Esercitazione: Personalizzare i mapping degli attributi di provisioning degli utenti per le applicazioni SaaS in Microsoft Entra ID

  • Articolo

Microsoft Entra ID fornisce supporto per il provisioning degli utenti in applicazioni SaaS non Microsoft, ad esempio Salesforce, G Suite e altri. Se si abilita il provisioning utenti per un'applicazione SaaS non Microsoft, l'interfaccia di amministrazione di Microsoft Entra controlla i valori degli attributi tramite mapping di attributi.

Prima di iniziare, assicurarsi di avere familiarità con la gestione delle app e i concetti relativi all'accesso Single Sign-On (SSO). Fai riferimento ai seguenti collegamenti:

È disponibile un set preconfigurato di attributi e mapping di attributi tra gli oggetti utente di Microsoft Entra e gli oggetti utente di ogni app SaaS. Alcune app gestiscono altri tipi di oggetti insieme a utenti e gruppi.

È possibile personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali. Quindi è possibile modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi.

Nota

Oltre a configurare i mapping degli attributi tramite l'interfaccia Microsoft Entra, è possibile esaminare, scaricare e modificare la rappresentazione JSON dello schema.

Modifica dei mapping degli attributi utente

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Attenersi alla procedura seguente per accedere alla funzionalità Mapping del provisioning utenti:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali.

  3. Verrà visualizzato un elenco di tutte le app configurate, incluse le app aggiunte dalla raccolta.

  4. Selezionare un'app per caricare il relativo riquadro di gestione, in cui è possibile visualizzare i report e gestire le impostazioni dell'app.

  5. Selezionare Provisioning per gestire le impostazioni di provisioning degli account utente per l'app selezionata.

  6. Espandere Mapping per visualizzare e modificare gli attributi utente trasmessi tra Microsoft Entra ID e l'applicazione di destinazione. Se l'applicazione di destinazione supporta tale possibilità, questa sezione consente anche di configurare il provisioning dei gruppi e degli account utente.

    Usare i mapping per visualizzare e modificare gli attributi utente

  7. Selezionare una configurazione Mapping per aprire la schermata Mapping attributi corrispondente. Le applicazioni SaaS richiedono determinati mapping di attributi per funzionare correttamente. Per gli attributi obbligatori la funzionalità Elimina non è disponibile.

    Usare Mapping attributi per configurare i mapping degli attributi per le app

    In questo screenshot è possibile notare che l'attributo Username di un oggetto gestito in Salesforce viene popolato con il valore userPrincipalName dell'oggetto Microsoft Entra collegato.

    Nota

    La cancellazione di Crea non influisce sugli utenti esistenti. Se l'opzione Crea non è selezionata, non è possibile creare nuovi utenti.

  8. Selezionare un mapping degli attributi esistente per aprire la schermata Modifica attributo, Qui è possibile modificare gli attributi utente che passano tra Microsoft Entra ID e l'applicazione di destinazione.

    Usare Modifica attributo per modificare gli attributi utente

Informazioni sui tipi di mapping degli attributi

Con i mapping degli attributi, è possibile controllare il modo in cui gli attributi vengono popolati in un'applicazione SaaS non Microsoft. Sono supportati quattro diversi tipi di mapping:

  • Direct : l'attributo di destinazione viene popolato con il valore di un attributo dell'oggetto collegato in Microsoft Entra ID.
  • Costante: l'attributo di destinazione viene popolato con una stringa specificata.
  • Espressione: l'attributo di destinazione viene popolato in base al risultato di un'espressione simile a uno script. Per altre informazioni sulle espressioni, vedere Scrittura di espressioni per mapping di attributi in Microsoft Entra ID.
  • Nessuno: l'attributo di destinazione viene lasciato invariato. Tuttavia, se l'attributo di destinazione è sempre vuoto, popola con il valore predefinito specificato.

Oltre a questi quattro tipi base, i mapping degli attributi personalizzati supportano il concetto di assegnazione di un valore predefinito facoltativo. L'assegnazione del valore predefinito garantisce che un attributo di destinazione venga popolato con un valore se non è presente un valore in Microsoft Entra ID o nell'oggetto di destinazione. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto. Per altre informazioni sugli attributi di mapping, vedere Funzionamento del provisioning delle applicazioni in Microsoft Entra ID.

