Синхронизация атрибутов расширения для подготовки приложений Microsoft Entra

Идентификатор Microsoft Entra должен содержать все данные (атрибуты), необходимые для создания профиля пользователя при подготовке учетных записей пользователей из идентификатора Microsoft Entra в приложение SaaS или локальное приложение. При настройке сопоставлений атрибутов для подготовки пользователей может оказаться, что атрибут, который требуется сопоставить, не отображается в списке атрибутов Source в идентификаторе Microsoft Entra ID. Из этой статьи вы узнаете, как добавить отсутствующий атрибут.

Определение места добавления расширений

Добавление отсутствующих атрибутов, необходимых для приложения, начнется либо в локальной службе Active Directory, либо в Microsoft Entra ID, в зависимости от местоположения учетных записей пользователей и способа их передачи в Microsoft Entra ID.

Во-первых, определите, какие пользователи в арендаторе Microsoft Entra должны иметь доступ к приложению и поэтому подлежат обеспечению в приложении.

Затем определите источник атрибута и топологию для интеграции этих пользователей в Microsoft Entra ID.

Источник атрибута	Топология	Действия, необходимые
Система управления персоналом	Работники из системы управления персоналом внедряются как пользователи в Microsoft Entra ID.	Создайте атрибут расширения в идентификаторе Microsoft Entra. Обновите сопоставление входящих кадров, чтобы заполнить атрибут расширения пользователями идентификатора Microsoft Entra ID из системы управления персоналом.
Система управления персоналом	Работники из HR системы добавляются как пользователи в Windows Server Active Directory. Облачная синхронизация Microsoft Entra Connect синхронизирует их с идентификатором Microsoft Entra.	При необходимости расширьте схему AD. Создайте атрибут расширения в идентификаторе Microsoft Entra с помощью облачной синхронизации. Обновите входящее отображение HR, чтобы заполнить атрибут расширения для пользователя AD из HR системы.
Система управления персоналом	Работники из HR системы добавляются как пользователи в Windows Server Active Directory. Microsoft Entra Connect синхронизирует их с идентификатором Microsoft Entra.	При необходимости расширьте схему AD. Создайте атрибут расширения в идентификаторе Microsoft Entra с помощью Microsoft Entra Connect. Обновите входящее отображение HR, чтобы заполнить атрибут расширения для пользователя AD из HR системы.

Если пользователи вашей организации уже находятся в локальной службе Active Directory или вы создаете их в Active Directory, необходимо синхронизировать пользователей из Active Directory с Microsoft Entra ID. Вы можете синхронизировать пользователей и атрибутов с помощью Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect.

1. Обратитесь к локальным администраторам домена Active Directory, являются ли необходимые атрибуты частью класса объектов схемы User AD DS, и если они не являются, расширьте схему доменных служб Active Directory в доменах, где у этих пользователей есть учетные записи.
2. Настройте Microsoft Entra Connect или облачную синхронизацию Microsoft Entra Connect, чтобы синхронизировать пользователей, включая их атрибут расширения, из Active Directory в Microsoft Entra ID. Оба этих решения автоматически синхронизируют определенные атрибуты с идентификатором Microsoft Entra, но не все атрибуты. Кроме того, некоторые атрибуты (например sAMAccountName, синхронизированные по умолчанию) могут не предоставляться с помощью API Graph. В этих случаях можно использовать функцию расширения каталога Microsoft Entra Connect для синхронизации атрибута с идентификатором Microsoft Entra илииспользования облачной синхронизации Microsoft Entra Connect. Таким образом, атрибут отображается в API Graph и службе подготовки Microsoft Entra.
3. Если у пользователей в локальной службе Active Directory еще нет необходимых атрибутов, вам нужно обновить пользователей в Active Directory. Это обновление можно сделать, прочитав свойства из Workday, из SAP SuccessFactors или, если вы используете другую систему управления сотрудниками, используя API для приема данных о сотрудниках.
4. Дождитесь синхронизации облака Microsoft Entra Connect или Microsoft Entra Connect, чтобы синхронизировать эти обновления, внесенные в схему Active Directory, и пользователей Active Directory в идентификатор Microsoft Entra.

