A felhasználó kiépítési attribútumának testreszabása – SaaS-alkalmazások leképezése Azure Active DirectoryCustomizing user provisioning attribute-mappings for SaaS applications in Azure Active Directory

A Microsoft Azure AD támogatja a külső SaaS-alkalmazások, például a Salesforce, a G Suite és más felhasználók számára történő üzembe helyezést.Microsoft Azure AD provides support for user provisioning to third-party SaaS applications such as Salesforce, G Suite and others. Ha engedélyezi a felhasználók kiosztását egy külső SaaS-alkalmazás számára, a Azure Portal attribútum-hozzárendelések segítségével vezérli az attribútum értékeit.If you enable user provisioning for a third-party SaaS application, the Azure portal controls its attribute values through attribute-mappings.

Az Azure AD felhasználói objektumai és az egyes SaaS-alkalmazások felhasználói objektumai között van egy előre konfigurált attribútum és attribútum-hozzárendelés.There's a pre-configured set of attributes and attribute-mappings between Azure AD user objects and each SaaS app’s user objects. Egyes alkalmazások más típusú objektumokat is kezelhetnek a felhasználók, például a csoportok mellett.Some apps manage other types of objects along with Users, such as Groups.

Az alapértelmezett attribútum-hozzárendelések testreszabhatók az üzleti igényeknek megfelelően.You can customize the default attribute-mappings according to your business needs. Így módosíthatja vagy törölheti a meglévő attribútum-hozzárendeléseket, illetve létrehozhat új attribútum-hozzárendeléseket is.So, you can change or delete existing attribute-mappings, or create new attribute-mappings.

Felhasználói attribútum szerkesztése – leképezésekEditing user attribute-mappings

Kövesse az alábbi lépéseket a felhasználók kiosztásának leképezési funkciójának eléréséhez:Follow these steps to access the Mappings feature of user provisioning:

  1. Jelentkezzen be a Azure Active Directory portálra.Sign in to the Azure Active Directory portal.

  2. Válassza a vállalati alkalmazások lehetőséget a bal oldali ablaktáblán.Select Enterprise applications from the left pane. Megjelenik az összes konfigurált alkalmazás listája, beleértve a gyűjteményből hozzáadott alkalmazásokat is.A list of all configured apps is shown, including apps that were added from the gallery.

  3. Válassza ki bármelyik alkalmazást az alkalmazás-felügyeleti panel betöltéséhez, ahol megtekintheti a jelentéseket, és kezelheti az alkalmazás beállításait.Select any app to load its app management pane, where you can view reports and manage app settings.

  4. A kiépítés lehetőség kiválasztásával kezelheti a kiválasztott alkalmazás felhasználói fiókjának kiépítési beállításait.Select Provisioning to manage user account provisioning settings for the selected app.

  5. A leképezések kibontásával megtekintheti és szerkesztheti a felhasználói attribútumokat, amelyek az Azure ad és a célalkalmazás között áramlanak.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application. Ha a célalkalmazás támogatja azt, ez a szakasz lehetővé teszi a csoportok és felhasználói fiókok üzembe helyezésének igény szerinti konfigurálását.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts.

    Leképezések használata felhasználói attribútumok megtekintéséhez és szerkesztéséhez

  6. Válassza ki a leképezések konfigurációját a kapcsolódó attribútum-leképezési képernyő megnyitásához.Select a Mappings configuration to open the related Attribute Mapping screen. Az SaaS-alkalmazások megfelelő működéséhez bizonyos attribútum-hozzárendelések szükségesek.Some attribute-mappings are required by a SaaS application to function correctly. A kötelező attribútumok esetében a törlési funkció nem érhető el.For required attributes, the Delete feature is unavailable.

    Attribútum-hozzárendelés használata az alkalmazások attribútumainak konfigurálásához

    Ebben a képernyőfelvételben láthatja, hogy a Salesforce található felügyelt objektum username attribútuma a csatolt Azure Active Directory objektum userPrincipalName értékével van feltöltve.In this screenshot, you can see that the Username attribute of a managed object in Salesforce is populated with the userPrincipalName value of the linked Azure Active Directory Object.

  7. Válasszon ki egy meglévő attribútum-hozzárendelést az attribútum szerkesztése képernyő megnyitásához.Select an existing Attribute Mapping to open the Edit Attribute screen. Itt szerkesztheti az Azure AD és a célalkalmazás közötti adatforgalom felhasználói attribútumait.Here you can edit the user attributes that flow between Azure AD and the target application.

