Aracılığıyla paylaş


Öğretici - Microsoft Entra Id'de SaaS uygulamaları için kullanıcı sağlama öznitelik eşlemelerini özelleştirme

Microsoft Entra ID, Salesforce, G Suite ve diğerleri gibi Microsoft dışı SaaS uygulamalarına kullanıcı sağlama desteği sağlar. Microsoft dışı bir SaaS uygulaması için kullanıcı sağlamayı etkinleştirirseniz, Microsoft Entra yönetim merkezi öznitelik eşlemeleri aracılığıyla öznitelik değerlerini denetler.

Başlamadan önce uygulama yönetimi ve çoklu oturum açma (SSO) kavramları hakkında bilgi sahibi olduğunuzdan emin olun. Aşağıdaki bağlantılara göz atın:

Microsoft Entra kullanıcı nesneleri ile her SaaS uygulamasının kullanıcı nesneleri arasında önceden yapılandırılmış öznitelikler ve öznitelik eşlemeleri vardır. Bazı uygulamalar, Kullanıcılar ile birlikte Gruplar gibi diğer nesne türlerini yönetir.

Varsayılan öznitelik eşlemelerini iş gereksinimlerinize göre özelleştirebilirsiniz. Bu nedenle, mevcut öznitelik eşlemelerini değiştirebilir veya silebilir ya da yeni öznitelik eşlemeleri oluşturabilirsiniz.

Not

Microsoft Entra arabirimi aracılığıyla öznitelik eşlemelerini yapılandırmaya ek olarak, şemanızın JSON gösterimini gözden geçirebilir, indirebilir ve düzenleyebilirsiniz.

Kullanıcı özniteliği eşlemelerini düzenleme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Kullanıcı sağlamanın Eşlemeler özelliğine erişmek için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en az Bir Uygulama Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.

  3. Galeriden eklenen uygulamalar da dahil olmak üzere tüm yapılandırılmış uygulamaların listesi gösterilir.

  4. Raporları görüntüleyebileceğiniz ve uygulama ayarlarını yönetebileceğiniz uygulama yönetimi bölmesini yüklemek için herhangi bir uygulamayı seçin.

  5. Seçili uygulama için kullanıcı hesabı sağlama ayarlarını yönetmek için Sağlama'ya tıklayın.

  6. Microsoft Entra Id ile hedef uygulama arasında akan kullanıcı özniteliklerini görüntülemek ve düzenlemek için Eşlemeler'i genişletin. Hedef uygulama destekliyorsa, bu bölüm isteğe bağlı olarak grupların ve kullanıcı hesaplarının sağlanmasını yapılandırmanıza olanak tanır.

    Kullanıcı özniteliklerini görüntülemek ve düzenlemek için Eşlemeleri kullanma

  7. İlgili Öznitelik Eşlemesi ekranını açmak için eşlemeler yapılandırmasını seçin. SaaS uygulamalarının düzgün çalışması için belirli öznitelik eşlemeleri gerekir. Gerekli öznitelikler için Sil özelliği kullanılamaz.

    Uygulamalar için öznitelik eşlemelerini yapılandırmak için Öznitelik Eşlemesi'ni kullanma

    Bu ekran görüntüsünde, Salesforce'ta yönetilen bir nesnenin Username özniteliğinin bağlantılı Microsoft Entra Nesnesinin userPrincipalName değeriyle doldurulduğunu görebilirsiniz.

    Not

    Oluştur'un temizlenmesi mevcut kullanıcıları etkilemez. Oluştur seçili değilse yeni kullanıcı oluşturamazsınız.

  8. Özniteliği Düzenle ekranını açmak için mevcut bir Öznitelik Eşlemesi'ni seçin. Burada, Microsoft Entra Id ile hedef uygulama arasında akan kullanıcı özniteliklerini düzenleyebilirsiniz.

