Pianificare il provisioning utenti di un'applicazione HR cloud in Microsoft Entra
Storicamente, il personale IT si è basato su metodi manuali per creare, aggiornare ed eliminare dipendenti. Usava metodi come il caricamento di file CSV o l'esecuzione di script personalizzati per sincronizzare i dati dei dipendenti. Questi processi di provisioning sono soggetti a errori, non sono sicuri e sono difficili da gestire.
Per gestire il ciclo di vita delle identità dei dipendenti, dei fornitori o dei lavoratori contingenti, il servizio di provisioning utenti di Microsoft Entra offre l'integrazione con applicazioni hr (Human Resources) basate sul cloud. Esempi di applicazioni includono Workday e SuccessFactors.
Microsoft Entra ID usa questa integrazione per abilitare i processi di applicazione cloud HR (app) seguenti:
- Effettuare il provisioning degli utenti in Active Directory: effettuare il provisioning di set selezionati di utenti da un'app hr cloud in uno o più domini di Active Directory.
- Effettuare il provisioning degli utenti solo cloud in Microsoft Entra ID: negli scenari in cui Active Directory non viene usato, effettuare il provisioning degli utenti direttamente dall'app HR cloud all'ID Microsoft Entra.
- Writeback all'app hr cloud: scrivere gli indirizzi di posta elettronica e gli attributi del nome utente da Microsoft Entra all'app hr cloud.
Il video seguente fornisce indicazioni sulla pianificazione delle integrazioni di provisioning basate sulle risorse umane.
Nota
Questo piano di distribuzione illustra come distribuire l'app hr cloud con il provisioning utenti di Microsoft Entra. Per informazioni su come distribuire il provisioning utenti automatico nelle app SaaS (Software as a Service), vedere Pianificare una distribuzione automatica del provisioning utenti.
Scenari HR abilitati
Il servizio di provisioning utenti di Microsoft Entra consente l'automazione degli scenari di gestione del ciclo di vita delle identità basati sulle risorse umane seguenti:
- Assunzione di nuovi dipendenti: l'aggiunta di un dipendente all'app hr cloud crea automaticamente un utente in Active Directory e microsoft Entra ID. L'aggiunta di un account utente include l'opzione per scrivere l'indirizzo di posta elettronica e gli attributi del nome utente nell'app hr cloud.
- Aggiornamenti dell'attributo e del profilo dei dipendenti: quando un record dipendente, ad esempio nome, titolo o responsabile viene aggiornato nell'app hr cloud, il proprio account utente viene aggiornato automaticamente in Active Directory e in Microsoft Entra ID.
- Terminazioni dei dipendenti: quando un dipendente viene terminato nell'app cloud HR, l'account utente viene disabilitato automaticamente in Active Directory e in Microsoft Entra ID.
- Rihires dei dipendenti: quando un dipendente viene riassunto nell'app cloud HR, il vecchio account può essere riattivato o sottoposto di nuovo a provisioning automatico in Active Directory e microsoft Entra ID.
Per chi è più adatta questa integrazione?
L'integrazione dell'app HR cloud con il provisioning utenti di Microsoft Entra è ideale per le organizzazioni che:
- Vogliono una soluzione predefinita basata sul cloud per il provisioning degli utenti nell'app HR basata sul cloud.
- Richiedere il provisioning diretto degli utenti dall'app HR cloud ad Active Directory o all'ID Microsoft Entra.
- Hanno l'esigenza di effettuare il provisioning degli utenti usando i dati ottenuti dall'app HR basata sul cloud.
- Sincronizzazione degli utenti che partecipano, si spostano e lasciano. La sincronizzazione avviene tra una o più foreste, domini e unità organizzative di Active Directory in base solo alle informazioni sulle modifiche rilevate nell'app hr cloud.
- Usare Microsoft 365 per la posta elettronica.
Apprendere
Il provisioning utenti crea una base per la governance delle identità in corso. Migliora la qualità dei processi aziendali che si basano su dati di identità autorevoli.
Terms
Questo articolo usa le condizioni seguenti:
- Sistema di origine: repository di utenti da cui effettua il provisioning dell'ID Microsoft Entra. Un esempio è un'app hr cloud, ad esempio Workday o SuccessFactors.
- Sistema di destinazione: repository di utenti a cui effettua il provisioning dell'ID Microsoft Entra. Alcuni esempi sono Active Directory, Microsoft Entra ID, Microsoft 365 o altre app SaaS.
- Processo joiners-Movers-Leavers: termine usato per i nuovi assunti, trasferimenti e terminazioni usando un'app hr cloud come sistema di record. Il processo viene completato quando il servizio effettua correttamente il provisioning degli attributi necessari al sistema di destinazione.
Vantaggi chiave
Il provisioning IT basato su risorse umane offre alle aziende gli importanti vantaggi seguenti:
- Aumentare la produttività: è ora possibile automatizzare l'assegnazione di account utente e licenze di Microsoft 365 e fornire l'accesso ai gruppi di chiavi. L'automazione delle assegnazioni consente ai nuovi assunti di accedere immediatamente ai propri strumenti di lavoro, aumentando la produttività.
- Gestire i rischi: automatizzare le modifiche in base allo stato dei dipendenti o all'appartenenza ai gruppi per aumentare la sicurezza. Questa automazione garantisce che le identità utente e l'accesso alle app chiave vengano aggiornati automaticamente. Ad esempio, un aggiornamento nell'app HR quando un utente esegue la transizione o lascia automaticamente il flusso dell'organizzazione.
- Conformità e governance degli indirizzi: Microsoft Entra ID supporta i log di controllo nativi per le richieste di provisioning degli utenti eseguite dalle app di sistemi di origine e di destinazione. La funzionalità di controllo consente di monitorare chi ha accesso alle app da un'unica schermata.
- Gestire i costi: il provisioning automatico riduce i costi evitando inefficienze e errori umani associati al provisioning manuale. Riduce inoltre la necessità di usare soluzioni di provisioning utenti personalizzate sviluppate nel tempo usando piattaforme legacy e obsolete.
