Automatizace zřizování a rušení uživatelů pro aplikace SaaS pomocí Azure Active DirectoryAutomate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

Azure Active Directory (Azure AD) umožňuje automatizovat vytváření, údržbu a odebírání identit uživatelů v cloudových SaaS aplikacích, jako jsou Dropbox, Salesforce, ServiceNowa další.Azure Active Directory (Azure AD) lets you automate the creation, maintenance, and removal of user identities in cloud SaaS applications such as Dropbox, Salesforce, ServiceNow, and more. To se označuje jako automatizované zřizování uživatelů pro aplikace SaaS.This is known as automated user provisioning for SaaS apps.

Tato funkce vám umožní:This feature lets you:

  • Automatické vytváření nových účtů v pravém systému pro nové uživatele, když se připojí k vašemu týmu nebo organizaci.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Automaticky deaktivovat účty ve správných systémech, když lidé odejdou z týmu nebo organizace.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Ujistěte se, že identity ve vašich aplikacích a systémech jsou aktuální na základě změn v adresáři nebo v systému lidských zdrojů.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • Pro aplikace, které je podporují, zřídí objekty nepatřící uživatelům, jako jsou skupiny.Provision non-user objects, such as groups, to applications that support them.

Automatické zřizování uživatelů také zahrnuje tuto funkci:Automated user provisioning also includes this functionality:

  • Schopnost párovat stávající identity mezi zdrojovým a cílovým systémem.Ability to match existing identities between source and target systems.
  • Přizpůsobitelné mapování atributů, které definuje, jaká uživatelská data by měla tok ze zdrojového systému do cílového systému.Customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Volitelná e-mailová upozornění pro chyby zřizováníOptional email alerts for provisioning errors.
  • Vytváření sestav a protokolů aktivit, které vám pomůžou s monitorováním a řešením problémů.Reporting and activity logs to help with monitoring and troubleshooting.

Proč používat automatizované zřizování?Why use automated provisioning?

Mezi běžné motivace pro použití této funkce patří:Some common motivations for using this feature include:

  • Předcházení nákladům, neefektivitám a lidským chybám přidruženým k ručním procesům zřizování.Avoiding the costs, inefficiencies, and human error associated with manual provisioning processes.
  • Vyloučí se náklady spojené s hostováním a údržbou vlastních řešení a skriptů pro zřizování.Avoiding the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Zabezpečení organizace tím, že se okamžitě odeberou identity uživatelů z aplikací služby Key SaaS, když odejdou z organizace.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Snadné importování velkého počtu uživatelů do konkrétní SaaS aplikace nebo systému.Easily importing a large number of users into a particular SaaS application or system.
  • Pomocí jedné sady zásad určíte, kdo je zřízený a kdo se může přihlásit k aplikaci.Having a single set of policies to determine who is provisioned and who can sign in to an app.

Jak Automatické zřizování funguje?How does automatic provisioning work?

Služba zřizování Azure AD zřídí uživatele k SaaS aplikací a dalších systémů připojením k koncovým bodům rozhraní API pro správu uživatelů poskytovanými jednotlivými dodavateli aplikací.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Tyto koncové body rozhraní API správy uživatelů umožňují službě Azure AD programově vytvářet, aktualizovat a odebírat uživatele.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. Pro vybrané aplikace může služba zřizování také vytvářet, aktualizovat a odebírat další objekty související s identitou, jako jsou například skupiny a role.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

služby Azure AD Provisioning Obrázek 1: služba zřizování Azure ADAzure AD Provisioning Service Figure 1: The Azure AD Provisioning Service

pracovní postup odchozího zřizování uživatelů Obrázek 2: "odchozí" pracovní postup zřizování uživatelů z Azure AD do oblíbených aplikací SaaSOutbound user provisioning workflow Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

pracovní postup příchozího zřizování uživatelů Obrázek 3: "příchozí" pracovní postup zřizování uživatelů z oblíbených aplikací HCM pro správu lidského kapitálu do Azure Active Directory a Windows Server Active DirectoryInbound user provisioning workflow Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

