Jak funguje zřizování aplikací v Azure Active Directory

Automatické zřizování odkazuje na vytváření identit uživatelů a rolí v cloudových aplikacích, ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů při změně stavu nebo rolí. Než začnete s nasazením, můžete si projít tento článek a zjistit, jak funguje zřizování Azure AD, a získat doporučení ke konfiguraci.

Služba zřizování Azure AD zřídí uživatele do aplikací SaaS a dalších systémů připojením k koncovému bodu rozhraní API pro správu identit mezi doménami (SCIM) 2.0 poskytovaného dodavatelem aplikace. Tento koncový bod SCIM umožňuje Službě Azure AD programově vytvářet, aktualizovat a odebírat uživatele. U vybraných aplikací může služba zřizování také vytvářet, aktualizovat a odebírat další objekty související s identitami, jako jsou skupiny a role. Kanál používaný ke zřizování mezi Azure AD a aplikací je šifrovaný pomocí šifrování HTTPS TLS 1.2.

Azure AD Provisioning ServiceObrázek 1: Služba zřizování Azure AD

Outbound user provisioning workflowObrázek 2: Pracovní postup zřizování odchozích uživatelů z Azure AD do oblíbených aplikací SaaS

Inbound user provisioning workflowObrázek 3: Pracovní postup zřizování příchozích uživatelů z oblíbených aplikací pro správu lidského kapitálu (HCM) pro Azure Active Directory a Windows Server Active Directory

Zřizování pomocí SCIM 2.0

Služba zřizování Azure AD používá k automatickému zřizování protokol SCIM 2.0 . Služba se připojí ke koncovému bodu SCIM pro aplikaci a pomocí schématu objektů uživatele SCIM a rozhraní REST API automatizuje zřizování a rušení zřizování uživatelů a skupin. Konektor zřizování založený na SCIM je k dispozici pro většinu aplikací v galerii Azure AD. Při vytváření aplikací pro Azure AD můžou vývojáři používat rozhraní API pro správu uživatelů SCIM 2.0 k vytvoření koncového bodu SCIM, který integruje Azure AD pro zřizování. Podrobnosti najdete v tématu Vytvoření koncového bodu SCIM a konfigurace zřizování uživatelů.

Pokud chcete požádat o automatický zřizovací konektor Azure AD pro aplikaci, která ho aktuálně nemá, přečtěte si téma Azure Active Directory Žádost o aplikaci.

Autorizace

Pro připojení k rozhraní API pro správu uživatelů aplikace se vyžadují přihlašovací údaje. Při konfiguraci automatického zřizování uživatelů pro aplikaci budete muset zadat platné přihlašovací údaje. V případě aplikací galerie najdete typy a požadavky na přihlašovací údaje pro aplikaci pomocí kurzu aplikace. Informace o typech přihlašovacích údajů a požadavcích najdete v dokumentaci SCIM pro jiné aplikace než galerie. V Azure Portal budete moct přihlašovací údaje otestovat tak, že se Azure AD pokusí připojit k aplikaci zřizování aplikace pomocí zadaných přihlašovacích údajů.

Atributy mapování

Když povolíte zřizování uživatelů pro aplikaci SaaS třetí strany, Azure Portal řídí hodnoty atributů prostřednictvím mapování atributů. Mapování určují atributy uživatele, které proudí mezi Azure AD a cílovou aplikací při zřizování nebo aktualizaci uživatelských účtů.

Existuje předem nakonfigurovaná sada atributů a mapování atributů mezi uživatelskými objekty Azure AD a uživatelskými objekty jednotlivých aplikací SaaS. Některé aplikace spravují jiné typy objektů společně s uživateli, jako jsou skupiny.

Při nastavování zřizování je důležité zkontrolovat a nakonfigurovat mapování atributů a pracovní postupy definující tok vlastností uživatele (nebo skupiny) z Azure AD do aplikace. Zkontrolujte a nakonfigurujte odpovídající vlastnost (shoda objektů pomocí tohoto atributu), která slouží k jedinečné identifikaci a porovnávání uživatelů/skupin mezi těmito dvěma systémy.