Licenze
Per configurare l'app hr cloud per l'integrazione del provisioning utenti di Microsoft Entra, è necessaria una licenza valida di Microsoft Entra ID P1 o P2 e una licenza per l'app hr cloud, ad esempio Workday o SuccessFactors.
È necessaria anche una licenza di sottoscrizione valida di Microsoft Entra ID P1 o superiore per ogni utente che ha origine dall'app HR cloud ed è stato effettuato il provisioning in Active Directory o microsoft Entra ID.
L'uso dei flussi di lavoro del ciclo di vita e di altre funzionalità di governance di Microsoft Entra ID nel processo di provisioning richiede una licenza di governance di Microsoft Entra ID.
Prerequisiti
- Ruolo Amministrazione istrator dell'identità ibrida per configurare l'agente di provisioning Connessione.
- Ruolo application Amministrazione istrator per configurare l'app di provisioning.
- Istanza di test e produzione dell'app hr cloud.
- Amministrazione istrator autorizzazioni nell'app hr cloud per creare un utente di integrazione del sistema e apportare modifiche ai dati dei dipendenti di test a scopo di test.
- Per il provisioning utenti in Active Directory, è necessario un server che esegue Windows Server 2016 o versione successiva per ospitare l'agente di provisioning di Microsoft Entra Connessione. Questo server deve essere un server di livello 0 basato sul modello di livello amministrativo di Active Directory.
- Microsoft Entra Connessione per sincronizzare gli utenti tra Active Directory e Microsoft Entra ID.
Risorse di formazione
Architettura della soluzione
L'esempio seguente descrive l'architettura della soluzione di provisioning utenti end-to-end per ambienti ibridi comuni e include:
- Flusso autorevole dei dati HR dall'app HR cloud ad Active Directory. In questo flusso, l'evento HR (processo Joiners-Movers-Leavers) viene avviato nel tenant dell'app hr cloud. Il servizio di provisioning Microsoft Entra e Microsoft Entra Connessione agente di provisioning effettua il provisioning dei dati utente dal tenant dell'app hr cloud in Active Directory. A seconda dell'evento, potrebbe causare la creazione, l'aggiornamento, l'abilitazione e la disabilitazione delle operazioni in Active Directory.
- Eseguire la sincronizzazione con Microsoft Entra ID e scrivere un messaggio di posta elettronica e un nome utente da Active Directory locale all'app hr cloud. Dopo aver aggiornato gli account in Active Directory, viene sincronizzato con Microsoft Entra ID tramite Microsoft Entra Connessione. Gli indirizzi di posta elettronica e gli attributi del nome utente possono essere riscritto nel tenant dell'app hr cloud.
Descrizione del processo di provisioning
I passaggi chiave seguenti sono indicati nel diagramma:
- Il team delle risorse umane esegue le transazioni nel tenant dell'app HR cloud.
- Il servizio di provisioning Microsoft Entra esegue i cicli pianificati dal tenant dell'app hr cloud e identifica le modifiche da elaborare per la sincronizzazione con Active Directory.
- Il servizio di provisioning Microsoft Entra richiama l'agente di provisioning di Microsoft Entra Connessione con un payload di richiesta che contiene operazioni di creazione, aggiornamento, abilitazione e disabilitazione dell'account Active Directory.
- Microsoft Entra Connessione agente di provisioning usa un account del servizio per gestire i dati dell'account Active Directory.
- Microsoft Entra Connessione esegue la sincronizzazione differenzialeper eseguire il pull degli aggiornamenti in Active Directory.
- Gli aggiornamenti di Active Directory vengono sincronizzati con Microsoft Entra ID.
- Il servizio di provisioning Microsoft Entra esegue il writeback dell'attributo di posta elettronica e del nome utente da Microsoft Entra ID al tenant dell'app hr cloud.
Pianificare il progetto di distribuzione
Considerare le esigenze organizzative quando si determina la strategia per la distribuzione nell'ambiente in uso.
Coinvolgere gli stakeholder appropriati
Quando i progetti tecnologici hanno esito negativo, in genere lo fanno a causa di aspettative non corrispondenti sull'impatto, sui risultati e sulle responsabilità. Per evitare queste insidie, assicurarsi di coinvolgere gli stakeholder appropriati. Assicurarsi anche che i ruoli degli stakeholder nel progetto siano ben compresi. Documentare gli stakeholder e i relativi input e responsabilità del progetto.
Includere un rappresentante dell'organizzazione hr che può fornire input sui processi aziendali delle risorse umane esistenti e sull'identità dei lavoratori, oltre ai requisiti di elaborazione dei dati dei processi.
Pianificare le comunicazioni
La comunicazione è fondamentale per il successo di un nuovo servizio. Comunicare in modo proattivo con gli utenti su quando e su come cambia l'esperienza. Comunicare loro come ottenere supporto se riscontrano problemi.
Pianificare un progetto pilota
L'integrazione di processi aziendali hr e flussi di lavoro di identità dall'app hr cloud ai sistemi di destinazione richiede una notevole quantità di convalida dei dati, trasformazione dei dati, pulizia dei dati e test end-to-end prima di poter distribuire la soluzione nell'ambiente di produzione.
Eseguire la configurazione iniziale in un ambiente pilota prima di ridimensionarla a tutti gli utenti nell'ambiente di produzione.
Selezionare le app del connettore di provisioning delle risorse umane cloud
Per facilitare il provisioning di Microsoft Entra dall'app hr cloud in Active Directory, è possibile aggiungere più app del connettore di provisioning dalla raccolta di app Microsoft Entra:
- Provisioning utenti da app HR cloud ad Active Directory: questa app del connettore di provisioning facilita il provisioning degli account utente dall'app HR cloud a un singolo dominio di Active Directory. Se si dispone di più domini, è possibile aggiungere un'istanza di questa app dalla raccolta di app Microsoft Entra per ogni dominio di Active Directory a cui è necessario effettuare il provisioning.