    Felhasználói attribútumok szerkesztése a szerkesztési attribútum használatával

Az attribútum-leképezési típusok ismertetéseUnderstanding attribute-mapping types

Az attribútum-hozzárendelésekkel szabályozhatja, hogy az attribútumok hogyan legyenek feltöltve egy külső gyártótól származó SaaS-alkalmazásban.With attribute-mappings, you control how attributes are populated in a third-party SaaS application. Négy különböző leképezési típus támogatott:There are four different mapping types supported:

  • Direct (közvetlen ) – a TARGET attribútum az Azure ad-ben csatolt objektum attribútumának értékével van feltöltve.Direct – the target attribute is populated with the value of an attribute of the linked object in Azure AD.
  • Konstans – a TARGET attribútum egy megadott karakterlánccal van feltöltve.Constant – the target attribute is populated with a specific string you specified.
  • Kifejezés – a cél attribútum a parancsfájl-szerű kifejezés eredménye alapján van feltöltve.Expression - the target attribute is populated based on the result of a script-like expression. További információ: kifejezések írása Attribute-Mappingshoz Azure Active Directory.For more information, see Writing Expressions for Attribute-Mappings in Azure Active Directory.
  • Nincs – a cél attribútum változatlan marad.None - the target attribute is left unmodified. Ha azonban a cél attribútum még mindig üres, akkor a rendszer a megadott alapértelmezett értékkel tölti fel.However, if the target attribute is ever empty, it's populated with the Default value that you specify.

A négy alaptípussal együtt az egyéni attribútum-hozzárendelések az opcionális alapértelmezett érték-hozzárendelés fogalmát támogatják.Along with these four basic types, custom attribute-mappings support the concept of an optional default value assignment. Az alapértelmezett érték-hozzárendelés biztosítja, hogy a TARGET attribútum értéke akkor legyen feltöltve, ha nincs érték az Azure AD-ben vagy a TARGET objektumon.The default value assignment ensures that a target attribute is populated with a value if there's not a value in Azure AD or on the target object. A leggyakoribb beállítás az, ha üresen hagyja ezt a beállítást.The most common configuration is to leave this blank.

Attribútumok – megfeleltetési tulajdonságok ismertetéseUnderstanding attribute-mapping properties

Az előző szakaszban már be lett vezetve az attribútum-leképezési típus tulajdonságra.In the previous section, you were already introduced to the attribute-mapping type property. A tulajdonsággal együtt az attribútum-hozzárendelések a következő attribútumokat is támogatják:Along with this property, attribute-mappings also support the following attributes:

  • Forrásoldali attribútum – a felhasználói attribútum a forrásoldali rendszerből (példa: Azure Active Directory).Source attribute - The user attribute from the source system (example: Azure Active Directory).
  • Target attribútum – a felhasználói attribútum a célként megadott rendszeren (például: ServiceNow).Target attribute – The user attribute in the target system (example: ServiceNow).
  • Alapértelmezett érték, ha Null (nem kötelező) – a célként megadott rendszernek átadandó érték, ha a forrás attribútum értéke null.Default value if null (optional) - The value that will be passed to the target system if the source attribute is null. Ez az érték csak a felhasználó létrehozásakor lesz kiépítve.This value will only be provisioned when a user is created. Egy meglévő felhasználó frissítésekor az "alapértelmezett érték, ha null" nem lesz kiépítve.The "default value when null" will not be provisioned when updating an existing user. Ha például a célrendszer összes meglévő felhasználóját egy adott feladathoz tartozó címmel szeretné kiépíteni (ha a forrásrendszer null értékű, akkor a következő kifejezésthasználhatja: Switch (IsPresent ([beosztás]), "DefaultValue", "true", [beosztás]).If, for example, you want to provision all existing users in the target system with a particular Job Title (when it is null in the source system), you can use the following expression: Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]). Ügyeljen arra, hogy a "default Value" értéket cserélje le a forrásrendszer null értékének megadásához.Make sure to replace the "Default Value" with what you would like to provision when null in the source system.
  • Objektumok egyeztetése ezzel az attribútummal – azt határozza meg, hogy ez a leképezés használható-e a felhasználók egyedi azonosítására a forrás-és a célként megadott rendszerek között.Match objects using this attribute – Whether this mapping should be used to uniquely identify users between the source and target systems. Általában az Azure AD userPrincipalName vagy mail attribútumára van beállítva, amely általában egy célalkalmazás username mezőjére van leképezve.It's typically set on the userPrincipalName or mail attribute in Azure AD, which is typically mapped to a username field in a target application.
  • Megfeleltetési prioritás – a rendszer több egyező attribútumot is beállíthat.Matching precedence – Multiple matching attributes can be set. Ha több is van, azok kiértékelése a mező által meghatározott sorrendben történik.When there are multiple, they're evaluated in the order defined by this field. Amint talál egyezést, nem lesz kiértékelve további egyező attribútumok.As soon as a match is found, no further matching attributes are evaluated. Habár beállíthatja, hogy minél több egyező attribútumot szeretne használni, vegye figyelembe, hogy az egyező attribútumokként használt attribútumok valóban egyediek-e, és meg kell-e adni a megfelelő attribútumokat.While you can set as many matching attributes as you would like, consider whether the attributes you are using as matching attributes are truly unique and need to be matching attributes. Az ügyfelek általában 1 vagy 2 egyező attribútumokkal rendelkeznek a konfigurációban.Generally customers have 1 or 2 matching attributes in their configuration.
  • A leképezés alkalmazásaApply this mapping
    • Mindig – alkalmazza ezt a leképezést a felhasználói létrehozási és frissítési műveletekre is.Always – Apply this mapping on both user creation and update actions.
    • Csak a létrehozás során – alkalmazza ezt a leképezést csak a felhasználói létrehozási műveletekre.Only during creation - Apply this mapping only on user creation actions.