    Kullanıcı özniteliklerini düzenlemek için Özniteliği Düzenle'yi kullanma

Öznitelik eşleme türlerini anlama

Öznitelik eşlemeleri ile, özniteliklerin Microsoft dışı bir SaaS uygulamasında nasıl doldurulması denetleniyor. Desteklenen dört farklı eşleme türü vardır:

  • Doğrudan : Hedef öznitelik, Microsoft Entra Id'deki bağlı nesnenin özniteliğinin değeriyle doldurulur.
  • Sabit – hedef özniteliği belirttiğiniz belirli bir dizeyle doldurulur.
  • İfade - hedef öznitelik, betik benzeri bir ifadenin sonucuna göre doldurulur. İfadeler hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de Öznitelik Eşlemeleri için İfade Yazma.
  • Hiçbiri - hedef öznitelik değiştirilmeden bırakılır. Ancak, hedef öznitelik hiç boşsa, belirttiğiniz varsayılan değerle doldurulur.

Bu dört temel türün yanı sıra, özel öznitelik eşlemeleri isteğe bağlı bir varsayılan değer ataması kavramını destekler. Varsayılan değer ataması, Microsoft Entra Kimliği'nde veya hedef nesnede değer yoksa, hedef özniteliğin bir değerle doldurulmasını sağlar. En yaygın yapılandırma, bu yapılandırmayı boş bırakmaktır. Eşleme öznitelikleri hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de Uygulama Sağlama nasıl çalışır?

Öznitelik eşleme özelliklerini anlama

Önceki bölümde öznitelik eşleme türü özelliğiyle tanıştırıldınız. Bu özelliğin yanı sıra öznitelik eşlemeleri de öznitelikleri destekler:

  • Kaynak öznitelik - Kaynak sistemdeki kullanıcı özniteliği (örnek: Microsoft Entra Id).
  • Hedef öznitelik – Hedef sistemdeki kullanıcı özniteliği (örnek: ServiceNow).
  • Null ise varsayılan değer (isteğe bağlı) - Kaynak öznitelik null olduğunda hedef sisteme geçirilen değer. Bu değer yalnızca bir kullanıcı oluşturulduğunda sağlanır. Mevcut bir kullanıcı güncelleştirilirken "null olduğunda varsayılan değer" sağlanmamıştır. Örneğin, kullanıcı oluştururken iş başlığı için varsayılan değeri şu ifadeyle ekleyin: Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]). İfadeler hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de öznitelik eşlemeleri için ifade yazma başvurusu.
  • Bu özniteliği kullanarak nesneleri eşleştir – Bu eşlemenin kaynak ve hedef sistemler arasındaki kullanıcıları benzersiz olarak tanımlamak için kullanılıp kullanılmayacağı. userPrincipalName Microsoft Entra Kimliği'nde veya posta özniteliğinde kullanılır ve hedef uygulamadaki bir kullanıcı adı alanına eşlenir.
  • Eşleşen öncelik – Birden çok eşleşen öznitelik ayarlanabilir. Birden çok olduğunda, bunlar bu alan tarafından tanımlanan sırayla değerlendirilir. Eşleşme bulunur bulunmaz, başka eşleşen öznitelikler değerlendirilmez. İstediğiniz kadar eşleşen öznitelik ayarlayabilirsiniz, ancak eşleşen öznitelikler olarak kullandığınız özniteliklerin gerçekten benzersiz olup olmadığını ve eşleşen öznitelikler olması gerekip gerekmediğini göz önünde bulundurun. Genellikle müşterilerin yapılandırmalarında bir veya iki eşleşen özniteliği vardır.
  • Eşlemeyi uygulayın.
    • Her zaman – Bu eşlemeyi hem kullanıcı oluşturma hem de güncelleştirme eylemlerine uygulayın.
    • Yalnızca oluşturma sırasında - Bu eşlemeyi yalnızca kullanıcı oluşturma eylemlerine uygulayın.

Kaynak ve hedef sistemlerdeki eşleşen kullanıcılar

Microsoft Entra sağlama hizmeti hem "yeşil alan" senaryolarında (kullanıcıların hedef sistemde mevcut olmadığı) hem de "brownfield" senaryolarında (kullanıcıların hedef sistemde zaten var olduğu) dağıtılabilir. Sağlama hizmeti her iki senaryoyu da desteklemek için eşleşen öznitelikler kavramını kullanır. Eşleşen öznitelikler, kaynaktaki bir kullanıcıyı benzersiz olarak tanımlamayı ve hedefteki kullanıcıyı eşleştirmeyi belirlemenizi sağlar. Dağıtımınızı planlamanın bir parçası olarak, kaynak ve hedef sistemlerde bir kullanıcıyı benzersiz olarak tanımlamak için kullanılabilecek özniteliği tanımlayın. Dikkate alınacak noktalar:

