Проверка состояния подготовки пользователей

Служба подготовки Azure AD выполняет начальный цикл подготовки исходной и целевой систем, после чего периодически выполняет добавочные циклы. При настройке подготовки приложения можно проверить текущее состояние службы подготовки и узнать, когда конкретный пользователь сможет получить доступ к приложению.

Просмотр индикатора выполнения подготовки

На странице Подготовка приложения вы можете просмотреть состояние службы подготовки Azure AD. В разделе Текущее состояние внизу страницы показано, начался ли цикл подготовки учетных записей пользователей. Здесь можно отслеживать ход выполнения цикла и узнавать, сколько пользователей и групп подготовлено, а также сколько ролей создано.

При первой настройке автоматической подготовки в разделе Текущее состояние внизу страницы отображается состояние начального цикла подготовки. Этот раздел обновляется каждый раз при выполнении добавочного цикла. В нем отображаются следующие сведения.

  • Тип цикла подготовки, выполняемого в данный момент выполняется или завершенного последним — начальный или добавочный.
  • Индикатор выполнения, показывающий процент выполнения цикла подготовки. Процент отражает количество подготовленных страниц. Обратите внимание, что одна страница может содержать несколько пользователей или групп, поэтому процентная доля не соотносится напрямую с числом подготовленных пользователей, групп или ролей.
  • Кнопка Обновить, с помощью которой можно обновлять представление.
  • Число пользователей и групп в хранилище данных соединителя. Значения на этих счетчиках увеличиваются каждый раз, когда в область подготовки добавляется объект. При обратимом или окончательном удалении пользователя значение на счетчике не уменьшается, так как при этом объект не удаляется из хранилища данных соединителя. Пересчет производится при первой синхронизации после сброса CDS.
  • Ссылка Ознакомиться с журналами аудита, по которой можно просмотреть журналы подготовки Azure AD для получения подробных сведений обо всех операциях, выполняемых службой подготовки пользователей, включая состояние подготовки для отдельных пользователей (см. раздел "Использование журналов подготовки" ниже).

По завершении цикла подготовки в разделе Статистика до текущей даты отображается совокупное число подготовленных к работе пользователей и групп с указанием даты завершения и длительности последнего цикла. Идентификатор действия однозначно идентифицирует последний цикл подготовки. Идентификатор задания — это уникальный идентификатор задания подготовки, который относится к приложению в вашем клиенте.

Ход подготовки можно наблюдать на вкладке Azure Active Directory> "Корпоративные приложения" > [имя приложения] >Подготовка портала Azure.

Индикатор выполнения на странице подготовки

Использование журналов подготовки для проверки состояния подготовки пользователя

Чтобы просмотреть состояние подготовки выбранного пользователя, обратитесь к разделу Журналы аудита (предварительная версия) в Azure AD. В журналах подготовки Azure AD регистрируются все операции, которые выполняет служба подготовки пользователей. Сюда относятся все операции чтения и записи в исходной и целевой системах, а также сведения о том, какие данные пользователей были считаны или записаны во время каждой из этих операций.

Чтобы получить доступ к журналам подготовки на портале Azure, выберите Azure Active Directory > Корпоративные приложения > Журналы подготовки (предварительная версия) в разделе Действие. Данные о подготовке можно искать по имени пользователя или идентификатору в исходной или целевой системе. Дополнительные сведения см. в статье "Журналы подготовки (предварительная версия) в Azure Active Directory".

В журналах аудита регистрируются все операции, которые выполняются службой подготовки, в том числе:

  • Получение сведений о назначенных пользователях, которые находятся в области для подготовки, в Azure AD
  • Получение сведений о наличии этих пользователей от целевого приложения
  • Сравнение объектов пользователя в разных системах
  • Добавление, обновление или отключение учетной записи пользователя в целевой системе на основе сравнения

Дополнительные сведения о чтении журналов подготовки на портале Azure см. в руководстве по отчетам о подготовке.

Сколько времени занимает подготовка пользователей?

При использовании автоматической подготовки пользователей Azure AD будет автоматически подготавливать и обновлять учетные записи пользователей в приложении на основе назначений пользователей и групп с установленным интервалом времени (обычно каждые 40 минут).

Время, необходимое для подготовки данного пользователя, зависит главным образом от того, какого рода цикл выполняется в задании подготовки: начальный или добавочный.

