Tutorial - Mengkustomisasi pemetaan atribut provisi pengguna untuk aplikasi SaaS di Azure Active Directory

  • Artikel
  • 14 menit untuk membaca

Microsoft Azure AD menyediakan dukungan provisi pengguna ke aplikasi SaaS pihak ketiga seperti Salesforce, G Suite, dan lainnya. Saat Anda mengaktifkan provisi pengguna untuk aplikasi SaaS pihak ketiga, portal Microsoft Azure mengontrol nilai atributnya melalui pemetaan atribut.

Sebelum memulai, pastikan Anda terbiasa dengan konsep manajemen aplikasi dan Akses Menyeluruh (SSO) . Lihat tautan berikut ini:

Ada sekumpulan atribut yang telah dikonfigurasi dan pemetaan atribut antara objek pengguna Microsoft Azure Active Directory dan setiap objek pengguna aplikasi SaaS. Beberapa aplikasi mengelola jenis objek lain bersama dengan Pengguna, seperti Grup.

Anda dapat menyesuaikan pemetaan atribut default sesuai dengan kebutuhan bisnis Anda. Jadi, Anda dapat mengubah atau menghapus pemetaan atribut yang ada, atau membuat pemetaan atribut baru.

Mengedit pemetaan atribut pengguna

Ikuti langkah-langkah ini untuk mengakses fitur Pemetaan provisi pengguna:

  1. Masuk ke portal Microsoft Azure Active Directory.

  2. Pilih Aplikasi perusahaan dari panel kiri. Daftar semua aplikasi yang dikonfigurasi ditampilkan, termasuk aplikasi yang ditambahkan dari galeri.

  3. Pilih aplikasi apa pun untuk memuat panel manajemen aplikasinya, tempat Anda dapat melihat laporan dan mengelola pengaturan aplikasi.

  4. Pilih Provisi untuk mengelola pengaturan provisi akun pengguna untuk aplikasi yang dipilih.

  5. Perluas Pemetaan untuk melihat dan mengedit atribut pengguna yang mengalir antara Azure AD dan aplikasi target. Jika aplikasi target mendukungnya, bagian ini memungkinkan Anda mengkonfigurasi provisi grup dan akun pengguna secara opsional.

    Use Mappings to view and edit user attributes

  6. Pilih konfigurasi Pemetaan untuk membuka layar Pemetaan Atribut terkait. Beberapa pemetaan atribut diperlukan oleh aplikasi SaaS untuk dapat berfungsi dengan benar. Untuk atribut yang diperlukan, fitur Hapus tidak tersedia.

    Use Attribute Mapping to configure attribute mappings for apps

    Dalam tangkapan layar ini, Anda dapat melihat bahwa atribut Nama Pengguna objek terkelola di Salesforce diisi dengan nilai userPrincipalName dari Azure Active Directory Object yang ditautkan.

    Catatan

    Menghapus Buat tidak memengaruhi pengguna yang ada. Jika Buat tidak dipilih, Anda tidak dapat membuat pengguna baru.

  7. Pilih Pemetaan Atribut yang ada untuk membuka layar Edit Atribut. Di sini Anda dapat mengedit atribut pengguna yang mengalir antara Azure AD dan aplikasi target.

    Use Edit Attribute to edit user attributes

Memahami tipe pemetaan atribut

Dengan pemetaan atribut, Anda dapat mengontrol bagaimana atribut dikumpulkan dalam aplikasi SaaS pihak ketiga. Ada empat jenis pemetaan berbeda yang didukung:

  • Langsung – atribut target dikumpulkan dengan nilai atribut objek yang ditautkan di Azure AD.
  • Konstan – atribut target dikumpulkan dengan string tertentu yang Anda tentukan.
  • Ekspresi: Atribut target dikumpulkan berdasarkan hasil ekspresi seperti skrip. Untuk informasi selengkapnya, lihat Menulis ekspresi untuk pemetaan atribut di Azure Active Directory.
  • Tidak ada: Atribut target dibiarkan tidak dimodifikasi. Namun, jika atribut target kosong, atribut tersebut akan diisi dengan nilai default yang Anda tentukan.

Seiring dengan jenis dasar ini, pemetaan atribut kustom mendukung konsep penetapan nilai default opsional. Penetapan nilai default memastikan bahwa atribut target diisi dengan nilai jika Microsoft Azure AD atau objek target tidak memiliki nilai. Konfigurasi yang paling umum adalah membiarkan nilainya kosong.

