Partilhar via


Tutorial - Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID

O Microsoft Entra ID fornece suporte para provisionamento de usuários para aplicativos SaaS que não são da Microsoft, como Salesforce, G Suite e outros. Se você habilitar o provisionamento de usuário para um aplicativo SaaS que não seja da Microsoft, o centro de administração do Microsoft Entra controlará seus valores de atributo por meio de mapeamentos de atributo.

Antes de começar, certifique-se de que está familiarizado com os conceitos de gestão de aplicações e início de sessão único (SSO). Confira os links a seguir:

Há um conjunto pré-configurado de atributos e mapeamentos de atributos entre os objetos de usuário do Microsoft Entra e os objetos de usuário de cada aplicativo SaaS. Algumas aplicações gerem outros tipos de objetos juntamente com Utilizadores, como Grupos.

Você pode personalizar os mapeamentos de atributos padrão de acordo com suas necessidades de negócios. Portanto, você pode alterar ou excluir mapeamentos de atributos existentes ou criar novos mapeamentos de atributos.

Nota

Além de configurar mapeamentos de atributos por meio da interface do Microsoft Entra, você pode revisar, baixar e editar a representação JSON do seu esquema.

Editando mapeamentos de atributos do usuário

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Siga estas etapas para acessar o recurso Mapeamentos do provisionamento do usuário:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

  3. É apresentada uma lista de todas as aplicações configuradas, incluindo as aplicações que foram adicionadas a partir da galeria.

  4. Selecione qualquer aplicativo para carregar seu painel de gerenciamento de aplicativos, onde você pode exibir relatórios e gerenciar as configurações do aplicativo.

  5. Selecione Provisionamento para gerenciar as configurações de provisionamento de conta de usuário para o aplicativo selecionado.

  6. Expanda Mapeamentos para exibir e editar os atributos de usuário que fluem entre o ID do Microsoft Entra e o aplicativo de destino. Se o aplicativo de destino oferecer suporte a ele, esta seção permitirá que você configure opcionalmente o provisionamento de grupos e contas de usuário.

    Usar mapeamentos para exibir e editar atributos do usuário

  7. Selecione uma configuração de Mapeamentos para abrir a tela Mapeamento de atributos relacionada. Os aplicativos SaaS exigem determinados mapeamentos de atributos para funcionar corretamente. Para atributos necessários, o recurso Excluir não está disponível.

    Usar o Mapeamento de Atributos para configurar mapeamentos de atributos para aplicativos

    Nesta captura de tela, você pode ver que o atributo Username de um objeto gerenciado no Salesforce é preenchido com o valor userPrincipalName do objeto vinculado do Microsoft Entra.

    Nota

    Limpar Criar não afeta os usuários existentes. Se Criar não estiver selecionado, não será possível criar novos usuários.

  8. Selecione um mapeamento de atributo existente para abrir a tela Editar atributo. Aqui você pode editar os atributos de usuário que fluem entre o Microsoft Entra ID e o aplicativo de destino.

    Usar Editar Atributo para editar atributos de usuário

Noções básicas sobre tipos de mapeamento de atributos

Com mapeamentos de atributos, você controla como os atributos são preenchidos em um aplicativo SaaS que não é da Microsoft. Há quatro tipos diferentes de mapeamento suportados:

  • Direto – o atributo de destino é preenchido com o valor de um atributo do objeto vinculado no ID do Microsoft Entra.
  • Constante – o atributo de destino é preenchido com uma cadeia de caracteres específica especificada.
  • Expressão - o atributo de destino é preenchido com base no resultado de uma expressão semelhante a um script. Para obter mais informações sobre expressões, consulte Escrevendo expressões para mapeamentos de atributos no Microsoft Entra ID.
  • Nenhum - o atributo de destino é deixado sem modificações. No entanto, se o atributo de destino estiver vazio, ele será preenchido com o valor padrão especificado.