A forrás-és a megcélzott rendszerek felhasználóinak egyeztetéseMatching users in the source and target systems

Az Azure AD-kiépítési szolgáltatás a "zöldmezős" forgatókönyvekben is üzembe helyezhető (ahol a felhasználók nem tudnak kilépni a célként megadott rendszerből) és a "rozsdaövezetek rehabilitálása" forgatókönyvek (ahol a felhasználók már léteznek a célszámítógépen).The Azure AD provisioning service can be deployed in both "greenfield" scenarios (where users do not exit in the target system) and "brownfield" scenarios (where users already exist in the target system). Mindkét forgatókönyv támogatásához a kiépítési szolgáltatás a megfelelő attribútumok koncepcióját használja.To support both scenarios, the provisioning service uses the concept of matching attributes. Az egyeztetési attribútumok lehetővé teszik annak meghatározását, hogy a rendszer egyedi módon azonosítsa a felhasználókat a forrásban, és megegyezzen a célként megadott felhasználóval.Matching attributes allow you to determine how to uniquely identify a user in the source and match the user in the target. Az üzembe helyezés megtervezésének részeként azonosítsa azt az attribútumot, amellyel egyedileg azonosíthatók a felhasználók a forrás-és a célként szolgáló rendszerekben.As part of planning your deployment, identify the attribute that can be used to uniquely identify a user in the source and target systems. Tudnivaló:Things to note:

  • Az egyező attribútumok egyedinek kell lenniük: Az ügyfelek gyakran használják az attribútumokat, például a userPrincipalName, az e-maileket vagy az objektumazonosítók használatát a megfelelő attribútumként.Matching attributes should be unique: Customers often use attributes such as userPrincipalName, mail, or object ID as the matching attribute.
  • Több attribútum is használható egyező attribútumként: Több attribútumot is megadhat a kiértékeléshez, ha a felhasználók és a kiértékelésük sorrendje (a felhasználói felületen egyező prioritásként van meghatározva).Multiple attributes can be used as matching attributes: You can define multiple attributes to be evaluated when matching users and the order in which they are evaluated (defined as matching precedence in the UI). Ha például három attribútumot határoz meg egyező attribútumokként, és a felhasználó egyedi módon illeszkedik az első két attribútum kiértékelése után, akkor a szolgáltatás nem értékeli ki a harmadik attribútumot.If, for example, you define three attributes as matching attributes, and a user is uniquely matched after evaluating the first two attributes, the service will not evaluate the third attribute. A szolgáltatás a megadott sorrendben értékeli ki a megfelelő attribútumokat, és leállítja az értékelést, ha egyezés található.The service will evaluate matching attributes in the order specified and stop evaluating when a match is found.
  • A forrás és a cél értékének nem kell pontosan megegyeznie: A cél értéke lehet a forrás értékének néhány egyszerű funkciója.The value in the source and the target do not have to match exactly: The value in the target can be some simple function of the value in the source. Tehát a forrásban és a userPrincipalName lévő emailAddress attribútummal rendelkezhet, és az emailAddress attribútum egy függvényével egyezik meg, amely bizonyos karaktereket egy konstans értékkel helyettesít.So, one could have an emailAddress attribute in the source and the userPrincipalName in the target, and match by a function of the emailAddress attribute that replaces some characters with some constant value.
  • Az attribútumok kombinációja alapján történő megfeleltetés nem támogatott: A legtöbb alkalmazás nem támogatja a lekérdezések két tulajdonság alapján történő lekérdezését.Matching based on a combination of attributes is not supported: Most applications do not support querying based on two properties. Ezért az attribútumok kombinációja alapján nem lehet egyeztetni.Therefore, it is not possible to match based on a combination of attributes. Lehetséges, hogy egy másik után kiértékeli az egyes tulajdonságokat.It is possible to evaluate single properties on after another.
  • Minden felhasználónak rendelkeznie kell legalább egy megfelelő attribútum értékével: Ha egy egyező attribútumot határoz meg, az összes felhasználónak rendelkeznie kell egy értékkel az adott attribútumhoz a forrás rendszerében.All users must have a value for at least one matching attribute: If you define one matching attribute, all users must have a value for that attribute in the source system. Ha például a userPrincipalName-t a megfelelő attribútumként definiálja, az összes felhasználónak rendelkeznie kell userPrincipalName.If, for example, you define userPrincipalName as the matching attribute, all users must have a userPrincipalName. Ha több egyező attribútumot (például extensionAttribute1 és e-mailt) definiál, nem minden felhasználónak ugyanazzal a megfelelő attribútummal kell rendelkeznie.If you define multiple matching attribute (e.g. extensionAttribute1 and mail), not all users have to have the same matching attribute. Egy felhasználó rendelkezhet extensionAttribute1, de nem küldheti el az e-mailt, míg egy másik felhasználónak nem lehet extensionAttribute1.One user could have a extensionAttribute1 but not mail while another user could have mail but no extensionAttribute1.
  • A célként megadott alkalmazásnak támogatnia kell a szűrést a megfelelő attribútumon: Az alkalmazások fejlesztői lehetővé teszik a felhasználók vagy csoportok API-k attribútumainak egy részhalmazának szűrését.The target application must support filtering on the matching attribute: Application developers allow filtering for a subset of attributes on their user or group API. A katalógusban található alkalmazások esetében biztosítjuk, hogy az alapértelmezett attribútum-hozzárendelés egy olyan attribútumhoz legyen hozzárendelve, amelyet a célalkalmazás API-je támogat a szűrést.For applications in the gallery, we ensure that the default attribute mapping is for an attribute that the target application's API does support filtering on. Ha módosítja a célalkalmazás alapértelmezett egyező attribútumát, tekintse meg a harmadik féltől származó API-dokumentációt, és győződjön meg arról, hogy az attribútum szűrhető.When changing the default matching attribute for the target application, check the third party API documentation to ensure that the attribute can be filtered on.