Výchozí mapování atributů můžete přizpůsobit podle potřeb vaší firmy. Můžete tedy změnit nebo odstranit existující mapování atributů nebo vytvořit nová mapování atributů. Podrobnosti najdete v tématu Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS.

Při konfiguraci zřizování pro aplikaci SaaS je jedním z typů mapování atributů, které můžete zadat, mapování výrazů. Pro tato mapování musíte napsat výraz podobný skriptu, který umožňuje transformovat data uživatelů do formátů, které jsou pro aplikaci SaaS přijatelnější. Podrobnosti najdete v tématu Zápis výrazů pro mapování atributů.

Vymezení problému

Určení rozsahu na základě přiřazení

Pro odchozí zřizování z Azure AD do aplikace SaaS se spoléhání na přiřazení uživatelů nebo skupin je nejběžnější způsob, jak určit, kteří uživatelé mají obor zřizování. Vzhledem k tomu, že přiřazení uživatelů se používají také k povolení jednotného přihlašování, lze stejnou metodu použít ke správě přístupu i zřizování. Rozsahy na základě přiřazení se nevztahují na scénáře příchozího zřizování, jako jsou Workday a Successfactors.

  • Skupiny. S licenčním plánem Azure AD Premium můžete pomocí skupin přiřadit přístup k aplikaci SaaS. Když je obor zřizování nastavený na Synchronizovat jenom přiřazené uživatele a skupiny, služba zřizování Azure AD zřídí nebo zruší zřizování uživatelů na základě toho, jestli jsou členy skupiny, která je přiřazená k aplikaci. Samotný objekt skupiny není zřízený, pokud aplikace nepodporuje objekty skupiny. Ujistěte se, že skupiny přiřazené vaší aplikaci mají vlastnost SecurityEnabled nastavenou na Hodnotu True.

  • Dynamické skupiny Služba zřizování uživatelů Azure AD může číst a zřizovat uživatele v dynamických skupinách. Mějte na paměti tyto upozornění a doporučení:

    • Dynamické skupiny můžou mít vliv na výkon komplexního zřizování z Azure AD do aplikací SaaS.

    • Jak rychle se uživatel v dynamické skupině zřídí nebo zruší zřízení v aplikaci SaaS, závisí na tom, jak rychle může dynamická skupina vyhodnotit změny členství. Informace o tom, jak zkontrolovat stav zpracování dynamické skupiny, najdete v tématu Kontrola stavu zpracování pravidla členství.

    • Když uživatel ztratí členství v dynamické skupině, považuje se za událost zrušení zřizování. Při vytváření pravidel pro dynamické skupiny zvažte tento scénář.

  • Vnořené skupiny. Služba zřizování uživatelů Azure AD nemůže číst ani zřizovat uživatele ve vnořených skupinách. Služba může číst a zřizovat pouze uživatele, kteří jsou okamžitými členy explicitně přiřazené skupiny. Toto omezení "přiřazení na základě skupin k aplikacím" má vliv také na jednotné přihlašování (viz Použití skupiny ke správě přístupu k aplikacím SaaS). Místo toho přímo přiřaďte nebo jinak přiřaďte obor ve skupinách, které obsahují uživatele, kteří potřebují zřídit.

Obory na základě atributů

Pomocí filtrů oborů můžete definovat pravidla založená na atributech, která určují, kteří uživatelé jsou pro aplikaci zřízeni. Tato metoda se běžně používá pro příchozí zřizování z aplikací HCM do Azure AD a Active Directory. Filtry oborů se konfigurují jako součást mapování atributů pro každý konektor zřizování uživatelů Azure AD. Podrobnosti o konfiguraci filtrů oborů na základě atributů najdete v tématu Zřizování aplikací na základě atributů s filtry oborů.