- Cloud HR app to Microsoft Entra user provisioning: Microsoft Entra Connessione è lo strumento usato per sincronizzare gli utenti locali di Active Directory con Microsoft Entra ID. L'app Cloud HR per il provisioning utenti di Microsoft Entra è un connettore usato per effettuare il provisioning di utenti solo cloud dall'app HR cloud a un singolo tenant di Microsoft Entra.
- Writeback delle app hr cloud: questa app del connettore di provisioning semplifica il writeback degli indirizzi di posta elettronica dell'utente da Microsoft Entra ID all'app hr cloud.
Ad esempio, l'immagine seguente elenca le app del connettore Workday disponibili nella raccolta di app Microsoft Entra.
Grafico del flusso decisionale
Usare il grafico del flusso decisionale seguente per identificare le app di provisioning delle risorse umane cloud rilevanti per lo scenario in uso.
Progettare la topologia di distribuzione dell'agente di provisioning di Microsoft Entra Connessione
L'integrazione del provisioning tra l'app hr cloud e Active Directory richiede quattro componenti:
- Tenant dell'app HR cloud
- App connettore di provisioning
- Microsoft Entra Connect Provisioning Agent
- Dominio di Active Directory
La topologia di distribuzione dell'agente di provisioning di Microsoft Entra Connessione dipende dal numero di tenant dell'app hr cloud e dai domini figlio di Active Directory che si prevede di integrare. Se sono presenti più domini di Active Directory, dipende dal fatto che i domini di Active Directory siano contigui o non contigui.
In base alla decisione, scegliere uno degli scenari di distribuzione:
- Tenant dell'app HR cloud singolo:> specificare come destinazione più domini figlio di Active Directory in una foresta attendibile
- Tenant dell'app HR cloud singolo:> specificare come destinazione più domini figlio in una foresta Active Directory non contigua
Tenant dell'app HR cloud singolo:> specificare come destinazione più domini figlio di Active Directory in una foresta attendibile
È consigliabile eseguire la configurazione di produzione seguente:
| Requisito | Elemento consigliato |
|---|---|
| Numero di agenti di provisioning di Microsoft Entra Connessione da distribuire. | Due (per disponibilità elevata e failover). |
| Numero di app del connettore di provisioning da configurare. | Un'app per dominio figlio. |
| Host server per Microsoft Entra Connessione agente di provisioning. | Windows Server 2016 con linea di visualizzazione per geolocare controller di dominio di Active Directory. Può coesistere con il servizio Microsoft Entra Connessione. |
Tenant dell'app HR cloud singolo:> specificare come destinazione più domini figlio in una foresta Active Directory non contigua
Questo scenario comporta il provisioning degli utenti dall'app hr cloud ai domini nelle foreste Active Directory non contigue.
È consigliabile eseguire la configurazione di produzione seguente:
| Requisito | Elemento consigliato |
|---|---|
| Numero di agenti di provisioning di Microsoft Entra Connessione per la distribuzione locale | Due per foresta Active Directory non contigua. |
| Numero di app del connettore di provisioning da configurare | Un'app per dominio figlio. |
| Host server per Microsoft Entra Connessione agente di provisioning. | Windows Server 2016 con linea di visualizzazione per geolocare controller di dominio di Active Directory. Può coesistere con il servizio Microsoft Entra Connessione. |
Requisiti dell'agente di provisioning di Microsoft Entra Connessione
La soluzione di provisioning utenti per l'app HR cloud in Active Directory richiede la distribuzione di uno o più agenti di provisioning di Microsoft Entra Connessione. Questi agenti devono essere distribuiti nei server che eseguono Windows Server 2016 o versione successiva. I server devono avere almeno 4 GB di RAM e runtime .NET 4.7.1+. Assicurarsi che il server host disponga dell'accesso di rete al dominio di Active Directory di destinazione.
Per preparare l'ambiente locale, la configurazione guidata dell'agente di provisioning di Microsoft Entra Connessione registra l'agente con il tenant di Microsoft Entra, apre le porte, consente l'accesso agli URL e supporta la configurazione del proxy HTTPS in uscita.
L'agente di provisioning configura un account del servizio gestito globale (GMSA) per comunicare con i domini di Active Directory.
È possibile selezionare controller di dominio che devono gestire le richieste di provisioning. Se sono presenti diversi controller di dominio distribuiti geograficamente, installare l'agente di provisioning nello stesso sito dei controller di dominio preferiti. Questo posizionamento migliora l'affidabilità e le prestazioni della soluzione end-to-end.
Per la disponibilità elevata, è possibile distribuire più di un agente di provisioning di Microsoft Entra Connessione. Registrare l'agente per gestire lo stesso set di domini di Active Directory locale.
Progettare la topologia di distribuzione dell'app di provisioning delle risorse umane
A seconda del numero di domini di Active Directory coinvolti nella configurazione del provisioning utenti in ingresso, è possibile prendere in considerazione una delle topologie di distribuzione seguenti. Ogni diagramma della topologia usa uno scenario di distribuzione di esempio per evidenziare gli aspetti di configurazione. Usare l'esempio simile al requisito di distribuzione per determinare la configurazione che soddisfa le proprie esigenze.
Topologia di distribuzione 1: singola app per effettuare il provisioning di tutti gli utenti da Cloud HR a un singolo dominio Active Directory locale
La topologia di distribuzione uno è la topologia di distribuzione più comune. Usare questa topologia, se è necessario eseguire il provisioning di tutti gli utenti da Cloud HR a un singolo dominio di Active Directory e alle stesse regole di provisioning si applicano a tutti gli utenti.
Aspetti di configurazione salienti
- Configurare due nodi dell'agente di provisioning per la disponibilità elevata e il failover.
- Usare la configurazione guidata dell'agente di provisioning per registrare il dominio di ACTIVE Directory con il tenant di Microsoft Entra.