Informazioni sulle proprietà di mapping degli attributi

Nella sezione precedente è stata introdotta la proprietà del tipo di mapping degli attributi. Oltre a questa proprietà, i mapping degli attributi supportano anche gli attributi:

  • Attributo di origine: attributo utente dal sistema di origine (ad esempio: MICROSOFT Entra ID).
  • Attributo di destinazione: attributo utente nel sistema di destinazione, ad esempio ServiceNow.
  • Valore predefinito se null (facoltativo): valore passato al sistema di destinazione se l'attributo di origine è Null. Questo valore viene effettuato solo quando viene creato un utente. Il provisioning del "valore predefinito quando null" non viene eseguito durante l'aggiornamento di un utente esistente. Ad esempio, aggiungere un valore predefinito per il titolo del processo, quando si crea un utente, con l'espressione : Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]). Per altre informazioni sulle espressioni, vedere Informazioni di riferimento per la scrittura di espressioni per i mapping degli attributi in Microsoft Entra ID.
  • Abbina gli oggetti in base a questo attributo: specifica se questo mapping va usato per l'identificazione univoca degli utenti tra il sistema di origine e il sistema di destinazione. Usato in userPrincipalName o attributo di posta elettronica in Microsoft Entra ID e mappato a un campo nome utente in un'applicazione di destinazione.
  • Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina. Anche se è possibile impostare il numero di attributi corrispondenti desiderati, valutare se gli attributi usati come attributi corrispondenti sono veramente univoci e devono essere attributi corrispondenti. In genere i clienti hanno uno o due attributi corrispondenti nella configurazione.
  • Applicare il mapping.
    • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente.
    • Solo durante la creazione: applica il mapping solo alle azioni di creazione dell'utente.

Corrispondenza degli utenti nei sistemi di origine e di destinazione

Il servizio di provisioning Microsoft Entra può essere distribuito in entrambi gli scenari "campo verde" (in cui gli utenti non esistono nel sistema di destinazione) e in scenari "brownfield" (dove gli utenti esistono già nel sistema di destinazione). Per supportare entrambi gli scenari, il servizio di provisioning usa il concetto di attributi corrispondenti. Gli attributi corrispondenti consentono di determinare come identificare in modo univoco un utente nell'origine e associare l'utente nella destinazione. Nell'ambito della pianificazione della distribuzione, identificare l'attributo che può essere usato per identificare in modo univoco un utente nei sistemi di origine e di destinazione. Informazioni da considerare:

  • Gli attributi corrispondenti devono essere univoci: i clienti usano spesso attributi come userPrincipalName, mail o ID oggetto come attributo corrispondente.
  • È possibile usare più attributi come attributi corrispondenti: è possibile definire più attributi da valutare quando gli utenti corrispondono e l'ordine in cui vengono valutati (definiti come precedenza di corrispondenza nell'interfaccia utente). Se ad esempio si definiscono tre attributi come attributi corrispondenti e un utente viene confrontato in modo univoco dopo aver valutato i primi due attributi, il servizio non valuterà il terzo attributo. Il servizio valuta gli attributi corrispondenti nell'ordine specificato e interrompe la valutazione quando viene trovata una corrispondenza.
  • Il valore nell'origine e la destinazione non devono corrispondere esattamente: il valore nella destinazione può essere una funzione del valore nell'origine. Quindi, si può avere un attributo emailAddress nell'origine e userPrincipalName nella destinazione e una corrispondenza in base a una funzione dell'attributo emailAddress che sostituisce alcuni caratteri con un valore costante.
  • La corrispondenza basata su una combinazione di attributi non è supportata: la maggior parte delle applicazioni non supporta l'esecuzione di query in base a due proprietà. Pertanto, non è possibile trovare la corrispondenza in base a una combinazione di attributi. È possibile valutare singole proprietà dopo un'altra.
  • Tutti gli utenti devono avere un valore per almeno un attributo corrispondente: se si definisce un attributo corrispondente, tutti gli utenti devono avere un valore per tale attributo nel sistema di origine. Se ad esempio si definisce userPrincipalName come attributo corrispondente, tutti gli utenti devono avere userPrincipalName. Se si definiscono più attributi corrispondenti, ad esempio extensionAttribute1 e mail, non tutti gli utenti devono avere lo stesso attributo corrispondente. Un utente può avere extensionAttribute1 ma non mail e un altro utente può avere mail ma non extensionAttribute1.
  • L'applicazione di destinazione deve supportare il filtro per l'attributo corrispondente: gli sviluppatori di applicazioni consentono di filtrare per un subset di attributi nell'API utente o gruppo. Per le applicazioni nella raccolta, si garantisce che il mapping predefinito degli attributi sia per un attributo di cui l'API dell'applicazione di destinazione supporta il filtraggio. Quando si modifica l'attributo corrispondente predefinito per l'applicazione di destinazione, controllare la documentazione dell'API non Microsoft per assicurarsi che l'attributo possa essere filtrato.

