Personalizzazione dei mapping degli attributi del provisioning degli utenti per le applicazioni SaaS in Azure Active Directory

Microsoft Azure AD fornisce supporto per il provisioning degli utenti in applicazioni SaaS di terze parti, ad esempio Salesforce, Google Apps e altre. Se è abilitato il provisioning degli utenti per un'applicazione SaaS di terze parti, il portale di gestione di Azure controlla i relativi valori di attributo tramite una configurazione denominata "mapping degli attributi".

Esiste un set preconfigurato di mapping degli attributi tra gli oggetti utente di Azure AD e gli oggetti utente di ogni app SaaS. Alcune app gestiscono altri tipi di oggetti, quali Gruppi o Contatti.
È possibile personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali. È infatti possibile modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi.

Nel portale di Azure AD è possibile accedere a questa funzionalità facendo clic su una configurazione Mapping in Provisioning nella sezione Gestione di un'applicazione aziendale.

Salesforce

Se si fa clic su una configurazione Mapping viene aperto il pannello Mapping attributi corrispondente.
Alcuni mapping di attributi sono obbligatori per il corretto funzionamento di un'applicazione SaaS. Per gli attributi obbligatori la funzionalità Elimina non è disponibile.

Salesforce

Nell'esempio riportato sopra si può notare che l'attributo Username di un oggetto gestito in Salesforce è popolato con il valore userPrincipalName dell'oggetto di Azure Active Directory collegato.

È possibile personalizzare i Mapping degli attributi esistenti facendo clic su un mapping. Viene visualizzato il pannello Modifica attributo.

Salesforce

Informazioni sui tipi di mapping degli attributi

I mapping degli attributi permettono di controllare il modo in cui gli attribuiti vengono popolati in un'applicazione SaaS di terze parti. Sono supportati quattro diversi tipi di mapping:

  • Diretto: l'attributo di destinazione viene popolato con il valore di un attributo dell'oggetto collegato in Azure AD.
  • Costante: l'attributo di destinazione viene popolato con una stringa specificata.
  • Espressione: l'attributo di destinazione viene popolato in base al risultato di un'espressione simile a uno script. Per altre informazioni, vedere Scrittura di espressioni per il mapping degli attributi in Azure Active Directory.
  • Nessuno: l'attributo di destinazione viene lasciato invariato. Se l'attributo di destinazione viene lasciato vuoto, viene popolato con il valore predefinito specificato.

Oltre a questi quattro tipi base di mapping, i mapping degli attributi personalizzati supportano il concetto di assegnazione di un valore predefinito facoltativo. L'assegnazione di un valore predefinito garantisce che un attributo di destinazione venga popolato con un valore nel caso in cui non sia presente un valore né in Azure AD, né nell'oggetto di destinazione. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.

Informazioni sulle proprietà di mapping degli attributi

Nella sezione precedente è già stata presentata la proprietà del tipo di mapping degli attributi. Oltre a questa proprietà i mapping degli attributi supportano i seguenti attributi:

  • Attributo di origine: attributo utente del sistema di origine (ad esempio Azure Active Directory).
  • Attributo di destinazione: attributo utente nel sistema di destinazione (ad esempio ServiceNow).
  • Abbina gli oggetti in base a questo attributo: specifica se questo mapping va usato per l'identificazione univoca degli utenti tra il sistema di origine e il sistema di destinazione. Questa opzione è in genere impostata sull'attributo userPrincipalName o mail in Azure AD, che a sua volta è in genere mappato su un campo username in un'applicazione di destinazione.
  • Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.
  • Applica questo mapping
    • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente
    • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utente

Informazioni utili

Microsoft Azure AD offre un'implementazione efficiente di un processo di sincronizzazione. In un ambiente inizializzato, durante un ciclo di sincronizzazione vengono elaborati solo gli oggetti che richiedono aggiornamenti. L'aggiornamento dei mapping degli attributi influisce negativamente sulle prestazioni di un ciclo di sincronizzazione. Un aggiornamento della configurazione del mapping degli attributi richiede la rivalutazione di tutti gli oggetti gestiti. È consigliabile ridurre al minimo il numero di modifiche consecutive ai mapping degli attributi.

Passaggi successivi