B2B (host) uživatelé

Službu zřizování uživatelů Azure AD je možné použít ke zřizování uživatelů B2B (nebo host) v Azure AD pro aplikace SaaS. Aby se ale uživatelé B2B mohli přihlásit k aplikaci SaaS pomocí Azure AD, musí mít aplikace SaaS svou funkci jednotného přihlašování založeného na SAML nakonfigurovanou určitým způsobem. Další informace o tom, jak nakonfigurovat aplikace SaaS pro podporu přihlašování od uživatelů B2B, najdete v tématu Konfigurace aplikací SaaS pro spolupráci B2B.

Poznámka

UserPrincipalName pro uživatele typu host se často zobrazuje jako "alias#EXT#@domain.com". Pokud je userPrincipalName součástí mapování atributů jako zdrojový atribut, soubor #EXT# se odstraní z userPrincipalName. Pokud požadujete, aby soubor #EXT# byl k dispozici, nahraďte userPrincipalName původníUserPrincipalName jako zdrojový atribut. userPrincipalName = alias@domain.com originalUserPrincipalName = alias#EXT#@domain.com

Cykly zřizování: Počáteční a přírůstkové

Pokud je Azure AD zdrojovým systémem, služba zřizování používá k sledování změn v Microsoftu Graph data k monitorování uživatelů a skupin dotaz Použít rozdílový dotaz. Služba zřizování spouští počáteční cyklus se zdrojovým systémem a cílovým systémem a následně pravidelnými přírůstkovými cykly.

Počáteční cyklus

Při spuštění služby zřizování bude první cyklus:

  1. Dotazujte se na všechny uživatele a skupiny ze zdrojového systému a načítáte všechny atributy definované v mapování atributů.

  2. Filtrujte vrácené uživatele a skupiny pomocí všech nakonfigurovaných přiřazení nebo filtrů oborů založených na atributech.

  3. Pokud je uživatel přiřazený nebo v oboru zřizování, služba dotazuje cílový systém na odpovídajícího uživatele pomocí zadaných odpovídajících atributů. Příklad: Pokud je název userPrincipal ve zdrojovém systému odpovídající atribut a mapuje se na userName v cílovém systému, služba zřizování dotazuje cílový systém na uživatelské názvy, které odpovídají hodnotám názvu uživatelePrincipal ve zdrojovém systému.

  4. Pokud se v cílovém systému nenajde odpovídající uživatel, vytvoří se pomocí atributů vrácených ze zdrojového systému. Po vytvoření uživatelského účtu služba zřizování zjistí a ukládá DO mezipaměti ID cílového systému pro nového uživatele. Toto ID slouží ke spuštění všech budoucích operací na daném uživateli.

  5. Pokud se najde odpovídající uživatel, aktualizuje se pomocí atributů poskytovaných zdrojovým systémem. Jakmile se uživatelský účet shoduje, služba zřizování zjistí a ukládá ID cílového systému do mezipaměti pro nového uživatele. Toto ID slouží ke spuštění všech budoucích operací na daném uživateli.

  6. Pokud mapování atributů obsahuje atributy "reference", služba provede další aktualizace v cílovém systému, aby vytvořila a propojila odkazované objekty. Uživatel může mít například v cílovém systému atribut "Manager", který je propojený s jiným uživatelem vytvořeným v cílovém systému.

  7. Zachovají vodoznak na konci počátečního cyklu, který poskytuje výchozí bod pro pozdější přírůstkové cykly.

Některé aplikace, jako je ServiceNow, G Suite a Box, podporují nejen zřizování uživatelů, ale také zřizování skupin a jejich členů. Pokud je v mapování povolené zřizování skupin, služba zřizování synchronizuje uživatele a skupiny a potom později synchronizuje členství ve skupinách.

Přírůstkové cykly

Po počátečním cyklu budou všechny ostatní cykly:

  1. Dotazujte zdrojový systém pro všechny uživatele a skupiny, které byly aktualizovány od posledního uložení vodoznaku.

  2. Filtrujte vrácené uživatele a skupiny pomocí všech nakonfigurovaných přiřazení nebo filtrů oborů založených na atributech.