Jaké aplikace a systémy je možné používat s automatickým zřizováním uživatelů Azure AD?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD nabízí předem integrovanou podporu pro spoustu oblíbených aplikací SaaS a systémů lidských zdrojů a obecnou podporu pro aplikace, které implementují určité části standardu SCIM 2,0.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

Předem integrované aplikacePre-integrated applications

Seznam všech aplikací, pro které Azure AD podporuje předem integrovaný zřizovací konektor, najdete v seznamu kurzů aplikací pro zřizování uživatelů.For a list of all applications for which Azure AD supports a pre-integrated provisioning connector, see the list of application tutorials for user provisioning.

Pokud chcete kontaktovat tým technické podpory Azure AD a požádat o podporu zřizování pro další aplikace, odešlete zprávu prostřednictvím fóra Azure Active Directory Feedback.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

Poznámka

Aby aplikace podporovala automatizované zřizování uživatelů, musí nejdřív poskytnout potřebná rozhraní API pro správu uživatelů, která umožní externím programům automatizovat vytváření, údržbu a odebírání uživatelů.In order for an application to support automated user provisioning, it must first provide the necessary user management APIs that allow for external programs to automate the creation, maintenance, and removal of users. Proto nejsou všechny aplikace SaaS kompatibilní s touto funkcí.Therefore, not all SaaS apps are compatible with this feature. Pro aplikace, které podporují rozhraní API pro správu uživatelů, může tým technické podpory Azure AD potom pro tyto aplikace vytvořit konektor pro zřizování a tato práce má prioritu podle potřeb současných a potenciálních zákazníků.For apps that do support user management APIs, the Azure AD engineering team can then build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

Propojení aplikací, které podporují SCIM 2,0Connecting applications that support SCIM 2.0

Informace o tom, jak obecně připojit aplikace, které implementují rozhraní API pro správu uživatelů na bázi SCIM 2,0, najdete v tématu použití SCIM k automatickému zřizování uživatelů a skupin od Azure Active Directory k aplikacím.For information on how to generically connect applications that implement SCIM 2.0 -based user management APIs, see Using SCIM to automatically provision users and groups from Azure Active Directory to applications.

Návody nastavit Automatické zřizování pro aplikaci?How do I set up automatic provisioning to an application?

Pomocí portálu Azure Active Directory můžete nakonfigurovat službu zřizování Azure AD pro vybranou aplikaci.Use the Azure Active Directory portal to configure the Azure AD provisioning service for a selected application.

  1. Otevřete portál Azure Active Directory .Open the Azure Active Directory portal.

  2. V levém podokně vyberte podnikové aplikace .Select Enterprise applications from the left pane. Zobrazí se seznam všech nakonfigurovaných aplikací.A list of all configured apps is show.

  3. Pro přidání aplikace vyberte + Nová aplikace .Choose + New application to add an application.

  4. Zadejte všechny podrobnosti a vyberte Přidat.Provide any details and select Add. Nová aplikace se přidá do seznamu podnikových aplikací a otevře se na obrazovce správy aplikací.The new app is added to the list of enterprise applications and opens to its application management screen.

  5. Vyberte zřizování pro správu nastavení zřizování uživatelských účtů pro aplikaci.Select Provisioning to manage user account provisioning settings for the app.

    Zobrazuje obrazovku nastavení zřizování.

  6. Vyberte možnost automatické volby pro režim zřizování a určete tak nastavení pro přihlašovací údaje správce, mapování, spuštění a zastavení a synchronizaci.Select the Automatic option for the Provisioning Mode to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

    • Rozbalte přihlašovací údaje správce a zadejte přihlašovací údaje požadované pro Azure AD pro připojení k rozhraní API pro správu uživatelů aplikace.Expand Admin credentials to enter the credentials required for Azure AD to connect to the application's user management API. Tato část také umožňuje povolit e-mailová oznámení v případě, že přihlašovací údaje selžou nebo pokud úloha zřizování přejde do karantény.This section also lets you enable email notifications if the credentials fail, or the provisioning job goes into quarantine.

