Implementatie van een automatische gebruikersinrichting plannenPlan an automatic user provisioning deployment

Veel organisaties zijn afhankelijk van SaaS-toepassingen (Software as a Service) zoals ServiceNow, Zscaler en toegestane vertraging voor de productiviteit van eind gebruikers.Many organizations rely on software as a service (SaaS) applications such as ServiceNow, Zscaler, and Slack for end-user productivity. Historische IT-mede werkers hebben gebruikgemaakt van hand matige inrichtings methoden zoals het uploaden van CSV-bestanden, of het gebruik van aangepaste scripts om gebruikers identiteiten in elke SaaS-toepassing veilig te beheren.Historically IT staff have relied on manual provisioning methods such as uploading CSV files, or using custom scripts to securely manage user identities in each SaaS application. Deze processen zijn fout gevoelig, onveilig en moeilijk te beheren.These processes are error prone, insecure, and hard to manage.

Azure Active Directory (Azure AD) automatische gebruikers inrichting vereenvoudigt dit proces door het maken, onderhouden en verwijderen van gebruikers identiteiten in SaaS-toepassingen op basis van bedrijfs regels te automatiseren.Azure Active Directory (Azure AD) automatic user provisioning simplifies this process by securely automating the creation, maintenance, and removal of user identities in SaaS applications based on business rules. Met deze automatisering kunt u uw identiteits beheersystemen effectief schalen op zowel Cloud-en hybride omgevingen als u de afhankelijkheid ervan uitbreidt op Cloud oplossingen.This automation allows you to effectively scale your identity management systems on both cloud-only and hybrid environments as you expand their dependency on cloud-based solutions.

Zie Gebruikers inrichten en de inrichting ongedaan maken voor SaaS-toepassingen met Azure Active Directory om meer inzicht te krijgen in de functionaliteit.See Automate user provisioning and deprovisioning to SaaS applications with Azure Active Directory to better understand the functionality.

LearnLearn

Gebruikers inrichten maakt een basis voor de voortdurende identiteits bestuur en verbetert de kwaliteit van bedrijfs processen die afhankelijk zijn van gezaghebbende identiteits gegevens.User provisioning creates a foundation for ongoing identity governance and enhances the quality of business processes that rely on authoritative identity data.

Belangrijkste voordelenKey benefits

De belangrijkste voor delen van het inschakelen van automatische gebruikers inrichting zijn:The key benefits of enabling automatic user provisioning are:

  • Verhoogde productiviteit.Increased productivity. U kunt gebruikers identiteiten in SaaS-toepassingen beheren met één gebruikers inrichten-beheer interface.You can manage user identities across SaaS applications with a single user provisioning management interface. Deze interface heeft één set inrichtings beleidsregels.This interface has a single set of provisioning policies.

  • Risico's beheren.Manage risk. U kunt de beveiliging verhogen door wijzigingen te automatiseren op basis van de status van werk nemers of groepslid maatschappen waarmee rollen en/of toegang worden gedefinieerd.You can increase security by automating changes based on employee status or group memberships that define roles and/or access.

  • Naleving en beheer van adressen.Address compliance and governance. Azure AD biedt ondersteuning voor systeem eigen controle logboeken voor elke aanvraag voor het inrichten van gebruikers.Azure AD supports native audit logs for every user provisioning request. Aanvragen worden uitgevoerd in de bron-en doel systemen.Requests are executed in both the source and target systems. Zo kunt u bijhouden wie toegang heeft tot toepassingen vanaf één scherm.This enables you to track who has access to applications from a single screen.

  • Kosten verlagen.Reduce cost. Automatische gebruikers inrichting vermindert de kosten door inefficiëntie en menselijke fout te voor komen die zijn gekoppeld aan hand matige inrichting.Automatic user provisioning reduces costs by avoiding inefficiencies and human error associated with manual provisioning. Het vermindert de behoefte aan aangepaste, ontwikkelde oplossingen voor gebruikers inrichten, scripts en audit Logboeken.It reduces the need for custom-developed user provisioning solutions, scripts, and audit logs.

LicentieverleningLicensing

Azure AD biedt Self-Service-integratie van elke toepassing met behulp van sjablonen in het menu van de toepassings galerie.Azure AD provides self-service integration of any application using templates provided in the application gallery menu. Zie de pagina Azure AD-licentie verleningvoor een volledige lijst met licentie vereisten.For a full list of license requirements, see Azure AD licensing page.

