Öğretici - Azure Active Directory'de SaaS uygulamaları için kullanıcı sağlama öznitelik eşlemelerini özelleştirme

Microsoft Azure AD Salesforce, G Suite ve diğerleri gibi üçüncü taraf SaaS uygulamalarına kullanıcı sağlama desteği sağlar. Üçüncü taraf SaaS uygulaması için kullanıcı sağlamayı etkinleştirirseniz, Azure portal öznitelik değerlerini öznitelik eşlemeleri aracılığıyla denetler.

Başlamadan önce uygulama yönetimi ve çoklu oturum açma (SSO) kavramları hakkında bilgi sahibi olduğunuzdan emin olun. Aşağıdaki bağlantılara göz atın:

Azure AD kullanıcı nesneleri ile her SaaS uygulamasının kullanıcı nesneleri arasında önceden yapılandırılmış öznitelikler ve öznitelik eşlemeleri vardır. Bazı uygulamalar, Kullanıcılar ile birlikte Gruplar gibi diğer nesne türlerini yönetir.

Varsayılan öznitelik eşlemelerini iş gereksinimlerinize göre özelleştirebilirsiniz. Bu nedenle, var olan öznitelik eşlemelerini değiştirebilir veya silebilir ya da yeni öznitelik eşlemeleri oluşturabilirsiniz.

Kullanıcı özniteliği eşlemelerini düzenleme

Kullanıcı sağlamanın Eşlemeler özelliğine erişmek için şu adımları izleyin:

  1. Azure Active Directory portalında oturum açın.

  2. Sol bölmeden Kurumsal uygulamalar'ı seçin. Galeriden eklenen uygulamalar da dahil olmak üzere tüm yapılandırılmış uygulamaların listesi gösterilir.

  3. Raporları görüntüleyebileceğiniz ve uygulama ayarlarını yönetebileceğiniz uygulama yönetimi bölmesini yüklemek için herhangi bir uygulamayı seçin.

  4. Seçili uygulamanın kullanıcı hesabı sağlama ayarlarını yönetmek için Sağlama'ya tıklayın.

  5. Azure AD ile hedef uygulama arasında akan kullanıcı özniteliklerini görüntülemek ve düzenlemek için Eşlemeler'i genişletin. Hedef uygulama destekliyorsa, bu bölüm isteğe bağlı olarak grupların ve kullanıcı hesaplarının sağlanmasını yapılandırmanıza olanak tanır.

    Kullanıcı özniteliklerini görüntülemek ve düzenlemek için Eşlemeleri kullanma

  6. İlgili Öznitelik Eşlemesi ekranını açmak için bir Eşlemeler yapılandırması seçin. Bazı öznitelik eşlemeleri, SaaS uygulamasının düzgün çalışması için gereklidir. Gerekli öznitelikler için Delete özelliği kullanılamaz.

    Uygulamalar için öznitelik eşlemelerini yapılandırmak için Öznitelik Eşlemesi'ni kullanma

    Bu ekran görüntüsünde, Salesforce'ta yönetilen bir nesnenin Username özniteliğinin bağlantılı Azure Active Directory Nesnesinin userPrincipalName değeriyle doldurulduğunu görebilirsiniz.

    Not

    Oluştur'un temizlenmesi mevcut kullanıcıları etkilemez. Oluştur seçili değilse yeni kullanıcı oluşturamazsınız.

  7. Özniteliği Düzenle ekranını açmak için var olan bir Öznitelik Eşlemesi'ni seçin. Burada, Azure AD ile hedef uygulama arasında akan kullanıcı özniteliklerini düzenleyebilirsiniz.

    Kullanıcı özniteliklerini düzenlemek için Özniteliği Düzenle'yi kullanma

Öznitelik eşleme türlerini anlama

Öznitelik eşlemeleri ile, özniteliklerin üçüncü taraf SaaS uygulamasında nasıl doldurulamaya devam ettiğinizi denetlersiniz. Desteklenen dört farklı eşleme türü vardır:

  • Direct: hedef öznitelik, Azure AD'daki bağlantılı nesnenin özniteliğinin değeriyle doldurulur.
  • Sabit – hedef özniteliği belirttiğiniz belirli bir dizeyle doldurulur.
  • İfade - hedef öznitelik, betik benzeri bir ifadenin sonucuna göre doldurulur. Daha fazla bilgi için bkz . Azure Active Directory'de Attribute-Mappings için İfade Yazma.
  • Hiçbiri - hedef öznitelik değiştirilmeden bırakılır. Ancak, hedef öznitelik hiç boşsa, belirttiğiniz Varsayılan değerle doldurulur.