  • Eşleşen öznitelikler benzersiz olmalıdır: Müşteriler genellikle eşleşen öznitelik olarak userPrincipalName, posta veya nesne kimliği gibi öznitelikleri kullanır.
  • Eşleşen öznitelikler olarak birden çok öznitelik kullanılabilir: Kullanıcıları ve bunların değerlendirilme sırasını eşleştirirken değerlendirilecek birden çok öznitelik tanımlayabilirsiniz (kullanıcı arabiriminde eşleşen öncelik olarak tanımlanır). Örneğin, eşleşen öznitelikler olarak üç öznitelik tanımlarsanız ve ilk iki öznitelik değerlendirildikten sonra bir kullanıcı benzersiz olarak eşleştirilirse, hizmet üçüncü özniteliği değerlendirmez. Hizmet, eşleşen öznitelikleri belirtilen sırada değerlendirir ve eşleşme bulunduğunda değerlendirmeyi durdurur.
  • Kaynaktaki ve hedefteki değerin tam olarak eşleşmesi gerekmez: Hedefteki değer, kaynaktaki değerin işlevi olabilir. Bu nedenle, kaynakta bir emailAddress özniteliği ve hedefte userPrincipalName olabilir ve bazı karakterleri sabit bir değerle değiştiren emailAddress özniteliğinin bir işleviyle eşleşebilir.
  • Özniteliklerin birleşimine göre eşleştirme desteklenmez: Çoğu uygulama iki özelliğe göre sorgulamayı desteklemez. Bu nedenle, özniteliklerin bir bileşimine göre eşleştirmek mümkün değildir. Üzerinde tek özelliklerin bir diğerinde değerlendirilmesi mümkündür.
  • Tüm kullanıcıların en az bir eşleşen öznitelik değeri olmalıdır: Bir eşleşen öznitelik tanımlarsanız, tüm kullanıcıların kaynak sistemde bu öznitelik için bir değeri olmalıdır. Örneğin, eşleşen öznitelik olarak userPrincipalName tanımlarsanız, tüm kullanıcıların bir userPrincipalName'i olmalıdır. Birden çok eşleşen öznitelik tanımlarsanız (örneğin, hem extensionAttribute1 hem de posta), tüm kullanıcıların aynı eşleştirme özniteliğine sahip olması gerekmez. Bir kullanıcının extensionAttribute1 olabilir, ancak başka bir kullanıcının postası olabilir ancak extensionAttribute1 olmayabilir.
  • Hedef uygulamanın eşleşen öznitelik üzerinde filtrelemeyi desteklemesi gerekir: Uygulama geliştiricileri, kullanıcı veya grup API'lerindeki özniteliklerin bir alt kümesi için filtrelemeye izin verir. Galerideki uygulamalar için varsayılan öznitelik eşlemesinin hedef uygulamanın API'sinin filtrelemeyi desteklediği bir öznitelik için olduğundan eminiz. Hedef uygulama için varsayılan eşleşen özniteliği değiştirirken, özniteliğin filtrelenebildiğinden emin olmak için Microsoft API dışı belgeleri gözden geçirin.

Grup özniteliği eşlemelerini düzenleme

ServiceNow, Box ve G Suite gibi seçili sayıda uygulama, grup ve kullanıcı nesneleri sağlama özelliğini destekler. Grup nesneleri, grup üyeleriyle birlikte görünen adlar ve e-posta diğer adları gibi grup özelliklerini içerebilir.

Sağlanan Grup ve Kullanıcı nesneleriyle ServiceNow'ı gösteren örnek

Grup sağlama isteğe bağlı olarak, Eşlemeler'in altındaki grup eşlemesi seçilerek ve Öznitelik Eşlemesi ekranında istediğiniz seçeneğe etkinleştirilerek devre dışı bırakılabilir.

Grup nesnelerinin parçası olarak sağlanan öznitelikler, daha önce açıklanan Kullanıcı nesneleriyle aynı şekilde özelleştirilebilir.

