Microsoft Entra Id'de Uygulama Sağlama nasıl çalışır?
Otomatik sağlama, kullanıcıların erişmesi gereken bulut uygulamalarında kullanıcı kimlikleri ve rolleri oluşturmayı ifade eder. Otomatik sağlama, kullanıcı kimlikleri oluşturmaya ek olarak, durum veya roller değiştikçe kullanıcı kimliklerinin bakımını ve kaldırılmasını da içerir. Bir dağıtıma başlamadan önce, Microsoft Entra sağlamanın nasıl çalıştığını öğrenmek ve yapılandırma önerileri almak için bu makaleyi gözden geçirebilirsiniz.
Microsoft Entra sağlama hizmeti, uygulama satıcısı veya şirket içi sağlama aracısı tarafından sağlanan Etki Alanları Arası Kimlik Yönetimi (SCIM) 2.0 kullanıcı yönetimi API uç noktasına bağlanarak kullanıcıları SaaS uygulamalarına ve diğer sistemlere sağlar. Bu SCIM uç noktası, Microsoft Entra Id'nin kullanıcıları program aracılığıyla oluşturmasına, güncelleştirmesine ve kaldırmasına olanak tanır. Seçilen uygulamalar için sağlama hizmeti, gruplar gibi kimlikle ilgili ek nesneler de oluşturabilir, güncelleştirebilir ve kaldırabilir. Microsoft Entra Id ile uygulama arasında sağlama için kullanılan kanal HTTPS TLS 1.2 şifrelemesi kullanılarak şifrelenir.
Şekil 1: Microsoft Entra sağlama hizmeti
Şekil 2: Microsoft Entra Id'den popüler SaaS uygulamalarına "Giden" kullanıcı sağlama iş akışı
Şekil 3: Popüler İnsan Sermayesi Yönetimi (HCM) uygulamalarından Microsoft Entra Id ve Windows Server Active Directory'ye "Gelen" kullanıcı sağlama iş akışı
SCIM 2.0 kullanarak sağlama
Microsoft Entra sağlama hizmeti, otomatik sağlama için SCIM 2.0 protokolunu kullanır. Hizmet, uygulamanın SCIM uç noktasına bağlanır ve scim kullanıcı nesnesi şemasını ve REST API'lerini kullanarak kullanıcıların ve grupların sağlamasını ve sağlamasını kaldırmayı otomatikleştirir. Microsoft Entra galerisindeki çoğu uygulama için SCIM tabanlı sağlama bağlayıcısı sağlanır. Geliştiriciler, sağlama hizmetiyle tümleşen uygulamaları için uç noktalar oluşturmak üzere Microsoft Entra Id'deki SCIM 2.0 kullanıcı yönetimi API'sini kullanır. Ayrıntılar için bkz . SCIM uç noktası oluşturma ve kullanıcı sağlamayı yapılandırma. Şirket içi sağlama aracısı ayrıca Microsoft Entra SCIM işlemlerini LDAP, SQL, REST veya SOAP, PowerShell, özel bir ECMA bağlayıcısına yapılan çağrılar veya iş ortakları tarafından oluşturulan bağlayıcılar ve ağ geçitlerine de çevirir.
Şu anda olmayan bir uygulama için otomatik Microsoft Entra sağlama bağlayıcısı istemek için bkz . Microsoft Entra Uygulama İsteği.
İzin
Microsoft Entra Id'nin uygulamanın kullanıcı yönetimi API'sine bağlanması için kimlik bilgileri gereklidir. Bir uygulama için otomatik kullanıcı sağlamayı yapılandırırken geçerli kimlik bilgileri girmeniz gerekir. Galeri uygulamaları için uygulama öğreticisine bakarak uygulamanın kimlik bilgisi türlerini ve gereksinimlerini bulabilirsiniz. Galeri dışı uygulamalarda, kimlik bilgisi türlerini ve gereksinimlerini anlamak için SCIM belgelerine başvurabilirsiniz. Microsoft Entra yönetim merkezinde, sağlanan kimlik bilgilerini kullanarak Microsoft Entra Id'nin uygulamanın sağlama uygulamasına bağlanma girişiminde bulunarak kimlik bilgilerini test edebilirsiniz.