Bu dört temel türle birlikte, özel öznitelik eşlemeleri isteğe bağlı varsayılan değer ataması kavramını destekler. Varsayılan değer ataması, Azure AD veya hedef nesnede değer yoksa hedef özniteliğin bir değerle doldurulmasını sağlar. En yaygın yapılandırma, bu yapılandırmayı boş bırakmaktır.

Öznitelik eşleme özelliklerini anlama

Önceki bölümde, öznitelik eşleme türü özelliğine zaten tanıtıldınız. Öznitelik eşlemeleri bu özelliğin yanı sıra aşağıdaki öznitelikleri de destekler:

  • Kaynak özniteliği - Kaynak sistemdeki kullanıcı özniteliği (örnek: Azure Active Directory).
  • Hedef öznitelik – Hedef sistemdeki kullanıcı özniteliği (örnek: ServiceNow).
  • Null ise varsayılan değer (isteğe bağlı) - Kaynak öznitelik null olduğunda hedef sisteme geçirilecek değer. Bu değer yalnızca bir kullanıcı oluşturulduğunda sağlanır. Mevcut bir kullanıcı güncelleştirilirken "null olduğunda varsayılan değer" sağlanmaz. Örneğin, hedef sistemdeki tüm mevcut kullanıcıları belirli bir İş Unvanı ile sağlamak istiyorsanız (kaynak sistemde null olduğunda), şu ifadeyi kullanabilirsiniz: Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]). "Varsayılan Değer"i kaynak sistemde null olduğunda sağlamak istediğiniz değerle değiştirdiğinizden emin olun.
  • Bu özniteliği kullanarak nesneleri eşleştir – Bu eşlemenin kaynak ve hedef sistemler arasında kullanıcıları benzersiz olarak tanımlamak için kullanılıp kullanılmayacağı. Genellikle Azure AD'daki userPrincipalName veya mail özniteliğinde ayarlanır ve bu genellikle hedef uygulamadaki bir kullanıcı adı alanına eşlenir.
  • Eşleşen öncelik – Birden çok eşleşen öznitelik ayarlanabilir. Birden çok olduğunda, bunlar bu alan tarafından tanımlanan sırayla değerlendirilir. Eşleşme bulunduğu anda başka eşleşen öznitelikler değerlendirilmez. İstediğiniz sayıda eşleşen öznitelik ayarlayabilmenize karşın, eşleşen öznitelikler olarak kullandığınız özniteliklerin gerçekten benzersiz olup olmadığını ve özniteliklerle eşleşmesi gerekip gerekmediğini göz önünde bulundurun. Genellikle müşterilerin yapılandırmalarında 1 veya 2 eşleşen özniteliği vardır.
  • Bu eşlemeyi uygula
    • Her zaman – Bu eşlemeyi hem kullanıcı oluşturma hem de güncelleştirme eylemlerine uygulayın.
    • Yalnızca oluşturma sırasında - Bu eşlemeyi yalnızca kullanıcı oluşturma eylemlerine uygulayın.

Kaynak ve hedef sistemlerdeki eşleşen kullanıcılar

Azure AD sağlama hizmeti hem "yeşil alan" senaryolarında (kullanıcıların hedef sistemde mevcut olmadığı) hem de "brownfield" senaryolarında (kullanıcıların hedef sistemde zaten bulunduğu) dağıtılabilir. Sağlama hizmeti her iki senaryoyu da desteklemek için eşleşen öznitelikler kavramını kullanır. Eşleşen öznitelikler, kaynaktaki bir kullanıcıyı benzersiz olarak tanımlamayı ve hedefteki kullanıcıyı eşleştirmeyi belirlemenizi sağlar. Dağıtımınızı planlamanın bir parçası olarak, kaynak ve hedef sistemlerde bir kullanıcıyı benzersiz olarak tanımlamak için kullanılabilecek özniteliği tanımlayın. Dikkate almak gerekenler:

  • Eşleşen öznitelikler benzersiz olmalıdır: Müşteriler genellikle eşleşen öznitelik olarak userPrincipalName, posta veya nesne kimliği gibi öznitelikleri kullanır.
  • Eşleşen öznitelikler olarak birden çok öznitelik kullanılabilir: Kullanıcılar ve bunların değerlendirilme sırası (kullanıcı arabiriminde eşleşen öncelik olarak tanımlanır) eşleştirilirken değerlendirilecek birden çok öznitelik tanımlayabilirsiniz. Örneğin, eşleşen öznitelikler olarak üç öznitelik tanımlarsanız ve ilk iki öznitelik değerlendirildikten sonra bir kullanıcı benzersiz olarak eşleştirilirse, hizmet üçüncü özniteliği değerlendirmez. Hizmet, eşleşen öznitelikleri belirtilen sırayla değerlendirir ve eşleşme bulunduğunda değerlendirmeyi durdurur.
  • Kaynaktaki ve hedefteki değerin tam olarak eşleşmesi gerekmez: Hedefteki değer, kaynaktaki değerin basit bir işlevi olabilir. Bu nedenle, kaynakta bir emailAddress özniteliği ve hedefte userPrincipalName olabilir ve bazı karakterleri sabit bir değerle değiştiren emailAddress özniteliğinin bir işleviyle eşleşebilir.
  • Özniteliklerin birleşimine dayalı eşleştirme desteklenmez: Uygulamaların çoğu iki özelliğe göre sorgulamayı desteklemez. Bu nedenle, özniteliklerin bir bileşimine göre eşleştirmek mümkün değildir. Tek özelliklerin üzerinde bir diğerinde değerlendirilmesi mümkündür.
  • Tüm kullanıcıların en az bir eşleşen öznitelik değeri olmalıdır: Eşleşen bir öznitelik tanımlarsanız, tüm kullanıcıların kaynak sistemde bu öznitelik için bir değeri olmalıdır. Örneğin, eşleşen öznitelik olarak userPrincipalName tanımlarsanız, tüm kullanıcıların bir userPrincipalName'i olmalıdır. Birden çok eşleşen öznitelik tanımlarsanız (örneğin, hem extensionAttribute1 hem de posta), tüm kullanıcıların aynı eşleştirme özniteliğine sahip olması gerekmez. Bir kullanıcı extensionAttribute1'e sahip olabilir, ancak başka bir kullanıcının postası olabilir ancak extensionAttribute1 olmayabilir.
  • Hedef uygulama eşleşen öznitelikte filtrelemeyi desteklemelidir: Uygulama geliştiricileri, kullanıcı veya grup API'lerindeki özniteliklerin bir alt kümesi için filtrelemeye izin verir. Galerideki uygulamalar için varsayılan öznitelik eşlemesinin hedef uygulama API'sinin filtrelemeyi desteklediği bir öznitelik için olduğundan eminiz. Hedef uygulama için varsayılan eşleştirme özniteliğini değiştirirken, özniteliğin filtrelendiğinden emin olmak için üçüncü taraf API belgelerine bakın.

Grup özniteliği eşlemelerini düzenleme

ServiceNow, Box ve G Suite gibi seçili sayıda uygulama, Grup nesneleri ve Kullanıcı nesneleri sağlama özelliğini destekler. Grup nesneleri, grup üyeleriyle birlikte görünen adlar ve e-posta diğer adları gibi grup özelliklerini içerebilir.

Sağlanan Grup ve Kullanıcı nesneleriyle ServiceNow'ı gösteren örnek

Grup sağlama isteğe bağlı olarak etkinleştirilebilir veya devre dışı bırakılabilir. Eşlemeler'in altında grup eşlemesi seçilebilir ve Öznitelik Eşlemesi ekranında istediğiniz seçeneğe Etkinleştirildi ayarı yapılabilir.

Group nesnelerinin parçası olarak sağlanan öznitelikler, daha önce açıklanan User nesneleriyle aynı şekilde özelleştirilebilir.

İpucu

Grup nesnelerinin (özellikler ve üyeler) sağlanması, bir uygulamaya grup atamaktan farklı bir kavramdır. Bir gruba bir uygulama atamak mümkündür, ancak yalnızca grupta yer alan kullanıcı nesnelerini sağlar. Atamalarda grupları kullanmak için tam grup nesnelerinin sağlanması gerekmez.