Junto com esses quatro tipos básicos, mapeamentos de atributos personalizados suportam o conceito de uma atribuição de valor padrão opcional. A atribuição de valor padrão garante que um atributo de destino seja preenchido com um valor se não houver um valor na ID do Microsoft Entra ou no objeto de destino. A configuração mais comum é deixar isso em branco. Para obter mais informações sobre o mapeamento de atributos, consulte Como funciona o provisionamento de aplicativos no Microsoft Entra ID.

Noções básicas sobre propriedades de mapeamento de atributos

Na seção anterior, você foi apresentado à propriedade de tipo de mapeamento de atributo. Junto com essa propriedade, mapeamentos de atributos também suportam os atributos:

  • Atributo de origem - O atributo de usuário do sistema de origem (exemplo: ID do Microsoft Entra).
  • Atributo de destino – O atributo de usuário no sistema de destino (exemplo: ServiceNow).
  • Valor padrão se nulo (opcional) - O valor que é passado para o sistema de destino se o atributo de origem for nulo. Esse valor só é provisionado quando um usuário é criado. O "valor padrão quando nulo" não é provisionado ao atualizar um usuário existente. Por exemplo, adicione um valor padrão para o cargo, ao criar um usuário, com a expressão: Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]). Para obter mais informações sobre expressões, consulte Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID.
  • Corresponder objetos usando esse atributo – Se esse mapeamento deve ser usado para identificar exclusivamente os usuários entre os sistemas de origem e de destino. Usado no userPrincipalName atributo de email no ID do Microsoft Entra e mapeado para um campo de nome de usuário em um aplicativo de destino.
  • Precedência correspondente – Vários atributos correspondentes podem ser definidos. Quando há vários, eles são avaliados na ordem definida por este campo. Assim que uma correspondência é encontrada, nenhum outro atributo correspondente é avaliado. Embora você possa definir quantos atributos correspondentes desejar, considere se os atributos que você está usando como atributos correspondentes são realmente exclusivos e precisam ser atributos correspondentes. Geralmente, os clientes têm um ou dois atributos correspondentes em sua configuração.
  • Aplique o mapeamento.
    • Sempre – Aplique esse mapeamento nas ações de criação e atualização do usuário.
    • Somente durante a criação - Aplique esse mapeamento somente em ações de criação de usuário.

Correspondência de usuários nos sistemas de origem e de destino

O serviço de provisionamento Microsoft Entra pode ser implantado em cenários de "campo verde" (onde os usuários não existem no sistema de destino) e cenários de "brownfield" (onde os usuários já existem no sistema de destino). Para oferecer suporte a ambos os cenários, o serviço de provisionamento usa o conceito de atributos correspondentes. Os atributos correspondentes permitem determinar como identificar exclusivamente um usuário na origem e corresponder ao usuário no destino. Como parte do planejamento de sua implantação, identifique o atributo que pode ser usado para identificar exclusivamente um usuário nos sistemas de origem e de destino. Aspetos a ter em conta:

  • Os atributos correspondentes devem ser exclusivos: os clientes geralmente usam atributos como userPrincipalName, mail ou ID de objeto como o atributo correspondente.
  • Vários atributos podem ser usados como atributos correspondentes: você pode definir vários atributos a serem avaliados ao fazer a correspondência de usuários e a ordem em que eles são avaliados (definida como precedência correspondente na interface do usuário). Se, por exemplo, você definir três atributos como atributos correspondentes e um usuário for correspondido exclusivamente depois de avaliar os dois primeiros atributos, o serviço não avaliará o terceiro atributo. O serviço avalia atributos correspondentes na ordem especificada e para de avaliar quando uma correspondência é encontrada.
  • O valor na origem e o destino não precisam corresponder exatamente: O valor no destino pode ser uma função do valor na origem. Assim, pode-se ter um atributo emailAddress na origem e userPrincipalName no destino e corresponder por uma função do atributo emailAddress que substitui alguns caracteres por algum valor constante.
  • Não há suporte para correspondência com base em uma combinação de atributos: a maioria dos aplicativos não oferece suporte a consultas com base em duas propriedades. Portanto, não é possível fazer a correspondência com base em uma combinação de atributos. É possível avaliar propriedades individuais após as outras.
  • Todos os usuários devem ter um valor para pelo menos um atributo correspondente: Se você definir um atributo correspondente, todos os usuários deverão ter um valor para esse atributo no sistema de origem. Se, por exemplo, você definir userPrincipalName como o atributo correspondente, todos os usuários deverão ter um userPrincipalName. Se você definir vários atributos correspondentes (por exemplo, extensionAttribute1 e mail), nem todos os usuários precisarão ter o mesmo atributo correspondente. Um usuário pode ter um extensionAttribute1 mas não email, enquanto outro usuário pode ter mail, mas não extensionAttribute1.
  • O aplicativo de destino deve oferecer suporte à filtragem no atributo correspondente: os desenvolvedores de aplicativos permitem a filtragem de um subconjunto de atributos em sua API de usuário ou grupo. Para aplicativos na galeria, garantimos que o mapeamento de atributo padrão seja para um atributo no qual a API do aplicativo de destino oferece suporte à filtragem. Ao alterar o atributo de correspondência padrão para o aplicativo de destino, verifique a documentação da API que não seja da Microsoft para garantir que o atributo possa ser filtrado.

Editando mapeamentos de atributos de grupo

Um número selecionado de aplicações, como ServiceNow, Box e G Suite, suporta a capacidade de provisionar objetos de grupo e de utilizador. Os objetos de grupo podem conter propriedades de grupo, como nomes para exibição e aliases de email, juntamente com membros do grupo.

Exemplo mostra ServiceNow com objetos Group e User provisionados

O provisionamento de grupo pode ser opcionalmente habilitado ou desabilitado selecionando o mapeamento de grupo em Mapeamentos e definindo Habilitado para a opção desejada na tela Mapeamento de Atributos.

Os atributos provisionados como parte de objetos Group podem ser personalizados da mesma maneira que os objetos User, descritos anteriormente.

Gorjeta

O provisionamento de objetos de grupo (propriedades e membros) é um conceito distinto da atribuição de grupos a um aplicativo. É possível atribuir um grupo a um aplicativo, mas apenas provisionar os objetos de usuário contidos no grupo. O provisionamento de objetos de grupo completos não é necessário para usar grupos em atribuições.

Editando a lista de atributos suportados

Os atributos de usuário suportados para um determinado aplicativo são pré-configurados. A maioria das APIs de gerenciamento de usuários do aplicativo não oferece suporte à descoberta de esquema. Portanto, o serviço de provisionamento do Microsoft Entra não é capaz de gerar dinamicamente a lista de atributos suportados fazendo chamadas para o aplicativo.

No entanto, alguns aplicativos oferecem suporte a atributos personalizados e o serviço de provisionamento do Microsoft Entra pode ler e gravar em atributos personalizados. Para inserir suas definições no centro de administração do Microsoft Entra, marque a caixa de seleção Mostrar opções avançadas na parte inferior da tela Mapeamento de atributos e selecione Editar lista de atributos para seu aplicativo.

Os aplicativos e sistemas que suportam a personalização da lista de atributos incluem:

Nota

A edição da lista de atributos suportados só é recomendada para administradores que personalizaram o esquema de seus aplicativos e sistemas e têm conhecimento em primeira mão de como seus atributos personalizados foram definidos ou se um atributo de origem não é exibido automaticamente na interface do usuário do centro de administração do Microsoft Entra. Isso às vezes requer familiaridade com as APIs e ferramentas de desenvolvedor fornecidas por um aplicativo ou sistema. A capacidade de editar a lista de atributos suportados é bloqueada por padrão, mas os clientes podem habilitar o recurso navegando até a seguinte URL: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true . Em seguida, você pode navegar até seu aplicativo para exibir a lista de atributos.

