Gebruiker-inrichting en ongedaan maken van inrichting voor SaaS-toepassingen met Azure Active Directory automatiserenAutomate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

Wat is geautomatiseerde gebruikersinrichting voor SaaS-apps?What is automated user provisioning for SaaS apps?

Azure Active Directory (Azure AD) kunt u het maken, onderhoud en verwijderen van gebruikers-id's in de cloud automatiseren (SaaS) toepassingen, zoals Dropbox, Salesforce, ServiceNow en meer.Azure Active Directory (Azure AD) lets you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and more.

Deze functie kunt u:This feature lets you:

  • Automatisch nieuwe accounts maken in de juiste systemen voor nieuwe personen die lid worden van uw team of organisatie.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Deactiveren accounts automatisch in de juiste systemen wanneer mensen uw team of organisatie verlaten.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Zorg ervoor dat de identiteiten in uw apps en systemen up-to-date op basis van wijzigingen in de directory of uw HR-systeem gehouden worden.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • Niet-gebruikers objecten, zoals groepen, toepassingen die ondersteuning bieden voor deze inrichten.Provision non-user objects, such as groups, to applications that support them.

Geautomatiseerde gebruikersinrichting bevat ook deze functionaliteit:Automated user provisioning also includes this functionality:

  • De mogelijkheid om bestaande identiteiten tussen bron en doel-systemen.The ability to match existing identities between source and target systems.
  • Aanpasbare kenmerktoewijzingen die welke gegevens bepalen moeten stromen van het bronsysteem op het doelsysteem.Customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Optioneel e-mailwaarschuwingen voor fouten bij het inrichten.Optional email alerts for provisioning errors.
  • Rapportage en activiteit Logboeken om te helpen bij het bewaken en problemen oplossen.Reporting and activity logs to help with monitoring and troubleshooting.

Waarom een geautomatiseerde inrichting gebruiken?Why use automated provisioning?

Enkele veelvoorkomende redenen voor het gebruik van deze functie zijn onder andere:Some common motivations for using this feature include:

  • De kosten, inefficiënt en menselijke fouten die zijn gekoppeld aan handmatige inrichting processen voorkomen.Avoiding the costs, inefficiencies, and human error associated with manual provisioning processes.
  • De kosten die zijn gekoppeld aan die als host fungeert en onderhouden van aangepaste oplossingen voor inrichting en scripts vermijden.Avoiding the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • De beveiliging van uw organisatie door direct identiteit van gebruikers verwijderen uit sleutel SaaS-apps wanneer ze de organisatie verlaten.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Eenvoudig importeren van een groot aantal gebruikers in een bepaalde SaaS-toepassing of het systeem.Easily importing a large number of users into a particular SaaS application or system.
  • Een enkele set beleidsregels om te bepalen die is ingericht en die kunnen zich aanmelden bij een app hebben.Having a single set of policies to determine who is provisioned and who can sign in to an app.

Hoe werkt automatische inrichting samen?How does automatic provisioning work?

De Azure AD-inrichtingsservice gebruikers inricht voor SaaS-apps en andere systemen door verbinding te maken met de eindpunten van gebruiker beheer-API is geleverd door de leverancier van elke toepassing.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Deze gebruiker management API-eindpunten kunnen Azure AD via een programma maken, bijwerken en verwijderen van gebruikers.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. Voor de geselecteerde toepassingen kan de provisioning-service ook maken, bijwerken en aanvullende identiteit gerelateerde objecten, zoals groepen en rollen verwijderen.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

Inrichting afbeelding 1: De Provisioning-Service van Azure ADProvisioning Figure 1: The Azure AD Provisioning Service

Uitgaande inrichting afbeelding 2: "Uitgaande" gebruiker inrichtingswerkstroom van Azure AD met populaire SaaS-toepassingenOutbound Provisioning Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

Inbound Provisioning afbeelding 3: "Binnenkomende" inrichten werkstroom van de gebruiker van populaire Human Capital Management (HCM)-toepassingen naar Azure Active Directory en Windows Server Active DirectoryInbound Provisioning Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

Welke toepassingen en systemen kan ik gebruiken met Azure AD automatisch gebruikers inrichten?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD-functies vooraf geïntegreerde ondersteuning voor veel populaire SaaS-apps en human resources-systemen en algemene ondersteuning voor apps die specifieke onderdelen van de standaard SCIM 2.0 implementeren.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

Vooraf geïntegreerde toepassingenPre-integrated applications

Zie voor een lijst van alle toepassingen waarvoor Azure AD biedt ondersteuning voor een vooraf geïntegreerde inrichting connector, de lijst met zelfstudies voor toepassingen voor het inrichten van gebruikers.For a list of all applications for which Azure AD supports a pre-integrated provisioning connector, see the list of application tutorials for user provisioning.