Toepassings licentiesApplication licensing

U hebt de juiste licenties nodig voor de toepassing (en) die u automatisch wilt inrichten.You'll need the appropriate licenses for the application(s) you want to automatically provision. Bespreek met de eigen aren van de toepassing of de gebruikers die zijn toegewezen aan de toepassing, over de juiste licenties beschikken voor hun toepassings rollen.Discuss with the application owners whether the users assigned to the application have the proper licenses for their application roles. Als Azure AD automatische inrichting beheert op basis van rollen, moeten de rollen die zijn toegewezen in azure AD worden uitgelijnd op toepassings licenties.If Azure AD manages automatic provisioning based on roles, the roles assigned in Azure AD must align to application licenses. Onjuiste licenties die eigendom zijn van de toepassing, kunnen leiden tot fouten tijdens het inrichten/bijwerken van een gebruiker.Incorrect licenses owned in the application may lead to errors during the provisioning/updating of a user.

TermenTerms

In dit artikel worden de volgende termen gebruikt:This article uses the following terms:

  • RUWE bewerkingen-acties die worden uitgevoerd voor gebruikers accounts: maken, lezen, bijwerken, verwijderen.CRUD operations - Actions taken on user accounts: Create, Read, Update, Delete.

  • Eenmalige aanmelding (SSO): de mogelijkheid voor een gebruiker om zich eenmaal aan te melden en om toegang te krijgen tot alle SSO-toepassingen.Single sign-on (SSO) - The ability for a user to sign-on once and access all SSO enabled applications. In de context van het inrichten van gebruikers is SSO een resultaat van gebruikers die één account hebben voor toegang tot alle systemen die gebruikmaken van automatische gebruikers inrichting.In the context of user provisioning, SSO is a result of users having a single account to access all systems that use automatic user provisioning.

  • Bron systeem: de opslag plaats van gebruikers die de Azure AD-bepalingen van hebben.Source system - The repository of users that the Azure AD provisions from. Azure AD is het bron systeem voor de meeste vooraf geïntegreerde inrichtings connectors.Azure AD is the source system for most pre-integrated provisioning connectors. Er zijn echter enkele uitzonde ringen voor Cloud toepassingen zoals SAP, workday en AWS.However, there are some exceptions for cloud applications such as SAP, Workday, and AWS. Zie bijvoorbeeld Gebruikers inrichten van workday naar AD.For example, see User provisioning from Workday to AD.

  • Doel systeem: de opslag plaats van gebruikers die door de Azure AD worden ingericht.Target system - The repository of users that the Azure AD provisions to. Het doel systeem is doorgaans een SaaS-toepassing, zoals ServiceNow, Zscaler en toegestane vertraging.The Target system is typically a SaaS application such as ServiceNow, Zscaler, and Slack. Het doel systeem kan ook een on-premises systeem zijn, zoals AD.The target system can also be an on-premises system such as AD.

  • Systeem voor Cross-Domain Identity Management (scim) : een open standaard die het automatiseren van het inrichten van gebruikers mogelijk maakt.System for Cross-domain Identity Management (SCIM) - An open standard that allows for the automation of user provisioning. SCIM communiceert gebruikers identiteits gegevens tussen id-providers zoals micro soft, en service providers zoals Sales Force of andere SaaS-apps waarvoor gebruikers identiteits gegevens zijn vereist.SCIM communicates user identity data between identity providers such as Microsoft, and service providers like Salesforce or other SaaS apps that require user identity information.

Trainings bronnenTraining resources

ResourcesResources Koppeling en beschrijvingLink and Description
Webinars op aanvraagOn-demand webinars Uw bedrijfs toepassingen beheren met Azure ADManage your Enterprise Applications with Azure AD
Meer informatie over hoe u met Azure AD eenmalige aanmelding kunt verkrijgen voor uw zakelijke SaaS-toepassingen en aanbevolen procedures voor het beheren van de toegang.‎Learn how Azure AD can help you achieve SSO to your enterprise SaaS applications and best practices for controlling access.
Video'sVideos Wat is gebruikers inrichten in Active Azure Directory?What is user provisioning in Active Azure Directory?
Hoe kan ik de gebruikers inrichten in Active Azure Directory implementeren?How to deploy user provisioning in Active Azure Directory?
Sales Force integreren met Azure AD: gebruikers inrichten automatiserenIntegrating Salesforce with Azure AD: How to automate User Provisioning
Online cursussenOnline courses SkillUp online: identiteiten beherenSkillUp Online: Managing Identities
Leer hoe u Azure AD integreert met veel SaaS-toepassingen en gebruikers toegang tot deze toepassingen kunt beveiligen.Learn how to integrate Azure AD with many SaaS applications and to secure user access to those applications.
BooksBooks Moderne verificatie met Azure Active Directory voor webtoepassingen (Naslag informatie voor ontwikkel aars) 1e editie.Modern Authentication with Azure Active Directory for Web Applications (Developer Reference) 1st Edition.
Dit is een gezaghebbende, diep gaande hand leiding voor het bouwen van Active Directory verificatie oplossingen voor deze nieuwe omgevingen.‎This is an authoritative, deep-dive guide to building Active Directory authentication solutions for these new environments.
ZelfstudiesTutorials Zie de lijst met zelf studies over het integreren van SaaS-apps met Azure AD.See the list of tutorials on how to integrate SaaS apps with Azure AD.
Veelgestelde vragenFAQ Veelgestelde vragen over het automatisch inrichten van gebruikersFrequently asked questions on automated user provisioning

