Personalizzazione dei mapping degli attributi del provisioning degli utenti per le applicazioni SaaS in Azure Active DirectoryCustomizing User Provisioning Attribute-Mappings for SaaS Applications in Azure Active Directory

Microsoft Azure AD fornisce supporto per il provisioning degli utenti in applicazioni SaaS di terze parti, ad esempio Salesforce, Google Apps e altre.Microsoft Azure AD provides support for user provisioning to third-party SaaS applications such as Salesforce, Google Apps and others. Se il provisioning degli utenti è abilitato per un'applicazione SaaS di terze parti, il portale di Azure ne controlla i valori degli attributi tramite il mapping degli attributi.If you have user provisioning for a third-party SaaS application enabled, the Azure portal controls its attribute values in form of attribute-mappings.

Esiste un set preconfigurato di attributi e mapping degli attributi tra gli oggetti utente di Azure AD e gli oggetti utente di ogni app SaaS.There is a pre-configured set of attributes and attribute-mappings between Azure AD user objects and each SaaS app’s user objects. Alcune app gestiscono altri tipi di oggetti oltre agli oggetti utente, ad esempio gli oggetti gruppo.Some apps manage other types of objects in addition to Users, such as Groups.
È possibile personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali.You can customize the default attribute-mappings according to your business needs. Questo significa che è possibile modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi.This means, you can change or delete existing attribute-mappings, or create new attribute-mappings.

Modifica dei mapping degli attributi utenteEditing user attribute-mappings

Nel portale di Azure AD è possibile accedere a questa funzionalità facendo clic su una configurazione Mapping in Provisioning nella sezione Gestione di un'applicazione aziendale.In the Azure AD portal, you can access this feature by clicking a Mappings configuration under Provisioning in the Manage section of an Enterprise application.

Salesforce

Se si fa clic su una configurazione Mapping, viene visualizzata la schermata Mapping attributi corrispondente.Clicking a Mappings configuration, opens the related Attribute-Mapping screen. Alcuni mapping di attributi sono obbligatori per il corretto funzionamento di un'applicazione SaaS.There are attribute-mappings that are required by a SaaS application to function correctly. Per gli attributi obbligatori la funzionalità Elimina non è disponibile.For required attributes, the Delete feature is unavailable.

Salesforce

Nell'esempio riportato sopra si può notare che l'attributo Username di un oggetto gestito in Salesforce è popolato con il valore userPrincipalName dell'oggetto di Azure Active Directory collegato.In the example above, you can see that the Username attribute of a managed object in Salesforce is populated with the userPrincipalName value of the linked Azure Active Directory Object.

È possibile personalizzare i mapping degli attributi esistenti facendo clic su un mapping.You can customize existing Attribute-Mappings by clicking a mapping. Viene visualizzata la schermata Modifica attributo.This opens the Edit Attribute screen.

Salesforce

Informazioni sui tipi di mapping degli attributiUnderstanding attribute-mapping types

I mapping degli attributi permettono di controllare il modo in cui gli attribuiti vengono popolati in un'applicazione SaaS di terze parti.With attribute-mappings, you control how attributes are populated in a third-party SaaS application. Sono supportati quattro diversi tipi di mapping:There are four different mapping types supported:

  • Diretto: l'attributo di destinazione viene popolato con il valore di un attributo dell'oggetto collegato in Azure AD.Direct – the target attribute is populated with the value of an attribute of the linked object in Azure AD.
  • Costante: l'attributo di destinazione viene popolato con una stringa specificata.Constant – the target attribute is populated with a specific string you have specified.
  • Espressione: l'attributo di destinazione viene popolato in base al risultato di un'espressione simile a uno script.Expression - the target attribute is populated based on the result of a script-like expression. Per altre informazioni, vedere Scrittura di espressioni per il mapping degli attributi in Azure Active Directory.For more information, see Writing Expressions for Attribute-Mappings in Azure Active Directory.
  • Nessuno: l'attributo di destinazione viene lasciato invariato.None - the target attribute is left unmodified. Se l'attributo di destinazione viene lasciato vuoto, viene popolato con il valore predefinito specificato.However, if the target attribute is ever empty, it is populated with the Default value that you specify.