Eşleme öznitelikleri
Üçüncü taraf SaaS uygulaması için kullanıcı sağlamayı etkinleştirdiğinizde, Microsoft Entra yönetim merkezi öznitelik değerlerini öznitelik eşlemeleri aracılığıyla denetler. Eşlemeler, kullanıcı hesapları sağlandığında veya güncelleştirildiğinde Microsoft Entra Id ile hedef uygulama arasında akan kullanıcı özniteliklerini belirler.
Microsoft Entra kullanıcı nesneleri ve her SaaS uygulamasının kullanıcı nesneleri arasında önceden yapılandırılmış öznitelikler ve öznitelik eşlemeleri kümesi vardır. Bazı uygulamalar, Kullanıcılar ile birlikte Gruplar gibi diğer nesne türlerini yönetir.
Sağlamayı ayarlarken, Microsoft Entra Id'den uygulamaya hangi kullanıcı (veya grup) özelliklerinin akışını tanımlayan öznitelik eşlemelerini ve iş akışlarını gözden geçirmek ve yapılandırmak önemlidir. İki sistem arasındaki kullanıcıları/grupları benzersiz olarak tanımlamak ve eşleştirmek için kullanılan eşleşen özelliği (Bu özniteliği kullanarak nesneleri eşleştir) gözden geçirin ve yapılandırın.
Varsayılan öznitelik eşlemelerini iş gereksinimlerinize göre özelleştirebilirsiniz. Bu nedenle, mevcut öznitelik eşlemelerini değiştirebilir veya silebilir ya da yeni öznitelik eşlemeleri oluşturabilirsiniz. Ayrıntılar için bkz . SaaS uygulamaları için kullanıcı sağlama öznitelik eşlemelerini özelleştirme.
SaaS uygulamasına sağlamayı yapılandırırken, belirtebileceğiniz öznitelik eşlemesi türlerinden biri ifade eşlemesidir. Bu eşlemeler için, kullanıcılarınızın verilerini SaaS uygulaması için daha kabul edilebilir biçimlere dönüştürmenizi sağlayan betik benzeri bir ifade yazmanız gerekir. Ayrıntılar için bkz . Öznitelik eşlemeleri için ifade yazma.
Kapsam
Atama tabanlı kapsam belirleme
Microsoft Entra Id'den SaaS uygulamasına giden sağlama için kullanıcı veya grup atamalarına güvenmek, sağlama kapsamındaki kullanıcıları belirlemenin en yaygın yoludur. Kullanıcı atamaları çoklu oturum açmayı etkinleştirmek için de kullanıldığından, hem erişimi hem de sağlamayı yönetmek için aynı yöntem kullanılabilir. Atama tabanlı kapsam, Workday ve Successfactors gibi gelen sağlama senaryoları için geçerli değildir.
Grup. Microsoft Entra ID P1 veya P2 lisans planıyla, saas uygulamasına erişim atamak için grupları kullanabilirsiniz. Ardından, sağlama kapsamı Yalnızca atanan kullanıcıları ve grupları eşitle olarak ayarlandığında, Microsoft Entra sağlama hizmeti, kullanıcıların uygulamaya atanmış bir grubun üyesi olup olmadıklarına bağlı olarak kullanıcıları sağlar veya sağlamasını geri alır. Uygulama grup nesnelerini desteklemediği sürece grup nesnesinin kendisi sağlanmaz. Uygulamanıza atanan grupların "SecurityEnabled" özelliğinin "True" olarak ayarlandığından emin olun.
