Etablering på begäran i Microsoft Entra-ID

Använd etablering på begäran för att etablera en användare eller grupp på några sekunder. Du kan bland annat använda den här funktionen för att:

• Felsöka konfigurationsproblem snabbt.
• Verifiera uttryck som du har definierat.
• Testa omfångsfilter.

Så här använder du etablering på begäran

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst programadministratör.

2. Bläddra till Identity>Applications Enterprise-program>> och välj ditt program.
3. Välj Etablering.

2. Bläddra till Konfigurationer>för identitetssynkronisering>>mellan klientorganisationer
3. Välj din konfiguration och gå sedan till konfigurationssidan för etablering .

4. Konfigurera etablering genom att ange dina administratörsautentiseringsuppgifter.

5. Välj Etablera på begäran.

6. Sök efter en användare efter förnamn, efternamn, visningsnamn, användarens huvudnamn eller e-postadress. Du kan också söka efter en grupp och hämta upp till fem användare.

   Kommentar

   För Cloud HR-etableringsappen (Workday/SuccessFactors till Active Directory/Microsoft Entra ID) skiljer sig indatavärdet. För Workday-scenario anger du "WorkerID" eller "WID" för användaren i Workday. För SuccessFactors-scenariot anger du "personIdExternal" för användaren i SuccessFactors.

7. Välj Etablera längst ned på sidan.

   

Förstå etableringsstegen

Etableringsprocessen på begäran försöker visa de steg som etableringstjänsten vidtar när en användare etableras. Det finns vanligtvis fem steg för att etablera en användare. Ett eller flera av dessa steg, som beskrivs i följande avsnitt, visas under etableringen på begäran.

Steg 1: Testa anslutningen

Etableringstjänsten försöker auktorisera åtkomst till målsystemet genom att begära en "testanvändare". Etableringstjänsten förväntar sig ett svar som anger att tjänsten har behörighet att fortsätta med etableringsstegen. Det här steget visas bara när det misslyckas. Det visas inte under etableringen på begäran när steget lyckas.

Felsökningstips

• Kontrollera att du har angett giltiga autentiseringsuppgifter, till exempel den hemliga token och klient-URL:en, till målsystemet. De nödvändiga autentiseringsuppgifterna varierar beroende på program. Detaljerade konfigurationsguider finns i självstudielistan.
• Kontrollera att målsystemet stöder filtrering på matchande attribut som definierats i fönstret Attributmappningar . Du kan behöva kontrollera API-dokumentationen som tillhandahålls av programutvecklaren för att förstå vilka filter som stöds.
• För PROGRAM för System for Cross-domain Identity Management (SCIM) kan du använda ett verktyg som Postman. Sådana verktyg hjälper dig att se till att programmet svarar på auktoriseringsbegäranden på det sätt som Microsoft Entra-etableringstjänsten förväntar sig. Ta en titt på en exempelbegäran.

Steg 2: Importera användare

Därefter hämtar etableringstjänsten användaren från källsystemet. De användarattribut som tjänsten hämtar används senare för att:

• Utvärdera om användaren är i omfånget för etablering.
• Kontrollera målsystemet för en befintlig användare.
• Ta reda på vilka användarattribut som ska exporteras till målsystemet.

Visa detaljer

Avsnittet Visa information visar egenskaperna för den användare som importerades från källsystemet (till exempel Microsoft Entra-ID).

Felsökningstips

• Det går inte att importera användaren när det matchande attributet saknas på användarobjektet i källsystemet. Du kan lösa det här felet genom att prova någon av följande metoder:

  • Uppdatera användarobjektet med ett värde för det matchande attributet.
  • Ändra matchande attribut i etableringskonfigurationen.

• Om ett attribut som du förväntade dig saknas i den importerade listan kontrollerar du att attributet har ett värde på användarobjektet i källsystemet. Etableringstjänsten stöder för närvarande inte etablering av null-attribut.

• Kontrollera att sidan Attributmappning i etableringskonfigurationen innehåller det attribut som du förväntar dig.

Steg 3: Avgöra om användaren finns i omfånget

Därefter avgör etableringstjänsten om användaren är i omfånget för etablering. Tjänsten tar hänsyn till aspekter som:

• Om användaren är tilldelad till programmet.
• Om omfånget är inställt på Synkronisera tilldelad eller Synkronisera alla.
• Omfångsfilter som definierats i etableringskonfigurationen.

Visa detaljer

Avsnittet Visa information visar de omfångsvillkor som utvärderades. Du kan se en eller flera av följande egenskaper:

• Aktiv i källsystemet anger att användaren har egenskapen IsActive inställd på true i Microsoft Entra-ID.
• Tilldelad till programmet anger att användaren har tilldelats till programmet i Microsoft Entra-ID.
• Omfångssynkronisering anger att omfångsinställningen tillåter alla användare och grupper i klientorganisationen.
• Användaren har nödvändig roll anger att användaren har de roller som krävs för att etableras i programmet.
• Omfångsfilter visas också om du har definierat omfångsfilter för ditt program. Filtret visas med följande format: {omfångsfilterrubrik} {omfångsfilterattribut} {omfångsfilteroperator} {omfångsfiltervärde}.