Modifica dei mapping degli attributi gruppo

Un numero selezionato di applicazioni, ad esempio ServiceNow, Box e G Suite, supporta la possibilità di effettuare il provisioning di oggetti gruppo e utente. Oltre ai membri del gruppo, gli oggetti gruppo possono contenere proprietà di gruppo come i nomi visualizzati e gli alias di posta elettronica.

L'esempio illustra ServiceNow con oggetti gruppo e utente di cui è stato effettuato il provisioning

Il provisioning dei gruppi può essere facoltativamente abilitato o disabilitato selezionando il mapping dei gruppi in Mapping e impostando Abilitato su un'opzione nella schermata Mapping attributi.

Gli attributi di cui viene effettuato il provisioning come parte di oggetti gruppo possono essere personalizzati allo stesso modo degli oggetti utente, descritto in precedenza.

Suggerimento

Il provisioning di oggetti gruppo (proprietà e membri) è un concetto distinto dall'assegnazione di gruppi a un'applicazione. È possibile assegnare un gruppo a un'applicazione, ma effettuare il provisioning solo degli oggetti utente contenuti nel gruppo. Il provisioning di oggetti gruppo completi non è necessario per usare i gruppi nelle assegnazioni.

Modifica dell'elenco degli attributi supportati

Gli attributi utente supportati per una determinata applicazione sono preconfigurati. La maggior parte delle API di gestione utente dell'applicazione non supporta l'individuazione dello schema. Pertanto, il servizio di provisioning Di Microsoft Entra non è in grado di generare dinamicamente l'elenco degli attributi supportati effettuando chiamate all'applicazione.

Tuttavia, alcune applicazioni supportano attributi personalizzati e il servizio di provisioning Microsoft Entra può leggere e scrivere in attributi personalizzati. Per immettere le relative definizioni nell'interfaccia di amministrazione di Microsoft Entra, selezionare la casella di controllo Mostra opzioni avanzate nella parte inferiore della schermata Mapping attributi e quindi selezionare Modifica elenco attributi per l'app.

Alcuni sistemi e applicazioni che supportano la personalizzazione dell'elenco di attributi:

Nota

La modifica dell'elenco degli attributi supportati è consigliata solo per gli amministratori che hanno personalizzato lo schema delle applicazioni e dei sistemi e hanno familiarità con le modalità di definizione degli attributi personalizzati o se un attributo di origine non viene visualizzato automaticamente nell'interfaccia di amministrazione di Microsoft Entra. Questa operazione richiede a volte familiarità con le API e gli strumenti per sviluppatori forniti da un'applicazione o un sistema. Per impostazione predefinita, la possibilità di modificare l'elenco degli attributi supportati è bloccata, ma i clienti possono abilitare la funzionalità passando all'URL seguente: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true. È quindi possibile passare all'applicazione per visualizzare l'elenco di attributi.

Nota

Quando un attributo di estensione della directory in Microsoft Entra ID non viene visualizzato automaticamente nell'elenco a discesa del mapping degli attributi, è possibile aggiungerlo manualmente all'elenco degli attributi "Microsoft Entra". Quando si aggiungono manualmente attributi di estensione della directory Microsoft Entra all'app di provisioning, si noti che i nomi degli attributi dell'estensione della directory fanno distinzione tra maiuscole e minuscole. Ad esempio: se si dispone di un attributo di estensione della directory denominato extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenter, assicurarsi di immetterlo nello stesso formato definito nella directory. Il provisioning di attributi di estensione di directory multivalore non è supportato.

