Share via

Как работает подготовка приложений в идентификаторе Microsoft Entra

  • Статья

Автоматическая подготовка относится к созданию удостоверений пользователей и ролей в облачных приложениях, к которым пользователям требуется доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Перед началом развертывания вы можете ознакомиться с этой статьей, чтобы узнать, как работает подготовка Microsoft Entra и получить рекомендации по настройке.

Служба подготовки Microsoft Entra подготавливает пользователей к приложениям SaaS и другим системам, подключаясь к конечной точке API управления междоменной идентификацией (SCIM) 2.0, предоставленной поставщиком приложения или локальным агентом подготовки. Эта конечная точка SCIM позволяет идентификатору Microsoft Entra программно создавать, обновлять и удалять пользователей. Для выбранных приложений служба подготовки также может создавать, обновлять и удалять дополнительные объекты, связанные с удостоверениями, например группы. Канал, используемый для подготовки между идентификатором Microsoft Entra и приложением, шифруется с помощью шифрования HTTPS TLS 1.2.

Служба подготовки Microsoft EntraРис. 1. Служба подготовки Microsoft Entra

Рабочий процесс подготовки исходящих пользователейРис. 2. Рабочий процесс подготовки пользователей исходящего трафика из идентификатора Microsoft Entra в популярные приложения SaaS

Рабочий процесс подготовки входящих пользователейРис. 3. Рабочий процесс подготовки пользователей из популярных приложений управления капиталом (HCM) в идентификатор Microsoft Entra и Windows Server Active Directory

Подготовка с помощью SCIM 2.0

Служба подготовки Microsoft Entra использует протокол SCIM 2.0 для автоматической подготовки. Служба подключается к конечной точке SCIM для приложения и использует схему пользовательских объектов SCIM и ИНТЕРФЕЙСы REST API для автоматизации подготовки и отмены подготовки пользователей и групп. Соединитель подготовки на основе SCIM предоставляется для большинства приложений в коллекции Microsoft Entra. Разработчики используют API управления пользователями SCIM 2.0 в идентификаторе Microsoft Entra для создания конечных точек для приложений, которые интегрируются со службой подготовки. Дополнительные сведения см. в статье Создание конечной точки SCIM и настройка подготовки пользователей. Локальный агент подготовки также преобразует операции Microsoft Entra SCIM в LDAP, SQL, REST или SOAP, PowerShell, вызовы пользовательского соединителя ECMA или соединителей и шлюзов, созданных партнерами.

Чтобы запросить соединитель автоматической подготовки Microsoft Entra для приложения, которое в настоящее время не имеет его, см . запрос приложения Microsoft Entra.

Авторизация

Учетные данные необходимы для подключения идентификатора Microsoft Entra к API управления пользователями приложения. При настройке автоматической подготовки пользователей для приложения необходимо ввести допустимые учетные данные. Для приложений коллекций, типы учетных данных и требования к ним для приложения см. в учебнике по приложению. Для приложений, не относящихся к коллекции, можно обратиться к документации по scim, чтобы узнать о типах и требованиях учетных данных. В Центре администрирования Microsoft Entra вы можете проверить учетные данные, пытаясь подключиться к приложению подготовки приложения с помощью предоставленных учетных данных.

Сопоставления атрибутов

При включении подготовки пользователей для стороннего приложения SaaS центр администрирования Microsoft Entra управляет значениями атрибутов с помощью сопоставлений атрибутов. Сопоставления определяют атрибуты пользователя, которые выполняются между идентификатором Microsoft Entra и целевым приложением при подготовке или обновлении учетных записей пользователей.

Существует предварительно настроенный набор атрибутов и сопоставлений атрибутов между объектами пользователей Microsoft Entra и объектами пользователей каждого приложения SaaS. Некоторые приложения управляют другими типами объектов в дополнение к пользователям, такими как группы.

