Inrichting op aanvraag in Microsoft Entra-id

Gebruik inrichting op aanvraag om binnen enkele seconden een gebruiker of groep in te richten. U kunt onder andere deze mogelijkheid gebruiken om het volgende te doen:

• Los snel configuratieproblemen op.
• Valideer expressies die u hebt gedefinieerd.
• Bereikfilters testen.

Inrichting op aanvraag gebruiken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassings-Beheer istrator.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>> en selecteer uw toepassing.
3. Selecteer Inrichting.

2. Bladeren naar >configuraties voor synchronisatie>van externe identiteiten>tussen tenants
3. Selecteer uw configuratie en ga vervolgens naar de pagina Inrichtingsconfiguratie .

4. Configureer het inrichten door uw beheerdersreferenties op te geven.

5. Selecteer Op aanvraag inrichten.

6. Zoek een gebruiker op voornaam, achternaam, weergavenaam, user principal name of e-mailadres. U kunt ook zoeken naar een groep en maximaal vijf gebruikers ophalen.

   Notitie

   Voor de inrichtings-app van Cloud HR (Workday/ SuccessFactors voor Active Directory/Microsoft Entra ID) is de invoerwaarde anders. Geef voor het Workday-scenario 'WorkerID' of 'WID' op van de gebruiker in Workday. Geef voor het Scenario van SuccessFactors 'personIdExternal' op van de gebruiker in SuccessFactors.

7. Selecteer Inrichten onder aan de pagina.

   

Inzicht in de inrichtingsstappen

Het inrichtingsproces op aanvraag probeert de stappen weer te geven die de inrichtingsservice uitvoert bij het inrichten van een gebruiker. Er zijn doorgaans vijf stappen voor het inrichten van een gebruiker. Een of meer van deze stappen, zoals uitgelegd in de volgende secties, worden weergegeven tijdens de inrichting op aanvraag.

Stap 1: Verbinding testen

De inrichtingsservice probeert toegang tot het doelsysteem te autoriseren door een aanvraag in te dienen voor een testgebruiker. De inrichtingsservice verwacht een antwoord dat aangeeft dat de service is gemachtigd om door te gaan met de inrichtingsstappen. Deze stap wordt alleen weergegeven wanneer deze mislukt. Deze wordt niet weergegeven tijdens de inrichtingservaring op aanvraag wanneer de stap is geslaagd.

Tips voor probleemoplossing

• Zorg ervoor dat u geldige referenties hebt opgegeven, zoals het geheime token en de tenant-URL, naar het doelsysteem. De vereiste referenties variëren per toepassing. Zie de lijst met zelfstudies voor gedetailleerde configuratie.
• Zorg ervoor dat het doelsysteem filteren ondersteunt op de overeenkomende kenmerken die zijn gedefinieerd in het deelvenster Kenmerktoewijzingen . Mogelijk moet u de API-documentatie van de toepassingsontwikkelaar controleren om inzicht te krijgen in de ondersteunde filters.
• Voor SCIM-toepassingen (System for Cross-Domain Identity Management) kunt u een hulpprogramma zoals Postman gebruiken. Dergelijke hulpprogramma's helpen u ervoor te zorgen dat de toepassing reageert op autorisatieaanvragen op de manier die de Microsoft Entra-inrichtingsservice verwacht. Bekijk een voorbeeldaanvraag.

Stap 2: Gebruiker importeren

Vervolgens haalt de inrichtingsservice de gebruiker op uit het bronsysteem. De gebruikerskenmerken die de service ophaalt, worden later gebruikt om:

• Evalueer of de gebruiker binnen het bereik voor inrichting valt.
• Controleer het doelsysteem voor een bestaande gebruiker.
• Bepaal welke gebruikerskenmerken moeten worden geëxporteerd naar het doelsysteem.

Details weergeven

In de sectie Details weergeven ziet u de eigenschappen van de gebruiker die zijn geïmporteerd uit het bronsysteem (bijvoorbeeld Microsoft Entra-id).

Tips voor probleemoplossing

• Het importeren van de gebruiker kan mislukken wanneer het overeenkomende kenmerk ontbreekt in het gebruikersobject in het bronsysteem. Probeer een van de volgende methoden om deze fout op te lossen:

  • Werk het gebruikersobject bij met een waarde voor het overeenkomende kenmerk.
  • Wijzig het overeenkomende kenmerk in de inrichtingsconfiguratie.