Dinamik gruplar. Microsoft Entra kullanıcı sağlama hizmeti, dinamik üyelik gruplarında kullanıcıları okuyabilir ve sağlayabilir. Bu uyarıları ve önerileri göz önünde bulundurun:
Dinamik gruplar, Microsoft Entra Id'den SaaS uygulamalarına uçtan uca sağlamanın performansını etkileyebilir.
Dinamik gruptaki bir kullanıcının SaaS uygulamasında ne kadar hızlı sağlandığı veya sağlamasını kaldırabileceği, dinamik grubun üyelik değişikliklerini ne kadar hızlı değerlendirebileceğine bağlıdır. Dinamik grubun işleme durumunu denetleme hakkında bilgi için bkz . Üyelik kuralı için işleme durumunu denetleme.
Bir kullanıcı dinamik grupta üyeliğini kaybettiğinde, bu bir sağlama kaldırma olayı olarak kabul edilir. Dinamik üyelik grupları için kurallar oluştururken bu senaryoya göz önünde bulundurun.
İç içe gruplar. Microsoft Entra kullanıcı sağlama hizmeti iç içe gruplardaki kullanıcıları okuyamaz veya sağlayamaz. Hizmet yalnızca açıkça atanmış bir grubun hemen üyesi olan kullanıcıları okuyabilir ve sağlayabilir. "Uygulamalara yönelik grup tabanlı atamaların" bu sınırlaması çoklu oturum açmayı da etkiler (bkz . SaaS uygulamalarına erişimi yönetmek için grup kullanma). Bunun yerine, sağlanması gereken kullanıcıları içeren gruplara doğrudan kapsam atayın veya başka bir şekilde kapsam belirleyin.
Öznitelik tabanlı kapsam belirleme
Bir uygulamaya hangi kullanıcıların sağlandığını belirleyen öznitelik tabanlı kurallar tanımlamak için kapsam filtreleri kullanabilirsiniz. Bu yöntem genellikle HCM uygulamalarından Microsoft Entra Id ve Active Directory'ye gelen sağlama için kullanılır. Kapsam belirleme filtreleri, her Microsoft Entra kullanıcı sağlama bağlayıcısı için öznitelik eşlemelerinin bir parçası olarak yapılandırılır. Öznitelik tabanlı kapsam filtreleri yapılandırma hakkında ayrıntılı bilgi için bkz . Kapsam filtreleri ile öznitelik tabanlı uygulama sağlama.
B2B (konuk) kullanıcılar
Microsoft Entra id'deki B2B (konuk) kullanıcıları SaaS uygulamalarına sağlamak için Microsoft Entra kullanıcı sağlama hizmetini kullanmak mümkündür. Ancak B2B kullanıcılarının Microsoft Entra Id kullanarak SaaS uygulamasında oturum açması için SaaS uygulamasını, Güvenlik Onay İşaretleme Dili (SAML) kimlik sağlayıcısı olarak Microsoft Entra Id kullanacak şekilde el ile yapılandırmanız gerekir.
B2B (konuk) kullanıcıları için SaaS uygulamalarını yapılandırırken şu genel yönergeleri izleyin:
- Uygulamaların çoğu için kullanıcı kurulumunun el ile yapılması gerekir. Kullanıcıların uygulamada da el ile oluşturulması gerekir.
- Dropbox gibi otomatik kurulumu destekleyen uygulamalar için uygulamalardan ayrı davetler oluşturulur. Kullanıcıların her daveti kabul etmelerini sağlamalıdır.
- Kullanıcı özniteliklerinde, konuk kullanıcılarda bozuk kullanıcı profili diski (UPD) ile ilgili sorunları azaltmak için her zaman kullanıcı tanımlayıcısını user.mail olarak ayarlayın.