Neem contact op met de Azure AD een bericht via engineeringteam om aan te vragen van inrichting ondersteuning voor aanvullende toepassingen indienen de forum met feedback van Azure Active Directory.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

Notitie

In de order voor een toepassing voor de ondersteuning van geautomatiseerde gebruikersinrichting, moet deze eerst de benodigde Gebruikersbeheer API's waarmee externe programma's voor het automatiseren van het maken, onderhoud en verwijdering van gebruikers opgeven.In order for an application to support automated user provisioning, it must first provide the necessary user management APIs that allow for external programs to automate the creation, maintenance, and removal of users. Er zijn daarom niet alle SaaS-apps compatibel zijn met deze functie.Therefore, not all SaaS apps are compatible with this feature. Voor apps die ondersteuning voor gebruikersbeheer API's bieden, het technische team van Azure AD kan vervolgens een inrichting connector naar deze apps maken en dit werk met prioriteit wordt toegepast door de behoeften van de huidige en potentiële klanten.For apps that do support user management APIs, the Azure AD engineering team can then build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

Het verbinden van toepassingen die ondersteuning bieden voor SCIM 2.0Connecting applications that support SCIM 2.0

Voor meer informatie over het algemeen verbinding maken met toepassingen die SCIM implementeren 2.0 - op basis van gebruiker-management-API's, Zie SCIM gebruiken voor het automatisch inrichten van gebruikers en groepen uit Azure Active Directory met toepassingen.For information on how to generically connect applications that implement SCIM 2.0 -based user management APIs, see Using SCIM to automatically provision users and groups from Azure Active Directory to applications.

Hoe stel ik automatische inrichting tot een toepassing?How do I set up automatic provisioning to an application?

Gebruikt de Azure Active Directory-portal voor het configureren van de Azure AD-inrichtingsservice voor een geselecteerde toepassing.Use the Azure Active Directory portal to configure the Azure AD provisioning service for a selected application.

  1. Open de Azure Active Directory-portal .Open the Azure Active Directory portal.

  2. Selecteer bedrijfstoepassingen in het linkerdeelvenster.Select Enterprise applications from the left pane. Een lijst met alle geconfigureerde apps wordt weergegeven.A list of all configured apps is show.

  3. Kies + nieuwe toepassing een toepassing toevoegen.Choose + New application to add an application. Voeg een van de volgende, afhankelijk van uw scenario:Add either of the following depending on your scenario:

  4. Geef details op en selecteer toevoegen.Provide any details and select Add. De nieuwe app wordt toegevoegd aan de lijst van zakelijke toepassingen en wordt geopend op de application management-scherm.The new app is added to the list of enterprise applications and opens to its application management screen.

  5. Selecteer Provisioning voor het beheren van instellingen voor de app voor het inrichten gebruikersaccount.Select Provisioning to manage user account provisioning settings for the app.

    Instellingen

  6. Selecteer de optie automatisch voor de inrichting modus instellingen opgeven voor de Administrator-referenties, toewijzingen, starten en stoppen, en synchronisatie.Select the Automatic option for the Provisioning Mode to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

    • Vouw beheerdersreferenties in te voeren van de referenties die nodig zijn voor Azure AD verbinding maken met de API voor gebruikersbeheer van de toepassing.Expand Admin credentials to enter the credentials required for Azure AD to connect to the application's user management API. Deze sectie kunt u e-mailmeldingen inschakelen als de referenties mislukt of de inrichtingstaak krijgt ook quarantaine.This section also lets you enable email notifications if the credentials fail, or the provisioning job goes into quarantine.

    • Vouw toewijzingen bekijken en bewerken van de kenmerken van de gebruiker die tussen Azure AD stromen en de doeltoepassing wanneer gebruikersaccounts worden ingericht of bijgewerkt.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated. Als de doeltoepassing wordt ondersteund, wordt in deze sectie kunt u eventueel configureren van groepen en accounts voor gebruikers wordt ingericht.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts. Selecteer een toewijzing in de tabel om te openen van de editor voor kolomtoewijzing aan de rechterkant, waarin u kunt bekijken en aanpassen van de kenmerken van gebruiker.Select a mapping in the table to open the mapping editor to the right, where you can view and customize user attributes.

