Синхронизация атрибутов расширения для подготовки приложений Microsoft Entra

Идентификатор Microsoft Entra должен содержать все данные (атрибуты), необходимые для создания профиля пользователя при подготовке учетных записей пользователей из идентификатора Microsoft Entra в приложение SaaS или локальное приложение. При настройке сопоставлений атрибутов для подготовки пользователей может оказаться, что атрибут, который требуется сопоставить, не отображается в списке атрибутов Source в идентификаторе Microsoft Entra ID. Из этой статьи вы узнаете, как добавить отсутствующий атрибут.

Определение места добавления расширений

Добавление отсутствующих атрибутов, необходимых для приложения, начнется либо в локальная служба Active Directory, либо в идентификаторе Microsoft Entra, в зависимости от того, где находятся учетные записи пользователей и как они передаются в идентификатор Microsoft Entra.

Сначала определите, какие пользователи в клиенте Microsoft Entra нуждаются в доступе к приложению и поэтому будут находиться в область подготовки в приложении.

Затем определите источник атрибута и топологию того, как эти пользователи будут доставлены в идентификатор Microsoft Entra.

Источник атрибута Топология Действия, необходимые
Система управления персоналом Работники из системы управления персоналом подготавливаются как пользователи в идентификатор Microsoft Entra. Создайте атрибут расширения в идентификаторе Microsoft Entra.
Обновите сопоставление входящих кадров, чтобы заполнить атрибут расширения пользователями идентификатора Microsoft Entra ID из системы управления персоналом.
Система управления персоналом Рабочие роли из системы управления персоналом подготавливаются как пользователи в Windows Server AD.
Microsoft Entra Подключение облачная синхронизация синхронизирует их с идентификатором Microsoft Entra.
При необходимости расширьте схему AD.
Создайте атрибут расширения в идентификаторе Microsoft Entra с помощью облачной синхронизации.
Обновите входящее сопоставление кадров, чтобы заполнить атрибут расширения для пользователя AD из системы управления персоналом.
Система управления персоналом Рабочие роли из системы управления персоналом подготавливаются как пользователи в Windows Server AD.
Microsoft Entra Подключение синхронизирует их с идентификатором Microsoft Entra.
При необходимости расширьте схему AD.
Создайте атрибут расширения в идентификаторе Microsoft Entra с помощью Microsoft Entra Подключение.
Обновите входящее сопоставление кадров, чтобы заполнить атрибут расширения для пользователя AD из системы управления персоналом.

Если пользователи вашей организации уже находятся в локальная служба Active Directory или создают их в Active Directory, необходимо синхронизировать пользователей из Active Directory с идентификатором Microsoft Entra. Вы можете синхронизировать пользователей и атрибуты с помощью Microsoft Entra Подключение или Microsoft Entra Подключение облачной синхронизации.

  1. Обратитесь к администраторам домена локальная служба Active Directory, являются ли необходимые атрибуты частью класса объектов схемы User AD DS, и если они нет, расширьте схему служб домен Active Directory в доменах, где у этих пользователей есть учетные записи.
  2. Настройте microsoft Entra Подключение или Microsoft Entra Подключение облачную синхронизацию для синхронизации пользователей с атрибутом расширения из Active Directory в Идентификатор Microsoft Entra. Оба этих решения автоматически синхронизируют определенные атрибуты с идентификатором Microsoft Entra, но не все атрибуты. Кроме того, некоторые атрибуты (например sAMAccountName, синхронизированные по умолчанию) могут не предоставляться с помощью API Graph. В этих случаях можно использовать функцию расширения каталога Microsoft Entra Подключение для синхронизации атрибута с идентификатором Microsoft Entra или использования microsoft Entra Подключение облачной синхронизации. Таким образом, атрибут отображается в API Graph и службе подготовки Microsoft Entra.
  3. Если у пользователей в локальная служба Active Directory еще нет необходимых атрибутов, необходимо обновить пользователей в Active Directory. Это обновление можно сделать, прочитав свойства из Workday, из SAP SuccessFactors или если вы используете другую систему управления персоналом, используя входящий API кадров.
  4. Дождитесь синхронизации microsoft Entra Подключение или Microsoft Entra Подключение облачной синхронизации, чтобы синхронизировать эти обновления, сделанные в схеме Active Directory, и пользователи Active Directory в идентификатор Microsoft Entra.