Not
B2B işbirliği kullanıcısı için userPrincipalName, dış kullanıcının e-posta adresini alias@theirdomain "alias_theirdomain#EXT#@yourdomain" olarak temsil eder. userPrincipalName özniteliği öznitelik eşlemelerinize kaynak öznitelik olarak eklendiğinde ve bir B2B kullanıcısı sağlandığında, #EXT# ve etki alanınız userPrincipalName'den çıkarılır, bu nedenle eşleştirme veya sağlama için yalnızca özgün alias@theirdomain kullanılır. #EXT# ve etki alanınız dahil olmak üzere tam kullanıcı asıl adına ihtiyacınız varsa, kaynak öznitelik olarak userPrincipalName değerini originalUserPrincipalName ile değiştirin.
userPrincipalName = alias@theirdomain
originalUserPrincipalName = alias_theirdomain#EXT#@yourdomain
Sağlama döngüleri: İlk ve artımlı
Kaynak sistem Microsoft Entra Id olduğunda, sağlama hizmeti kullanıcıları ve grupları izlemek için Microsoft Graph verilerindeki değişiklikleri izlemek için delta sorgusunu kullanır. Sağlama hizmeti, kaynak sisteme ve hedef sisteme karşı bir başlangıç döngüsü çalıştırır ve ardından düzenli aralıklarla artımlı döngüler izler.
İlk döngü
Sağlama hizmeti başlatıldığında ilk döngü şunları yapacaktır:
Öznitelik eşlemelerinde tanımlanan tüm öznitelikleri alarak kaynak sistemdeki tüm kullanıcıları ve grupları sorgulayın.
Yapılandırılmış atamaları veya öznitelik tabanlı kapsam filtrelerini kullanarak döndürülen kullanıcıları ve grupları filtreleyin.
Bir kullanıcı atandığında veya sağlama kapsamında olduğunda, hizmet belirtilen eşleşen öznitelikleri kullanarak eşleşen bir kullanıcı için hedef sistemi sorgular. Örnek: Kaynak sistemdeki userPrincipal adı eşleşen öznitelikse ve hedef sistemdeki userName ile eşleniyorsa, sağlama hizmeti kaynak sistemdeki userPrincipal ad değerleriyle eşleşen userName'ler için hedef sistemi sorgular.
Hedef sistemde eşleşen bir kullanıcı bulunmazsa, kaynak sistemden döndürülen öznitelikler kullanılarak oluşturulur. Kullanıcı hesabı oluşturulduktan sonra, sağlama hizmeti yeni kullanıcı için hedef sistemin kimliğini algılar ve önbelleğe alır. Bu kimlik, gelecekteki tüm işlemleri bu kullanıcı üzerinde çalıştırmak için kullanılır.
Eşleşen bir kullanıcı bulunursa, kaynak sistem tarafından sağlanan öznitelikler kullanılarak güncelleştirilir. Kullanıcı hesabı eşleştirildikten sonra, sağlama hizmeti yeni kullanıcı için hedef sistemin kimliğini algılar ve önbelleğe alır. Bu kimlik, gelecekteki tüm işlemleri bu kullanıcı üzerinde çalıştırmak için kullanılır.
Öznitelik eşlemeleri "başvuru" öznitelikleri içeriyorsa, hizmet başvuruda bulunup bağlantı kurmak için hedef sistemde daha fazla güncelleştirme yapar. Örneğin, bir kullanıcının hedef sistemde oluşturulan başka bir kullanıcıya bağlı olan "Manager" özniteliği olabilir.
Sonraki artımlı döngüler için başlangıç noktası sağlayan ilk döngünün sonunda filigranı kalıcı hale getirir.
ServiceNow, G Suite ve Box gibi bazı uygulamalar yalnızca kullanıcıları sağlamayı değil, aynı zamanda grupları ve üyeleri sağlamayı da destekler. Bu gibi durumlarda, eşlemelerde grup sağlama etkinleştirilirse, sağlama hizmeti kullanıcıları ve grupları eşitler ve daha sonra dinamik üyelik grubunu eşitler.