Memahami properti pemetaan atribut

Di bagian sebelumnya, Anda sudah diperkenalkan ke properti jenis pemetaan atribut. Seiring dengan properti ini, pemetaan atribut juga mendukung atribut berikut:

  • Atribut sumber - Atribut pengguna dari sistem sumber (misalnya: Azure Active Directory).
  • Atribut target – Atribut pengguna dalam sistem target (misalnya: ServiceNow).
  • Nilai default saat null (opsional) : Nilai yang akan diteruskan ke sistem target jika atribut source null. Nilai ini akan ditentukan hanya ketika pengguna dibuat. "Nilai default saat null" tidak akan ditentukan saat memperbarui pengguna yang sudah ada. Jika, misalnya, Anda ingin menyediakan semua pengguna yang ada di sistem target dengan Judul Pekerjaan tertentu (saat null dalam sistem sumber), Anda dapat menggunakan ekspresi berikut: Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]). Pastikan untuk mengganti "Nilai Default" dengan apa yang ingin Anda provisikan ketika null dalam sistem sumber.
  • Mencocokkan objek menggunakan atribut ini – Apakah pemetaan ini harus digunakan untuk mengidentifikasi pengguna antara sistem sumber dan target. Biasanya diatur pada userPrincipalName atau atribut email di Azure AD, yang biasanya dipetakan ke bidang nama pengguna dalam aplikasi target.
  • Pencocokan diutamakan - Beberapa atribut yang cocok dapat diatur. Ketika ada beberapa, mereka akan dievaluasi dalam urutan yang ditentukan oleh bidang ini. Segera setelah ditemukan kecocokan, tidak ada atribut pencocokan lebih lanjut yang akan dievaluasi. Meskipun Anda dapat mengatur atribut pencocokan sebanyak yang Anda inginkan, pertimbangkan apakah atribut yang Anda gunakan sebagai atribut pencocokan benar-benar unik dan harus berupa atribut pencocokan. Umumnya pelanggan memiliki 1 atau 2 atribut pencocokan dalam konfigurasi mereka.
  • Terapkan pemetaan ini
    • Selalu - Terapkan pemetaan ini pada tindakan pembuatan dan pembaruan pengguna.
    • Hanya selama pembuatan - Terapkan pemetaan ini hanya pada tindakan pembuatan pengguna.

Mencocokkan pengguna di sistem sumber dan target

Layanan penyediaan Azure Active Directory dapat disebarkan dalam skenario "green field" (pengguna tidak ada dalam sistem target) dan skenario "brownfield" (pengguna sudah ada dalam sistem target). Untuk mendukung kedua skenario, layanan provisi menggunakan konsep atribut yang cocok. Atribut pencocokan memungkinkan Anda menentukan cara mengidentifikasi pengguna secara unik di sumbernya dan mencocokkan pengguna dalam target. Sebagai bagian dari perencanaan penerapan Anda, identifikasi atribut yang dapat digunakan untuk mengidentifikasi pengguna secara unik di sistem sumber dan target. Yang perlu diperhatikan:

  • Atribut pencocokan harus unik: Pelanggan sering menggunakan atribut seperti userPrincipalName, mail, atau ID objek sebagai atribut pencocokan.
  • Beberapa atribut dapat digunakan sebagai atribut pencocokan: Anda dapat menentukan beberapa atribut yang akan dievaluasi saat mencocokkan pengguna dan urutan mereka dievaluasi (didefinisikan sebagai pencocokan yang diutamakan dalam UI). Jika, misalnya, Anda menentukan tiga atribut sebagai atribut pencocokan, dan pengguna cocok secara unik setelah mengevaluasi dua atribut pertama, layanan tidak akan mengevaluasi atribut ketiga. Layanan akan mengevaluasi atribut pencocokan dalam urutan yang ditentukan dan berhenti mengevaluasi saat kecocokan ditemukan.
  • Nilai dalam sumber dan target tidak harus sama persis: Nilai dalam target dapat menjadi beberapa fungsi sederhana dari nilai dalam sumber. Jadi, seseorang dapat memiliki atribut emailAddress di sumber dan userPrincipalName dalam target, dan cocok dengan fungsi atribut emailAddress yang menggantikan beberapa karakter dengan beberapa nilai konstan.
  • Pencocokan berdasarkan kombinasi atribut tidak didukung: Sebagian besar aplikasi tidak mendukung kueri berdasarkan dua properti. Oleh karena itu, tidak mungkin untuk mencocokkan berdasarkan kombinasi atribut. Dimungkinkan untuk mengevaluasi satu demi satu properti.
  • Semua pengguna harus memiliki nilai untuk setidaknya satu atribut yang cocok: Jika Anda menentukan satu atribut yang cocok, semua pengguna harus memiliki nilai untuk atribut tersebut dalam sistem sumber. Jika, misalnya, Anda mendefinisikan userPrincipalName sebagai atribut pencocokan, semua pengguna harus memiliki userPrincipalName. Jika Anda menentukan beberapa atribut pencocokan (misalnya extensionAttribute1 dan mail), tidak semua pengguna harus memiliki atribut pencocokan yang sama. Satu pengguna bisa memiliki extensionAttribute1 tetapi tidak dengan mail sementara pengguna lain bisa memiliki mail tetapi tidak memiiliki extensionAttribute1.
  • Aplikasi target harus mendukung pemfilteran pada atribut pencocokan: Pengembang aplikasi memungkinkan pemfilteran untuk subkumpulan atribut pada API pengguna atau grup mereka. Untuk aplikasi di galeri, kami memastikan bahwa pemetaan atribut default adalah untuk atribut di mana API aplikasi target mendukung pemfilteran. Saat mengubah atribut pencocokan default untuk aplikasi target, periksa dokumentasi API pihak ketiga untuk memastikan bahwa atribut dapat difilter.

