Log provisi di Azure Active Directory

Sebagai admin TI, Anda ingin tahu bagaimana performa lingkungan TI Anda. Informasi tentang kesehatan sistem memungkinkan Anda untuk menilai apakah dan bagaimana Anda perlu menanggapi potensi masalah.

Untuk mendukung Anda dengan tujuan ini, portal Azure Active Directory memberi Anda akses ke tiga log aktivitas:

• Rincian Masuk - Informasi tentang rincian masuk dan bagaimana sumber daya Anda digunakan oleh pengguna Anda.
• Audit – Informasi tentang perubahan yang diterapkan pada penyewa Anda seperti manajemen pengguna dan grup atau pembaruan yang diterapkan pada sumber daya penyewa Anda.
• Provisi – Aktivitas yang dilakukan oleh layanan provisi, seperti pembuatan grup di ServiceNow atau pengguna yang diimpor dari Workday.

Artikel ini memberi Anda gambaran umum tentang log provisi.

Apa yang dapat Anda lakukan dengannya?

Anda dapat menggunakan log provisi untuk menemukan jawaban atas pertanyaan seperti:

• Grup apa yang berhasil dibuat di ServiceNow?

• Pengguna apa yang berhasil dihapus dari Adobe?

• Pengguna dari Workday apa yang berhasil dibuat di Direktori Aktif?

Siapa yang bisa mengaksesnya?

Pengguna ini dapat mengakses data dalam log provisi:

• Pemilik aplikasi (log untuk aplikasi mereka sendiri)

• Pengguna dalam peran Administrator Keamanan, Pembaca Keamanan, Pembaca Laporan, Operator Keamanan, Administrator Aplikasi, dan Administrator Aplikasi Cloud

• Pengguna dalam peran kustom dengan izin provisioningLogs

• Administrator global

Lisensi Microsoft Azure AD apa yang Anda butuhkan?

Untuk melihat laporan aktivitas provisi, penyewa Anda harus memiliki lisensi Microsoft Azure AD Premium yang terkait dengannya. Untuk meningkatkan edisi Microsoft Azure AD Anda, lihat Memulai Azure Active Directory Premium.

Bagaimana Anda bisa mengaksesnya?

Untuk mengakses data log, Anda memiliki opsi berikut:

• Portal Microsoft Azure

• Streaming log provisi ke Azure Monitor. Metode ini memungkinkan retensi data yang diperluas dan membangun dasbor, pemberitahuan, dan kueri kustom.

• Mengkueri Microsoft Graph API untuk log provisi.

• Mengunduh log provisi sebagai file CSV atau JSON.

Di mana Anda dapat menemukannya di portal Microsoft Azure?

Portal Microsoft Azure memberi Anda beberapa opsi untuk mengakses log. Misalnya, pada menu Azure Active Directory, Anda dapat membuka log di bagian Pemantauan.

Selain itu, Anda dapat langsung masuk ke log rincian masuk menggunakan tautan ini: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

Anda dapat mengakses log provisi dengan memilih Log Provisi di bagian Pemantauan panel Azure Active Directory di portal Microsoft Azure. Diperlukan waktu hingga dua jam agar beberapa rekaman provisi muncul di portal.

Apa itu tampilan default?

Log provisi memiliki tampilan daftar default yang menunjukkan:

• Identitas
• Tindakan
• Sistem sumber
• Sistem target
• Status
• Tanggal

Anda dapat menyesuaikan tampilan daftar dengan memilih Kolom di toolbar.

Area ini memungkinkan Anda untuk menampilkan bidang tambahan atau menghapus bidang yang sudah ditampilkan.

Pilih item dalam tampilan daftar untuk mendapatkan informasi yang lebih detail.

Memfilter aktivitas provisi

Anda dapat memfilter data provisi Anda. Beberapa nilai filter diisi secara dinamis berdasarkan penyewa Anda. Jika, misalnya, Anda tidak memiliki peristiwa "buat" di penyewa Anda, tidak akan ada opsi filter Buat.

Dalam tampilan default, Anda bisa memilih filter berikut:

• Identitas
• Tanggal
• Status
• Aksi

Filter Identitas memungkinkan Anda menentukan nama atau identitas yang Anda pedulikan. Identitas ini mungkin pengguna, grup, peran, atau obyek lainnya.

Anda dapat mencari berdasarkan nama atau ID objek. ID bervariasi menurut skenario. Misalnya, saat Anda memprovisikan objek dari Microsoft Azure AD ke Salesforce, ID sumber adalah ID objek pengguna di Microsoft Azure AD. ID target adalah ID pengguna di Salesforce. Saat Anda memprovisikan dari Workday ke Direktori Aktif, ID sumber adalah ID karyawan pekerja Workday.