  3. Pokud je uživatel přiřazený nebo v oboru zřizování, služba dotazuje cílový systém pro odpovídajícího uživatele pomocí zadaných odpovídajících atributů.

  4. Pokud se v cílovém systému nenajde odpovídající uživatel, vytvoří se pomocí atributů vrácených ze zdrojového systému. Po vytvoření uživatelského účtu služba zřizování zjistí a ukládá DO mezipaměti ID cílového systému pro nového uživatele. Toto ID slouží ke spuštění všech budoucích operací na daném uživateli.

  5. Pokud se najde odpovídající uživatel, aktualizuje se pomocí atributů poskytovaných zdrojovým systémem. Pokud se jedná o nově přiřazený účet, který se shoduje, služba zřizování zjistí a uloží ID cílového systému do mezipaměti pro nového uživatele. Toto ID slouží ke spuštění všech budoucích operací na daném uživateli.

  6. Pokud mapování atributů obsahují atributy "reference", služba provede další aktualizace v cílovém systému, aby vytvořila a propojila odkazované objekty. Uživatel může mít například atribut Správce v cílovém systému, který je propojený s jiným uživatelem vytvořeným v cílovém systému.

  7. Pokud uživatel, který byl dříve v oboru zřizování, je odebrán z oboru, včetně nepřiřazené, služba zakáže uživatele v cílovém systému prostřednictvím aktualizace.

  8. Pokud je uživatel, který byl dříve v oboru zřizování, zakázán nebo obnovitelné odstranění ve zdrojovém systému, služba zakáže uživatele v cílovém systému prostřednictvím aktualizace.

  9. Pokud je uživatel, který byl dříve v oboru zřizování, ve zdrojovém systému pevně odstraněn, služba odstraní uživatele v cílovém systému. V Azure AD se uživatelé pevně odstraní 30 dnů po obnovitelném odstranění.

  10. Zachovají nový vodoznak na konci přírůstkového cyklu, který poskytuje výchozí bod pro pozdější přírůstkové cykly.

Poznámka

Volitelně můžete operace Vytvořit, Aktualizovat nebo Odstranit zakázat pomocí zaškrtávacích políček Akce cílového objektu v části Mapování . Logika pro zakázání uživatele během aktualizace je také řízena prostřednictvím mapování atributů z pole, jako je například accountEnabled.

Služba zřizování pokračuje ve spouštění přírůstkových cyklů back-to-back neomezeně v intervalech definovaných v kurzu specifickém pro každou aplikaci. Přírůstkové cykly budou pokračovat, dokud nedojde k jedné z následujících událostí:

  • Služba se ručně zastaví pomocí Azure Portal nebo pomocí příslušného příkazu Microsoft Graph API.
  • Nový počáteční cyklus se aktivuje pomocí možnosti Zřizování restartování v Azure Portal nebo pomocí příslušného příkazu Microsoft Graph API. Tato akce vymaže všechny uložené vodoznaky a způsobí, že se všechny zdrojové objekty znovu vyhodnotí.
  • Nový počáteční cyklus se aktivuje kvůli změně mapování atributů nebo filtrů oborů. Tato akce také vymaže všechny uložené vodoznaky a způsobí, že se všechny zdrojové objekty znovu vyhodnotí.
  • Proces zřizování přejde do karantény (viz níže) z důvodu vysoké míry chyb a zůstane v karanténě déle než čtyři týdny. V takovém případě bude služba automaticky zakázaná.

Chyby a opakování

Pokud v cílovém systému dojde k chybě, která brání přidání, aktualizaci nebo odstranění jednotlivých uživatelů v cílovém systému, operace se znovu provede v dalším cyklu synchronizace. Chyby se neustále opakovat, postupně škálují zpět frekvenci opakování. Pokud chcete tuto chybu vyřešit, musí správci zkontrolovat protokoly zřizování a určit původní příčinu a provést příslušnou akci. Mezi běžné chyby patří:

  • Uživatelé, kteří nemají atribut naplněný ve zdrojovém systému, který je vyžadován v cílovém systému
  • Uživatelé, kteří mají hodnotu atributu ve zdrojovém systému, pro který existuje jedinečné omezení v cílovém systému, a stejná hodnota se nachází v jiném záznamu uživatele.