Mengedit pemetaan atribut grup

Sejumlah aplikasi yang dipilih, seperti ServiceNow, Box, dan G Suite, mendukung kemampuan untuk menyediakan objek Grup dan objek Pengguna. Objek grup bisa berisi properti grup seperti nama tampilan dan alias email, bersama dengan anggota grup.

Example shows ServiceNow with provisioned Group and User objects

Provisi grup dapat diaktifkan atau dinonaktifkan secara opsional dengan memilih pemetaan grup pada Pemetaan, dan pengaturan Diaktifkan ke opsi yang Anda inginkan di layar Pemetaan Atribut.

Atribut yang disediakan sebagai bagian dari objek Grup dapat dikustomisasi dengan cara yang sama seperti objek Pengguna, yang dijelaskan sebelumnya.

Tip

Penyediaan objek grup (properti dan anggota) adalah konsep yang berbeda dari menetapkan grup ke aplikasi. Dimungkinkan untuk menetapkan grup ke aplikasi, tetapi hanya menyediakan objek pengguna yang terkandung dalam grup. Provisi objek grup penuh tidak diperlukan untuk menggunakan grup dalam tugas.

Mengedit daftar atribut yang didukung

Atribut pengguna yang didukung untuk aplikasi tertentu telah dikonfigurasi sebelumnya. Sebagian besar API manajemen pengguna aplikasi tidak mendukung penemuan skema. Jadi, layanan provisi Azure AD tidak dapat secara dinamis menghasilkan daftar atribut yang didukung dengan melakukan panggilan ke aplikasi.

Namun, beberapa aplikasi mendukung atribut kustom, dan layanan provisi Azure AD dapat membaca dan menulis ke atribut kustom. Untuk memasukkan definisinya ke portal Microsoft Azure, pilih kotak centang Perlihatkan opsi tingkat lanjut di bagian bawah layar Pemetaan Atribut, lalu pilih Edit daftar atribut untuk aplikasi Anda.

Aplikasi dan sistem yang mendukung penyesuaian daftar atribut meliputi:

  • Salesforce
  • ServiceNow
  • Workday ke Active Directory / Workday ke Azure Active Directory
  • SuccessFactors ke Active Directory / SuccessFactors ke Azure Active Directory
  • Azure Active Directory (atribut default Azure AD Graph API dan ekstensi direktori kustom didukung). Pelajari selengkapnya tentang membuat ekstensi dan batasan yang diketahui.
  • Aplikasi yang mendukung SCIM 2.0
  • Untuk writeback Azure Active Directory ke Workday atau SuccessFactors, didukung untuk memperbarui metadata yang relevan untuk atribut yang didukung (XPATH dan JSONPath), tetapi tidak didukung untuk menambahkan atribut Workday atau SuccessFactors baru di luar yang disertakan dalam skema default

Catatan

Mengedit daftar atribut yang didukung hanya direkomendasikan untuk administrator yang telah menyesuaikan skema aplikasi dan sistem mereka, dan memiliki pengetahuan langsung tentang bagaimana atribut kustom mereka telah didefinisikan atau jika atribut sumber tidak ditampilkan secara otomatis di UI Portal Microsoft Azure. Ini terkadang membutuhkan pembiasaan dengan API dan alat pengembang yang disediakan oleh aplikasi atau sistem. Kemampuan untuk mengedit daftar atribut yang didukung dikunci secara default, tetapi pelanggan dapat mengaktifkan kemampuan dengan menavigasi ke URL berikut: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true . Anda kemudian dapat menavigasi ke aplikasi Anda untuk melihat daftar atribut seperti yang dijelaskan di atas.