      Bereikfilters de inrichtingsservice zien welke gebruikers en groepen in het bronsysteem moeten worden ingericht of de inrichting ongedaan gemaakt op het doelsysteem.Scoping filters tell the provisioning service which users and groups in the source system should be provisioned or deprovisioned to the target system. In de kenmerktoewijzing venster bereik van het bronobject om te filteren op specifieke kenmerkwaarden.In the Attribute mapping pane, select Source Object Scope to filter on specific attribute values. U kunt bijvoorbeeld opgeven dat alleen gebruikers waarvoor het kenmerk Afdeling is ingesteld op Verkoop moeten worden ingericht.For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning. Zie Using scoping filters (Bereikfilters gebruiken) voor meer informatie.For more information, see Using scoping filters.

      Zie voor meer informatie, kenmerktoewijzingen aanpassen.For more information, see Customizing Attribute Mappings.

    • Instellingen voor bepalen de werking van de provisioning-service voor een toepassing, waaronder of de implementatie wordt uitgevoerd.Settings control the operation of the provisioning service for an application, including whether it's currently running. De bereik menu kunt u opgeven of alleen toegewezen gebruikers en groepen moet binnen het bereik voor het inrichten of dat alle gebruikers in de Azure AD-directory moeten worden ingericht.The Scope menu lets you specify whether only assigned users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. Zie Assign a user or group to an enterprise app in Azure Active Directory (Een gebruiker of groep toewijzen aan een enterprise-app in Azure Active Directory) voor informatie over het 'toewijzen' van gebruikers en groepen.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

Selecteer in het scherm app management auditlogboeken om weer te geven records van elke bewerking uitgevoerd door de Azure AD-service inricht.In the app management screen, select Audit logs to view records of every operation run by the Azure AD provisioning service. Zie voor meer informatie de inrichting handleiding over rapportering.For more information, see the provisioning reporting guide.

Instellingen

Notitie

De inrichtingsservice Azure AD-gebruiker kan ook worden geconfigureerd en beheerd met behulp van de Microsoft Graph API.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

Wat gebeurt er tijdens het inrichten?What happens during provisioning?

Wanneer Azure AD het bronsysteem is, de provisioning-service gebruikt de differentiële Query-functie van de Azure AD Graph API om gebruikers en groepen te bewaken.When Azure AD is the source system, the provisioning service uses the Differential Query feature of the Azure AD Graph API to monitor users and groups. De inrichtingsservice wordt een eerste synchronisatie uitgevoerd tegen het bronsysteem en doelsysteem, gevolgd door periodieke incrementele synchronisaties.The provisioning service runs an initial sync against the source system and target system, followed by periodic incremental syncs.

Initiële synchronisatieInitial sync

Wanneer de provisioning-service wordt gestart, wordt de eerste synchronisatie ooit uitvoeren:When the provisioning service is started, the first sync ever run will:

  1. Query uitvoeren op alle gebruikers en groepen uit het bronsysteem bij het ophalen van alle kenmerken die zijn gedefinieerd de kenmerktoewijzingen.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.
  2. Filteren van de gebruikers en groepen die zijn geretourneerd, met behulp van een geconfigureerd toewijzingen of op kenmerken gebaseerde bereikfilters.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Wanneer een gebruiker is toegewezen of binnen het bereik voor het inrichten van de service zoekopdrachten uit op het doelsysteem voor een overeenkomende gebruiker met behulp van de opgegeven die overeenkomt met de kenmerken.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. Voorbeeld: Als de naam van de userPrincipal in het bronsysteem het overeenkomende kenmerk is en toegewezen aan een gebruikersnaam in het doelsysteem en vervolgens de provisioning-service het doelsysteem voor gebruikersnamen die overeenkomen met de naam userPrincipal waarden in het bronsysteem query uitgevoerd.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.
  4. Als er een overeenkomende gebruiker is niet gevonden in het doelsysteem, wordt deze gemaakt met behulp van de kenmerken die door het bronsysteem geretourneerd.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Nadat het gebruikersaccount dat is gemaakt, wordt de provisioning-service detecteert en het doelsysteem-ID voor de nieuwe gebruiker, die wordt gebruikt voor het uitvoeren van alle toekomstige bewerkingen voor die gebruiker in de cache opslaat.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Als een overeenkomende gebruiker wordt gevonden, wordt deze bijgewerkt met behulp van de kenmerken die is geleverd door het bronsysteem.If a matching user is found, it's updated using the attributes provided by the source system. Nadat het gebruikersaccount dat is gekoppeld, wordt de provisioning-service detecteert en het doelsysteem-ID voor de nieuwe gebruiker, die wordt gebruikt voor het uitvoeren van alle toekomstige bewerkingen voor die gebruiker in de cache opslaat.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Als de kenmerktoewijzingen 'verwijzing' kenmerken bevatten, wordt de service extra updates op het doelsysteem te maken en koppelen van de objecten waarnaar wordt verwezen.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Een gebruiker kan bijvoorbeeld een 'Manager'-kenmerk hebben in het doelsysteem, die is gekoppeld aan een andere gebruiker hebt gemaakt in het doelsysteem.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Een watermerk aan het einde van de initiële synchronisatie, waarmee het beginpunt voor de later incrementele synchronisaties behouden.Persist a watermark at the end of the initial sync, which provides the starting point for the later incremental syncs.