При настройке подготовки важно проверить и настроить сопоставления атрибутов и рабочие процессы, определяющие поток свойств пользователя (или группы) из идентификатора Microsoft Entra в приложение. Проверьте и настройте свойство сопоставления Match objects using this attribute (Сопоставлять объекты по этому атрибуту), используемое для уникальной идентификации и сопоставления пользователей или групп между двумя системами.

Сопоставление атрибутов по умолчанию можно настроить в соответствии с потребностями вашего бизнеса. Поэтому можно изменить или удалить существующие сопоставления атрибутов или создать новые. Дополнительные сведения см. в статье Настройка сопоставлений атрибутов для подготовки пользователей для приложений SaaS.

При настройке подготовки для приложения SaaS одним из типов сопоставления атрибутов, которые можно указать, является сопоставление выражений. Для этих сопоставлений необходимо написать выражение, похожее на скрипт. Оно позволит вам преобразовать данные пользователей в форматы, более подходящие для приложений SaaS. Дополнительные сведения см. в статье Запись выражений для сопоставления атрибутов.

Scoping

Определение области применения на основе назначения

Для исходящей подготовки из идентификатора Microsoft Entra в приложение SaaS, основанный на назначениях пользователей или групп, является наиболее распространенным способом определить, какие пользователи находятся в область для подготовки. Так как назначения пользователей применяются также и для включения единого входа, для управления доступом и подготовкой можно использовать один и тот же метод. Определение области на основе назначения неприменимо для входящих сценариев подготовки, например для Workday и SuccessFactors.

  • Группы. С помощью плана лицензии Microsoft Entra ID P1 или P2 можно использовать группы для назначения доступа к приложению SaaS. Затем, когда для область подготовки задано значение Sync only assigned users and groups, служба подготовки Microsoft Entra подготавливает или отменяет подготовку пользователей на основе того, являются ли они членами группы, назначенной приложению. Сам объект группы не подготавливается, если приложение не поддерживает объекты групп. Убедитесь, что для групп, назначенных приложению, свойство "SecurityEnabled" имеет значение "True".

  • Динамические группы.. Служба подготовки пользователей Microsoft Entra может читать и подготавливать пользователей в динамических группах. Примите во внимание следующие оговорки и рекомендации.

    • Динамические группы могут повлиять на производительность сквозной подготовки из идентификатора Microsoft Entra в приложения SaaS.

    • Скорость подготовки и отзыва пользователя из динамической группы в приложении SaaS зависит от того, как быстро динамическая группа может оценить изменения членства. Дополнительные сведения см. в статье о том, как проверить состояние обработки динамической группы на основе правила членства в коллекции.

    • Когда пользователь теряет членство в динамической группе, он считается событием отмены подготовки. Рассмотрим этот сценарий при создании правил для динамических групп.

  • Вложенные группы. Служба подготовки пользователей Microsoft Entra не может читать или подготавливать пользователей в вложенных группах. Она может только считать и подготовить пользователей, которые являются непосредственными участниками группы, назначенной явным образом. Это ограничение назначений на основе группы для приложений, которое также влияет на единый вход (см. статью Использование группы для управления доступом к приложениям SaaS). Вместо этого следует явно назначить группы, содержащие пользователей, которых нужно подготовить, или указать их область другим способом.

Определение области на основе атрибутов

С помощью фильтров области можно задать правила на основе атрибутов, которые управляют подготовкой пользователей для работы с приложением. Этот метод обычно используется для входящего подготовки приложений HCM к идентификатору Microsoft Entra и Active Directory. Фильтры области настраиваются как часть сопоставлений атрибутов для каждого соединителя подготовки пользователей Microsoft Entra. Дополнительные сведения см. в статье о настройке фильтров области на основе атрибутов .