Кроме того, если ни один из пользователей, которым требуется доступ к приложению, не поступает в локальная служба Active Directory, необходимо создать расширения схемы с помощью PowerShell или Microsoft Graph в идентификаторе Microsoft Entra, прежде чем настраивать подготовку приложения.

В следующих разделах описано, как создавать атрибуты расширения для клиента только с облачными пользователями, а также для клиента с пользователями Active Directory.

Создание атрибута расширения в клиенте только для пользователей облака

Вы можете использовать Microsoft Graph и PowerShell для расширения пользовательской схемы для пользователей в идентификаторе Microsoft Entra. Это необходимо, если у вас есть пользователи, которые нуждаются в этом атрибуте, и ни один из них не создается или синхронизирован из локальная служба Active Directory. (Если у вас есть Active Directory, продолжайте читать ниже в разделе о том, как использовать функцию расширения каталога Microsoft Entra Подключение для синхронизации атрибута с идентификатором Microsoft Entra.)

После создания расширений схемы эти атрибуты расширения автоматически обнаруживаются при следующем посещении страницы подготовки в Центре администрирования Microsoft Entra в большинстве случаев.

Если у вас более 1000 субъектов-служб, вы можете найти расширения, отсутствующие в списке атрибутов источника. Если созданный атрибут не отображается автоматически, убедитесь, что он был создан, и добавьте его в схему вручную. Чтобы убедиться, что атрибут создан, используйте Microsoft Graph и Graph Explorer. Чтобы добавить его в вручную, см. раздел изменение списка поддерживаемых атрибутов.

Создание атрибута расширения только для пользователей облака с помощью Microsoft Graph

Вы можете расширить схему пользователей Microsoft Entra с помощью Microsoft Graph.

Сначала перечислите приложения в клиенте, чтобы получить идентификатор приложения, над которым вы работаете. Дополнительные сведения см. в разделе Список объектов extensionProperties.

GET https://graph.microsoft.com/v1.0/applications

Затем создайте атрибут расширения. Замените приведенное ниже свойство ИД на идентификатор, полученный на предыдущем шаге. Необходимо использовать атрибут "ID", а не "appId". Дополнительные сведения см. в разделе [Создание extensionProperty]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

В предыдущем запросе создан атрибут расширения с форматом extension_appID_extensionName. Теперь с его помощью вы можете обновить пользователя. Дополнительные сведения см. в статье Обновление пользователя.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

В конце проверьте атрибут для пользователя. Дополнительные сведения см. в статье Как получить пользователя. Graph версии 1.0 по умолчанию не возвращает ни один из атрибутов расширения каталога пользователя, если только атрибуты не указаны в запросе в качестве одного из возвращаемых свойств.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Создание атрибута расширения только для пользователей облака с помощью PowerShell

Вы можете создать пользовательское расширение с помощью PowerShell.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

#Connect to your Azure AD tenant
Connect-AzureAD

#Create an application (you can instead use an existing application if you would like)
$App = New-AzureADApplication -DisplayName “test app name” -IdentifierUris https://testapp

#Create a service principal
New-AzureADServicePrincipal -AppId $App.AppId

#Create an extension property
New-AzureADApplicationExtensionProperty -ObjectId $App.ObjectId -Name “TestAttributeName” -DataType “String” -TargetObjects “User”

При необходимости можно проверить, можно ли задать свойство расширения только для пользователя облака.

#List users in your tenant to determine the objectid for your user
Get-AzureADUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-AzureADUserExtension -objectid 0ccf8df6-62f1-4175-9e55-73da9e742690 -ExtensionName “extension_6552753978624005a48638a778921fan3_TestAttributeName”

#Verify that the attribute was added correctly.
Get-AzureADUser -ObjectId 0ccf8df6-62f1-4175-9e55-73da9e742690 | Select -ExpandProperty ExtensionProperty

Создание атрибута расширения с помощью облачной синхронизации

Если у вас есть пользователи в Active Directory и используется Microsoft Entra Подключение облачная синхронизация, синхронизация облака автоматически обнаруживает расширения в локальная служба Active Directory при добавлении нового сопоставления. Если вы используете синхронизацию Microsoft Entra Подключение, продолжайте чтение в следующем разделе, создайте атрибут расширения с помощью Microsoft Entra Подключение.