Sommige toepassingen, zoals ServiceNow, G Suite en Box-ondersteuning niet alleen inrichten van gebruikers, maar ook groepen en leden wordt ingericht.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. In deze gevallen, als groep inrichten is ingeschakeld de toewijzingen, wordt de inrichtingsservice synchroniseert de gebruikers en groepen en vervolgens het groepslidmaatschap later opnieuw te synchroniseren.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

Incrementele synchronisatiesIncremental syncs

Na de initiële synchronisatie zullen alle andere wordt gesynchroniseerd:After the initial sync, all other syncs will:

  1. Query uitvoeren op het bronsysteem voor alle gebruikers en groepen die zijn bijgewerkt sinds de laatste watermerk is opgeslagen.Query the source system for any users and groups that were updated since the last watermark was stored.
  2. Filteren van de gebruikers en groepen die zijn geretourneerd, met behulp van een geconfigureerd toewijzingen of op kenmerken gebaseerde bereikfilters.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Wanneer een gebruiker is toegewezen of binnen het bereik voor het inrichten van de service zoekopdrachten uit op het doelsysteem voor een overeenkomende gebruiker met behulp van de opgegeven die overeenkomt met de kenmerken.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.
  4. Als er een overeenkomende gebruiker is niet gevonden in het doelsysteem, wordt deze gemaakt met behulp van de kenmerken die door het bronsysteem geretourneerd.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Nadat het gebruikersaccount dat is gemaakt, wordt de provisioning-service detecteert en het doelsysteem-ID voor de nieuwe gebruiker, die wordt gebruikt voor het uitvoeren van alle toekomstige bewerkingen voor die gebruiker in de cache opslaat.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Als een overeenkomende gebruiker wordt gevonden, wordt deze bijgewerkt met behulp van de kenmerken die is geleverd door het bronsysteem.If a matching user is found, it's updated using the attributes provided by the source system. Als het een recent toegewezen account dat is gekoppeld, wordt de provisioning-service detecteert en het doelsysteem-ID voor de nieuwe gebruiker, die wordt gebruikt voor het uitvoeren van alle toekomstige bewerkingen voor die gebruiker in de cache opslaat.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Als de kenmerktoewijzingen 'verwijzing' kenmerken bevatten, wordt de service extra updates op het doelsysteem te maken en koppelen van de objecten waarnaar wordt verwezen.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Een gebruiker kan bijvoorbeeld een 'Manager'-kenmerk hebben in het doelsysteem, die is gekoppeld aan een andere gebruiker hebt gemaakt in het doelsysteem.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Wanneer een gebruiker die eerder in het bereik vallen voor inrichting van bereik (inclusief wordt niet-toegewezen) wordt verwijderd, wordt de gebruiker uitgeschakeld in het doelsysteem via een update van de service.If a user that was previously in scope for provisioning is removed from scope (including being unassigned), the service disables the user in the target system via an update.
  8. Als een gebruiker die eerder in het bereik vallen voor inrichting is uitgeschakeld of voorlopig in het bronsysteem verwijderde, wordt de gebruiker uitgeschakeld in het doelsysteem via een update van de service.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.
  9. Als een gebruiker die eerder in het bereik vallen voor inrichting verwijderd in het bronsysteem is, wordt de gebruiker door de service verwijderd in het doelsysteem.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. Gebruikers zijn in Azure AD-verwijderd 30 dagen nadat ze voorlopig verwijderde.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.
  10. Een nieuw watermerk aan het einde van de incrementele synchronisatie, waarmee het beginpunt voor de later incrementele synchronisaties behouden.Persist a new watermark at the end of the incremental sync, which provides the starting point for the later incremental syncs.