Vyřešte tyto chyby úpravou hodnot atributů pro ovlivněného uživatele ve zdrojovém systému nebo úpravou mapování atributů, aby nezpůsobily konflikty.

Karanténa

Pokud většina nebo všechna volání provedená v cílovém systému konzistentně selže kvůli chybě (například neplatným přihlašovacím údajům správce), úloha zřizování přejde do stavu karantény. Tento stav je uvedený v souhrnné sestavě zřizování a e-mailem, pokud byla e-mailová oznámení nakonfigurovaná v Azure Portal.

Při karanténě se frekvence přírůstkových cyklů postupně snižuje na jednou denně.

Úloha zřizování ukončí karanténu po opravení všech chyb off-endu a spustí se další cyklus synchronizace. Pokud úloha zřizování zůstane v karanténě déle než čtyři týdny, je úloha zřizování zakázaná. Další informace o stavu karantény najdete tady.

Jak dlouho trvá zřizování

Výkon závisí na tom, jestli vaše úloha zřizování spouští počáteční cyklus zřizování nebo přírůstkový cyklus. Podrobnosti o tom, jak dlouho zřizování trvá a jak monitorovat stav služby zřizování, najdete v tématu Kontrola stavu zřizování uživatelů.

Jak zjistit, jestli se uživatelé zřizují správně

Všechny operace spuštěné službou zřizování uživatelů se zaznamenávají v protokolech zřizování Azure AD (Preview). Protokoly zahrnují všechny operace čtení a zápisu provedené ve zdrojových a cílových systémech a uživatelská data, která byla načtena nebo zapsána během každé operace. Informace o tom, jak číst protokoly zřizování v Azure Portal, najdete v průvodci vytvářením sestav.

Zrušení zřizování

Služba zřizování Azure AD udržuje zdrojové a cílové systémy synchronizované tím, že účty zruší zřizování, když se odebere uživatelský přístup.

Služba zřizování podporuje odstranění i zakázání uživatelů (někdy označovaných jako obnovitelné odstranění). Přesná definice zákazu a odstranění se liší v závislosti na implementaci cílové aplikace, ale obecně to znamená, že se uživatel nemůže přihlásit. Odstranění označuje, že uživatel byl zcela odebrán z aplikace. V případě aplikací SCIM je zákaz požadavkem na nastavení aktivní vlastnosti na hodnotu false uživatele.

Konfigurace aplikace pro zakázání uživatele

Ujistěte se, že jste pro aktualizace vybrali zaškrtávací políčko.

Ujistěte se, že máte mapování pro vaši aplikaci aktivní . Pokud používáte aplikaci z galerie aplikací, může se mapování mírně lišit. Ujistěte se, že pro aplikace galerie použijete výchozí nebo zastaralé mapování.

Disable a user

Konfigurace aplikace pro odstranění uživatele

Následující scénáře aktivují zákaz nebo odstranění:

  • Uživatel je v Azure AD obnovitelné odstranění (odesláno do koše / Vlastnost AccountEnabled nastavená na false). 30 dní po odstranění uživatele v Azure AD se trvale odstraní z tenanta. V tomto okamžiku služba zřizování odešle žádost DELETE, která trvale odstraní uživatele v aplikaci. Kdykoli během 30denního okna můžete uživatele trvale odstranit, což aplikaci odešle žádost o odstranění.
  • Uživatel se trvale odstraní nebo odebere z koše v Azure AD.
  • Uživatel není přiřazený z aplikace.
  • Uživatel přejde z oboru na mimo rozsah (už nepředá filtr rozsahu).

Delete a user

Ve výchozím nastavení služba zřizování Azure AD obnovitelné odstranění nebo zakáže uživatele, kteří vyjdou z rozsahu. Pokud chcete toto výchozí chování přepsat, můžete nastavit příznak pro vynechání odstranění mimo rozsah.