Кроме того, если ни один из пользователей, которым требуется доступ к приложению, не находится в локальной среде Active Directory, необходимо создать расширения схемы с помощью PowerShell или Microsoft Graph в идентификаторе Microsoft Entra, прежде чем настроить подготовку приложения.

В следующих разделах описано, как создавать атрибуты расширения для клиента только с облачными пользователями, а также для клиента с пользователями Active Directory.

Создание атрибута расширения в клиенте только для пользователей облака

Вы можете использовать Microsoft Graph и PowerShell для расширения пользовательской схемы для пользователей в идентификаторе Microsoft Entra. Это необходимо, если у вас есть пользователи, которые нуждаются в этом атрибуте, и ни один из них не создается или не синхронизирован из локальной службы Active Directory. (Если у вас есть Active Directory, продолжайте читать ниже в разделе о том, как использовать функцию расширения каталога Microsoft Entra Connect для синхронизации атрибута с идентификатором Microsoft Entra.)

После создания расширений схемы в большинстве случаев эти атрибуты расширения автоматически обнаруживаются при следующем посещении страницы подготовки в Центре администрирования Microsoft Entra.

Если у вас более 1000 сервисных принципалов, вы можете обнаружить, что некоторые расширения отсутствуют в списке атрибутов источника. Если созданный атрибут не отображается автоматически, убедитесь, что он был создан, и добавьте его в схему вручную. Чтобы удостовериться, что он был создан, используйте Microsoft Graph и Graph Explorer. Чтобы добавить его вручную в схему, ознакомьтесь со списком поддерживаемых атрибутов.

Создание атрибута расширения только для пользователей облака с помощью Microsoft Graph

Вы можете расширить схему пользователей Microsoft Entra с помощью Microsoft Graph.

Сначала перечислите приложения в арендаторе, чтобы получить идентификатор приложения, над которым вы работаете сейчас. Дополнительные сведения см. в разделе List extensionProperties.

GET https://graph.microsoft.com/v1.0/applications

Затем создайте атрибут расширения. Замените свойство идентификатора ниже идентификатором , извлеченным на предыдущем шаге. Необходимо использовать атрибут "ID", а не "appId". Дополнительные сведения см. в разделе [Создание свойства расширения]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

В предыдущем запросе создан атрибут расширения с форматом extension_appID_extensionName. Теперь вы можете обновить пользователя с помощью этого атрибута расширения. Дополнительные сведения см. в разделе "Обновление пользователя".

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

В конце проверьте атрибут для пользователя. Дополнительные сведения см. в статье "Получение пользователя". Graph версии 1.0 по умолчанию не возвращает ни один из атрибутов расширения каталога пользователя, если только атрибуты не указаны в запросе в качестве одного из возвращаемых свойств.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Создание атрибута расширения только для пользователей облака с помощью PowerShell

Вы можете создать пользовательское расширение с помощью PowerShell.

#Connect to your Entra tenant
Connect-Entra -Scopes 'Application.ReadWrite.All'

#Create an application (you can instead use an existing application if you would like)
$App = New-EntraApplication -DisplayName "test app name" -IdentifierUris https://testapp

#Create a service principal
New-EntraServicePrincipal -AppId $App.AppId

#Create an extension property
New-EntraApplicationExtensionProperty -ApplicationId $App.ObjectId -Name "TestAttributeName" -DataType "String" -TargetObjects "User"

При необходимости можно проверить, можно ли задать свойство расширения только для пользователя облака.

#List users in your tenant to determine the objectid for your user
Get-EntraUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-EntraUserExtension -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb -ExtensionName "extension_6552753978624005a48638a778921fan3_TestAttributeName"

#Verify that the attribute was added correctly.
Get-EntraUser -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb | Select -ExpandProperty ExtensionProperty

Создание атрибута расширения с помощью облачной синхронизации

Если у вас есть пользователи в Active Directory и используется облачная синхронизация Microsoft Entra Connect, облачная синхронизация автоматически обнаруживает ваши расширения в локальной службе Active Directory при добавлении нового сопоставления. Если вы используете синхронизацию Microsoft Entra Connect, перейдите к следующему разделу, создайте атрибут расширения с помощью Microsoft Entra Connect.

