Подготовка по требованию в Azure Active Directory

Используйте функцию подготовки по требованию, чтобы подготовить пользователя к работе в приложении за считаные секунды. Помимо прочего, эту возможность можно использовать в следующих целях:

  • Для быстрого устранения неполадок в конфигурации.
  • Для проверки определенных вами выражений.
  • Для проверки фильтров области.

Использование подготовки по требованию

  1. Войдите на портал Azure.

  2. Перейдите в область Все службы>Корпоративные приложения.

  3. Выберите необходимое приложение, а затем перейдите на страницу по настройке подготовки.

  4. Настройте подготовку, предоставив учетные данные администратора.

  5. Выберите Подготовка по требованию.

  6. Выполните поиск пользователя по имени, фамилии, отображаемому имени, имени участника-пользователя или адресу электронной почты.

    Примечание

    Для облачного приложения по подготовке персонала (Workday/SuccessFactors для AD/Azure AD) это входное значение отличается. Для сценария Workday следует указать WorkerID или WID пользователя в системе Workday. Для сценария SuccessFactors следует указать параметр "personIdExternal" пользователя в системе SuccessFactors.

  7. Нажмите Подготовить в нижней части страницы.

Screenshot that shows the Azure portal UI for provisioning a user on demand.

Сведения о шагах подготовки

В процессе подготовки по требованию воспроизводятся шаги, выполняемые службой подготовки при подготовке пользователя к работе. Для подготовки пользователя обычно требуется выполнить пять шагов. Во время подготовки по требованию отображается по крайней мере один из этих шагов, которые описываются в следующих разделах.

Шаг 1. Проверка подключения

Служба подготовки пытается авторизовать доступ к целевому приложению, выполнив запрос для "тестового пользователя". Служба подготовки ожидает получение ответа, указывающего на авторизацию службы для выполнения шагов по подготовке. Этот шаг отображается только в случае сбоя. При успешном выполнении этого шага он не отображается во время подготовки по требованию.

Советы по устранению неполадок

  • Для целевого приложения необходимо предоставить действительные учетные данные, такие как секретный токен и URL-адрес клиента. Необходимые учетные данные могут отличаться в зависимости от приложения. Подробные руководства по настройке можно найти в списке руководств.
  • Убедитесь, что целевое приложение поддерживает фильтрацию по атрибутам сопоставления, определенным в области Сопоставления атрибутов. Чтобы узнать о поддерживаемых фильтрах, вам может потребоваться изучение документации по API, предоставленной разработчиком приложения.
  • С приложениями стандарта System for Cross-domain Identity Management (SCIM) можно использовать такой инструмент, как Postman. Такие инструменты помогают убедиться, что приложение отвечает на запросы по авторизации так, как предполагается службой подготовки Azure Active Directory (Azure AD). Ознакомьтесь с примером запроса.

Шаг 2. Импорт пользователя

Затем служба подготовки получает пользователя из исходной системы. Атрибуты пользователя, получаемые службой, используются впоследствии для того, чтобы:

  • Проверять, находится ли пользователь в области подготовки.
  • Проверять целевую систему на наличие пользователя.
  • Определять, какие атрибуты пользователя нужно экспортировать в целевую систему.

Подробнее

В разделе Просмотр сведений отображаются свойства пользователя, которые были импортированы из исходной системы (например, Azure AD).

Советы по устранению неполадок

  • Импорт пользователя может завершиться ошибкой, если атрибут сопоставления отсутствует в объекте пользователя в исходной системе. Чтобы устранить эту ошибку, попробуйте применить один из следующих подходов.

    • Обновите объект пользователя, указав значение для атрибута сопоставления.
    • Измените атрибут сопоставления в конфигурации подготовки.
  • Если в импортированном списке отсутствует ожидаемый атрибут, убедитесь, что у этого атрибута имеется какое-либо значение в объекте пользователя в исходной системе. В настоящее время служба подготовки не поддерживает подготовку атрибутов с нулевым значением.

  • Убедитесь, что ожидаемый атрибут имеется на странице Сопоставление атрибутов конфигурации подготовки.

Шаг 3. Определение наличия пользователя в области

Затем служба подготовки определяет, находится ли пользователь в области для подготовки. Служба учитывает следующие аспекты:

  • Назначено ли приложение пользователю.
  • Задано ли для области значение Синхронизировать назначенное или Синхронизировать все.
  • Фильтры области, определенные в конфигурации подготовки.

