Provisi sesuai permintaan di ID Microsoft Entra
Gunakan provisi sesuai permintaan untuk menyediakan pengguna atau grup dalam hitungan detik. Antara lain, Anda dapat menggunakan kemampuan ini untuk:
- Memecahkan masalah konfigurasi dengan cepat.
- Memvalidasi ekspresi yang telah ditentukan.
- Menguji filter pencakupan.
Cara menggunakan provisi sesuai permintaan
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi.
- Telusuri aplikasi Identity>Applications>Enterprise> pilih aplikasi Anda.
- Pilih Provisi.
- Telusuri >Identitas Eksternal Konfigurasi>Sinkronisasi>Lintas Penyewa
- Pilih konfigurasi Anda, lalu buka halaman Konfigurasi provisi .
Konfigurasikan provisi dengan memberikan info masuk admin Anda.
Pilih Provisikan sesuai permintaan.
Cari pengguna berdasarkan nama depan, nama belakang, nama tampilan, nama perwakilan pengguna, atau alamat email. Atau, Anda dapat mencari grup dan mengambil hingga lima pengguna.
Catatan
Untuk aplikasi provisi Cloud HR (Workday / SuccessFactors ke Active Directory / Microsoft Entra ID), nilai inputnya berbeda. Untuk skenario Workday, masukkan "WorkerID" atau "WID" pengguna di Workday. Untuk skenario SuccessFactors, masukkan "personIdExternal" pengguna di SuccessFactors.
Pilih Provisikan di bagian bawah halaman.
Memahami langkah-langkah provisi
Proses provisi sesuai permintaan mencoba menampilkan langkah-langkah yang diambil layanan provisi saat memprovisikan pengguna. Biasanya ada lima langkah untuk memprovisikan pengguna. Satu atau beberapa langkah tersebut, dijelaskan di bagian berikut, ditampilkan selama pengalaman provisi sesuai permintaan.
Langkah 1: Uji koneksi
Layanan provisi mencoba mengotorisasi akses ke sistem target dengan membuat permintaan untuk "pengguna uji". Layanan provisi mengharapkan respons yang menunjukkan bahwa layanan telah diizinkan untuk melanjutkan langkah-langkah provisi. Langkah ini hanya ditampilkan jika gagal. Langkah ini tidak ditampilkan selama pengalaman provisi sesuai permintaan jika langkah berhasil.
Tips pemecahan masalah
- Pastikan Anda telah memberikan kredensial yang valid, seperti token rahasia dan URL penyewa, ke sistem target. Info masuk yang diperlukan berbeda-beda menurut aplikasi. Untuk tutorial konfigurasi terperinci, lihat daftar tutorial.
- Pastikan bahwa sistem target mendukung pemfilteran pada atribut yang cocok yang ditentukan di panel Pemetaan atribut. Anda mungkin perlu memeriksa dokumentasi API yang disediakan oleh pengembang aplikasi untuk memahami filter yang didukung.
- Untuk aplikasi System for Cross-Domain Identity Management (SCIM), Anda dapat menggunakan alat seperti Postman. Alat tersebut membantu Anda memastikan bahwa aplikasi merespons permintaan otorisasi dengan cara yang diharapkan layanan provisi Microsoft Entra. Lihat contoh permintaan.
Langkah 2: Impor pengguna
Selanjutnya, layanan provisi mengambil pengguna dari sistem sumber. Atribut pengguna yang diambil layanan digunakan nanti untuk:
- Mengevaluasi apakah pengguna berada dalam cakupan provisi.
- Memeriksa sistem target untuk pengguna yang sudah ada.
- Menentukan atribut pengguna yang akan diekspor ke sistem target.
Lihat detail
Bagian Lihat detail memperlihatkan properti pengguna yang diimpor dari sistem sumber (misalnya, ID Microsoft Entra).
