Автоматическая подготовка пользователей и ее отзыв для приложений SaaS в Azure Active DirectoryAutomate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

Что такое автоматическая подготовка пользователей для приложений SaaSWhat is automated user provisioning for SaaS apps?

Azure Active Directory (Azure AD) позволяет автоматизировать создание, обслуживание и удаления удостоверений пользователей в облаке (SaaS) приложений, таких как Dropbox, Salesforce, ServiceNow и многое другое.Azure Active Directory (Azure AD) lets you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and more.

Эта функция позволяет:This feature lets you:

  • Автоматическое создание новых учетных записей в соответствующих системах для новых членов вашей команды или организации.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Автоматическая деактивация учетных записей в соответствующих системах, когда люди покидают команду или организацию.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Постоянное обновление удостоверений в ваших приложениях и системах при внесении изменений в каталог или в систему управления персоналом.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • Подготовка не созданных пользователями объектов, таких как группы, в приложениях, которые их поддерживают.Provision non-user objects, such as groups, to applications that support them.

Автоматическая подготовка пользователей включает эту функцию:Automated user provisioning also includes this functionality:

  • Сопоставление существующих удостоверений в исходных и целевых системах.The ability to match existing identities between source and target systems.
  • Настраиваемые сопоставления атрибутов, которые определяют, какие данные пользователя должны поступать из исходной системы в целевую систему.Customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Необязательная отправка сообщения с оповещением об ошибке при подготовке.Optional email alerts for provisioning errors.
  • Составление отчетов и журналов действий для упрощения отслеживания и устранения неполадок.Reporting and activity logs to help with monitoring and troubleshooting.

Для чего нужна автоматическая подготовкаWhy use automated provisioning?

Вот несколько основных причин, по которым стоит использовать эту функцию:Some common motivations for using this feature include:

  • Исключение затрат, неэффективности и ошибок, связанных с человеческим фактором, которые могут возникать в ходе выполнения подготовки вручную.Avoiding the costs, inefficiencies, and human error associated with manual provisioning processes.
  • Отсутствие затрат, связанных с размещением и поддержкой специально разработанных решений и скриптов для подготовки.Avoiding the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Защита вашей организации, мгновенно удаляя из ключевых приложений SaaS удостоверения пользователей, когда они покидают организацию.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Легко Импорт большое количество пользователей в конкретное приложение SaaS или систем.Easily importing a large number of users into a particular SaaS application or system.
  • Применения единого набора политик, чтобы определить, кто подготавливается и кто может входить приложение.Having a single set of policies to determine who is provisioned and who can sign in to an app.

Как работает автоматическая подготовкаHow does automatic provisioning work?

Служба подготовки Azure AD подготавливает пользователей для приложений SaaS и других систем путем подключения к конечным точкам API управления пользователя, предоставляемые каждым поставщиком приложения.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Эти конечные точки API управления пользователями позволяют Azure AD создавать, обновлять и удалять пользователей путем программирования.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. Для выбранных приложений служба подготовки можно также создать, обновить и удалить дополнительные объекты, связанные с удостоверениями, таких как группы и роли.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

Подготовка Рис. 1. Служба подготовки Azure ADProvisioning Figure 1: The Azure AD Provisioning Service

Исходящая подготовка Рис. 2. "Исходящий" рабочий процесс подготовки пользователей из Azure AD в популярные приложения SaaSOutbound Provisioning Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

Входящая подготовка Рис. 3. "Входящий" рабочий процесс подготовки пользователей из популярных приложений управления кадрами (HCM) в Azure Active Directory и Windows Server Active DirectoryInbound Provisioning Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

Какие приложения и системы можно использовать с автоматической подготовкой пользователей Azure ADWhat applications and systems can I use with Azure AD automatic user provisioning?