İpucu

Grup nesnelerinin (özellikler ve üyeler) sağlanması, bir uygulamaya grup atamadan farklı bir kavramdır. Bir gruba bir uygulama atamak mümkündür, ancak yalnızca grupta yer alan kullanıcı nesnelerini sağlar. Atamalarda grupları kullanmak için tam grup nesnelerinin sağlanması gerekmez.

Desteklenen öznitelikler listesini düzenleme

Belirli bir uygulama için desteklenen kullanıcı öznitelikleri önceden yapılandırılmıştır. Çoğu uygulamanın kullanıcı yönetimi API'leri şema bulmayı desteklemez. Bu nedenle Microsoft Entra sağlama hizmeti, uygulamaya çağrılar yaparak desteklenen özniteliklerin listesini dinamik olarak oluşturamaz.

Ancak bazı uygulamalar özel öznitelikleri destekler ve Microsoft Entra sağlama hizmeti özel öznitelikleri okuyabilir ve yazabilir. Tanımlarını Microsoft Entra yönetim merkezine girmek için, Öznitelik Eşlemesi ekranının altındaki Gelişmiş seçenekleri göster onay kutusunu seçin ve ardından uygulamanız için öznitelik listesini düzenle'yi seçin.

Öznitelik listesini özelleştirmeyi destekleyen uygulamalar ve sistemler şunlardır:

Not

Desteklenen özniteliklerin listesini düzenlemek, yalnızca uygulamalarının ve sistemlerinin şemasını özelleştirmiş ve özel özniteliklerinin nasıl tanımlandığı veya Microsoft Entra yönetim merkezi kullanıcı arabiriminde otomatik olarak bir kaynak özniteliğin görüntülenmediğinden birinci elden bilgi sahibi olan yöneticiler için önerilir. Bu bazen bir uygulama veya sistem tarafından sağlanan API'ler ve geliştirici araçları hakkında bilgi sahibi olmayı gerektirir. Desteklenen özniteliklerin listesini düzenleme özelliği varsayılan olarak kilitlenir, ancak müşteriler şu URL'ye giderek özelliği etkinleştirebilir: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true . Daha sonra öznitelik listesini görüntülemek için uygulamanıza gidebilirsiniz.

Not

Microsoft Entra ID'deki bir dizin uzantısı özniteliği, öznitelik eşleme açılan listenizde otomatik olarak gösterilmediğinde, bunu "Microsoft Entra öznitelik listesine" el ile ekleyebilirsiniz. Sağlama uygulamanıza Microsoft Entra dizin uzantısı özniteliklerini el ile eklerken, dizin uzantısı öznitelik adlarının büyük/küçük harfe duyarlı olduğunu unutmayın. Örneğin: adlı extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenterbir dizin uzantısı özniteliğiniz varsa, bunu dizinde tanımlanan biçimde girdiğinizden emin olun. Çok değerli dizin uzantısı özniteliklerinin sağlanması desteklenmez.

Desteklenen özniteliklerin listesini düzenlerken aşağıdaki özellikler sağlanır:

  • Ad - Hedef nesnenin şemasında tanımlandığı gibi özniteliğin sistem adı.
  • Tür - Özniteliğin depoladığı veri türü, hedef nesnenin şemasında tanımlandığı gibi, aşağıdaki türlerden biri olabilir.
    • İkili - Öznitelik ikili verileri içerir.
    • Boole - Öznitelik bir True veya False değeri içerir.
    • DateTime - Öznitelik bir tarih dizesi içerir.
    • Integer - Öznitelik bir tamsayı içerir.
    • Başvuru - Öznitelik, hedef uygulamadaki başka bir tabloda depolanan bir değere başvuran bir kimlik içerir.
    • Dize - Öznitelik bir metin dizesi içerir.
  • Birincil anahtar? - Özniteliğin hedef nesnenin şemasında birincil anahtar alanı olarak tanımlanıp tanımlanmadığı.
  • Gerekli mi? - Özniteliğin hedef uygulamada veya sistemde doldurulmak için gerekli olup olmadığı.
  • Çok değerli mi? - Özniteliğin birden çok değeri destekleyip desteklemediği.
  • Tam dava mı? - Öznitelik değerlerinin büyük/küçük harfe duyarlı bir şekilde değerlendirilip değerlendirilmediği.
  • API İfadesi - Belirli bir sağlama bağlayıcısına (Workday gibi) yönelik belgelerde bu işlemi yapmanız belirtilmediği sürece kullanmayın.
  • Başvuruda Bulunan Nesne Özniteliği - Bu bir Başvuru türü özniteliğiyse, bu menü hedef uygulamada özniteliğiyle ilişkili değeri içeren tabloyu ve özniteliği seçmenize olanak tanır. Örneğin, depolanmış değeri ayrı bir "Departmanlar" tablosundaki bir nesneye başvuran "Department" adlı bir özniteliğiniz varsa öğesini seçersiniz Departments.Name. Başvuru tabloları ve belirli bir uygulama için desteklenen birincil kimlik alanları önceden yapılandırılmıştır ve Microsoft Entra yönetim merkezi kullanılarak düzenlenemez. Ancak, bunları Microsoft Graph API'sini kullanarak düzenleyebilirsiniz.