Quando si modifica l'elenco degli attributi supportati, vengono fornite le proprietà seguenti:

  • Nome: nome di sistema dell'attributo, definito nello schema dell'oggetto di destinazione.
  • Tipo : tipo di dati archiviati dall'attributo, come definito nello schema dell'oggetto di destinazione, che può essere uno dei tipi seguenti.
    • Binario: l'attributo contiene dati binari.
    • Booleano: l'attributo contiene un valore True o False.
    • DateTime: l'attributo contiene una stringa di data.
    • Integer: l'attributo contiene un numero intero.
    • Riferimento: l'attributo contiene un ID che fa riferimento a un valore archiviato in un'altra tabella nell'applicazione di destinazione.
    • String: l'attributo contiene una stringa di testo.
  • Chiave primaria?: specifica se l'attributo è definito come campo di chiave primaria nello schema dell'oggetto di destinazione.
  • Obbligatorio? specifica se l'attributo deve essere immesso nell'applicazione o nel sistema di destinazione.
  • Multivalore?: specifica se l'attributo supporta più valori.
  • Maiuscole/minuscole esatte?: specifica se i valori degli attributi vengono valutati facendo distinzione tra maiuscole e minuscole.
  • Espressione API: non usare questa opzione a meno che non sia specificato nella documentazione per un determinato connettore di provisioning, ad esempio Workday.
  • Attributo oggetto di riferimento: se l'attributo è di tipo Riferimento, in questo menu è possibile selezionare la tabella e l'attributo nell'applicazione di destinazione che contiene il valore associato all'attributo. Ad esempio, se si dispone di un attributo denominato "Department" il cui valore archiviato fa riferimento a un oggetto in una tabella separata "Reparti", selezionare Departments.Name. Le tabelle di riferimento e i campi ID primari supportati per una determinata applicazione sono preconfigurati e non possono essere modificati tramite l'interfaccia di amministrazione di Microsoft Entra. Tuttavia, è possibile modificarli usando l'API Microsoft Graph.

Provisioning di un attributo di estensione personalizzato in un'applicazione conforme a SCIM

La richiesta SCIM per i commenti (RFC) definisce uno schema di utenti e gruppi di base, consentendo allo stesso tempo estensioni allo schema di soddisfare le esigenze dell'applicazione. Per aggiungere un attributo personalizzato a un'applicazione SCIM:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali.
  3. Selezionare l'applicazione e quindi selezionare Provisioning.
  4. In Mapping selezionare l'oggetto (utente o gruppo) per il quale si vuole aggiungere un attributo personalizzato.
  5. Nella parte inferiore della pagina selezionare Mostra opzioni avanzate.
  6. Selezionare Modifica elenco attributi per AppName.
  7. Nella parte inferiore dell'elenco di attributi immettere le informazioni sull'attributo personalizzato nei campi disponibili. Quindi selezionare Aggiungi attributo.

Per le applicazioni SCIM, il nome dell'attributo deve seguire il modello illustrato nell'esempio. È possibile personalizzare "CustomExtensionName" e "CustomAttribute" in base ai requisiti dell'applicazione, ad esempio urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute

Queste istruzioni sono valide solo per le applicazioni abilitate per SCIM. Le applicazioni come ServiceNow e Salesforce non sono integrate con Microsoft Entra ID usando SCIM e pertanto non richiedono questo spazio dei nomi specifico quando si aggiunge un attributo personalizzato.

Gli attributi personalizzati non possono essere attributi referenziale, attributi multivalore o tipizzato complesso. Gli attributi personalizzati di estensioni multivalore e di tipi complessi sono attualmente supportati solo per le applicazioni della raccolta. L'intestazione dello schema dell'estensione personalizzata viene omessa nell'esempio perché non viene inviata nelle richieste dal client SCIM Di Microsoft Entra.

