Provisioning su richiesta in Azure Active Directory

Usare il provisioning su richiesta per effettuare il provisioning di un utente o di un gruppo in pochi secondi. Tra le altre cose, è possibile usare questa funzionalità per:

  • Risolvere rapidamente i problemi di configurazione.
  • Convalidare le espressioni definite.
  • Testare i filtri di ambito.

Come usare il provisioning su richiesta

  1. Accedere al portale di Azure.

  2. Passare a Tutti i servizi>Applicazioni aziendali.

  3. Selezionare l'applicazione e quindi passare alla pagina di configurazione del provisioning.

  4. Configurare il provisioning specificando le credenziali di amministratore.

  5. Selezionare Provision on demand (Provision on demand).

  6. Cercare un utente in base al nome, al cognome, al nome visualizzato, al nome dell'entità utente o all'indirizzo di posta elettronica. In alternativa, è possibile cercare un gruppo e selezionare fino a 5 utenti.

    Nota

    Per l'app di provisioning delle risorse umane cloud (Workday/SuccessFactors in AD/Azure AD), il valore di input è diverso. Per lo scenario Workday, specificare "WorkerID" o "WID" dell'utente in Workday. Per lo scenario successFactors, specificare "personIdExternal" dell'utente in SuccessFactors.

  7. Selezionare Provision (Provision) nella parte inferiore della pagina.

Screenshot che mostra l'interfaccia utente portale di Azure per il provisioning di un utente su richiesta.

Informazioni sui passaggi di provisioning

Il processo di provisioning su richiesta tenta di mostrare i passaggi eseguiti dal servizio di provisioning durante il provisioning di un utente. Per effettuare il provisioning di un utente sono in genere necessari cinque passaggi. Uno o più di questi passaggi, illustrati nelle sezioni seguenti, verranno visualizzati durante l'esperienza di provisioning su richiesta.

Passaggio 1: Testare la connessione

Il servizio di provisioning tenta di autorizzare l'accesso all'applicazione di destinazione effettuando una richiesta per un "utente di test". Il servizio di provisioning prevede una risposta che indica che il servizio autorizzato a continuare con la procedura di provisioning. Questo passaggio viene visualizzato solo quando ha esito negativo. Non viene visualizzato durante l'esperienza di provisioning su richiesta quando il passaggio ha esito positivo.

Suggerimenti per la risoluzione dei problemi

  • Assicurarsi di aver fornito credenziali valide, ad esempio il token segreto e l'URL del tenant, all'applicazione di destinazione. Le credenziali necessarie variano in base all'applicazione. Per esercitazioni dettagliate sulla configurazione, vedere l'elenco delle esercitazioni.
  • Assicurarsi che l'applicazione di destinazione supporti il filtro per gli attributi corrispondenti definiti nel riquadro Mapping attributi . Potrebbe essere necessario controllare la documentazione dell'API fornita dallo sviluppatore dell'applicazione per comprendere i filtri supportati.
  • Per le applicazioni SCIM (System for Cross-domain Identity Management), è possibile usare uno strumento come Postman. Questi strumenti consentono di garantire che l'applicazione risponda alle richieste di autorizzazione nel modo previsto dal servizio di provisioning di Azure Active Directory (Azure AD). Esaminare una richiesta di esempio.

Passaggio 2: Importare l'utente

Successivamente, il servizio di provisioning recupera l'utente dal sistema di origine. Gli attributi utente recuperati dal servizio vengono usati in un secondo momento per:

  • Valutare se l'utente è nell'ambito del provisioning.
  • Controllare il sistema di destinazione per un utente esistente.
  • Determinare gli attributi utente da esportare nel sistema di destinazione.

Visualizza i dettagli

La sezione Visualizza dettagli mostra le proprietà dell'utente importate dal sistema di origine, ad esempio Azure AD.

Suggerimenti per la risoluzione dei problemi

  • L'importazione dell'utente può avere esito negativo quando l'attributo corrispondente non è presente nell'oggetto utente nel sistema di origine. Per risolvere questo errore, provare uno di questi approcci:

    • Aggiornare l'oggetto utente con un valore per l'attributo corrispondente.
    • Modificare l'attributo corrispondente nella configurazione del provisioning.
  • Se nell'elenco importato manca un attributo previsto, assicurarsi che l'attributo abbia un valore per l'oggetto utente nel sistema di origine. Il servizio di provisioning attualmente non supporta il provisioning di attributi Null.

  • Assicurarsi che la pagina Mapping attributi della configurazione di provisioning contenga l'attributo previsto.

Passaggio 3: Determinare se l'utente è nell'ambito

Successivamente, il servizio di provisioning determina se l'utente è nell'ambito del provisioning. Il servizio considera aspetti come:

  • Indica se l'utente viene assegnato all'applicazione.
  • Indica se l'ambito è impostato su Sincronizza assegnato o Sincronizza tutto.
  • Filtri di ambito definiti nella configurazione del provisioning.