Saat mengedit daftar atribut yang didukung, properti berikut disediakan:

  • Nama - Nama sistem atribut, seperti yang didefinisikan dalam skema objek target.
  • Jenis - Jenis data yang disimpan atribut, seperti yang didefinisikan dalam skema objek target, yang bisa menjadi salah satu tipe berikut:
    • Biner - Atribut berisi data biner.
    • Boolean - Atribut berisi nilai True atau False.
    • DateTime - Atribut berisi string tanggal.
    • Bilangan bulat - Atribut berisi bilangan bulat.
    • Referensi - Atribut berisi ID yang mereferensikan nilai yang disimpan dalam tabel lain dalam aplikasi target.
    • String - Atribut berisi string teks.
  • Kunci Utama? - Apakah atribut didefinisikan sebagai bidang kunci utama dalam skema objek target.
  • Diperlukan? - Apakah atribut diperlukan untuk diisi dalam aplikasi target atau sistem.
  • Multi nilai? - Apakah atribut mendukung beberapa nilai.
  • Huruf besar kecil? - Apakah nilai atribut dievaluasi dengan cara pembedaan huruf besar dan kecil.
  • Ekspresi API - Jangan gunakan, kecuali diinstruksikan untuk melakukannya dengan dokumentasi untuk konektor provisi tertentu (seperti Workday).
  • Atribut Objek Referensi - Jika itu adalah atribut tipe Referensi, maka menu ini memungkinkan Anda memilih tabel dan atribut dalam aplikasi target yang berisi nilai yang terkait dengan atribut. Misalnya, jika Anda memiliki atribut bernama "Department" yang nilainya yang disimpan mereferensikan objek dalam tabel "Department" terpisah, Anda akan memilih "Departments.Name". Tabel referensi dan bidang ID utama yang didukung untuk aplikasi tertentu telah dikonfigurasi hingga saat ini tidak dapat diedit menggunakan portal Microsoft Azure, tetapi dapat diedit menggunakan Microsoft Graph API.

Menyediakan atribut ekstensi kustom ke aplikasi yang mematuhi SCIM

SCIM RFC mendefinisikan pengguna inti dan skema grup, dengan juga memungkinkan ekstensi ke skema untuk memenuhi kebutuhan aplikasi Anda. Untuk menambahkan atribut kustom ke aplikasi SCIM:

  1. Masuk ke portal Azure Active Directory, pilih Aplikasi Perusahaan, pilih aplikasi Anda, lalu pilih Provisi.
  2. Pada Pemetaan, pilih objek (pengguna atau grup) yang ingin Anda tambahkan atribut kustomnya.
  3. Di bagian bawah halaman, pilih Perlihatkan opsi lanjutan.
  4. Pilih Edit daftar atribut untuk AppName.
  5. Di bagian bawah daftar atribut, masukkan informasi tentang atribut kustom di bidang yang disediakan. Lalu pilih Tambahkan Atribut.

Untuk aplikasi SCIM, nama atribut harus mengikuti pola yang ditunjukkan pada contoh di bawah ini. "CustomExtensionName" dan "CustomAttribute" dapat disesuaikan sesuai kebutuhan aplikasi Anda, misalnya: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute

Instruksi ini hanya berlaku untuk aplikasi berkemampuan SCIM. Aplikasi seperti ServiceNow dan Salesforce tidak terintegrasi dengan Azure AD menggunakan SCIM, dan karena itu mereka tidak memerlukan namespace khusus ini saat menambahkan atribut kustom.

Atribut kustom tidak boleh menjadi atribut referensial, atribut multinilai atau tipe kompleks. Atribut ekstensi multinilai dan tipe kompleks saat ini hanya didukung untuk aplikasi di galeri. Header skema ekstensi kustom dihilangkan dalam contoh di bawah ini karena tidak dikirim dalam permintaan dari klien Azure Active Directory SCIM. Masalah ini akan diperbaiki di masa mendatang dan header akan dikirim dalam permintaan.