  • Длительность выполнения задания начального цикла зависит от многих факторов, включая число пользователей и групп, которые предстоит подготовить, и общее число пользователей и групп в исходной системе. Первая синхронизация приложения с Azure AD может занять от 20 минут до нескольких часов, в зависимости от размера каталога Azure AD и количества пользователей в области подготовки. Полный список факторов, влияющих на производительность начальной синхронизации, приведен далее в этом разделе.

  • Добавочные циклы занимают меньше времени (например, в пределах 10 минут), так как служба подготовки сохраняет "водяные знаки", которые представляют состояние обеих систем после начальной синхронизации. Это позволяет повысить скорость последующих операций синхронизации. Длительность выполнения задания зависит от числа изменений, обнаруженных в данном цикле подготовки. Если обнаружено менее 5000 изменений пользователей или членства в группах, задание может завершиться в течение одного добавочного цикла подготовки.

В следующей таблице перечислены данные о времени синхронизации, необходимом для общих сценариев подготовки. В этих сценариях исходной системой является Azure AD, а целевой — приложение SaaS. Время синхронизации указано по данным статистического анализа выполнения заданий синхронизации для приложений SaaS ServiceNow, Workplace, Salesforce и G Suite.

Конфигурация области Пользователи, группы и участники в области Длительность начального цикла Длительность добавочного цикла
Синхронизация только назначенных пользователей и групп < 1000 < 30 минут < 30 минут
Синхронизация только назначенных пользователей и групп 1000–10 000 142–708 минут < 30 минут
Синхронизация только назначенных пользователей и групп 10 000–100 000 1170–2,340 минут < 30 минут
Синхронизация всех пользователей и групп в Azure AD < 1000 < 30 минут < 30 минут
Синхронизация всех пользователей и групп в Azure AD 1000–10 000 30–120 минут < 30 минут
Синхронизация всех пользователей и групп в Azure AD 10 000–100 000 713–1425 минут < 30 минут
Синхронизация всех пользователей в Azure AD < 1000 < 30 минут < 30 минут
Синхронизация всех пользователей в Azure AD 1000–10 000 43–86 минут < 30 минут

Для конфигурации Синхронизация только назначенных пользователей и групп можно определить приблизительную минимальную и максимальную длительность начального цикла по следующим формулам:

  • Минимальная длительность (мин) = 0,01 x [число назначенных пользователей, групп и членов групп]
  • Максимальная длительность (мин) = 0,08 x [число назначенных пользователей, групп и членов групп]

Ниже приведена сводка факторов, влияющих на время выполнения начальной синхронизации.

  • Общее количество пользователей и групп, которые будут подготовлены.

  • Общее количество пользователей, групп и участников группы, находящихся в исходной системе (Azure AD).

  • Совпадают ли пользователи, которых предстоит подготовить, с имеющимися пользователями в целевом приложении, или же их необходимо создать впервые. Задания синхронизации, в рамках которых все пользователи создаются впервые, выполняются вдвое дольше, чем те, в которых все пользователи совпадают с уже имеющимися пользователями.

  • Число ошибок в журналах подготовки. Производительность также снижается, если возникает большое количество ошибок и служба подготовки перешла в состояние карантина.

  • Ограничения частоты и регулирования запросов, реализованные целевой системой. В некоторых целевых системах реализуется ограничение и регулирование частоты запросов, что может повлиять на производительность во время выполнения крупных операций синхронизации. В этих условиях приложение, получающее слишком много запросов за короткий промежуток времени, может снизить частоту реагирования или закрыть подключение. Чтобы повысить производительность, соединитель необходимо настроить таким образом, чтобы количество отправляемых запросов соответствовало количеству запросов, которые может обработать приложение. Соединители подготовки, созданные корпорацией Майкрософт, позволяют внести эту корректировку.

  • Количество и размеры назначенных групп. Синхронизация назначенных групп длится дольше, чем синхронизация пользователей. Число и размер назначенных групп оказывают влияние на производительность. Если в приложении включена функция сопоставления для синхронизации объектов группы, свойства группы (например, названия групп и членства) синхронизируются в дополнение к пользователям. Эти дополнительные синхронизации занимают больше времени, чем синхронизация только объектов пользователей.

  • Если производительность недопустимо низкая, а вы пытаетесь подготовить большую часть пользователей и групп в своем клиенте, используйте фильтры области. Фильтры области позволяют точно настроить данные, которые служба подготовки получает из Azure AD, за счет фильтрации пользователей по значению конкретного атрибута. Дополнительные сведения о фильтрах области см. в статье Подготовка приложений на основе атрибутов с использованием фильтров области.

Дальнейшие действия

Автоматическая подготовка пользователей и ее отзыв для приложений SaaS в Azure Active Directory