Nota

Quando um atributo de extensão de diretório no Microsoft Entra ID não aparece automaticamente na lista suspensa de mapeamento de atributos, você pode adicioná-lo manualmente à "lista de atributos do Microsoft Entra". Ao adicionar manualmente atributos de extensão de diretório do Microsoft Entra ao seu aplicativo de provisionamento, observe que os nomes de atributos de extensão de diretório diferenciam maiúsculas de minúsculas. Por exemplo: Se você tiver um atributo de extensão de diretório chamado extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenter, certifique-se de inseri-lo no mesmo formato definido no diretório. Não há suporte para o provisionamento de atributos de extensão de diretório de vários valores.

Quando você está editando a lista de atributos suportados, as seguintes propriedades são fornecidas:

  • Nome - O nome do sistema do atributo, conforme definido no esquema do objeto de destino.
  • Type - O tipo de dados que o atributo armazena, conforme definido no esquema do objeto de destino, que pode ser um dos seguintes tipos.
    • Binário - O atributo contém dados binários.
    • Boolean - Atributo contém um valor True ou False.
    • DateTime - O atributo contém uma cadeia de caracteres de data.
    • Inteiro - O atributo contém um inteiro.
    • Referência - O atributo contém uma ID que faz referência a um valor armazenado em outra tabela no aplicativo de destino.
    • String - O atributo contém uma cadeia de texto.
  • Chave primária? - Se o atributo é definido como um campo de chave primária no esquema do objeto de destino.
  • Necessária? - Se o atributo deve ser preenchido no aplicativo ou sistema de destino.
  • Multivalor? - Se o atributo suporta vários valores.
  • Caso exato? - Se os valores dos atributos são avaliados de forma sensível a maiúsculas e minúsculas.
  • Expressão de API - Não use, a menos que seja instruído a fazê-lo pela documentação para um conector de provisionamento específico (como Workday).
  • Atributo de objeto referenciado - Se for um atributo de tipo de referência, esse menu permite selecionar a tabela e o atributo no aplicativo de destino que contém o valor associado ao atributo. Por exemplo, se você tiver um atributo chamado "Departamento" cujo valor armazenado faça referência a um objeto em uma tabela separada "Departamentos", selecione Departments.Name. As tabelas de referência e os campos de ID primários suportados para um determinado aplicativo são pré-configurados e não podem ser editados usando o centro de administração do Microsoft Entra. No entanto, você pode editá-los usando a API do Microsoft Graph.

Provisionamento de um atributo de extensão personalizado para um aplicativo compatível com SCIM

O SCIM Request for Comments (RFC) define um esquema principal de usuário e grupo, ao mesmo tempo em que permite extensões para o esquema para atender às necessidades do seu aplicativo. Para adicionar um atributo personalizado a um aplicativo SCIM:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.
  3. Selecione seu aplicativo e, em seguida, selecione Provisionamento.
  4. Em Mapeamentos, selecione o objeto (usuário ou grupo) ao qual você deseja adicionar um atributo personalizado.
  5. Na parte inferior da página, selecione Mostrar opções avançadas.
  6. Selecione Editar lista de atributos para AppName.
  7. Na parte inferior da lista de atributos, insira informações sobre o atributo personalizado nos campos fornecidos. Em seguida, selecione Adicionar atributo.

Para aplicativos SCIM, o nome do atributo deve seguir o padrão mostrado no exemplo. O "CustomExtensionName" e o "CustomAttribute" podem ser personalizados de acordo com os requisitos do seu aplicativo, por exemplo: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute

Estas instruções só são aplicáveis a aplicações compatíveis com SCIM. Aplicativos como ServiceNow e Salesforce não são integrados ao Microsoft Entra ID usando SCIM e, portanto, não exigem esse namespace específico ao adicionar um atributo personalizado.

Os atributos personalizados não podem ser atributos referenciais, atributos de vários valores ou atributos de tipo complexo. Atualmente, atributos de extensão personalizados de vários valores e tipos complexos são suportados apenas para aplicativos na galeria. O cabeçalho do esquema de extensão personalizado é omitido no exemplo porque não é enviado em solicitações do cliente Microsoft Entra SCIM.

