Provisioning su richiesta in Microsoft Entra ID

Usare il provisioning su richiesta per effettuare il provisioning di un utente o di un gruppo in pochi secondi. Tra le altre cose, è possibile usare questa funzionalità per:

• Risolvere rapidamente i problemi di configurazione.
• Convalidare le espressioni definite.
• Testare i filtri di ambito.

Come usare il provisioning su richiesta

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali> selezionare l'applicazione.
3. Selezionare Provisioning.

2. Passare a Identità>identità esterne - Configurazioni>di sincronizzazione>tra tenant
3. Selezionare la configurazione e quindi passare alla pagina Configurazione del provisioning .

4. Configurare il provisioning fornendo le credenziali di amministratore.

5. Selezionare Provision on demand (Provision on demand).

6. Cercare un utente in base al nome, al cognome, al nome visualizzato, al nome dell'entità utente o all'indirizzo di posta elettronica. In alternativa, è possibile cercare un gruppo e selezionare fino a cinque utenti.

   Nota

   Per l'app di provisioning delle risorse umane cloud (Workday/SuccessFactors in Active Directory/Microsoft Entra ID), il valore di input è diverso. Per lo scenario Workday, specificare "WorkerID" o "WID" dell'utente in Workday. Per lo scenario successFactors, specificare "personIdExternal" dell'utente in SuccessFactors.

7. Selezionare Provision (Provision) nella parte inferiore della pagina.

   

Informazioni sui passaggi di provisioning

Il processo di provisioning su richiesta tenta di mostrare i passaggi eseguiti dal servizio di provisioning durante il provisioning di un utente. Per effettuare il provisioning di un utente sono in genere necessari cinque passaggi. Uno o più di questi passaggi, illustrati nelle sezioni seguenti, vengono illustrati durante l'esperienza di provisioning su richiesta.

Passaggio 1: Testare la connessione

Il servizio di provisioning tenta di autorizzare l'accesso al sistema di destinazione effettuando una richiesta per un "utente di test". Il servizio di provisioning prevede una risposta che indica che il servizio autorizzato a continuare con i passaggi di provisioning. Questo passaggio viene visualizzato solo quando ha esito negativo. Non viene visualizzato durante l'esperienza di provisioning su richiesta quando il passaggio ha esito positivo.

Suggerimenti per la risoluzione dei problemi

• Assicurarsi di aver fornito credenziali valide, ad esempio il token segreto e l'URL del tenant, al sistema di destinazione. Le credenziali necessarie variano in base all'applicazione. Per esercitazioni dettagliate sulla configurazione, vedere l'elenco delle esercitazioni.
• Assicurarsi che il sistema di destinazione supporti il filtro sugli attributi corrispondenti definiti nel riquadro Mapping attributi . Potrebbe essere necessario controllare la documentazione dell'API fornita dallo sviluppatore dell'applicazione per comprendere i filtri supportati.
• Per le applicazioni SCIM (System for Cross-Domain Identity Management), è possibile usare uno strumento come Postman. Tali strumenti consentono di garantire che l'applicazione risponda alle richieste di autorizzazione nel modo previsto dal servizio di provisioning Di Microsoft Entra. Esaminare una richiesta di esempio.

Passaggio 2: Importare l'utente

Il servizio di provisioning recupera quindi l'utente dal sistema di origine. Gli attributi utente recuperati dal servizio vengono usati in un secondo momento per:

• Valutare se l'utente è nell'ambito del provisioning.
• Controllare il sistema di destinazione per un utente esistente.
• Determinare gli attributi utente da esportare nel sistema di destinazione.

Visualizza dettagli

La sezione Visualizza dettagli mostra le proprietà dell'utente importate dal sistema di origine, ad esempio Microsoft Entra ID.

Suggerimenti per la risoluzione dei problemi

• L'importazione dell'utente può non riuscire quando l'attributo corrispondente non è presente nell'oggetto utente nel sistema di origine. Per risolvere questo errore, provare uno di questi approcci:

  • Aggiornare l'oggetto utente con un valore per l'attributo corrispondente.
  • Modificare l'attributo corrispondente nella configurazione del provisioning.

• Se nell'elenco importato manca un attributo previsto, verificare che l'attributo abbia un valore sull'oggetto utente nel sistema di origine. Il servizio di provisioning attualmente non supporta il provisioning degli attributi Null.

• Assicurarsi che la pagina Mapping attributi della configurazione del provisioning contenga l'attributo previsto.

Passaggio 3: Determinare se l'utente è nell'ambito

Successivamente, il servizio di provisioning determina se l'utente è nell'ambito del provisioning. Il servizio considera aspetti come:

• Indica se l'utente è assegnato all'applicazione.
• Indica se l'ambito è impostato su Sincronizza assegnato o Sincronizza tutto.
• Filtri di ambito definiti nella configurazione del provisioning.

Visualizza dettagli

La sezione Visualizza dettagli mostra le condizioni di ambito valutate. È possibile che vengano visualizzate una o più delle proprietà seguenti:

• Attivo nel sistema di origine indica che l'utente ha la proprietà impostata IsActive su true in Microsoft Entra ID.
• Assegnato all'applicazione indica che l'utente viene assegnato all'applicazione in Microsoft Entra ID.
• La sincronizzazione dell'ambito indica che l'impostazione dell'ambito consente a tutti gli utenti e i gruppi nel tenant.
• L'utente ha un ruolo obbligatorio indica che l'utente dispone dei ruoli necessari di cui eseguire il provisioning nell'applicazione.
• I filtri di ambito vengono visualizzati anche se sono stati definiti filtri di ambito per l'applicazione. Il filtro viene visualizzato con il formato seguente: {titolo filtro ambito} {attributo filtro ambito} {operatore filtro ambito} {valore filtro ambito}.