Desteklenen öznitelikler listesini düzenleme

Belirli bir uygulama için desteklenen kullanıcı öznitelikleri önceden yapılandırılmıştır. Çoğu uygulamanın kullanıcı yönetimi API'leri şema bulmayı desteklemez. Bu nedenle Azure AD sağlama hizmeti, uygulamaya çağrılar yaparak desteklenen özniteliklerin listesini dinamik olarak oluşturamaz.

Ancak bazı uygulamalar özel öznitelikleri destekler ve Azure AD sağlama hizmeti özel öznitelikleri okuyabilir ve yazabilir. Tanımlarını Azure portal girmek için, Öznitelik Eşleme ekranının alt kısmındaki Gelişmiş seçenekleri göster onay kutusunu seçin ve ardından uygulamanız için Öznitelik listesini düzenle'yi seçin.

Öznitelik listesini özelleştirmeyi destekleyen uygulamalar ve sistemler şunlardır:

  • Salesforce
  • ServiceNow
  • Workday'i Active Directory'ye / Workday'i Azure Active Directory'ye
  • SuccessFactors'ı Active Directory'ye/ SuccessFactors'ı Azure Active Directory'ye
  • Azure Active Directory (Azure AD Graph API varsayılan öznitelikler ve özel dizin uzantıları desteklenir). Uzantılar ve bilinen sınırlamalaroluşturma hakkında daha fazla bilgi edinin.
  • SCIM 2.0'ı destekleyen uygulamalar
  • Azure Active Directory'nin Workday veya SuccessFactors'a geri yazması için, desteklenen öznitelikler (XPATH ve JSONPath) için ilgili meta verilerin güncelleştirilmesi desteklenir, ancak varsayılan şemada yer alanların ötesine yeni Workday veya SuccessFactors özniteliklerinin eklenmesi desteklenmez

Not

Desteklenen öznitelikler listesinin düzenlenmesi yalnızca uygulamalarının ve sistemlerinin şemasını özelleştirmiş ve özel özniteliklerinin nasıl tanımlandığı veya Azure Portal kullanıcı arabiriminde bir kaynak özniteliğin otomatik olarak görüntülenmediği konusunda ilk elden bilgi sahibi olan yöneticiler için önerilir. Bu bazen bir uygulama veya sistem tarafından sağlanan API'ler ve geliştirici araçları hakkında bilgi sahibi olmayı gerektirir. Desteklenen özniteliklerin listesini düzenleme özelliği varsayılan olarak kilitlenir, ancak müşteriler şu URL'ye giderek özelliği etkinleştirebilir: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true . Ardından, yukarıda açıklandığı gibi öznitelik listesini görüntülemek için uygulamanıza gidebilirsiniz.

Not

Azure AD'daki bir dizin uzantısı özniteliği, öznitelik eşleme açılan listenizde otomatik olarak gösterilmediğinde, bunu "Azure AD öznitelik listesine" el ile ekleyebilirsiniz. Sağlama uygulamanıza Azure AD dizin uzantısı özniteliklerini el ile eklerken, dizin uzantısı öznitelik adlarının büyük/küçük harfe duyarlı olduğunu unutmayın. Örneğin: adlı extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenterbir dizin uzantısı özniteliğiniz varsa, bunu dizinde tanımlanan biçimde girdiğinizden emin olun.

Desteklenen öznitelikler listesini düzenlerken aşağıdaki özellikler sağlanır:

