Jak funguje zřizování aplikací v Azure Active Directory

  • Článek
  • 13 min ke čtení

Automatické zřizování odkazuje na vytváření identit a rolí uživatelů v cloudových aplikacích, ke které uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování také údržbu a odebrání identit uživatelů při změně stavu nebo rolí. Než začnete s nasazením, přečtěte si tento článek, kde se dozvíte, jak funguje zřizování Azure AD, a získat doporučení ke konfiguraci.

Služba zřizování Azure AD zřídí uživatele pro aplikace SaaS a další systémy připojením ke koncovému bodu rozhraní API pro správu uživatelů (SCIM) 2.0 pro systém pro správu identit mezi doménami (SCIM) poskytovaný dodavatelem aplikace. Tento koncový bod SCIM umožňuje službě Azure AD programově vytvářet, aktualizovat a odebírat uživatele. Pro vybrané aplikace může zřizovací služba také vytvářet, aktualizovat a odebírat další objekty související s identitou, jako jsou skupiny a role. Kanál používaný ke zřizování mezi Azure AD a aplikací se šifruje pomocí šifrování HTTPS TLS 1.2.

Zřizovací služba Azure AD – obrázek 1: Služba zřizování Azure AD

Pracovní postup zřizování odchozích uživatelů Obrázek 2: Pracovní postup zřizování odchozích uživatelů z Azure AD do oblíbených aplikací SaaS

Pracovní postup zřizování příchozích uživatelů Obrázek 3: Pracovní postup zřizování příchozích uživatelů od oblíbených aplikací HCM (Human Capital Management) až po Azure Active Directory a Windows Server Active Directory

Zřizování pomocí SCIM 2.0

Služba zřizování Azure AD používá k automatickému zřizování protokol SCIM 2.0. Služba se pro aplikaci připojí ke koncovému bodu SCIM a pomocí schématu objektu uživatele SCIM a rozhraní REST API automatizuje zřizování a zrušení zřizování uživatelů a skupin. Pro většinu aplikací v galerii Azure AD je k dispozici konektor pro zřizování založený na SCIM. Při vytváření aplikací pro Azure AD mohou vývojáři pomocí rozhraní API pro správu uživatelů SCIM 2.0 vytvořit koncový bod SCIM, který integruje Azure AD pro zřizování. Podrobnosti najdete v tématu Vytvoření koncového bodu SCIM a konfiguraci zřizování uživatelů.

Pokud chcete požádat o automatický konektor zřizování Azure AD pro aplikaci, která ho aktuálně nemá, vyplňte požadavek Azure Active Directory aplikace.

Autorizace

Aby se služba Azure AD připojovat k rozhraní API pro správu uživatelů aplikace, vyžaduje se přihlašovací údaje. Při konfiguraci automatického zřizování uživatelů pro aplikaci budete muset zadat platné přihlašovací údaje. U aplikací v galerii najdete typy přihlašovacích údajů a požadavky pro aplikaci podle kurzu aplikace. Informace o typech a požadavcích na přihlašovací údaje najdete v dokumentaci SCIM v případě aplikací mimo galerii. V Azure Portal budete moct přihlašovací údaje otestovat tím, že se Azure AD pokusí připojit ke zřizovací aplikaci aplikace pomocí zadaných přihlašovacích údajů.

Atributy mapování

Když povolíte zřizování uživatelů pro aplikaci SaaS třetí strany, bude Azure Portal hodnoty atributů prostřednictvím mapování atributů. Mapování určují atributy uživatele, které proudí mezi Azure AD a cílovou aplikací při zřizování nebo aktualizaci uživatelských účtů.

Mezi uživatelskými objekty Azure AD a uživatelskými objekty jednotlivých aplikací SaaS existuje předem nakonfigurovaná sada atributů a mapování atributů. Některé aplikace spravují další typy objektů společně s uživateli, například skupiny.

Při nastavování zřizování je důležité zkontrolovat a nakonfigurovat mapování atributů a pracovní postupy, které definují tok vlastností uživatele (nebo skupiny) z Azure AD do aplikace. Zkontrolujte a nakonfigurujte odpovídající vlastnost (Porovná objekty pomocí tohoto atributu ), která se používá k jednoznačné identifikaci a porovnávání uživatelů nebo skupin mezi těmito dvěma systémy.

Výchozí mapování atributů můžete přizpůsobit podle svých obchodních potřeb. Můžete tedy změnit nebo odstranit existující mapování atributů nebo vytvořit nová mapování atributů. Podrobnosti najdete v tématu Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS.