Пользователи B2B (гостевые пользователи)

Службу подготовки пользователей Microsoft Entra можно использовать для подготовки пользователей B2B (гостевой) в идентификаторе Microsoft Entra в приложениях SaaS. Однако для входа пользователей B2B в приложение SaaS с помощью идентификатора Microsoft Entra необходимо вручную настроить приложение SaaS для использования идентификатора Microsoft Entra в качестве поставщика удостоверений языка разметки утверждений безопасности (SAML).

Следуйте этим общим рекомендациям при настройке приложений SaaS для пользователей B2B (гостевой):

  • В большинстве приложений пользователя следует настраивать вручную. Пользователи также должны создаваться вручную в приложении.
  • В приложениях, поддерживающих автоматическую настройку, например в Dropbox, создаются отдельные приглашения. Пользователи должны принять каждое приглашение.
  • В атрибутах пользователя для устранения проблем с диском профиля пользователя (UPD) в гостевых пользователях всегда задайте идентификатор пользователя для user.mail.

Примечание.

UserPrincipalName для пользователя совместной работы B2B представляет адрес электронной почты внешнего пользователя, alias@theirdomain как "alias_theirdomain#EXT#@yourdomain". Если атрибут userPrincipalName включен в сопоставления атрибутов в качестве исходного атрибута и выполняется подготовка пользователя B2B, #EXT# и домен удаляются из userPrincipalName, поэтому для сопоставления или подготовки используется только их исходный alias@theirdomain. Если вам необходимо полное имя субъекта-пользователя, включая #EXT# и ваш домен, замените userPrincipalName на originalUserPrincipalName в качестве исходного атрибута.
userPrincipalName = alias@theirdomain
originalUserPrincipalName = alias_theirdomain#EXT#@yourdomain

Циклы подготовки: начальные и добавочные

Если идентификатор Microsoft Entra является исходной системой, служба подготовки использует разностный запрос для отслеживания изменений в данных Microsoft Graph для мониторинга пользователей и групп. Служба подготовки выполняет начальный цикл исходной и целевой систем, после чего осуществляет периодические добавочные циклы.

Начальный цикл

При запуске службы подготовки выполняется первый цикл, состоящий из следующих этапов:

  1. Запрашивает всех пользователей и все группы из исходной системы, получая все атрибуты, определенные в сопоставлениях атрибутов.

  2. Фильтрует полученных пользователей и группы с помощью настроенных назначений или фильтров области на основе атрибутов.

  3. Если пользователь назначен или должен быть подготовлен, служба запрашивает у целевой системы соответствующего пользователя с помощью указанных совпадающих атрибутов. Пример. Если имя userPrincipal в исходной системе является совпадающим атрибутом и соответствует атрибуту userName в целевой системе, то служба подготовки запрашивает у целевой системы атрибуты userName, которые соответствуют значениям имени userPrincipal в исходной системе.

  4. Если соответствующий пользователь в целевой системе не найден, он создается с использованием атрибутов, возвращенных из исходной системы. После создания учетной записи пользователя служба подготовки обнаруживает и кэширует идентификатор целевой системы для нового пользователя. Этот идентификатор используется для выполнения всех последующих операций с таким пользователем.

  5. Если соответствующий пользователь найден, он обновляется с использованием атрибутов, предоставляемых исходной системой. После сопоставления учетной записи пользователя служба подготовки обнаруживает и кэширует идентификатор целевой системы для нового пользователя. Этот идентификатор используется для выполнения всех последующих операций с таким пользователем.

  6. Если сопоставления атрибутов содержат атрибуты reference, служба выполняет дополнительные обновления в целевой системе для создания и связывания ссылочных объектов. Например, пользователь может использовать атрибут Manager в целевой системе, который связан с другим пользователем, созданным в целевой системе.

  7. В конце начального цикла сохраняется водяной знак, который обеспечивает начальную точку для последующих добавочных циклов.

Некоторые приложения, такие как ServiceNow, G Suite и Box, подготавливают не только пользователей, но и группы и их участников. В таких случаях, если подготовка групп включена в сопоставления, то служба подготовки синхронизирует пользователей и группы, а затем синхронизирует членство в группах.

