Esercitazione: creazione di report sul provisioning automatico degli account utenteTutorial: Reporting on automatic user account provisioning

Azure Active Directory include un servizio di provisioning dell'account utente che consente di automatizzare il provisioning del deprovisioning degli account utente nelle app SaaS e in altri sistemi, ai fini della gestione del ciclo di vita delle identità end-to-end.Azure Active Directory includes a user account provisioning service that helps automate the provisioning de-provisioning of user accounts in SaaS apps and other systems, for the purpose of end-to-end identity lifecycle management. Azure AD supporta i connettori preintegrati di provisioning dell'utente per tutte le applicazioni e i sistemi nella sezione "In primo piano" della raccolta delle applicazioni di Azure AD.Azure AD supports pre-integrated user provisioning connectors for all of the applications and systems in the "Featured" section of the Azure AD application gallery.

In questo articolo viene descritto come controllare lo stato dei processi di provisioning in seguito alla loro configurazione e come risolvere i problemi di provisioning di singoli utenti e gruppi.This article describes how to check the status of provisioning jobs after they have been set up, and how to troubleshoot the provisioning of individual users and groups.

PanoramicaOverview

I connettori di provisioning sono impostati e configurati principalmente tramite il portale di gestione di Azure, seguendo la documentazione presente per l'applicazione in cui si desidera eseguire il provisioning dell'account utente.Provisioning connectors are primarily set up and configured using the Azure management portal, by following the provided documentation for the application where user account provisioning is desired. Dopo averli configurati e averne avviata l'esecuzione, i processi di provisioning per un'applicazione possono essere segnalati tramite uno dei due metodi indicati:Once configured and running, provisioning jobs for an application can be reported on using one of two methods:

  • Portale di gestione di Azure: questo articolo descrive principalmente il recupero delle informazioni del report dal portale di gestione di Azure, che consente di creare i report di riepilogo del provisioning, nonché i log di controllo dettagliati sul provisioning per una determinata applicazione.Azure management portal - This article primarily describes retrieving report information from the Azure management portal, which provides both a provisioning summary report as well as detailed provisioning audit logs for a given application.

  • API di controllo: Azure Active Directory offre anche un'API di controllo che consente di abilitare il recupero programmatico dei log di controllo dettagliati sul provisioning.Audit API - Azure Active Directory also provides an Audit API that enables programmatic retrieval of the detailed provisioning audit logs. Vedere Informazioni di riferimento sull'API di controllo di Azure Active Directory per la documentazione specifica sull'uso di questa API.See Azure Active Directory audit API reference for documentation specific to using this API. Sebbene questo articolo non si concentri in particolare sull'uso dell'API, contiene informazioni dettagliate sui tipi di eventi di provisioning registrati nel log di controllo.While this article does not specifically cover how to use the API, it does detail the types of provisioning events that are recorded in the audit log.

DefinizioniDefinitions

Questo articolo usa i termini seguenti, qui definiti:This article uses the following terms, defined below:

  • Sistema di origine: il repository degli utenti da cui il servizio di provisioning di Azure AD esegue la sincronizzazione.Source System - The repository of users that the Azure AD provisioning service synchronizes from. Azure Active Directory è il sistema di origine per la maggior parte dei connettori di provisioning preintegrati; esistono tuttavia alcune eccezioni, ad esempio la sincronizzazione in ingresso di Workday.Azure Active Directory is the source system for the majority of pre-integrated provisioning connectors, however there are some exceptions (example: Workday Inbound Synchronization).

  • Sistema di destinazione: il repository di utenti con cui il servizio di provisioning di Azure AD esegue la sincronizzazione.Target System - The repository of users that the Azure AD provisioning service synchronizes to. In genere si tratta di un'applicazione SaaS, ad esempio Salesforce, ServiceNow, Google Apps, Dropbox for Business, ma in alcuni casi può essere un sistema locale come Active Directory, ad esempio la sincronizzazione in ingresso di Workday ad Active Directory.This is typically a SaaS application (examples: Salesforce, ServiceNow, Google Apps, Dropbox for Business), but in some cases can be an on-premises system such as Active Directory (example: Workday Inbound Synchronization to Active Directory).

Ottenere i report sul provisioning dal portale di gestione di AzureGetting provisioning reports from the Azure management portal

Per ottenere le informazioni sui report del provisioning per una determinata applicazione, iniziare avviando il portale di gestione di Azure e passare all'applicazione aziendale per cui è configurato il provisioning.To get provisioning report information for a given application, start by launching the Azure management portal and browsing to the Enterprise Application for which provisioning is configured. Ad esempio, se si esegue il provisioning di utenti in LinkedIn Elevate, il percorso di navigazione per i dettagli dell'applicazione è:For example, if you are provisioning users to LinkedIn Elevate, the navigation path to the application details is:

Azure Active Directory > Applicazioni aziendali > All applications (Tutte le applicazioni) > LinkedIn ElevateAzure Active Directory > Enterprise Applications > All applications > LinkedIn Elevate

A questo punto, è possibile accedere al report di riepilogo del provisioning e ai log di controllo del provisioning, entrambi descritti di seguito.From here, you can access both the Provisioning summary report, and the provisioning audit logs, both described below.