Rappresentazione di esempio di un utente con un attributo di estensione:

{
  "schemas":[
    "urn:ietf:params:scim:schemas:core:2.0:User",
      "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
  ],
  "userName":"bjensen",
  "id": "48af03ac28ad4fb88478",
  "externalId":"bjensen",
  "name":{
    "formatted":"Ms. Barbara J Jensen III",
    "familyName":"Jensen",
    "givenName":"Barbara"
  },
  "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
    "employeeNumber": "701984",
    "costCenter": "4130",
    "organization": "Universal Studios",
    "division": "Theme Park",
    "department": "Tour Operations",
    "manager": {
      "value": "26118915-6090-4610-87e4-49d8ca9f808d",
      "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
      "displayName": "John Smith"
    }
  },
  "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
    "CustomAttribute": "701984",
  },
  "meta": {
    "resourceType": "User",
    "created": "2010-01-23T04:56:22Z",
    "lastModified": "2011-05-13T04:42:34Z",
    "version": "W\/\"3694e05e9dff591\"",
    "location": "https://example.com/v2/Users/2819c223-7f76-453a-919d-413861904646"
  }
}

Provisioning di un ruolo in un'app SCIM

Usare la procedura descritta nell'esempio per effettuare il provisioning dei ruoli dell'applicazione per un utente nell'applicazione. La descrizione è specifica per le applicazioni SCIM personalizzate. Per le applicazioni della raccolta, ad esempio Salesforce e ServiceNow, usare i mapping dei ruoli predefiniti. I punti elenco descrivono come trasformare l'attributo AppRoleAssignments nel formato previsto dall'applicazione.

  • Per eseguire il mapping di appRoleAssignment in Microsoft Entra ID a un ruolo nell'applicazione, è necessario trasformare l'attributo usando un'espressione. L'attributo appRoleAssignment non deve essere mappato direttamente a un attributo del ruolo senza usare un'espressione per analizzare i dettagli del ruolo.

Nota

Durante il provisioning dei ruoli dalle applicazioni aziendali, lo standard SCIM definisce gli attributi del ruolo utente aziendale in modo diverso. Per altre informazioni, vedere Sviluppare e pianificare il provisioning per un endpoint SCIM in Microsoft Entra ID.

SingleAppRoleAssignment

Quando usare: usare l'espressione SingleAppRoleAssignment per effettuare il provisioning di un singolo ruolo per un utente e per specificare il ruolo primario.

Procedura: usare i passaggi descritti per passare alla pagina dei mapping degli attributi e usare l'espressione SingleAppRoleAssignment per eseguire il mapping all'attributo roles. Esistono tre attributi del ruolo tra cui scegliere (roles[primary eq "True"].display, roles[primary eq "True"].typee roles[primary eq "True"].value). È possibile scegliere di includere uno o tutti gli attributi Role nei mapping. Se si vuole includere più di un attributo, è sufficiente aggiungere un nuovo mapping e includerlo come attributo di destinazione.

Aggiungere SingleAppRoleAssignment

Alcune cose da considerare

  • Assicurarsi che più ruoli non siano assegnati a un utente. Non esiste alcuna garanzia di quale ruolo viene effettuato il provisioning.
  • Controllare l'attributo SingleAppRoleAssignments . L'attributo non è compatibile con l'impostazione dell'ambito su Sync All users and groups.

Richiesta di esempio (POST)

{
    "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
      ],
    "externalId": "alias",
    "userName": "alias@contoso.OnMicrosoft.com",
    "active": true,
    "displayName": "First Name Last Name",
    "meta": {
        "resourceType": "User"
    },
    "roles": [{
        "primary": true,
        "type": "WindowsAzureActiveDirectoryRole",
        "value": "Admin"
        }
]}

Output di esempio (PATCH)

"Operations": [
{
    "op": "Add",
    "path": "roles",
    "value": [{
        "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
        }
    ]
}]

I formati di richiesta in PATCH e POST differiscono. Per assicurarsi che le richieste POST e PATCH vengano inviate nello stesso formato, è possibile usare il flag di funzionalità descritto qui.

