Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Azure Active DirectoryAutomate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

Informazioni sul provisioning utenti automatizzato per app SaaSWhat is automated user provisioning for SaaS apps?

Azure Active Directory (Azure AD) consente di automatizzare la creazione, la manutenzione e la rimozione delle identità utente in applicazioni cloud (SaaS), ad esempio Dropbox, Salesforce, ServiceNow e così via.Azure Active Directory (Azure AD) allows you to automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and more.

Di seguito sono riportati alcuni esempi di operazioni che questa funzionalità consente di eseguire:Below are some examples of what this feature allows you to do:

  • Creare automaticamente nuovi account nei sistemi appropriati per i membri che si uniscono al team o all'organizzazione.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Disattivare automaticamente nuovi account nei sistemi appropriati per i membri che lasciano il team o l'organizzazione.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Assicurarsi che le identità nelle app e nei sistemi siano sempre aggiornate in base alle modifiche nella directory o nel sistema di risorse umane.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • Effettuare il provisioning di oggetti non utente, ad esempio di gruppi, in applicazioni che li supportano.Provision non-user objects, such as groups, to applications that support them.

Il provisioning utenti automatico include anche le funzionalità seguenti:Automated user provisioning also includes the following functionality:

  • Possibilità di ottenere una corrispondenza tra identità esistenti in sistemi di origine e di destinazione.The ability to match existing identities between source and target systems.
  • Opzioni di personalizzazione per adattare Azure AD alle configurazioni correnti delle app e dei sistemi attualmente usati dall'organizzazione.Customization options to help Azure AD fit the current configurations of the apps and systems that your organization is currently using.
  • Avvisi di posta elettronica facoltativi per errori di provisioning.Optional email alerts for provisioning errors.
  • Log di report e attività per facilitare il monitoraggio e la risoluzione dei problemi.Reporting and activity logs to help with monitoring and troubleshooting.

Perché usare il provisioning automatico?Why use automated provisioning?

Di seguito sono riportate alcune motivazioni comuni per l'uso di questa funzionalità:Some common motivations for using this feature include:

  • Per evitare i costi, le inefficienze e gli errori umani associati ai processi di provisioning manuale.To avoid the costs, inefficiencies, and human error associated with manual provisioning processes.
  • Per evitare i costi associati all'hosting e alla gestione di script e soluzioni di provisioning sviluppate in modo personalizzato.To avoid the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts
  • Per proteggere l'organizzazione, rimuovendo immediatamente dalle app SaaS principali le identità degli utenti che lasciano l'organizzazione.To secure your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Per importare facilmente in blocco un certo numero di utenti in un'applicazione o un sistema specifico.To easily import a bulk number of users into a particular SaaS application or system.
  • Per sfruttare la praticità dell'uso da parte della soluzione di provisioning degli stessi criteri di accesso alle app definiti per Single Sign-On di Azure AD.To enjoy the convenience of having your provisioning solution run off of the same app access policies that you defined for Azure AD Single Sign-On.

Come funziona il provisioning automatico?How does automatic provisioning work?

Il servizio di provisioning di Azure AD effettua il provisioning degli utenti nelle app SaaS e in altri sistemi connettendosi agli endpoint dell'API di gestione utenti specificati dai fornitori di ogni applicazione.The Azure AD Provisioning Service provisions users to SaaS apps and other systems, by connecting to user management API endpoints provided by each application vendor. Gli endpoint dell'API di gestione utenti consentono ad Azure AD di creare, aggiornare e rimuovere utenti a livello di codice.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. Per alcune applicazioni, il servizio di provisioning può anche creare, aggiornare e rimuovere oggetti aggiuntivi relative alle identità, ad esempio i gruppi e i ruoli.For selected applications the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

Provisioning Figura 1: Provisioning del servizio di Azure ADProvisioning Figure 1: The Azure AD Provisioning Service

Provisioning in uscita Figura 2: Flusso di lavoro di provisioning degli utenti "in uscita" da Azure AD verso applicazioni SaaS comuniOutbound Provisioning Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

Provisioning in ingresso Figura 3: Flusso di lavoro di provisioning degli utenti "in ingresso" da applicazioni di gestione delle risorse umane (HCM) comuni verso Azure Active Directory e Windows Server Active DirectoryInbound Provisioning Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

Quali applicazioni e sistemi è possibile usare con il provisioning utenti automatico di Azure AD?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD offre il supporto pre-integrato per un'ampia gamma di app SaaS e sistemi di risorse umane comuni, nonché il supporto generico per le app che implementano parti specifiche dello standard SCIM 2.0.Azure AD features pre-integrated support for a variety of popular SaaS apps and human resources systems, as well as generic support for apps that implement specific parts of the SCIM 2.0 standard.