Oltre a questi quattro tipi base, i mapping degli attributi personalizzati supportano il concetto di assegnazione di un valore predefinito facoltativo.In addition to these four basic types, custom attribute-mappings support the concept of an optional default value assignment. L'assegnazione di un valore predefinito garantisce che un attributo di destinazione venga popolato con un valore nel caso in cui non sia presente un valore né in Azure AD, né nell'oggetto di destinazione.The default value assignment ensures that a target attribute is populated with a value if there is neither a value in Azure AD nor on the target object. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.The most common configuration is to leave this blank.

Informazioni sulle proprietà di mapping degli attributiUnderstanding attribute-mapping properties

Nella sezione precedente è già stata presentata la proprietà del tipo di mapping degli attributi.In the previous section, you have already been introduced to the attribute-mapping type property. Oltre a questa proprietà i mapping degli attributi supportano i seguenti attributi:In addition to this property, attribute-mappings do also support the following attributes:

  • Attributo di origine: attributo utente nel sistema di origine, ad esempio Azure Active Directory.Source attribute - The user attribute from the source system (example: Azure Active Directory).
  • Attributo di destinazione: attributo utente nel sistema di destinazione, ad esempio ServiceNow.Target attribute – The user attribute in the target system (example: ServiceNow).
  • Abbina gli oggetti in base a questo attributo: specifica se questo mapping va usato per l'identificazione univoca degli utenti tra il sistema di origine e il sistema di destinazione.Match objects using this attribute – Whether or not this mapping should be used to uniquely identify users between the source and target systems. Questa opzione è in genere impostata sull'attributo userPrincipalName o mail in Azure AD, che a sua volta è in genere mappato su un campo username in un'applicazione di destinazione.This is typically set on the userPrincipalName or mail attribute in Azure AD, which is typically mapped to a username field in a target application.
  • Precedenza abbinamento: è possibile impostare più attributi corrispondenti.Matching precedence – Multiple matching attributes can be set. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo.When there are multiple, they are evaluated in the order defined by this field. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.As soon as a match is found, no further matching attributes are evaluated.
  • Applica questo mappingApply this mapping
    • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utenteAlways – Apply this mapping on both user creation and update actions
    • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utenteOnly during creation - Apply this mapping only on user creation actions

Modifica dei mapping degli attributi gruppoEditing group attribute-mappings

Un numero selezionato di applicazioni, tra cui ServiceNow, Box e Google Apps, supporta la possibilità di effettuare il provisioning di oggetti gruppo oltre che di oggetti utente.A selected number of applications, such as ServiceNow, Box, and Google Apps, support the ability to provision Group objects in addition to User objects. Oltre ai membri del gruppo, gli oggetti gruppo possono contenere proprietà di gruppo come i nomi visualizzati e gli alias di posta elettronica.Group objects can contain group properties such as display names and email aliases, in addition to group members.

ServiceNow

Il provisioning dei gruppi può essere facoltativamente abilitato o disabilitato selezionando il mapping dei gruppi in Mapping e impostando Enabled (Abilitato) sul valore desiderato nella schermata Mapping attributi.Group provisioning can be optionally enabled or disabled by selecting the group mapping under Mappings, and setting Enabled to the desired option in the Attribute-Mapping screen.

Gli attributi di cui viene effettuato il provisioning come parte di oggetti gruppo possono essere personalizzati allo stesso modo degli oggetti utente, descritto in precedenza.The attributes provisioned as part of Group objects can be customized in the same manner as User objects, described previously.

Suggerimento

Il provisioning di oggetti gruppo (proprietà e membri) è un concetto distinto dall'assegnazione di gruppi a un'applicazione.Provisioning of group objects (properties and members) is a distinct concept from assigning groups to an application. Benché sia possibile assegnare un gruppo a un'applicazione, è possibile effettuare il provisioning solo degli oggetti utente contenuti nel gruppo.It is possible to assign a group to an application, but only provision the user objects contained in the group. Il provisioning di oggetti gruppo completi non è necessario per usare i gruppi nelle assegnazioni.Provisioning of full group objects is not required to use groups in assignments.