- Quando si configura l'app di provisioning, selezionare il dominio di Active Directory dall'elenco a discesa dei domini registrati.
- Se si usano filtri di ambito, configurare l'esclusione dal flag eliminazioni dell'ambito per impedire la disattivazione accidentale dell'account.
Topologia di distribuzione due: separare le app per effettuare il provisioning di set di utenti distinti da Cloud HR a singolo dominio Active Directory locale
Questa topologia supporta i requisiti aziendali in cui il mapping degli attributi e la logica di provisioning differiscono in base al tipo di utente (dipendente/terzista), alla posizione dell'utente o all'unità aziendale dell'utente. È anche possibile usare questa topologia per delegare l'amministrazione e la manutenzione del provisioning utenti in ingresso in base alla divisione o al paese/area geografica.
Aspetti di configurazione salienti
- Configurare due nodi dell'agente di provisioning per la disponibilità elevata e il failover.
- Creare un'app di provisioning HR2AD per ogni set di utenti distinto di cui si vuole eseguire il provisioning.
- Usare i filtri di ambito nell'app di provisioning per definire gli utenti per elaborare ogni app.
- Nello scenario in cui i riferimenti del manager devono essere risolti in set di utenti distinti, creare un'app di provisioning HR2AD separata. Ad esempio, i terzisti segnalano ai manager che sono dipendenti. Usare l'app separata per aggiornare solo l'attributo manager . Impostare l'ambito di questa app su tutti gli utenti.
- Configurare il flag eliminazioni dall'ambito per impedire la disattivazione accidentale dell'account.
Nota
Se non si dispone di un dominio di Active Directory di test e si usa un contenitore TEST OU in AD, è possibile usare questa topologia per creare due app separate HR2AD (Prod) e HR2AD (Test). Usa l'app HR2AD (Test) per testare le modifiche al mapping degli attributi prima di promuoverla nell'app HR2AD (Prod).
Topologia di distribuzione tre: separare le app per effettuare il provisioning di set di utenti distinti da Cloud HR a più domini di Active Directory locale (nessuna visibilità tra domini)
Usare la topologia tre per gestire più domini di Active Directory figlio indipendenti appartenenti alla stessa foresta. Assicurarsi che i manager esistano sempre nello stesso dominio dell'utente. Assicurarsi anche che le regole di generazione id univoca per attributi come userPrincipalName, samAccountName e posta elettronica non richiedano una ricerca a livello di foresta. La topologia tre offre la flessibilità di delegare l'amministrazione di ogni processo di provisioning in base al limite del dominio.
Ad esempio: nel diagramma le app di provisioning vengono configurate per ogni area geografica: America del Nord (NA), Europa, Medio Oriente e Africa (EMEA) e Asia Pacifico (APAC). A seconda della posizione, viene effettuato il provisioning degli utenti nel rispettivo dominio DI ACTIVE Directory. L'amministrazione delegata dell'app di provisioning è possibile in modo che gli amministratori EMEA possano gestire in modo indipendente la configurazione di provisioning degli utenti appartenenti all'area EMEA.
Aspetti di configurazione salienti
- Configurare due nodi dell'agente di provisioning per la disponibilità elevata e il failover.
- Usare la configurazione guidata dell'agente di provisioning per registrare tutti i domini di Active Directory figlio con il tenant di Microsoft Entra.
- Creare un'app di provisioning HR2AD separata per ogni dominio di destinazione.
- Quando si configura l'app di provisioning, selezionare il rispettivo dominio ad figlio nell'elenco a discesa dei domini di Active Directory disponibili.
- Usare i filtri di ambito nell'app di provisioning per definire gli utenti che ogni app elabora.
- Configurare il flag eliminazioni dall'ambito per impedire la disattivazione accidentale dell'account.
Topologia di distribuzione quattro: separare le app per effettuare il provisioning di set di utenti distinti da Cloud HR a più domini di Active Directory locale (con visibilità tra domini)
Usare la topologia quattro per gestire più domini di Active Directory figlio indipendenti appartenenti alla stessa foresta. Il manager di un utente può esistere in un dominio diverso. Inoltre, le regole di generazione di ID univoci per attributi come userPrincipalName, samAccountName e posta richiedono una ricerca a livello di foresta.
Ad esempio: nel diagramma le app di provisioning vengono configurate per ogni area geografica: America del Nord (NA), Europa, Medio Oriente e Africa (EMEA) e Asia Pacifico (APAC). A seconda della posizione, viene effettuato il provisioning degli utenti nel rispettivo dominio DI ACTIVE Directory. I riferimenti tra i gestori di domini e la ricerca a livello di foresta vengono gestiti abilitando l'individuazione delle segnalazioni nell'agente di provisioning.
Aspetti di configurazione salienti
- Configurare due nodi dell'agente di provisioning per la disponibilità elevata e il failover.
- Configurare l'inseguimento delle segnalazioni nell'agente di provisioning.
- Usare la configurazione guidata dell'agente di provisioning per registrare il dominio ad padre e tutti i domini DI AD figlio con il tenant di Microsoft Entra.
- Creare un'app di provisioning HR2AD separata per ogni dominio di destinazione.
- Quando si configura ogni app di provisioning, selezionare il dominio di Active Directory padre nell'elenco a discesa dei domini AD disponibili. La selezione del dominio padre garantisce la ricerca a livello di foresta durante la generazione di valori univoci per attributi come userPrincipalName, samAccountName e posta elettronica.
- Usare parentDistinguishedName con il mapping delle espressioni per creare dinamicamente l'utente nel dominio figlio e nel contenitore dell'unità organizzativa corretti.
- Usare i filtri di ambito nell'app di provisioning per definire gli utenti che ogni app elabora.
- Per risolvere i riferimenti ai gestori tra domini, creare un'app di provisioning HR2AD separata per aggiornare solo l'attributo manager . Impostare l'ambito di questa app su tutti gli utenti.