Report di riepilogo del provisioningProvisioning summary report

Il report di riepilogo del provisioning è visibile nella scheda Provisioning di una determinata applicazione.The provisioning summary report is visible in the Provisioning tab for given application. Si trova nella sezione Dettagli sincronizzazione in Impostazioni e contiene le informazioni seguenti:It is located in the Synchronization Details section underneath Settings, and provides the following information:

  • Il numero totale di utenti e gruppi che sono stati sincronizzati e che attualmente si trovano nell'ambito per il provisioning tra il sistema di origine e il sistema di destinazione.The total number of users and/groups that have been synchronized and are currently in scope for provisioning between the source system and the target system.

  • Ora dell'ultima sincronizzazione.The last time the synchronization was run. Le sincronizzazioni in genere vengono eseguite ogni 20-40 minuti, in seguito al totale completamento di una sincronizzazione.Synchronizations typically occur every 20-40 minutes, after a full synchronization has completed.

  • Eventuale completamento di una sincronizzazione iniziale.Whether or not an initial full synchronization has been completed.

  • Eventuale quarantena applicata a un processo di provisioning e il motivo dello stato di quarantena, ad esempio errore di comunicazione con il sistema di destinazione a causa di credenziali di amministratore non valideWhether or not the provisioning process has been placed in quarantine, and what the reason for the quarantine status is (e.g. failure to communicate with target system due to invalid admin credentials)

Il report di riepilogo del provisioning deve essere il primo documento in cui gli amministratori devono controllare l'integrità operativa del processo di provisioning.The provisioning summary report should be the first place admins look to check on the operational health of the provisioning job.

Report di riepilogo

Log di controllo del provisioningProvisioning audit logs

Tutte le attività eseguite dal servizio di provisioning vengono registrate nei log di controllo di Azure AD, che possono essere visualizzati nella scheda Log di controllo della categoria Provisioning account.All activities performed by the provisioning service are recorded in the Azure AD audit logs, which can be viewed in the Audit logs tab under the Account Provisioning category. I tipi di eventi dell'attività registrati includono:Logged activity event types include:

  • Eventi di importazione: ogni volta che il servizio di provisioning di Azure AD recupera informazioni su un singolo utente o gruppo da un sistema di origine o destinazione si registra un evento di "importazione".Import events - An "import" event is recorded each time the Azure AD provisioning service retrieves information about an individual user or group from a source system or target system. Durante la sincronizzazione, gli utenti vengono recuperati prima dal sistema di origine, con i risultati registrati come eventi di "importazione".During synchronization, users are retrieved from the source system first, with the results recorded as "import" events. Gli ID corrispondenti degli utenti recuperati sono quindi sottoposti a query dal sistema di destinazione per verificarne l'esistenza: anche i risultati vengono registrati come eventi di "importazione".The matching IDs of the retrieved users are then queried against the target system to check if they exist, with the results also recorded as "import" events. Questi eventi registrano tutti gli attributi utente mappati e i relativi valori osservati dal servizio di provisioning di Azure Active Directory al momento dell'evento.These events record all mapped user attributes and their values that were seen by the Azure AD provisioning service at the time of the event.

  • Eventi della regola di sincronizzazione: questi eventi segnalano i risultati delle regole di mapping degli attributi ed eventuali filtri di ambito configurati, dopo aver importato e valutato i dati utente dai sistemi di origine e destinazione.Synchronization rule events - These events report on the results of the attribute mapping rules and any configured scoping filters, after user data has been imported and evaluated from the source and target systems. Ad esempio, se un utente in un sistema di origine è considerato nell'ambito per il provisioning e inesistente nel sistema di destinazione, questo evento registra che l'utente verrà sottoposto a provisioning nel sistema di destinazione.For example, if a user in a source system is deemed to be in scope for provisioning, and deemed to not exist in the target system, then this event records that the user will be provisioned in the target system.

  • Eventi di esportazione: ogni volta che il servizio di provisioning di Azure AD scrive un oggetto account utente o gruppo in un sistema di destinazione, viene registrato un evento di "esportazione".Export events - An "export" event is recorded each time the Azure AD provisioning service writes a user account or group object to a target system. Questi eventi registrano tutti gli attributi utente e i relativi valori scritti dal servizio di provisioning di Azure AD al momento dell'evento.These events record all user attributes and their values that were written by the Azure AD provisioning service at the time of the event. Se si è verificato un errore durante la scrittura dell'oggetto account utente o gruppo nel sistema di destinazione, verrà visualizzato qui.If there was an error while writing the user account or group object to the target system, it will be displayed here.

  • Eventi di deposito dei processi: i depositi dei processi si verificano quando il servizio di provisioning rileva un errore durante il tentativo di eseguire un'operazione e inizia a ripetere l'operazione su un intervallo di tempo di interruzione temporanea.Process escrow events - Process escrows occur when the provisioning service encounters a failure while attempting an operation, and begins to retry the operation on a back-off interval of time. Ogni volta che un'operazione di provisioning viene ritirata viene registrato un evento "deposito".An "escrow" event is recorded each time a provisioning operation was retired.