• Als een kenmerk dat u verwacht in de geïmporteerde lijst ontbreekt, controleert u of het kenmerk een waarde heeft voor het gebruikersobject in het bronsysteem. De inrichtingsservice biedt momenteel geen ondersteuning voor het inrichten van null-kenmerken.

• Zorg ervoor dat de pagina Kenmerktoewijzing van uw inrichtingsconfiguratie het kenmerk bevat dat u verwacht.

Stap 3: Bepalen of de gebruiker binnen het bereik valt

Vervolgens bepaalt de inrichtingsservice of de gebruiker binnen het bereik van het inrichten valt. De service beschouwt aspecten als:

• Of de gebruiker is toegewezen aan de toepassing.
• Of het bereik is ingesteld op Gesynchroniseerd toegewezen of Alles synchroniseren.
• De bereikfilters die zijn gedefinieerd in de inrichtingsconfiguratie.

Details weergeven

In de sectie Details weergeven ziet u de bereikvoorwaarden die zijn geëvalueerd. Mogelijk ziet u een of meer van de volgende eigenschappen:

• Actief in het bronsysteem geeft aan dat de gebruiker de eigenschap IsActive heeft ingesteld op true in Microsoft Entra ID.
• Toegewezen aan de toepassing geeft aan dat de gebruiker is toegewezen aan de toepassing in Microsoft Entra-id.
• Bereiksynchronisatie geeft allemaal aan dat de bereikinstelling alle gebruikers en groepen in de tenant toestaat.
• Gebruiker heeft de vereiste rol geeft aan dat de gebruiker de benodigde rollen heeft die in de toepassing moeten worden ingericht.
• Bereikfilters worden ook weergegeven als u bereikfilters voor uw toepassing hebt gedefinieerd. Het filter wordt weergegeven met de volgende indeling: {bereikfiltertitel} {bereikfilterkenmerk} {bereikfilteroperator} {bereikfilterwaarde} {bereikfilterwaarde}.

Tips voor probleemoplossing

• Zorg ervoor dat u een geldige bereikrol hebt gedefinieerd. Vermijd bijvoorbeeld het gebruik van de operator Greater_Than met een niet-integer-waarde.
• Als de gebruiker niet over de benodigde rol beschikt, bekijkt u de tips voor het inrichten van gebruikers die zijn toegewezen aan de standaardtoegangsrol.

Stap 4: Gebruiker vergelijken tussen bron en doel

In deze stap probeert de service overeen te komen met de gebruiker die is opgehaald in de importstap met een gebruiker in het doelsysteem.

Details weergeven

Op de pagina Details weergeven ziet u de eigenschappen van de gebruikers die overeenkomen met het doelsysteem. Het contextvenster verandert als volgt:

• Als er geen gebruikers overeenkomen in het doelsysteem, worden er geen eigenschappen weergegeven.
• Als één gebruiker in het doelsysteem overeenkomt, worden de eigenschappen van die gebruiker weergegeven.
• Als meerdere gebruikers overeenkomen, worden de eigenschappen van beide gebruikers weergegeven.
• Als meerdere overeenkomende kenmerken deel uitmaken van uw kenmerktoewijzingen, wordt elk overeenkomend kenmerk opeenvolgend geëvalueerd en worden de overeenkomende gebruikers voor dat kenmerk weergegeven.

Tips voor probleemoplossing

• De inrichtingsservice kan mogelijk niet op unieke wijze overeenkomen met een gebruiker in het bronsysteem met een gebruiker in het doel. Los dit probleem op door ervoor te zorgen dat het overeenkomende kenmerk uniek is.
• Zorg ervoor dat het doelsysteem filtert op het kenmerk dat is gedefinieerd als het overeenkomende kenmerk.

Stap 5: Actie uitvoeren

Ten slotte voert de inrichtingsservice een actie uit, zoals het maken, bijwerken, verwijderen of overslaan van de gebruiker.