Exemplo de representação de um usuário com um atributo de extensão:

{
  "schemas":[
    "urn:ietf:params:scim:schemas:core:2.0:User",
      "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
  ],
  "userName":"bjensen",
  "id": "48af03ac28ad4fb88478",
  "externalId":"bjensen",
  "name":{
    "formatted":"Ms. Barbara J Jensen III",
    "familyName":"Jensen",
    "givenName":"Barbara"
  },
  "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
    "employeeNumber": "701984",
    "costCenter": "4130",
    "organization": "Universal Studios",
    "division": "Theme Park",
    "department": "Tour Operations",
    "manager": {
      "value": "26118915-6090-4610-87e4-49d8ca9f808d",
      "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
      "displayName": "John Smith"
    }
  },
  "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
    "CustomAttribute": "701984",
  },
  "meta": {
    "resourceType": "User",
    "created": "2010-01-23T04:56:22Z",
    "lastModified": "2011-05-13T04:42:34Z",
    "version": "W\/\"3694e05e9dff591\"",
    "location": "https://example.com/v2/Users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
  }
}

Provisionando uma função para um aplicativo SCIM

Use as etapas no exemplo para provisionar funções de aplicativo para um usuário para seu aplicativo. A descrição é específica para aplicativos SCIM personalizados. Para aplicativos de galeria, como Salesforce e ServiceNow, use os mapeamentos de função predefinidos. Os marcadores descrevem como transformar o atributo AppRoleAssignments para o formato esperado pelo aplicativo.

  • O mapeamento de um appRoleAssignment na ID do Microsoft Entra para uma função em seu aplicativo requer que você transforme o atributo usando uma expressão. O atributo appRoleAssignment não deve ser mapeado diretamente para um atributo role sem usar uma expressão para analisar os detalhes da função.

Nota

Ao provisionar funções de aplicativos corporativos, o padrão SCIM define os atributos de função de usuário corporativo de forma diferente. Para obter mais informações, consulte Desenvolver e planejar o provisionamento para um ponto de extremidade SCIM no Microsoft Entra ID.

SingleAppRoleAssignment

Quando usar: use a expressão SingleAppRoleAssignment para provisionar uma única função para um usuário e especificar a função principal.

Como configurar: use as etapas descritas para navegar até a página de mapeamentos de atributos e use a expressão SingleAppRoleAssignment para mapear para o atributo roles. Há três atributos de função para escolher (roles[primary eq "True"].display, roles[primary eq "True"].typee roles[primary eq "True"].value). Você pode optar por incluir qualquer um ou todos os atributos de função em seus mapeamentos. Se você quiser incluir mais de um, basta adicionar um novo mapeamento e incluí-lo como o atributo de destino.

Adicionar SingleAppRoleAssignment

Aspetos a considerar

  • Certifique-se de que várias funções não estão atribuídas a um utilizador. Não há garantia de qual função será provisionada.
  • Verifique o SingleAppRoleAssignments atributo. O atributo não é compatível com a definição de escopo como Sync All users and groups.

Exemplo de pedido (POST)

{
    "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
    "externalId": "alias",
    "userName": "alias@contoso.OnMicrosoft.com",
    "active": true,
    "displayName": "First Name Last Name",
    "meta": {
        "resourceType": "User"
    },
    "roles": [{
        "primary": true,
        "type": "WindowsAzureActiveDirectoryRole",
        "value": "Admin"
        }
]}

Exemplo de saída (PATCH)

"Operations": [
{
    "op": "Add",
    "path": "roles",
    "value": [{
        "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
        }
    ]
}]

Os formatos de solicitação no PATCH e POST diferem. Para garantir que POST e PATCH sejam enviados no mesmo formato, você pode usar o sinalizador de recurso descrito aqui.