Pokud dojde k jedné z výše uvedených čtyř událostí a cílová aplikace nepodporuje obnovitelné odstranění, služba zřizování odešle žádost DELETE, která trvale odstraní uživatele z aplikace.

Pokud se v mapování atributů zobrazí atribut IsSoftDeleted, použije se k určení stavu uživatele a k odeslání žádosti o aktualizaci s aktivním = false k obnovitelnému odstranění uživatele.

Zrušení zřízení událostí

Následující tabulka popisuje, jak můžete nakonfigurovat akce zrušení zřízení pomocí služby zřizování Azure AD. Tato pravidla jsou napsána s ohledem na negalerii nebo vlastní aplikaci, ale obecně platí pro aplikace v galerii. Chování aplikací galerie se ale může lišit, protože byly optimalizované tak, aby vyhovovaly potřebám aplikace. Například služba zřizování Azure AD může vždy odeslat požadavek na pevné odstranění uživatelů v určitých aplikacích, nikoli obnovitelné odstranění, pokud cílová aplikace nepodporuje obnovitelné odstranění uživatelů.

Scenario Postup konfigurace v Azure AD
Pokud uživatel není přiřazený z aplikace, obnovitelné odstranění v Azure AD nebo je zablokovaný při přihlašování, nic nedělejte. Odeberte isSoftDeleted z mapování atributů a / nebo nastavte vlastnost vynechání odstranění oboru na true.
Pokud uživatel není přiřazený z aplikace, obnovitelné odstranění v Azure AD nebo je zablokovaný od přihlášení, nastavte konkrétní atribut na hodnotu true nebo false. Map isSoftDeleted na atribut, který chcete nastavit na false.
Pokud je uživatel v Azure AD zakázaný, nepřiřazené z aplikace, obnovitelné odstranění v Azure AD nebo zablokované přihlášení, odešlete do cílové aplikace požadavek DELETE. Tato funkce je v současné době podporovaná pro omezenou sadu aplikací galerie, kde je potřeba funkce. Zákazníci ho nedají konfigurovat.
Když se uživatel odstraní v Azure AD, nedělejte nic v cílové aplikaci. Ujistěte se, že možnost Odstranit není vybrána jako jedna z akcí cílového objektu v prostředí konfigurace attriubte.
Když se uživatel odstraní v Azure AD, nastavte hodnotu atributu v cílové aplikaci. Nepodporováno
Když se uživatel odstraní v Azure AD, odstraňte uživatele v cílové aplikaci. Tento scénář se podporuje. Ujistěte se, že je funkce Delete vybrána jako jedna z akcí cílového objektu v prostředí konfigurace atributů.

Známá omezení

  • Pokud uživatel, který byl dříve spravován službou zřizování, není přiřazený z aplikace nebo ze skupiny přiřazené k aplikaci, odešleme žádost o zákaz. V tomto okamžiku uživatel není spravován službou a po odstranění z adresáře neodesíláme žádost o odstranění.
  • Zřízení uživatele, který je v Azure AD zakázaný, se nepodporuje. Před zřízením musí být aktivní ve službě Azure AD.
  • Když uživatel přejde z obnovitelného odstranění na aktivní, služba zřizování Azure AD aktivuje uživatele v cílové aplikaci, ale automaticky neobnoví členství ve skupinách. Cílová aplikace by měla udržovat členství ve skupinách pro uživatele v neaktivním stavu. Pokud cílová aplikace tuto funkci nepodporuje, můžete restartovat zřizování, abyste aktualizovali členství ve skupinách.

Doporučení

Při vývoji aplikace vždy podporují obnovitelné odstranění i pevné odstranění. Umožňuje zákazníkům obnovit, když je uživatel omylem zakázaný.

Další kroky

Naplánování nasazení automatického zřizování uživatelů

Konfigurace zřizování pro aplikaci v galerii

Vytvoření koncového bodu SCIM a konfigurace zřizování při vytváření vlastní aplikace

Řešení potíží s konfigurací a zřizováním uživatelů pro aplikaci