Při konfiguraci zřizování pro aplikaci SaaS je jedním z typů mapování atributů, které můžete zadat, mapování výrazů. Pro tato mapování musíte napsat skriptový výraz, který umožňuje transformovat data uživatelů do formátů, které jsou pro aplikaci SaaS přijatelnější. Podrobnosti najdete v tématu Zápis výrazů pro mapování atributů.

Oboru

Obory na základě přiřazení

Při zřizování odchozích přenosů z Azure AD do aplikace SaaS je nejčastějším způsobem, jak určit, kteří uživatelé jsou v rozsahu zřizování, spoléhání na přiřazení uživatelů nebo skupin. Vzhledem k tomu, že se přiřazení uživatelů používají také k povolení jednotného přihlašování, můžete stejnou metodu použít ke správě přístupu i zřizování. Obory založené na přiřazení se nevztahují na scénáře zřizování příchozích dat, jako jsou Workday a Successfactors.

  • Skupiny. Pomocí Azure AD Premium plánu můžete pomocí skupin přiřadit přístup k aplikaci SaaS. Když je pak rozsah zřizování nastavený na Synchronizovat jenom přiřazené uživatele a skupiny, služba zřizování Azure AD zř zda jsou členy skupiny, která je přiřazená k aplikaci, nebo uživatele zř zda jsou členy. Samotný objekt skupiny není zřízen, pokud aplikace nepodporuje objekty skupin. Ujistěte se, že skupiny přiřazené k vaší aplikaci mají vlastnost SecurityEnabled nastavenou na Hodnotu True.

  • Dynamické skupiny. Služba zřizování uživatelů Azure AD může číst a zřřovat uživatele v dynamických skupinách. Mějte na paměti tato upozornění a doporučení:

    • Dynamické skupiny mohou ovlivnit výkon koncového zřizování z Azure AD do aplikací SaaS.

    • Rychlost zřizování nebo zrušte zřízení uživatele v dynamické skupině v aplikaci SaaS závisí na tom, jak rychle může dynamická skupina vyhodnocovat změny členství. Informace o tom, jak zkontrolovat stav zpracování dynamické skupiny, najdete v tématu Kontrola stavu zpracování pro pravidlo členství.

    • Když uživatel ztratí členství v dynamické skupině, považuje se za událost zrušení zřizování. Tento scénář zvažte při vytváření pravidel pro dynamické skupiny.

  • Vnořené skupiny. Služba zřizování uživatelů Azure AD nemůže číst ani zřřovat uživatele ve vnořených skupinách. Služba může číst a zřovat pouze uživatele, kteří jsou okamžitými členy explicitně přiřazené skupiny. Toto omezení "přiřazení aplikací na základě skupin" má také vliv na jednotné přihlašování (viz Použití skupiny ke správě přístupu k aplikacím SaaS). Místo toho přímo přiřaďte nebo jinak přiřaďte obor ve skupinách obsahujících uživatele, kteří je potřeba zřídit.

Obory založené na atributech

Filtry oborů můžete použít k definování pravidel založených na atributech, která určují, kteří uživatelé jsou pro aplikaci zřízeni. Tato metoda se běžně používá pro příchozí zřizování z aplikací HCM do Azure AD a Active Directory. Filtry oborů se konfigurují jako součást mapování atributů pro každý konektor zřizování uživatelů Azure AD. Podrobnosti o konfiguraci filtrů oborů na základě atributů najdete v tématu Zřizování aplikací na základě atributů s filtry oborů.

Uživatelé B2B (host)

Pomocí služby zřizování uživatelů Azure AD je možné zřídit uživatele B2B (nebo hosta) v Azure AD pro aplikace SaaS. Aby se ale uživatelé B2B k aplikaci SaaS přihlašovali pomocí Azure AD, musí mít aplikace SaaS schopnost jednotného přihlašování založeného na SAML nakonfigurovaná určitým způsobem. Další informace o tom, jak nakonfigurovat aplikace SaaS pro podporu přihlášení od uživatelů B2B, najdete v tématu Konfigurace aplikací SaaS pro spolupráci B2B.

