Az üzembe helyezés meneteHow provisioning works

Az automatikus kiépítés olyan felhasználói identitások és szerepkörök létrehozására utal, amelyekhez a felhasználóknak hozzá kell férniük.Automatic provisioning refers to creating user identities and roles in the cloud applications that users need access to. A felhasználói identitások létrehozása mellett az automatikus kiépítés a felhasználói identitások karbantartását és eltávolítását is magában foglalja az állapot vagy a szerepkörök módosításakor.In addition to creating user identities, automatic provisioning includes the maintenance and removal of user identities as status or roles change. A központi telepítés megkezdése előtt tekintse át ezt a cikket, amelyből megtudhatja, hogyan működik az Azure AD-alkalmazás, és milyen javaslatokat kaphat.Before you start a deployment, you can review this article to learn how Azure AD provision works and get configuration recommendations.

Az Azure ad-kiépítési szolgáltatás a felhasználókat az SaaS-alkalmazásokhoz és más rendszerekhez is kiépíti az alkalmazás gyártójától származó tartományok közötti IDENTITÁSKEZELÉS (SCIM) 2,0 felhasználói felügyeleti API-végponthoz való csatlakozással.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to a System for Cross-Domain Identity Management (SCIM) 2.0 user management API endpoint provided by the application vendor. Ez a SCIM-végpont lehetővé teszi, hogy az Azure AD programozott módon hozza létre, frissítse és távolítsa el a felhasználókat.This SCIM endpoint allows Azure AD to programmatically create, update, and remove users. A kiválasztott alkalmazások esetében a kiépítési szolgáltatás további, identitással kapcsolatos objektumokat, például csoportokat és szerepköröket is létrehozhat, frissíthet és eltávolíthat.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles. Az Azure AD és az alkalmazás közötti üzembe helyezéshez használt csatorna HTTPS TLS 1,2 titkosítással van titkosítva.The channel used for provisioning between Azure AD and the application is encrypted using HTTPS TLS 1.2 encryption.

Azure AD-kiépítési szolgáltatás 1. ábrája: az Azure ad kiépítési szolgáltatásaAzure AD Provisioning Service Figure 1: The Azure AD Provisioning Service

Kimenő felhasználó kiépítési munkafolyamata 2. ábra: "kimenő" felhasználó kiépítési munkafolyamata az Azure ad-ből a népszerű SaaS-alkalmazásokbaOutbound user provisioning workflow Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

Bejövő felhasználó kiépítési munkafolyamata 3. ábra: "bejövő" felhasználó kiépítési munkafolyamata a népszerű humántőke-felügyeleti (HCM) alkalmazásokból Azure Active Directory és a Windows Server rendszerre Active DirectoryInbound user provisioning workflow Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

Kiépítés a SCIM 2,0 használatávalProvisioning using SCIM 2.0

Az Azure AD-kiépítési szolgáltatás a SCIM 2,0 protokollt használja az automatikus kiépítés számára.The Azure AD provisioning service uses the SCIM 2.0 protocol for automatic provisioning. A szolgáltatás csatlakozik az alkalmazáshoz a SCIM-végponthoz, és a felhasználók és csoportok kiépítése és kiépítése automatizálható a SCIM felhasználói objektumok sémája és a REST API-k használatával.The service connects to the SCIM endpoint for the application, and uses SCIM user object schema and REST APIs to automate the provisioning and de-provisioning of users and groups. Az Azure AD-katalógus legtöbb alkalmazásához SCIM-alapú létesítési összekötőt biztosítunk.A SCIM-based provisioning connector is provided for most applications in the Azure AD gallery. Az Azure AD-alkalmazások létrehozásakor a fejlesztők a SCIM 2,0 User Management API-val olyan SCIM-végpontot hozhatnak létre, amely integrálja az Azure AD-t az üzembe helyezéshez.When building apps for Azure AD, developers can use the SCIM 2.0 user management API to build a SCIM endpoint that integrates Azure AD for provisioning. Részletekért lásd: scim-végpont létrehozása és a felhasználók üzembehelyezésének konfigurálása.For details, see Build a SCIM endpoint and configure user provisioning.

Ha olyan alkalmazáshoz szeretne automatikus Azure AD-kiépítési összekötőt igényelni, amely még nem rendelkezik ilyennel, töltsön ki egy Azure Active Directory alkalmazás-kérelmet.To request an automatic Azure AD provisioning connector for an app that doesn't currently have one, fill out an Azure Active Directory Application Request.