Visualizza i dettagli

La sezione Visualizza dettagli mostra le condizioni di ambito valutate. È possibile che vengano visualizzate una o più delle proprietà seguenti:

  • Attivo nel sistema di origine indica che l'utente ha la proprietà IsActive impostata su true in Azure AD.
  • Assegnato all'applicazione indica che l'utente viene assegnato all'applicazione in Azure AD.
  • La sincronizzazione dell'ambito indica che l'impostazione dell'ambito consente tutti gli utenti e i gruppi nel tenant.
  • L'utente ha un ruolo obbligatorio indica che l'utente dispone dei ruoli necessari per il provisioning nell'applicazione.
  • I filtri di ambito vengono visualizzati anche se sono stati definiti filtri di ambito per l'applicazione. Il filtro viene visualizzato con il formato seguente: {ambitong filter title} {scoping filter attribute} {scoping filter operator} {scoping filter value}.

Suggerimenti per la risoluzione dei problemi

Passaggio 4: Associare l'utente tra origine e destinazione

In questo passaggio, il servizio tenta di trovare una corrispondenza con l'utente recuperato nel passaggio di importazione con un utente nel sistema di destinazione.

Visualizza i dettagli

La pagina Visualizza dettagli mostra le proprietà degli utenti corrispondenti nel sistema di destinazione. Le proprietà visualizzate nel riquadro di contesto variano nel modo seguente:

  • Se nel sistema di destinazione non viene trovata alcuna corrispondenza tra utenti, non verranno visualizzate proprietà.
  • Se nel sistema di destinazione è presente un utente corrispondente, verranno visualizzate le proprietà dell'utente corrispondente dal sistema di destinazione.
  • Se più utenti corrispondono, verranno visualizzate le proprietà di entrambi gli utenti corrispondenti.
  • Se più attributi corrispondenti fanno parte dei mapping degli attributi, ogni attributo corrispondente viene valutato in sequenza e vengono visualizzati gli utenti corrispondenti per tale attributo.

Suggerimenti per la risoluzione dei problemi

  • Il servizio di provisioning potrebbe non essere in grado di associare un utente nel sistema di origine in modo univoco a un utente nella destinazione. Risolvere questo problema assicurandosi che l'attributo corrispondente sia univoco.
  • Assicurarsi che l'applicazione di destinazione supporti il filtro per l'attributo definito come attributo corrispondente.

Passaggio 5: Eseguire l'azione

Infine, il servizio di provisioning esegue un'azione, ad esempio la creazione, l'aggiornamento, l'eliminazione o l'omissione dell'utente.

Ecco un esempio di ciò che è possibile visualizzare dopo il provisioning su richiesta di un utente:

Screenshot che mostra il provisioning su richiesta di un utente.

Visualizza i dettagli

Nella sezione Visualizza dettagli vengono visualizzati gli attributi modificati nell'applicazione di destinazione. Questa visualizzazione rappresenta l'output finale dell'attività del servizio di provisioning e gli attributi esportati. Se questo passaggio ha esito negativo, gli attributi visualizzati rappresentano gli attributi che il servizio di provisioning ha tentato di modificare.

Suggerimenti per la risoluzione dei problemi

  • Gli errori di esportazione delle modifiche possono variare notevolmente. Consultare la documentazione per la presenza di log di provisioning per errori comuni.
  • Il provisioning su richiesta indica che non è possibile effettuare il provisioning del gruppo o dell'utente perché non sono assegnati all'applicazione. Si noti che è presente un ritardo di replica fino a pochi minuti tra quando un oggetto viene assegnato a un'applicazione e tale assegnazione da rispettare tramite il provisioning su richiesta. Potrebbe essere necessario attendere alcuni minuti e riprovare.

Domande frequenti

  • È necessario disattivare il provisioning per usare il provisioning su richiesta? Per le applicazioni che usano un token di connessione di lunga durata o un nome utente e una password per l'autorizzazione, non sono necessari passaggi aggiuntivi. Le applicazioni che usano OAuth per l'autorizzazione richiedono attualmente che il processo di provisioning venga arrestato prima di usare il provisioning su richiesta. Le applicazioni come G Suite, Box, Workplace by Facebook e Slack rientrano in questa categoria. Il lavoro è in corso per supportare il provisioning su richiesta per tutte le applicazioni senza dover interrompere il provisioning dei processi.

  • Quanto tempo richiede il provisioning su richiesta? Il provisioning su richiesta richiede in genere meno di 30 secondi.

Limitazioni note

Esistono attualmente alcune limitazioni note per il provisioning su richiesta. Pubblicare i suggerimenti e i commenti in modo da poter determinare meglio quali miglioramenti apportare.

Nota

Le limitazioni seguenti sono specifiche per la funzionalità di provisioning su richiesta. Per informazioni sul fatto che un'applicazione supporti i gruppi di provisioning, le eliminazioni o altre funzionalità, controllare l'esercitazione per tale applicazione.

  • Il provisioning su richiesta dei gruppi supporta l'aggiornamento fino a 5 membri alla volta
  • Il provisioning su richiesta dei ruoli non è supportato.
  • Il provisioning su richiesta supporta la disabilitazione degli utenti non assegnati dall'applicazione. Tuttavia, non supporta la disabilitazione o l'eliminazione di utenti disabilitati o eliminati da Azure AD. Questi utenti non verranno visualizzati quando si cerca un utente.

Passaggi successivi