Tutte le app "In primo piano" nella raccolta di applicazioni di Azure AD supportano il provisioning utenti automatizzato.All of the "Featured" apps in the Azure AD application gallery support automated user provisioning. L'elenco delle app in primo piano è disponibile qui.The list of featured apps can be viewed here.

Perché un'applicazione supporti il provisioning utenti automatico, deve prima di tutto includere gli endpoint di gestione utenti necessari che consentono ai programmi esterni di automatizzare la creazione, la manutenzione e la rimozione degli utenti.In order for an application to support automated user provisioning, it must first provide the necessary user management endpoints that allow for external programs to automate the creation, maintenance, and removal of users. Pertanto, non tutte le app SaaS sono compatibili con questa funzionalità.Therefore, not all SaaS apps are compatible with this feature. Per le app che supportano le API di gestione utenti, il team di progettazione di Azure AD potrà creare un connettore di provisioning e l'ordine di priorità di questa operazione è stabilito in base alle esigenze dei clienti attuali e potenziali.For apps that do support user management APIs, the Azure AD engineering team will then be able to build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

Per contattare il team di progettazione di Azure AD e richiedere supporto per il provisioning di applicazioni aggiuntive, inviare un messaggio tramite il forum dei commenti di Azure Active Directory.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

Come è possibile configurare il provisioning automatico in un'applicazione?How do I set up automatic provisioning to an application?

La configurazione del servizio di provisioning di Azure AD per un'applicazione selezionata viene avviata nel portale di Azure.Configuration of the Azure AD provisioning service for a selected application starts in the Azure portal. Nella sezione Azure Active Directory > Applicazioni aziendali selezionare Aggiungi, quindi scegliere Tutti e aggiungere quanto segue a seconda dello scenario:In the Azure Active Directory > Enterprise Applications section, select Add, then All, and then add either of the following depending on your scenario:

  • Tutte le applicazioni nella sezione Applicazioni in primo piano supportano il provisioning automaticoAll applications in the Featured applications section support automatic provisioning

  • Usare l'opzione "Applicazione non nella raccolta" per le integrazioni SCIM sviluppate in modo personalizzatoUse the “non-gallery application” option for custom-developed SCIM integrations

Gallery

Il provisioning è configurato nella scheda Provisioning della schermata di gestione delle applicazioni.In the application management screen, provisioning is configured in the Provisioning tab.

Impostazioni

  • È necessario specificare le credenziali amministratore al servizio di provisioning di Azure AD per permettergli di connettersi all'API di gestione utenti indicata dall'applicazione.Admin credentials must be provided to the Azure AD provisioning service that will allow it to connect to the user management API provided by the application.

  • È possibile configurare mapping degli attributi che consentono di specificare per quali campi del sistema di origine, ad esempio Azure AD, verrà eseguita la sincronizzazioni del contenuto con i campi corrispondenti del sistema di destinazione, ad esempio ServiceNow.Attribute mappings can be configured that specify which fields in the source system (example: Azure AD) will have their contents synchronized to which fields in the target system (example: ServiceNow). Se l'applicazione di destinazione supporta tale possibilità, questa sezione consente anche di configurare il provisioning dei gruppi, oltre che degli account utente.If the target application supports it, this section will allow you to optionally configure provisioning of groups in addition to user accounts. Le proprietà corrispondenti permettono di selezionare i campi usati per associare gli account tra i sistemi."Matching properties" allow you to select which fields are used to match accounts between the systems. Le espressioni permettono di modificare e trasformare i valori recuperati dal sistema di origine prima che vengano scritti nel sistema di destinazione."Expressions" allow you to modify and transform the values retrieved from the source system before they are written to the target system. Per altre informazioni, vedere Personalizzazione dei mapping degli attributi.For more information, see Customizing Attribute Mappings.

Impostazioni

  • I filtri di ambito indicano al servizio di provisioning gli utenti e il gruppo nel sistema di origine di cui effettuare il provisioning e/o il deprovisioning nel sistema di destinazione.Scoping filters tell the provisioning service which users and group in the source system should be provisioned and/or deprovisioned to the target system. I filtri di ambito presentano due aspetti che vengono valutati insieme e determinano l'inclusione nell'ambito del provisioning:There are two aspects to scoping filters that are evaluated together that determine who is in scope for provisioning:

  • Filtro in base ai valori di attributo: il menu "Ambito dell'oggetto di origine" nei mapping degli attributi consente di filtrare valori di attributo specifici.Filter on attribute values - The "Source Object Scope" menu in the attribute mappings allows filtering on specific attribute values. Ad esempio, è possibile specificare che solo gli utenti con un attributo "Department" di "Sales" devono essere inclusi nell'ambito del provisioning.For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning.

