Problemi di configurazione del provisioning utenti in un'applicazione della raccolta di Azure ADProblem configuring user provisioning to an Azure AD Gallery application

Per configurare il provisioning utenti automatico per un'app (se supportato), è necessario seguire istruzioni specifiche per preparare l'applicazione a questa operazione.Configuring automatic user provisioning for an app (where supported), requires that specific instructions be followed to prepare the application for automatic provisioning. Sarà quindi possibile usare il Portale di Azure per configurare il servizio di provisioning per sincronizzare gli account utente con l'applicazione.Then you can use the Azure portal to configure the provisioning service to synchronize user accounts to the application.

È sempre consigliabile iniziare cercando l'esercitazione di configurazione specifica per il provisioning dell'applicazione desiderata.You should always start by finding the setup tutorial specific to setting up provisioning for your application. Seguire quindi i passaggi riportati per configurare l'app e Azure AD e creare la connessione di provisioning.Then follow those steps to configure both the app and Azure AD to create the provisioning connection. Le esercitazioni per le app sono disponibili nell'Elenco di esercitazioni sulla procedura di integrazione delle applicazioni SaaS con Azure Active Directory.A list of app tutorials can be found at List of Tutorials on How to Integrate SaaS Apps with Azure Active Directory.

Come verificare se viene eseguito il provisioningHow to see if provisioning is working

Dopo aver configurato il servizio, sarà possibile ricavare la maggior parte delle informazioni dettagliate sul funzionamento del servizio in due posizioni:Once the service is configured, most insights into the operation of the service can be drawn from two places:

  • Log di controllo: i log di controllo di provisioning registrano tutte le operazioni eseguite dal servizio di provisioning, ad esempio l'esecuzione in Azure AD di query sugli utenti assegnati che rientrano nell'ambito del provisioning,Audit logs – The provisioning audit logs record all the operations performed by the provisioning service, including querying Azure AD for assigned users that are in scope for provisioning. l'esecuzione nell'app di destinazione di query per l'esistenza di tali utenti, il confronto degli oggetti utente tra i sistemiQuery the target app for the existence of those users, comparing the user objects between the system. e quindi l'aggiunta, l'aggiornamento o la disabilitazione dell'account utente nel sistema di destinazione in base al confronto.Then add, update, or disable the user account in the target system based on the comparison. I log di controllo di provisioning sono accessibili nella scheda Azure Active Directory > App aziendali > [Nome applicazione] > Log di controllo del Portale di Azure. Filtrare i log nella categoria Provisioning account per visualizzare solo gli eventi di provisioning per l'app specifica.The provisioning audit logs can be accessed in the Azure portal, in the Azure Active Directory > Enterprise Apps > [Application Name] > Audit Logs tab. Filter the logs on the Account Provisioning category to only see the provisioning events for that app.

  • Stato del provisioning: un riepilogo dell'ultimo provisioning eseguito per una specifica app è disponibile nella sezione Azure Active Directory > App aziendali >[Nome applicazione]>Provisioning nella parte inferiore dello schermo in Impostazioni servizio.Provisioning status – A summary of the last provisioning run for a given app can be seen in the Azure Active Directory > Enterprise Apps > [Application Name] >Provisioning section, at the bottom of the screen under the service settings. Questa sezione contiene un riepilogo del numero di utenti (e/o gruppi) attualmente sincronizzati tra i due sistemi e segnala la presenza di eventuali errori.This section summarizes how many users (and/or groups) are currently being synchronized between the two systems, and if there are any errors. I dettagli degli errori sono disponibili nei log di controllo.Error details be in the audit logs. Si noti che lo stato di provisioning non verrà popolato fino al completamento di una sincronizzazione iniziale completa tra Azure AD e l'app.Note that the provisioning status not be populated until one full initial synchronization has been completed between Azure AD and the app.

Aree problematiche generali con provisioning da considerareGeneral problem areas with provisioning to consider

Di seguito è riportato un elenco delle aree problematiche generali che è possibile analizzare se si ha un'idea del punto da cui iniziare.Below is a list of the general problem areas that you can drill into if you have an idea of where to start.

Avvio non riuscito del servizio di provisioningProvisioning service does not appear to start

Se si imposta Stato provisioning su Attivato nella sezione Azure Active Directory > App aziendali > [Nome applicazione] >Provisioning del Portale di Azure,If you set the Provisioning Status to be On in the Azure Active Directory > Enterprise Apps > [Application Name] >Provisioning section of the Azure portal. ma in seguito a successivi ricaricamenti non vengono visualizzati altri dettagli nella pagina,However no other status details are shown on that page after subsequent reloads. il servizio potrebbe essere in esecuzione senza aver ancora completato una sincronizzazione iniziale.It is likely that the service is running but has not completed an initial synchronization yet. Esaminare i log di controllo descritti in precedenza per individuare le operazioni in esecuzione nel servizio e verificare la presenza di eventuali errori.Check the Audit logs described above to determine what operations the service is performing, and if there are any errors.