EngedélyezésAuthorization

A hitelesítő adatok szükségesek ahhoz, hogy az Azure AD csatlakozhasson az alkalmazás felhasználói felügyeleti API-hoz.Credentials are required for Azure AD to connect to the application's user management API. Egy alkalmazás automatikus felhasználó-kiépítési beállításakor érvényes hitelesítő adatokat kell megadnia.While you're configuring automatic user provisioning for an application, you'll need to enter valid credentials. Az alkalmazáshoz tartozó hitelesítő adatokat és követelményeket az alkalmazásra vonatkozó oktatóanyagra utalva találja meg.You can find credential types and requirements for the application by referring to the app tutorial. A Azure Portalon tesztelheti a hitelesítő adatokat azáltal, hogy az Azure AD megpróbál csatlakozni az alkalmazás kiépítési alkalmazásához a megadott hitelesítő adatok használatával.In the Azure portal, you'll be able to test the credentials by having Azure AD attempt to connect to the app's provisioning app using the supplied credentials.

Ha SAML-alapú egyszeri bejelentkezést is konfigurál az alkalmazáshoz, az Azure AD belső, alkalmazáson belüli tárolási korlátja 1024 bájt.If SAML-based single sign-on is also configured for the application, Azure AD's internal, per-application storage limit is 1024 bytes. Ez a korlát magában foglalja az alkalmazás egyetlen példányához társított összes tanúsítványt, titkos jogkivonatot, hitelesítő adatokat és kapcsolódó konfigurációs adatot (más néven az Azure AD-beli egyszerű szolgáltatásnév).This limit includes all certificates, secret tokens, credentials, and related configuration data associated with a single instance of an application (also known as a service principal record in Azure AD). Ha az SAML-alapú egyszeri bejelentkezés konfigurálva van, az SAML-tokenek aláírására használt tanúsítvány gyakran a terület 50%-át használja fel.When SAML-based single sign-on is configured, the certificate used to sign the SAML tokens often consumes over 50% percent of the space. A felhasználók üzembe helyezése során megadott további elemek (titkos jogkivonatok, URI-k, értesítő e-mail-címek, felhasználónevek és jelszavak) meghaladják a tárolási korlátot.Any additional items (secret tokens, URIs, notification email addresses, user names, and passwords) that you enter during user provisioning setup could exceed the storage limit. További információ: a rendszergazdai hitelesítő adatok mentése a felhasználó üzembe helyezésének beállítása során.For more information, see Problem saving administrator credentials while configuring user provisioning.

Leképezési attribútumokMapping attributes

Ha engedélyezi a felhasználók kiosztását egy külső SaaS-alkalmazáshoz, a Azure Portal attribútum-hozzárendeléseken keresztül vezérli az attribútum értékeit.When you enable user provisioning for a third-party SaaS application, the Azure portal controls its attribute values through attribute mappings. A leképezések határozzák meg az Azure AD és a célalkalmazás közötti felhasználói attribútumokat, amikor a felhasználói fiókokat kiépítik vagy frissítik.Mappings determine the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated.

Az Azure AD felhasználói objektumai és az egyes SaaS-alkalmazások felhasználói objektumai között előre konfigurált attribútumok és attribútumok vannak megadva.There's a pre-configured set of attributes and attribute mappings between Azure AD user objects and each SaaS app’s user objects. Egyes alkalmazások más típusú objektumokat is kezelhetnek a felhasználók, például a csoportok mellett.Some apps manage other types of objects along with Users, such as Groups.

A kiépítés beállításakor fontos, hogy áttekintse és konfigurálja azokat az attribútum-hozzárendeléseket és munkafolyamatokat, amelyek meghatározzák, hogy az Azure AD mely felhasználói (vagy csoport-) tulajdonságait kell az alkalmazásnak megadnia.When setting up provisioning, it's important to review and configure the attribute mappings and workflows that define which user (or group) properties flow from Azure AD to the application. Tekintse át és konfigurálja a megfelelő tulajdonságot (azattribútumot használó objektumok egyeztetése), amely a felhasználók és csoportok egyedi azonosítására és a két rendszer közötti egyeztetésére szolgál.Review and configure the matching property (Match objects using this attribute) that is used to uniquely identify and match users/groups between the two systems.