  • Filtro in base alle assegnazioni: il menu "Ambito" nella sezione Provisioning > Impostazioni del portale consente di specificare se nell'ambito del provisioning devono essere inclusi solo gli utenti e gruppi "assegnati" o se va effettuato il provisioning di tutti gli utenti nella directory di Azure AD.Filter on assignments - The "Scope" menu in the Provisioning > Settings section of the portal allows you to specify whether only "assigned" users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. Per informazioni sull'assegnazione di utenti e gruppi, vedere Assegnare un utente o un gruppo a un'app aziendale in Azure Active Directory.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

  • Le impostazioni permettono di controllare il funzionamento del servizio di provisioning per un'applicazione, incluso lo stato di esecuzione o meno.Settings control the operation of the provisioning service for an application, including whether it is currently running or not.

  • I log di controllo restituiscono i record di ogni operazione eseguita dal servizio di provisioning di Azure AD.Audit logs provide records of every operation performed by the Azure AD provisioning service. Per altre informazioni, vedere la guida alla creazione di report sul provisioning.For more details, see the provisioning reporting guide.

Impostazioni

Cosa accade durante il provisioning?What happens during provisioning?

  1. Quando si abilita per la prima volta il provisioning per un'applicazione, vengono eseguite le operazioni seguenti:When you enable provisioning for an application for the first time, the following actions are performed:
    • Azure AD tenterà di ottenere una corrispondenza tra gli utenti esistenti nell'app SaaS e le identità corrispondenti nella directory.Azure AD will attempt to match any existing users in the SaaS app with their corresponding identities in the directory. Quando c’è una corrispondenza per un utente è una corrispondenza, non è automaticamente abilitato per il servizio di single sign-on.When a user is matched, they are not automatically enabled for single sign-on. Affinché un utente possa accedere all'applicazione, deve essere esplicitamente assegnato all'applicazione in Azure AD, direttamente o tramite l'appartenenza al gruppo.In order for a user to have access to the application, they must be explicitly assigned to the app in Azure AD, either directly or via group membership.
    • Se si è già specificato quali utenti devono essere assegnati all'applicazione e Azure AD non riesce a trovare account esistenti per tali utenti, Azure AD eseguirà il provisioning di nuovi account nell'applicazione.If you have already specified which users should be assigned to the application, and if Azure AD fails to find existing accounts for those users, Azure AD will provision new accounts for them in the application.
  2. Dopo aver completato la sincronizzazione iniziale come descritto in precedenza, Azure AD verificherà ogni 20 minuti la presenza delle modifiche seguenti:Once the initial synchronization has been completed as described above, Azure AD will check every 20 minutes for the following changes:
    • Se sono stati assegnati nuovi utenti all'applicazione, direttamente o tramite l'appartenenza al gruppo, viene effettuato il provisioning di un nuovo account nell'app SaaS.If new users have been assigned to the application (either directly or through group membership), then they are provisioned with a new account in the SaaS app.
    • Se l'accesso di un utente è stato rimosso, il relativo account nell'app SaaS viene contrassegnato come disabilitato. Gli utenti infatti non vengono mai completamente rimossi, per evitare la perdita dei dati in caso di configurazione errata.If a user's access has been removed, then their account in the SaaS app is marked as disabled (users are never fully deleted, which protects you from data loss in the event of a misconfiguration).
    • Se un utente è stato recentemente assegnato all'applicazione e dispone già di un account nell'app SaaS, tale account viene contrassegnato come abilitato e alcune proprietà utente possono essere aggiornate se obsolete rispetto alla directory.If a user was recently assigned to the application and they already had an account in the SaaS app, that account is marked as enabled, and certain user properties may be updated if they are out-of-date compared to the directory.
    • Se sono state modificate nella directory le informazioni relative a un utente, ad esempio il numero di telefono o l'indirizzo dell'ufficio, tali informazioni vengono aggiornate anche nell'app SaaS.If a user's information (such as phone number, office location) has been changed in the directory, then that information will also be updated in the SaaS application.

Domande frequentiFrequently asked questions

Con quale frequenza Azure AD scrive modifiche della directory nell'app SaaS?How frequently does Azure AD write directory changes to the SaaS app?

Al termine della sincronizzazione iniziale completa, in genere il servizio di provisioning di Azure AD controlla la presenza di modifiche ogni 20 minuti.After an initial full sync has completed, the Azure AD provisioning service typically checks for changes every 20 minutes.