    • Rozbalením mapování můžete zobrazit a upravit atributy uživatele, které se při zřizování nebo aktualizaci uživatelských účtů flowují mezi službou Azure AD a cílovou aplikací.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated. Pokud cílová aplikace tuto aplikaci podporuje, Tato část vám umožní volitelně nakonfigurovat zřizování skupin a uživatelských účtů.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts. Vyberte mapování v tabulce, chcete-li otevřít Editor mapování vpravo, kde můžete zobrazit a přizpůsobit atributy uživatele.Select a mapping in the table to open the mapping editor to the right, where you can view and customize user attributes.

      Filtry oborů oznamují službě zřizování, které uživatele a skupiny ve zdrojovém systému mají být zřízené nebo zrušené pro cílový systém.Scoping filters tell the provisioning service which users and groups in the source system should be provisioned or deprovisioned to the target system. V podokně mapování atributů vyberte obor zdrojového objektu , chcete-li filtrovat konkrétní hodnoty atributu.In the Attribute mapping pane, select Source Object Scope to filter on specific attribute values. Můžete například určit, že v oboru pro zřízení mají být pouze uživatelé s atributem Department (Oddělení) s hodnotou Sales (Prodej).For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning. Další informace najdete v tématu Používání filtrů oborů.For more information, see Using scoping filters.

      Další informace najdete v tématu Přizpůsobení mapování atributů.For more information, see Customizing Attribute Mappings.

    • Nastavení řídí operaci služby zřizování pro aplikaci, včetně toho, jestli je aktuálně spuštěná.Settings control the operation of the provisioning service for an application, including whether it's currently running. Nabídka obor vám umožní určit, jestli se má v oboru pro zřizování zadat jenom přiřazení uživatelé a skupiny, nebo jestli se má zřídit všichni uživatelé v adresáři Azure AD.The Scope menu lets you specify whether only assigned users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. Informace o přiřazování uživatelů a skupin najdete v tématu Přiřazení uživatele nebo skupiny k podnikové aplikaci v Azure Active Directory.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

Na obrazovce Správa aplikací vyberte zřizovací protokoly (Preview) a zobrazte záznamy všech operací spuštěných službou zřizování Azure AD.In the app management screen, select Provisioning logs (preview) to view records of every operation run by the Azure AD provisioning service. Další informace najdete v průvodci zřizováním sestav.For more information, see the provisioning reporting guide.

Ukázka – obrazovka pro protokoly zřizování aplikace

Poznámka

Službu zřizování uživatelů Azure AD je taky možné nakonfigurovat a spravovat pomocí rozhraní Microsoft Graph API.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

Co se stane při zřizování?What happens during provisioning?

Když je Azure AD zdrojový systém, služba zřizování používá funkci rozdílového dotazu Graph API Azure AD k monitorování uživatelů a skupin.When Azure AD is the source system, the provisioning service uses the Differential Query feature of the Azure AD Graph API to monitor users and groups. Služba zřizování spouští počáteční cyklus proti zdrojovému systému a cílovému systému, po kterém následují pravidelné přírůstkové cykly.The provisioning service runs an initial cycle against the source system and target system, followed by periodic incremental cycles.