Catatan

Nama pengguna mungkin tidak selalu ada di kolom Identitas. Akan selalu ada satu ID.

Filter Tanggal memungkinkan Anda menentukan jangka waktu untuk data yang dikembalikan. Kemungkinan nilai adalah:

• 1 bulan
• 7 hari
• 30 hari
• 24 jam
• Interval waktu kustom

Saat Anda memilih jangka waktu kustom, Anda dapat mengonfigurasi tanggal mulai dan tanggal selesai.

Filter Status memungkinkan Anda untuk memilih:

• Semua
• Berhasil
• Kegagalan
• Dilompati

Filter Tindakan memungkinkan Anda memfilter tindakan ini:

• Buat
• Pembaruan
• Hapus
• Nonaktifkan
• Lainnya

Selain filter tampilan default, Anda bisa mengatur filter berikut.

• ID Pekerjaan: ID pekerjaan unik dikaitkan dengan setiap aplikasi yang telah Anda aktifkan provisinya.

• ID Siklus: ID siklus secara unik mengidentifikasi siklus provisi. Anda dapat membagikan ID ini dengan dukungan produk untuk mencari siklus di mana peristiwa ini terjadi.

• ID Perubahan: ID perubahan adalah pengidentifikasi unik untuk peristiwa provisi. Anda dapat membagikan ID ini dengan dukungan produk untuk mencari peristiwa provisi.

• Sistem Sumber: Anda dapat menentukan dari mana identitas mendapatkan provisi. Misalnya, saat Anda memprovisikan objek dari Microsoft Azure AD ke ServiceNow, sistem sumbernya adalah Microsoft Azure AD.

• Sistem Target: Anda dapat menentukan di mana identitas akan diprovisikan. Misalnya, saat Anda memprovisikan objek dari Microsoft Azure AD ke ServiceNow, sistem targetnya adalah ServiceNow.

• Aplikasi: Anda hanya dapat menampilkan rekaman aplikasi dengan nama tampilan yang berisi string tertentu.

Rincian provisi

Saat Anda memilih item dalam tampilan daftar provisi, Anda mendapatkan detail selengkapnya tentang item ini. Detailnya dikelompokkan ke dalam tab berikut.

• Langkah-langkah: Menguraikan langkah-langkah yang diambil untuk memprovisikan objek. Provisi objek dapat terdiri dari empat langkah:

  1. Mengimpor objek.
  2. Menentukan apakah objek berada dalam cakupan.
  3. Mencocokkan objek antara sumber dan target.
  4. Memprovisikan objek (membuat, memperbarui, menghapus, atau menonaktifkan).

  

• Pemecahan Masalah & Rekomendasi: Memberikan kode galat dan alasannya. Informasi kesalahan hanya didapatkan jika kegagalan terjadi.

• Properti yang Dimodifikasi: Menampilkan nilai lama dan nilai baru. Jika tidak ada nilai lama, kolom tersebut kosong.

• Ringkasan: Memberikan gambaran umum tentang apa yang terjadi dan pengidentifikasi untuk objek di sistem sumber dan target.

Mengunduh log sebagai CSV atau JSON

Anda dapat mengunduh log provisi untuk digunakan nanti dengan masuk ke log di portal Microsoft Azure dan memilih Unduh. File akan difilter berdasarkan kriteria filter yang Anda pilih. Buat filter sesering mungkin untuk mengurangi ukuran dan waktu pengunduhan.

Unduhan CSV mencakup tiga file:

• ProvisioningLogs: Mengunduh semua log, kecuali langkah-langkah provisi dan properti yang dimodifikasi.
• ProvisioningLogs_ProvisioningSteps: Berisi langkah-langkah provisi dan ID perubahan. Anda dapat menggunakan ID perubahan untuk bergabung dalam peristiwa dengan dua file lainnya.
• ProvisioningLogs_ModifiedProperties: Berisi atribut yang diubah dan ID perubahan. Anda dapat menggunakan ID perubahan untuk bergabung dalam peristiwa dengan dua file lainnya.

Membuka file JSON

Untuk membuka file JSON, gunakan editor teks seperti Microsoft Visual Studio Code. Visual Studio Code membuat file lebih mudah dibaca dengan menyediakan penyorotan sintaks. Anda juga dapat membuka file JSON dengan menggunakan browser dalam format yang tidak dapat diubah, seperti Microsoft Edge.

Mendandani file JSON

File JSON diunduh dalam format yang diperkecil untuk mengurangi ukuran unduhan. Format ini dapat membuat payload sulit dibaca. Lihat dua opsi untuk mendandani file:

• Gunakan Visual Studio Code untuk memformat JSON.