Az alapértelmezett attribútum-hozzárendelések testreszabhatók az üzleti igényeknek megfelelően.You can customize the default attribute-mappings according to your business needs. Így módosíthatja vagy törölheti a meglévő attribútum-hozzárendeléseket, illetve létrehozhat új attribútum-hozzárendeléseket is.So, you can change or delete existing attribute-mappings, or create new attribute-mappings. Részletekért lásd: felhasználói üzembe helyezési attribútumok testreszabása – SaaS-alkalmazások leképezése.For details, see Customizing user provisioning attribute-mappings for SaaS applications.

Ha egy SaaS-alkalmazásra konfigurálja az üzembe helyezést, a megadható attribútumok egyike egy kifejezés-hozzárendelés.When you configure provisioning to a SaaS application, one of the types of attribute mappings that you can specify is an expression mapping. Ezen hozzárendelések esetében olyan parancsfájl-szerű kifejezést kell írnia, amely lehetővé teszi a felhasználói adatai átalakítását olyan formátumokra, amelyek az SaaS-alkalmazás számára elfogadhatóak.For these mappings, you must write a script-like expression that allows you to transform your users’ data into formats that are more acceptable for the SaaS application. Részletekért lásd: kifejezések írása attribútum-hozzárendelésekhez.For details, see Writing expressions for attribute mappings.

TartalmazóScoping

Hozzárendelés-alapú hatókörAssignment-based scoping

Az Azure AD-ből egy SaaS-alkalmazásba való kimenő kiépítés esetén a felhasználók vagy csoportok hozzárendeléseire támaszkodva a leggyakoribb módszer annak meghatározására, hogy mely felhasználók tartoznak a kiépítés hatálya alá.For outbound provisioning from Azure AD to a SaaS application, relying on user or group assignments is the most common way to determine which users are in scope for provisioning. Mivel a felhasználói hozzárendelések az egyszeri bejelentkezés engedélyezéséhez is használatosak, ugyanezt a módszert használhatja a hozzáférés és a kiépítés kezelésére is.Because user assignments are also used for enabling single sign-on, the same method can be used for managing both access and provisioning. A hozzárendelés-alapú hatókör nem vonatkozik a bejövő kiépítési forgatókönyvekre, például a munkanapokra és a SuccessFactors.Assignment-based scoping doesn't apply to inbound provisioning scenarios such as Workday and Successfactors.

  • Csoportok.Groups. A prémium szintű Azure AD-licenccel a csoportok használatával rendelhet hozzá hozzáférést egy SaaS-alkalmazáshoz.With an Azure AD Premium license plan, you can use groups to assign access to a SaaS application. Ezt követően, ha a kiépítési hatókör csak a hozzárendelt felhasználók és csoportok szinkronizálásáravan beállítva, az Azure ad-kiépítési szolgáltatás a felhasználókat attól függően fogja kiépíteni vagy kiépíteni, hogy az alkalmazáshoz rendelt csoport tagjai-e.Then, when the provisioning scope is set to Sync only assigned users and groups, the Azure AD provisioning service will provision or de-provision users based on whether they're members of a group that's assigned to the application. Maga a csoport objektum sincs kiépítve, kivéve, ha az alkalmazás támogatja a csoportok objektumait.The group object itself isn't provisioned unless the application supports group objects. Győződjön meg arról, hogy az alkalmazáshoz rendelt csoportok "SecurityEnabled" tulajdonsága "true" (igaz) értékre van állítva.Ensure that groups assigned to your application have the property "SecurityEnabled" set to "True".

  • Dinamikus csoportok.Dynamic groups. Az Azure AD-beli felhasználó-kiépítési szolgáltatás a dinamikus csoportokbatartozó felhasználókat tudja olvasni és kiépíteni.The Azure AD user provisioning service can read and provision users in dynamic groups. Tartsa szem előtt ezeket a figyelmeztetéseket és javaslatokat:Keep these caveats and recommendations in mind:

    • A dinamikus csoportok befolyásolhatják a végpontok közötti kiépítés teljesítményét az Azure AD-ből az SaaS-alkalmazásokba.Dynamic groups can impact the performance of end-to-end provisioning from Azure AD to SaaS applications.