Csoport attribútumának szerkesztése – leképezésekEditing group attribute-mappings

A kiválasztott számú alkalmazás, például a ServiceNow, a Box és a G Suite lehetővé teszi a csoport objektumainak és felhasználói objektumainak kiépítését.A selected number of applications, such as ServiceNow, Box, and G Suite, support the ability to provision Group objects and User objects. A csoport objektumai tartalmazhatnak olyan csoport-tulajdonságokat, mint a megjelenítendő nevek és az e-mail-aliasok, a csoporttagokkal együtt.Group objects can contain group properties such as display names and email aliases, along with group members.

Példa a kiépített csoporttal és felhasználói objektumokkal rendelkező ServiceNow

A csoportok kiosztása opcionálisan engedélyezhető vagy letiltható úgy, hogy kijelöli a hozzárendelésekcsoport leképezése elemét, és engedélyezi az attribútum-leképezési képernyőn a kívánt beállítást.Group provisioning can be optionally enabled or disabled by selecting the group mapping under Mappings, and setting Enabled to the option you want in the Attribute Mapping screen.

A csoport objektumainak részeként kiépített attribútumok ugyanúgy testreszabhatók, mint a korábban leírt felhasználói objektumok.The attributes provisioned as part of Group objects can be customized in the same manner as User objects, described previously.

Tipp

A csoport objektumainak (tulajdonságai és tagjai) kiosztása a csoportok alkalmazáshoz való hozzárendelésének különböző fogalma.Provisioning of group objects (properties and members) is a distinct concept from assigning groups to an application. Egy csoportot hozzárendelhet egy alkalmazáshoz, de csak a csoportban lévő felhasználói objektumokat kell kiépíteni.It is possible to assign a group to an application, but only provision the user objects contained in the group. A teljes csoport objektumainak kiosztása nem szükséges a hozzárendelésekhez tartozó csoportok használatához.Provisioning of full group objects is not required to use groups in assignments.

A támogatott attribútumok listájának szerkesztéseEditing the list of supported attributes

Az adott alkalmazás által támogatott felhasználói attribútumok előre konfigurálva vannak.The user attributes supported for a given application are pre-configured. A legtöbb alkalmazás felhasználói felügyeleti API-jai nem támogatják a séma-felderítést.Most application's user management APIs don't support schema discovery. Így az Azure AD-kiépítési szolgáltatás nem képes dinamikusan létrehozni a támogatott attribútumok listáját az alkalmazás hívásával.So, the Azure AD provisioning service isn't able to dynamically generate the list of supported attributes by making calls to the application.

Egyes alkalmazások azonban támogatják az egyéni attribútumokat, az Azure AD-kiépítési szolgáltatás pedig képes az egyéni attribútumok olvasására és írására.However, some applications support custom attributes, and the Azure AD provisioning service can read and write to custom attributes. Ha meg szeretné adni a definíciókat a Azure Portalban, jelölje be a Speciális beállítások megjelenítése jelölőnégyzetet az attribútum-leképezési képernyő alján, majd válassza az attribútumok szerkesztése elemet az alkalmazáshoz.To enter their definitions into the Azure portal, select the Show advanced options check box at the bottom of the Attribute Mapping screen, and then select Edit attribute list for your app.