Artımlı döngüler
İlk döngüden sonra diğer tüm döngüler şunları yapacaktır:
Son filigran depolandığından bu yana güncelleştirilmiş tüm kullanıcılar ve gruplar için kaynak sistemi sorgulayın.
Yapılandırılmış atamaları veya öznitelik tabanlı kapsam filtrelerini kullanarak döndürülen kullanıcıları ve grupları filtreleyin.
Bir kullanıcı atandığında veya sağlama kapsamında olduğunda, hizmet belirtilen eşleşen öznitelikleri kullanarak eşleşen bir kullanıcı için hedef sistemi sorgular.
Hedef sistemde eşleşen bir kullanıcı bulunmazsa, kaynak sistemden döndürülen öznitelikler kullanılarak oluşturulur. Kullanıcı hesabı oluşturulduktan sonra, sağlama hizmeti yeni kullanıcı için hedef sistemin kimliğini algılar ve önbelleğe alır. Bu kimlik, gelecekteki tüm işlemleri bu kullanıcı üzerinde çalıştırmak için kullanılır.
Eşleşen bir kullanıcı bulunursa, kaynak sistem tarafından sağlanan öznitelikler kullanılarak güncelleştirilir. Yeni atanan ve eşleşen bir hesapsa, sağlama hizmeti yeni kullanıcı için hedef sistemin kimliğini algılar ve önbelleğe alır. Bu kimlik, gelecekteki tüm işlemleri bu kullanıcı üzerinde çalıştırmak için kullanılır.
Öznitelik eşlemeleri "başvuru" öznitelikleri içeriyorsa, hizmet başvuruda bulunup bağlantı kurmak için hedef sistemde daha fazla güncelleştirme yapar. Örneğin, bir kullanıcının hedef sistemde oluşturulan başka bir kullanıcıya bağlı olan "Manager" özniteliği olabilir.
Önceden sağlama kapsamında olan bir kullanıcı atanmamış da dahil olmak üzere kapsamdan kaldırılırsa, hizmet kullanıcıyı bir güncelleştirme yoluyla hedef sistemde devre dışı bırakır.
Daha önce sağlama kapsamında olan bir kullanıcı kaynak sistemde devre dışı bırakılır veya geçici olarak silinirse, hizmet kullanıcıyı bir güncelleştirme yoluyla hedef sistemde devre dışı bırakır.
Daha önce sağlama kapsamında olan bir kullanıcı kaynak sistemde sabit olarak silinirse, hizmet hedef sistemdeki kullanıcıyı siler. Microsoft Entra Id'de kullanıcılar geçici olarak silindikten 30 gün sonra sabit olarak silinir.
Artımlı döngünün sonunda yeni bir filigran kalıcı hale getirir ve bu da sonraki artımlı döngüler için başlangıç noktası sağlar.
Not
İsteğe bağlı olarak Eşlemeler bölümündeki Hedef nesne eylemleri onay kutularını kullanarak Oluşturma, Güncelleştirme veya Silme işlemlerini devre dışı bırakabilirsiniz. Bir güncelleştirme sırasında kullanıcıyı devre dışı bırakma mantığı, accountEnabled gibi bir alandan öznitelik eşlemesi aracılığıyla da denetlenebilir.
Sağlama hizmeti, öğreticide her uygulamaya özgü aralıklarla süresiz olarak arka arkaya artımlı döngüler çalıştırmaya devam eder. Artımlı döngüler, olaylardan biri gerçekleşene kadar devam eder:
- Hizmet, Microsoft Entra yönetim merkezi veya uygun Microsoft Graph API komutu kullanılarak el ile durdurulur.