SCIM uyumlu bir uygulamaya özel uzantı özniteliği sağlama

SCIM Açıklama İsteği (RFC), temel bir kullanıcı ve grup şeması tanımlarken, uygulamanızın gereksinimlerini karşılamak için şemaya uzantılar da sağlar. Bir SCIM uygulamasına özel öznitelik eklemek için:

  1. Microsoft Entra yönetim merkezinde en az Bir Uygulama Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.
  3. Uygulamanızı ve ardından Sağlama'yı seçin.
  4. Eşlemeler'in altında, özel öznitelik eklemek istediğiniz nesneyi (kullanıcı veya grup) seçin.
  5. Sayfanın en altında Gelişmiş seçenekleri göster'i seçin.
  6. AppName için öznitelik listesini düzenle'yi seçin.
  7. Öznitelik listesinin en altına, sağlanan alanlara özel öznitelik hakkındaki bilgileri girin. Ardından Öznitelik Ekle'yi seçin.

SCIM uygulamaları için öznitelik adı örnekte gösterilen desene uygun olmalıdır. "CustomExtensionName" ve "CustomAttribute" uygulamanızın gereksinimlerine göre özelleştirilebilir, örneğin: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute

Bu yönergeler yalnızca SCIM özellikli uygulamalar için geçerlidir. ServiceNow ve Salesforce gibi uygulamalar SCIM kullanılarak Microsoft Entra ID ile tümleşik değildir ve bu nedenle özel bir öznitelik eklerken bu özel ad alanını gerektirmez.

Özel öznitelikler bilgi öznitelikleri, çok değerli veya karmaşık türde öznitelikler olamaz. Özel çok değerli ve karmaşık türdeki uzantı öznitelikleri şu anda yalnızca galerideki uygulamalar için desteklenmektedir. Özel uzantı şeması üst bilgisi, Microsoft Entra SCIM istemcisinden gelen isteklerde gönderilmediğinden örnekte atlanır.

Uzantı özniteliğine sahip bir kullanıcının örnek gösterimi:

{
  "schemas":[
    "urn:ietf:params:scim:schemas:core:2.0:User",
      "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
  ],
  "userName":"bjensen",
  "id": "48af03ac28ad4fb88478",
  "externalId":"bjensen",
  "name":{
    "formatted":"Ms. Barbara J Jensen III",
    "familyName":"Jensen",
    "givenName":"Barbara"
  },
  "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
    "employeeNumber": "701984",
    "costCenter": "4130",
    "organization": "Universal Studios",
    "division": "Theme Park",
    "department": "Tour Operations",
    "manager": {
      "value": "26118915-6090-4610-87e4-49d8ca9f808d",
      "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
      "displayName": "John Smith"
    }
  },
  "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
    "CustomAttribute": "701984",
  },
  "meta": {
    "resourceType": "User",
    "created": "2010-01-23T04:56:22Z",
    "lastModified": "2011-05-13T04:42:34Z",
    "version": "W\/\"3694e05e9dff591\"",
    "location": "https://example.com/v2/Users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
  }
}

SCIM uygulamasına rol sağlama

Bir kullanıcı için uygulama rollerini uygulamanıza sağlamak için örnekteki adımları kullanın. Açıklama özel SCIM uygulamalarına özgüdür. Salesforce ve ServiceNow gibi galeri uygulamaları için önceden tanımlanmış rol eşlemelerini kullanın. Madde işaretleri AppRoleAssignments özniteliğini uygulamanızın beklediği biçime dönüştürmeyi açıklar.