AppRoleAssignmentsComplex

Quando usare: usare l'espressione AppRoleAssignmentsComplex per effettuare il provisioning di più ruoli per un utente. Procedura: Modificare l'elenco degli attributi supportati come descritto per includere un nuovo attributo per i ruoli:

Aggiungere ruoli

Usare quindi l'espressione AppRoleAssignmentsComplex per eseguire il mapping all'attributo del ruolo personalizzato, come illustrato nell'immagine:

Aggiungere AppRoleAssignmentsComplex

Alcune cose da considerare

  • Viene eseguito il provisioning di tutti i ruoli come primary = false.
  • L'attributo id non è obbligatorio nei ruoli SCIM. Usare piuttosto l'attributo value . Ad esempio, se l'attributo value contiene il nome o l'identificatore per il ruolo, usarlo per effettuare il provisioning del ruolo. È possibile usare il flag di funzionalità qui per risolvere il problema dell'attributo ID. Tuttavia, basarsi esclusivamente sull'attributo value non è sempre sufficiente; ad esempio, se sono presenti più ruoli con lo stesso nome o identificatore. In alcuni casi, è necessario usare l'attributo ID per effettuare correttamente il provisioning del ruolo

Limitazioni

  • AppRoleAssignmentsComplex non è compatibile con l'impostazione dell'ambito su "Sincronizza tutti gli utenti e i gruppi".

Richiesta di esempio (POST)

{
    "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "alias",
  "userName": "alias@contoso.OnMicrosoft.com",
  "active": true,
  "displayName": "First Name Last Name",
  "meta": {
        "resourceType": "User"
  },
  "roles": [
      {
            "primary": false,
            "type": "WindowsAzureActiveDirectoryRole",
            "displayName": "Admin",
            "value": "Admin"
      },
      {
            "primary": false,
            "type": "WindowsAzureActiveDirectoryRole",
            "displayName": "User",
          "value": "User"
      }
  ]
}

Output di esempio (PATCH)

"Operations": [
  {
    "op": "Add",
    "path": "roles",
    "value": [
      {
        "value": "{"id":"06b07648-ecfe-589f-9d2f-6325724a46ee","value":"Admin","displayName":"Admin"}
      },
{
        "value": "{"id":"06b07648-ecfe-599f-9d2f-6325724a46ee","value":"User","displayName":"User"}
      }
    ]
  }
]

AssertiveAppRoleAssignmentsComplex (consigliato per ruoli complessi)

Quando usare: usare AssertiveAppRoleAssignmentsComplex per abilitare la funzionalità PATCH Replace. Per le applicazioni SCIM che supportano più ruoli, ciò garantisce che anche i ruoli rimossi nell'ID Microsoft Entra vengano rimossi nell'applicazione di destinazione. La funzionalità di sostituzione rimuoverà anche eventuali ruoli aggiuntivi che l'utente ha che non sono riflessi in Entra ID

La differenza tra AppRoleAssignmentsComplex e AssertiveAppRoleAssignmentsComplex è la modalità della chiamata patch e l'effetto sul systen di destinazione. Il primo esegue l'aggiunta solo di PATCH e pertanto non rimuove alcun ruolo esistente nella destinazione. Quest'ultimo sostituisce PATCH che rimuove i ruoli nel sistema di destinazione se non sono stati assegnati all'utente in Entra ID.

Procedura: Modificare l'elenco degli attributi supportati come descritto per includere un nuovo attributo per i ruoli:

Aggiungere ruoli

Usare quindi l'espressione AssertiveAppRoleAssignmentsComplex per eseguire il mapping all'attributo del ruolo personalizzato, come illustrato nell'immagine:

Aggiungere AssertiveAppRoleAssignmentsComplex

Alcune cose da considerare

  • Viene eseguito il provisioning di tutti i ruoli come primary = false.
  • L'attributo id non è obbligatorio nei ruoli SCIM. Usare piuttosto l'attributo value . Ad esempio, se l'attributo value contiene il nome o l'identificatore per il ruolo, usarlo per effettuare il provisioning del ruolo. È possibile usare il flag di funzionalità qui per risolvere il problema dell'attributo ID. Tuttavia, basarsi esclusivamente sull'attributo value non è sempre sufficiente; ad esempio, se sono presenti più ruoli con lo stesso nome o identificatore. In alcuni casi, è necessario usare l'attributo ID per effettuare correttamente il provisioning del ruolo

Limitazioni

  • AssertiveAppRoleAssignmentsComplex non è compatibile con l'impostazione dell'ambito su "Sincronizza tutti gli utenti e i gruppi".