OplossingsarchitecturenSolution architectures

De Azure AD-inrichtings service voorziet gebruikers van SaaS-apps en andere systemen door verbinding te maken met gebruikers beheer-API-eind punten die door elke leverancier van de toepassing worden geleverd.The Azure AD provisioning service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Met deze gebruikers beheer-API-eind punten kan Azure AD programmatisch gebruikers maken, bijwerken en verwijderen.These user management API endpoints allow Azure AD to programmatically create, update, and remove users.

Automatische gebruikers inrichting voor hybride ondernemingenAutomatic user provisioning for hybrid enterprises

In dit voor beeld worden gebruikers en of groepen gemaakt in een HR-data base die is verbonden met een on-premises Directory.In this example, users and or groups are created in an HR database connected to an on-premises directory. De Azure AD-inrichtings service beheert het automatisch inrichten van gebruikers aan de doel-SaaS-toepassingen.The Azure AD provisioning service manages automatic user provisioning to the target SaaS applications.

Gebruikers inrichten

Beschrijving van werk stroom:Description of workflow:

  1. Gebruikers/groepen worden gemaakt in een on-premises HR-toepassing/systeem, zoals SAP.Users/groups are created in an on-premises HR application/system, such as SAP.

  2. Azure AD connect agent voert geplande synchronisaties van identiteiten (gebruikers en groepen) uit van de lokale AD naar Azure AD.Azure AD Connect agent runs scheduled synchronizations of identities (users and groups) from the local AD to Azure AD.

  3. De Azure AD-inrichtings service start een eerste cyclus op basis van het bron systeem en het doel systeem.Azure AD provisioning service begins an initial cycle against the source system and target system.

  4. Azure AD Provisioning Service voert een query uit op het bron systeem voor gebruikers en groepen die zijn gewijzigd sinds de eerste cyclus en tijdens het pushen van wijzigingen in incrementele cycli.Azure AD provisioning service queries the source system for any users and groups changed since the initial cycle, and pushes changes in incremental cycles.

Automatische gebruikers inrichting voor Cloud ondernemingenAutomatic user provisioning for cloud-only enterprises

In dit voor beeld vindt het maken van een gebruiker plaats in azure AD en de Azure AD-inrichtings service beheert automatische gebruikers inrichting voor de doel-en SaaS-toepassingen.In this example, user creation occurs in Azure AD and the Azure AD provisioning service manages automatic user provisioning to the target (SaaS) applications.

Diagram waarin het proces voor het maken van een gebruiker/groep van een on-premises H R-toepassing wordt weer gegeven via de Azure A D-Provisioning Service naar het doel S a S-toepassingen.

Beschrijving van werk stroom:Description of workflow:

  1. Gebruikers/groepen worden gemaakt in azure AD.Users/groups are created in Azure AD.

  2. De Azure AD-inrichtings service start een eerste cyclus op basis van het bron systeem en het doel systeem.Azure AD provisioning service begins an initial cycle against the source system and target system.

  3. De Azure AD-inrichtings service vraagt het bron systeem voor alle gebruikers en groepen die zijn bijgewerkt sinds de eerste cyclus en voert eventuele incrementele cycliuit.Azure AD provisioning service queries the source system for any users and groups updated since the initial cycle, and performs any incremental cycles.

Automatische gebruikers inrichting voor Cloud-HR-toepassingenAutomatic user provisioning for cloud HR applications

In dit voor beeld worden de gebruikers en of groepen gemaakt in een Cloud HR-toepassing, zoals workday en SuccessFactors.In this example, the users and or groups are created in a cloud HR application like such as Workday and SuccessFactors. De Azure AD Provisioning-Service en Azure AD Connect inrichtings agent voorzien in de gebruikers gegevens van de Tenant van de HR-app van de cloud in AD.The Azure AD provisioning service and Azure AD Connect provisioning agent provisions the user data from the cloud HR app tenant into AD. Zodra de accounts zijn bijgewerkt in AD, wordt deze gesynchroniseerd met Azure AD via Azure AD Connect en kunnen de kenmerken van het e-mail adres en de gebruikers naam worden teruggeschreven naar de Tenant van de HR-app in de Cloud.Once the accounts are updated in AD, it is synced with Azure AD through Azure AD Connect, and the email addresses and username attributes can be written back to the cloud HR app tenant.