- Configurare il flag eliminazioni dall'ambito per impedire la disattivazione accidentale dell'account.
Topologia di distribuzione 5: singola app per effettuare il provisioning di tutti gli utenti da Cloud HR a più domini di Active Directory locale (con visibilità tra domini)
Usare questa topologia se si vuole usare una singola app di provisioning per gestire gli utenti appartenenti a tutti i domini di Active Directory padre e figlio. Questa topologia è consigliata se le regole di provisioning sono coerenti in tutti i domini e non esiste alcun requisito per l'amministrazione delegata dei processi di provisioning. Questa topologia supporta la risoluzione dei riferimenti tra domini e può eseguire un controllo univoco a livello di foresta.
Ad esempio: nel diagramma una singola app di provisioning gestisce gli utenti presenti in tre domini figlio diversi raggruppati per area: America del Nord (NA), Europa, Medio Oriente e Africa (EMEA) e Asia Pacifico (APAC). Il mapping degli attributi per parentDistinguishedName viene usato per creare dinamicamente un utente nel dominio figlio appropriato. I riferimenti tra i gestori di domini e la ricerca a livello di foresta vengono gestiti abilitando l'individuazione delle segnalazioni nell'agente di provisioning.
Aspetti di configurazione salienti
- Configurare due nodi dell'agente di provisioning per la disponibilità elevata e il failover.
- Configurare l'inseguimento delle segnalazioni nell'agente di provisioning.
- Usare la configurazione guidata dell'agente di provisioning per registrare il dominio ad padre e tutti i domini DI AD figlio con il tenant di Microsoft Entra.
- Creare una singola app di provisioning HR2AD per l'intera foresta.
- Quando si configura l'app di provisioning, selezionare il dominio di Active Directory padre nell'elenco a discesa dei domini di Active Directory disponibili. La selezione del dominio padre garantisce la ricerca a livello di foresta durante la generazione di valori univoci per attributi come userPrincipalName, samAccountName e posta elettronica.
- Usare parentDistinguishedName con il mapping delle espressioni per creare dinamicamente l'utente nel dominio figlio e nel contenitore dell'unità organizzativa corretti.
- Se si usano filtri di ambito, configurare l'esclusione dal flag eliminazioni dell'ambito per impedire la disattivazione accidentale dell'account.
Topologia di distribuzione 6: separare le app per effettuare il provisioning di utenti distinti dalle risorse umane cloud alle foreste Active Directory locale disconnesse
Usare questa topologia se l'infrastruttura IT ha disconnesso/disgiunto foreste di Active Directory ed è necessario effettuare il provisioning di utenti in foreste diverse in base all'affiliazione aziendale. Ad esempio: è necessario effettuare il provisioning degli utenti che lavorano per contoso sussidiari nel dominio di contoso.com, mentre gli utenti che lavorano per Fabrikam devono essere sottoposte a provisioning nel dominio di fabrikam.com.
Aspetti di configurazione salienti
- Configurare due diversi set di agenti di provisioning per la disponibilità elevata e il failover, uno per ogni foresta.
- Creare due app di provisioning diverse, una per ogni foresta.
- Se è necessario risolvere i riferimenti tra domini all'interno della foresta, abilitare il rilevamento delle segnalazioni nell'agente di provisioning.
- Creare un'app di provisioning HR2AD separata per ogni foresta disconnessa.
- Quando si configura ogni app di provisioning, selezionare il dominio di Active Directory padre appropriato nell'elenco a discesa dei nomi di dominio AD disponibili.
- Configurare il flag eliminazioni dall'ambito per impedire la disattivazione accidentale dell'account.
Topologia di distribuzione 7: separare le app per effettuare il provisioning di utenti distinti da più risorse umane cloud a foreste Active Directory locale disconnesse
Nelle organizzazioni di grandi dimensioni, non è insolito avere più sistemi HR. Durante gli scenari di M&A (fusioni e acquisizioni) aziendali, potrebbe essere necessario connettere il Active Directory locale a più origini HR. È consigliabile usare la topologia se si dispone di più origini HR e si vogliono incanalare i dati di identità da queste origini hr a domini di Active Directory locale uguali o diversi.
Aspetti di configurazione salienti
- Configurare due diversi set di agenti di provisioning per la disponibilità elevata e il failover, uno per ogni foresta.
- Se è necessario risolvere i riferimenti tra domini all'interno della foresta, abilitare il rilevamento delle segnalazioni nell'agente di provisioning.
- Creare un'app di provisioning HR2AD separata per ogni sistema HR e Active Directory locale combinazione.
- Quando si configura ogni app di provisioning, selezionare il dominio di Active Directory padre appropriato nell'elenco a discesa dei nomi di dominio AD disponibili.
- Configurare il flag eliminazioni dall'ambito per impedire la disattivazione accidentale dell'account.
Pianificare i filtri di ambito e il mapping degli attributi
Quando si abilita il provisioning dall'app HR cloud ad Active Directory o all'ID Microsoft Entra, il portale di Azure controlla i valori degli attributi tramite il mapping degli attributi.
Definire i filtri di ambito
Usare i filtri di ambito per definire le regole basate su attributi che determinano quali utenti devono essere sottoposte a provisioning dall'app hr cloud ad Active Directory o a Microsoft Entra ID.
Quando si avvia il processo join, raccogliere i requisiti seguenti:
- L'app hr cloud viene usata per portare a bordo sia i dipendenti che i lavoratori dipendenti?
- Si prevede di usare l'app cloud HR per il provisioning utenti di Microsoft Entra per gestire sia i dipendenti che i lavoratori contingenti?
- Si prevede di implementare l'app hr cloud nel provisioning utenti di Microsoft Entra solo per un subset degli utenti dell'app hr cloud? Un esempio potrebbe essere solo dipendenti.