  • Microsoft Entra ID'deki bir appRoleAssignment öğesini uygulamanızdaki bir role eşlemek için özniteliği bir ifade kullanarak dönüştürmeniz gerekir. appRoleAssignment özniteliği , rol ayrıntılarını ayrıştırmak için bir ifade kullanılmadan doğrudan rol özniteliğine eşlenmemelidir.

Not

ScIM standardı, kurumsal uygulamalardan rol sağlarken kurumsal kullanıcı rolü özniteliklerini farklı tanımlar. Daha fazla bilgi için bkz . Microsoft Entra Id'de SCIM uç noktası için sağlamayı geliştirme ve planlama.

SingleAppRoleAssignment

Ne zaman kullanılır: Bir kullanıcı için tek bir rol sağlamak ve birincil rolü belirtmek için SingleAppRoleAssignment ifadesini kullanın.

Nasıl yapılandırılır: Öznitelik eşlemeleri sayfasına gitmek için açıklanan adımları kullanın ve roller özniteliğine eşlemek için SingleAppRoleAssignment ifadesini kullanın. (roles[primary eq "True"].display, roles[primary eq "True"].typeve roles[primary eq "True"].value) arasından seçim yapabileceğiniz üç rol özniteliği vardır. Eşlemelerinize rol özniteliklerinin herhangi birini veya tümünü eklemeyi seçebilirsiniz. Birden fazla eşleme eklemek isterseniz, yeni bir eşleme ekleyin ve bunu hedef öznitelik olarak ekleyin.

SingleAppRoleAssignment Ekleme

Dikkat edilmesi gereken noktalar

  • Kullanıcıya birden çok rol atanmadığından emin olun. Hangi rolün sağlandığı garanti değildir.
  • Özniteliğini SingleAppRoleAssignments denetleyin. özniteliği kapsamı olarak ayarlamakla Sync All users and groupsuyumlu değildir.

Örnek istek (POST)

{
    "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
    "externalId": "alias",
    "userName": "alias@contoso.OnMicrosoft.com",
    "active": true,
    "displayName": "First Name Last Name",
    "meta": {
        "resourceType": "User"
    },
    "roles": [{
        "primary": true,
        "type": "WindowsAzureActiveDirectoryRole",
        "value": "Admin"
        }
]}

Örnek çıkış (PATCH)

"Operations": [
{
    "op": "Add",
    "path": "roles",
    "value": [{
        "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
        }
    ]
}]

PATCH ve POST'taki istek biçimleri farklıdır. POST ve PATCH'in aynı biçimde gönderilmesini sağlamak için burada açıklanan özellik bayrağını kullanabilirsiniz.

AppRoleAssignmentsComplex

Ne zaman kullanılır: Bir kullanıcı için birden çok rol sağlamak için AppRoleAssignmentsComplex ifadesini kullanın. Nasıl yapılandırılır: Desteklenen özniteliklerin listesini roller için yeni bir öznitelik içerecek şekilde düzenleyin:

Rol ekleme

Ardından, resimde gösterildiği gibi özel rol özniteliğine eşlemek için AppRoleAssignmentsComplex ifadesini kullanın:

AppRoleAssignmentsComplex Ekleme

Dikkat edilmesi gereken noktalar

  • Tüm roller birincil = false olarak sağlanır.
  • id Öznitelik SCIM rollerinde gerekli değildir. Bunun yerine özniteliğini value kullanın. Örneğin, öznitelik rolün value adını veya tanımlayıcısını içeriyorsa, rolü sağlamak için bunu kullanın. Kimlik özniteliği sorununu düzeltmek için buradaki özellik bayrağını kullanabilirsiniz. Ancak yalnızca value özniteliğine güvenmek her zaman yeterli değildir; örneğin, aynı ada veya tanımlayıcıya sahip birden çok rol varsa. Bazı durumlarda, rolü düzgün bir şekilde sağlamak için id özniteliğinin kullanılması gerekir

Sınırlamalar

  • AppRoleAssignmentsComplex, kapsamı "Tüm kullanıcıları ve grupları eşitle" olarak ayarlamakla uyumlu değildir.