Afbeelding 2

  1. HR-team voert de trans acties uit in de Cloud HR app-Tenant.HR team performs the transactions in the cloud HR app tenant.
  2. De Azure AD-inrichtings service voert de geplande cycli uit van de Tenant van de HR-app in de Cloud en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met AD.Azure AD provisioning service runs the scheduled cycles from the cloud HR app tenant and identifies changes that need to be processed for sync with AD.
  3. De Azure AD-inrichtings service roept de Azure AD Connect-inrichtings agent aan met een aanvraag lading die ad-account maken/bijwerken/inschakelen/uitschakelen heeft.Azure AD provisioning service invokes the Azure AD Connect provisioning agent with a request payload containing AD account create/update/enable/disable operations.
  4. Azure AD Connect-inrichtings agent gebruikt een service account voor het beheren van AD-account gegevens.Azure AD Connect provisioning agent uses a service account to manage AD account data.
  5. Azure AD Connect voert Delta synchronisatie uit voor het ophalen van updates in AD.Azure AD Connect runs delta sync to pull updates in AD.
  6. Ad -updates worden gesynchroniseerd met Azure AD.AD updates are synced with Azure AD.
  7. Azure AD Provisioning Service materialiseren-e-mail kenmerk en gebruikers naam van Azure AD naar de Cloud HR app Tenant.Azure AD provisioning service writebacks email attribute and username from Azure AD to the cloud HR app tenant.

Het implementatie project plannenPlan the deployment project

Bedenk wat uw organisatie nodig heeft om de strategie te bepalen voor het implementeren van gebruikers inrichten in uw omgeving.Consider your organizational needs to determine the strategy for deploying user provisioning in your environment.

De juiste belanghebbenden benaderenEngage the right stakeholders

Wanneer technologie projecten mislukken, is dit doorgaans het gevolg van niet-overeenkomende verwachtingen wat betreft impact, resultaten en verantwoordelijkheden.When technology projects fail, it's typically because of mismatched expectations on impact, outcomes, and responsibilities. Als u deze problemen wilt voor komen, moet u ervoor zorgen dat u de juiste belanghebbenden gebruikt en dat de rol van belanghebbenden in het project goed worden begrepen door de belanghebbenden en hun project invoer en accountabilities te documenteren.To avoid these pitfalls, ensure you're engaging the right stakeholders and that stakeholder roles in the project are well understood by documenting the stakeholders and their project input and accountabilities.

De communicatie plannenPlan communications

Communicatie is van cruciaal belang voor het slagen van een nieuwe service.Communication is critical to the success of any new service. Communiceer proactief met uw gebruikers hoe hun ervaring verandert, wanneer deze wordt gewijzigd, en hoe u ondersteuning krijgt als u problemen ondervindt.Proactively communicate with your users how their experience will change, when it will change, and how to gain support if they experience issues.

Een pilot plannenPlan a pilot

We raden u aan de initiële configuratie van automatische gebruikers inrichting in een test omgeving met een kleine subset van gebruikers te maken voordat u deze naar alle gebruikers in productie kunt schalen.We recommend that the initial configuration of automatic user provisioning be in a test environment with a small subset of users before scaling it to all users in production. Zie Aanbevolen procedures voor het uitvoeren van een pilot.See best practices for running a pilot.

Aanbevolen procedures voor een pilotBest practices for a pilot

Met een pilot kunt u testen met een kleine groep voordat u een mogelijkheid voor iedereen implementeert.A pilot allows you to test with a small group before deploying a capability for everyone. Zorg ervoor dat als onderdeel van uw test, elke use-case binnen uw organisatie grondig wordt getest.Ensure that as part of your testing, each use case within your organization is thoroughly tested.

In uw eerste golf, richt IT, bruikbaarheid en andere geschikte gebruikers die kunnen testen en feedback geven.In your first wave, target IT, usability, and other appropriate users who can test and provide feedback. Gebruik deze feedback om de communicatie en instructies die u naar uw gebruikers verzendt verder te ontwikkelen en om inzicht te krijgen in de soorten problemen die uw ondersteunings medewerkers kunnen zien.Use this feedback to further develop the communications and instructions you send to your users, and to give insights into the types of issues your support staff may see.