Se l'app SaaS restituisce diversi errori (ad esempio in caso di credenziali di amministratore non valide), Azure AD rallenterà gradualmente la frequenza fino a un massimo di una volta al giorno, finché non vengono corretti gli errori.If the SaaS app is returning several errors (such as in the case of invalid admin credentials), then Azure AD will gradually slow its frequency to up to once per day until the errors are fixed. In tal caso, il processo di provisioning di Azure AD passa a uno stato di quarantena, indicato nel report di riepilogo del provisioning.When this happens, the Azure AD provisioning job goes into a "quarantine" state, and indicates this in the provisioning summary report.

Quanto tempo sarà necessario eseguire il provisioning degli utenti?How long will it take to provision my users?

Al termine della sincronizzazione iniziale completa, in genere le modifiche incrementali vengono applicate entro 20-40 minuti.After an initial full sync has completed, incremental changes typically happen within 20-40 minutes. Se si prova a effettuare il provisioning di gran parte della directory, il tempo necessario dipende dal numero di utenti e gruppi presenti.If you are trying to provision most of your directory, then it depends on the number of users and groups you have. Le prestazioni dipendono dalle prestazioni dell'API di gestione utenti usata dal servizio di provisioning per leggere i dati dal sistema di origine e scriverli nel sistema di destinazione.Performance is dependent on the performance of the user management APIs that the provisioning services uses to read data from the source system and write the data to the target system.

Le prestazioni risultano ridotte anche se sono presenti troppi errori, registrati nei log di controllo, e il servizio di provisioning è in stato di quarantena.Performance is also slower if there are many errors (recorded in the audit logs) and the provisioning service has gone into a "quarantine" state.

Che cos'è una sincronizzazione iniziale completa e perché richiede più tempo delle sincronizzazioni successive?What is an initial full sync, and why does it take longer than subsequent syncs?

La prima volta che viene eseguito il servizio di provisioning di Azure AD per un'app specifica, viene eseguito uno snapshot degli utenti e, facoltativamente, dei gruppi nella directory di origine.The first time the Azure AD provisioning service is run for a given app, it takes a "snapshot" of the users (and optionally groups) in the source directory. Questo snapshot permette al servizio di provisioning di ridurre il numero di round trip alle API di origine e destinazione e consente una maggiore efficienza delle successive sincronizzazioni differenziali.This snapshot enables the provisioning service to reduce the number of round trips to the source and target APIs, and allows subsequent "delta" syncs to behave more efficiently.

La sincronizzazione iniziale completa degli utenti richiede spesso pochi minuti per le directory molto piccole, ma può richiedere diverse ore per le directory di dimensioni maggiori.The initial full sync of users can often be completed in minutes for very small directories, but may take several hours for larger directories. Per la sincronizzazione iniziale completa delle directory aziendali con centinaia di migliaia di utenti possono essere necessarie diverse ore.Enterprise directories with hundreds of thousands of users may take many hours for the initial sync to complete. Tuttavia, dopo la sincronizzazione iniziale, le successive sincronizzazioni differenziali vengono eseguite molto più rapidamente.However, after initial sync, subsequent "delta" syncs happen much more quickly.

Nota

Per le applicazioni che supportano il provisioning di gruppi e l'appartenenza a gruppi, abilitando questa opzione si aumenta notevolmente il tempo necessario per una sincronizzazione completa.For applications that support provisioning of groups and group memberships, enabling this greatly increases the time it takes for a full sync to complete. Se non si vuole effettuare il provisioning di appartenenze e nomi di gruppo nell'applicazione, è possibile disabilitare questa opzione nei mapping degli attributi della configurazione di provisioning.If you do not want to provision group names and group memberships to your application, you can disable this in the attribute mappings of your provisioning configuration.

Come è possibile monitorare lo stato del processo di provisioning corrente?How can I track the progress of the current provisioning job?

Vedere la guida alla creazione di report sul provisioning.See the provisioning reporting guide.

Come si può stabilire se il provisioning utenti non è stato eseguito correttamente?How will I know if users fail to get provisioned properly?

Tutti gli errori vengono registrati nei log di controllo di Azure AD.All failures are recorded in the Azure AD audit logs. Per altre informazioni, vedere la guida alla creazione di report sul provisioning.For more information, see the provisioning reporting guide.

È possibile inviare commenti e suggerimenti al team di progettazione?How can I submit feedback to the engineering team?

È possibile contattare Microsoft tramite il forum dei commenti di Azure Active Directory.Contact us through the Azure Active Directory feedback forum.