Počáteční cyklusInitial cycle

Po spuštění služby zřizování se první synchronizace spustí:When the provisioning service is started, the first sync ever run will:

  1. Dotazujte všechny uživatele a skupiny ze zdrojového systému a načtěte všechny atributy definované v mapování atributů.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.
  2. Filtrování vrácených uživatelů a skupin pomocí všech nakonfigurovaných přiřazení nebo filtrů rozsahů založených na atributech.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Když je uživatel přiřazen nebo je v oboru pro zřizování, služba se dotazuje cílového systému pro odpovídajícího uživatele pomocí zadaných atributů odpovídajícího atributu.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. Příklad: Pokud je název userPrincipal ve zdrojovém systému odpovídajícím atributem a mapuje se na uživatelské jméno v cílovém systému, pak služba zřizování dotazuje cílový systém pro uživatelská jména, která se shodují s hodnotami userPrincipal názvu ve zdrojovém systému.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.
  4. Pokud se v cílovém systému nenajde shodný uživatel, bude vytvořen pomocí atributů vrácených ze zdrojového systému.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Po vytvoření uživatelského účtu služba zřizování detekuje a ukládá do mezipaměti ID cílového systému pro nového uživatele, který se používá ke spuštění všech budoucích operací s tímto uživatelem.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Pokud se najde shodný uživatel, aktualizuje se pomocí atributů poskytovaných zdrojovým systémem.If a matching user is found, it's updated using the attributes provided by the source system. Po porovnání uživatelského účtu služba zřizování detekuje a ukládá do mezipaměti ID cílového systému pro nového uživatele, který se používá ke spuštění všech budoucích operací s tímto uživatelem.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Pokud mapování atributů obsahuje "referenční" atributy, služba provede další aktualizace v cílovém systému pro vytvoření a propojení odkazovaných objektů.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Uživatel může například mít v cílovém systému atribut "nadřízený", který je propojený s jiným uživatelem vytvořeným v cílovém systému.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Na konci počátečního cyklu můžete zachovat vodoznak, který poskytuje výchozí bod pro pozdější přírůstkové cykly.Persist a watermark at the end of the initial cycle, which provides the starting point for the later incremental cycles.

Některé aplikace, jako je ServiceNow, G Suite a box, podporují nejen zřizování uživatelů, ale také zřizování skupin a jejich členů.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. V takových případech, pokud je zřizování skupin povoleno v mapování, služba zřizování synchronizuje uživatele a skupiny a potom později synchronizuje členství ve skupině.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

Přírůstkové cyklyIncremental cycles

Po úvodním cyklu budou všechny ostatní cykly:After the initial cycle, all other cycles will:

  1. Dotaz na zdrojový systém pro všechny uživatele a skupiny, které byly aktualizovány od posledního uložení vodoznaku.Query the source system for any users and groups that were updated since the last watermark was stored.
  2. Filtrování vrácených uživatelů a skupin pomocí všech nakonfigurovaných přiřazení nebo filtrů rozsahů založených na atributech.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Když je uživatel přiřazen nebo je v oboru pro zřizování, služba se dotazuje cílového systému pro odpovídajícího uživatele pomocí zadaných atributů odpovídajícího atributu.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.
  4. Pokud se v cílovém systému nenajde shodný uživatel, bude vytvořen pomocí atributů vrácených ze zdrojového systému.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Po vytvoření uživatelského účtu služba zřizování detekuje a ukládá do mezipaměti ID cílového systému pro nového uživatele, který se používá ke spuštění všech budoucích operací s tímto uživatelem.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Pokud se najde shodný uživatel, aktualizuje se pomocí atributů poskytovaných zdrojovým systémem.If a matching user is found, it's updated using the attributes provided by the source system. Pokud se jedná o nově přiřazený účet, služba zřizování detekuje a ukládá do mezipaměti ID cílového systému pro nového uživatele, které se používá ke spuštění všech budoucích operací s tímto uživatelem.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Pokud mapování atributů obsahuje "referenční" atributy, služba provede další aktualizace v cílovém systému pro vytvoření a propojení odkazovaných objektů.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Uživatel může například mít v cílovém systému atribut "nadřízený", který je propojený s jiným uživatelem vytvořeným v cílovém systému.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Pokud je uživatel, který byl dříve v oboru pro zřizování, odebrán z oboru (včetně nepřiřazeného), služba zakáže uživatele v cílovém systému prostřednictvím aktualizace.If a user that was previously in scope for provisioning is removed from scope (including being unassigned), the service disables the user in the target system via an update.
  8. Pokud je uživatel, který byl dříve v oboru pro zřizování, zakázán nebo odstraněn ze zdrojového systému, služba zakáže uživatele v cílovém systému prostřednictvím aktualizace.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.
  9. Pokud je uživatel, který byl dříve v oboru pro zřizování, ve zdrojovém systému pevným smazán, služba odstraní uživatele v cílovém systému.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. Ve službě Azure AD se uživatelé po odinstalaci nezávazně odstraní po uplynutí 30 dnů.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.
  10. Zachovejte nový vodoznak na konci přírůstkového cyklu, který poskytuje výchozí bod pro pozdější přírůstkové cykly.Persist a new watermark at the end of the incremental cycle, which provides the starting point for the later incremental cycles.