Azure AD предлагает предварительно интегрированную поддержку многих популярных приложений и отдела кадров системой SaaS и универсальную поддержку приложений, которые реализуют определенные части стандарта SCIM 2.0.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

Предварительно интегрированные приложенияPre-integrated applications

Перечень всех приложений, для которых Azure AD поддерживает предварительно интегрированный соединитель подготовки, приведен в списке руководств по приложениям для подготовки пользователей.For a list of all applications for which Azure AD supports a pre-integrated provisioning connector, see the list of application tutorials for user provisioning.

Для того чтобы связаться с командой инженеров Azure AD для обеспечения подготовки в других приложениях, отправьте сообщение через форум отзывов Azure Active Directory.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

Примечание

Чтобы приложение поддерживало автоматическую подготовку пользователей, сначала оно должно предоставить необходимые API управления пользователями, которые позволят внешним программам автоматизировать создание, обслуживание и удаление пользователей.In order for an application to support automated user provisioning, it must first provide the necessary user management APIs that allow for external programs to automate the creation, maintenance, and removal of users. Таким образом не все приложения SaaS совместимы с этой функцией.Therefore, not all SaaS apps are compatible with this feature. Для приложений, которые поддерживают API управления пользователями команда инженеров Azure AD можно затем собрать соединитель подготовки для этих приложений, и эта работа является приоритетным с требованиями текущих и потенциальных заказчиков.For apps that do support user management APIs, the Azure AD engineering team can then build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

Подключение приложений с поддержкой SCIM 2.0Connecting applications that support SCIM 2.0

Общие инструкции по подключению приложений, которые реализуют API управления пользователями на основе SCIM 2.0, см. в статье Использование SCIM для автоматической подготовки пользователей и групп Azure Active Directory для приложений.For information on how to generically connect applications that implement SCIM 2.0 -based user management APIs, see Using SCIM to automatically provision users and groups from Azure Active Directory to applications.

Как настроить автоматический вход в приложениеHow do I set up automatic provisioning to an application?

Настройка подготовки службы для выбранного приложения Azure AD с помощью портала Azure Active Directory.Use the Azure Active Directory portal to configure the Azure AD provisioning service for a selected application.

  1. Откройте портал Azure Active Directory .Open the Azure Active Directory portal.

  2. Выберите корпоративные приложения в левой области.Select Enterprise applications from the left pane. Список всех настроенных приложений панель отображается.A list of all configured apps is show.

  3. Выберите + новое приложение Чтобы добавить приложение.Choose + New application to add an application. Добавьте один из следующих в зависимости от сценария:Add either of the following depending on your scenario:

  4. Сведения и выберите добавить.Provide any details and select Add. Новое приложение добавляется в список корпоративных приложений и открывает его экран управления приложения.The new app is added to the list of enterprise applications and opens to its application management screen.

  5. Выберите Подготовка для управления учетной записью пользователя, подготовки параметров для приложения.Select Provisioning to manage user account provisioning settings for the app.

    Параметры

  6. Выберите параметр "автоматически" для режим подготовки к работе для задания параметров для учетных данных администратора, сопоставления, запуска и остановки и синхронизации.Select the Automatic option for the Provisioning Mode to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

    • Разверните учетные данные администратора вводить учетные данные, необходимые для Azure AD для подключения к Интерфейсу управления пользователями приложения.Expand Admin credentials to enter the credentials required for Azure AD to connect to the application's user management API. Этот раздел также позволяет включить уведомления по электронной почте, если ошибки учетных данных или задание подготовки переходит в карантина.This section also lets you enable email notifications if the credentials fail, or the provisioning job goes into quarantine.

    • Разверните сопоставления просматривать и изменять пользовательские атрибуты, которые проходят между Azure AD и целевом приложении при подготовке или обновлении учетных записей пользователей.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated. Если целевое приложение поддерживает его, этот раздел позволяет дополнительно настроить подготовку групп и учетных записей пользователей.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts. Выберите сопоставление в таблице, чтобы открыть редактор сопоставлений справа, где можно просмотреть и настроить атрибуты пользователя.Select a mapping in the table to open the mapping editor to the right, where you can view and customize user attributes.