  • Ad - Hedef nesnenin şemasında tanımlandığı gibi özniteliğin sistem adı.
  • Tür - Hedef nesnenin şemasında tanımlandığı gibi özniteliğin depoladığı veri türü, aşağıdaki türlerden biri olabilir:
    • İkili - Öznitelik ikili verileri içerir.
    • Boolean - Öznitelik bir True veya False değeri içerir.
    • DateTime - Öznitelik bir tarih dizesi içerir.
    • Integer - Öznitelik bir tamsayı içerir.
    • Başvuru - Öznitelik, hedef uygulamadaki başka bir tabloda depolanan bir değere başvuran bir kimlik içerir.
    • String - Öznitelik bir metin dizesi içerir.
  • Birincil Anahtar mı? - Özniteliğin hedef nesnenin şemasında birincil anahtar alanı olarak tanımlanıp tanımlanmadığı.
  • Gerekli mi? - Özniteliğin hedef uygulamada veya sistemde doldurulmak için gerekli olup olmadığı.
  • Çok değerli mi? - Özniteliğin birden çok değeri destekleyip desteklemediği.
  • Tam dava mı? - Öznitelik değerlerinin büyük/küçük harfe duyarlı bir şekilde değerlendirilip değerlendirilmediği.
  • API İfadesi - Belirli bir sağlama bağlayıcısına (Workday gibi) yönelik belgelerde yönerge olmadıkça kullanmayın.
  • Başvuruda Bulunılan Nesne Özniteliği - Bu bir Başvuru türü özniteliğiyse, bu menü öznitelikle ilişkili değeri içeren hedef uygulamada tabloyu ve özniteliği seçmenize olanak tanır. Örneğin, depolanmış değeri ayrı bir "Departmanlar" tablosundaki bir nesneye başvuran "Departman" adlı bir özniteliğiniz varsa, "Departments.Name" seçeneğini belirleyebilirsiniz. Belirli bir uygulama için desteklenen başvuru tabloları ve birincil kimlik alanları önceden yapılandırılmıştır ve şu anda Azure portal kullanılarak düzenlenemez, ancak Microsoft Graph API kullanılarak düzenlenebilir.

SCIM uyumlu bir uygulamaya özel uzantı özniteliği sağlama

SCIM RFC, temel bir kullanıcı ve grup şeması tanımlarken, uygulamanızın gereksinimlerini karşılamak için şemaya uzantılar da sağlar. Bir SCIM uygulamasına özel öznitelik eklemek için:

  1. Azure Active Directory portalında oturum açın, Kurumsal Uygulamalar'ı seçin, uygulamanızı ve ardından Sağlama'yı seçin.
  2. Eşlemeler'in altında, özel öznitelik eklemek istediğiniz nesneyi (kullanıcı veya grup) seçin.
  3. Sayfanın alt kısmında Gelişmiş seçenekleri göster'i seçin.
  4. AppName için Öznitelik listesini düzenle'yi seçin.
  5. Öznitelik listesinin en altına, sağlanan alanlara özel öznitelik hakkındaki bilgileri girin. Ardından Öznitelik Ekle'yi seçin.

SCIM uygulamaları için öznitelik adı aşağıdaki örnekte gösterilen desene uygun olmalıdır. "CustomExtensionName" ve "CustomAttribute" uygulamanızın gereksinimlerine göre özelleştirilebilir, örneğin: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute

Bu yönergeler yalnızca SCIM özellikli uygulamalar için geçerlidir. ServiceNow ve Salesforce gibi uygulamalar SCIM kullanan Azure AD ile tümleştirilmemiştir ve bu nedenle özel bir öznitelik eklerken bu belirli ad alanını gerektirmezler.

Özel öznitelikler bilgi öznitelikleri, çok değerli veya karmaşık türde öznitelikler olamaz. Özel çok değerli ve karmaşık türdeki uzantı öznitelikleri şu anda yalnızca galerideki uygulamalar için desteklenmektedir. Özel uzantı şeması üst bilgisi, Azure AD SCIM istemcisinden gelen isteklerde gönderilmediğinden aşağıdaki örnekte atlanmıştır. Bu sorun gelecekte düzeltilecek ve üst bilgi istekte gönderilecektir.

Uzantı özniteliğine sahip bir kullanıcının örnek gösterimi:

   {
     "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
     "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
     "userName":"bjensen",
     "id": "48af03ac28ad4fb88478",
     "externalId":"bjensen",
     "name":{
       "formatted":"Ms. Barbara J Jensen III",
       "familyName":"Jensen",
       "givenName":"Barbara"
     },
     "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
     "employeeNumber": "701984",
     "costCenter": "4130",
     "organization": "Universal Studios",
     "division": "Theme Park",
     "department": "Tour Operations",
     "manager": {
       "value": "26118915-6090-4610-87e4-49d8ca9f808d",
       "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
       "displayName": "John Smith"
     }
   },
     "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
     "CustomAttribute": "701984",
   },
   "meta": {
     "resourceType": "User",
     "created": "2010-01-23T04:56:22Z",
     "lastModified": "2011-05-13T04:42:34Z",
     "version": "W\/\"3694e05e9dff591\"",
     "location":
 "https://example.com/v2/Users/2819c223-7f76-453a-919d-413861904646"
   }
 }

SCIM uygulamasına rol sağlama

Bir kullanıcıya uygulamanıza rol sağlamak için aşağıdaki adımları kullanın. Aşağıdaki açıklamanın özel SCIM uygulamalarına özgü olduğunu unutmayın. Salesforce ve ServiceNow gibi galeri uygulamaları için önceden tanımlanmış rol eşlemelerini kullanın. Aşağıdaki madde işaretleri AppRoleAssignments özniteliğini uygulamanızın beklediği biçime dönüştürmeyi açıklar.

