Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps im Azure-PortalManaging user account provisioning for enterprise apps in the Azure portal

Dieser Artikel enthält eine Beschreibung der allgemeinen Schritte zum Verwalten der automatischen Bereitstellung und zum Aufheben der Bereitstellung von Benutzerkonten für Anwendungen, die dies unterstützen.This article describes the general steps for managing automatic user account provisioning and de-provisioning for applications that support it. Die Bereitstellung von Benutzerkonten umfasst das Erstellen, Aktualisieren und/oder Deaktivieren der Benutzerkontodatensätze im lokalen Benutzerprofilspeicher einer Anwendung.User account provisioning is the act of creating, updating, and/or disabling user account records in an application’s local user profile store. Die meisten Cloud- und SaaS-Anwendungen speichern Benutzerrolle und -berechtigungen im eigenen lokalen Profilspeicher des jeweiligen Benutzers. Das Vorkommen eines solchen Benutzerdatensatzes im lokalen Speicher ist erforderlich, damit das einmalige Anmelden und der Zugriff funktionieren.Most cloud and SaaS applications store the users role and permissions in the user's own local user profile store, and presence of such a user record in the user's local store is required for single sign-on and access to work. Weitere Informationen zur automatischen Bereitstellung von Benutzerkonten finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen mit Azure Active Directory.To learn more about automatic user account provisioning, see Automate User Provisioning and Deprovisioning to SaaS Applications with Azure Active Directory.

Wichtig

Azure Active Directory (Azure AD) enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen, die für die automatische Bereitstellung mit Azure AD aktiviert sind.Azure Active Directory (Azure AD) has a gallery that contains thousands of pre-integrated applications that are enabled for automatic provisioning with Azure AD. Suchen Sie zunächst in der Liste der Tutorials zur Integration von SaaS-Apps in Azure Active Directory nach dem für Ihre Anwendung spezifischen Tutorial zur Bereitstellungseinrichtung.You should start by finding the provisioning setup tutorial specific to your application in the List of tutorials on how to integrate SaaS apps with Azure Active Directory. Wahrscheinlich finden Sie eine Schritt-für-Schritt-Anleitung zum Konfigurieren der App und von Azure AD für das Erstellen der Bereitstellungsverbindung.You'll likely find step-by-step guidance for configuring both the app and Azure AD to create the provisioning connection.

Suchen Ihrer Apps im PortalFinding your apps in the portal

Im Azure Active Directory-Portal können Sie alle Anwendungen in einem Verzeichnis anzeigen und verwalten, die für einmaliges Anmelden konfiguriert sind.Use the Azure Active Directory portal to view and manage all applications that are configured for single sign-on in a directory. Unternehmens-Apps sind Apps, die innerhalb Ihrer Organisation bereitgestellt und verwendet werden.Enterprise apps are apps that are deployed and used within your organization. Führen Sie zum Anzeigen und Verwalten Ihrer Unternehmens-Apps diese Schritte aus:Follow these steps to view and manage your enterprise applications:

  1. Öffnen Sie das Azure Active Directory-Portal.Open the Azure Active Directory portal.

  2. Wählen Sie im linken Bereich die Option Unternehmensanwendungen aus.Select Enterprise applications from the left pane. Eine Liste mit allen konfigurierten Apps wird angezeigt, einschließlich Apps, die aus dem Katalog hinzugefügt wurden.A list of all configured apps is shown, including apps that were added from the gallery.

  3. Wählen Sie eine beliebige App aus, um ihren Ressourcenbereich zu laden, in dem Sie Berichte anzeigen und App-Einstellungen verwalten können.Select any app to load its resource pane, where you can view reports and manage app settings.

  4. Wählen Sie Bereitstellung aus, um die Einstellungen für die Bereitstellung von Benutzerkonten für die ausgewählte App zu verwalten.Select Provisioning to manage user account provisioning settings for the selected app.

    Bildschirm „Bereitstellung“ zum Verwalten der Einstellungen für die Bereitstellung von Benutzerkonten

BereitstellungsmodiProvisioning modes

Der Bereich Bereitstellung beginnt mit dem Menü Modus, das die unterstützten Bereitstellungsmodi eine Unternehmensanwendung zeigt und deren Konfiguration ermöglicht.The Provisioning pane begins with a Mode menu, which shows the provisioning modes supported for an enterprise application, and lets you configure them. Die verfügbaren Optionen umfassen:The available options include:

  • Automatisch: Diese Option wird angezeigt, wenn Azure AD die automatische API-basierte Bereitstellung bzw. das Aufheben der Bereitstellung von Benutzerkonten für diese Anwendung unterstützt.Automatic - This option is shown if Azure AD supports automatic API-based provisioning or de-provisioning of user accounts to this application. Wählen Sie den Modus zum Anzeigen einer Oberfläche, auf der Administratoren folgende Aufgaben ausführen können:Select this mode to display an interface that helps administrators:

    • Konfigurieren von Azure AD zum Herstellen einer Verbindung mit der Benutzerverwaltungs-API der AnwendungConfigure Azure AD to connect to the application's user management API
    • Erstellen von Kontozuordnungen und Workflows, die definieren, wie die Benutzerkontendaten zwischen Azure AD und der App übertragen werden sollenCreate account mappings and workflows that define how user account data should flow between Azure AD and the app
    • Verwalten des Azure AD-BereitstellungsdienstsManage the Azure AD provisioning service
  • Manuell: Diese Option wird angezeigt, wenn Azure AD die automatische Bereitstellung von Benutzerkonten für diese Anwendung nicht unterstützt.Manual - This option is shown if Azure AD doesn't support automatic provisioning of user accounts to this application. Dies bedeutet, dass in der Anwendung gespeicherte Benutzerkontodatensätze basierend auf den Benutzerverwaltungs- und Bereitstellungsfunktionen dieser Anwendung (einschließlich SAML Just-in-Time-Bereitstellung) mit einem externen Prozess verwaltet werden müssen.In this case, user account records stored in the application must be managed using an external process, based on the user management and provisioning capabilities provided by that application (which can include SAML Just-In-Time provisioning).

Konfigurieren der automatischen Bereitstellung von BenutzerkontenConfiguring automatic user account provisioning

Wählen Sie die Option Automatisch aus, um Einstellungen für Administratoranmeldeinformationen, Zuordnungen, das Starten und Beenden sowie für die Synchronisierung anzugeben.Select the Automatic option to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

AdministratoranmeldeinformationenAdmin Credentials

Erweitern Sie Administratoranmeldeinformationen, um die Anmeldeinformationen einzugeben, die Azure AD zum Herstellen einer Verbindung mit der Benutzerverwaltungs-API der Anwendung benötigt.Expand Admin Credentials to enter the credentials required for Azure AD to connect to the application's user management API. Die erforderliche Eingabe variiert je nach Anwendung.The input required varies depending on the application. Informationen zu den Anmeldeinformationstypen und den Anforderungen für bestimmte Anwendungen finden Sie im Konfigurationstutorial der jeweiligen Anwendung.To learn about the credential types and requirements for specific applications, see the configuration tutorial for that specific application.

Durch Klicken auf Verbindung testen können Sie die Anmeldeinformationen testen, indem Sie Azure AD versuchen lassen, mit den angegebenen Anmeldeinformationen eine Verbindung mit der Bereitstellungs-App der App herzustellen.Select Test Connection to test the credentials by having Azure AD attempt to connect to the app's provisioning app using the supplied credentials.

ZuordnungenMappings

Erweitern Sie Zuordnungen, um die Benutzerattribute anzuzeigen und zu bearbeiten, die beim Bereitstellen oder Aktualisieren von Benutzerkonten zwischen Azure AD und der Zielanwendung übertragen werden.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated.

Zwischen Azure AD-Benutzerobjekten und Benutzerobjekten der einzelnen SaaS-Apps ist eine vorkonfigurierte Gruppe von Zuordnungen vorhanden.There's a preconfigured set of mappings between Azure AD user objects and each SaaS app’s user objects. Einige Apps verwalten andere Objekttypen, z. B. Gruppen oder Kontakte.Some apps manage other types of objects, such as Groups or Contacts. Wählen Sie in der Tabelle eine Zuordnung aus, um den Zuordnungs-Editor auf der rechten Seite zu öffnen, in dem Sie diese anzeigen und anpassen können.Select a mapping in the table to open the mapping editor to the right, where you can view and customize them.

Zeigt den Bildschirm „Attributzuordnung“

Unterstützte Anpassungen umfassen:Supported customizations include:

  • Aktivieren und Deaktivieren von Zuordnungen für bestimmte Objekte, z. B. das Azure AD-Benutzerobjekt an das Benutzerobjekt der SaaS-App.Enabling and disabling mappings for specific objects, such as the Azure AD user object to the SaaS app's user object.

  • Bearbeiten der Attribute, die vom Azure AD-Benutzerobjekt an das Benutzerobjekt der App übermittelt werdenEditing the attributes that flow from the Azure AD user object to the app's user object. Weitere Informationen zur Attributzuordnung finden Sie unter Grundlegendes zu Attributzuordnungstypen.For more information on attribute mapping, see Understanding attribute mapping types.

  • Filtern Sie die Bereitstellungsaktionen, die Azure AD für die Zielanwendung ausführt.Filtering the provisioning actions that Azure AD runs on the targeted application. Anstatt eine vollständige Synchronisierung von Objekten durch Azure AD zuzulassen, können Sie die ausgeführten Aktionen beschränken.Instead of having Azure AD fully synchronize objects, you can limit the actions run.