      Фильтры области сообщают службе подготовки, какие пользователи и группы в исходной системе должны быть предоставляются или удаляются в целевую систему.Scoping filters tell the provisioning service which users and groups in the source system should be provisioned or deprovisioned to the target system. В сопоставление атрибутов области выберите область исходного объекта для фильтрации по значению конкретного атрибута.In the Attribute mapping pane, select Source Object Scope to filter on specific attribute values. Например, вы можете указать, что в области подготовки должны быть только пользователи с атрибутом отдела "Продажи".For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning. Дополнительные сведения см. в разделе Подготовка приложений на основе атрибутов с использованием фильтров области.For more information, see Using scoping filters.

      Дополнительные сведения см. в статье Настройка сопоставлений атрибутов для подготовки пользователей для приложений SaaS в Azure Active Directory.For more information, see Customizing Attribute Mappings.

    • Параметры управляют работой службы подготовки для приложения, включая ли он выполняется в данный момент.Settings control the operation of the provisioning service for an application, including whether it's currently running. Область меню позволяет указать, должен ли только назначенных пользователей и групп должны находиться в области для подготовки или всем пользователям в каталоге Azure AD должен быть подготовлен.The Scope menu lets you specify whether only assigned users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. Дополнительные сведения см. в статье Назначение пользователя или группы корпоративному приложению в Azure Active Directory.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

На экране управления приложения, выберите журналы аудита для просмотра записи каждой операции запуска с помощью Azure AD службой подготовки.In the app management screen, select Audit logs to view records of every operation run by the Azure AD provisioning service. Дополнительные сведения см. в статье Руководство по отчетам об автоматической подготовке учетных записей пользователей.For more information, see the provisioning reporting guide.

Параметры

Примечание

Для настройки службы подготовки пользователей Azure AD и управления ею можно также использовать API Microsoft Graph.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

Что происходит при подготовкеWhat happens during provisioning?

Когда исходной системой является Azure AD, служба подготовки использует функцию разностных запросов API Graph Azure AD для отслеживания пользователей и групп.When Azure AD is the source system, the provisioning service uses the Differential Query feature of the Azure AD Graph API to monitor users and groups. Служба подготовки выполняет начальную синхронизацию исходной и целевой систем, после чего осуществляет периодическую добавочную синхронизацию.The provisioning service runs an initial sync against the source system and target system, followed by periodic incremental syncs.

начальная синхронизацияInitial sync

При запуске служба подготовки будет когда-либо выполнить первую синхронизацию:When the provisioning service is started, the first sync ever run will:

  1. Запрашивает всех пользователей и все группы из исходной системы, получая все атрибуты, определенные в сопоставлениях атрибутов.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.
  2. Фильтрует полученных пользователей и группы с помощью настроенных назначений или фильтров области на основе атрибутов.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. При назначении пользователю или в области для подготовки служба запрашивает у целевой системы соответствующего пользователя, используя указанный соответствующие атрибуты.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. Пример: Если имя userPrincipal в исходной системе является совпадающим атрибутом и соответствует атрибуту userName в целевой системе, то служба подготовки запрашивает у целевой системы атрибуты userName, которые соответствуют значениям имени userPrincipal в исходной системе.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.
  4. Если соответствующий пользователь не найден в целевой системе, он создается с помощью атрибутов, возвращенных из исходной системы.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. После создания учетной записи пользователя, подготовки служба обнаруживает и кэширует идентификатор целевой системе для нового пользователя, который используется для выполнения всех последующих операций на этого пользователя.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Если соответствующий пользователь найден, он обновляется с помощью атрибутов, предоставляемых исходной системы.If a matching user is found, it's updated using the attributes provided by the source system. После сопоставляется учетной записи пользователя, подготовки служба обнаруживает и кэширует идентификатор целевой системе для нового пользователя, который используется для выполнения всех последующих операций на этого пользователя.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Если сопоставления атрибутов содержат «ссылочные» атрибуты, служба выполняет дополнительные обновления в целевой системе для создания и связывания упоминаемые объекты.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Например, пользователь может использовать атрибут Manager в целевой системе, который связан с другим пользователем, созданным в целевой системе.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Сохраняет водяной знак в конце начальной синхронизации, который обеспечивает начальную точку для более поздней версии добавочных синхронизаций.Persist a watermark at the end of the initial sync, which provides the starting point for the later incremental syncs.

