Kullanıcı hazırlamayı planlamak Azure Active Directory İk uygulaması planlama

Geçmişte, IT personeli çalışanları oluşturmak, güncelleştirmek ve silmek için el ile kullanılan yöntemlere dayanıyordu. Çalışan verilerini eşitlemek için CSV dosyalarını veya özel betikleri karşıya yükleme gibi yöntemleri kullandılar. Bu sağlama işlemleri hataya açık, güvensiz ve yönetimi zordur.

Çalışanların, satıcıların veya bağlı çalışanların kimlik yaşam döngülerini yönetmek için Azure Active Directory (Azure AD) kullanıcı sağlama hizmeti bulut tabanlı insan kaynakları (İk) uygulamalarıyla tümleştirme sunar. Uygulama örnekleri arasında Workday veya SuccessFactors yer almaktadır.

Azure AD, aşağıdaki bulut İk uygulaması (uygulama) iş akışlarını etkinleştirmek için bu tümleştirmeyi kullanır:

• Kullanıcıları Active Directory'ye sağlama: Bulut İk uygulamasından seçilen kullanıcı kümelerini bir veya daha fazla Active Directory etki alanına sağlama.
• Azure AD'ye yalnızca bulut kullanıcıları sağlama: Active Directory'nin kullanılmama senaryolarında, kullanıcıları doğrudan bulut İk uygulamasından Azure AD'ye sağlama.
• Bulut İk uygulamasına geri yazın: Azure AD'den gelen e-posta adreslerini ve kullanıcı adı özniteliklerini bulut İk uygulamasına geri yazın.

Etkin İk senaryoları

Azure AD kullanıcı sağlama hizmeti, aşağıdaki İk tabanlı kimlik yaşam döngüsü yönetim senaryolarının otomasyonunu sağlar:

• Yeni çalışan işe alma: Bulut İk uygulamasına yeni bir çalışan ekleniyorsa, bulut İk uygulamasına e-posta adresini ve kullanıcı adı özniteliklerini geri yazma seçeneğiyle Active Directory ve Azure AD'de otomatik olarak bir kullanıcı hesabı oluşturulur.
• Çalışan özniteliği ve profil güncelleştirmeleri: Bulut İk uygulamasında ad, unvan veya yönetici gibi bir çalışan kaydı güncelleştirildiğinde, kullanıcı hesabı Active Directory ve Azure AD'de otomatik olarak güncelleştirilir.
• Çalışan sonlandırmaları: Bir çalışan bulut İk uygulamasında sonlandırılırsa, kullanıcı hesabı Active Directory ve Azure AD'de otomatik olarak devre dışı bırakılır.
• Çalışan yeniden işeleri: Bir çalışan bulut İk uygulamasında yeniden işe geldiğinde, eski hesabı otomatik olarak yeniden etkinleştirilebilir veya Active Directory ve Azure AD'ye yeniden etkinleştirilebilir.

Who en uygun tümleştirme nedir?

Azure AD kullanıcı hazırlama ile bulut İk uygulaması tümleştirmesi, aşağıdaki kuruluşlar için idealdir:

• Bulut İk kullanıcı hazırlama için önceden oluşturulmuş, bulut tabanlı bir çözüm ister.
• Bulut İk uygulamasından Active Directory'ye veya Azure AD'ye doğrudan kullanıcı hazırlamayı gerektirir.
• Kullanıcıların bulut İk uygulamasından alınan veriler kullanılarak sağlanmasını gerektirir.
• Yalnızca bulut İk uygulamasında algılanan değişiklik bilgilerine bağlı olarak kullanıcıların bir veya daha fazla Active Directory ormanına, etki alanına ve OU'ya eşitlene katılmasını, taşınmasını ve ayrılmasını gerektir.
• E-Microsoft 365 için E-posta adresini kullanın.

Learn

Kullanıcı sağlama, devam eden kimlik idaresi için bir temel oluşturur. Yetkili kimlik verilerine bağlı olan iş süreçleri kalitesini iyiler.