    Beispiel: Wenn Sie nur Aktualisieren auswählen, aktualisiert Azure AD nur vorhandene Benutzerkonten in einer Anwendung, ohne neue zu erstellen.For example, only select Update and Azure AD only updates existing user accounts in an application but doesn't create new ones. Wird nur Erstellen ausgewählt, erstellt Azure nur neue Benutzerkonten, ohne vorhandene Konten zu aktualisieren.Only select Create and Azure only creates new user accounts but doesn't update existing ones. Dieses Feature ermöglicht Administratoren das Erstellen verschiedener Zuordnungen für Workflows zur Erstellung und Aktualisierung von Konten.This feature lets admins create different mappings for account creation and update workflows.

  • Hinzufügen einer neuen Attributzuordnung.Adding a new attribute mapping. Klicken Sie unten im Bereich Attributzuordnung auf Neue Zuordnung hinzufügen.Select Add New Mapping at the bottom of the Attribute Mapping pane. Füllen Sie das Formular Attribut bearbeiten aus, und klicken Sie auf OK, um die neue Zuordnung der Liste hinzuzufügen.Fill out the Edit Attribute form and select Ok to add the new mapping to the list.

EinstellungenSettings

Sie können den Azure AD-Bereitstellungsdienst für die ausgewählte Anwendung im Bildschirm Bereitstellung im Bereich Einstellungen starten und beenden.You can start and stop the Azure AD provisioning service for the selected application in the Settings area of the Provisioning screen. Sie können auch den Bereitstellungscache leeren und den Dienst neu starten.You can also choose to clear the provisioning cache and restart the service.

Wenn die Bereitstellung für eine Anwendung zum ersten Mal aktiviert wird, legen Sie den Bereitstellungsstatus auf Ein fest, um den Dienst zu aktivieren.If provisioning is being enabled for the first time for an application, turn on the service by changing the Provisioning Status to On. Diese Änderung bewirkt, dass der Azure AD-Bereitstellungsdienst eine anfänglichen Zyklus ausführt.This change causes the Azure AD provisioning service to run an initial cycle. Hierbei liest er die im Abschnitt Benutzer und Gruppen zugewiesenen Benutzer, fragt die Zielanwendung auf diese Benutzer ab und führt dann die im Azure AD-Abschnitt Zuordnungen definierten Bereitstellungsaktionen aus.It reads the users assigned in the Users and groups section, queries the target application for them, and then runs the provisioning actions defined in the Azure AD Mappings section. Während dieses Vorgangs speichert der Bereitstellungsdienst Daten im Cache dazu, welche Benutzerkonten er verwaltet, damit die Bereitstellung nicht verwalteter Konten innerhalb der Zielanwendungen, die nicht im Zuweisungsumfang enthalten waren, nicht aufgehoben wird.During this process, the provisioning service stores cached data about what user accounts it's managing, so non-managed accounts inside the target applications that were never in scope for assignment aren't affected by de-provisioning operations. Nach dem ersten Zyklus synchronisiert der Bereitstellungsdienst automatisch Benutzer- und Gruppenobjekte in einem 40-Minuten-Intervall.After the initial cycle, the provisioning service automatically synchronizes user and group objects on a forty-minute interval.

Durch Ändern des Bereitstellungsstatus in Aus wird der Bereitstellungsdienst angehalten.Change the Provisioning Status to Off to pause the provisioning service. In diesem Status werden von Azure keine Benutzer- oder Gruppenobjekte in der App erstellt, aktualisiert oder entfernt.In this state, Azure doesn't create, update, or remove any user or group objects in the app. Wenn Sie den Zustand wieder in Ein ändern, fährt der Dienst da fort, wo er aufgehört hat.Change the state back to On and the service picks up where it left off.

Durch Aktuellen Status löschen und Synchronisierung neu starten wird ein Startzyklus ausgelöst.Clear current state and restart synchronization triggers an initial cycle. Der Dienst wertet dann alle Benutzer im Quellsystem nochmal aus und ermittelt, ob sie für die Bereitstellung zulässig sind.The service will then evaluate all the users in the source system again and determine if they are in scope for provisioning. Dies kann sich als nützlich erweisen, wenn Ihre Anwendung sich derzeit in Quarantäne befindet oder wenn Sie eine Änderung an der Zuordnung Ihrer Attribute vornehmen müssen.This can be useful when your application is currently in quarantine or you need to make a change to your attribute mappings. Beachten Sie, dass die Ausführung des Startzyklus aufgrund der Anzahl der auszuwertenden Objekte länger dauert als herkömmliche inkrementelle Zyklen.Note that the initial cycle takes longer to complete than the typical incremental cycle due to the number of objects that need to be evaluated. Weitere Informationen zur Leistung von Startzyklen und inkrementellen Zyklen finden Sie hier.You can learn more about the performance of initial and incremental cycles here.