lub nazwy użytkownika i hasła do autoryzacji, nie są wymagane żadne kroki. Aplikacje korzystające z protokołu OAuth do autoryzacji wymagają obecnie zatrzymania zadania aprowizacji przed użyciem aprowizacji na żądanie. Aplikacje, takie jak G Suite, Box, Workplace by Facebook i Slack, należą do tej kategorii. Trwa obsługa aprowizacji na żądanie dla wszystkich aplikacji bez konieczności zatrzymywania zadań aprowizacji.

• Jak długo trwa aprowizowanie na żądanie? Aprowizowanie na żądanie zwykle trwa mniej niż 30 sekund.

Znane ograniczenia

Obecnie istnieje kilka znanych ograniczeń aprowizacji na żądanie. Opublikuj sugestie i opinie , abyśmy mogli lepiej określić, jakie ulepszenia należy wprowadzić dalej.

Uwaga

Poniższe ograniczenia są specyficzne dla możliwości aprowizacji na żądanie. Aby uzyskać informacje o tym, czy aplikacja obsługuje grupy aprowizacji, usunięcia lub inne możliwości, zapoznaj się z samouczkiem dotyczącym tej aplikacji.

• Aprowizowanie grup na żądanie obsługuje aktualizowanie maksymalnie pięciu członków naraz. Połączenie or synchronizacji między dzierżawami, produktu Workday itp. nie obsługują aprowizacji grup i w rezultacie nie obsługują aprowizacji grup na żądanie.
• Interfejs API żądania aprowizacji na żądanie może akceptować tylko jedną grupę z maksymalnie 5 członkami naraz.

• Aprowizowanie grup na żądanie nie jest obsługiwane w przypadku synchronizacji między dzierżawami.

• Aprowizowanie na żądanie obsługuje aprowizację jednego użytkownika naraz za pośrednictwem centrum administracyjnego firmy Microsoft Entra.
• Przywracanie wcześniej nietrwałego użytkownika w dzierżawie docelowej z aprowizowaniem na żądanie nie jest obsługiwane. Jeśli spróbujesz usunąć nietrwałego użytkownika z aprowizowaniem na żądanie, a następnie przywrócić użytkownika, może to spowodować zduplikowanie użytkowników.
• Aprowizowanie ról na żądanie nie jest obsługiwane.
• Aprowizowanie na żądanie obsługuje wyłączanie użytkowników, którzy nie zostali przypisani z aplikacji. Nie obsługuje jednak wyłączania ani usuwania użytkowników, którzy zostali wyłączeni lub usunięci z identyfikatora Entra firmy Microsoft. Ci użytkownicy nie są wyświetlani podczas wyszukiwania użytkownika.
• Aprowizowanie na żądanie nie obsługuje grup zagnieżdżonych, które nie są bezpośrednio przypisane do aplikacji.

Następne kroki

• Rozwiązywanie problemów z aprowizowaniem