Notitie

U kunt desgewenst uitschakelen de maken, Update, of verwijderen bewerkingen met behulp van de Objectacties als doel selectievakjes in de Toewijzingen sectie.You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. De logica voor het uitschakelen van een gebruiker tijdens het bijwerken wordt beheerd via een kenmerk wordt toegewezen uit een veld, zoals 'accountEnabled'.The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

De inrichtingsservice wordt back to back incrementele synchronisaties voor onbepaalde tijd, uitgevoerd met intervallen gedefinieerd in de zelfstudie die specifiek zijn voor elke toepassing, totdat een van de volgende gebeurtenissen zich voordoet:The provisioning service continues running back-to-back incremental syncs indefinitely, at intervals defined in the tutorial specific to each application, until one of the following events occurs:

  • De service is handmatig gestopt met behulp van de Azure-portal of met behulp van de juiste Graph API-opdrachtThe service is manually stopped using the Azure portal, or using the appropriate Graph API command
  • Een nieuwe initiële synchronisatie wordt geactiveerd met behulp van de status wissen en opnieuw starten optie in Azure portal of met behulp van de juiste Graph API-opdracht.A new initial sync is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Graph API command. Met deze actie worden alle opgeslagen watermerk gewist en zorgt ervoor dat alle bronobjecten moet opnieuw worden geëvalueerd.This action clears any stored watermark and causes all source objects to be evaluated again.
  • Een nieuwe initiële synchronisatie wordt geactiveerd vanwege een wijziging in de kenmerktoewijzingen of bereikfilters toevoegen.A new initial sync is triggered because of a change in attribute mappings or scoping filters. Met deze actie wordt ook een opgeslagen watermerk wissen en zorgt ervoor dat alle bronobjecten moet opnieuw worden geëvalueerd.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • Het inrichtingsproces gaat in quarantaine (Zie hieronder) vanwege een hoog aantal fouten bij, en in quarantaine voor meer dan vier weken blijft.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. In dat geval kan wordt de service automatisch uitgeschakeld.In this event, the service will be automatically disabled.

Fouten en nieuwe pogingenErrors and retries

Als een afzonderlijke gebruiker kan niet worden toegevoegd, bijgewerkt of verwijderd in het doelsysteem vanwege een fout in het doelsysteem, klikt u vervolgens de bewerking wordt opnieuw uitgevoerd in de volgende synchronisatiecyclus.If an individual user can't be added, updated, or deleted in the target system because of an error in the target system, then the operation is retried in the next sync cycle. Als de gebruiker mislukken blijft, begint de nieuwe pogingen worden uitgevoerd met een lagere frequentie, geleidelijk terug naar slechts één poging per dag te schalen.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. Los de fout op door beheerders moeten controleren de auditlogboeken voor 'proces-escrow' gebeurtenissen om te bepalen van de hoofdmap veroorzaken en de juiste actie ondernemen.To resolve the failure, administrators must check the audit logs for "process escrow" events to determine the root cause and take the appropriate action. Veelvoorkomende fouten kunnen opnemen:Common failures can include:

  • Gebruikers niet met een kenmerk is ingevuld in het bronsysteem die is in het doelsysteem vereistUsers not having an attribute populated in the source system that is required in the target system
  • Gebruikers met een waarde van het kenmerk in het bronsysteem waarvoor er een unieke beperking in het doelsysteem is en dezelfde waarde is aanwezig in de record van een andere gebruikerUsers having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

Deze fouten kunnen worden opgelost door aan te passen van de kenmerkwaarden voor de betrokken gebruiker in het bronsysteem, of door de kenmerktoewijzingen als u wilt niet leiden tot conflicten aan te passen.These failures can be resolved by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings to not cause conflicts.

In quarantaine plaatsenQuarantine

Als de meeste of alle van de oproepen die aan het doelsysteem consistent mislukt vanwege een fout (zoals ongeldig beheerdersreferenties), klikt u vervolgens gaat de inrichtingstaak in een status 'in quarantaine plaatsen'.If most or all of the calls made against the target system consistently fail because of an error (such as for invalid admin credentials), then the provisioning job goes into a "quarantine" state. Deze status wordt aangegeven in de inrichting overzichtsrapport en via e-mail als e-mailmeldingen zijn geconfigureerd in Azure portal.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

Wanneer het in quarantaine, de frequentie van incrementele synchronisaties geleidelijk teruggebracht tot één keer per dag.When in quarantine, the frequency of incremental syncs is gradually reduced to once per day.

De inrichtingstaak worden uit quarantaine verwijderd nadat alle strijdige fouten zijn opgelost en de volgende synchronisatiecyclus start.The provisioning job will be removed from quarantine after all of the offending errors are fixed and the next sync cycle starts. Als de taak in quarantaine meer dan vier weken blijft, wordt de taak is uitgeschakeld.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled.

Hoe lang duurt het inrichten van gebruikers?How long will it take to provision users?