Подробнее

В разделе Просмотр сведений отображаются условия для области, в отношении которых была выполнена оценка. Отображается по крайней мере одно из следующих свойств:

  • Активный в исходной системе указывает, что для свойства IsActive пользователя в Azure AD задано значение true.
  • Назначен приложению указывает, что пользователь назначен приложению в Azure AD.
  • Синхронизировать всех для области указывает, что настройка области разрешает доступ всем пользователям и группам в клиенте.
  • Пользователь имеет необходимую роль указывает, что у пользователя имеются необходимые роли для подготовки в приложении.
  • Фильтры области также отображаются, если фильтры области определены для приложения. Фильтр отображается в следующем формате: {заголовок фильтра области} {атрибут фильтра области} {оператор фильтра области} {значение фильтра области}.

Советы по устранению неполадок

Шаг 4. Сопоставление пользователя на исходной и целевой системах

На этом шаге служба пытается сопоставить пользователя, полученного на шаге импорта, с пользователем в целевой системе.

Подробнее

На странице Просмотр сведений отображаются свойства пользователей, которые были сопоставлены в целевой системе. Свойства, отображаемые в области контекста, различаются следующим образом.

  • Если в целевой системе нет ни одного сопоставленного пользователя, свойства не отображаются.
  • Если в целевой системе имеется один сопоставленный пользователь, отображаются свойства сопоставленного пользователя из целевой системы.
  • При наличии нескольких сопоставленных пользователей отображаются свойства обоих сопоставленных пользователей.
  • Если несколько атрибутов сопоставления являются частью сопоставлений атрибутов, каждый атрибут сопоставления оценивается последовательно, и для этого атрибута отображаются сопоставленные пользователи.

Советы по устранению неполадок

  • Служба подготовки не может однозначно сопоставить пользователя в исходной системе с пользователем в целевой системе. Эту проблему можно устранить, обеспечив уникальность атрибута сопоставления.
  • Убедитесь, что целевое приложение поддерживает фильтрацию по атрибуту, который определен в качестве атрибута сопоставления.

Шаг 5. Выполнение действия

Наконец, служба подготовки выполняет некоторое действие, например создание, обновление, удаление или пропуск пользователя.

Ниже приведен пример того, что отображается после успешной подготовки пользователя по требованию:

Screenshot that shows the successful on-demand provisioning of a user.

Подробнее

В разделе Просмотр сведений отображаются атрибуты, которые были изменены в целевом приложении. Здесь отображается окончательный результат работы службы подготовки и экспортированные атрибуты. Если этот шаг завершается ошибкой, отображаются атрибуты, которые служба подготовки пыталась изменить.

Советы по устранению неполадок

Часто задаваемые вопросы

  • Нужно ли отключать стандартную подготовку, чтобы использовать подготовку по требованию? Для приложений, в которых при авторизации используется длительный токен носителя или имя пользователя и пароль, никаких дополнительных действий не требуется. Для приложений, в которых при авторизации используется протокол OAuth, в настоящее время необходима остановка задания стандартной подготовки перед использованием подготовки по требованию. В эту категорию входят такие приложения, как G Suite, Box, Workplace от Facebook, а также Slack. В настоящее время ведется работа по обеспечению поддержки функции подготовки по требованию для всех приложений без остановки заданий стандартной подготовки.

  • Сколько времени занимает подготовка по требованию? Подготовка по требованию обычно занимает менее 30 секунд.

Известные ограничения

В настоящее время известно о нескольких ограничениях для подготовки по требованию. Публикуйте свои предложения и отзывы, чтобы мы могли лучше определить, какие улучшения следует реализовать дальше.

Примечание

Следующие ограничения действуют в отношении подготовки по требованию. Сведения о поддержке приложением групп подготовки, операций удаления или других возможностей см. в руководстве по этому приложению.

  • Приложение Amazon Web Services (AWS) не поддерживает подготовку по требованию.
  • Подготовка групп и ролей по требованию не поддерживается.
  • Функция подготовки по требованию поддерживает отключение пользователей, которые не были назначены в приложении. Однако при этом не поддерживается отключение или удаление пользователей, которые были отключены или удалены из Azure AD. Эти пользователи не отображаются при поиске.
  • Подготовка нескольких ролей для пользователя не поддерживается службой подготовки по требованию.

Дальнейшие действия