AppRoleAssignmentsComplex

Quando usar: use a expressão AppRoleAssignmentsComplex para provisionar várias funções para um usuário. Como configurar: edite a lista de atributos suportados conforme descrito para incluir um novo atributo para funções:

Adicionar funções

Em seguida, use a expressão AppRoleAssignmentsComplex para mapear para o atributo de função personalizado, conforme mostrado na imagem:

Adicionar AppRoleAssignmentsComplex

Aspetos a considerar

  • Todas as funções são provisionadas como primary = false.
  • O id atributo não é necessário em funções SCIM. Em vez disso, use o value atributo. Por exemplo, se o value atributo contiver o nome ou identificador da função, use-o para provisionar a função. Você pode usar o sinalizador de recurso aqui para corrigir o problema do atributo id. No entanto, confiar apenas no atributo value nem sempre é suficiente; por exemplo, se houver várias funções com o mesmo nome ou identificador. Em certos casos, é necessário usar o atributo id para provisionar corretamente a função

Limitações

  • AppRoleAssignmentsComplex não é compatível com a configuração do escopo para "Sincronizar todos os usuários e grupos".

Exemplo de solicitação (POST)

{
    "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "alias",
  "userName": "alias@contoso.OnMicrosoft.com",
  "active": true,
  "displayName": "First Name Last Name",
  "meta": {
        "resourceType": "User"
  },
  "roles": [
      {
            "primary": false,
            "type": "WindowsAzureActiveDirectoryRole",
            "displayName": "Admin",
            "value": "Admin"
      },
      {
            "primary": false,
            "type": "WindowsAzureActiveDirectoryRole",
            "displayName": "User",
          "value": "User"
      }
  ]
}

Exemplo de saída (PATCH)

"Operations": [
  {
    "op": "Add",
    "path": "roles",
    "value": [
      {
        "value": "{"id":"06b07648-ecfe-589f-9d2f-6325724a46ee","value":"Admin","displayName":"Admin"}
      },
{
        "value": "{"id":"06b07648-ecfe-599f-9d2f-6325724a46ee","value":"User","displayName":"User"}
      }
    ]
  }
]

AssertiveAppRoleAssignmentsComplex (Recomendado para funções complexas)

Quando usar: use o AssertiveAppRoleAssignmentsComplex para habilitar a funcionalidade PATCH Replace . Para aplicativos SCIM que oferecem suporte a várias funções, isso garante que as funções removidas no Microsoft Entra ID também sejam removidas no aplicativo de destino. A funcionalidade de substituição também removerá quaisquer funções adicionais que o usuário tenha que não estejam refletidas no Entra ID

A diferença entre AppRoleAssignmentsComplex e AssertiveAppRoleAssignmentsComplex é o modo da chamada de patch e o efeito no systen de destino. O primeiro PATCH adiciona apenas e, portanto, não remove nenhuma função existente no destino. Este último substitui o PATCH que remove funções no sistema de destino se elas não tiverem sido atribuídas ao usuário no Entra ID.

Como configurar: edite a lista de atributos suportados conforme descrito para incluir um novo atributo para funções:

Adicionar funções

Em seguida, use a expressão AssertiveAppRoleAssignmentsComplex para mapear para o atributo de função personalizada, conforme mostrado na imagem:

Adicionar AssertiveAppRoleAssignmentsComplex

Aspetos a considerar

  • Todas as funções são provisionadas como primary = false.
  • O id atributo não é necessário em funções SCIM. Em vez disso, use o value atributo. Por exemplo, se o value atributo contiver o nome ou identificador da função, use-o para provisionar a função. Você pode usar o sinalizador de recurso aqui para corrigir o problema do atributo id. No entanto, confiar apenas no atributo value nem sempre é suficiente; por exemplo, se houver várias funções com o mesmo nome ou identificador. Em certos casos, é necessário usar o atributo id para provisionar corretamente a função

Limitações

  • AssertiveAppRoleAssignmentsComplex não é compatível com a definição do escopo para "Sincronizar todos os usuários e grupos".