Добавочные циклы

После начального цикла все остальные циклы выполняются следующим образом.

  1. Запрашивает у исходной системы всех пользователей и все группы, которые были обновлены с момента сохранения последнего водяного знака.

  2. Фильтрует полученных пользователей и группы с помощью настроенных назначений или фильтров области на основе атрибутов.

  3. Если пользователь назначен или должен быть подготовлен, служба запрашивает у целевой системы соответствующего пользователя с помощью указанных совпадающих атрибутов.

  4. Если соответствующий пользователь в целевой системе не найден, он создается с использованием атрибутов, возвращенных из исходной системы. После создания учетной записи пользователя служба подготовки обнаруживает и кэширует идентификатор целевой системы для нового пользователя. Этот идентификатор используется для выполнения всех последующих операций с таким пользователем.

  5. Если соответствующий пользователь найден, он обновляется с использованием атрибутов, предоставляемых исходной системой. Если сопоставляется только что назначенная учетная запись пользователя, служба подготовки обнаруживает и кэширует идентификатор целевой системы для нового пользователя. Этот идентификатор используется для выполнения всех последующих операций с таким пользователем.

  6. Если сопоставления атрибутов содержат атрибуты reference, служба выполняет дополнительные обновления в целевой системе для создания и связывания ссылочных объектов. Например, пользователь может использовать атрибут Manager в целевой системе, который связан с другим пользователем, созданным в целевой системе.

  7. Если пользователь, который ранее был в области для подготовки, удаляется из нее (включая отмену назначения), то служба отключает этого пользователя в целевой системе при обновлении.

  8. Если пользователь, который ранее был в области для подготовки, отключается или обратимо удаляется в исходной системе, то служба отключает этого пользователя в целевой системе при обновлении.

  9. Если пользователь, который ранее был в области для подготовки, необратимо удаляется в исходной системе, то служба удаляет этого пользователя в целевой системе. В идентификаторе Microsoft Entra пользователи удаляются через 30 дней после обратимого удаления.

  10. В конце добавочного цикла сохраняется новый водяной знак, который обеспечивает начальную точку для последующих добавочных циклов.

Примечание.

Операции создания, обновления или удаления также можно отключить в разделе Сопоставления с помощью флажков Действия с целевыми объектами. Логика отключения пользователя во время обновления также контролируется с помощью сопоставления атрибутов из поля, например accountEnabled.

Служба подготовки будет выполнять полные добавочные циклы неопределенно долгое время через интервалы, определенные в отдельном учебнике по каждому приложению. Добавочные циклы продолжаются до тех пор, пока не произойдет одно из событий:

  • Служба остановлена вручную с помощью Центра администрирования Microsoft Entra или с помощью соответствующей команды API Microsoft Graph.
  • Новый начальный цикл активируется с помощью параметра подготовки перезапуска в Центре администрирования Microsoft Entra или с помощью соответствующей команды API Microsoft Graph. Действие очищает все сохраненные подложки и приводит к повторной оценке всех исходных объектов. Кроме того, действие не нарушает связи между исходными и целевыми объектами. Чтобы разорвать ссылки, используйте задание синхронизации перезапуска с запросом:
POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Authorization: Bearer <token>
Content-type: application/json
{
   "criteria": {
       "resetScope": "Full"
   }
}
  • Из-за изменений сопоставлений атрибутов или фильтров области запускается новый начальный цикл. При выполнении этого действия также удаляются все сохраненные водяные знаки, а все исходные объекты должны быть оценены повторно.
  • Процесс подготовки переходит в карантин (см. пример) из-за высокой частоты ошибок и остается в карантине более четырех недель. В этом случае служба автоматически отключается.

