Omisión de la eliminación de cuentas de usuario que están fuera de ámbitoSkip deletion of user accounts that go out of scope

De forma predeterminada, el motor de aprovisionamiento de Azure AD elimina o deshabilita los usuarios que están fuera del ámbito.By default, the Azure AD provisioning engine soft deletes or disables users that go out of scope. Sin embargo, en determinados escenarios, como el aprovisionamiento entrante de usuarios de Workday a AD, es posible que este comportamiento no sea el esperado y puede que desee reemplazarlo.However, for certain scenarios like Workday to AD User Inbound Provisioning, this behavior may not be the expected and you may want to override this default behavior.

En este artículo se describe cómo usar Microsoft Graph API y el explorador de Microsoft Graph API para establecer la marca SkipOutOfScopeDeletions que controla el procesamiento de las cuentas que quedan fuera del ámbito.This article describes how to use the Microsoft Graph API and the Microsoft Graph API explorer to set the flag SkipOutOfScopeDeletions that controls the processing of accounts that go out of scope.

  • Si SkipOutOfScopeDeletions se establece en 0 (false), las cuentas que queden fuera del ámbito se deshabilitarán en el destino.If SkipOutOfScopeDeletions is set to 0 (false), accounts that go out of scope will be disabled in the target.
  • Si *SkipOutOfScopeDeletions _ se establece en 1 (true), las cuentas que queden fuera del ámbito no se deshabilitarán en el destino.If *SkipOutOfScopeDeletions _ is set to 1 (true), accounts that go out of scope will not be disabled in the target. Esta marca se establece en el nivel de la _aplicación de aprovisionamiento* y se puede configurar mediante Graph API.This flag is set at the _Provisioning App* level and can be configured using the Graph API.

Como esta configuración se utiliza profusamente con la aplicación de aprovisionamiento de usuarios de Workday a Active Directory, los pasos siguientes incluyen capturas de pantallas de la aplicación Workday.Because this configuration is widely used with the Workday to Active Directory user provisioning app, the following steps include screenshots of the Workday application. Sin embargo, la configuración también se puede usar con todas las demás aplicaciones, como ServiceNow, Salesforce y Dropbox.However, the configuration can also be used with all other apps, such as ServiceNow, Salesforce, and Dropbox.

Paso 1: Recuperar el identificador de la entidad de servicio de la aplicación de aprovisionamiento (identificador de objeto)Step 1: Retrieve your Provisioning App Service Principal ID (Object ID)

  1. Inicie Azure Portal y vaya a la sección Propiedades de la aplicación de aprovisionamiento.Launch the Azure portal, and navigate to the Properties section of your provisioning application. Por ejemplo, si desea exportar la asignación de la aplicación de aprovisionamiento de usuarios de Workday a AD, vaya a la sección Propiedades de dicha aplicación.For e.g. if you want to export your Workday to AD User Provisioning application mapping navigate to the Properties section of that app.

  2. En la sección Propiedades de la aplicación de aprovisionamiento, copie el valor GUID asociado con el campo Id. de objeto.In the Properties section of your provisioning app, copy the GUID value associated with the Object ID field. Este valor también se conoce como el elemento ServicePrincipalId de la aplicación y se usará en las operaciones del Probador de Graph.This value is also called the ServicePrincipalId of your App and it will be used in Graph Explorer operations.

    Identificador de la entidad de servicio de la aplicación de Workday

Paso 2: Iniciar sesión en el Probador de Graph de MicrosoftStep 2: Sign into Microsoft Graph Explorer

  1. Iniciar el Probador de Graph de MicrosoftLaunch Microsoft Graph Explorer

  2. Haga clic en el botón "Iniciar sesión con Microsoft" e inicie sesión con las credenciales de administrador de la aplicación o de administrador global de Azure AD.Click on the "Sign-In with Microsoft" button and sign-in using Azure AD Global Admin or App Admin credentials.

    Inicio de sesión en Graph

  3. Una vez haya iniciado sesión correctamente, verá los detalles de la cuenta de usuario en el panel izquierdo.Upon successful sign-in, you will see the user account details in the left-hand pane.

Paso 3: Obtener las credenciales y los detalles de conectividad de la aplicación existenteStep 3: Get existing app credentials and connectivity details

En el Probador de Graph de Microsoft, ejecute la siguiente consulta GET; para ello, reemplace [servicePrincipalId] con la propiedad ServicePrincipalId extraído del paso 1.In the Microsoft Graph Explorer, run the following GET query replacing [servicePrincipalId] with the ServicePrincipalId extracted from the Step 1.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Consulta de trabajo GET

Copie la respuesta en un archivo de texto.Copy the Response into a text file. Será similar al texto JSON que se muestra a continuación, y los valores resaltados son los específicos de su implementación.It will look like the JSON text shown below, with values highlighted in yellow specific to your deployment. Agregue las líneas resaltadas en verde al final y actualice la contraseña de conexión de Workday resaltada en azul.Add the lines highlighted in green to the end and update the Workday connection password highlighted in blue.

Respuesta del trabajo GET

Este es el bloque JSON que se agrega a la asignación.Here is the JSON block to add to the mapping.

        {
            "key": "SkipOutOfScopeDeletions",
            "value": "True"
        }

Paso 4: Actualizar el punto de conexión de secretos con la marca SkipOutOfScopeDeletionsStep 4: Update the secrets endpoint with the SkipOutOfScopeDeletions flag

En Graph Explorer, ejecute el siguiente comando para actualizar el punto de conexión de secretos con la marca SkipOutOfScopeDeletions.In the Graph Explorer, run the command below to update the secrets endpoint with the SkipOutOfScopeDeletions flag.

En la dirección URL siguiente, reemplace [servicePrincipalId] por el valor de ServicePrincipalId extraído del paso 1.In the URL below replace [servicePrincipalId] with the ServicePrincipalId extracted from the Step 1.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Copie el texto actualizado del paso 3 en "Request Body" y establezca el encabezado "Content-Type" en "application/json" en "Request Headers".Copy the updated text from Step 3 into the "Request Body" and set the header "Content-Type" to "application/json" in "Request Headers".

Solicitud PUT

Haga clic en "Ejecutar consulta".Click on “Run Query”.

Debería aparecer la siguiente salida: "Success – Status Code 204" (Correcto: código de estado 204).You should get the output as "Success – Status Code 204".

Respuesta PUT

Paso 5: Comprobar que los usuarios fuera de ámbito no se deshabilitanStep 5: Verify that out of scope users don’t get disabled

Para probar los resultados de esta marca en el comportamiento esperado, actualice de las reglas de ámbito para omitir un usuario específico.You can test this flag results in expected behavior by updating your scoping rules to skip a specific user. En el ejemplo siguiente, se excluye el empleado con el identificador 21173 (que antes estaba dentro del ámbito) agregando una nueva regla de ámbito:In the example below, we are excluding the employee with ID 21173 (who was earlier in scope) by adding a new scoping rule:

Captura de pantalla que muestra la sección "Agregar filtro de ámbito" con un usuario de ejemplo resaltado.

En el siguiente ciclo de aprovisionamiento, el servicio de aprovisionamiento de Azure AD identificará que el usuario 21173 ha quedado fuera del ámbito y, si la propiedad SkipOutOfScopeDeletions está habilitada, la regla de sincronización de dicho usuario mostrará un mensaje como el siguiente:In the next provisioning cycle, the Azure AD provisioning service will identify that the user 21173 has gone out of scope and if the SkipOutOfScopeDeletions property is enabled, then the synchronization rule for that user will display a message as shown below:

Ejemplo de ámbito