    • A dinamikus csoportokban lévő felhasználók egy SaaS-alkalmazásban való kiépítésének vagy kiépítésének gyorsasága attól függ, hogy a dinamikus csoport milyen gyorsan tudja kiértékelni a tagsági változásokat.How fast a user in a dynamic group is provisioned or de-provisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. További információ a dinamikus csoportok feldolgozási állapotának vizsgálatáról: tagsági szabály feldolgozási állapotánakmegtekintése.For information about how to check the processing status of a dynamic group, see Check processing status for a membership rule.

    • Ha a felhasználó elveszti a dinamikus csoport tagságát, akkor az egy kiépítési eseménynek számít.When a user loses membership in the dynamic group, it's considered a de-provisioning event. Vegye figyelembe ezt a forgatókönyvet a dinamikus csoportok szabályainak létrehozásakor.Consider this scenario when creating rules for dynamic groups.

  • Beágyazott csoportok.Nested groups. Az Azure AD-beli felhasználói kiépítési szolgáltatás nem tudja beolvasni vagy kiépíteni a felhasználókat a beágyazott csoportokban.The Azure AD user provisioning service can't read or provision users in nested groups. A szolgáltatás csak olyan felhasználókat tud olvasni és kiépíteni, akik közvetlenül tagjai egy explicit módon hozzárendelt csoportnak.The service can only read and provision users that are immediate members of an explicitly assigned group. Ez a "csoportos hozzárendelések alkalmazások számára" korlátozás az egyszeri bejelentkezést is befolyásolja (lásd: csoport használata az SaaS-alkalmazásokhoz való hozzáférés kezeléséhez).This limitation of "group-based assignments to applications" also affects single sign-on (see Using a group to manage access to SaaS applications). Ehelyett közvetlenül a kiépíteni kívánt felhasználókat tartalmazó csoportokban vagy más hatókörben kell kiosztania.Instead, directly assign or otherwise scope in the groups that contain the users who need to be provisioned.

Attribútum-alapú hatókörAttribute-based scoping

A hatókör-szűrők használatával olyan attribútum-alapú szabályokat határozhat meg, amelyek meghatározzák, hogy mely felhasználók legyenek kiépítve egy alkalmazáshoz.You can use scoping filters to define attribute-based rules that determine which users are provisioned to an application. Ezt a módszert általában a HCM-alkalmazásokból az Azure AD-be és a Active Directoryra való bejövő kiépítés esetén használják.This method is commonly used for inbound provisioning from HCM applications to Azure AD and Active Directory. A hatóköri szűrők az egyes Azure AD-beli felhasználói létesítési összekötők attribútum-hozzárendeléseinek részeként vannak konfigurálva.Scoping filters are configured as part of the attribute mappings for each Azure AD user provisioning connector. Az attribútum-alapú hatóköri szűrők konfigurálásával kapcsolatos részletekért lásd: attribútum-alapú alkalmazás kiépítés hatóköri szűrőkkel.For details about configuring attribute-based scoping filters, see Attribute-based application provisioning with scoping filters.

B2B (vendég) felhasználókB2B (guest) users

Az Azure AD-beli felhasználói üzembe helyezési szolgáltatás használatával az Azure AD-ben elérhetővé teheti a VÁLLALATKÖZI (vagy vendég) felhasználókat az SaaS-alkalmazásokhoz.It's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications. Ahhoz azonban, hogy a B2B-felhasználók az Azure AD-vel jelentkezzenek be az SaaS-alkalmazásba, az SaaS-alkalmazásnak adott módon konfigurált SAML-alapú egyszeri bejelentkezési képességgel kell rendelkeznie.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. További információ az SaaS-alkalmazások a B2B-felhasználóktól való támogatásához való konfigurálásáról: SaaS-alkalmazások konfigurálása B2B-együttműködéshez.For more information on how to configure SaaS applications to support sign-ins from B2B users, see Configure SaaS apps for B2B collaboration.

Vegye figyelembe, hogy a vendég felhasználóhoz tartozó userPrincipalName gyakran "alias # EXT #"-ként tárolja a rendszer @domain.com .Note that the userPrincipalName for a guest user is often stored as "alias#EXT#@domain.com". Ha a userPrincipalName az attribútum-hozzárendelések forrása attribútumként szerepel, a #EXT # el lesz távolítva a userPrincipalName.when the userPrincipalName is included in your attribute mappings as a source attribute, the #EXT# is stripped from the userPrincipalName. Ha a #EXT # elemre van szüksége, cserélje le a userPrincipalName és a originalUserPrincipalName tulajdonságot a forrás attribútumként.If you require the #EXT# to be present, replace userPrincipalName with originalUserPrincipalName as the source attribute.