• Gunakan PowerShell untuk memformat JSON. Skrip ini akan menghasilkan JSON dalam format yang menyertakan tab dan spasi:

  $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

  $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Memilah file JSON

Berikut adalah beberapa sampel perintah untuk bekerja dengan file JSON dengan menggunakan PowerShell. Anda dapat menggunakan bahasa pemrograman apa pun yang Anda sukai.

Pertama, baca file JSON dengan menjalankan perintah ini:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Sekarang Anda dapat memilah data sesuai dengan skenario Anda. Berikut adalah beberapa contohnya:

• Output semua ID pekerjaan dalam file JSON:

  foreach ($provitem in $JSONContent) { $provitem.jobId }

• Output semua perubahan ID untuk kejadian di mana tindakan tersebut "buat":

  foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Apa yang harus Anda ketahui

Berikut adalah beberapa tips dan pertimbangan untuk memprovisikan laporan:

• Portal Microsoft Azure menyimpan data provisi selama 30 hari jika Anda memiliki edisi premium dan 7 hari jika Anda memiliki edisi gratis. Anda dapat menerbitkan log provisi ke Analitik Log untuk retensi lebih dari 30 hari.

• Anda dapat menggunakan atribut ID perubahan sebagai pengidentifikasi unik. Ini berguna saat Anda berinteraksi dengan dukungan produk, misalnya.

• Anda mungkin melihat peristiwa yang dilewati untuk pengguna yang tidak berada dalam cakupan. Ini dapat terjadi, terutama ketika cakupan sinkronisasi diatur ke semua pengguna dan grup. Layanan ini akan mengevaluasi semua objek dalam penyewa, bahkan yang berada di luar cakupan.

• Log provisi tidak menampilkan impor peran (berlaku untuk AWS, Salesforce, dan Zendesk). Anda dapat menemukan log untuk impor peran dalam log audit.

Kode galat

Gunakan tabel berikut untuk lebih memahami cara mengatasi kesalahan yang Anda temukan di log provisi. Untuk kode galat apa pun yang hilang, berikan tanggapan dengan menggunakan tautan di bagian bawah halaman ini.