  • Azure AD içindeki bir appRoleAssignment öğesini uygulamanızdaki bir role eşlemek için özniteliği bir ifade kullanarak dönüştürmeniz gerekir. appRoleAssignment özniteliği, rol ayrıntılarını ayrıştırmak için bir ifade kullanılmadan doğrudan bir rol özniteliğine eşlenmemelidir .

  • SingleAppRoleAssignment

    • Ne zaman kullanılır: Bir kullanıcı için tek bir rol sağlamak ve birincil rolü belirtmek için SingleAppRoleAssignment ifadesini kullanın.
    • Yapılandırma: Öznitelik eşlemeleri sayfasına gitmek için yukarıda açıklanan adımları kullanın ve roles özniteliğine eşlemek için SingleAppRoleAssignment ifadesini kullanın. (roles[primary eq "True"].display, roles[primary eq "True"].typeve roles[primary eq "True"].value) arasından seçim yapabileceğiniz üç rol özniteliği vardır. Eşlemelerinize rol özniteliklerinin herhangi birini veya tümünü eklemeyi seçebilirsiniz. Birden fazla eşleme eklemek isterseniz, yeni bir eşleme ekleyin ve bunu hedef öznitelik olarak ekleyin.

    SingleAppRoleAssignment Ekleme

    • Dikkat edilmesi gereken noktalar
      • Kullanıcıya birden çok rol atanmadığından emin olun. Hangi rolün sağılacağını garanti edemeyiz.
      • SingleAppRoleAssignments, kapsamı "Tüm kullanıcıları ve grupları eşitle" olarak ayarlamakla uyumlu değildir.
    • Örnek istek (POST)
      {
        "schemas": [
            "urn:ietf:params:scim:schemas:core:2.0:User"
        ],
        "externalId": "alias",
        "userName": "alias@contoso.OnMicrosoft.com",
        "active": true,
        "displayName": "First Name Last Name",
        "meta": {
             "resourceType": "User"
        },
        "roles": [
           {
                 "primary": true,
                 "type": "WindowsAzureActiveDirectoryRole",
                 "value": "Admin"
           }
        ]
    }
    
    • Örnek çıkış (PATCH)
    "Operations": [
       {
         "op": "Add",
         "path": "roles",
         "value": [
           {
             "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
           }
         ]
    

PATCH ve POST'taki istek biçimleri farklıdır. POST ve PATCH'in aynı biçimde gönderilmesini sağlamak için burada açıklanan özellik bayrağını kullanabilirsiniz.

  • AppRoleAssignmentsComplex

    • Ne zaman kullanılır: Bir kullanıcıya birden çok rol sağlamak için AppRoleAssignmentsComplex ifadesini kullanın.

    • Yapılandırma: Roller için yeni bir öznitelik eklemek için yukarıda açıklandığı gibi desteklenen öznitelikler listesini düzenleyin:

      Rolleri ekleme

      Ardından, aşağıdaki görüntüde gösterildiği gibi özel rol özniteliğine eşlemek için AppRoleAssignmentsComplex ifadesini kullanın:

      AppRoleAssignmentsComplex ekleme

    • Dikkat edilmesi gereken noktalar

      • Tüm roller birincil = false olarak sağlanacaktır.
      • POST rol türünü içerir. PATCH isteği tür içermiyor. Türü hem POST hem de PATCH isteklerinde göndermeye çalışıyoruz.
      • AppRoleAssignmentsComplex, kapsamı "Tüm kullanıcıları ve grupları eşitle" olarak ayarlamakla uyumlu değildir.
    • Örnek çıkış