Kiépítési ciklusok: kezdeti és növekményesProvisioning cycles: Initial and incremental

Ha az Azure AD a forrásrendszer, a kiépítési szolgáltatás a különbözeti lekérdezés használatával követi nyomon a felhasználók és csoportok figyelését a Microsoft Graph-adatértékeken.When Azure AD is the source system, the provisioning service uses the Use delta query to track changes in Microsoft Graph data to monitor users and groups. A kiépítési szolgáltatás kezdeti ciklust futtat a forrásrendszer és a célként megadott rendszeren, majd az időszakos növekményes ciklusok után.The provisioning service runs an initial cycle against the source system and target system, followed by periodic incremental cycles.

Kezdeti ciklusInitial cycle

A kiépítési szolgáltatás indításakor az első ciklus a következőket eredményezi:When the provisioning service is started, the first cycle will:

  1. Az összes felhasználó és csoport lekérdezése a forrásoldali rendszerből, az attribútum-hozzárendelésekbendefiniált összes attribútum beolvasása.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.

  2. A visszaadott felhasználók és csoportok szűrése bármely konfigurált hozzárendelés vagy attribútum-alapú hatókör-szűrőhasználatával.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.

  3. Ha egy felhasználó hozzá van rendelve vagy hatókörben van az üzembe helyezéshez, a szolgáltatás lekérdezi a megfelelő felhasználót a megadott egyező attribútumokkal.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. Példa: Ha a userPrincipal neve megegyezik a megfelelő attribútummal, és leképezi a felhasználónevet a célként megadott rendszeren, a kiépítési szolgáltatás lekérdezi a célként megadott rendszerrendszert a forrásrendszer userPrincipal-értékeinek megfelelő felhasználónevek számára.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.

  4. Ha nem található egyező felhasználó a célszámítógépen, a rendszer a forrásrendszer által visszaadott attribútumok használatával hozza létre.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. A felhasználói fiók létrehozása után a kiépítési szolgáltatás észleli és gyorsítótárazza az új felhasználóhoz tartozó rendszer AZONOSÍTÓját.After the user account is created, the provisioning service detects and caches the target system's ID for the new user. Ez az azonosító az adott felhasználóra vonatkozó összes jövőbeli művelet futtatására szolgál.This ID is used to run all future operations on that user.

  5. Ha a rendszer megfelelő felhasználót talál, az a forrásrendszer által megadott attribútumok használatával frissül.If a matching user is found, it's updated using the attributes provided by the source system. A felhasználói fiók egyeztetése után a kiépítési szolgáltatás észleli és gyorsítótárazza az új felhasználóhoz tartozó rendszer AZONOSÍTÓját.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user. Ez az azonosító az adott felhasználóra vonatkozó összes jövőbeli művelet futtatására szolgál.This ID is used to run all future operations on that user.

  6. Ha az attribútum-hozzárendelések "Reference" attribútumokat tartalmaznak, a szolgáltatás további frissítéseket hoz létre a célszámítógépen a hivatkozott objektumok létrehozásához és összekapcsolásához.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Előfordulhat például, hogy egy felhasználó "Manager" attribútummal rendelkezik a célszámítógépen, amely egy másik, a célszámítógépen létrehozott felhasználóhoz van társítva.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.

  7. A kezdeti ciklus végén maradjon egy vízjelet, amely a későbbi növekményes ciklusok kiindulási pontját adja meg.Persist a watermark at the end of the initial cycle, which provides the starting point for the later incremental cycles.

Egyes alkalmazások, például a ServiceNow, a G Suite és a Box támogatása nem csupán a felhasználókat, hanem a csoportok és a tagjaik létesítését is támogatják.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. Ezekben az esetekben, ha a csoportok kiosztása engedélyezve van a leképezésekben, a kiépítési szolgáltatás szinkronizálja a felhasználókat és a csoportokat, majd később szinkronizálja a csoporttagságok körét.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

Növekményes ciklusokIncremental cycles

A kezdeti ciklus után az összes többi ciklus a következő lesz:After the initial cycle, all other cycles will:

  1. A forrásrendszer lekérdezése minden olyan felhasználó és csoport esetében, amelyet az utolsó vízjel tárolása óta frissítettek.Query the source system for any users and groups that were updated since the last watermark was stored.