Выполните приведенные ниже действия, чтобы автообнаружить эти атрибуты и настроить соответствующее сопоставление с идентификатором Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридное удостоверение Администратор istrator.
  2. Перейдите к синхронизации Microsoft Entra для гибридного управления удостоверениями>>Подключение> Cloud.
  3. Выберите конфигурацию, которую вы хотите добавить атрибут расширения и сопоставление.
  4. В разделе "Управление атрибутами" выберите команду "Изменить сопоставления".
  5. Выберите Добавить сопоставление атрибутов. Атрибуты автоматически обнаруживаются.
  6. Новые атрибуты доступны в раскрывающемся списке в исходном атрибуте.
  7. Укажите нужный тип сопоставления и нажмите кнопку "Применить".

Дополнительные сведения см. в разделе "Сопоставление настраиваемых атрибутов" в Microsoft Entra Подключение облачной синхронизации.

Создание атрибута расширения с помощью Microsoft Entra Подключение

Если пользователи, обращающиеся к приложениям, возникают в локальная служба Active Directory, необходимо синхронизировать атрибуты с пользователями из Active Directory с идентификатором Microsoft Entra. Если вы используете microsoft Entra Подключение, перед настройкой подготовки приложения необходимо выполнить следующие задачи.

  1. Обратитесь к администраторам домена локальная служба Active Directory, являются ли необходимые атрибуты частью класса объектов схемы User AD DS, и если они нет, расширьте схему служб домен Active Directory в доменах, где у этих пользователей есть учетные записи.

  2. Откройте мастер microsoft Entra Подключение, выберите "Задачи" и выберите "Настройка параметров синхронизации".

  3. Войдите в качестве гибридного удостоверения Администратор istrator.

  4. На странице Дополнительные возможности выберите пункт Синхронизация атрибутов расширений каталога.

  5. Выберите атрибуты, которые нужно расширить до идентификатора Microsoft Entra.

    Примечание.

    В поиске по доступным атрибутам учитывается регистр.

  6. Завершите мастер Подключение Microsoft Entra и разрешите выполнение полного цикла синхронизации. По завершении цикла схема расширяется, а новые значения синхронизируются между локальным AD и идентификатором Microsoft Entra.

Примечание.

Возможность подготавливать атрибуты ссылки из локальной службы AD, например managedby или DN/DistinguishedName, сейчас не поддерживается. Вы можете запросить эту функцию на веб-сайте User Voice.

Заполнение и использование нового атрибута

В Центре администрирования Microsoft Entra при редактировании сопоставлений атрибутов пользователя для единого входа или подготовки из Идентификатора Microsoft Entra в приложение список атрибутов Source теперь будет содержать добавленный атрибут в формате <attributename> (extension_<appID>_<attributename>), где appID является идентификатором приложения-заполнителя в вашем клиенте. Выберите атрибут и сопоставьте его с целевым приложением для подготовки.

Страница выбора расширений каталога Подключение мастера Microsoft Entra

Затем необходимо заполнить пользователей, назначенных приложению необходимым атрибутом, прежде чем включить подготовку приложения. Если атрибут не возникает в Active Directory, существует пять способов заполнения пользователей в массовом режиме:

  • Если свойства создаются в системе кадров, и вы подготавливаете работников из этой системы кадров в качестве пользователей в Active Directory, настройте сопоставление из Workday, SAP SuccessFactors или используете другую систему управления персоналом, используя входящий API кадров для атрибута Active Directory. Затем подождите, пока Microsoft Entra Подключение или Microsoft Entra Подключение облачная синхронизация для синхронизации этих обновлений, внесенных в схему Active Directory, и пользователей Active Directory в идентификатор Microsoft Entra.
  • Если свойства создаются в системе управления персоналом и не используют Active Directory, можно настроить сопоставление из Workday, SAP SuccessFactors или других пользователей с помощью входящего API атрибута пользователя Microsoft Entra.
  • Если свойства создаются в другой локальной системе, можно настроить средство MIM Подключение or для Microsoft Graph для создания или обновления пользователей Microsoft Entra.
  • Если свойства исходят от самих пользователей, вы можете попросить пользователей предоставить значения атрибута при запросе доступа к приложению, включив требования атрибута в каталог управления правами.
  • Во всех других ситуациях пользовательское приложение может обновить пользователей с помощью API Microsoft Graph .

Следующие шаги