A seconda dei requisiti, quando si configurano i mapping degli attributi, è possibile impostare il campo Ambito oggetto di origine per selezionare i set di utenti nell'app hr cloud nell'ambito del provisioning in Active Directory. Per altre informazioni, vedere l'esercitazione sull'app hr cloud per i filtri di ambito comunemente usati.
Determinare gli attributi corrispondenti
Con il provisioning, è possibile trovare la corrispondenza tra gli account esistenti tra il sistema di origine e quello di destinazione. Integrando l'app hr cloud con il servizio di provisioning Microsoft Entra, è possibile configurare il mapping degli attributi per determinare quali dati utente devono essere trasmessi dall'app hr cloud ad Active Directory o Microsoft Entra ID.
Quando si avvia il processo join, raccogliere i requisiti seguenti:
- Qual è l'ID univoco in questa app hr cloud usata per identificare ogni utente?
- Dal punto di vista del ciclo di vita delle identità, come si gestiscono i rehir? I rehires mantengono gli ID dei vecchi dipendenti?
- Si elaborano in anticipo assunzioni datate future e si creano account Active Directory?
- Dal punto di vista del ciclo di vita delle identità, come si gestisce la conversione dei dipendenti a un lavoratore contingente o in altro modo?
- Gli utenti convertiti mantengono i propri account Active Directory obsoleti o ne ottengono di nuovi?
A seconda dei requisiti, Microsoft Entra ID supporta il mapping diretto tra attributi fornendo valori costanti o scrivendo espressioni per i mapping degli attributi. Questa flessibilità consente di controllare in modo definitivo gli elementi popolati nell'attributo dell'app di destinazione. È possibile usare l'API Microsoft Graph e Graph Explorer per esportare i mapping e lo schema degli attributi di provisioning degli utenti in un file JSON e importarlo nuovamente in Microsoft Entra ID.
Per impostazione predefinita, l'attributo nell'app hr cloud che rappresenta l'ID dipendente univoco viene usato come attributo corrispondente mappato all'attributo univoco in Active Directory. Ad esempio, nello scenario dell'app Workday, l'attributo WorkdayWorkerID viene mappato all'attributo EmployeeID di Active Directory.
È possibile impostare più attributi corrispondenti e assegnare la precedenza corrispondente. Vengono valutati in base alla precedenza corrispondente. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.
È anche possibile personalizzare i mapping degli attributi predefiniti, ad esempio la modifica o l'eliminazione dei mapping degli attributi esistenti. È anche possibile creare nuovi mapping di attributi in base alle esigenze aziendali. Per altre informazioni, vedere l'esercitazione sull'app hr cloud (ad esempio Workday) per un elenco di attributi personalizzati da mappare.
Determinare lo stato dell'account utente
Per impostazione predefinita, l'app connettore di provisioning esegue il mapping dello stato del profilo utente HR allo stato dell'account utente. Lo stato viene usato per determinare se abilitare o disabilitare l'account utente.
Quando si avvia il processo Joiners-Leavers, raccogliere i requisiti seguenti.
| Processo | Requisiti |
|---|---|
| Falegnami | Dal punto di vista del ciclo di vita delle identità, come si gestiscono i rehir? I rehires mantengono gli ID dei vecchi dipendenti? |
| Si elaborano in anticipo assunzioni datate future e si creano account Active Directory? Questi account vengono creati in uno stato abilitato o disabilitato? | |
| Dal punto di vista del ciclo di vita delle identità, come si gestisce la conversione dei dipendenti a un lavoratore contingente o in altro modo? | |
| Gli utenti convertiti mantengono i propri account Active Directory obsoleti o ne ottengono di nuovi? | |
| Leaver | Le terminazioni vengono gestite in modo diverso per i dipendenti e i lavoratori contingenti in Active Directory? |
| Quali date di validità vengono considerate per l'elaborazione della terminazione dell'utente? | |
| In che modo le conversioni dei dipendenti e dei lavoratori contingenti influiscono sugli account Active Directory esistenti? | |
| Come si elabora l'operazione Rescind in Active Directory? Le operazioni di riesezione devono essere gestite se le future assunzioni datate vengono create in Active Directory come parte del processo di join. |
A seconda dei requisiti, è possibile personalizzare la logica di mapping usando le espressioni Microsoft Entra in modo che l'account Di Active Directory sia abilitato o disabilitato in base a una combinazione di punti dati.
Eseguire il mapping dell'app HR cloud agli attributi utente di Active Directory
Ogni app hr cloud viene fornita con l'app hr cloud predefinita ai mapping di Active Directory.
Quando si avvia il processo Joiners-Movers-Leavers, raccogliere i requisiti seguenti.
| Processo | Requisiti |
|---|---|
| Falegnami | Il processo di creazione dell'account Active Directory è manuale, automatizzato o parzialmente automatizzato? |
| Si prevede di propagare attributi personalizzati dall'app hr cloud ad Active Directory? | |
| Motori | Quali attributi si desidera elaborare ogni volta che viene eseguita un'operazione Movers nell'app hr cloud? |
| Si eseguono convalide di attributi specifici al momento degli aggiornamenti degli utenti? In caso affermativo, specificare i dettagli. | |
| Leaver | Le terminazioni vengono gestite in modo diverso per i dipendenti e i lavoratori contingenti in Active Directory? |
| Quali date di validità vengono considerate per l'elaborazione della terminazione dell'utente? | |
| In che modo le conversioni dei dipendenti e dei lavoratori contingenti influiscono sugli account Active Directory esistenti? |
A seconda dei requisiti, è possibile modificare i mapping per soddisfare gli obiettivi di integrazione. Per altre informazioni, vedere l'esercitazione specifica sull'app hr cloud (ad esempio Workday) per un elenco di attributi personalizzati da mappare.
Generare un valore di attributo univoco
Gli attributi come CN, samAccountName e UPN hanno vincoli univoci. Potrebbe essere necessario generare valori di attributo univoci quando si avvia il processo joiner.
