Azure Active Directory 中的隨選佈建

重要

跨租使用者同步 處理目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

使用隨選佈建可在幾秒內佈建使用者或群組。 此外,您還可以使用這項功能:

  • 快速針對設定問題進行疑難排解。
  • 驗證您已定義的運算式。
  • 測試範圍篩選。

如何使用隨選佈建

  1. 登入 Azure 入口網站
  1. 移至[Azure Active Directory>企業應用程式>] [所有應用程式]。

  2. 選取您的應用程式,然後前往佈建設定頁面。

  1. 移至Azure Active Directory>跨租使用者同步處理>設定

  2. 選取您的設定,然後移至 [ 布建組 態] 頁面。

  1. 提供您的管理員認證來設定佈建。

  2. 選取 [隨選佈建]。

  3. 依名字、姓氏、顯示名稱、使用者主體名稱或電子郵件地址搜尋使用者。 或者,您可以搜尋群組,並挑選最多 5 位使用者。

    注意

    若為雲端 HR 佈建應用程式 (對 AD/Azure AD 使用 Workday/SuccessFactors),則輸入值會不同。 針對 Workday 案例,請在 Workday 中提供使用者的 "WorkerID" 或 "WID"。 針對 SuccessFactors 案例,請在 SuccessFactors 中提供使用者的 "personIdExternal"。

  4. 選取頁面底部的 [佈建]。

    螢幕擷取畫面:用於視需要佈建使用者的 Azure 入口網站 UI。

了解佈建步驟

隨選佈建程序會嘗試顯示佈建服務在佈建使用者時所採取的步驟。 佈建使用者通常有五個步驟。 下列各節將說明在隨選佈建體驗期間顯示的一或多個步驟。

步驟 1:測試連線

布建服務會藉由提出「測試使用者」的要求,嘗試授權存取目標系統。 佈建服務預期會有回應,指出已授權服務繼續執行佈建步驟。 只有在失敗時,才會顯示此步驟。 當步驟成功時,則不會在隨選佈建體驗期間顯示。

疑難排解秘訣

  • 請確定您已將密碼權杖和租使用者 URL 等有效認證提供給目標系統。 所需的認證會因應用程式而異。 如需詳細的設定教學課程,請參閱教學課程清單
  • 請確定目標系統支援篩選 [ 屬性對應 ] 窗格中所定義的相符屬性。 您可能需要查看應用程式開發人員提供的 API 文件,以了解支援的篩選。
  • 針對跨網域身分識別管理系統 (SCIM) 應用程式,您可以使用 Postman 之類的工具。 這類工具可協助您確保應用程式以 Azure Active Directory (Azure AD) 佈建服務預期的方式回應授權要求。 請參閱範例要求

步驟 2:匯入使用者

接下來,佈建服務會從來源系統擷取使用者。 稍後會使用服務所擷取的使用者屬性:

  • 評估使用者是否在佈建範圍內。
  • 檢查現有使用者的目標系統。
  • 判斷要將哪些使用者屬性匯出至目標系統。

檢視詳細資料

[檢視詳細資料] 區段會顯示從來源系統 (例如 Azure AD) 匯入的使用者屬性。

疑難排解秘訣

  • 當遺漏來源系統中使用者物件的相符屬性時,匯入使用者可能會失敗。 若要解決此失敗,請嘗試下列其中一種方法:

    • 使用相符屬性的值更新使用者物件。
    • 變更佈建設定中的相符屬性。
  • 如果匯入的清單中遺漏了預期的屬性,請確定屬性具有來源系統中使用者物件的值。 佈建服務目前不支援佈建 Null 屬性。

  • 確定佈建設定的 [屬性對應] 頁面包含您預期的屬性。

步驟 3:判斷使用者是否在範圍內

接下來,佈建服務會判斷使用者是否在佈建範圍內。 服務會考慮以下各方面:

  • 是否將使用者指派給應用程式。
  • 是否將範圍設定為 [Sync assigned] \(同步已指派\) 或 [全部同步]。
  • 在您佈建設定中定義的範圍篩選。

檢視詳細資料

[檢視詳細資料] 區段會顯示已評估的範圍條件。 您可能會看到下列一或多個屬性:

  • [Active in source system] \(在來源系統中為使用中\) 表示使用者在 Azure AD 中將屬性 IsActive 設定為 true
  • [Assigned to application] \(已指派給應用程式\) 表示已將使用者指派給 Azure AD 中的應用程式。
  • [Scope sync all]\(範圍全部同步\) 表示範圍設定允許租用戶中的所有使用者和群組。
  • [User has required role] \(使用者具有必要角色\) 表示使用者具有佈建到應用程式中的必要角色。
  • 如果您已為應用程式定義範圍篩選,也會顯示 [Scoping filters] \(範圍篩選\)。 篩選會以下列格式顯示:{範圍篩選標題} {範圍篩選屬性} {範圍篩選運算子} {範圍篩選值}。

疑難排解秘訣

步驟 4:比對來源與目標的使用者

在此步驟中,服務會嘗試將在匯入步驟中擷取的使用者與目標系統中的使用者進行比對。

檢視詳細資料

[檢視詳細資料] 頁面會顯示目標系統中相符使用者的屬性。 您在內容窗格中看到的屬性會有所不同,如下所示:

  • 如果目標系統中沒有相符使用者,您將不會看到任何屬性。
  • 如果目標系統中有一個相符使用者,您將會看到目標系統中該相符使用者的屬性。
  • 如果有多個相符使用者,您將會看到所有相符使用者的屬性。
  • 如果多個相符屬性屬於您屬性對應的一部分,則會依序評估每個相符屬性,並顯示該屬性的相符使用者。

疑難排解秘訣

  • 佈建服務可能無法將來源系統中的使用者與目標中的使用者進行唯一比對。 請確定相符屬性是唯一的,以解決此問題。
  • 請確定目標系統支援篩選定義為相符屬性的屬性。

步驟 5:執行動作

最後,佈建服務會採取動作,例如建立、更新、刪除或略過使用者。

以下是您在成功隨選佈建使用者之後可能會看到的範例:

螢幕擷取畫面:成功視需要佈建使用者。

檢視詳細資料

[ 檢視詳細資料 ] 區段會顯示目標系統中修改的屬性。 此顯示畫面代表佈建服務活動的最終輸出及已匯出的屬性。 如果此步驟失敗,則顯示的屬性代表佈建服務嘗試修改的屬性。

疑難排解秘訣

  • 匯出變更的失敗可能會有很大的差異。 請參閱佈建記錄的文件以了解常見的失敗。
  • 隨選佈建表示群組或使用者無法佈建,因為未將這些項目指派給應用程式。 請注意,當物件指派給應用程式,以及隨選布建接受該指派之間,複寫延遲最多幾分鐘。 您可能需要等候幾分鐘,然後再試一次。

常見問題集

  • 您需要關閉佈建才能使用隨選佈建嗎? 針對使用長期持有人權杖或使用者名稱和密碼取得授權的應用程式,不需要額外的步驟。 使用 OAuth 取得授權的應用程式目前需要先停止佈建作業,才能使用隨選佈建。 G Suite、Box、Workplace by Facebook 和 Slack 等應用程式都屬於此類別。 工作會繼續進行,以支援所有應用程式的隨選佈建,而不需要停止佈建作業。

  • 隨選佈建需要多久的時間? 隨選佈建通常需要不到 30 秒的時間。

已知的限制

隨選佈建目前有一些已知限制。 張貼您的建議和意見反應,讓我們可以更清楚地判斷接下來要做什麼改進。

注意

以下是隨選佈建功能特定的限制。 如需應用程式是否支援佈建群組、刪除或其他功能的資訊,請參閱該應用程式的教學課程。

  • 群組的隨選佈建支援一次更新最多 5 個成員
  • 不支援在具有隨選布建的目標租使用者中還原先前虛刪除的使用者。 如果您嘗試虛刪除具有隨選布建的使用者,然後還原使用者,可能會導致使用者重複。
  • 不支援隨選佈建角色。
  • 隨選佈建支援停用已從應用程式取消指派的使用者。 不過,不支援停用或刪除已從 Azure AD 停用或刪除的使用者。 當您搜尋使用者時,不會出現這些使用者。

後續步驟