Некоторые приложения, такие как поддержка ServiceNow, G Suite и Box, не только пользователей, но также подготовку групп и их членов.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. В таких случаях, если Подготовка групп включена в сопоставления, служба подготовки синхронизирует пользователей и групп и затем синхронизирует членство в группах.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

Добавочная синхронизацияIncremental syncs

После первоначальной синхронизации все другие операции синхронизации выполняются следующие действия:After the initial sync, all other syncs will:

  1. Запрашивает у исходной системы всех пользователей и все группы, которые были обновлены с момента сохранения последнего водяного знака.Query the source system for any users and groups that were updated since the last watermark was stored.
  2. Фильтрует полученных пользователей и группы с помощью настроенных назначений или фильтров области на основе атрибутов.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. При назначении пользователю или в области для подготовки служба запрашивает у целевой системы соответствующего пользователя, используя указанный соответствующие атрибуты.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.
  4. Если соответствующий пользователь не найден в целевой системе, он создается с помощью атрибутов, возвращенных из исходной системы.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. После создания учетной записи пользователя, подготовки служба обнаруживает и кэширует идентификатор целевой системе для нового пользователя, который используется для выполнения всех последующих операций на этого пользователя.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Если соответствующий пользователь найден, он обновляется с помощью атрибутов, предоставляемых исходной системы.If a matching user is found, it's updated using the attributes provided by the source system. Если это только что назначенного учетной записи, соответствующей подготовки служба обнаруживает и кэширует идентификатор целевой системе для нового пользователя, который используется для выполнения всех последующих операций на этого пользователя.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Если сопоставления атрибутов содержат «ссылочные» атрибуты, служба выполняет дополнительные обновления в целевой системе для создания и связывания упоминаемые объекты.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Например, пользователь может использовать атрибут Manager в целевой системе, который связан с другим пользователем, созданным в целевой системе.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Если пользователь, который ранее был в области для подготовки, удаляется из нее (включая отмену назначения), то служба отключает этого пользователя в целевой системе при обновлении.If a user that was previously in scope for provisioning is removed from scope (including being unassigned), the service disables the user in the target system via an update.
  8. Если пользователь, который ранее был в области для подготовки, отключается или обратимо удаляется в исходной системе, то служба отключает этого пользователя в целевой системе при обновлении.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.
  9. Если пользователь, который ранее был в области для подготовки, необратимо удаляется в исходной системе, то служба удаляет этого пользователя в целевой системе.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. В Azure AD пользователи не необратимо удаляются через 30 дней после они обратимо удаленные.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.
  10. Сохраняет новый водяной знак в конце добавочной синхронизации, который обеспечивает начальную точку для более поздней версии добавочных синхронизаций.Persist a new watermark at the end of the incremental sync, which provides the starting point for the later incremental syncs.