Poznámka

UserPrincipalName pro uživatele typu host se často zobrazuje jako "alias#EXT#". @domain.com Pokud je atribut userPrincipalName zahrnutý v mapování atributů jako zdrojový atribut, #EXT# se z atributu userPrincipalName odestane. Pokud vyžadujete, aby #EXT# k dispozici, nahraďte userPrincipalName zdrojovým atributem originalUserPrincipalName.

userPrincipalName = alias@domain.com originalUserPrincipalName = alias#EXT #@domain.com

Cykly zřizování: Počáteční a přírůstkové

Když je azure AD zdrojovým systémem, služba zřizování používá ke sledování změn v Microsoftu rozdílový dotaz Graph monitorování uživatelů a skupin. Služba zřizování spouští počáteční cyklus vůči zdrojovému a cílovému systému a pak pravidelné přírůstkové cykly.

Počáteční cyklus

Při spuštění služby zřizování bude první cyklus následující:

  1. Dotaz na všechny uživatele a skupiny ze zdrojového systému a načtení všech atributů definovaných v mapování atributů.

  2. Vyfiltrujte vrácené uživatele a skupiny pomocí nakonfigurovaných přiřazení nebo filtrů oborů na základě atributů.

  3. Když je uživatel přiřazený nebo je v oboru pro zřizování, služba se pomocí zadaných odpovídajících atributů dotazuje cílového systému na odpovídajícího uživatele. Příklad: Pokud je ve zdrojovém systému odpovídající atribut userPrincipal a v cílovém systému se mapuje na userName, služba zřizování se dotazuje cílového systému na uživatelská jména, která odpovídají hodnotám názvu userPrincipal ve zdrojovém systému.

  4. Pokud se odpovídající uživatel v cílovém systému nenašel, vytvoří se pomocí atributů vrácených ze zdrojového systému. Po vytvoření uživatelského účtu služba zřizování detekuje a ukládá ID cílového systému nového uživatele do mezipaměti. Toto ID slouží ke spuštění všech budoucích operací na tomto uživateli.

  5. Pokud je nalezen odpovídající uživatel, aktualizuje se pomocí atributů poskytovaných zdrojovým systémem. Po spárování uživatelského účtu služba zřizování detekuje a ukládá ID cílového systému nového uživatele do mezipaměti. Toto ID slouží ke spuštění všech budoucích operací na tomto uživateli.

  6. Pokud mapování atributů obsahuje "referenční" atributy, služba v cílovém systému vytvoří další aktualizace a propoje odkazované objekty. Uživatel může mít například v cílovém systému atribut "Manager", který je propojený s jiným uživatelem vytvořeným v cílovém systému.

  7. Na konci počátečního cyklu zachycte vodoznak, který poskytuje výchozí bod pro pozdější přírůstkové cykly.

Některé aplikace, jako jsou ServiceNow, G Suite a Box, podporují nejen zřizování uživatelů, ale také skupiny zřizování a jejich členy. Pokud je v mapování povolené zřizování skupin,synchronizuje služba zřizování uživatele a skupiny a později synchronizuje členství ve skupinách.

Přírůstkové cykly

Po počátečním cyklu všechny ostatní cykly:

  1. Dotaz na zdrojový systém pro všechny uživatele a skupiny, které se aktualizovaly od posledního uložení vodoznaku.

  2. Vyfiltrujte vrácené uživatele a skupiny pomocí nakonfigurovaných přiřazení nebo filtrů oborů na základě atributů.

  3. Když je uživatel přiřazený nebo je v oboru pro zřizování, služba se pomocí zadaných odpovídajících atributů dotazuje cílového systému na odpovídajícího uživatele.

  4. Pokud se odpovídající uživatel v cílovém systému nenašel, vytvoří se pomocí atributů vrácených ze zdrojového systému. Po vytvoření uživatelského účtu služba zřizování detekuje a ukládá ID cílového systému nového uživatele do mezipaměti. Toto ID slouží ke spuštění všech budoucích operací na tomto uživateli.

  5. Pokud je nalezen odpovídající uživatel, aktualizuje se pomocí atributů poskytovaných zdrojovým systémem. Pokud se jedná o nově přiřazený účet, který se shoduje, služba zřizování detekuje a ukládá ID cílového systému pro nového uživatele do mezipaměti. Toto ID slouží ke spuštění všech budoucích operací na tomto uživateli.

  6. Pokud mapování atributů obsahuje "referenční" atributy, služba v cílovém systému vytvoří další aktualizace a propoje odkazované objekty. Uživatel může mít například v cílovém systému atribut "Manager", který je propojený s jiným uživatelem vytvořeným v cílovém systému.