Kode kesalahan	Deskripsi
Conflict, EntryConflict	Perbaiki nilai atribut yang berkonflik baik di Microsoft Azure AD atau aplikasi. Atau, tinjau konfigurasi atribut pencocokan Anda jika akun pengguna yang berkonflik seharusnya cocok dan diambil alih. Tinjau dokumentasi untuk informasi selengkapnya tentang mengonfigurasi atribut yang cocok.
TooManyRequests	Aplikasi target menolak upaya ini untuk memperbarui pengguna karena kelebihan beban dan menerima terlalu banyak permintaan. Tidak ada yang bisa dilakukan. Upaya ini akan secara otomatis dihentikan. Microsoft juga telah diberitahu tentang masalah ini.
InternalServerError	Aplikasi target mengembalikan kesalahan yang tidak terduga. Masalah layanan dengan aplikasi target mungkin mencegah ini berfungsi. Upaya ini secara otomatis akan diulangi dalam 40 menit.
InsufficientRights, MethodNotAllowed, NotPermitted, Unauthorized	Microsoft Azure AD diautentikasi dengan aplikasi target tetapi tidak berwenang untuk melakukan pembaruan. Tinjau setiap instruksi yang telah disediakan aplikasi target, bersama dengan tutorial aplikasi masing-masing.
UnprocessableEntity	Aplikasi target mengembalikan respons yang tidak terduga. Konfigurasi aplikasi target mungkin tidak benar, atau masalah layanan dengan aplikasi target mungkin mencegahnya berfungsi.
WebExceptionProtocolError	Terjadi kesalahan protokol HTTP saat menyambungkan ke aplikasi target. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis akan diulangi dalam 40 menit.
InvalidAnchor	Pengguna yang sebelumnya dibuat atau dicocokkan oleh layanan provisi tidak ada lagi. Pastikan bahwa pengguna ada. Untuk memaksa pencocokan baru semua pengguna, gunakan Microsoft Graph API untuk memulai ulang pekerjaan. Memulai ulang provisi akan memicu siklus awal, yang mungkin membutuhkan waktu untuk diselesaikan. Memulai ulang provisi juga menghapus cache yang digunakan layanan provisi untuk beroperasi. Itu berarti semua pengguna dan grup dalam penyewa harus dievaluasi lagi, dan peristiwa provisi tertentu mungkin dihilangkan.
NotImplemented	Aplikasi target mengembalikan respons yang tidak terduga. Konfigurasi aplikasi mungkin tidak benar, atau masalah layanan dengan aplikasi target mungkin mencegahnya berfungsi. Tinjau setiap instruksi yang telah disediakan aplikasi target, bersama dengan tutorial aplikasi masing-masing.
MandatoryFieldsMissing, MissingValues	Pengguna tidak bisa dibuat karena nilai yang diperlukan tidak ada. Perbaiki nilai atribut yang hilang dalam rekaman sumber, atau tinjau konfigurasi atribut yang cocok untuk memastikan bahwa bidang yang diperlukan tidak dihilangkan. Pelajari selengkapnya tentang mengonfigurasi atribut yang cocok.
SchemaAttributeNotFound	Operasi tidak dapat dilakukan karena atribut yang ditentukan tidak ada dalam aplikasi target. Lihat dokumentasi tentang penyesuaian atribut dan pastikan bahwa konfigurasi Anda sudah benar.
InternalError	Terjadi kesalahan layanan internal dalam layanan provisi Microsoft Azure AD. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis akan diulangi dalam 40 menit.
InvalidDomain	Operasi tidak dapat dilakukan karena nilai atribut berisi nama domain yang tidak valid. Perbarui nama domain pada pengguna atau tambahkan ke daftar yang diizinkan di aplikasi target.
Batas waktu	Operasi tidak dapat diselesaikan karena aplikasi target membutuhkan waktu terlalu lama untuk merespons. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis akan diulangi dalam 40 menit.
LicenseLimitExceeded	Pengguna tidak dapat dibuat di aplikasi target karena tidak ada lisensi yang tersedia untuk pengguna ini. Dapatkan lebih banyak lisensi untuk aplikasi target. Atau, tinjau penugasan pengguna dan konfigurasi pemetaan atribut Anda untuk memastikan bahwa pengguna yang benar ditetapkan dengan atribut yang benar.
DuplicateTargetEntries	Operasi tidak dapat diselesaikan karena lebih dari satu pengguna dalam aplikasi target ditemukan dengan atribut pencocokan yang dikonfigurasi. Hapus pengguna duplikat dari aplikasi target, atau konfigurasi ulang pemetaan atribut Anda.
DuplicateSourceEntries	Operasi tidak dapat diselesaikan karena lebih dari satu pengguna ditemukan dengan atribut pencocokan yang dikonfigurasi. Hapus pengguna duplikat, atau konfigurasi ulang pemetaan atribut Anda.
ImportSkipped	Ketika setiap pengguna dievaluasi, sistem mencoba mengimpor pengguna dari sistem sumber. Kesalahan ini biasanya terjadi ketika pengguna yang sedang diimpor tidak memiliki properti yang cocok yang ditentukan dalam pemetaan atribut Anda. Tanpa nilai yang ada pada objek pengguna untuk atribut pencocokan, sistem tidak dapat mengevaluasi perubahan cakupan, pencocokan, atau ekspor. Perhatikan bahwa adanya kesalahan ini tidak menunjukkan bahwa pengguna berada dalam cakupan, karena Anda belum mengevaluasi cakupan pengguna.
EntrySynchronizationSkipped	Layanan provisi telah berhasil mengkueri sistem sumber dan mengidentifikasi pengguna. Tidak ada tindakan lebih lanjut yang diambil terhadap pengguna dan mereka dilewati. Pengguna mungkin telah keluar dari cakupan, atau pengguna mungkin sudah ada di sistem target tanpa perlu perubahan lebih lanjut.
SystemForCrossDomainIdentityManagementMultipleEntriesInResponse	Permintaan GET untuk mengambil pengguna atau grup yang menerima banyak pengguna atau grup sebagai respons. Sistem hanya mengharapkan untuk menerima satu pengguna atau grup dalam respons. Misalnya, jika Anda melakukan permintaan GET untuk mengambil grup dan menyediakan filter untuk mengecualikan anggota, dan titik akhir System for Cross-Domain Identity Management (SCIM) mengembalikan anggota, Anda akan mendapatkan kesalahan ini.
SystemForCrossDomainIdentityManagementServiceIncompatible	Layanan penyediaan Azure Active Directory tidak dapat menguraikan respons dari aplikasi pihak ketiga. Harap bekerja sama dengan pengembang aplikasi untuk memastikan bahwa server SCIM kompatibel dengan klien Azure Active Directory SCIM.
SchemaPropertyCanOnlyAcceptValue	Properti di sistem target hanya dapat menerima satu nilai, tetapi properti di sistem sumber memiliki beberapa. Harap pastikan bahwa Anda memetakan atribut bernilai tunggal ke properti yang menimbulkan kesalahan, memperbarui nilai di sumber menjadi bernilai tunggal, atau menghapus atribut dari pemetaan.

Langkah berikutnya

• Memeriksa status provisi pengguna
• Masalah saat mengonfigurasi provisi pengguna pada aplikasi Galeri Microsoft Azure AD
• Graph API untuk log provisi