Az attribútumok listájának testreszabását támogató alkalmazások és rendszerek a következők:Applications and systems that support customization of the attribute list include:

Megjegyzés

A támogatott attribútumok listájának szerkesztése csak olyan rendszergazdák számára ajánlott, akik testre szabták az alkalmazásaikat és rendszereit, és az egyéni attribútumok definiálásának első kézből való ismerete.Editing the list of supported attributes is only recommended for administrators who have customized the schema of their applications and systems, and have first-hand knowledge of how their custom attributes have been defined. Ez esetenként az alkalmazás vagy a rendszer által biztosított API-k és fejlesztői eszközök ismeretét igényli.This sometimes requires familiarity with the APIs and developer tools provided by an application or system.

A támogatott attribútumok listájának szerkesztésekor a következő tulajdonságokat kell megadnia:When editing the list of supported attributes, the following properties are provided:

  • Név – a cél objektum sémájában definiált attribútum rendszerneve.Name - The system name of the attribute, as defined in the target object's schema.
  • Type (típus ) – az attribútum által a célobjektum sémájában definiált adattípus, amely a következő típusok egyike lehet:Type - The type of data the attribute stores, as defined in the target object's schema, which can be one of the following types:
    • Bináris – az attribútum bináris adatértékeket tartalmaz.Binary - Attribute contains binary data.
    • Logikai – az attribútum igaz vagy hamis értéket tartalmaz.Boolean - Attribute contains a True or False value.
    • Dátum és idő – az attribútum egy Date karakterláncot tartalmaz.DateTime - Attribute contains a date string.
    • Az Integer -attribútum egész számot tartalmaz.Integer - Attribute contains an integer.
    • A Reference -ATTRIBÚTUM olyan azonosítót tartalmaz, amely a célalkalmazás egy másik táblájában tárolt értékre hivatkozik.Reference - Attribute contains an ID that references a value stored in another table in the target application.
    • Karakterlánc – az attribútum szöveges karakterláncot tartalmaz.String - Attribute contains a text string.
  • Elsődleges kulcs?Primary Key? – Azt határozza meg, hogy az attribútum a célobjektum sémájában elsődleges kulcs mezőként van-e definiálva.- Whether the attribute is defined as a primary key field in the target object's schema.
  • Szükséges?Required? – Azt határozza meg, hogy az attribútumot kötelező-e kitölteni a célalkalmazás vagy a rendszer számára.- Whether the attribute is required to be populated in the target application or system.
  • Több érték?Multi-value? – Azt határozza meg, hogy az attribútum több értéket is támogat-e.- Whether the attribute supports multiple values.
  • Pontos eset?Exact case? – Azt határozza meg, hogy az attribútumok értékei kis-és nagybetűk megkülönböztetésével legyenek kiértékelve.- Whether the attributes values are evaluated in a case-sensitive way.
  • API-kifejezés – ne használja, kivéve, ha erre a célra egy adott kiépítési összekötő (például a munkanap) dokumentációja kéri.API Expression - Don't use, unless instructed to do so by the documentation for a specific provisioning connector (such as Workday).
  • Hivatkozott Object attribútum – ha ez egy hivatkozástípus attribútum, akkor ezzel a menüvel kiválaszthatja a célalkalmazás azon tábláját és attribútumát, amely az attribútumhoz társított értéket tartalmazza.Referenced Object Attribute - If it's a Reference type attribute, then this menu lets you select the table and attribute in the target application that contains the value associated with the attribute. Ha például egy "részleg" nevű attribútummal rendelkezik, amelynek tárolt értéke egy különálló "részleg" táblában található objektumra hivatkozik, akkor válassza a "Departments.Name" elemet.For example, if you have an attribute named "Department" whose stored value references an object in a separate "Departments" table, you would select "Departments.Name". Az adott alkalmazáshoz támogatott hivatkozási táblák és az elsődleges azonosító mezők előre konfigurálva vannak, és jelenleg nem szerkeszthetők a Azure Portal használatával, de a Microsoft Graph APIhasználatával szerkeszthető.The reference tables and the primary ID fields supported for a given application are pre-configured and currently can't be edited using the Azure portal, but can be edited using the Microsoft Graph API.

Egyéni kiterjesztési attribútum kiépítés egy SCIM-kompatibilis alkalmazásbaProvisioning a custom extension attribute to a SCIM compliant application

A SCIM RFC egy alapszintű felhasználót és csoportot határoz meg, és lehetővé teszi, hogy a bővítmények megfeleljenek a sémának az alkalmazás igényeinek megfelelően.The SCIM RFC defines a core user and group schema, while also allowing for extensions to the schema to meet your application's needs. Egyéni attribútum hozzáadása SCIM-alkalmazáshoz:To add a custom attribute to a SCIM application:

  1. Jelentkezzen be a Azure Active Directory portálra, válassza a vállalati alkalmazásoklehetőséget, válassza ki az alkalmazást, majd válassza a kiépítéslehetőséget.Sign in to the Azure Active Directory portal, select Enterprise Applications, select your application, and then select Provisioning.
  2. A leképezésekterületen válassza ki azt az objektumot (felhasználót vagy csoportot), amelyhez egyéni attribútumot szeretne hozzáadni.Under Mappings, select the object (user or group) for which you'd like to add a custom attribute.
  3. A lap alján válassza a Speciális beállítások megjelenítéselehetőséget.At the bottom of the page, select Show advanced options.
  4. Válassza a AppName szerkesztéseelemet.Select Edit attribute list for AppName.
  5. Az attribútum lista alján adja meg az egyéni attribútum adatait a megadott mezőkben.At the bottom of the attribute list, enter information about the custom attribute in the fields provided. Ezután válassza az attribútum hozzáadásaelemet.Then select Add Attribute.