Breid de implementatie uit voor grotere groepen gebruikers door het bereik van de doel groep (en) te verg Roten.Widen the rollout to larger groups of users by increasing the scope of the group(s) targeted. Dit kan worden gedaan via een dynamisch groepslid maatschapof door gebruikers hand matig toe te voegen aan de doel groep (en).This can be done through dynamic group membership, or by manually adding users to the targeted group(s).

Toepassings verbindingen en-beheer plannenPlan application connections and administration

Gebruik de Azure AD-portal voor het weer geven en beheren van alle toepassingen die ondersteuning bieden voor inrichting.Use the Azure AD portal to view and manage all the applications that support provisioning. Zie uw apps zoeken in de portal.See Finding your apps in the portal.

Bepalen welk type connector moet worden gebruiktDetermine the type of connector to use

De stappen die nodig zijn om automatische inrichting in te scha kelen en te configureren variëren afhankelijk van de toepassing.The actual steps required to enable and configure automatic provisioning vary depending on the application. Als de toepassing die u wilt laten inrichten, wordt vermeld in de Galerie met Azure AD SaaS-apps, selecteert u de app-specifieke integratie-zelf studie voor het configureren van de vooraf geïntegreerde User Provisioning connector.If the application you wish to automatically provision is listed in the Azure AD SaaS app gallery, then you should select the app-specific integration tutorial to configure its pre-integrated user provisioning connector.

Als dat niet het geval is, volgt u de onderstaande stappen:If not, follow the steps below:

  1. Een aanvraag maken voor een vooraf geïntegreerde User Provisioning connector.Create a request for a pre-integrated user provisioning connector. Ons team zal samen werken met u en met de ontwikkelaar van de toepassing om uw toepassing op ons platform uit te laten staan als SCIM wordt ondersteund.Our team will work with you and the application developer to onboard your application to our platform if it supports SCIM.

  2. Gebruik de algemene ondersteuning voor het inrichten van BYOA scim voor de app.Use the BYOA SCIM generic user provisioning support for the app. Dit is een vereiste voor Azure AD om gebruikers in te richten op de app zonder vooraf geïntegreerde inrichtings connector.This is a requirement for Azure AD to provision users to the app without a pre-integrated provisioning connector.

  3. Als de toepassing de BYOA SCIM-connector kan gebruiken, raadpleegt u de zelf studie over BYOA scim-integratie om de BYOA scim-connector voor de toepassing te configureren.If the application is able to utilize the BYOA SCIM connector, then refer to BYOA SCIM integration tutorial to configure the BYOA SCIM connector for the application.

Zie welke toepassingen en systemen kan ik gebruiken met automatische gebruikers inrichting van Azure Active Directory? voor meer informatie.For more information, see What applications and systems can I use with Azure AD automatic user provisioning?

Gegevens verzamelen om toegang tot toepassingen te verlenenCollect information to authorize application access

Het instellen van automatische gebruikers inrichting is een proces per toepassing.Setting up automatic user provisioning is a per-application process. Voor elke toepassing moet u beheerders referenties opgeven om verbinding te maken met het eind punt voor gebruikers beheer van het doel systeem.For each application, you need to provide administrator credentials to connect to the target system’s user management endpoint.

In de onderstaande afbeelding ziet u één versie van de vereiste beheerders referenties:The image below shows one version of the required admin credentials:

Inrichtings scherm voor het beheren van inrichtings instellingen voor gebruikers accounts

Hoewel voor sommige toepassingen de gebruikers naam en het wacht woord van de beheerder zijn vereist, kunnen anderen een Bearer-token vereisen.While some applications require the admin username and password, others may require a bearer token.

Gebruikers-en groeps inrichting plannenPlan user and group provisioning

Als u het inrichten van gebruikers inschakelt voor zakelijke apps, bepaalt de Azure Portal de kenmerk waarden via kenmerk toewijzing.If you enable user provisioning for enterprise apps, the Azure portal controls its attribute values through attribute mapping.

Bewerkingen voor elke SaaS-app bepalenDetermine operations for each SaaS app

Elke toepassing kan unieke gebruikers-of groeps kenmerken hebben die moeten worden toegewezen aan de kenmerken in uw Azure AD.Each application may have unique user or group attributes that must be mapped to the attributes in your Azure AD. De toepassing heeft mogelijk slechts een subset van ruwe bewerkingen die beschikbaar zijn.Application may have only a subset of CRUD operations available.