Примечание

При необходимости можно отключить создать, обновление, или удалить операций с помощью действия с целевыми объектами флажки в Сопоставления раздел.You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. Логикой отключения пользователей во время обновления также управляет сопоставление атрибутов из поля, например accountEnabled.The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

Служба подготовки длится двумя межсетевыми экранами добавочную синхронизацию неопределенно долгое время, через интервалы, определенные в учебник, в конкретных приложениях, пока не произойдет одно из следующих событий:The provisioning service continues running back-to-back incremental syncs indefinitely, at intervals defined in the tutorial specific to each application, until one of the following events occurs:

  • Служба останавливается вручную с помощью портала Azure или соответствующей команды API Graph.The service is manually stopped using the Azure portal, or using the appropriate Graph API command
  • Активируется новая начальная синхронизации с помощью параметра Clear state and restart (Очистить состояние и перезапустить) на портале Azure или с помощью соответствующей команды API Graph.A new initial sync is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Graph API command. Это действие удаляет все сохраненные водяные знаки и вызывает все исходные объекты должны быть оценены повторно.This action clears any stored watermark and causes all source objects to be evaluated again.
  • Из-за изменений сопоставлений атрибутов или фильтров области активируется Новая начальная синхронизация.A new initial sync is triggered because of a change in attribute mappings or scoping filters. Это действие также удаляет все сохраненные водяные знаки и вызывает все исходные объекты должны быть оценены повторно.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • Процесс подготовки переходит в карантин (см. ниже) из-за высокой частоты ошибок и остается в карантине более четырех недель.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. В этом случае служба будет автоматически отключена.In this event, the service will be automatically disabled.

Ошибки и повторные попыткиErrors and retries

Если отдельного пользователя не добавлен, обновлен или удален в целевой системе, из-за ошибки в целевой системе, операция повторяется во время следующего цикла синхронизации.If an individual user can't be added, updated, or deleted in the target system because of an error in the target system, then the operation is retried in the next sync cycle. Если операция с пользователем продолжает завершаться сбоем, то повторные попытки будут выполняться с меньшей частотой вплоть до одной попытки в день.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. Чтобы устранить ошибку, администраторы должны проверить журналы аудита для «дополнительной обработки» события, чтобы определить корневой первопричину и предпринять соответствующие действия.To resolve the failure, administrators must check the audit logs for "process escrow" events to determine the root cause and take the appropriate action. Ниже перечислены распространенные ошибки.Common failures can include:

  • Не заполнен атрибут пользователей в исходной системе, требуемый в целевой системе.Users not having an attribute populated in the source system that is required in the target system
  • Пользователи, имеющие значение атрибута в исходной системе, для которого имеется ограничение уникальности в целевой системе и то же значение присутствует в другой записи пользователя.Users having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

Эти ошибки можно устранить, настроив значения атрибутов для затронутого пользователя в исходной системе или настроив сопоставления атрибутов таким образом, чтобы не возникали конфликты.These failures can be resolved by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings to not cause conflicts.

КарантинQuarantine

Если большинство или все вызовы к целевой системе последовательно ошибкой из-за ошибки (например, для неправильных учетных данных администратора), задание подготовки переходит в состояние «карантина».If most or all of the calls made against the target system consistently fail because of an error (such as for invalid admin credentials), then the provisioning job goes into a "quarantine" state. Это состояние обозначается в сводный отчет о подготовке и по электронной почте, если были настроены уведомления по электронной почте на портале Azure.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

После перехода в карантин частота добавочной синхронизации постепенно уменьшается до одного раза в день.When in quarantine, the frequency of incremental syncs is gradually reduced to once per day.

Задание подготовки будет удален из карантина после всех виновного ошибок являются постоянными, и начнется следующий цикл синхронизации.The provisioning job will be removed from quarantine after all of the offending errors are fixed and the next sync cycle starts. Если задания подготовки остается в карантине более четырех недель, оно отключается.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled.

Сколько времени занимает подготовка пользователей?How long will it take to provision users?

Производительность зависит от того, выполняется ли задание подготовки начальную синхронизацию или добавочную синхронизацию.Performance depends on whether your provisioning job is running an initial sync or an incremental sync.