A SCIM alkalmazások esetében az attribútum nevének az alábbi példában látható mintázatot kell követnie.For SCIM applications, the attribute name must follow the pattern shown in the example below. A "CustomExtensionName" és a "CustomAttribute" testreszabható az alkalmazás követelményei szerint, például:The "CustomExtensionName" and "CustomAttribute" can be customized per your application's requirements, for example:

  • urn: IETF: params: scim: sémák: bővítmény: CustomExtensionName: 2.0: felhasználó: CustomAttributeurn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute
  • urn: IETF: params: scim: sémák: bővítmény: 2.0: CustomExtensionName: CustomAttributeurn:ietf:params:scim:schemas:extension:2.0:CustomExtensionName:CustomAttribute
  • urn: IETF: params: scim: sémák: bővítmény: CustomExtensionName: 2.0: user. CustomAttributeName: Valueurn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User.CustomAttributeName:value

Ezek az utasítások csak a SCIM-kompatibilis alkalmazásokra vonatkoznak.These instructions are only applicable to SCIM-enabled applications. Az olyan alkalmazások, mint a ServiceNow és a Salesforce, nem integráltak az Azure AD-vel a SCIM használatával, ezért nem igénylik ezt az adott névteret egyéni attribútumok hozzáadásakor.Applications such as ServiceNow and Salesforce are not integrated with Azure AD using SCIM, and therefore they don't require this specific namespace when adding a custom attribute.

Az egyéni attribútumok nem lehetnek hivatkozási attribútumok vagy többértékű attribútumok.Custom attributes can't be referential attributes or multi-value attributes. Az egyéni többértékű bővítmény attribútumai jelenleg csak a katalógusban lévő alkalmazásokhoz támogatottak.Custom multi-value extension attributes are currently supported only for applications in the gallery.

Példa kiterjesztési attribútummal rendelkező felhasználó ábrázolására:Example representation of a user with an extension attribute:

   {
     "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
      "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
      "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User"],
     "userName":"bjensen",
     "externalId":"bjensen",
     "name":{
       "formatted":"Ms. Barbara J Jensen III",
       "familyName":"Jensen",
       "givenName":"Barbara"
     },
     "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
     "employeeNumber": "701984",
     "costCenter": "4130",
     "organization": "Universal Studios",
     "division": "Theme Park",
     "department": "Tour Operations",
     "manager": {
       "value": "26118915-6090-4610-87e4-49d8ca9f808d",
       "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
       "displayName": "John Smith"
     }
   },
     "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:CustomAttribute:User": {
     "CustomAttribute": "701984",
   },
   "meta": {
     "resourceType": "User",
     "created": "2010-01-23T04:56:22Z",
     "lastModified": "2011-05-13T04:42:34Z",
     "version": "W\/\"3694e05e9dff591\"",
     "location":
 "https://example.com/v2/Users/2819c223-7f76-453a-919d-413861904646"
   }
 }

Szerepkör üzembe helyezése egy SCIM-alkalmazásbanProvisioning a role to a SCIM app

Az alábbi lépésekkel szerepköröket hozhat létre az alkalmazáshoz.Use the steps below to provision roles for a user to your application. Vegye figyelembe, hogy az alábbi leírás az egyéni SCIM-alkalmazásokra vonatkozik.Note that the description below is specific to custom SCIM applications. A Gallery-alkalmazások, például a Salesforce és a ServiceNow esetében használja az előre meghatározott szerepkör-leképezéseket.For gallery applications such as Salesforce and ServiceNow, use the pre-defined role mappings. Az alábbi felsorolás leírja, hogyan alakíthatja át az AppRoleAssignments attribútumot az alkalmazás által várt formátumra.The bullets below describe how to transform the AppRoleAssignments attribute to the format your application expects.

  • Az Azure AD-beli appRoleAssignment az alkalmazás egyik szerepköréhez való leképezéséhez az attribútumot kifejezésselkell átalakítani.Mapping an appRoleAssignment in Azure AD to a role in your application requires that you transform the attribute using an expression. A appRoleAssignment attribútum nem képezhető le közvetlenül egy szerepkör-attribútumra anélkül, hogy kifejezést kellene használnia a szerepkör részleteinek elemzéséhez.The appRoleAssignment attribute should not be mapped directly to a role attribute without using an expression to parse the role details.