Documenteer de volgende informatie voor elke toepassing:For each application, document the following information:

  • RUWE inrichtings bewerkingen die moeten worden uitgevoerd voor de gebruiker en of groeps objecten voor de doel systemen.CRUD provisioning operations to be performed on the user and or Group objects for the target systems. Zo is het bijvoorbeeld mogelijk dat elke SaaS-app van het bedrijf niet alle mogelijke bewerkingen wil.For example, each SaaS app business owner may not want all possible operations.

  • Beschik bare kenmerken in het bron systeemAttributes available in the source system

  • Beschik bare kenmerken in het doel systeemAttributes available in the target system

  • Toewijzing van kenmerken tussen systemen.Mapping of attributes between systems.

Kies welke gebruikers en groepen u wilt inrichtenChoose which users and groups to provision

Voordat u de automatische gebruikers inrichting implementeert, moet u bepalen welke gebruikers en groepen moeten worden ingericht voor uw toepassing.Before implementing automatic user provisioning, you must determine the users and groups to be provisioned to your application.

Toewijzing van gebruikers-en groeps kenmerken definiërenDefine user and group attribute mapping

Als u het automatisch inrichten van gebruikers wilt implementeren, moet u de gebruikers-en groeps kenmerken definiëren die nodig zijn voor de toepassing.To implement automatic user provisioning, you need to define the user and group attributes that are needed for the application. Er is een vooraf geconfigureerde set met kenmerken en kenmerk toewijzingen tussen Azure AD-gebruikers objecten en de gebruikers objecten van elke SaaS-toepassing.There's a pre-configured set of attributes and attribute-mappings between Azure AD user objects, and each SaaS application’s user objects. Niet alle SaaS-apps hebben groeps kenmerken ingeschakeld.Not all SaaS apps enable group attributes.

Azure AD ondersteunt door directe toewijzing van kenmerk naar kenmerk, voor het leveren van constante waarden of het schrijven van expressies voor kenmerk toewijzingen.Azure AD supports by direct attribute-to-attribute mapping, providing constant values, or writing expressions for attribute mappings. Met deze flexibiliteit kunt u precies bepalen wat er wordt ingevuld in het kenmerk van het doel systeem.This flexibility gives you fine control of what will be populated in the targeted system's attribute. U kunt Microsoft Graph-API en Graph Explorer gebruiken om de kenmerk toewijzingen en het schema voor het inrichten van gebruikers te exporteren naar een JSON-bestand en dit weer te importeren in azure AD.You can use Microsoft Graph API and Graph Explorer to export your user provisioning attribute mappings and schema to a JSON file and import it back into Azure AD.

Zie voor meer informatie Gebruikers inrichten aanpassen Attribute-Mappings voor SaaS-toepassingen in azure Active Directory.For more information, see Customizing User Provisioning Attribute-Mappings for SaaS Applications in Azure Active Directory.

Speciale overwegingen voor het inrichten van gebruikersSpecial considerations for user provisioning

Houd rekening met het volgende om problemen na de implementatie te verminderen:Consider the following to reduce issues post-deployment:

  • Zorg ervoor dat de kenmerken die worden gebruikt voor het toewijzen van gebruikers-of groeps objecten tussen bron-en doel toepassingen, robuust zijn.Ensure that the attributes used to map user/group objects between source and target applications are resilient. Gebruikers/groepen mogen niet onjuist worden ingericht als de kenmerken worden gewijzigd (bijvoorbeeld wanneer een gebruiker naar een ander deel van het bedrijf gaat).They shouldn't cause users/groups to be provisioned incorrectly if the attributes change (for example, a user moves to a different part of the company).

  • Toepassingen kunnen specifieke beperkingen en/of vereisten hebben waaraan moet worden voldaan om de gebruikers inrichting correct te laten werken.Applications may have specific restrictions and/or requirements that need to be met for user provisioning to work correctly. Met een toegestane vertraging worden bijvoorbeeld waarden voor bepaalde kenmerken afgekapt.For example, Slack truncates values for certain attributes. Raadpleeg de zelf studies voor automatische gebruikers inrichting die specifiek zijn voor elke toepassing.Refer to automatic user provisioning tutorials specific to each application.

  • Controleer de schema consistentie tussen de bron-en doel systemen.Confirm schema consistency between source and target systems. Veelvoorkomende problemen zijn kenmerken zoals UPN of e-mail die niet overeenkomt.Common issues include attributes such as UPN or mail not matching. Bijvoorbeeld: UPN in azure AD is ingesteld als john_smith@contoso.com en in de app jsmith@contoso.com .For example, UPN in Azure AD set as john_smith@contoso.com and in the app, it's jsmith@contoso.com. Zie de verwijzing naar het gebruikers-en groeps schemavoor meer informatie.For more information, see The User and group schema reference.