Örnek İstek (POST)

{
    "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "alias",
  "userName": "alias@contoso.OnMicrosoft.com",
  "active": true,
  "displayName": "First Name Last Name",
  "meta": {
        "resourceType": "User"
  },
  "roles": [
      {
            "primary": false,
            "type": "WindowsAzureActiveDirectoryRole",
            "displayName": "Admin",
            "value": "Admin"
      },
      {
            "primary": false,
            "type": "WindowsAzureActiveDirectoryRole",
            "displayName": "User",
          "value": "User"
      }
  ]
}

Örnek çıkış (PATCH)

"Operations": [
  {
    "op": "Add",
    "path": "roles",
    "value": [
      {
        "value": "{"id":"06b07648-ecfe-589f-9d2f-6325724a46ee","value":"Admin","displayName":"Admin"}
      },
{
        "value": "{"id":"06b07648-ecfe-599f-9d2f-6325724a46ee","value":"User","displayName":"User"}
      }
    ]
  }
]

AssertiveAppRoleAssignmentsComplex (Karmaşık roller için önerilir)

Ne zaman kullanılır: PATCH Değiştirme işlevini etkinleştirmek için AssertiveAppRoleAssignmentsComplex kullanın. Birden çok rolü destekleyen SCIM uygulamaları için bu, Microsoft Entra Id'de kaldırılan rollerin de hedef uygulamada kaldırılmasını sağlar. Değiştirme işlevi, kullanıcının Sahip olduğu ve Entra Id'ye yansıtılmayan tüm ek rolleri de kaldırır

AppRoleAssignmentsComplex ile AssertiveAppRoleAssignmentsComplex arasındaki fark, düzeltme eki çağrısının modu ve hedef systen üzerindeki etkisidir. İlki yalnızca PATCH ekler ve bu nedenle hedefte var olan rolleri kaldırmaz. İkincisi patch yerine geçer ve entra kimliğindeki kullanıcıya atanmamış olan hedef sistemdeki rolleri kaldırır.

Nasıl yapılandırılır: Desteklenen özniteliklerin listesini roller için yeni bir öznitelik içerecek şekilde düzenleyin:

Rol ekleme

Ardından assertiveAppRoleAssignmentsComplex ifadesini kullanarak görüntüde gösterildiği gibi özel rol özniteliğine eşleyin:

AssertiveAppRoleAssignmentsComplex Ekleme

Dikkat edilmesi gereken noktalar

  • Tüm roller birincil = false olarak sağlanır.
  • id Öznitelik SCIM rollerinde gerekli değildir. Bunun yerine özniteliğini value kullanın. Örneğin, öznitelik rolün value adını veya tanımlayıcısını içeriyorsa, rolü sağlamak için bunu kullanın. Kimlik özniteliği sorununu düzeltmek için buradaki özellik bayrağını kullanabilirsiniz. Ancak yalnızca value özniteliğine güvenmek her zaman yeterli değildir; örneğin, aynı ada veya tanımlayıcıya sahip birden çok rol varsa. Bazı durumlarda, rolü düzgün bir şekilde sağlamak için id özniteliğinin kullanılması gerekir

Sınırlamalar

  • AssertiveAppRoleAssignmentsComplex, kapsamın "Tüm kullanıcıları ve grupları eşitle" olarak ayarlanmasıyla uyumlu değildir.

Örnek İstek (POST)

{"schemas":["urn:ietf:params:scim:schemas:core:2.0:User"], 

"externalId":"contoso", 

"userName":"contoso@alias.onmicrosoft.com", 

"active":true, 

"roles":[{ 

  "primary":false, 

  "type":"WindowsAzureActiveDirectoryRole", 

  "display":"User", 

  "value":"User"}, 

  {"primary":false, 

  "type":"WindowsAzureActiveDirectoryRole", 

  "display":"Test", 

  "value":"Test"}], 

}

Örnek çıkış (PATCH)