  2. A visszaadott felhasználók és csoportok szűrése bármely konfigurált hozzárendelés vagy attribútum-alapú hatókör-szűrőhasználatával.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.

  3. Ha egy felhasználó hozzá van rendelve vagy hatókörben van az üzembe helyezéshez, a szolgáltatás lekérdezi a megfelelő felhasználót a megadott egyező attribútumokkal.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.

  4. Ha nem található egyező felhasználó a célszámítógépen, a rendszer a forrásrendszer által visszaadott attribútumok használatával hozza létre.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. A felhasználói fiók létrehozása után a kiépítési szolgáltatás észleli és gyorsítótárazza az új felhasználóhoz tartozó rendszer AZONOSÍTÓját.After the user account is created, the provisioning service detects and caches the target system's ID for the new user. Ez az azonosító az adott felhasználóra vonatkozó összes jövőbeli művelet futtatására szolgál.This ID is used to run all future operations on that user.

  5. Ha a rendszer megfelelő felhasználót talál, az a forrásrendszer által megadott attribútumok használatával frissül.If a matching user is found, it's updated using the attributes provided by the source system. Ha egy újonnan hozzárendelt fiók, amely megfelel, a kiépítési szolgáltatás észleli és gyorsítótárazza az új felhasználóhoz tartozó rendszer AZONOSÍTÓját.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user. Ez az azonosító az adott felhasználóra vonatkozó összes jövőbeli művelet futtatására szolgál.This ID is used to run all future operations on that user.

  6. Ha az attribútum-hozzárendelések "Reference" attribútumokat tartalmaznak, a szolgáltatás további frissítéseket hoz létre a célszámítógépen a hivatkozott objektumok létrehozásához és összekapcsolásához.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Előfordulhat például, hogy egy felhasználó "Manager" attribútummal rendelkezik a célszámítógépen, amely egy másik, a célszámítógépen létrehozott felhasználóhoz van társítva.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.

  7. Ha egy korábban a kiépítés hatókörében lévő felhasználó el lett távolítva a hatókörből, beleértve a hozzá nem rendelt szolgáltatást, a szolgáltatás egy frissítésen keresztül letiltja a felhasználót a célszámítógépen.If a user that was previously in scope for provisioning is removed from scope, including being unassigned, the service disables the user in the target system via an update.

  8. Ha egy korábban a kiépítés hatókörében lévő felhasználó le van tiltva vagy nem törlődik a forrásrendszer, a szolgáltatás egy frissítésen keresztül letiltja a felhasználót a célszámítógépen.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.

  9. Ha egy korábban a kiépítés hatókörében lévő felhasználó nem törlődik a forrásoldali rendszeren, a szolgáltatás törli a felhasználót a célszámítógépen.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. Az Azure AD-ben a felhasználók a törlés után 30 nappal törlődnek.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.

  10. A növekményes ciklus végén egy új vízjel marad, amely a későbbi növekményes ciklusok kiindulási pontját adja meg.Persist a new watermark at the end of the incremental cycle, which provides the starting point for the later incremental cycles.

Megjegyzés

A létrehozási, frissítésivagy törlési műveletet letilthatja a leképezések szakasz cél objektum műveletei jelölőnégyzetének használatával.You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. A felhasználók egy frissítés során való letiltásának logikáját a (z) "accountEnabled" mezőből származó attribútum-hozzárendeléssel is ellenőrzik.The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

A kiépítési szolgáltatás továbbra is határozatlan időre futtatja az egyes alkalmazásokra vonatkozó oktatóanyagbanmeghatározott időközöket.The provisioning service continues running back-to-back incremental cycles indefinitely, at intervals defined in the tutorial specific to each application. A növekményes ciklusok addig folytatódnak, amíg az alábbi események egyike nem következik be:Incremental cycles continue until one of the following events occurs:

  • A szolgáltatás kézi leállítása a Azure Portal használatával vagy a megfelelő Microsoft Graph API-parancs használatával történik.The service is manually stopped using the Azure portal, or using the appropriate Microsoft Graph API command.
  • A rendszer az új kezdeti ciklust a Azure Portal törlési állapot és újraindítás lehetőségével, vagy a megfelelő Microsoft Graph API-parancs használatával indítja el.A new initial cycle is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Microsoft Graph API command. Ez a művelet törli a tárolt vízjeleket, és az összes forrásobjektum kiértékelését okozza.This action clears any stored watermark and causes all source objects to be evaluated again.
  • Az attribútum-hozzárendelések és a hatóköri szűrők változása miatt új kezdeti ciklust indít a rendszer.A new initial cycle is triggered because of a change in attribute mappings or scoping filters. Ezzel a művelettel az összes tárolt vízjel törlődik, és az összes forrásoldali objektum újbóli kiértékelését okozza.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • A kiépítési folyamat Karanténba kerül (lásd alább), magas hiba miatt, és több mint négy hétig karanténba marad.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. Ebben az esetben a szolgáltatás automatikusan le lesz tiltva.In this event, the service will be automatically disabled.

Hibák és újrapróbálkozásokErrors and retries

Ha a célrendszer egyik hibája megakadályozza, hogy egy adott felhasználó hozzá legyen adva, frissítve vagy törölve legyen a célszámítógépen, a rendszer a következő szinkronizálási ciklusban újrapróbálkozik a művelettel.If an error in the target system prevents an individual user from being added, updated, or deleted in the target system, the operation is retried in the next sync cycle. Ha a felhasználó továbbra is sikertelen, akkor az újrapróbálkozások kevesebb gyakorisággal fognak megtörténni, és a napi egyszeri próbálkozásra fokozatosan visszakerülnek.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. A hiba elhárításához a rendszergazdáknak ellenőriznie kell a kiépítési naplókat a kiváltó ok okának megállapításához és a megfelelő művelet meghozatalához.To resolve the failure, administrators must check the provisioning logs to determine the root cause and take the appropriate action. Gyakori hibák a következők lehetnek:Common failures can include:

  • Azok a felhasználók, akik nem rendelkeznek olyan attribútummal, amely a célként megadott rendszerhez szükséges a forrásoldali rendszerenUsers not having an attribute populated in the source system that is required in the target system
  • Azok a felhasználók, akiknek attribútum értéke van abban a forrásrendszer esetében, amelyhez egyedi korlátozás van megadva a célszámítógépen, és ugyanaz az érték egy másik felhasználói rekordban vanUsers having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

Hárítsa el ezeket a hibákat úgy, hogy módosítja az érintett felhasználóhoz tartozó attribútumérték értékét a forrásrendszer vagy az attribútumok leképezésének módosításával, hogy ne okozzák az ütközéseket.Resolve these failures by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings so they don't cause conflicts.

KaranténQuarantine

Ha a megcélzott rendszerre irányuló hívások többsége vagy mindegyike egy hiba miatt nem sikerül (például érvénytelen rendszergazdai hitelesítő adatok), a kiépítési feladat "karantén" állapotba kerül.If most or all of the calls that are made against the target system consistently fail because of an error (for example invalid admin credentials) the provisioning job goes into a "quarantine" state. Ez az állapot a kiépítési összefoglaló jelentésben és e-mailben, ha az e-mailes értesítések konfigurálva vannak a Azure Portalban.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

Karantén esetén a növekményes ciklusok gyakorisága naponta egyszer csökken.When in quarantine, the frequency of incremental cycles is gradually reduced to once per day.

A kiépítési feladatok kilépnek a karanténba helyezésből az összes jogsértő hiba kijavítása után, és a következő szinkronizálási ciklus elindul.The provisioning job exits quarantine after all of the offending errors are fixed and the next sync cycle starts. Ha a kiépítési feladatok több mint négy hétig maradnak karanténban, a kiépítési feladatok le vannak tiltva.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled. További információ itt található a karantén állapotáról.Learn more here about quarantine status here.

Mennyi időt vesz igénybe az átadás?How long provisioning takes

A teljesítmény attól függ, hogy a kiépítési feladatok kezdeti kiépítési ciklust vagy növekményes ciklust futtatnak-e.Performance depends on whether your provisioning job is running an initial provisioning cycle or an incremental cycle. A kiépítés időtartamáról és a kiépítési szolgáltatás állapotának figyeléséről a következő témakörben tájékozódhat: a felhasználó kiépítési állapotának ellenőrzésévelkapcsolatos információk.For details about how long provisioning takes and how to monitor the status of the provisioning service, see Check the status of user provisioning.