Terimler

Bu makalede aşağıdaki terimler lanmıştır:

• Kaynak sistem: Azure AD'nin sağlar olduğu kullanıcı deposu. Örneğin, Workday veya SuccessFactors gibi bir bulut İk uygulaması.
• Hedef sistem: Azure AD'nin sağlar olduğu kullanıcı deposu. Örnekler Active Directory, Azure AD, Microsoft 365 veya diğer SaaS uygulamalarıdır.
• Joiners-Movers-Leavers işlemi: Bulut İk uygulamasını kayıt sistemi olarak kullanarak yeni işe almalar, aktarımlar ve sonlandırma için kullanılan bir terimdir. Hizmet hedef sisteme gerekli öznitelikleri başarıyla sağlarsa işlem tamamlanır.

Önemli avantajlar

İk odaklı IT sağlamanın bu özelliği aşağıdaki önemli iş avantajlarını sunar:

• Üretkenliği artırma: Artık kullanıcı hesaplarının atamasını otomatik hale Microsoft 365 lisansları oluşturabilir ve anahtar gruplarına erişim sabilirsiniz. Atamaları otomatik olarak oluşturmak, yeni işe girişlere iş araçlarına hemen erişim sağlar ve üretkenliği artırır.
• Riski yönetme: Bulut İk uygulamasından gelen veri akışıyla çalışan durumuna veya grup üyeliklerine göre değişiklikleri otomatik olarak başlatarak güvenliği artırabilirsiniz. Değişikliklerin otomatik olarak yapılması, kullanıcılar kuruluşa geçişte veya kuruluştan ayrılarak kullanıcı kimliklerinin ve anahtar uygulamalara erişimin otomatik olarak güncelleştirilerek güncelleştirmesi sağlar.
• Uyumluluk ve idareyle ilgili adres: Azure AD, hem kaynak hem de hedef sistemlerin uygulamaları tarafından gerçekleştirilen kullanıcı sağlama istekleri için yerel denetim günlüklerini destekler. Denetimle, tek bir ekrandan uygulamalara kimlerin erişe olduğunu izleyebilirsiniz.
• Maliyeti yönetme: Otomatik sağlama, verimleri ve el ile sağlamayla ilişkili insan hatalarını önleerek maliyetleri azaltır. Eski ve eski platformlar kullanılarak zaman içinde geliştirilmiş özel olarak geliştirilmiş kullanıcı sağlama çözümlerine olan ihtiyacı azaltır.

Lisanslama

Bulut İk uygulamasını Azure AD kullanıcı hazırlama tümleştirmesine yapılandırmak için geçerli bir Azure AD Premium lisansı ve Workday veya SuccessFactors gibi bulut İk uygulaması lisansına sahip olmak gerekir.

Ayrıca bulut İk uygulamasından Azure AD Premium P1 Active Directory veya Azure AD'ye sağlanacak her kullanıcı için geçerli bir lisansa veya daha yüksek bir abonelik lisansına ihtiyacınız vardır. Bulut İk uygulamasında sahip olunan hatalı lisans sayısı, kullanıcı sağlama sırasında hatalara neden olabilir.

Önkoşullar

• Azure AD karma kimlik yöneticisi, Azure AD Bağlan aracıyı yapılandıracaktır.
• Uygulamanın içinde sağlama uygulamasını yapılandırmak için Azure AD uygulama yöneticisi Azure portal
• Bulut İk uygulamasının test ve üretim örneği.
• Bulut İk uygulamasında sistem tümleştirme kullanıcısı oluşturmak ve test amacıyla çalışan verilerini test etmek için değişiklik yapmak için yönetici izinleri.
• Active Directory'ye kullanıcı hazırlama için, Azure AD Windows Server 2016 sağlama aracıyı barındırmak için Bağlan sunucu gerekir. Bu sunucu, Active Directory yönetim katmanı modelini temel alan bir katman 0 sunucusu olmalıdır.
• Azure AD Bağlan Active Directory ile Azure AD arasında eşitlemek için kullanılır.