Tips pemecahan masalah
Mengimpor pengguna dapat gagal jika atribut pencocokan hilang pada obyek pengguna dalam sistem sumber. Untuk mengatasi kegagalan ini, coba salah satu pendekatan berikut:
- Perbarui objek pengguna dengan nilai untuk atribut yang cocok.
- Ubah atribut pencocokan dalam konfigurasi provisi Anda.
Jika atribut yang Anda harapkan hilang dari daftar yang diimpor, pastikan bahwa atribut tersebut memiliki nilai pada objek pengguna dalam sistem sumber. Layanan provisi saat ini tidak mendukung provisi atribut null.
Pastikan bahwa halaman Pemetaan atribut konfigurasi provisi Anda berisi atribut yang Anda harapkan.
Langkah 3: Tentukan apakah pengguna berada dalam cakupan
Selanjutnya, layanan provisi menentukan apakah pengguna berada dalam cakupan provisi. Layanan ini mempertimbangkan aspek-aspek seperti:
- Apakah pengguna ditetapkan ke aplikasi.
- Apakah cakupan diatur ke Sinkronkan yang ditetapkan atau Sinkronkan semua.
- Filter pencakupan yang ditentukan dalam konfigurasi provisi Anda.
Lihat detail
Bagian Lihat detail memperlihatkan kondisi pencakupan yang dievaluasi. Anda mungkin melihat satu atau beberapa properti berikut:
- Aktif dalam sistem sumber menunjukkan bahwa pengguna memiliki properti
IsActiveyang diatur ke true di ID Microsoft Entra. - Ditetapkan ke aplikasi menunjukkan bahwa pengguna ditetapkan ke aplikasi di ID Microsoft Entra.
- Cakupan sinkronisasi semua menunjukkan bahwa pengaturan cakupan mengizinkan semua pengguna dan grup dalam penyewa.
- Pengguna memiliki peran yang diperlukan menunjukkan bahwa pengguna memiliki peran yang diperlukan untuk diprovisikan ke dalam aplikasi.
- Filter pencakupan juga ditampilkan jika Anda telah menentukan filter pencakupan untuk aplikasi Anda. Filter ditampilkan dengan format berikut: {judul filter pencakupan} {atribut filter pencakupan} {operator filter pencakupan} {nilai filter pencakupan}.
Tips pemecahan masalah
- Pastikan Anda telah menentukan peran pencakupan yang valid. Misalnya, hindari menggunakan operator Greater_Than dengan nilai noninteger.
- Jika pengguna tidak memiliki peran yang diperlukan, tinjau tips untuk memprovisikan pengguna yang ditetapkan ke peran akses default.
Langkah 4: Cocokkan pengguna di antara sumber dan target
Dalam langkah ini, layanan mencoba mencocokkan pengguna yang diambil dalam langkah impor dengan pengguna dalam sistem target.
Lihat detail
Halaman Lihat detail memperlihatkan properti pengguna yang dicocokkan dalam sistem target. Panel konteks berubah sebagai berikut:
- Jika tidak ada pengguna yang cocok dalam sistem target, tidak ada properti yang ditampilkan.
- Jika satu pengguna cocok dalam sistem target, properti pengguna tersebut ditampilkan.
- Jika beberapa pengguna cocok, properti kedua pengguna ditampilkan.
- Jika beberapa atribut pencocokan adalah bagian dari pemetaan atribut, setiap atribut pencocokan dievaluasi secara berurutan dan pengguna yang cocok untuk atribut tersebut ditampilkan.
Tips pemecahan masalah
- Layanan provisi mungkin tidak dapat mencocokkan pengguna dalam sistem sumber secara unik dengan pengguna dalam sistem target. Atasi masalah ini dengan memastikan bahwa atribut pencocokan unik.
- Pastikan bahwa sistem target mendukung pemfilteran pada atribut yang didefinisikan sebagai atribut yang cocok.
Langkah 5: Ambil tindakan
Akhirnya, layanan provisi mengambil tindakan, seperti membuat, memperbarui, menghapus, atau mengabaikan pengguna.