Prestaties, is afhankelijk van of uw provisioning-taak wordt uitgevoerd een eerste synchronisatie of een incrementele synchronisatie.Performance depends on whether your provisioning job is running an initial sync or an incremental sync.

Voor wordt gesynchroniseerd voor de eerste, de tijd voor de taak is afhankelijk van verschillende factoren, waaronder het aantal gebruikers en groepen in het bereik vallen voor inrichting, en het totale aantal gebruikers en groepen in het bronsysteem.For initial syncs, the job time depends on many factors, including the number of users and groups in scope for provisioning, and the total number of users and group in the source system. Een uitgebreide lijst van de factoren die invloed hebben op prestaties van de initiële synchronisatie worden later samengevat in deze sectie.A comprehensive list of factors that affect initial sync performance are summarized later in this section.

Voor incrementele synchronisaties, de tijd voor de taak is afhankelijk van het aantal wijzigingen gedetecteerd in deze synchronisatiecyclus.For incremental syncs, the job time depends on the number of changes detected in that sync cycle. Als er minder dan 5000 gebruiker of groepslidmaatschap wijzigingen, kan de taak binnen een synchronisatiecyclus één incrementele voltooien.If there are fewer than 5,000 user or group membership changes, the job can finish within a single incremental sync cycle.

De volgende tabel geeft een overzicht van synchronisatieschema de synchronisatietijden voor algemene inrichting scenario's.The following table summarizes synchronization times for common provisioning scenarios. In deze scenario's, het bronsysteem is Azure AD en het doelsysteem is een SaaS-toepassing.In these scenarios, the source system is Azure AD and the target system is a SaaS application. De synchronisatietijden zijn afgeleid van een statistische analyse van synchronisatietaken voor de SaaS-toepassingen ServiceNow, werkplek, Salesforce en G Suite.The sync times are derived from a statistical analysis of sync jobs for the SaaS applications ServiceNow, Workplace, Salesforce, and G Suite.

ScopeconfiguratieScope configuration Gebruikers, groepen en leden binnen het bereikUsers, groups, and members in scope Tijd van de initiële synchronisatieInitial sync time Tijd van incrementele synchronisatieIncremental sync time
Toegewezen gebruikers en groepen alleen synchroniserenSync assigned users and groups only < 1,000< 1,000 < 30 minuten< 30 minutes < 30 minuten< 30 minutes
Toegewezen gebruikers en groepen alleen synchroniserenSync assigned users and groups only 1.000 - 10.0001,000 - 10,000 142 - 708 minuten142 - 708 minutes < 30 minuten< 30 minutes
Toegewezen gebruikers en groepen alleen synchroniserenSync assigned users and groups only 10,000 - 100,00010,000 - 100,000 1,170 - 2,340 minuten1,170 - 2,340 minutes < 30 minuten< 30 minutes
Alle gebruikers en groepen in Azure AD worden gesynchroniseerdSync all users and groups in Azure AD < 1,000< 1,000 < 30 minuten< 30 minutes < 30 minuten< 30 minutes
Alle gebruikers en groepen in Azure AD worden gesynchroniseerdSync all users and groups in Azure AD 1.000 - 10.0001,000 - 10,000 < 30 tot 120 minuten< 30 - 120 minutes < 30 minuten< 30 minutes
Alle gebruikers en groepen in Azure AD worden gesynchroniseerdSync all users and groups in Azure AD 10,000 - 100,00010,000 - 100,000 713 - 1,425 minuten713 - 1,425 minutes < 30 minuten< 30 minutes
Alle gebruikers in Azure AD worden gesynchroniseerdSync all users in Azure AD < 1,000< 1,000 < 30 minuten< 30 minutes < 30 minuten< 30 minutes
Alle gebruikers in Azure AD worden gesynchroniseerdSync all users in Azure AD 1.000 - 10.0001,000 - 10,000 43 - 86 minuten43 - 86 minutes < 30 minuten< 30 minutes

Voor de configuratie van synchronisatie toegewezen gebruikers en groepen alleen, kunt u de volgende formules om te bepalen van de geschatte minimale en maximale verwacht voor de eerste synchronisatie tijden:For the configuration Sync assigned user and groups only, you can use the following formulas to determine the approximate minimum and maximum expected initial sync times:

Minimum minutes =  0.01 x [Number of assigned users, groups, and group members]
Maximum minutes = 0.08 x [Number of assigned users, groups, and group members] 

Overzicht van de factoren die invloed hebben op de tijd die nodig zijn om uit te voeren een voor de eerste synchronisatie:Summary of factors that influence the time it takes to complete an initial sync:

  • Het totale aantal gebruikers en groepen in het bereik vallen voor inrichting.The total number of users and groups in scope for provisioning.