Nota

Una sincronizzazione iniziale può richiedere da 20 minuti a diverse ore, a seconda delle dimensioni della directory di Azure AD e del numero di utenti inclusi nell'ambito del provisioning.An initial sync can take anywhere from 20 minutes to several hours, depending on the size of the Azure AD directory and the number of users in scope for provisioning. Le sincronizzazioni successive a quella iniziale risultano più veloci, poiché il servizio di provisioning archivia i limiti che rappresentano lo stato di entrambi i sistemi dopo la sincronizzazione iniziale, migliorando le prestazioni delle sincronizzazioni successive.Subsequent syncs after the initial sync be faster, as the provisioning service stores watermarks that represent the state of both systems after the initial sync, improving performance of subsequent syncs.

Impossibile salvare la configurazione a causa di un errore nelle credenziali dell'appCan’t save configuration due to app credentials not working

Ai fini del provisioning, Azure AD richiede credenziali valide che consentano di connettersi a un'API di gestione utenti fornita da tale app.In order for provisioning to work, Azure AD requires valid credentials that allow it to connect to a user management API provided by that app. Se queste credenziali non funzionano o non sono note, vedere l'esercitazione per configurare questa app, descritta in precedenza.If these credentials do not work, or you don’t know wat they are, review the tutorial for setting up this app, described previously.

I log di controllo indicano che gli utenti vengono ignorati e non sottoposti a provisioning, anche se assegnatiAudit logs say users are skipped and not provisioned even though they are assigned

Quando un utente viene visualizzato come "ignorato" nei log di controllo, è essenziale leggere i dettagli estesi nel messaggio di log per determinarne il motivo.When a user shows up as “skipped” in the audit logs, it is very important to read the extended details in the log message to determine the reason. Di seguito sono elencati i motivi e le risoluzioni comuni:Below are common reasons and resolutions:

  • È stato configurato un filtro di definizione dell'ambito che esclude l'utente in base a un valore di attributo.A scoping filter has been configured that is filtering the user out based on an attribute value. Per altre informazioni sui filtri di definizione dell'ambito, vedere https://docs.microsoft.com/azure/active-directory/active-directory-saas-scoping-filters.For more information on scoping filters, see https://docs.microsoft.com/azure/active-directory/active-directory-saas-scoping-filters.

  • L'utente "non è autorizzato in modo efficiente".The user is “not effectively entitled”. Se viene visualizzato questo messaggio di errore specifico, si è verificato un problema con il record di assegnazione degli utenti archiviato in Azure AD.If you see this specific error message, it is because there is a problem with the user assignment record stored in Azure AD. Per risolvere il problema, annullare l'assegnazione dell'utente (o del gruppo) dall'app e riassegnarla.To fix this issue, un-assign the user (or group) from the app, and re-assign it again. Per altre informazioni sull'assegnazione, vedere https://docs.microsoft.com/azure/active-directory/active-directory-coreapps-assign-user-azure-portal.For more information on assignment, see https://docs.microsoft.com/azure/active-directory/active-directory-coreapps-assign-user-azure-portal.

  • Attributo obbligatorio mancante o non popolato per un utente.A required attribute is missing or not populated for a user. Un aspetto importante da considerare quando si configura il provisioning è quello di esaminare e configurare il mapping degli attributi e i flussi di lavoro che definiscono il tipo di flusso di proprietà utente (o gruppo) da Azure AD all'applicazione.An important thing to consider when setting up provisioning be to review and configure the attribute mappings and workflows that define which user (or group) properties flow from Azure AD to the application. Rientra in questo ambito anche l'impostazione della "proprietà di abbinamento" che può essere usata per identificare e abbinare in modo univoco utenti/gruppi tra i due sistemi.This includes setting the “matching property” that be used to uniquely identify and match users/groups between the two systems. Per altre informazioni su questo importante processo, vedere https://docs.microsoft.com/azure/active-directory/active-directory-saas-customizing-attribute-mappings.For more information on this important process, see https://docs.microsoft.com/azure/active-directory/active-directory-saas-customizing-attribute-mappings.

    • Mapping degli attributi per gruppi: provisioning dei dettagli del gruppo e del nome del gruppo, oltre ai membri, se supportato per alcune applicazioni.Attribute mappings for groups: Provisioning of the group name and group details, in addition to the members, if supported for some applications. È possibile abilitare o disabilitare questa funzionalità abilitando o disabilitando il mapping per gli oggetti di gruppo visualizzati nella scheda Provisioning. Se il provisioning di gruppi è abilitato, verificare di controllare i mapping degli attributi per garantire che venga usato un campo appropriato per l'ID di abbinamento.You can enable or disable this functionality by enabling or disabling the Mapping for group objects shown in the Provisioning tab. If provisioning groups is enabled, be sure to review the attribute mappings to ensure an appropriate field is being used for the “matching ID”. Può trattarsi del nome visualizzato o dell'alias di posta elettronica, poiché il provisioning del gruppo e dei relativi membri non viene eseguito se la proprietà di abbinamento è vuota o non popolata per un gruppo in Azure AD.This can be the display name or email alias), as the group and its members not be provisioned if the matching property is empty or not populated for a group in Azure AD.

Passaggi successiviNext steps

Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Azure Active DirectoryAutomate User Provisioning and Deprovisioning to SaaS Applications with Azure Active Directory