Hier volgt een voorbeeld van wat u kunt zien na de geslaagde inrichting op aanvraag van een gebruiker:

Details weergeven

In de sectie Details weergeven worden de kenmerken weergegeven die zijn gewijzigd in het doelsysteem. Deze weergave vertegenwoordigt de uiteindelijke uitvoer van de activiteit van de inrichtingsservice en de kenmerken die zijn geëxporteerd. Als deze stap mislukt, vertegenwoordigen de kenmerken die worden weergegeven de kenmerken die de inrichtingsservice heeft geprobeerd te wijzigen.

Tips voor probleemoplossing

• Fouten voor het exporteren van wijzigingen kunnen sterk variëren. Raadpleeg de documentatie voor het inrichten van logboeken voor veelvoorkomende fouten.
• Inrichting op aanvraag geeft aan dat de groep of gebruiker niet kan worden ingericht omdat deze niet aan de toepassing zijn toegewezen. Er is een replicatievertraging van maximaal een paar minuten tussen wanneer een object wordt toegewezen aan een toepassing en wanneer deze toewijzing wordt uitgevoerd in inrichting op aanvraag. Mogelijk moet u enkele minuten wachten en het opnieuw proberen.

Veelgestelde vragen

• Moet u inrichten uitschakelen om inrichting op aanvraag te kunnen gebruiken? Voor toepassingen die een bearer-token met een lange levensduur of een gebruikersnaam en wachtwoord gebruiken voor autorisatie, zijn er geen stappen meer vereist. Voor toepassingen die gebruikmaken van OAuth voor autorisatie moet de inrichtingstaak momenteel worden gestopt voordat u inrichting op aanvraag gebruikt. Toepassingen zoals G Suite, Box, Workplace by Facebook en Slack vallen in deze categorie. Er wordt gewerkt aan het ondersteunen van inrichting op aanvraag voor alle toepassingen zonder dat u de inrichting van taken hoeft te stoppen.

• Hoe lang duurt het inrichten op aanvraag? Inrichting op aanvraag duurt doorgaans minder dan 30 seconden.

Bekende beperkingen

Er zijn momenteel enkele bekende beperkingen voor inrichting op aanvraag. Plaats uw suggesties en feedback zodat we beter kunnen bepalen welke verbeteringen u moet aanbrengen.

Notitie

De volgende beperkingen zijn specifiek voor de inrichtingsmogelijkheid op aanvraag. Raadpleeg de zelfstudie voor die toepassing voor informatie over of een toepassing ondersteuning biedt voor inrichtingsgroepen, verwijderingen of andere mogelijkheden.

• Het inrichten van groepen op aanvraag ondersteunt het bijwerken van maximaal vijf leden tegelijk. Verbinding maken ors voor synchronisatie tussen tenants, Workday, enzovoort, bieden geen ondersteuning voor het inrichten van groepen en bieden daardoor geen ondersteuning voor het inrichten van groepen op aanvraag.
• De aanvraag-API voor inrichting op aanvraag kan slechts één groep met maximaal 5 leden tegelijk accepteren.

• Het inrichten van groepen op aanvraag wordt niet ondersteund voor synchronisatie tussen tenants.

• Inrichting op aanvraag biedt ondersteuning voor het inrichten van één gebruiker tegelijk via het Microsoft Entra-beheercentrum.
• Het herstellen van een eerder voorlopig verwijderde gebruiker in de doeltenant met inrichting op aanvraag wordt niet ondersteund. Als u probeert een gebruiker met inrichting op aanvraag voorlopig te verwijderen en vervolgens de gebruiker te herstellen, kan dit leiden tot dubbele gebruikers.
• Inrichting op aanvraag van rollen wordt niet ondersteund.
• Inrichting op aanvraag biedt ondersteuning voor het uitschakelen van gebruikers die niet zijn toegewezen vanuit de toepassing. Het biedt echter geen ondersteuning voor het uitschakelen of verwijderen van gebruikers die zijn uitgeschakeld of verwijderd uit Microsoft Entra-id. Deze gebruikers worden niet weergegeven wanneer u een gebruiker zoekt.
• Inrichting op aanvraag biedt geen ondersteuning voor geneste groepen die niet rechtstreeks aan de toepassing zijn toegewezen.

Volgende stappen

• Problemen met inrichting oplossen