Modifica dell'elenco degli attributi supportatiEditing the list of supported attributes

Gli attributi utente supportati per un'applicazione specifica sono preconfigurati.The user attributes supported for a given application are pre-configured. Poiché la maggior parte delle API di gestione degli utenti non supporta l'individuazione dello schema, il servizio di provisioning di Azure AD non è in grado di generare dinamicamente l'elenco degli attributi supportati effettuando chiamate all'applicazione.Most application's user management APIs do not support schema discovery, therefore the Azure AD provisioning service is not able to dynamically generate the list of supported attributes by making calls to the application.

Tuttavia, alcune applicazioni supportano gli attributi personalizzati.However, some applications support custom attributes. Perché il servizio di provisioning di Azure AD riesca a leggere e scrivere in attributi personalizzati, le definizioni degli attributi devono essere immesse nel portale di Azure usando la casella di controllo Mostra opzioni avanzate nella parte inferiore della schermata Mapping attributi.In order for the Azure AD provisioning service to be able to read and write to custom attributes, their definitions must be entered into the Azure portal using the Show advanced options check box at the bottom of the Attribute-Mapping screen.

Alcuni sistemi e applicazioni che supportano la personalizzazione dell'elenco di attributi:Applications and systems that support customization of the attribute list include:

Nota

La modifica dell'elenco degli attributi supportati è consigliata solo agli amministratori che hanno personalizzato lo schema dei propri sistemi e applicazioni e che hanno una conoscenza diretta del modo in cui sono stati definiti gli attributi personalizzati.Editing the list of supported attributes is only recommended for administrators who have customized the schema of their applications and systems, and have first-hand knowledge of how their custom attributes have been defined. Questa operazione richiede a volte familiarità con le API e gli strumenti per sviluppatori forniti da un'applicazione o un sistema.This sometimes requires familiarity with the APIs and developers tools provided by an application or system.

Editor

Quando si modifica l'elenco degli attributi supportati, vengono fornite le proprietà seguenti:When editing the list of supported attributes, the following properties are provided:

  • Nome: nome di sistema dell'attributo, definito nello schema dell'oggetto di destinazione.Name - The system name of the attribute, as defined in the target object's schema.
  • Tipo: tipo di dati archiviati dall'attributo, definito nello schema dell'oggetto di destinazione.Type - The type of data the attribute stores, as defined in the target object's schema. Può essere uno dei valori seguenti:This can be one of the following:
    • Binario: l'attributo contiene dati binari.Binary - Attribute contains binary data.
    • Booleano: l'attributo contiene un valore True o False.Boolean - Attribute contains a True or False value.
    • DateTime: l'attributo contiene una stringa di data.DateTime - Attribute contains a date string.
    • Integer: l'attributo contiene un numero intero.Integer - Attribute contains an integer.
    • Riferimento: l'attributo contiene un ID che fa riferimento a un valore archiviato in un'altra tabella nell'applicazione di destinazione.Reference - Attribute contains an ID that references a value stored in another table in the target application.
    • String: l'attributo contiene una stringa di testo.String - Attribute contains a text string.
  • Chiave primaria?:Primary Key? specifica se l'attributo è o meno definito come campo di chiave primaria nello schema dell'oggetto di destinazione.- Whether or not the attribute is defined as a primary key field in the target object's schema.
  • Obbligatorio?Required? specifica se l'attributo deve o meno essere immesso nell'applicazione o nel sistema di destinazione.- Whether or not the attribute is required to be populated in the target application or system.
  • Multivalore?:Multi-value? specifica se l'attributo supporta o meno più valori.- Whether or not the attribute supports multiple values.
  • Maiuscole/minuscole esatte?:Exact case? specifica se i valori degli attributi vengono o meno valutati facendo distinzione tra maiuscole e minuscole.- Whether or not the attributes values are evaluated in a case-sensitive way.
  • API Expression (Espressione API): non usare questa opzione a meno che non sia specificato nella documentazione per un determinato connettore di provisioning, ad esempio Workday.API Expression - Do not use, unless instructed to do so by the documentation for a specific provisioning connector (such as Workday).
  • Attributo oggetto di riferimento: se l'attributo è di tipo Riferimento, in questo menu è possibile selezionare la tabella e l'attributo nell'applicazione di destinazione che contiene il valore associato all'attributo.Referenced Object Attribute - If this is a Reference type attribute, then this menu allows you to select the table and attribute in the target application that contains the value associated with the attribute. Ad esempio, in presenza di un attributo denominato "Reparto" il cui valore archiviato fa riferimento a un oggetto in una tabella "Reparti" separata, sarà necessario selezionare "Reparti.Nome".For example, if you have an attribute named "Department" whose stored value references an object in a separate "Departments" table, you would select "Departments.Name". Le tabelle di riferimento e i campi degli ID primari supportati per un'applicazione specifica sono preconfigurati e attualmente non possono essere modificati tramite il portale di Azure, ma possono essere modificati usando l'API Graph.Note that the reference tables and the primary ID fields supported for a given application are pre-configured and currently cannot be edited using the Azure portal, but can be edited using the Graph API.