Contoh representasi pengguna dengan atribut ekstensi:

   {
     "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
     "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
     "userName":"bjensen",
     "id": "48af03ac28ad4fb88478",
     "externalId":"bjensen",
     "name":{
       "formatted":"Ms. Barbara J Jensen III",
       "familyName":"Jensen",
       "givenName":"Barbara"
     },
     "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
     "employeeNumber": "701984",
     "costCenter": "4130",
     "organization": "Universal Studios",
     "division": "Theme Park",
     "department": "Tour Operations",
     "manager": {
       "value": "26118915-6090-4610-87e4-49d8ca9f808d",
       "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
       "displayName": "John Smith"
     }
   },
     "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
     "CustomAttribute": "701984",
   },
   "meta": {
     "resourceType": "User",
     "created": "2010-01-23T04:56:22Z",
     "lastModified": "2011-05-13T04:42:34Z",
     "version": "W\/\"3694e05e9dff591\"",
     "location":
 "https://example.com/v2/Users/2819c223-7f76-453a-919d-413861904646"
   }
 }

Menyediakan peran ke aplikasi SCIM

Gunakan langkah-langkah di bawah ini untuk menyediakan peran bagi pengguna ke aplikasi Anda. Perhatikan bahwa deskripsi di bawah ini khusus untuk aplikasi SCIM kustom. Untuk aplikasi galeri seperti Salesforce dan ServiceNow, gunakan pemetaan peran yang telah ditentukan sebelumnya. Poin di bawah ini menjelaskan cara mengubah atribut AppRoleAssignments ke format yang diharapkan aplikasi Anda.

  • Memetakan appRoleAssignment di Azure AD ke peran dalam aplikasi Anda mengharuskan Anda mengubah atribut menggunakan ekspresi. Atribut appRoleAssignment tidak boleh dipetakan langsung ke atribut role tanpa menggunakan ekspresi untuk mengurai detail peran.

  • SingleAppRoleAssignment

    • Kapan digunakan: Gunakan ekspresi SingleAppRoleAssignment untuk menyediakan satu peran bagi pengguna dan untuk menentukan peran utama.
    • Cara mengkonfigurasi: Gunakan langkah-langkah yang dijelaskan di atas untuk menavigasi ke halaman pemetaan atribut dan gunakan ekspresi SingleAppRoleAssignment untuk memetakan ke atribut peran. Ada tiga atribut peran yang dapat dipilih (roles[primary eq "True"].display, roles[primary eq "True"].type, dan roles[primary eq "True"].value). Anda dapat memilih untuk menyertakan salah satu atau semua atribut peran dalam pemetaan Anda. Jika Anda ingin menyertakan lebih dari satu, cukup tambahkan pemetaan baru dan sertakan sebagai atribut target.

    Add SingleAppRoleAssignment

    • Hal-hal yang perlu dipertimbangkan

      • Pastikan bahwa beberapa peran tidak ditetapkan ke satu pengguna. Kami tidak dapat menjamin peran mana yang akan disediakan.

    • Contoh permintaan (POST)

      {
    "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:User"
    ],
    "externalId": "alias",
    "userName": "alias@contoso.OnMicrosoft.com",
    "active": true,
    "displayName": "First Name Last Name",
    "meta": {
         "resourceType": "User"
    },
    "roles": [
       {
             "primary": true,
             "type": "WindowsAzureActiveDirectoryRole",
             "value": "Admin"
       }
    ]
}
    • Contoh keluaran (PATCH)
    "Operations": [
   {
     "op": "Add",
     "path": "roles",
     "value": [
       {
         "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
       }
     ]

Format permintaan di PATCH dan POST berbeda. Untuk memastikan bahwa POST dan PATCH dikirim dalam format yang sama, Anda dapat menggunakan bendera fitur yang dijelaskan di sini.

  • AppRoleAssignmentsComplex

    • Kapan digunakan: Gunakan ekspresi AppRoleAssignmentsComplex untuk menyediakan beberapa peran untuk pengguna.

    • Cara mengkonfigurasi: Edit daftar atribut yang didukung seperti yang dijelaskan di atas untuk menyertakan atribut baru untuk peran:

      Add roles

      Kemudian gunakan ekspresi AppRoleAssignmentsComplex untuk memetakan ke atribut peran kustom seperti yang ditunjukkan pada gambar di bawah ini:

      Add AppRoleAssignmentsComplex

    • Hal-hal yang perlu dipertimbangkan

      • Semua peran akan disediakan sebagai utama = false.
      • POST berisi jenis peran. Permintaan PATCH tidak berisi jenis. Kami sedang berupaya mengirimkan jenis tersebut dalam permintaan POST dan PATCH.
      • AppRoleAssignmentsComplex tidak kompatibel dengan cakupan pengaturan untuk "Sinkronkan Semua pengguna dan grup."

