Kontrola stavu zřizování uživatelů

Služba zřizování Azure AD spouští počáteční cyklus zřizování zdrojového a cílového systému a pak pravidelné přírůstkové cykly. Při konfiguraci zřizování pro aplikaci můžete zkontrolovat aktuální stav služby zřizování a zjistit, kdy bude mít uživatel přístup k aplikaci.

Zobrazení indikátoru průběhu zřizování

Na stránce Zřizování pro aplikaci můžete zobrazit stav služby zřizování Azure AD. Část Aktuální stav v dolní části stránky ukazuje, jestli cyklus zřizování zahájil zřizování uživatelských účtů. Můžete sledovat průběh cyklu, zjistit, kolik uživatelů a skupin bylo zřízeno, a zjistit, kolik rolí se vytvořilo.

Při první konfiguraci automatického zřizování se v části Aktuální stav v dolní části stránky zobrazí stav počátečního cyklu zřizování. Tato část se aktualizuje při každém spuštění přírůstkového cyklu. Zobrazí se následující podrobnosti:

  • Typ cyklu zřizování (počáteční nebo přírůstkový), který je aktuálně spuštěný nebo byl naposledy dokončen.
  • Indikátor průběhu znázorňující procento dokončeného cyklu zřizování Procento odráží počet stránek, které jsou zřízeny. Všimněte si, že každá stránka může obsahovat více uživatelů nebo skupin, takže procento přímo koreluje s počtem uživatelů, skupin nebo zřízených rolí.
  • Tlačítko Aktualizovat, které můžete použít k aktualizaci zobrazení.
  • Počet uživatelů a skupin v datovém obchodě konektoru Počet se zvýší při přidání objektu do oboru zřizování. Pokud je uživatel odstraněný nebo trvale odstraněný, počet se nezminí, protože tím se objekt neodebere z úložiště dat konektoru. Počet se přepočítá při první synchronizaci po resetování služby CDS.
  • Odkaz Zobrazit protokoly auditu, který otevře protokoly zřizování Azure AD, kde najdete podrobnosti o všech operacích spuštěných službou zřizování uživatelů, včetně stavu zřizování pro jednotlivé uživatele (viz část Použití protokolů zřizování níže).

Po dokončení cyklu zřizování oddíl Statistika k datu zobrazuje kumulativní počet uživatelů a skupin, které byly zřízeny k datu, spolu s datem dokončení a dobou trvání posledního cyklu. ID aktivity jednoznačně identifikuje nejnovější cyklus zřizování. ID úlohy je jedinečný identifikátor úlohy zřizování a je specifické pro aplikaci ve vašem tenantovi.

Průběh zřizování můžete zobrazit v Azure Portal na kartě zřizování Azure Active Directory > Enterprise Aplikace. > [ ] >

Indikátor průběhu stránky zřizování

Použití protokolů zřizování ke kontrole stavu zřizování uživatele

Pokud chcete zobrazit stav zřizování pro vybraného uživatele, podívejte se na protokoly zřizování (Preview) ve službě Azure AD. Všechny operace, které služba zřizování uživatelů spustí, se zaznamenávají do protokolů zřizování Azure AD. To zahrnuje všechny operace čtení a zápisu provedené ve zdrojovém a cílovém systému a uživatelská data, která byla přečtena nebo zapsána během každé operace.

Přístup k protokolům zřizování v Azure Portal můžete získat tak, že v části Aktivita vyberete Azure Active Directory > Enterprise Apps > Provisioning (Preview). Data zřizování můžete prohledávat na základě jména uživatele nebo identifikátoru ve zdrojovém nebo cílovém systému. Podrobnosti najdete v tématu Protokoly zřizování (Preview).

Protokoly zřizování zaznamenávat všechny operace prováděné službou zřizování, včetně:

  • Dotazování Azure AD na přiřazené uživatele, kteří jsou v rozsahu zřizování
  • Dotazování cílové aplikace na existenci těchto uživatelů
  • Porovnání uživatelských objektů mezi systémem
  • Přidání, aktualizace nebo zakázání uživatelského účtu v cílovém systému na základě porovnání

Další informace o tom, jak číst protokoly zřizování v Azure Portal najdete v průvodci vytvářením sestav zřizování.

Jak dlouho bude trvat zřízení uživatelů?

Při použití automatického zřizování uživatelů v aplikaci Azure AD automaticky zřizuje a aktualizuje uživatelské účty v aplikaci na základě věcí, jako je přiřazení uživatelů a skupin v pravidelně plánovaném časovém intervalu, obvykle každých 40 minut.

Doba, kterou trvá zřízení daného uživatele, závisí hlavně na tom, jestli vaše úloha zřizování používá počáteční nebo přírůstkový cyklus.

  • V počátečním cyklu závisí doba úlohy na mnoha faktorech, včetně počtu uživatelů a skupin v rozsahu zřizování a celkového počtu uživatelů a skupin ve zdrojovém systému. První synchronizace mezi Azure AD a aplikací může trvat 20 minut až několik hodin v závislosti na velikosti adresáře Azure AD a počtu uživatelů v rozsahu zřizování. Podrobný seznam faktorů, které ovlivňují výkon počátečního cyklu, je shrnut později v této části.