    {
         "schemas": [
             "urn:ietf:params:scim:schemas:core:2.0:User"
        ],
        "externalId": "alias",
        "userName": "alias@contoso.OnMicrosoft.com",
        "active": true,
        "displayName": "First Name Last Name",
        "meta": {
             "resourceType": "User"
        },
        "roles": [
           {
                 "primary": false,
                 "type": "WindowsAzureActiveDirectoryRole",
                 "display": "Admin",
                 "value": "Admin"
           },
           {
                 "primary": false,
                 "type": "WindowsAzureActiveDirectoryRole",
                 "display": "User",
               "value": "User"
           }
        ]
    }
    

Çok değerli öznitelik sağlama

PhoneNumbers ve e-postalar gibi bazı öznitelikler, farklı türlerde telefon numarası veya e-posta belirtmeniz gerekebilecek çok değerli özniteliklerdir. Çok değerli öznitelikler için aşağıdaki ifadeyi kullanın. Öznitelik türünü belirtmenize ve değerin ilgili Azure AD kullanıcı özniteliğiyle eşlemenize olanak tanır.

  • phoneNumbers[type eq "work"].value

  • phoneNumbers[type eq "mobile"].value

  • phoneNumbers[type eq "fax"].value

    "phoneNumbers": [
         {
           "value": "555-555-5555",
           "type": "work"
        },
        {
           "value": "555-555-5555",
           "type": "mobile"
        },
        {
           "value": "555-555-5555",
           "type": "fax"
        }
    ]
    

Varsayılan öznitelikleri ve öznitelik eşlemelerini geri yükleme

Baştan başlayıp mevcut eşlemelerinizi varsayılan durumlarına geri döndürmeniz gerekirse, Varsayılan eşlemeleri geri yükle onay kutusunu seçip yapılandırmayı kaydedebilirsiniz. Bunu yaptığınızda tüm eşlemeler ve kapsam filtreleri uygulama galerisinden uygulama Azure AD kiracınıza yeni eklenmiş gibi ayarlar.

Bu seçeneğin seçilmesi, sağlama hizmeti çalışırken tüm kullanıcıların yeniden eşitlenmesine etkili bir şekilde zorlanır.

Önemli

Bu seçeneği çağırmadan önce Sağlama durumununKapalı olarak ayarlanmasını kesinlikle öneririz.

Bilmeniz gerekenler

  • Microsoft Azure AD, eşitleme işleminin verimli bir şekilde uygulanmasını sağlar. Başlatılan bir ortamda, eşitleme döngüsü sırasında yalnızca güncelleştirme gerektiren nesneler işlenir.
  • Öznitelik eşlemelerinin güncelleştirilmesi, eşitleme döngüsünün performansını etkiler. Öznitelik eşleme yapılandırmasına yönelik bir güncelleştirme, tüm yönetilen nesnelerin yeniden değerlendirilmesini gerektirir.
  • Önerilen en iyi yöntem, öznitelik eşlemelerinizde ardışık değişikliklerin sayısını en az düzeyde tutmaktır.
  • Fotoğraf eşitleme biçimini belirtemediğiniz için, uygulamaya sağlanacak bir fotoğraf özniteliğinin eklenmesi bugün desteklenmiyor. Özelliği User Voice'te isteyebilirsiniz
  • IsSoftDeleted özniteliği genellikle bir uygulama için varsayılan eşlemelerin bir parçasıdır. IsSoftdeleted dört senaryodan birinde doğru olabilir (kullanıcı uygulamadan atanmadığından kapsam dışında, kapsam filtresi karşılanmaması nedeniyle kullanıcı kapsam dışında, kullanıcı Azure AD geçici olarak silinmiş veya AccountEnabled özelliği kullanıcıda false olarak ayarlanmış). IsSoftDeleted özniteliğini öznitelik eşlemelerinizden kaldırmanız önerilmez.
  • Azure AD sağlama hizmeti null değer sağlamayı desteklemez.
  • Bunlar genellikle "KIMLIK" olan birincil anahtar, öznitelik eşlemelerinize hedef öznitelik olarak dahil edilmemelidir.
  • Rol özniteliğinin genellikle doğrudan eşleme yerine bir ifade kullanılarak eşlenmesi gerekir. Rol eşleme hakkında daha fazla bilgi için yukarıdaki bölüme bakın.
  • Grupları eşlemelerinizden devre dışı bırakabilirsiniz ancak kullanıcıları devre dışı bırakmak desteklenmez.

Sonraki adımlar