Richiesta di esempio (POST)

{"schemas":["urn:ietf:params:scim:schemas:core:2.0:User"], 

"externalId":"contoso", 

"userName":"contoso@alias.onmicrosoft.com", 

"active":true, 

"roles":[{ 

  "primary":false, 

  "type":"WindowsAzureActiveDirectoryRole", 

  "display":"User", 

  "value":"User"}, 

  {"primary":false, 

  "type":"WindowsAzureActiveDirectoryRole", 

  "display":"Test", 

  "value":"Test"}], 

}

Output di esempio (PATCH)

{"schemas":["urn:ietf:params:scim:api:messages:2.0:PatchOp"], 

"Operations":[{ 

    "op":"replace", 

    "path":"roles", 

    "value":[{ 

        "primary":false, 

        "type":"WindowsAzureActiveDirectoryRole", 

        "display":"User", 

        "value":"User"}, 

        {"primary":false, 

        "type":"WindowsAzureActiveDirectoryRole", 

        "display":"Test", 

        "value":"Test"} 

        ] 

        } 

        ] 

    }

Provisioning di un attributo multivalore

Alcuni attributi, ad esempio phoneNumbers e email, sono attributi multivalore in cui è necessario specificare tipi diversi di numeri di telefono o messaggi di posta elettronica. Usare l'espressione per gli attributi multivalore. Consente di specificare il tipo di attributo e di eseguirne il mapping all'attributo utente Microsoft Entra corrispondente per il valore.

  • phoneNumbers[type eq "work"].value

  • phoneNumbers[type eq "mobile"].Valore

  • phoneNumbers[type eq "fax"].value

    "phoneNumbers": [
   {
      "value": "555-555-5555",
      "type": "work"
   },
   {
      "value": "555-555-5555",
      "type": "mobile"
   },
   {
      "value": "555-555-5555",
      "type": "fax"
   }
]

Ripristino degli attributi e dei mapping degli attributi predefiniti

Se è necessario ricominciare da capo e reimpostare i mapping esistenti sul rispettivo stato predefinito, è possibile selezionare la casella di controllo Ripristina mapping predefiniti e salvare la configurazione. In questo modo vengono impostati tutti i mapping e i filtri di ambito come se l'applicazione fosse stata aggiunta al tenant di Microsoft Entra dalla raccolta di applicazioni.

La selezione di questa opzione forza la risincronizzazione di tutti gli utenti durante l'esecuzione del servizio di provisioning.

Importante

È assolutamente consigliabile impostare Stato provisioning su No prima di richiamare questa opzione.

Informazioni utili

  • Microsoft Entra ID fornisce un'implementazione efficiente di un processo di sincronizzazione. In un ambiente inizializzato, durante un ciclo di sincronizzazione vengono elaborati solo gli oggetti che richiedono aggiornamenti.
  • L'aggiornamento dei mapping degli attributi influisce sulle prestazioni di un ciclo di sincronizzazione. Un aggiornamento della configurazione del mapping degli attributi richiede la rivalutazione di tutti gli oggetti gestiti.
  • È consigliabile ridurre al minimo il numero di modifiche consecutive ai mapping degli attributi.
  • L'aggiunta di un attributo di foto di cui eseguire il provisioning a un'app non è attualmente supportata perché non è possibile specificare il formato per sincronizzare la foto. È possibile richiedere la funzionalità in User Voice.
  • L'attributo IsSoftDeleted fa spesso parte dei mapping predefiniti per un'applicazione. IsSoftdeleted può essere true in uno dei quattro scenari: 1) L'utente non rientra nell'ambito a causa della mancata assegnazione dall'applicazione. 2) L'utente non rientra nell'ambito a causa della mancata riunione di un filtro di ambito. 3) L'utente viene eliminato softmente in Microsoft Entra ID. 4) La proprietà AccountEnabled è impostata su false per l'utente. Provare a mantenere l'attributo IsSoftDeleted nei mapping degli attributi.
  • Il servizio di provisioning Microsoft Entra non supporta il provisioning di valori Null.
  • Le chiavi primarie, in IDgenere , non devono essere incluse come attributo di destinazione nei mapping degli attributi.
  • In genere l'attributo Role deve essere mappato usando un'espressione anziché un mapping diretto. Per altre informazioni sul mapping dei ruoli, vedere Provisioning di un ruolo in un'app SCIM.
  • Anche se è possibile disabilitare i gruppi dai mapping, la disabilitazione degli utenti non è supportata.

Passaggi successivi