La funzione Microsoft Entra ID SelectUniqueValues valuta ogni regola e quindi controlla il valore generato per l'univocità nel sistema di destinazione. Per un esempio, vedere Generare un valore univoco per l'attributo userPrincipalName (UPN).
Nota
Questa funzione è attualmente supportata solo per il provisioning utenti da Workday ad Active Directory e SAP SuccessFactors ad Active Directory. Non può essere usato con altre app di provisioning.
Configurare l'assegnazione del contenitore dell'unità organizzativa di Active Directory
È un requisito comune inserire gli account utente di Active Directory in contenitori in base a business unit, località e reparti. Quando si avvia un processo di Movers e si verifica una modifica dell'organizzazione di supervisione, potrebbe essere necessario spostare l'utente da un'unità organizzativa a un'altra in Active Directory.
Usare la funzione Switch() per configurare la logica di business per l'assegnazione dell'unità organizzativa ed eseguirne il mapping all'attributo di Active Directory parentDistinguishedName.
Ad esempio, se si desidera creare utenti nell'unità organizzativa in base all'attributo HR Municipality, è possibile usare l'espressione seguente:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
Con questa espressione, se il valore di Municipality è Dallas, Austin, Seattle o London, l'account utente viene creato nell'unità organizzativa corrispondente. Se non esiste alcuna corrispondenza, l'account viene creato nell'unità organizzativa predefinita.
Pianificare la distribuzione delle password dei nuovi account utente
Quando si avvia il processo join, è necessario impostare e recapitare una password temporanea dei nuovi account utente. Con il provisioning utenti di Cloud HR to Microsoft Entra, è possibile implementare la funzionalità di reimpostazione della password self-service di Microsoft Entra ID (SSPR) per l'utente al giorno 1.
La reimpostazione della password self-service è un modo semplice per consentire agli amministratori IT di reimpostare le password o sbloccare gli account. È possibile effettuare il provisioning dell'attributo Mobile Number dall'app HR cloud ad Active Directory e sincronizzarlo con Microsoft Entra ID. Dopo che l'attributo Mobile Number è in Microsoft Entra ID, è possibile abilitare la reimpostazione della password self-service per l'account dell'utente. Quindi il giorno 1, il nuovo utente può usare il numero di cellulare registrato e verificato per l'autenticazione. Per informazioni dettagliate su come precompilare le informazioni di contatto di autenticazione, vedere la documentazione sulla reimpostazione della password self-service.
Pianificare il ciclo iniziale
Quando il servizio di provisioning Di Microsoft Entra viene eseguito per la prima volta, esegue un ciclo iniziale sull'app hr cloud per creare uno snapshot di tutti gli oggetti utente nell'app hr cloud. Il tempo impiegato per i cicli iniziali dipende direttamente dal numero di utenti presenti nel sistema di origine. Il ciclo iniziale per alcuni tenant di app hr cloud con oltre 100.000 utenti può richiedere molto tempo.
Per i tenant di app hr cloud di grandi dimensioni (>30.000 utenti), eseguire il ciclo iniziale in fasi progressive. Avviare gli aggiornamenti incrementali solo dopo aver verificato che gli attributi corretti siano impostati in Active Directory per diversi scenari di provisioning utenti. Segui l'ordine qui.
- Eseguire il ciclo iniziale solo per un set limitato di utenti impostando il filtro di ambito.
- Verificare il provisioning dell'account Active Directory e i valori degli attributi impostati per gli utenti selezionati per la prima esecuzione. Se il risultato soddisfa le aspettative, espandere il filtro di ambito per includere progressivamente più utenti e verificare i risultati per la seconda esecuzione.
Dopo aver soddisfatto i risultati del ciclo iniziale per gli utenti di test, avviare gli aggiornamenti incrementali.
Pianificare test e sicurezza
Una distribuzione è costituita da fasi che vanno dal progetto pilota iniziale all'abilitazione del provisioning utenti. In ogni fase, assicurarsi di eseguire il test per i risultati previsti. Controllare anche i cicli di provisioning.
Panificare i test
Dopo aver configurato l'app cloud HR per il provisioning utenti di Microsoft Entra, eseguire test case per verificare se questa soluzione soddisfa i requisiti dell'organizzazione.
| Scenari | Risultati previsti |
|---|---|
| Il nuovo dipendente viene assunto nell'app hr cloud. | - Viene effettuato il provisioning dell'account utente in Active Directory.- L'utente può accedere alle app di dominio Active Directory ed eseguire le azioni desiderate.- Se microsoft Entra Connessione Sync è configurato, l'account utente viene creato anche in Microsoft Entra ID. |
| L'utente viene terminato nell'app hr cloud. | - L'account utente è disabilitato in Active Directory.- L'utente non può accedere ad app aziendali protette da Active Directory. |
| L'organizzazione di supervisione utente viene aggiornata nell'app hr cloud. | In base al mapping degli attributi, l'account utente passa da un'unità organizzativa a un'altra in Active Directory. |
| Le risorse umane aggiornano il responsabile dell'utente nell'app hr cloud. | Il campo manager in Active Directory viene aggiornato in modo da riflettere il nome del nuovo manager. |
| Le risorse umane riassunse un dipendente in un nuovo ruolo. | Il comportamento dipende dal modo in cui l'app hr cloud è configurata per generare ID dipendente. Se l'ID dipendente precedente viene usato per un dipendente riassunto, il connettore abilita l'account Active Directory esistente per l'utente. Se il dipendente assunto ottiene un nuovo ID dipendente, il connettore crea un nuovo account Active Directory per l'utente. |
| Le risorse umane converte il dipendente in un lavoratore del contratto o viceversa. | Viene creato un nuovo account Active Directory per il nuovo utente e l'account precedente viene disabilitato alla data di validità della conversione. |
Usare i risultati precedenti per determinare come eseguire la transizione dell'implementazione del provisioning utenti automatico nell'ambiente di produzione in base alle sequenze temporali stabilite.