  • U přírůstkových cyklů po počátečním cyklu bývají doby úloh rychlejší (např. během 10 minut), protože zřizovací služba ukládá vodoznaky, které představují stav obou systémů po počátečním cyklu, což zvyšuje výkon následných synchronizací. Doba úlohy závisí na počtu změn zjištěných v tomto cyklu zřizování. Pokud dojde k méně než 5 000 změnám členství uživatelů nebo skupin, může se úloha dokončit v rámci jednoho přírůstkového cyklu zřizování.

Následující tabulka shrnuje časy synchronizace pro běžné scénáře zřizování. V těchto scénářích je zdrojovým systémem Azure AD a cílovým systémem je aplikace SaaS. Časy synchronizace se odvozují ze statistické analýzy úloh synchronizace pro aplikace SaaS ServiceNow, Workplace, Salesforce a G Suite.

Konfigurace oboru Uživatelé, skupiny a členové v oboru Čas počátečního cyklu Čas přírůstkového cyklu
Synchronizace jenom přiřazených uživatelů a skupin < 1 000 < 30 minut < 30 minut
Synchronizace jenom přiřazených uživatelů a skupin 1,000 - 10,000 142 až 708 minut < 30 minut
Synchronizace jenom přiřazených uživatelů a skupin 10,000 - 100,000 1 170 – 2 340 minut < 30 minut
Synchronizace všech uživatelů a skupin v Azure AD < 1 000 < 30 minut < 30 minut
Synchronizace všech uživatelů a skupin v Azure AD 1,000 - 10,000 < 30 až 120 minut < 30 minut
Synchronizace všech uživatelů a skupin v Azure AD 10,000 - 100,000 713 - 1 425 minut < 30 minut
Synchronizace všech uživatelů v Azure AD < 1 000 < 30 minut < 30 minut
Synchronizace všech uživatelů v Azure AD 1,000 - 10,000 43 až 86 minut < 30 minut

Pro konfiguraci Synchronizace pouze přiřazených uživatelů a skupin můžete pomocí následujících vzorců určit přibližnou minimální a maximální očekávanou počáteční dobu cyklu:

  • Minimální počet minut = 0,01 x [počet přiřazených uživatelů, skupin a členů skupiny]
  • Maximální počet minut = 0,08 x [počet přiřazených uživatelů, skupin a členů skupiny]

Shrnutí faktorů, které ovlivňují dobu, kterou trvá dokončení počátečního cyklu:

  • Celkový počet uživatelů a skupin v oboru pro zřizování.

  • Celkový počet uživatelů, skupin a členů skupin, kteří se nachází ve zdrojovém systému (Azure AD).

  • Určuje, jestli se uživatelé v oboru zřizování shodují s existujícími uživateli v cílové aplikaci, nebo se musí vytvořit poprvé. Úlohy synchronizace, pro které jsou všichni uživatelé poprvé vytvořeni, budou trvat přibližně dvakrát tak dlouho, dokud úlohy synchronizace, pro které se všichni uživatelé shodují se stávajícími uživateli.

  • Počet chyb v protokolech zřizování. Pokud došlo k mnoha chybám a služba zřizování přešel do stavu karantény, je výkon pomalejší.

  • Limity frekvence požadavků a omezování implementované cílovým systémem. Některé cílové systémy implementují omezení frekvence požadavků a omezování, což může mít vliv na výkon během rozsáhlých synchronizačních operací. Za těchto podmínek může aplikace, která obdrží příliš mnoho požadavků příliš rychle, zpomalit rychlost odezvy nebo zavřít připojení. Aby se zlepšil výkon, konektor se musí upravit tím, že neposílá požadavky aplikace rychleji, než je aplikace dokáže zpracovat. Zřizovací konektory vytvořené Microsoftem tuto úpravu pro provést.

  • Počet a velikosti přiřazených skupin Synchronizace přiřazených skupin trvá déle než synchronizace uživatelů. Výkon ovlivňuje počet i velikost přiřazených skupin. Pokud má aplikace povolená mapovánípro synchronizaci objektů skupiny, vlastnosti skupin, jako jsou názvy skupin a členství, se synchronizují kromě uživatelů. Tyto další synchronizace budou trvat déle než jenom synchronizace uživatelských objektů.

  • Pokud se výkon změní na problém a pokoušíte se zřídit většinu uživatelů a skupin ve vašem tenantovi, použijte filtry oborů. Filtry oborů umožňují vyladit data extrahované službou zřizování z Azure AD tím, že vyfiltrují uživatele na základě konkrétních hodnot atributů. Další informace o filtrech oborů najdete v tématu Zřizování aplikací na základě atributů s filtry oborů.

Další kroky

Automatizace zřizování uživatelů a jeho rušení pro aplikace SaaS ve službě Azure Active Directory