- Microsoft Entra yönetim merkezindeki Sağlamayı yeniden başlat seçeneği kullanılarak veya uygun Microsoft Graph API komutu kullanılarak yeni bir başlangıç döngüsü tetikleniyor. Eylem, depolanan filigranları temizler ve tüm kaynak nesnelerin yeniden değerlendirilmesine neden olur. Ayrıca, eylem kaynak ve hedef nesneler arasındaki bağlantıları kesmez. Bağlantıları kesmek için eşitleme işini istekle yeniden başlat seçeneğini kullanın:
POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Authorization: Bearer <token>
Content-type: application/json
{
"criteria": {
"resetScope": "Full"
}
}
- Öznitelik eşlemelerindeki veya kapsam filtrelerindeki bir değişiklik nedeniyle yeni bir başlangıç döngüsü tetiklenir. Bu eylem ayrıca depolanan filigranları temizler ve tüm kaynak nesnelerin yeniden değerlendirilmesine neden olur.
- Sağlama işlemi yüksek hata oranı nedeniyle karantinaya alınır (örneğe bakın) ve dört haftadan uzun süre karantinada kalır. Bu olayda hizmet otomatik olarak devre dışı bırakılır.
Hatalar ve yeniden denemeler
Hedef sistemdeki bir hata tek bir kullanıcının hedef sistemde eklenmesini, güncelleştirilmesini veya silinmesini engelliyorsa, işlem bir sonraki eşitleme döngüsünde yeniden denenir. Hatalar sürekli yeniden denenir ve yeniden deneme sıklığı aşamalı olarak ölçeklenir. Hatayı çözmek için yöneticilerin sağlama günlüklerini denetleerek kök nedeni belirlemesi ve uygun eylemi gerçekleştirmesi gerekir. Yaygın hatalar şunlar olabilir:
- Kaynak sistemde hedef sistemde gerekli olan bir özniteliğin doldurulmaması
- Kaynak sistemde öznitelik değerine sahip olan ve hedef sistemde benzersiz bir kısıtlama olan ve aynı değer başka bir kullanıcı kaydında bulunan kullanıcılar
Kaynak sistemdeki etkilenen kullanıcının öznitelik değerlerini ayarlayarak veya öznitelik eşlemelerini çakışmalara neden olmayacak şekilde ayarlayarak bu hataları çözün.
Karantina
Hedef sisteme karşı yapılan çağrıların çoğu veya tümü bir hata (örneğin geçersiz yönetici kimlik bilgileri) nedeniyle tutarlı olarak başarısız olursa sağlama işi "karantina" durumuna geçer. Bu durum, microsoft Entra yönetim merkezinde e-posta bildirimleri yapılandırıldıysa, sağlama özeti raporunda ve e-posta yoluyla gösterilir.
Karantinaya alınırken artımlı döngülerin sıklığı kademeli olarak günde bir kezye indirilir.
Sağlama işi, tüm sorunlu hatalar düzeltildikten ve bir sonraki eşitleme döngüsü başladıktan sonra karantinadan çıkar. Sağlama işi dört haftadan uzun süre karantinada kalırsa sağlama işi devre dışı bırakılır. Karantina durumu hakkında buradan daha fazla bilgi edinin.
Sağlama ne kadar sürer?
Performans, sağlama işinizin ilk sağlama döngüsünü mü yoksa artımlı döngüyü mü çalıştırdığına bağlıdır. Sağlamanın ne kadar sürdüğü ve sağlama hizmetinin durumunun nasıl izleneceği hakkında ayrıntılı bilgi için bkz . Kullanıcı sağlamanın durumunu denetleme.
Kullanıcıların düzgün sağlandığını nasıl anlarız?
Kullanıcı sağlama hizmeti tarafından çalıştırılan tüm işlemler Microsoft Entra Sağlama günlüklerine kaydedilir. Günlükler, kaynak ve hedef sistemlerde yapılan tüm okuma ve yazma işlemlerini ve her işlem sırasında okunan veya yazılan kullanıcı verilerini içerir. Microsoft Entra yönetim merkezinde sağlama günlüklerini okuma hakkında bilgi için bkz . sağlama raporlama kılavuzu.