Se si esaminano gli eventi di provisioning per un singolo utente si nota che in genere tali eventi si verificano nell'ordine indicato:When looking at provisioning events for an individual user, the events normally occur in this order:

  1. Evento di importazione: l'utente viene recuperato dal sistema di origine.Import event: User is retrieved from the source system.

  2. Evento di importazione: il sistema di destinazione viene sottoposto a query per verificare l'esistenza dell'utente recuperato.Import event: Target system is queried to check for the existence of the retrieved user.

  3. Evento della regola di sincronizzazione: i dati utente dei sistemi di origine e di destinazione vengono valutati rispetto alle regole di mapping degli attributi configurati a i filtri di ambito per determinare le azioni, se possibili, da eseguire.Synchronization rule event: User data from source and target systems are evaluated against the configured attribute mapping rules and scoping filters to determine what action, if any, should be performed.

  4. Evento di esportazione: se l'evento della regola di sincronizzazione determina l'esecuzione di un'azione, ad esempio Aggiungi, Aggiorna, Elimina, i risultati dell'azione vengono registrati in un evento di esportazione.Export event: If the synchronization rule event dictated that an action should be performed (e.g. Add, Update, Delete), then the results of the action are recorded in an Export event.

Creazione di un utente test di Azure AD

Cercare un utente specifico negli eventi di provisioningLooking up provisioning events for a specific user

Il caso di uso più comune per i log di controllo del provisioning consiste nel verificare lo stato di provisioning di un singolo account utente.The most common use case for the provisioning audit logs is to check the provisioning status of an individual user account. Per cercare gli ultimi eventi di provisioning per un utente specifico:To look up the last provisioning events for a specific user:

  1. Andare nella sezione Log di controllo.Go to the Audit logs section.

  2. Dal menu Categoria selezionare Provisioning account.From the Category menu, select Account Provisioning.

  3. Nel menu Intervallo di date selezionare l'intervallo di date in cui si desidera cercare.In the Date Range menu, select the date range you want to search,

  4. Nella barra Ricerca immettere l'ID utente dell'utente che si desidera cercare.In the Search bar, enter the user ID of the user you wish to search for. Il formato del valore dell'ID deve corrispondere all'ID selezionato dall'utente come ID primario corrispondente nella configurazione di mapping dell'attributo, ad esempio userPrincipalName o numero ID dipendente.The format of ID value should match whatever you selected as the primary matching ID in the attribute mapping configuration (e.g. userPrincipalName or employee ID number). Il valore ID richiesto sarà visibile nella colonna Target(s) (Destinazioni).The ID value required will be visible in the Target(s) column.

  5. Premere Invio per eseguire la ricerca.Press Enter to search. Verranno restituiti prima gli eventi più recenti di provisioning.The most recent provisioning events will be returned first.

  6. Se vengono restituiti degli eventi, annotare i tipi di attività e il relativo esito.If events are returned, note the activity types and whether they succeeded or failed. Se non viene restituito alcun risultato, significa che l'utente non esiste oppure non è stato ancora rilevato dal processo di provisioning se la sincronizzazione completa non è stata ancora portata a termine.If no results are returned, then it means the user either does not exist, or has not yet been detected by the provisioning process if a full sync has not yet completed.

  7. Fare clic su singoli eventi per visualizzare maggiori dettagli, comprese tutte le proprietà utente recuperate, valutate o scritte come parte dell'evento.Click on individual events to view extended details, including all user properties that were retrieved, evaluated, or written as part of the event.

Suggerimenti per la visualizzazione dei log di controllo del provisioningTips for viewing the provisioning audit logs

Per una migliore leggibilità nel portale di Azure selezionare il pulsante Colonne e scegliere queste colonne:For best readability in the Azure portal, select the Columns button and choose these columns:

  • Data: mostra la data in cui si è verificato l'evento.Date - Shows the date the event occurred.
  • Target(s) (Destinazioni): mostra l'ID utente e il nome dell'app oggetto dell'evento.Target(s) - Shows the app name and user ID that are the subjects of the event.
  • Attività: il tipo di attività, come descritto in precedenza.Activity - The activity type, as described previously.
  • Stato: specifica se l'evento è riuscito o meno.Status - Whether the event succeeded or not.
  • Motivo stato : un riepilogo delle operazioni eseguite nell'evento di provisioning.Status Reason - A summary of what happened in the provisioning event.

risoluzione dei problemiTroubleshooting

Il report di riepilogo del provisioning e i log di controllo svolgono un ruolo chiave nell'aiutare gli amministratori a risolvere i diversi problemi di provisioning dell'account utente.The provisioning summary report and audit logs play a key role helping admins troubleshoot various user account provisioning issues.

Per informazioni aggiuntive su come risolvere i problemi di provisioning automatico dell'utente in base agli scenari, vedere Problemi di configurazione e provisioning degli utenti in un'applicazione.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

Risorse aggiuntiveAdditional Resources