Hogyan állapítható meg, hogy a felhasználók megfelelően lettek-e kiépítveHow to tell if users are being provisioned properly

A felhasználói kiépítési szolgáltatás által futtatott összes művelet rögzítve van az Azure AD- létesítési naplókban (előzetes verzió).All operations run by the user provisioning service are recorded in the Azure AD Provisioning logs (preview). A naplók tartalmazzák a forrás-és a megcélzott rendszerekre vonatkozó összes olvasási és írási műveletet, valamint az egyes műveletek során beolvasott vagy írt felhasználói adatok tartalmát.The logs include all read and write operations made to the source and target systems, and the user data that was read or written during each operation. További információ a kiépítési naplók beolvasásáról a Azure Portalban: a kiépítési jelentési útmutató.For information on how to read the provisioning logs in the Azure portal, see the provisioning reporting guide.

Kiépítés megszüntetéseDe-provisioning

Az Azure AD-kiépítési szolgáltatás megőrzi a forrás-és a megcélzott rendszereket a kiépítési fiókok szinkronizálásával, ha a felhasználóknak többé nem férnek hozzá.The Azure AD provisioning service keeps source and target systems in sync by de-provisioning accounts when users should not have access anymore.

Az Azure AD-kiépítési szolgáltatás helyreállítja a felhasználót egy alkalmazásban, ha az alkalmazás támogatja a Soft deletes (Update Request with Active = false) és az alábbi események bármelyikét:The Azure AD provisioning service will soft delete a user in an application when the application supports soft deletes (update request with active = false) and any of the following events occur:

  • A felhasználói fiók törlődik az Azure AD-benThe user account is deleted in Azure AD
  • A felhasználó nincs kiosztva az alkalmazásbólThe user is unassigned from the application
  • A felhasználó már nem felel meg egy hatóköri szűrőnek, és kikerül a hatókörbőlThe user no longer meets a scoping filter and goes out of scope
    • Alapértelmezés szerint az Azure AD-kiépítési szolgáltatás nem törli vagy letiltja a hatókörön kívüli felhasználókat.By default, the Azure AD provisioning service soft deletes or disables users that go out of scope. Ha szeretné felülbírálni ezt az alapértelmezett viselkedést, beállíthatja a jelölőt a hatókörbeli törlés kihagyásához.If you want to override this default behavior, you can set a flag to skip out-of-scope deletions.
  • A AccountEnabled tulajdonság értéke false (hamis)The AccountEnabled property is set to False

Ha a fenti négy esemény egyike következik be, és a célalkalmazás nem támogatja a Soft deletes szolgáltatást, a kiépítési szolgáltatás egy TÖRLÉSi kérelmet küld, amely véglegesen törli a felhasználót az alkalmazásból.If one of the above four events occurs and the target application does not support soft deletes, the provisioning service will send a DELETE request to permanently delete the user from the app.

30 nappal azután, hogy egy felhasználó törölve lett az Azure AD-ben, véglegesen törölve lesznek a bérlőről.30 days after a user is deleted in Azure AD, they will be permanently deleted from the tenant. Ezen a ponton a kiépítési szolgáltatás elküld egy TÖRLÉSi kérelmet, amely véglegesen törli a felhasználót az alkalmazásban.At this point, the provisioning service will send a DELETE request to permanently delete the user in the application. A 30 napos időszak alatt bármikor manuálisan törölheti a felhasználót, amely törlési kérelmet küld az alkalmazásnak.At any time during the 30-day window, you can manually delete a user permanently, which sends a delete request to the application.

Ha az IsSoftDeleted attribútumot lát, a rendszer a felhasználó állapotát határozza meg, valamint azt, hogy az aktív = false értékkel rendelkező frissítési kérést szeretné-e elküldeni a felhasználó számára.If you see an attribute IsSoftDeleted in your attribute mappings, it is used to determine the state of the user and whether to send an update request with active = false to soft delete the user.

Következő lépésekNext Steps

Automatikus felhasználóátadást használó üzembe helyezés tervezésePlan an automatic user provisioning deployment

Üzembe helyezés konfigurálása katalógusbeli alkalmazás esetébenConfigure provisioning for a gallery app

Hozzon létre egy SCIM-végpontot, és konfigurálja a létesítést saját alkalmazás létrehozásakorBuild a SCIM endpoint and configure provisioning when creating your own app

A felhasználók egy alkalmazáshoz való konfigurálásával és üzembe helyezésével kapcsolatos problémák elhárítása.Troubleshoot problems with configuring and provisioning users to an application.