Sağlamayı kaldırma
Microsoft Entra sağlama hizmeti, kullanıcı erişimi kaldırıldığında hesapların sağlamasını kaldırarak kaynak ve hedef sistemleri eşitlenmiş durumda tutar.
Sağlama hizmeti, kullanıcıları silmeyi ve devre dışı bırakmayı (bazen geçici silme olarak da adlandırılır) destekler. Devre dışı bırakma ve silme işleminin tam tanımı, hedef uygulamanın uygulamasına göre değişir, ancak genellikle devre dışı bırakma, kullanıcının oturum açamayabileceğini gösterir. Silme, kullanıcının uygulamadan tamamen kaldırıldığını gösterir. SCIM uygulamaları için devre dışı bırakma, kullanıcıda etkin özelliği false olarak ayarlama isteğidir.
Bir kullanıcıyı devre dışı bırakmak için uygulamanızı yapılandırma
Güncelleştirmelerin onay kutusunun seçili olduğunu onaylayın.
Uygulamanız için etkin eşlemeyi onaylayın. Uygulama galerisinden bir uygulama kullanıyorsanız eşleme biraz farklı olabilir. Bu durumda, galeri uygulamaları için varsayılan eşlemeyi kullanın.
Uygulamanızı bir kullanıcıyı silmek için yapılandırma
Senaryo bir devre dışı bırakma veya silme işlemini tetikler:
- Kullanıcı Microsoft Entra Kimliği'nde geçici olarak silinir (geri dönüşüm kutusuna gönderilir / AccountEnabled özelliği false olarak ayarlanır). Bir kullanıcı Microsoft Entra Kimliği'nde silindikten otuz gün sonra kiracıdan kalıcı olarak silinir. Bu noktada sağlama hizmeti, uygulamadaki kullanıcıyı kalıcı olarak silmek için bir DELETE isteği gönderir. 30 günlük pencere boyunca istediğiniz zaman, uygulamaya silme isteği gönderen bir kullanıcıyı kalıcı olarak el ile silebilirsiniz.
- Bir kullanıcı, Microsoft Entra Id içindeki geri dönüşüm kutusundan kalıcı olarak silinir/ kaldırılır.
- Bir kullanıcı bir uygulamadan atanmamış.
- Kullanıcı kapsamdan kapsam dışına gider (artık kapsam filtresi geçirmez).
Varsayılan olarak, Microsoft Entra sağlama hizmeti kapsam dışında olan kullanıcıları geçici olarak siler veya devre dışı bırakır. Bu varsayılan davranışı geçersiz kılmak istiyorsanız kapsam dışı silmeleri atlamak için bir bayrak ayarlayabilirsiniz.
Dört olaydan biri gerçekleştiğinde ve hedef uygulama geçici silmeleri desteklemediğinde, sağlama hizmeti kullanıcıyı uygulamadan kalıcı olarak silmek için bir DELETE isteği gönderir.
Öznitelik eşlemelerinizde görüyorsanız IsSoftDeleted
, kullanıcının durumunu ve geçici olarak silmek için ile active = false
bir güncelleştirme isteği gönderip göndermeyeceğinizi belirlemek için kullanılır.
Olayların sağlamasını kaldırma
Tabloda, Microsoft Entra sağlama hizmetiyle sağlama kaldırma eylemlerini nasıl yapılandırabileceğiniz açıklanır. Bu kurallar galeri dışı /özel uygulama düşünülerek yazılır, ancak genellikle galerideki uygulamalar için geçerlidir. Ancak galeri uygulamalarının davranışı, uygulamanın gereksinimlerini karşılayacak şekilde iyileştirildiği için farklılık gösterebilir. Örneğin, hedef uygulama geçici silmeyi desteklemiyorsa, Microsoft Entra sağlama hizmeti geçici silme göndermek yerine kullanıcıları silmek için bir sabit silme isteği gönderebilir.