Eğitim kaynakları

Çözüm mimarisi

Aşağıdaki örnekte, ortak karma ortamlar için uz- end kullanıcı sağlama çözümü mimarisi açıklandı ve şunları içerir:

• Bulut İk uygulamasından Active Directory'ye yetkili İk veri akışı. Bu akışta İk olayı (Joiners-Movers-Leavers işlemi) bulut İk uygulaması kiracısı içinde başlatılır. Azure AD sağlama hizmeti ve Azure AD Bağlan sağlama aracısı, kullanıcı verilerini bulut İk uygulaması kiracılarından Active Directory'ye sağlar. Etkinliğe bağlı olarak, Active Directory'de işlem oluşturma, güncelleştirme, etkinleştirme ve devre dışı bırakma işlemlerine yol açabilirsiniz.
• Azure AD ile eşitleme yapın ve buluttaki İk uygulamasına e-şirket içi Active Directory ve kullanıcı adını geri yazın. Hesaplar Active Directory'de güncelleştirildikten sonra Azure AD ve Azure AD Bağlan. E-posta adresleri ve kullanıcı adı öznitelikleri bulut İk uygulaması kiracısına geri yazabilirsiniz.

İş akışının açıklaması

Diyagramda aşağıdaki önemli adımlar belirtilmiştir:

1. İk ekibi işlemleri bulut İk uygulaması kiracısı içinde gerçekleştirir.
2. Azure AD sağlama hizmeti, bulut İk uygulaması kiracısı tarafından zamanlanan döngüleri çalıştırır ve Active Directory ile eşitleme için işlenmesi gereken değişiklikleri tanımlar.
3. Azure AD sağlama hizmeti, Azure AD Bağlan sağlama aracısını Active Directory hesabı oluşturma, güncelleştirme, etkinleştirme ve devre dışı bırakma işlemlerini içeren bir istek yüküyle çağırır.
4. Azure AD Bağlan sağlama aracısı, Active Directory hesap verilerini yönetmek için bir hizmet hesabı kullanır.
5. Azure AD Bağlan, Active Directory'de güncelleştirmeleri çekmek için delta eşitleme çalıştırır.
6. Active Directory güncelleştirmeleri Azure AD ile eşitlanır.
7. Azure AD sağlama hizmeti, Azure AD'den bulut İk uygulaması kiracısına e-posta özniteliğini ve kullanıcı adını geri yazar.

Dağıtım projesini planlama

Ortamınıza bu dağıtımın stratejisini belirlerken kuruluş ihtiyaçlarını göz önünde bulundurabilirsiniz.

Doğru paydaşlarla etkileşim kurma

Teknoloji projeleri başarısız olduğunda, etki, sonuçlar ve sorumluluklar ile ilgili eşleşmeyen beklentiler nedeniyle genellikle bunu yapar. Bu tuzaklardan kaçınmak için doğru paydaşlarla birlikte çalışmaya devam etmek için emin olmak. Ayrıca projedeki paydaş rollerinin de iyi anlaşıla olduğundan emin olun. Proje katılımcılarını, proje girişlerini ve hesaplarını belgele.

mevcut İk iş süreçlerine ve çalışan kimliğine ek olarak iş verileri işleme gereksinimlerine giriş sağlay isteyen İk kuruluşundan bir temsilciyi dahil edin.

İletişimi planlama

İletişim, her yeni hizmetin başarısı için önemlidir. Deneyimlerinizin ne zaman ve nasıl değiştirileceği hakkında kullanıcılarınız ile etkin bir şekilde iletişim kurun. Sorunlarla karşılaştıklarında nasıl destek elde edebileceklerini öğrenin.

Pilot planı planlayın

Bulut HR uygulamasından hedef sistemlere ık iş süreçlerini ve kimlik iş akışlarını tümleştirmek, çözümü üretime dağıtabilmeniz için önemli miktarda veri doğrulaması, veri dönüştürme, veri temizleme ve uçtan uca test gerektirir.

İlk yapılandırmayı üretimdeki tüm kullanıcılara ölçeklendirmadan önce bir pilot ortamda çalıştırın.