Testen en beveiliging plannenPlan testing and security

Zorg er in elke fase van de implementatie voor dat u test dat de resultaten naar verwachting worden uitgevoerd en de inrichtings cycli controleren.At each stage of your deployment ensure that you’re testing that results are as expected, and auditing the provisioning cycles.

Tests plannenPlan testing

Zodra u automatische gebruikers inrichting voor de toepassing hebt geconfigureerd, voert u test cases uit om te controleren of deze oplossing voldoet aan de vereisten van uw organisatie.Once you have configured automatic user provisioning for the application, you'll run test cases to verify this solution meets your organization’s requirements.

Scenario'sScenarios Verwachte resultatenExpected results
Gebruiker wordt toegevoegd aan een groep die is toegewezen aan het doel systeemUser is added to a group assigned to the target system Het gebruikers object is ingericht in het doel systeem.User object is provisioned in target system.
De gebruiker kan zich aanmelden bij het doel systeem en de gewenste acties uitvoeren.User can sign-in to target system and perform the desired actions.
De gebruiker wordt verwijderd uit een groep die is toegewezen aan het doel systeemUser is removed from a group that is assigned to target system Het gebruikers object wordt ongedaan gemaakt in het doel systeem.User object is deprovisioned in the target system.
Gebruiker kan zich niet aanmelden bij het doel systeem.User can't sign-in to target system.
Gebruikers gegevens worden op elke manier bijgewerkt in azure ADUser information is updated in Azure AD by any method Bijgewerkte gebruikers kenmerken worden weer gegeven in het doel systeem na een incrementele cyclusUpdated user attributes are reflected in target system after an incremental cycle
De gebruiker valt buiten het bereikUser is out of scope Gebruikers object is uitgeschakeld of verwijderd.User object is disabled or deleted.
Opmerking: dit gedrag wordt genegeerd bij het inrichtenvan werk dagen.Note: This behavior is overridden for Workday provisioning.

Beveiliging plannenPlan security

Het is gebruikelijk dat een beveiligings beoordeling vereist is als onderdeel van een implementatie.It's common for a security review to be required as part of a deployment. Als u een beveiligings beoordeling nodig hebt, raadpleegt u de vele Azure AD- witboeken die een overzicht bieden van de identiteit als een service.If you require a security review, see the many Azure AD whitepapers that provides an overview for identity as a service.

Plan terugdraai actiePlan rollback

Als de implementatie van de automatische gebruikers inrichting niet naar wens werkt in de productie omgeving, kunnen de volgende terugdraai stappen u helpen bij het herstellen naar een eerdere bekende goede staat:If the automatic user provisioning implementation fails to work as desired in the production environment, the following rollback steps below can assist you in reverting to a previous known good state:

  1. Bekijk het inrichtings samenvattings rapport en de inrichtings logboeken om te bepalen wat de onjuiste bewerkingen hebben plaatsgevonden voor de betrokken gebruikers en/of groepen.Review the provisioning summary report and provisioning logs to determine what incorrect operations occurred on the affected users and/or groups.

  2. Gebruik audit logboeken voor het inrichten om de laatste bekende juiste status van de betrokken gebruikers en/of groepen te bepalen.Use provisioning audit logs to determine the last known good state of the users and/or groups affected. Bekijk ook de bron systemen (Azure AD of AD).Also review the source systems (Azure AD or AD).

  3. Werk samen met de eigenaar van de toepassing om de gebruikers en/of groepen die rechtstreeks in de toepassing worden betrokken, bij te werken met de laatste bekende juiste status waarden.Work with the application owner to update the users and/or groups affected directly in the application using the last known good state values.

Automatische gebruikers Provisioning Service implementerenDeploy automatic user provisioning service

Kies de stappen die zijn afgestemd op uw oplossings vereisten.Choose the steps that align to your solution requirements.

Voor bereiding voor de eerste cyclusPrepare for the initial cycle

Wanneer de Azure AD-inrichtings service voor de eerste keer wordt uitgevoerd, maakt de eerste cyclus voor het bron systeem en de doel systemen een moment opname van alle gebruikers objecten voor elk doel systeem.When the Azure AD provisioning service runs for the first time, the initial cycle against the source system and target systems creates a snapshot of all user objects for each target system.