Senaryo | Microsoft Entra Id'de yapılandırma |
---|---|
Bir kullanıcının bir uygulamadan ataması kaldırılır, Microsoft Entra Kimliği'nde geçici olarak silinir veya oturum açma engellenir. Hiçbir şey yapılmasını istemiyorsun. | Öznitelik eşlemelerinden kaldırın isSoftDeleted ve / veya kapsam dışında silme özelliğini true olarak ayarlayın. |
Bir kullanıcının bir uygulamadan ataması kaldırılır, Microsoft Entra Kimliği'nde geçici olarak silinir veya oturum açma engellenir. veya için belirli bir öznitelik true false ayarlamak istiyorsunuz. |
false olarak ayarlamak istediğiniz öznitelikle eşleyin isSoftDeleted . |
Bir kullanıcı Microsoft Entra Kimliği'nde devre dışı bırakılır, bir uygulamadan atanmamış, Microsoft Entra Kimliği'nde geçici olarak silinir veya oturum açma engellenir. Hedef uygulamaya bir DELETE isteği göndermek istiyorsunuz. | Bu, şu anda işlevselliğin gerekli olduğu sınırlı sayıda galeri uygulaması için desteklenmektedir. Müşteriler tarafından yapılandırılamaz. |
Bir kullanıcı Microsoft Entra Kimliği'nde silinir. Hedef uygulamada herhangi bir işlem yapılmasını istemezsiniz. | Öznitelik yapılandırma deneyiminde hedef nesne eylemlerinden biri olarak "Sil"in seçilmediğinden emin olun. |
Bir kullanıcı Microsoft Entra Kimliği'nde silinir. Hedef uygulamada bir özniteliğin değerini ayarlamak istiyorsunuz. | Desteklenmez. |
Bir kullanıcı Microsoft Entra Kimliği'nde silinir. Hedef uygulamadaki kullanıcıyı silmek istiyorsunuz | Sil'in öznitelik yapılandırma deneyimindeki hedef nesne eylemlerinden biri olarak seçildiğinden emin olun. |
Bilinen sınırlamalar
- Bir kullanıcı veya grup bir uygulamadan atanmamışsa ve artık sağlama hizmetiyle yönetilmediğinde, devre dışı bırakma isteği gönderilir. Bu noktada hizmet kullanıcıyı yönetmez ve kullanıcı dizinden geçici olarak silindiğinde silme isteği gönderilmez.
- Microsoft Entra Id'de devre dışı bırakılmış bir kullanıcının sağlanması desteklenmez. Sağlamadan önce Microsoft Entra Id'de etkin olmaları gerekir.
- Kullanıcı geçici olarak silinenden etkin duruma geçtiğinde, Microsoft Entra sağlama hizmeti kullanıcıyı hedef uygulamada etkinleştirir, ancak dinamik üyelik grubunu otomatik olarak geri yüklemez. Hedef uygulama, etkin olmayan durumdaki kullanıcı için dinamik üyelik grubunu tutmalıdır. Hedef uygulama etkin olmayan durumun korunmasını desteklemiyorsa, dinamik üyelik gruplarını güncelleştirmek için sağlamayı yeniden başlatabilirsiniz.
Tavsiye
Uygulama geliştirirken her zaman hem geçici silmeleri hem de sabit silmeleri destekler. Bir kullanıcı yanlışlıkla devre dışı bırakıldığında müşterilerin kurtarmasına olanak tanır.
Sonraki Adımlar
Otomatik kullanıcı sağlama dağıtımı planlama
Galeri uygulaması için sağlamayı yapılandırma
ScIM uç noktası oluşturma ve kendi uygulamanızı oluştururken sağlamayı yapılandırma
Kullanıcıları bir uygulamaya yapılandırma ve sağlama ile ilgili sorunları giderme.