Для начальной синхронизации, время задания зависит от многих факторов, включая количество пользователей и групп в области для подготовки и общее число пользователей и группы в исходной системе.For initial syncs, the job time depends on many factors, including the number of users and groups in scope for provisioning, and the total number of users and group in the source system. Полный список факторов, влияющих на производительность начальной синхронизации, кратко описан далее в этом разделе.A comprehensive list of factors that affect initial sync performance are summarized later in this section.

Для добавочной синхронизации длительность задания зависит от количества изменений, обнаруженных в данном цикле синхронизации.For incremental syncs, the job time depends on the number of changes detected in that sync cycle. Если обнаружено менее 5000 изменений пользователей или членства в группах, задание может завершиться в течение одного цикла добавочной синхронизации.If there are fewer than 5,000 user or group membership changes, the job can finish within a single incremental sync cycle.

В следующей таблице перечислены данные о времени синхронизации, необходимом для общих сценариев подготовки.The following table summarizes synchronization times for common provisioning scenarios. В этих сценариях исходной системой является Azure AD, а целевой — приложение SaaS.In these scenarios, the source system is Azure AD and the target system is a SaaS application. Время синхронизации являются производными от статистического анализа заданий синхронизации для приложений SaaS, ServiceNow, Workplace, Salesforce и G Suite.The sync times are derived from a statistical analysis of sync jobs for the SaaS applications ServiceNow, Workplace, Salesforce, and G Suite.

Конфигурация областиScope configuration Пользователи, группы и участники в областиUsers, groups, and members in scope Длительность начальной синхронизацииInitial sync time Длительность добавочной синхронизацииIncremental sync time
Синхронизация только назначенных пользователей и группSync assigned users and groups only < 1000< 1,000 < 30 минут< 30 minutes < 30 минут< 30 minutes
Синхронизация только назначенных пользователей и группSync assigned users and groups only 1000–10 0001,000 - 10,000 142–708 минут142 - 708 minutes < 30 минут< 30 minutes
Синхронизация только назначенных пользователей и группSync assigned users and groups only 10 000–100 00010,000 - 100,000 1170–2,340 минут1,170 - 2,340 minutes < 30 минут< 30 minutes
Синхронизация всех пользователей и групп в Azure ADSync all users and groups in Azure AD < 1000< 1,000 < 30 минут< 30 minutes < 30 минут< 30 minutes
Синхронизация всех пользователей и групп в Azure ADSync all users and groups in Azure AD 1000–10 0001,000 - 10,000 30–120 минут< 30 - 120 minutes < 30 минут< 30 minutes
Синхронизация всех пользователей и групп в Azure ADSync all users and groups in Azure AD 10 000–100 00010,000 - 100,000 713–1425 минут713 - 1,425 minutes < 30 минут< 30 minutes
Синхронизация всех пользователей в Azure ADSync all users in Azure AD < 1000< 1,000 < 30 минут< 30 minutes < 30 минут< 30 minutes
Синхронизация всех пользователей в Azure ADSync all users in Azure AD 1000–10 0001,000 - 10,000 43–86 минут43 - 86 minutes < 30 минут< 30 minutes

Для конфигурации синхронизации только назначенных пользователей и групп можно использовать следующие формулы, чтобы определить приблизительную минимальную и максимальную длительность начальной синхронизации:For the configuration Sync assigned user and groups only, you can use the following formulas to determine the approximate minimum and maximum expected initial sync times:

Minimum minutes =  0.01 x [Number of assigned users, groups, and group members]
Maximum minutes = 0.08 x [Number of assigned users, groups, and group members] 

Сведения о факторах, влияющих на время, необходимое для завершения начальной синхронизации:Summary of factors that influence the time it takes to complete an initial sync:

  • Общее количество пользователей и групп, которые будут подготовлены.The total number of users and groups in scope for provisioning.

  • Общее количество пользователей, групп и участников группы, находящихся в исходной системе (Azure AD).The total number of users, groups, and group members present in the source system (Azure AD).