Felsökningstips

• Kontrollera att du har definierat en giltig omfångsroll. Undvik till exempel att använda operatorn Greater_Than med ett icke-indelarvärde.
• Om användaren inte har den roll som krävs kan du läsa tipsen för att etablera användare som tilldelats standardåtkomstrollen.

Steg 4: Matcha användaren mellan källa och mål

I det här steget försöker tjänsten matcha användaren som hämtades i importsteget med en användare i målsystemet.

Visa detaljer

Sidan Visa information visar egenskaperna för de användare som matchades i målsystemet. Kontextfönstret ändras på följande sätt:

• Om inga användare matchas i målsystemet visas inga egenskaper.
• Om en användare matchar i målsystemet visas egenskaperna för användaren.
• Om flera användare matchar visas egenskaperna för båda användarna.
• Om flera matchande attribut ingår i attributmappningarna utvärderas varje matchande attribut sekventiellt och de matchade användarna för attributet visas.

Felsökningstips

• Etableringstjänsten kanske inte kan matcha en användare i källsystemet unikt med en användare i målet. Lös problemet genom att se till att det matchande attributet är unikt.
• Kontrollera att målsystemet stöder filtrering av attributet som definieras som matchande attribut.

Steg 5: Utför åtgärden

Slutligen vidtar etableringstjänsten en åtgärd, till exempel att skapa, uppdatera, ta bort eller hoppa över användaren.

Här är ett exempel på vad du kan se efter en användares lyckade etablering på begäran:

Visa detaljer

I avsnittet Visa information visas de attribut som har ändrats i målsystemet. Den här visningen representerar de slutliga utdata från etableringstjänstaktiviteten och attributen som exporterades. Om det här steget misslyckas representerar de attribut som visas de attribut som etableringstjänsten försökte ändra.

Felsökningstips

• Fel vid export av ändringar kan variera kraftigt. I dokumentationen för etableringsloggar finns vanliga fel.
• Etablering på begäran säger att gruppen eller användaren inte kan etableras eftersom de inte har tilldelats till programmet. Det finns en replikeringsfördröjning på upp till några minuter mellan när ett objekt tilldelas till ett program och när tilldelningen respekteras vid etablering på begäran. Du kan behöva vänta några minuter och försöka igen.

Vanliga frågor och svar

• Behöver du inaktivera etablering för att använda etablering på begäran? För program som använder en långlivad ägartoken eller ett användarnamn och lösenord för auktorisering krävs inga fler steg. Program som använder OAuth för auktorisering kräver för närvarande att etableringsjobbet stoppas innan etablering på begäran används. Program som G Suite, Box, Workplace by Facebook och Slack ingår i den här kategorin. Arbetet pågår för att stödja etablering på begäran för alla program utan att behöva sluta etablera jobb.

• Hur lång tid tar etablering på begäran? Etablering på begäran tar vanligtvis mindre än 30 sekunder.

Kända begränsningar

Det finns för närvarande några kända begränsningar för etablering på begäran. Publicera dina förslag och feedback så att vi bättre kan avgöra vilka förbättringar vi ska göra härnäst.

Kommentar

Följande begränsningar är specifika för etableringsfunktionen på begäran. Information om huruvida ett program stöder etableringsgrupper, borttagningar eller andra funktioner finns i självstudien för programmet.

• Etablering på begäran av grupper stöder uppdatering av upp till fem medlemmar åt gången. Anslut orer för synkronisering mellan klientorganisationer, Workday osv. stöder inte gruppetablering och stöder därför inte etablering på begäran av grupper.
• API:et för etableringsbegäran på begäran kan bara acceptera en enda grupp med upp till 5 medlemmar i taget.

• Etablering på begäran av grupper stöds inte för synkronisering mellan klientorganisationer.

• Etablering på begäran stöder etablering av en användare i taget via administrationscentret för Microsoft Entra.
• Det går inte att återställa en tidigare mjukt borttagen användare i målklientorganisationen med etablering på begäran. Om du försöker ta bort en användare med etablering på begäran och sedan återställa användaren kan det resultera i duplicerade användare.
• Etablering på begäran av roller stöds inte.
• Etablering på begäran stöder inaktivering av användare som inte har tilldelats från programmet. Den stöder dock inte inaktivering eller borttagning av användare som har inaktiverats eller tagits bort från Microsoft Entra-ID. Dessa användare visas inte när du söker efter en användare.
• Etablering på begäran stöder inte kapslade grupper som inte är direkt tilldelade till programmet.

Nästa steg

• Felsöka etablering