  7. Pokud se uživatel, který byl dříve v oboru zřizování, odebere z oboru, včetně nepřiřazení, služba ho prostřednictvím aktualizace zakáže v cílovém systému.

  8. Pokud je uživatel, který byl dříve v oboru zřizování, ve zdrojovém systému zakázán nebo je ve zdrojovém systému odstraněný, služba ho prostřednictvím aktualizace zakáže v cílovém systému.

  9. Pokud je uživatel, který byl dříve v oboru zřizování, ve zdrojovém systému trvale odstraněn, služba odstraní uživatele v cílovém systému. Ve službě Azure AD jsou uživatelé trvale odstraněni 30 dní po jejich opětovném odstranění.

  10. Na konci přírůstkového cyklu zachycte novou mez, která poskytuje výchozí bod pro pozdější přírůstkové cykly.

Poznámka

Volitelně můžete zakázat operace Vytvoření, Aktualizace nebo Odstranění pomocí zaškrtávacích políček Akce cílového objektu v části Mapování. Logika zakázání uživatele během aktualizace se řídí také prostřednictvím mapování atributů z pole, jako je například accountEnabled.

Služba zřizování dál běží přírůstkové cykly back-to-back po neomezenou dobu v intervalech definovaných v kurzu specifickém pro jednotlivé aplikace. Přírůstkové cykly pokračují, dokud nenastane jedna z následujících událostí:

  • Služba se ručně zastaví pomocí Azure Portal nebo pomocí příslušného příkazu rozhraní Microsoft Graph API.
  • Nový počáteční cyklus se aktivuje pomocí možnosti Restartování zřizování v Azure Portal nebo pomocí příslušného příkazu rozhraní Microsoft Graph API. Tato akce vymaže všechny uložené vodoznaky a způsobí, že se všechny zdrojové objekty znovu vyhodnotí.
  • Nový počáteční cyklus se aktivuje kvůli změně v mapování atributů nebo filtrech oborů. Tato akce také vymaže všechny uložené vodoznaky a způsobí, že se všechny zdrojové objekty znovu vyhodnotí.
  • Proces zřizování přejde do karantény (viz níže) kvůli vysoké chybovostem a zůstane v karanténě po dobu delší než čtyři týdny. V takovém případě bude služba automaticky zakázaná.

Chyby a opakování

Pokud chyba v cílovém systému brání přidání, aktualizaci nebo odstranění jednotlivého uživatele v cílovém systému, bude operace opakována v dalším cyklu synchronizace. Chyby se neustále opakují a postupně se frekvence opakování škálují zpět. Aby bylo možné chybu vyřešit, musí správci zkontrolovat protokoly zřizování, zjistit hlavní příčinu a provést příslušnou akci. Mezi běžná selhání patří:

  • Uživatelé nemají ve zdrojovém systému vyplněný atribut, který je vyžadován v cílovém systému.
  • Uživatelé, kteří mají ve zdrojovém systému hodnotu atributu, pro který existuje jedinečné omezení v cílovém systému, a stejná hodnota se nachází v jiném záznamu uživatele.

Tyto chyby vyřešte úpravou hodnot atributů pro ovlivněného uživatele ve zdrojovém systému nebo úpravou mapování atributů tak, aby nezpůsobely konflikty.

Karanténa

Pokud většina nebo všechna volání provedená proti cílovému systému konzistentně selžou kvůli chybě (například kvůli neplatným přihlašovacím údajům správce), přejde úloha zřizování do stavu karantény. Tento stav je uvedený v souhrnné sestavě zřizování a e-mailem, pokud se v sestavě nakonfigurovali e-mailová Azure Portal.

Když je v karanténě, frekvence přírůstkových cyklů se postupně zmenšuje na jednou denně.

Úloha zřizování ukončí karanténu po opravení všech chyb, které ukončují, a spustí se další cyklus synchronizace. Pokud úloha zřizování zůstane v karanténě déle než čtyři týdny, úloha zřizování je zakázaná. Další informace o stavu karantény najdete tady.

Jak dlouho trvá zřizování

Výkon závisí na tom, jestli vaše úloha zřizování používá počáteční cyklus zřizování nebo přírůstkový cyklus. Podrobnosti o tom, jak dlouho trvá zřizování a jak monitorovat stav služby zřizování, najdete v tématu Kontrola stavu zřizování uživatelů.