Bij het inschakelen van automatische inrichting voor een toepassing, kan de eerste cyclus van 20 minuten tot enkele uren duren.When enabling automatic provisioning for an application, the initial cycle can take anywhere from 20 minutes to several hours. De duur is afhankelijk van de grootte van de Azure AD-map en het aantal gebruikers in het bereik voor inrichting.The duration depends on the size of the Azure AD directory and the number of users in scope for provisioning.

De inrichtings service slaat de status van beide systemen op na de eerste cyclus, waardoor de prestaties van de volgende incrementele cycli worden verbeterd.The provisioning service stores the state of both systems after the initial cycle, improving performance of subsequent incremental cycles.

Automatische gebruikersinrichting configurerenConfigure automatic user provisioning

Gebruik de Azure Portal voor het beheren van automatische toewijzing van gebruikers accounts en het ongedaan maken van de inrichting voor toepassingen die deze ondersteunen.Use the Azure portal to manage automatic user account provisioning and de-provisioning for applications that support it. Volg de stappen in Hoe kan ik automatische inrichting instellen voor een toepassing?Follow the steps in How do I set up automatic provisioning to an application?

De Azure AD User Provisioning Service kan ook worden geconfigureerd en beheerd met behulp van de Microsoft Graph-API.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

Automatische gebruikers inrichting beherenManage automatic user provisioning

Nu u hebt geïmplementeerd, moet u de oplossing beheren.Now that you've deployed, you need to manage the solution.

Status van bewerkings bewerking door gebruiker bewakenMonitor user provisioning operation health

Na een geslaagde eerste cycluszullen de Azure AD-inrichtings service voor onbepaalde tijd incrementele updates uitvoeren, met intervallen die specifiek zijn voor elke toepassing, totdat een van de volgende gebeurtenissen zich voordoet:After a successful initial cycle, the Azure AD provisioning service will run incremental updates indefinitely, at intervals specific to each application, until one of the following events occurs:

  • De service wordt hand matig gestopt en er wordt een nieuwe eerste cyclus geactiveerd met behulp van de Azure Portal, of met behulp van de juiste Microsoft Graph API -opdracht.The service is manually stopped, and a new initial cycle is triggered using the Azure portal, or using the appropriate Microsoft Graph API command.

  • Een nieuwe eerste cyclus wordt geactiveerd door een wijziging in kenmerk toewijzingen of op filter bereik.A new initial cycle is triggered by a change in attribute mappings or scoping filters.

  • Het inrichtings proces gaat in quarantaine vanwege een hoge fout frequentie en blijft meer dan vier weken in quarantaine, wanneer deze automatisch wordt uitgeschakeld.The provisioning process goes into quarantine due to a high error rate and stays in quarantine for more than four weeks when it will be automatically disabled.

Zie Azure AD- inrichtings logboekenvoor het controleren van deze gebeurtenissen en alle andere activiteiten die worden uitgevoerd door de inrichtings service.To review these events, and all other activities performed by the provisioning service, refer to Azure AD provisioning logs.

Als u wilt weten hoe lang het inrichten van de inrichtings cyclus duurt en de voortgang van de inrichtings taak bewaken, kunt u de status van het inrichten van gebruikers controleren.To understand how long the provisioning cycles take and monitor the progress of the provisioning job, you can check the status of user provisioning.

Inzichten verkrijgen van rapportenGain insights from reports

Azure AD kan inzicht geven in het gebruik van gebruikers en de operationele status van uw organisatie via controle logboeken en-rapporten.Azure AD can provide additional insights into your organization’s user provisioning usage and operational health through audit logs and reports.

Beheerders moeten het samenvattings rapport van de inrichting controleren om de operationele status van de inrichtings taak te controleren.Admins should check the provisioning summary report to monitor the operational health of the provisioning job. Alle activiteiten die worden uitgevoerd door de inrichtings service worden vastgelegd in de Azure AD-audit Logboeken.All activities performed by the provisioning service are recorded in the Azure AD audit logs. Zie zelf studie: rapportage over het automatisch inrichten van gebruikers accounts.See Tutorial: Reporting on automatic user account provisioning.

We raden u aan de eigenaar van de rapporten te gebruiken voor een uitgebracht die voldoet aan de vereisten van uw organisatie.We recommend that you assume ownership of and consume these reports on a cadence that meets your organization’s requirements. Azure AD behoudt de meeste controle gegevens gedurende 30 dagen.Azure AD retains most audit data for 30 days.

Problemen oplossenTroubleshoot

Raadpleeg de volgende koppelingen voor het oplossen van problemen die kunnen optreden tijdens het inrichten:Refer to the following links to troubleshoot any issues that may turn up during provisioning:

Nuttige documentatieHelpful documentation

ResourcesResources

Volgende stappenNext steps