Ошибки и повторные попытки

Если из-за произошедшей в целевой системе ошибки в ней не удается добавить, обновить или удалить отдельного пользователя, то данная операция будет повторена при следующем цикле синхронизации. При возникновении ошибок предпринимаются повторные попытки с постепенно уменьшающейся частотой. Чтобы устранить ошибку, администраторы должны будут проверить журналы подготовки, чтобы определить первопричину и предпринять соответствующие действия. Ниже перечислены распространенные ошибки.

  • Не заполнен атрибут пользователей в исходной системе, требуемый в целевой системе.
  • У пользователей в исходной системе имеется значение атрибута, для которого в целевой системе установлено уникальное ограничение, и это же значение присутствует в другой записи пользователя.

Устраните эти ошибки, настроив значения атрибутов для затронутого пользователя в исходной системе или настроив сопоставления атрибутов таким образом, чтобы не возникали конфликты.

Карантин

Если большинство или все вызовы, отправленные целевой системе, последовательно завершаются сбоем из-за ошибки (например, в случае недопустимых учетных данных администратора), задание подготовки переходит в "карантин". Это состояние указывается в сводном отчете по подготовке и по электронной почте, если Уведомления по электронной почте были настроены в Центре администрирования Microsoft Entra.

После перехода в карантин частота добавочных циклов постепенно уменьшается до одного раза в день.

Карантин снимается с задания подготовки после исправления всех ошибок, послуживших его причиной, после чего начнется следующий цикл синхронизации. Если задания подготовки остается в карантине более четырех недель, оно отключается. Дополнительные сведения о состояниях карантина см. здесь.

Длительность подготовки

Производительность зависит от того, какой цикл задания подготовки выполняется: первоначальный или добавочный. Дополнительные сведения о том, сколько времени занимает подготовка и как отслеживать состояние службы подготовки, см. в статье Проверка состояния подготовки пользователей.

Проверка правильности подготовки пользователей

Все операции, выполняемые службой подготовки пользователей, записываются в журналы подготовки Microsoft Entra (предварительная версия). Журналы содержат записи обо всех операциях чтения и записи, которые выполняются в исходной и целевой системах, а также сведения о том, какие данные пользователей считаны или записаны во время каждой из этих операций. Сведения о том, как читать журналы подготовки в Центре администрирования Microsoft Entra, см. в руководстве по подготовке отчетов.

Отмена подготовки

Служба подготовки Microsoft Entra сохраняет исходные и целевые системы в синхронизации путем отмены подготовки учетных записей при удалении доступа пользователей.

Служба подготовки поддерживает как удаление, так и отключение пользователей (иногда называемых обратимым удалением). Точное определение отключения и удаления зависит от реализации целевого приложения, но обычно отключение означает, что пользователь не может войти в систему. Удаление означает, что пользователь полностью удален из приложения. Для приложений SCIM отключение — это запрос на присвоение свойству активного значения false для пользователя.

Настройка приложения для отключения пользователя

Убедитесь, что выбрано поле проверка box для обновлений.

Подтвердите сопоставление для активного приложения. Если вы используете приложение из коллекции приложений, сопоставление может немного отличаться. В этом случае используйте сопоставление по умолчанию для приложений коллекции.

Отключение пользователя

Настройка приложения для отключения пользователя

Сценарий активирует отключение или удаление:

  • Пользователь обратимо удален в идентификаторе Microsoft Entra (отправлен в корзину или свойство AccountEnabled, заданное значение false). Тридцать дней после удаления пользователя в идентификаторе Microsoft Entra id они окончательно удаляются из клиента. На этом этапе служба подготовки отправляет запрос DELETE для окончательного удаления пользователя в приложении. В течение этого 30-дневного периода можно в любое время вручную окончательно удалить пользователя, который отправил запрос на удаление в приложение.
  • Пользователь окончательно удаляется из корзины в идентификаторе Microsoft Entra.
  • Пользователь не назначен из приложения.
  • Пользователь переходит из области действия за ее пределы (фильтр области больше не передается).