  • Het totale aantal gebruikers, groepen en groepsleden aanwezig zijn in het bronsysteem (Azure AD).The total number of users, groups, and group members present in the source system (Azure AD).

  • Of gebruikers in het bereik voor het inrichten van zijn afgestemd op bestaande gebruikers in de doeltoepassing of moeten worden gemaakt voor de eerste keer.Whether users in scope for provisioning are matched to existing users in the target application, or need to be created for the first time. Synchronisatietaken voor dat alle gebruikers worden gemaakt voor het eerst duren over tweemaal zo lang als taken voor die alle gebruikers zijn afgestemd op bestaande gebruikers worden gesynchroniseerd.Sync jobs for which all users are created for the first time take about twice as long as sync jobs for which all users are matched to existing users.

  • Aantal fouten in de auditlogboeken.Number of errors in the audit logs. Is trager als er veel fouten en de provisioning-service is geworden in een status in quarantaine plaatsen.Performance is slower if there are many errors and the provisioning service has gone into a quarantine state.

  • Aanvragen frequentielimieten en beperking geïmplementeerd door het doelsysteem.Request rate limits and throttling implemented by the target system. Sommige doelsystemen implementeren aanvraag frequentielimieten en beperking, die kan invloed hebben op prestaties bij grote synchronisatiebewerkingen.Some target systems implement request rate limits and throttling, which can impact performance during large sync operations. In deze omstandigheden kan een app die te veel aanvragen te snel ontvangt de respons vertragen of Verbreek de verbinding.Under these conditions, an app that receives too many requests too fast might slow its response rate or close the connection. Voor betere prestaties wordt de verbinding moet aanpassen door de app-aanvragen niet sneller dan ze kan worden verwerkt door de app verzendt.To improve performance, the connector needs to adjust by not sending the app requests faster than the app can process them. Inrichting connectors die zijn gemaakt door Microsoft u deze aanpassing.Provisioning connectors built by Microsoft make this adjustment.

  • Het aantal en de grootte van de toegewezen groepen.The number and sizes of assigned groups. Toegewezen groepen synchroniseren duurt langer dan het synchroniseren van gebruikers.Syncing assigned groups takes longer than syncing users. Zowel het aantal en de grootte van de toegewezen groepen invloed hebben op prestaties.Both the number and the sizes of the assigned groups impact performance. Als een toepassing heeft toewijzingen ingeschakeld voor synchronisatie van de groep objecten eigenschappen, zoals namen groeperen lidmaatschappen naast gebruikers worden gesynchroniseerd.If an application has mappings enabled for group object sync, group properties such as group names and memberships are synced in addition to users. Deze extra wordt gesynchroniseerd duurt langer dan alleen synchroniseren gebruikersobjecten.These additional syncs will take longer than only syncing user objects.

Hoe kan ik zien als gebruikers juist worden ingericht?How can I tell if users are being provisioned properly?

Alle bewerkingen uitgevoerd door de gebruiker inrichtingsservice worden vastgelegd in de Azure AD auditlogboeken.All operations run by the user provisioning service are recorded in the Azure AD audit logs. Dit omvat alle lees- en schrijfbewerkingen die zijn aangebracht in de bron en doel-systemen en de gebruikersgegevens die is gelezen of geschreven bij elke bewerking.This includes all read and write operations made to the source and target systems, and the user data that was read or written during each operation.

Zie voor meer informatie over het lezen van de controlelogboeken in Azure portal, de inrichting handleiding over rapportering.For information on how to read the audit logs in the Azure portal, see the provisioning reporting guide.

Hoe los ik problemen met het inrichten van gebruikers?How do I troubleshoot issues with user provisioning?

Zie voor instructies over het automatisch inrichten van gebruikers oplossen scenario's gebaseerde problemen bij het configureren en inrichten van gebruikers voor een toepassing.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

Wat zijn de aanbevolen procedures voor het implementeren van automatisch inrichten van gebruikers?What are the best practices for rolling out automatic user provisioning?

Zie voor een voorbeeld van stapsgewijze implementatie-plan voor het inrichten van uitgaande gebruikers naar een toepassing, de identiteit Deployment Guide voor het inrichten van gebruikers.For an example step-by-step deployment plan for outbound user provisioning to an application, see the Identity Deployment Guide for User Provisioning.

Meer veelgestelde vragenMore frequently asked questions

Wordt er automatisch gebruikers inrichten voor SaaS-apps werken met B2B-gebruikers in Azure AD?Does automatic user provisioning to SaaS apps work with B2B users in Azure AD?