Berikut ini contoh yang mungkin Anda lihat setelah provisi sesuai permintaan pengguna berhasil:
Lihat detail
Bagian Detail tampilan menampilkan atribut yang dimodifikasi dalam sistem target. Tampilan ini mewakili output akhir aktivitas layanan provisi dan atribut yang diekspor. Jika langkah ini gagal, atribut yang ditampilkan mewakili atribut yang coba diubah oleh layanan provisi.
Tips pemecahan masalah
- Kegagalan untuk mengekspor perubahan dapat berbeda-beda secara signifikan. Periksa dokumentasi log provisi untuk mengetahui kegagalan umum.
- Provisi sesuai permintaan mengatakan grup atau pengguna tidak dapat disediakan karena mereka tidak ditetapkan ke aplikasi. Ada penundaan replikasi hingga beberapa menit antara ketika objek ditetapkan ke aplikasi dan ketika penugasan tersebut dihormati dalam provisi sesuai permintaan. Anda mungkin perlu menunggu beberapa menit dan mencoba lagi.
Tanya jawab
Apakah Anda perlu menonaktifkan provisi untuk menggunakan provisi sesuai permintaan? Untuk aplikasi yang menggunakan token pembawa berumur panjang atau nama pengguna dan kata sandi untuk otorisasi, tidak diperlukan langkah-langkah lagi. Aplikasi yang menggunakan OAuth untuk otorisasi saat ini mengharuskan pekerjaan provisi dihentikan sebelum menggunakan provisi sesuai permintaan. Aplikasi seperti G Suite, Box, Workplace by Facebook, dan Slack termasuk dalam kategori ini. Pekerjaan sedang berlangsung untuk mendukung provisi sesuai permintaan untuk semua aplikasi tanpa harus menghentikan pekerjaan provisi.
Berapa lama waktu yang dibutuhkan provisi sesuai permintaan? Provisi sesuai permintaan biasanya memerlukan waktu kurang dari 30 detik.
Pembatasan yang diketahui
Saat ini ada beberapa batasan umum untuk provisi sesuai permintaan. Posting saran dan umpan balik Anda agar kami dapat menentukan dengan lebih baik perbaikan apa yang perlu dilakukan selanjutnya.
Catatan
Batasan berikut khusus untuk kemampuan provisi sesuai permintaan. Untuk informasi tentang apakah aplikasi mendukung provisi grup, penghapusan, atau kemampuan lainnya, periksa tutorial untuk aplikasi tersebut.
- Provisi grup sesuai permintaan mendukung pembaruan hingga lima anggota pada satu waktu. Koneksi or untuk sinkronisasi lintas penyewa, Workday, dll. tidak mendukung provisi grup dan akibatnya tidak mendukung provisi grup sesuai permintaan.
- API permintaan provisi sesuai permintaan hanya dapat menerima satu grup dengan hingga 5 anggota pada satu waktu.
- Provisi grup sesuai permintaan tidak didukung untuk sinkronisasi lintas penyewa.
- Provisi sesuai permintaan mendukung provisi satu pengguna pada satu waktu melalui pusat admin Microsoft Entra.
- Memulihkan pengguna yang dihapus sementara sebelumnya di penyewa target dengan provisi sesuai permintaan tidak didukung. Jika Anda mencoba menghapus sementara pengguna dengan provisi sesuai permintaan lalu memulihkan pengguna, itu dapat mengakibatkan pengguna duplikat.
- Penyediaan peran sesuai permintaan tidak didukung.
- Provisi sesuai permintaan mendukung penonaktifan pengguna yang dibatalkan penetapannya dari aplikasi. Namun, ini tidak mendukung penonaktifan atau penghapusan pengguna yang telah dinonaktifkan atau dihapus dari ID Microsoft Entra. Pengguna tersebut tidak muncul saat Anda mencari pengguna.
- Provisi sesuai permintaan tidak mendukung grup berlapis yang tidak secara langsung ditetapkan ke aplikasi.