Suggerimento
Usare tecniche come la riduzione dei dati e lo scrubbing dei dati quando si aggiorna l'ambiente di test con i dati di produzione per rimuovere o mascherare i dati personali sensibili in modo da rispettare gli standard di privacy e sicurezza.
Pianificare la sicurezza
È comune che sia necessaria una verifica della sicurezza come parte della distribuzione di un nuovo servizio. Se è necessaria o non è stata eseguita una verifica della sicurezza, vedere i numerosi white paper microsoft Entra ID che forniscono una panoramica dell'identità come servizio.
Pianificare il rollback
L'implementazione del provisioning utenti hr cloud potrebbe non funzionare come desiderato nell'ambiente di produzione. In tal caso, i passaggi di rollback seguenti possono essere utili per ripristinare uno stato valido noto precedente.
- Esaminare i log di provisioning per determinare le operazioni non corrette eseguite su utenti o gruppi interessati. Per altre informazioni sul report di riepilogo del provisioning e sui log, vedere Gestire il provisioning utenti delle app hr cloud.
- L'ultimo stato valido noto degli utenti o dei gruppi interessati può essere determinato tramite i log di controllo di provisioning o esaminando i sistemi di destinazione (MICROSOFT Entra ID o Active Directory).
- Collaborare con il proprietario dell'app per aggiornare gli utenti o i gruppi interessati direttamente nell'app usando gli ultimi valori di stato valido noti.
Distribuire l'app hr cloud
Scegliere l'app hr cloud allineata ai requisiti della soluzione.
Workday: per importare i profili di lavoro da Workday in Active Directory e Microsoft Entra ID, vedere Esercitazione: Configurare Workday per il provisioning utenti automatico. Facoltativamente, è possibile scrivere nuovamente l'indirizzo di posta elettronica, il nome utente e il numero di telefono in Workday.
SAP SuccessFactors: per importare i profili di lavoro da SuccessFactors in Active Directory e Microsoft Entra ID, vedere Esercitazione: Configurare SAP SuccessFactors per il provisioning utenti automatico. Facoltativamente, è possibile scrivere di nuovo l'indirizzo di posta elettronica e il nome utente in SuccessFactors.
Gestire la configurazione
Microsoft Entra ID può fornire maggiori informazioni dettagliate sull'utilizzo e sull'integrità operativa del provisioning degli utenti dell'organizzazione tramite log di controllo e report.
Ottenere informazioni dettagliate dai report e dai log
Dopo un ciclo iniziale corretto, il servizio di provisioning di Microsoft Entra continua a eseguire aggiornamenti incrementali back-to-back per un periodo illimitato, a intervalli definiti nelle esercitazioni specifiche di ogni app, fino a quando non si verifica uno degli eventi seguenti:
- Il servizio viene arrestato manualmente. Un nuovo ciclo iniziale viene attivato tramite l'interfaccia di amministrazione di Microsoft Entra o il comando appropriato dell'API Microsoft Graph.
- Viene attivato un nuovo ciclo iniziale a causa di una modifica dei mapping degli attributi o dei filtri di ambito.
- Il processo di provisioning entra in quarantena a causa di una frequenza di errore elevata. Rimane in quarantena per più di quattro settimane, in cui viene disabilitata automaticamente.
Per esaminare questi eventi e tutte le altre attività eseguite dal servizio di provisioning, informazioni su come esaminare i log e ottenere report sull'attività di provisioning.
Log di Monitoraggio di Azure
Tutte le attività eseguite dal servizio di provisioning vengono registrate nei log di controllo di Microsoft Entra. È possibile indirizzare i log di controllo di Microsoft Entra ai log di Monitoraggio di Azure per ulteriori analisi. Con i log di Monitoraggio di Azure (nota anche come area di lavoro Log Analytics), è possibile eseguire query sui dati per trovare eventi, analizzare le tendenze ed eseguire la correlazione tra varie origini dati. Guardare questo video per informazioni sui vantaggi dell'uso dei log di Monitoraggio di Azure per i log di Microsoft Entra in scenari utente pratici.
Installare le visualizzazioni di Log Analytics per i log attività di Microsoft Entra per ottenere l'accesso ai report predefiniti relativi agli eventi di provisioning nell'ambiente in uso.
Per altre informazioni, vedere come analizzare i log attività di Microsoft Entra con i log di Monitoraggio di Azure.
Gestire dati personali
L'agente di provisioning di Microsoft Entra Connessione installato nel server Windows crea i log nel registro eventi di Windows che potrebbero contenere dati personali a seconda del mapping dell'app HR cloud ai mapping degli attributi di Active Directory. Per rispettare gli obblighi di privacy degli utenti, configurare un'attività pianificata di Windows per cancellare il registro eventi e assicurarsi che nessun dato venga mantenuto oltre 48 ore.
Il servizio di provisioning Microsoft Entra non genera report, esegue analisi o fornisce informazioni dettagliate oltre 30 giorni perché il servizio non archivia, elabora o mantiene dati oltre 30 giorni.
Risoluzione dei problemi
Per risolvere eventuali problemi che potrebbero verificarsi durante il provisioning, vedere gli articoli seguenti:
- Problema durante la configurazione del provisioning utenti in un'applicazione di Microsoft Entra Gallery
- Sincronizzare un attributo dal Active Directory locale all'ID Microsoft Entra per il provisioning in un'applicazione
- Problema durante il salvataggio delle credenziali di amministratore durante la configurazione del provisioning utenti in un'applicazione di Microsoft Entra Gallery
- Non viene effettuato il provisioning di utenti in un'applicazione di Microsoft Entra Gallery
- È in corso il provisioning di un set errato di utenti in un'applicazione di Microsoft Entra Gallery
- Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agente
- Configurazione dei log di controllo per la risoluzione dei problemi del servizio
- Riconoscimento di log per operazioni di creazione per l'account utente di AD
- Riconoscimento di log per operazioni di aggiornamento manager
- Risoluzione degli errori più comuni