Jak říct, jestli jsou uživatelé správně zřovití

Všechny operace, které služba zřizování uživatelů spustí, se zaznamenávají v protokolech zřizování Azure AD (Preview). Protokoly zahrnují všechny operace čtení a zápisu provedené ve zdrojovém a cílovém systému a uživatelská data, která byla přečtena nebo zapsána během každé operace. Informace o tom, jak číst protokoly zřizování v Azure Portal najdete v průvodci vytvářením sestav zřizování.

Zrušení zřizování

Služba zřizování Azure AD udržuje zdrojové a cílové systémy synchronizované tak, že po odebrání uživatelského přístupu zrušte zřizování účtů.

Zřizovací služba podporuje odstranění i zakázání uživatelů (někdy se označuje jako softwarové odstranění). Přesná definice zákazu a odstranění se liší v závislosti na implementaci cílové aplikace, ale obecně to znamená, že se uživatel nemůže přihlásit. Odstranění znamená, že uživatel byl z aplikace zcela odebrán. V případě aplikací SCIM je zakázání požadavkem na nastavení aktivní vlastnosti na hodnotu false u uživatele.

Konfigurace aplikace pro zakázání uživatele

Ujistěte se, že jste zaškrtnout políčko pro aktualizace.

Ujistěte se, že máte mapování pro vaši aplikaci aktivní. Pokud používáte aplikaci z galerie aplikací, může se mapování mírně lišit. Ujistěte se, že pro aplikace v galerii používáte výchozí /výchozí mapování.

Zakázání uživatele

Konfigurace aplikace pro odstranění uživatele

Následující scénáře aktivují zakázání nebo odstranění:

  • Uživatel se ve službě Azure AD trvale odstraní (odesílá se do odpadkové koše / vlastnost AccountEnabled nastavenou na false). 30 dní po odstranění uživatele ve službě Azure AD se trvale odstraní z tenanta. V tuto chvíli služba zřizování odešle požadavek DELETE, aby trvale odstranila uživatele v aplikaci. Kdykoli během 30denního období můžete trvale odstranit uživatele, který do aplikace odešle žádost o odstranění.
  • Uživatel je trvale odstraněn nebo odebrán z odpadkové koše ve službě Azure AD.
  • Uživatel není v aplikaci přiřazený.
  • Uživatel přejde z rozsahu do mimo rozsah (už neprojde filtrem oborů).

Odstranění uživatele

Ve výchozím nastavení zřizovací služba Azure AD umožňuje obnovit nebo zakázat uživatele, kteří se vymknou rozsahu. Pokud chcete toto výchozí chování přepsat, můžete nastavit příznak, který přeskočí odstranění mimo rozsah.

Pokud dojde k jedné z výše uvedených čtyř událostí a cílová aplikace nepodporuje softwarové odstranění, služba zřizování odešle požadavek DELETE na trvalé odstranění uživatele z aplikace.

Pokud se v mapování atributů zobrazí atribut IsSoftDeleted, slouží k určení stavu uživatele a k odeslání žádosti o aktualizaci s aktivní hodnotou false, aby bylo možné uživatele obnovit.

Známá omezení

  • Pokud uživatel, který byl dříve spravován službou zřizování, není v aplikaci přiřazený, nebo ze skupiny přiřazené k aplikaci, odešleme žádost o zákaz. V tomto okamžiku není uživatel spravován službou a po odstranění z adresáře nebudeme odesílat žádost o odstranění.
  • Zřizování uživatele, který je ve službě Azure AD zakázaný, se nepodporuje. Před zřízením musí být ve službě Azure AD aktivní.
  • Když uživatel přejde z obnovite odstraněné na aktivní, služba zřizování Azure AD ho aktivuje v cílové aplikaci, ale nebude automaticky obnovovat členství ve skupinách. Cílová aplikace by měla udržovat členství ve skupinách pro uživatele v neaktivním stavu. Pokud to cílová aplikace nepodporuje, můžete restartováním zřizování aktualizovat členství ve skupinách.

Doporučení

Při vývoji aplikace vždy podporujete jak softwarové, tak pevné odstranění. Umožňuje zákazníkům zotavit se v případě náhodného zákazu uživatele.

Další kroky

Naplánování nasazení automatického zřizování uživatelů

Konfigurace zřizování pro aplikaci v galerii

Vytvoření koncového bodu SCIM a konfigurace zřizování při vytváření vlastní aplikace

Řešení potíží s konfigurací a zřizováním uživatelů pro aplikaci