Выполните приведенные ниже действия, чтобы автообнаружить эти атрибуты и настроить соответствующее сопоставление с идентификатором Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как Гибридный Администратор Удостоверений, как минимум.
2. Перейдите к Entra ID>Entra Connect>Синхронизация в облаке.
3. Выберите конфигурацию, к которой вы хотите добавить атрибут расширения, а также сопоставление.
4. В разделе "Управление атрибутами"выберите команду "Изменить сопоставления".
5. Выберите "Добавить сопоставление атрибутов". Атрибуты автоматически обнаруживаются.
6. Новые атрибуты доступны в раскрывающемся списке в исходном атрибуте.
7. Укажите нужный тип сопоставления и нажмите кнопку "Применить".

Дополнительные сведения см. в разделе "Сопоставление настраиваемых атрибутов" в облачной синхронизации Microsoft Entra Connect.

Создание атрибута расширения с помощью Microsoft Entra Connect

Если пользователи, обращающиеся к приложениям, находятся в локальной службе Active Directory, необходимо синхронизировать атрибуты пользователей из Active Directory с Microsoft Entra ID. Если вы используете Microsoft Entra Connect, перед настройкой приложения необходимо выполнить следующие задачи.

1. Обратитесь к локальным администраторам домена Active Directory, являются ли необходимые атрибуты частью класса объектов схемы User AD DS, и если они не являются, расширьте схему доменных служб Active Directory в доменах, где у этих пользователей есть учетные записи.

2. Откройте мастер Microsoft Entra Connect, выберите "Задачи" и выберите "Настройка параметров синхронизации".

3. Войдите в качестве администратора гибридной идентификации.

4. На странице "Необязательные функции" выберите синхронизацию атрибута расширения каталога.

5. Выберите атрибуты, которые нужно расширить до идентификатора Microsoft Entra.

   Примечание.

   Поиск в разделе Доступные атрибуты чувствителен к регистру.

6. Завершите мастер Microsoft Entra Connect и разрешите выполнение полного цикла синхронизации. По завершении цикла схема расширяется, а новые значения синхронизируются между локальным AD и идентификатором Microsoft Entra.

Примечание.

Возможность подготовки ссылочных атрибутов из локальной службы AD, например managedby или DN/DistinguishedName, сегодня не поддерживается. Эту функцию можно запросить на сайте User Voice.

Заполнение и использование нового атрибута

В центре администрирования Microsoft Entra при редактировании сопоставлений атрибутов пользователя для единого входа или предоставления из Идентификатора Microsoft Entra в приложение, список атрибутов (Source attribute) теперь будет содержать добавленный атрибут в формате , где appID является идентификатором приложения-заполнителя в вашем клиенте. Выберите атрибут и сопоставьте его с целевым приложением для предоставления.

Страница мастера Microsoft Entra Connect для выбора расширений каталогов

Затем вам нужно будет заполнить этих пользователей, назначенных приложению, необходимым атрибутом, прежде чем включить автоматизацию подготовки к приложению. Если атрибут не возникает в Active Directory, существует пять способов заполнения пользователей в массовом режиме:

• Если свойства создаются в системе кадров, и вы подготавливаете работников из этой системы кадров в качестве пользователей в Active Directory, настройте сопоставление из Workday, SAP SuccessFactors или используете другую систему управления персоналом, используя входящий API кадров для атрибута Active Directory. Затем дождитесь, пока произойдет синхронизация с помощью Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect, чтобы обновления, внесенные в схему Active Directory и для пользователей Active Directory, были синхронизированы в Microsoft Entra ID.
• Если свойства исходят из системы управления персоналом, и вы не используете Active Directory, можно настроить сопоставление из Workday, SAP SuccessFactors или других через входящий API атрибутов пользователей Microsoft Entra.
• Если свойства происходят из другой локальной системы, можно настроить соединитель MIM для Microsoft Graph для создания или обновления пользователей Microsoft Entra.
• Если свойства исходят от самих пользователей, вы можете попросить пользователей предоставить значения атрибута при запросе доступа к приложению, включив требования атрибута в каталог управления правами.
• Во всех других ситуациях пользовательское приложение может обновлять пользователей с помощью API Microsoft Graph.

Следующие шаги

• Определите, кто подлежит обеспечению