Per aggiungere un nuovo attributo, scorrere fino alla fine dell'elenco degli attributi supportati, completare i campi sopra con gli input indicati e quindi selezionare Aggiungi attributo.To add a new attribute, scroll to the end of the list of supported attributes, populate the fields above using the provided inputs, and select Add Attribute. Selezionare Salva dopo aver aggiunto gli attributi.Select Save when finished adding attributes. Sarà quindi necessario ricaricare la scheda Provisioning perché i nuovi attributi diventino disponibili nell'editor dei mapping degli attributi.You will then need to reload the Provisioning tab for the new attributes to become available in the attribute-mapping editor.

Ripristino degli attributi e dei mapping degli attributi predefinitiRestoring the default attributes and attribute-mappings

Se è necessario ricominciare da capo e reimpostare i mapping esistenti sul rispettivo stato predefinito, è possibile selezionare la casella di controllo Ripristina mapping predefiniti e salvare la configurazione.Should you need to start over, and reset your existing mappings back to their default state, you can select the Restore default mappings check box and save the configuration. Questa opzione imposterà tutti i mapping come se l'applicazione fosse stata appena aggiunta al tenant di Azure AD dalla raccolta di applicazioni.This sets all mappings as if the application had just been added to your Azure AD tenant from the application gallery.

La selezione di questa opzione forza una nuova sincronizzazione di tutti gli utenti durante l'esecuzione del servizio di provisioning.Selecting this option will effectively force a re-synchronization of all users while the provisioning service is running.

Importante

È assolutamente consigliabile impostare Stato provisioning su No prima di richiamare questa opzione.It is strongly recommended that Provisioning status be set to Off before invoking this option.

Informazioni utiliWhat you should know

  • Microsoft Azure AD offre un'implementazione efficiente di un processo di sincronizzazione.Microsoft Azure AD provides an efficient implementation of a synchronization process. In un ambiente inizializzato, durante un ciclo di sincronizzazione vengono elaborati solo gli oggetti che richiedono aggiornamenti.In an initialized environment, only objects requiring updates are processed during a synchronization cycle.

  • L'aggiornamento dei mapping degli attributi influisce negativamente sulle prestazioni di un ciclo di sincronizzazione.Updating attribute-mappings has an impact on the performance of a synchronization cycle. Un aggiornamento della configurazione del mapping degli attributi richiede la rivalutazione di tutti gli oggetti gestiti.An update to the attribute-mapping configuration requires all managed objects to be reevaluated.

  • È consigliabile ridurre al minimo il numero di modifiche consecutive ai mapping degli attributi.It is a recommended best practice to keep the number of consecutive changes to your attribute-mappings at a minimum.

Passaggi successiviNext steps