Ja, is het mogelijk om te gebruiken van de Azure AD-gebruiker inrichten van gebruikers van B2B inrichten (of Gast)-service in Azure AD SaaS-toepassingen.Yes, it's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications.

De SaaS-toepassing moet echter voor B2B-gebruikers zich aanmeldt bij de SaaS-toepassing met behulp van Azure AD, hebben de SAML gebaseerde eenmalige aanmeldings-mogelijkheid geconfigureerd op een specifieke manier.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. Voor meer informatie over het configureren van SaaS-toepassingen voor de ondersteuning van aanmeldingen van B2B-gebruikers, Zie configureren SaaS-apps voor B2B-samenwerking.For more information on how to configure SaaS applications to support sign ins from B2B users, see Configure SaaS apps for B2B collaboration.

Wordt er automatisch gebruikers inrichten voor SaaS-apps werken met dynamische groepen in Azure AD?Does automatic user provisioning to SaaS apps work with dynamic groups in Azure AD?

Ja.Yes. Wanneer geconfigureerd voor 'sync alleen toegewezen gebruikers en groepen', de Azure AD-gebruiker inrichtingsservice kunt inrichten of ongedaan maken inrichting gebruikers in een SaaS-toepassing is afhankelijk van of ze lid zijn van een dynamische groep.When configured to "sync only assigned users and groups", the Azure AD user provisioning service can provision or de-provision users in a SaaS application based on whether they're members of a dynamic group. Dynamische groepen werken ook met de optie 'alle gebruikers en groepen synchroniseren'.Dynamic groups also work with the "sync all users and groups" option.

Gebruik van dynamische groepen kan echter van invloed op de algehele prestaties van end-to-end gebruikersinrichting van de Azure AD met SaaS-toepassingen.However, usage of dynamic groups can impact the overall performance of end-to-end user provisioning from the Azure AD to SaaS applications. Wanneer u dynamische groepen, Let op deze aanvullende opmerkingen en aanbevelingen in gedachten:When using dynamic groups, keep these caveats and recommendations in mind:

  • Hoe snel een gebruiker in een dynamische groep is ingericht of de inrichting ongedaan gemaakt in een SaaS-toepassing afhankelijk van hoe snel de dynamische groep wijzigingen in het lidmaatschap kunt evalueren.How fast a user in a dynamic group is provisioned or deprovisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. Zie voor meer informatie over het controleren van de verwerkingsstatus van een dynamische groep Controleer de verwerkingsstatus voor een lidmaatschapsregel.For information on how to check the processing status of a dynamic group, see Check processing status for a membership rule.

  • Wanneer u dynamische groepen, moeten de voorschriften zorgvuldig worden nagedacht met gebruiker inrichting en ongedaan maken inrichting in gedachten, als een verlies van resultaten voor lidmaatschap in een opheffen van inrichtingen gebeurtenis.When using dynamic groups, the rules must be carefully considered with user provisioning and de-provisioning in mind, as a loss of membership results in a deprovisioning event.

Wordt er automatisch gebruikers inrichten voor SaaS-apps werken met geneste groepen in Azure AD?Does automatic user provisioning to SaaS apps work with nested groups in Azure AD?

Nee.No. Wanneer geconfigureerd voor 'sync alleen toegewezen gebruikers en groepen', is de Azure AD-gebruiker inrichtingsservice niet kunnen lezen of het inrichten van gebruikers die zich in de geneste groepen.When configured to "sync only assigned users and groups", the Azure AD user provisioning service isn't able to read or provision users that are in nested groups. Het is alleen kan lezen en inrichten van gebruikers die directe leden van de expliciet toegewezen groep.It's only able to read and provision users that are immediate members of the explicitly assigned group.

Dit is een beperking van '-groep op basis van toewijzingen voor toepassingen', die ook van invloed is op eenmalige aanmelding en wordt beschreven in met behulp van een groep voor het beheren van toegang tot SaaS-toepassingen.This is a limitation of "group-based assignments to applications", which also affects single sign-on and is described in Using a group to manage access to SaaS applications.

Als tijdelijke oplossing, moet u expliciet toewijzen (of anderszins in het bereik van) de groepen met de gebruikers die moeten worden ingericht.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned.

Tussen Azure AD wordt ingericht en een doeltoepassing met behulp van een versleuteld kanaal?Is provisioning between Azure AD and a target application using an encrypted channel?

Ja.Yes. We gebruiken HTTPS SSL-versleuteling voor de doel-server.We use HTTPS SSL encryption for the server target.