{"schemas":["urn:ietf:params:scim:api:messages:2.0:PatchOp"], 

"Operations":[{ 

    "op":"replace", 

    "path":"roles", 

    "value":[{ 

        "primary":false, 

        "type":"WindowsAzureActiveDirectoryRole", 

        "display":"User", 

        "value":"User"}, 

        {"primary":false, 

        "type":"WindowsAzureActiveDirectoryRole", 

        "display":"Test", 

        "value":"Test"} 

        ] 

        } 

        ] 

    } 

Çok değerli bir öznitelik sağlama

PhoneNumbers ve e-postalar gibi bazı öznitelikler, farklı türlerde telefon numarası veya e-posta belirtmeniz gereken çok değerli özniteliklerdir. Çok değerli öznitelikler için ifadesini kullanın. Öznitelik türünü belirtmenize ve bunu değere karşılık gelen Microsoft Entra kullanıcı özniteliğiyle eşlemenize olanak tanır.

  • phoneNumbers[type eq "work"].value

  • phoneNumbers[type eq "mobile"].değer

  • phoneNumbers[type eq "fax"].value

    "phoneNumbers": [
       {
          "value": "555-555-5555",
          "type": "work"
       },
       {
          "value": "555-555-5555",
          "type": "mobile"
       },
       {
          "value": "555-555-5555",
          "type": "fax"
       }
    ]
    

Varsayılan öznitelikleri ve öznitelik eşlemelerini geri yükleme

Yeniden başlamanız ve mevcut eşlemelerinizi varsayılan durumlarına geri döndürmeniz gerekirse, Varsayılan eşlemeleri geri yükle onay kutusunu seçip yapılandırmayı kaydedebilirsiniz. Bunun yapılması, tüm eşlemeleri ve kapsam filtrelerini uygulama galerisinden Microsoft Entra kiracınıza eklenmiş gibi ayarlar.

Bu seçeneğin seçilmesi, sağlama hizmeti çalışırken tüm kullanıcıların yeniden eşitlenmesine zorlanır.

Önemli

Bu seçeneği çağırmadan önce Sağlama durumunun Kapalı olarak ayarlanmasını kesinlikle öneririz.

Bilmeniz gerekenler

  • Microsoft Entra ID, eşitleme işleminin verimli bir şekilde uygulanmasını sağlar. Başlatılan bir ortamda, eşitleme döngüsü sırasında yalnızca güncelleştirme gerektiren nesneler işlenir.
  • Öznitelik eşlemelerinin güncelleştirilmesi, eşitleme döngüsünün performansını etkiler. Öznitelik eşleme yapılandırmasına yönelik bir güncelleştirme, tüm yönetilen nesnelerin yeniden değerlendirilmesini gerektirir.
  • Önerilen en iyi yöntem, öznitelik eşlemelerinizde ardışık değişiklik sayısını en az düzeyde tutmaktır.
  • Bir uygulamaya sağlanacak bir fotoğraf özniteliği eklemek, fotoğrafı eşitleme biçimini belirtemezseniz bugün desteklenmez. Bu özelliği User Voice'ta isteyebilirsiniz.
  • özniteliği IsSoftDeleted genellikle bir uygulama için varsayılan eşlemelerin bir parçasıdır. IsSoftdeleted dört senaryodan birinde doğru olabilir: 1) Kullanıcı uygulamadan atanmadığından kapsam dışında. 2) Kapsam filtresinin karşılanmaması nedeniyle kullanıcı kapsam dışındadır. 3) Kullanıcı Microsoft Entra Kimliği'nde geçici olarak silinir. 4) Özellik AccountEnabled , kullanıcıda false olarak ayarlanır. özniteliğini IsSoftDeleted öznitelik eşlemelerinizde tutmaya çalışın.
  • Microsoft Entra sağlama hizmeti null değer sağlamayı desteklemez.
  • Bunlar genellikle birincil anahtar ID, öznitelik eşlemelerinize hedef öznitelik olarak dahil edilmemelidir.
  • Rol özniteliğinin genellikle doğrudan eşleme yerine bir ifade kullanılarak eşlenmesi gerekir. Rol eşleme hakkında daha fazla bilgi için bkz . SCIM uygulamasına rol sağlama.
  • Eşlemelerinizdeki grupları devre dışı bırakabilirsiniz ancak kullanıcıları devre dışı bırakmak desteklenmez.

Sonraki adımlar