Suggerimenti per la risoluzione dei problemi

• Assicurarsi di aver definito un ruolo di ambito valido. Ad esempio, evitare di usare l'operatore Greater_Than con un valore non predefinito.
• Se l'utente non ha il ruolo necessario, esaminare i suggerimenti per il provisioning degli utenti assegnati al ruolo di accesso predefinito.

Passaggio 4: Associare l'utente tra l'origine e la destinazione

In questo passaggio il servizio tenta di trovare una corrispondenza con l'utente recuperato nel passaggio di importazione con un utente nel sistema di destinazione.

Visualizza dettagli

La pagina Visualizza dettagli mostra le proprietà degli utenti corrispondenti nel sistema di destinazione. Il riquadro di contesto cambia come segue:

• Se nessun utente viene confrontato nel sistema di destinazione, non vengono visualizzate proprietà.
• Se un utente corrisponde al sistema di destinazione, vengono visualizzate le proprietà di tale utente.
• Se più utenti corrispondono, vengono visualizzate le proprietà di entrambi gli utenti.
• Se più attributi corrispondenti fanno parte dei mapping degli attributi, ogni attributo corrispondente viene valutato in sequenza e vengono visualizzati gli utenti corrispondenti per tale attributo.

Suggerimenti per la risoluzione dei problemi

• Il servizio di provisioning potrebbe non essere in grado di associare un utente nel sistema di origine in modo univoco a un utente nella destinazione. Risolvere questo problema assicurandosi che l'attributo corrispondente sia univoco.
• Assicurarsi che il sistema di destinazione supporti il filtro sull'attributo definito come attributo corrispondente.

Passaggio 5: Eseguire un'azione

Infine, il servizio di provisioning esegue un'azione, ad esempio la creazione, l'aggiornamento, l'eliminazione o l'eliminazione dell'utente.

Di seguito è riportato un esempio di ciò che potrebbe essere visualizzato dopo il provisioning su richiesta di un utente:

Visualizza dettagli

Nella sezione Visualizza dettagli vengono visualizzati gli attributi modificati nel sistema di destinazione. Questa visualizzazione rappresenta l'output finale dell'attività del servizio di provisioning e gli attributi esportati. Se questo passaggio ha esito negativo, gli attributi visualizzati rappresentano gli attributi che il servizio di provisioning ha tentato di modificare.

Suggerimenti per la risoluzione dei problemi

• Gli errori per l'esportazione delle modifiche possono variare notevolmente. Consultare la documentazione relativa ai log di provisioning per individuare errori comuni.
• Il provisioning su richiesta indica che non è possibile effettuare il provisioning del gruppo o dell'utente perché non sono assegnati all'applicazione. Si verifica un ritardo di replica di un massimo di alcuni minuti tra quando un oggetto viene assegnato a un'applicazione e quando tale assegnazione viene rispettata nel provisioning su richiesta. Potrebbe essere necessario attendere alcuni minuti e riprovare.

Domande frequenti

• È necessario disattivare il provisioning per usare il provisioning su richiesta? Per le applicazioni che usano un token di connessione di lunga durata o un nome utente e una password per l'autorizzazione, non sono necessari altri passaggi. Le applicazioni che usano OAuth per l'autorizzazione richiedono attualmente che il processo di provisioning venga arrestato prima di usare il provisioning su richiesta. Le applicazioni come G Suite, Box, Workplace by Facebook e Slack rientrano in questa categoria. Il lavoro è in corso per supportare il provisioning su richiesta per tutte le applicazioni senza dover interrompere il provisioning dei processi.

• Quanto tempo richiede il provisioning su richiesta? Il provisioning su richiesta richiede in genere meno di 30 secondi.

Limitazioni note

Esistono attualmente alcune limitazioni note per il provisioning su richiesta. Pubblicare suggerimenti e commenti e suggerimenti in modo da poter determinare meglio i miglioramenti da apportare.

Nota

Le limitazioni seguenti sono specifiche per la funzionalità di provisioning su richiesta. Per informazioni sul fatto che un'applicazione supporti gruppi di provisioning, eliminazioni o altre funzionalità, vedere l'esercitazione relativa all'applicazione.

• Il provisioning su richiesta dei gruppi supporta l'aggiornamento di un massimo di cinque membri alla volta. Connessione ors per la sincronizzazione tra tenant, Workday e così via, non supportano il provisioning dei gruppi e di conseguenza non supportano il provisioning su richiesta dei gruppi.
• L'API della richiesta di provisioning su richiesta può accettare un singolo gruppo con un massimo di 5 membri alla volta.

• Il provisioning su richiesta dei gruppi non è supportato per la sincronizzazione tra tenant.

• Il provisioning su richiesta supporta il provisioning di un utente alla volta tramite l'interfaccia di amministrazione di Microsoft Entra.
• Il ripristino di un utente eliminato risolto in precedenza nel tenant di destinazione con provisioning su richiesta non è supportato. Se si tenta di eliminare soft-delete un utente con provisioning su richiesta e quindi ripristinare l'utente, può comportare utenti duplicati.
• Il provisioning su richiesta dei ruoli non è supportato.
• Il provisioning su richiesta supporta la disabilitazione degli utenti non assegnati dall'applicazione. Tuttavia, non supporta la disabilitazione o l'eliminazione di utenti che sono stati disabilitati o eliminati da Microsoft Entra ID. Questi utenti non vengono visualizzati quando si cerca un utente.
• Il provisioning su richiesta non supporta i gruppi annidati non assegnati direttamente all'applicazione.

Passaggi successivi

• Risoluzione dei problemi di provisioning