Poznámka

Volitelně můžete zakázat operace vytvořit, aktualizovatnebo Odstranit pomocí akcí cílového objektu v sekci mapování .You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. Logika zakázání uživatele během aktualizace je také řízena prostřednictvím mapování atributů z pole, jako je například "accountEnabled".The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

Služba zřizování pokračuje v průběžném spouštění přírůstkových cyklů zpět, v intervalech definovaných v kurzu specifických pro jednotlivé aplikace, dokud nedojde k jedné z následujících událostí:The provisioning service continues running back-to-back incremental cycles indefinitely, at intervals defined in the tutorial specific to each application, until one of the following events occurs:

  • Služba se ručně zastavila pomocí Azure Portal nebo pomocí příslušného příkazu Graph APIThe service is manually stopped using the Azure portal, or using the appropriate Graph API command
  • Nový počáteční cyklus se aktivuje pomocí možnosti Vymazat stav a restartovat v Azure Portal nebo pomocí příslušného příkazu Graph API.A new initial cycle is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Graph API command. Tato akce vymaže libovolný uložený vodoznak a způsobí, že všechny zdrojové objekty budou znovu vyhodnoceny.This action clears any stored watermark and causes all source objects to be evaluated again.
  • Spustí se nový počáteční cyklus, protože se změní mapování atributů nebo filtry oborů.A new initial cycle is triggered because of a change in attribute mappings or scoping filters. Tato akce také vymaže všechny uložené meze a způsobí, že všechny zdrojové objekty budou znovu vyhodnoceny.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • Proces zřizování přejde do karantény (viz níže) z důvodu vysoké míry chyb a zůstane v karanténě po dobu více než čtyř týdnů.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. V takovém případě se služba automaticky zakáže.In this event, the service will be automatically disabled.

Chyby a opakováníErrors and retries

Pokud se jednotliví uživatelé v cílovém systému nedají přidat, aktualizovat ani odstranit, protože v cílovém systému dojde k chybě, operace se zopakuje v dalším synchronizačním cyklu.If an individual user can't be added, updated, or deleted in the target system because of an error in the target system, then the operation is retried in the next sync cycle. Pokud uživatel i nadále selže, začnou se opakované pokusy vyskytnout s omezenou frekvencí a postupně škálovat zpátky na jeden pokus za den.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. Aby bylo možné tuto chybu vyřešit, musí správci v protokolech zřizování zjistit hlavní příčinu a provést příslušnou akci.To resolve the failure, administrators must check the provisioning logs to determine the root cause and take the appropriate action. Běžné chyby můžou zahrnovat:Common failures can include:

  • Uživatelé nemají ve zdrojovém systému naplněný atribut, který je požadován v cílovém systému.Users not having an attribute populated in the source system that is required in the target system
  • Uživatelé mají ve zdrojovém systému hodnotu atributu, pro kterou je v cílovém systému jedinečné omezení a v jiném záznamu uživatele se nachází stejná hodnota.Users having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

Tyto chyby lze vyřešit úpravou hodnot atributů pro ovlivněného uživatele ve zdrojovém systému nebo úpravou mapování atributů na nezpůsobující konflikty.These failures can be resolved by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings to not cause conflicts.