Удаление пользователя

По умолчанию служба подготовки Microsoft Entra обратимо удаляет или отключает пользователей, которые выходят из область. Если вы хотите переопределить это поведение по умолчанию, можно установить флаг пропуска удаления пользователей вне области.

Когда происходит одно из четырех событий, а целевое приложение не поддерживает обратимое удаление, служба подготовки отправляет запрос DELETE для окончательного удаления пользователя из приложения.

Если вы видите IsSoftDeleted в сопоставлениях атрибутов, оно используется для определения состояния пользователя и отправки запроса на обновление с active = false целью обратимого удаления пользователя.

События отмены подготовки

В таблице описывается, как настроить действия отмены подготовки с помощью службы подготовки Microsoft Entra. Эти правила создавались с прицелом на пользовательские (не опубликованные в коллекции) приложения, но в целом применимы и к приложениям в коллекции. Однако поведение приложений коллекции может отличаться, так как они оптимизированы для удовлетворения потребностей приложения. Например, если целевое приложение не поддерживает обратимое удаление, служба подготовки Microsoft Entra может отправить запрос на удаление пользователей, а не отправить обратимое удаление.

Сценарий Настройка в идентификаторе Microsoft Entra
Пользователь не назначен из приложения, обратимого удаления в идентификаторе Microsoft Entra или заблокирован при входе. Вы не хотите ничего делать. Удалите isSoftDeleted из сопоставлений атрибутов и /или задайте значение true для свойства удаления область.
Пользователь не назначен из приложения, обратимого удаления в идентификаторе Microsoft Entra или заблокирован при входе. Необходимо задать для определенного атрибута true или false. Сопоставляйте isSoftDeleted атрибут с атрибутом, который вы хотите задать значение false.
Пользователь отключен в идентификаторе Microsoft Entra, не назначен из приложения, обратимого удаления в идентификаторе Microsoft Entra или заблокирован при входе. Вы хотите отправить запрос DELETE целевому приложению. В настоящее время эта возможность поддерживается лишь для некоторых приложений из коллекции, которым она требуется. Он не настраивается клиентами.
Пользователь удаляется в идентификаторе Microsoft Entra. Вы не хотите ничего делать в целевом приложении. Убедитесь, что "Delete" не выбран в качестве одного из действий целевого объекта в интерфейсе конфигурации атрибутов.
Пользователь удаляется в идентификаторе Microsoft Entra. Необходимо задать значение атрибута в целевом приложении. Не поддерживается.
Пользователь удаляется в идентификаторе Microsoft Entra. Вы хотите удалить пользователя в целевом приложении. Убедитесь, что параметр "Удалить" выбран в качестве одного из целевых действий для объекта в интерфейсе настройки атрибутов.

Известные ограничения

  • Когда пользователь или группа не назначены из приложения и больше не управляется службой подготовки, отправляется запрос на отключение. На этом этапе служба не управляет пользователем, а запрос на удаление не отправляется при удалении пользователя из каталога.
  • Подготовка пользователя, отключенного в идентификаторе Microsoft Entra ID, не поддерживается. Они должны быть активными в идентификаторе Microsoft Entra, прежде чем они подготовлены.
  • Когда пользователь переходит от обратимого удаления к активному, служба подготовки Microsoft Entra активирует пользователя в целевом приложении, но не автоматически восстанавливает членство в группах. Целевое приложение должно поддерживать членство в группах для пользователя в неактивном состоянии. Если целевое приложение не поддерживает неактивное состояние, можно перезапустить подготовку для обновления членства в группах.

Рекомендация

При разработке приложения всегда поддерживаются обратимые и жесткие удаления. Она позволяет клиентам восстанавливаться при случайном отключении пользователя.

Next Steps

Планирование развертывания автоматической подготовки пользователей

Настройка подготовки для приложения из коллекции

Создание конечной точки SCIM и настройка подготовки при создании собственного приложения

Устранение неполадок при настройке и подготовке пользователей для приложения