  • Ли пользователи в области для подготовки сопоставляются с существующим пользователям в целевом приложении или должны быть созданы в первый раз.Whether users in scope for provisioning are matched to existing users in the target application, or need to be created for the first time. Заданий синхронизации, для которых все пользователи создаются в первый раз занимает приблизительно два раза как синхронизировать задания, для которых все пользователи сопоставляются с существующим пользователям.Sync jobs for which all users are created for the first time take about twice as long as sync jobs for which all users are matched to existing users.

  • Количество ошибок в журналах аудита.Number of errors in the audit logs. Производительность также снижается, если возникает большое количество ошибок и служба подготовки перешла в состояние карантина.Performance is slower if there are many errors and the provisioning service has gone into a quarantine state.

  • Ограничения частоты и регулирования запросов, реализованные целевой системой.Request rate limits and throttling implemented by the target system. Некоторые целевые системы накладывают ограничения на частоту запросов и регулирования, которые могут повлиять на производительность во время больших операций синхронизации.Some target systems implement request rate limits and throttling, which can impact performance during large sync operations. В этих условиях приложение, получающее слишком много запросов за короткий промежуток времени, может снизить частоту реагирования или закрыть подключение.Under these conditions, an app that receives too many requests too fast might slow its response rate or close the connection. Чтобы повысить производительность, соединитель необходимо настроить таким образом, чтобы количество отправляемых запросов соответствовало количеству запросов, которые может обработать приложение.To improve performance, the connector needs to adjust by not sending the app requests faster than the app can process them. Соединители подготовки, созданные корпорацией Майкрософт, позволяют внести эту корректировку.Provisioning connectors built by Microsoft make this adjustment.

  • Количество и размеры назначенных групп.The number and sizes of assigned groups. Синхронизация назначенных групп длится дольше, чем синхронизация пользователей.Syncing assigned groups takes longer than syncing users. Число и размер назначенных групп оказывают влияние на производительность.Both the number and the sizes of the assigned groups impact performance. Если в приложении включена функция сопоставления для синхронизации объектов группы, свойства группы (например, названия групп и членства) синхронизируются в дополнение к пользователям.If an application has mappings enabled for group object sync, group properties such as group names and memberships are synced in addition to users. Эти дополнительные синхронизации занимают больше времени, чем синхронизация только объектов пользователей.These additional syncs will take longer than only syncing user objects.

Как узнать, правильно ли подготовлены пользователи?How can I tell if users are being provisioned properly?

Всех операций, выполняемых службой подготовки в Azure AD записываются журналы аудита.All operations run by the user provisioning service are recorded in the Azure AD audit logs. Это включает в себя все операции, выполняемые в исходной и целевой систем и данных пользователей, которые считывания или записи во время каждой операции чтения и записи.This includes all read and write operations made to the source and target systems, and the user data that was read or written during each operation.

Сведения о том, как читать журналы аудита на портале Azure, см. в разделе подготовки руководство по отчетам.For information on how to read the audit logs in the Azure portal, see the provisioning reporting guide.

Как устранить неполадки, связанные с подготовкой пользователей?How do I troubleshoot issues with user provisioning?

Руководство по устранению неполадок при автоматической подготовке пользователей со сценариями доступно в разделе Проблемы при настройке и подготовке пользователей для приложения.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

Каковы рекомендации по развертыванию автоматической подготовки пользователей?What are the best practices for rolling out automatic user provisioning?

Пример поэтапного плана развертывания "исходящей" подготовки пользователей в приложении см. в документе Outbound User Provisioning Deployment Plan (План развертывания "исходящей" подготовки пользователей).For an example step-by-step deployment plan for outbound user provisioning to an application, see the Identity Deployment Guide for User Provisioning.

Другие часто задаваемые вопросыMore frequently asked questions

Поддерживается ли автоматическая подготовка пользователей для приложений SaaS для пользователей B2B в Azure AD?Does automatic user provisioning to SaaS apps work with B2B users in Azure AD?