Exemplo de solicitação (POST)

{"schemas":["urn:ietf:params:scim:schemas:core:2.0:User"], 

"externalId":"contoso", 

"userName":"contoso@alias.onmicrosoft.com", 

"active":true, 

"roles":[{ 

  "primary":false, 

  "type":"WindowsAzureActiveDirectoryRole", 

  "display":"User", 

  "value":"User"}, 

  {"primary":false, 

  "type":"WindowsAzureActiveDirectoryRole", 

  "display":"Test", 

  "value":"Test"}], 

}

Exemplo de saída (PATCH)

{"schemas":["urn:ietf:params:scim:api:messages:2.0:PatchOp"], 

"Operations":[{ 

    "op":"replace", 

    "path":"roles", 

    "value":[{ 

        "primary":false, 

        "type":"WindowsAzureActiveDirectoryRole", 

        "display":"User", 

        "value":"User"}, 

        {"primary":false, 

        "type":"WindowsAzureActiveDirectoryRole", 

        "display":"Test", 

        "value":"Test"} 

        ] 

        } 

        ] 

    } 

Provisionamento de um atributo de vários valores

Certos atributos, como números de telefone e e-mails, são atributos de vários valores nos quais você precisa especificar diferentes tipos de números de telefone ou e-mails. Use a expressão para atributos de vários valores. Ele permite que você especifique o tipo de atributo e mapeie isso para o atributo de usuário correspondente do Microsoft Entra para o valor.

  • phoneNumbers[type eq "work"].value

  • phoneNumbers[type eq "mobile"].valor

  • phoneNumbers[type eq "fax"].value

    "phoneNumbers": [
       {
          "value": "555-555-5555",
          "type": "work"
       },
       {
          "value": "555-555-5555",
          "type": "mobile"
       },
       {
          "value": "555-555-5555",
          "type": "fax"
       }
    ]
    

Restaurando os atributos padrão e mapeamentos de atributos

Se precisar recomeçar e redefinir os mapeamentos existentes de volta ao estado padrão, marque a caixa de seleção Restaurar mapeamentos padrão e salve a configuração. Isso define todos os mapeamentos e filtros de escopo como se o aplicativo tivesse sido adicionado ao locatário do Microsoft Entra a partir da galeria de aplicativos.

Selecionar essa opção força uma ressincronização de todos os usuários enquanto o serviço de provisionamento está em execução.

Importante

É altamente recomendável que o status de provisionamento seja definido como Desativado antes de invocar essa opção.

O que deve saber

  • Microsoft Entra ID fornece uma implementação eficiente de um processo de sincronização. Em um ambiente inicializado, somente os objetos que exigem atualizações são processados durante um ciclo de sincronização.
  • A atualização de mapeamentos de atributos afeta o desempenho de um ciclo de sincronização. Uma atualização para a configuração de mapeamento de atributos requer que todos os objetos gerenciados sejam reavaliados.
  • Uma prática recomendada é manter o número de alterações consecutivas em seus mapeamentos de atributos no mínimo.
  • A adição de um atributo de foto a ser provisionado a um aplicativo não é suportada atualmente, pois não é possível especificar o formato para sincronizar a foto. Você pode solicitar o recurso no User Voice.
  • O atributo IsSoftDeleted geralmente faz parte dos mapeamentos padrão para um aplicativo. IsSoftdeleted pode ser verdadeiro em um dos quatro cenários: 1) O usuário está fora do escopo devido a não ser atribuído do aplicativo. 2) O usuário está fora do escopo devido a não atender a um filtro de escopo. 3) O usuário é excluído suavemente no Microsoft Entra ID. 4) A propriedade AccountEnabled está definida como false no usuário. Tente manter o IsSoftDeleted atributo em seus mapeamentos de atributo.
  • O serviço de provisionamento do Microsoft Entra não oferece suporte ao provisionamento de valores nulos.
  • A chave primária, normalmente ID, não deve ser incluída como um atributo de destino em seus mapeamentos de atributos.
  • O atributo role normalmente precisa ser mapeado usando uma expressão, em vez de um mapeamento direto. Para obter mais informações sobre mapeamento de função, consulte Provisionando uma função para um aplicativo SCIM.
  • Embora você possa desabilitar grupos de seus mapeamentos, a desativação de usuários não é suportada.

Próximos passos