  • SingleAppRoleAssignmentSingleAppRoleAssignment

    • Mikor kell használni: A SingleAppRoleAssignment kifejezés használatával egyetlen szerepkört helyezhet üzembe egy felhasználó számára, és meghatározhatja az elsődleges szerepkört.When to use: Use the SingleAppRoleAssignment expression to provision a single role for a user and to specify the primary role.
    • Konfigurálás: A fent ismertetett lépések végrehajtásával navigáljon az attribútum-hozzárendelések lapra, és használja a SingleAppRoleAssignment kifejezést a roles attribútum leképezéséhez.How to configure: Use the steps described above to navigate to the attribute mappings page and use the SingleAppRoleAssignment expression to map to the roles attribute. Három szerepkör-attribútum közül választhat: (szerepkörök [elsődleges EQ "igaz"]. megjelenítés, szerepkörök [elsődleges EQ "igaz]. típus és szerepkörök [elsődleges EQ" true "]. Value).There are three role attributes to choose from: (roles[primary eq "True"].display, roles[primary eq "True].type, and roles[primary eq "True"].value). Dönthet úgy, hogy a hozzárendelések bármelyikét vagy az összes szerepkör-attribútumot tartalmazza.You can choose to include any or all of the role attributes in your mappings. Ha egynél többre szeretne belefoglalni, csak adjon hozzá egy új leképezést, és adja meg a célként megadott attribútumként.If you would like to include more than one, just add a new mapping and include it as the target attribute.

    SingleAppRoleAssignment hozzáadása

    • Megfontolandó dolgokThings to consider

      • Győződjön meg arról, hogy a rendszer nem rendel hozzá több szerepkört a felhasználóhoz.Ensure that multiple roles are not assigned to a user. Nem garantáljuk, hogy melyik szerepkört kell kiépíteni.We cannot guarantee which role will be provisioned.
    • Példa kimenetreExample output

      {
        "schemas": [
            "urn:ietf:params:scim:schemas:core:2.0:User"
        ],
        "externalId": "alias",
        "userName": "alias@contoso.OnMicrosoft.com",
        "active": true,
        "displayName": "First Name Last Name",
        "meta": {
             "resourceType": "User"
        },
        "roles": [
           {
                 "primary": true,
                 "type": "WindowsAzureActiveDirectoryRole",
                 "value": "Admin"
           }
        ]
    }
    
  • AppRoleAssignmentsComplexAppRoleAssignmentsComplex

    • Mikor kell használni: A AppRoleAssignmentsComplex kifejezés használatával több szerepkört is kiépítheti egy felhasználó számára.When to use: Use the AppRoleAssignmentsComplex expression to provision multiple roles for a user.

    • Konfigurálás: Szerkessze a fentiekben ismertetett támogatott attribútumok listáját, és adjon hozzá egy új attribútumot a szerepkörökhöz:How to configure: Edit the list of supported attributes as described above to include a new attribute for roles:

      Szerepkörök hozzáadása

      Ezután a AppRoleAssignmentsComplex kifejezés használatával képezhető le az egyéni szerepkör attribútumra az alábbi képen látható módon:Then use the AppRoleAssignmentsComplex expression to map to the custom role attribute as shown in the image below:

      AppRoleAssignmentsComplex hozzáadása

    • Megfontolandó dolgokThings to consider

      • Az összes szerepkör elsődleges = hamis értékként lesz kiépítve.All roles will be provisioned as primary = false.
      • A bejegyzés tartalmazza a szerepkör típusát.The POST contains the role type. A javítási kérelem nem tartalmaz típust.The PATCH request does not contain type. Dolgozunk a típus küldésében a POST-és a PATCH-kérésekben.We are working on sending the type in both POST and PATCH requests.
    • Példa kimenetreExample output

    {
         "schemas": [
             "urn:ietf:params:scim:schemas:core:2.0:User"
        ],
        "externalId": "alias",
        "userName": "alias@contoso.OnMicrosoft.com",
        "active": true,
        "displayName": "First Name Last Name",
        "meta": {
             "resourceType": "User"
        },
        "roles": [
           {
                 "primary": false,
                 "type": "WindowsAzureActiveDirectoryRole",
                 "display": "Admin",
                 "value": "Admin"
           },
           {
                 "primary": false,
                 "type": "WindowsAzureActiveDirectoryRole",
                 "display": "User",
               "value": "User"
           }
        ]
    }
    

Többértékű attribútum kiépítésProvisioning a multi-value attribute

Bizonyos attribútumok, például a phoneNumbers és az e-mailek olyan többértékű attribútumok, amelyekben különböző típusú telefonszámokat vagy e-maileket kell megadnia.Certain attributes such as phoneNumbers and emails are multi-value attributes where you may need to specify different types of phone numbers or emails. Használja az alábbi kifejezést a többértékű attribútumok esetében.Use the expression below for multi-value attributes. Lehetővé teszi az attribútum típusának és leképezésének megadását az értékhez tartozó Azure AD felhasználói attribútumhoz.It allows you to specify the attribute type and map that to the corresponding Azure AD user attribute for the value.