Да, это можно использовать Azure AD пользователя, подготовки пользователей службы B2B подготовки (или гостя) в Azure AD для приложений SaaS.Yes, it's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications.

Тем не менее для пользователей B2B для входа в приложение SaaS, с помощью Azure AD, в приложении SaaS необходим его на основе SAML единого входа настроена возможность определенным образом.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. Дополнительные сведения о настройке приложений SaaS для поддержки операции входа от пользователей B2B, см. в разделе приложений SaaS, настройте для службы совместной работы B2B.For more information on how to configure SaaS applications to support sign ins from B2B users, see Configure SaaS apps for B2B collaboration.

Поддерживается ли автоматическая подготовка пользователей для приложений SaaS для динамических групп в Azure AD?Does automatic user provisioning to SaaS apps work with dynamic groups in Azure AD?

Да.Yes. Когда параметр «Синхронизация только назначенных пользователей и группы», служба подготовки пользователей Azure AD можно подготовить или отмену подготовки пользователей в приложении SaaS в зависимости от того, находятся ли они членами динамическую группу.When configured to "sync only assigned users and groups", the Azure AD user provisioning service can provision or de-provision users in a SaaS application based on whether they're members of a dynamic group. Динамические группы также работают с параметром "Синхронизация всех пользователей и групп".Dynamic groups also work with the "sync all users and groups" option.

Тем не менее использование динамических групп может повлиять на общую производительность комплексной подготовки пользователей из Azure AD для приложений SaaS.However, usage of dynamic groups can impact the overall performance of end-to-end user provisioning from the Azure AD to SaaS applications. При использовании динамических групп, примите во внимание эти предупреждения и рекомендации:When using dynamic groups, keep these caveats and recommendations in mind:

  • Скорость подготовки и отзыва пользователя из динамической группы в приложении SaaS зависит от того, как быстро динамическая группа может оценить изменения членства.How fast a user in a dynamic group is provisioned or deprovisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. Сведения о том, как проверить состояние обработки динамической группы, см. в разделе Проверка состояния обработки правила членства.For information on how to check the processing status of a dynamic group, see Check processing status for a membership rule.

  • При использовании динамических групп, правила необходимо тщательно рассмотреть с пользователем при подготовке и отзыве помните, как потеря членства приводит к появлению отзыва события.When using dynamic groups, the rules must be carefully considered with user provisioning and de-provisioning in mind, as a loss of membership results in a deprovisioning event.

Поддерживается ли автоматическая подготовка пользователей для приложений SaaS для вложенных групп в Azure AD?Does automatic user provisioning to SaaS apps work with nested groups in Azure AD?

No. Когда параметр «Синхронизация только назначенных пользователей и группы», служба подготовки пользователей Azure AD не может прочитать или подготовить пользователей, входящих в вложенных групп.When configured to "sync only assigned users and groups", the Azure AD user provisioning service isn't able to read or provision users that are in nested groups. Это только возможность считывать и подготовить пользователей, являющихся членами немедленно, явно назначенной группы.It's only able to read and provision users that are immediate members of the explicitly assigned group.

Это ограничение назначений на основе группы для приложений, которое также влияет на единый вход. Оно описано в разделе Использование группы для управления доступом к приложениям SaaS.This is a limitation of "group-based assignments to applications", which also affects single sign-on and is described in Using a group to manage access to SaaS applications.

Обойти это ограничение, следует явно назначить (или другим способом область действия в) группы, которые содержат пользователей, которым нужно подготовить.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned.

Выполняется подготовка между Azure AD и целевое приложение через зашифрованный канал?Is provisioning between Azure AD and a target application using an encrypted channel?

Да.Yes. Мы используем HTTPS SSL-шифрования для целевого сервера.We use HTTPS SSL encryption for the server target.