UmístitQuarantine

Pokud se většina nebo všechna volání prováděná na cílovém systému konzistentně nedaří kvůli chybě (například pro neplatná pověření správce), úloha zřizování přejde do stavu "karanténa".If most or all of the calls made against the target system consistently fail because of an error (such as for invalid admin credentials), then the provisioning job goes into a "quarantine" state. Tento stav je uveden v sestavě souhrn zřizování a prostřednictvím e-mailu, pokud byly e-mailová oznámení konfigurována v Azure Portal.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

Když je v karanténě, frekvence přírůstkových cyklů se postupně zkracuje na jeden den.When in quarantine, the frequency of incremental cycles is gradually reduced to once per day.

Úloha zřizování bude odebrána z karantény poté, co dojde k odstranění všech problematických chyb a spustí se další cyklus synchronizace.The provisioning job will be removed from quarantine after all of the offending errors are fixed and the next sync cycle starts. Pokud úloha zřizování zůstane v karanténě po dobu delší než čtyři týdny, úloha zřizování je zakázaná.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled. Tady najdete další informace o stavukarantény.Learn more here about quarantine status here.

Jak dlouho bude trvat zřizování uživatelů?How long will it take to provision users?

Výkon závisí na tom, jestli vaše úloha zřizování spouští počáteční cyklus zřizování nebo přírůstkový cyklus.Performance depends on whether your provisioning job is running an initial provisioning cycle or an incremental cycle. Podrobnosti o tom, jak dlouho trvá zřizování a jak monitorovat stav služby zřizování, najdete v tématu Zkontrolujte stav zřizování uživatelů.For details about how long provisioning takes and how to monitor the status of the provisioning service, see Check the status of user provisioning.

Jak poznám, jestli jsou uživatelé správně zřízené?How can I tell if users are being provisioned properly?

Všechny operace spouštěné službou zřizování uživatelů se zaznamenávají v protokolech zřizování Azure AD (Preview).All operations run by the user provisioning service are recorded in the Azure AD Provisioning logs (preview). To zahrnuje všechny operace čtení a zápisu provedené ve zdrojovém a cílovém systému a uživatelská data, která byla během každé operace načtena nebo zapsána.This includes all read and write operations made to the source and target systems, and the user data that was read or written during each operation.

Informace o tom, jak číst protokoly zřizování v Azure Portal, najdete v průvodci zřizováním sestav.For information on how to read the provisioning logs in the Azure portal, see the provisioning reporting guide.

Návody řešení potíží s zřizováním uživatelů?How do I troubleshoot issues with user provisioning?

Pokyny k řešení potíží s automatickým zřizováním uživatelů najdete v tématu problémy s konfigurací a zřizováním uživatelů do aplikace.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

Jaké jsou osvědčené postupy při zavádění automatického zřizování uživatelů?What are the best practices for rolling out automatic user provisioning?

Příklad podrobného plánu nasazení pro odchozí zřizování uživatelů do aplikace najdete v Průvodci nasazením identity pro zřizování uživatelů.For an example step-by-step deployment plan for outbound user provisioning to an application, see the Identity Deployment Guide for User Provisioning.

Nejčastější dotazyFrequently asked questions

Funguje Automatické zřizování uživatelů pro aplikace SaaS s uživateli B2B ve službě Azure AD?Does automatic user provisioning to SaaS apps work with B2B users in Azure AD?

Ano, je možné použít službu Azure AD pro zřizování uživatelů ke zřízení uživatelů B2B (nebo hostů) ve službě Azure AD k SaaSí aplikací.Yes, it's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications.