    • Contoh output

    {
     "schemas": [
         "urn:ietf:params:scim:schemas:core:2.0:User"
    ],
    "externalId": "alias",
    "userName": "alias@contoso.OnMicrosoft.com",
    "active": true,
    "displayName": "First Name Last Name",
    "meta": {
         "resourceType": "User"
    },
    "roles": [
       {
             "primary": false,
             "type": "WindowsAzureActiveDirectoryRole",
             "display": "Admin",
             "value": "Admin"
       },
       {
             "primary": false,
             "type": "WindowsAzureActiveDirectoryRole",
             "display": "User",
           "value": "User"
       }
    ]
}

Menyediakan atribut multinilai

Atribut tertentu seperti phoneNumbers dan email adalah atribut multinilai di mana Anda mungkin perlu menentukan berbagai jenis nomor telepon atau email. Gunakan ekspresi di bawah ini untuk atribut multinilai. Ini memungkinkan Anda untuk menentukan jenis atribut dan peta yang sesuai dengan atribut pengguna Azure AD yang sesuai untuk nilai tersebut.

  • nomorTelepon[ketik eq "kerja"].harga

  • nomorTelepons[ketik eq "HP"].harga

  • nomorTelepon[ketik eq "faks"].harga

    "phoneNumbers": [
     {
       "value": "555-555-5555",
       "type": "work"
    },
    {
       "value": "555-555-5555",
       "type": "mobile"
    },
    {
       "value": "555-555-5555",
       "type": "fax"
    }
]

Memulihkan atribut dan pemetaan atribut default

Jika Anda perlu memulai kembali dan mereset pemetaan yang sudah ada kembali ke status defaultnya, Anda bisa memilih kotak centang Pulihkan pemetaan default dan simpan konfigurasi. Melakukan hal tersebut akan mengatur semua pemetaan dan scoping filter seolah-olah aplikasi baru saja ditambahkan ke penyewa Azure AD Anda dari galeri aplikasi.

Memilih opsi ini akan secara efektif memaksa resinkronisasi semua pengguna saat layanan provisi berjalan.

Penting

Kami sangat menyarankan agar status Penyediaan diatur ke Nonaktif sebelum mengambil opsi ini.

Yang harus Anda ketahui

  • Microsoft Azure AD menyediakan implementasi proses sinkronisasi yang efisien. Dalam lingkungan yang diinisialisasi, hanya objek yang memerlukan pembaruan yang diproses selama siklus sinkronisasi.
  • Memperbarui pemetaan atribut berdampak pada kinerja siklus sinkronisasi. Pembaruan untuk konfigurasi pemetaan atribut mengharuskan semua objek terkelola dievaluasi kembali.
  • Praktik terbaik yang direkomendasikan adalah menjaga jumlah perubahan berturut-turut pada pemetaan atribut Anda dalam jumlah minimal.
  • Menambahkan atribut foto yang akan disediakan ke aplikasi tidak didukung sekarang karena Anda tidak dapat menentukan format untuk menyinkronkan foto. Anda dapat meminta fitur ini di Suara Pengguna
  • Atribut IsSoftDeleted sering menjadi bagian dari pemetaan default untuk aplikasi. IsSoftdeleted dapat menjadi true dalam salah satu dari empat skenario (pengguna berada di luar lingkup karena tidak ditetapkan dari aplikasi, pengguna berada di luar lingkup karena tidak memenuhi filter cakupan, pengguna telah dihapus sementara di Azure AD, atau properti AccountEnabled diatur ke false pada pengguna). Tidak disarankan untuk menghapus atribut IsSoftDeleted dari pemetaan atribut Anda.
  • Layanan penyediaan Azure AD tidak mendukung provisi nilai null.
  • Kunci utama, biasanya "ID", tidak boleh dimasukkan sebagai atribut target dalam pemetaan atribut Anda.
  • Atribut peran biasanya perlu dipetakan menggunakan ekspresi, bukan pemetaan langsung. Lihat bagian di atas untuk detail lengkap tentang pemetaan peran.
  • Meskipun Anda dapat menonaktifkan grup dari pemetaan Anda, menonaktifkan pengguna tidak didukung.

Langkah berikutnya