  • phoneNumbers[type eq "work"].valuephoneNumbers[type eq "work"].value

  • phoneNumbers[type eq "mobile"].valuephoneNumbers[type eq "mobile"].value

  • phoneNumbers [type EQ "fax"]. ValuephoneNumbers[type eq "fax"].value

    "phoneNumbers": [
         {
           "value": "555-555-5555",
           "type": "work"
        },
        {
           "value": "555-555-5555",
           "type": "mobile"
        },
        {
           "value": "555-555-5555",
           "type": "fax"
        }
    ]
    

Az alapértelmezett attribútumok és attribútumok leképezésének visszaállításaRestoring the default attributes and attribute-mappings

Ha újra kell indítania a meglévő leképezéseket, és vissza kell állítania az alapértelmezett állapotukat, akkor jelölje be az alapértelmezett leképezések visszaállítása jelölőnégyzetet, és mentse a konfigurációt.Should you need to start over and reset your existing mappings back to their default state, you can select the Restore default mappings check box and save the configuration. Ezzel beállítja az összes leképezést és hatókör-szűrőt úgy, mintha az alkalmazás csak az alkalmazás-katalógusból lett hozzáadva az Azure AD-bérlőhöz.Doing so sets all mappings and scoping filters as if the application was just added to your Azure AD tenant from the application gallery.

Ha ezt a beállítást választja, a kiépítési szolgáltatás futása közben minden felhasználó újraszinkronizálását fogja kényszeríteni.Selecting this option will effectively force a resynchronization of all users while the provisioning service is running.

Fontos

Javasoljuk, hogy a beállítás meghívása előtt állítsa ki a kiépítési állapotot .We strongly recommend that Provisioning status be set to Off before invoking this option.

AlapismeretekWhat you should know

  • Microsoft Azure AD a szinkronizálási folyamat hatékony megvalósítását teszi lehetővé.Microsoft Azure AD provides an efficient implementation of a synchronization process. Egy inicializált környezetben csak a frissítéseket igénylő objektumok lesznek feldolgozva szinkronizálási ciklusban.In an initialized environment, only objects requiring updates are processed during a synchronization cycle.
  • Az attribútumok frissítése-a leképezések hatással vannak a szinkronizálási ciklus teljesítményére.Updating attribute-mappings has an impact on the performance of a synchronization cycle. Az attribútum-hozzárendelési konfiguráció frissítéséhez az összes felügyelt objektum újraértékelése szükséges.An update to the attribute-mapping configuration requires all managed objects to be reevaluated.
  • Az ajánlott eljárás az, ha a minimálisan megőrzi az attribútum-hozzárendelések egymást követő módosításait.A recommended best practice is to keep the number of consecutive changes to your attribute-mappings at a minimum.
  • Ha olyan fénykép-attribútumot ad hozzá, amelyet egy alkalmazáshoz szeretne kiépíteni, ma nem lehet megadnia a fénykép szinkronizálásának formátumát.Adding a photo attribute to be provisioned to an app is not supported today as you cannot specify the format to sync the photo. A funkciót felhasználói hangon kérheti leYou can request the feature on User Voice
  • A IsSoftDeleted attribútum gyakran része az alkalmazás alapértelmezett leképezésének.The attribute IsSoftDeleted is often part of the default mappings for an application. A IsSoftdeleted az alkalmazás négy forgatókönyvének egyikében igaz lehet (a felhasználó hatókörén kívül esik, mert nincs hozzárendelve a hatókörhöz, mert a felhasználó nem felel meg egy hatóköri szűrőnek, mert a felhasználó az Azure AD-ben nem lett törölve, vagy a AccountEnabled tulajdonság hamis értékre van állítva a felhasználónál).IsSoftdeleted can be true in one of four scenarios (the user is out of scope due to being unassigned from the application, the user is out of scope due to not meeting a scoping filter, the user has been soft deleted in Azure AD, or the property AccountEnabled is set to false on the user). Nem ajánlott eltávolítani a IsSoftDeleted attribútumot az attribútumok hozzárendeléseiből.It is not recommended to remove the IsSoftDeleted attribute from your attribute mappings.
  • Az Azure ad-kiépítési szolgáltatás nem támogatja a null értékek kiépítés.The Azure AD provisioning service does not support provisioning null values.
  • Az elsődleges kulcs (általában az "ID") nem szerepelhet célként megadott attribútumként az attribútum-hozzárendelésekben.They primary key, typically "ID", should not be included as a target attribute in your attribute mappings.
  • A szerepkör attribútumot általában egy kifejezéssel kell leképezni, nem közvetlen hozzárendelést.The role attribute typically needs to be mapped using an expression, rather than a direct mapping. A szerepkör-hozzárendeléssel kapcsolatos további részletekért lásd a fenti szakaszt.See section above for more details on role mapping.
  • Noha letilthatja a csoportokat a leképezésekről, a felhasználók letiltása nem támogatott.While you can disable groups from your mappings, disabling users is not supported.

Következő lépésekNext steps