Aby se však uživatelé B2B přihlásili k aplikaci SaaS pomocí služby Azure AD, musí mít aplikace SaaS možnost jednotného přihlašování založené na SAML nakonfigurovanou určitým způsobem.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. Další informace o tom, jak nakonfigurovat aplikace SaaS tak, aby podporovaly přihlášení uživatelů B2B, najdete v tématu Konfigurace aplikací SaaS pro spolupráci B2B.For more information on how to configure SaaS applications to support sign-ins from B2B users, see Configure SaaS apps for B2B collaboration.

Funguje Automatické zřizování uživatelů pro aplikace SaaS s dynamickými skupinami ve službě Azure AD?Does automatic user provisioning to SaaS apps work with dynamic groups in Azure AD?

Ano.Yes. Když je nakonfigurovaná možnost synchronizovat jenom přiřazené uživatele a skupiny, služba zřizování uživatelů Azure AD může zřídit nebo zrušit zřízení uživatelů v aplikaci SaaS podle toho, jestli jsou členy dynamické skupiny.When configured to "sync only assigned users and groups", the Azure AD user provisioning service can provision or de-provision users in a SaaS application based on whether they're members of a dynamic group. Dynamické skupiny také fungují s možností synchronizovat všechny uživatele a skupiny.Dynamic groups also work with the "sync all users and groups" option.

Použití dynamických skupin ale může mít vliv na celkový výkon komplexního zřizování uživatelů od Azure AD až po SaaS aplikace.However, usage of dynamic groups can impact the overall performance of end-to-end user provisioning from the Azure AD to SaaS applications. Při použití dynamických skupin mějte na paměti tato upozornění a doporučení:When using dynamic groups, keep these caveats and recommendations in mind:

  • Způsob zřízení nebo zrušení zřízení uživatele v dynamické skupině v aplikaci SaaS závisí na tom, jak rychlá dynamická skupina dokáže vyhodnotit změny členství ve skupinách.How fast a user in a dynamic group is provisioned or deprovisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. Informace o tom, jak kontrolovat stav zpracování dynamické skupiny, najdete v tématu Zkontrolujte stav zpracování pravidla členství.For information on how to check the processing status of a dynamic group, see Check processing status for a membership rule.

  • Při použití dynamických skupin musí být pravidla pečlivě zvážená zřizováním uživatelů a zrušením zřizování, protože při ztrátě členství dojde k události zrušení zřízení.When using dynamic groups, the rules must be carefully considered with user provisioning and de-provisioning in mind, as a loss of membership results in a deprovisioning event.

Funguje Automatické zřizování uživatelů pro aplikace SaaS s vnořenými skupinami ve službě Azure AD?Does automatic user provisioning to SaaS apps work with nested groups in Azure AD?

Ne.No. Pokud je nakonfigurovaná možnost synchronizovat jenom přiřazené uživatele a skupiny, služba zřizování uživatelů Azure AD nebude moct číst ani zřizovat uživatele ve vnořených skupinách.When configured to "sync only assigned users and groups", the Azure AD user provisioning service isn't able to read or provision users that are in nested groups. Dá se jenom číst a zřizovat jenom uživatelé, kteří jsou bezprostředními členy explicitně přiřazené skupiny.It's only able to read and provision users that are immediate members of the explicitly assigned group.

Jedná se o omezení "přiřazení na základě skupin na aplikace", což má vliv na jednotné přihlašování a popisuje téma použití skupiny pro správu přístupu k SaaS aplikacím.This is a limitation of "group-based assignments to applications", which also affects single sign-on and is described in Using a group to manage access to SaaS applications.

Alternativním řešením je, že byste měli explicitně přiřadit (nebo jinak určit obor) skupiny obsahující uživatele, kteří se musí zřídit.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned.

Je zřizování mezi Azure AD a cílovou aplikací pomocí šifrovaného kanálu?Is provisioning between Azure AD and a target application using an encrypted channel?

Ano.Yes. Pro cíl serveru používáme šifrování SSL HTTPS.We use HTTPS SSL encryption for the server target.