Cloud HR sağlama bağlayıcı uygulamalarını seçin

Bulut HR uygulaması ve Active Directory arasında Azure AD sağlama iş akışlarını kolaylaştırmak için Azure AD uygulama galerisinden birden çok sağlama bağlayıcı uygulaması ekleyebilirsiniz:

• Bulut HR uygulaması Kullanıcı sağlamasını Active Directory için: Bu sağlama bağlayıcı uygulaması, bulut HR uygulamasından tek bir Active Directory etki alanına kullanıcı hesabı sağlamayı kolaylaştırır. Birden çok etki alanınız varsa, sağlamanız gereken her Active Directory etki alanı için Azure AD uygulama galerisinden bu uygulamanın bir örneğini ekleyebilirsiniz.
• bulut hr uygulaması için azure ad kullanıcı sağlama: Azure AD Connect Active Directory kullanıcıları azure ad 'ye eşitlemede kullanılması gereken bir araç olmakla kalmaz, bu sağlama bağlayıcı uygulaması yalnızca bulutta bulunan kullanıcıların bulut HR uygulamasından tek bir Azure ad kiracısına sağlanması için kullanılabilir.
• Cloud HR uygulaması geri yazma: Bu sağlama bağlayıcı uygulaması, kullanıcının Azure AD 'den bulut HR uygulamasına olan e-posta adreslerini geri yazmasını kolaylaştırır.

Örneğin, aşağıdaki görüntüde Azure AD uygulama galerisinde bulunan Workday Bağlayıcısı uygulamaları listelenmektedir.

Karar akışı grafiği

Hangi bulut HR sağlama uygulamalarının senaryolarınızla ilgili olduğunu belirlemek için aşağıdaki karar akışı grafiğini kullanın.

Azure AD Connect sağlama aracısı dağıtım topolojisini tasarlama

Bulut HR uygulaması ve Active Directory arasındaki sağlama tümleştirmesi için dört bileşen gerekir:

• Cloud ık uygulama kiracısı
• Bağlayıcı uygulaması sağlanıyor
• Azure AD Connect sağlama aracısı
• Active Directory etki alanı

Azure AD Connect sağlama aracısı dağıtım topolojisi, tümleştirmeyi planladığınız bulut HR uygulama kiracılarının ve Active Directory alt etki alanlarının sayısına bağlıdır. Birden çok Active Directory etki alanı varsa, Active Directory etki alanlarının bitişik veya ayrıkolmasına bağlıdır.

Kararınız temelinde dağıtım senaryolarından birini seçin:

• Tek bulut HR App Tenant-> güvenilen bir ormandaki tek veya birden çok Active Directory alt etki alanını hedefleme
• Tek bulut HR App Tenant-> ayrık Active Directory ormanında birden çok alt etki alanını hedefleme

Tek bulut HR App Tenant-> güvenilen bir ormandaki tek veya birden çok Active Directory alt etki alanını hedefleme

Aşağıdaki üretim yapılandırması önerilir:

Tek bulut HR App Tenant-> ayrık Active Directory ormanında birden çok alt etki alanını hedefleme

Bu senaryo, bulut HR uygulamasından ayrık Active Directory ormanlarındaki etki alanlarına kullanıcı sağlamayı içerir.

Aşağıdaki üretim yapılandırması önerilir:

Azure AD Connect sağlama aracısı gereksinimleri

Active Directory kullanıcı sağlama çözümüne yönelik bulut HR uygulaması, Windows Server 2016 veya daha büyük bir çalışan sunuculara bir veya daha fazla Azure AD Connect sağlama aracısı dağıtmanızı gerektirir. Sunucular en az 4 GB RAM ve .NET 4.7.1 + çalışma zamanına sahip olmalıdır. Konak sunucusunun hedef Active Directory etki alanına ağ erişimi olduğundan emin olun.

şirket içi ortamı hazırlamak için Azure AD Connect sağlama aracısı yapılandırma sihirbazı aracıyı Azure AD kiracınızla kaydeder, bağlantı noktaları açar, url 'lere erişim sağlarve giden HTTPS proxy yapılandırmasınıdestekler.

Sağlama Aracısı, Active Directory etki alanlarıyla iletişim kurmak için bir genel yönetilen hizmet hesabı (GMSA) yapılandırır. Sağlama için GMSA olmayan bir hizmet hesabı kullanmak istiyorsanız, gMSA yapılandırmasını atlayabilir ve yapılandırma sırasında hizmet hesabınızı belirtebilirsiniz.

Sağlama isteklerini işlemesi gereken etki alanı denetleyicileri seçebilirsiniz. Coğrafi olarak dağıtılmış birkaç etki alanı denetleyiciniz varsa, sağlama aracısını tercih ettiğiniz etki alanı denetleyicileriniz ile aynı siteye yükleyebilirsiniz. Bu konumlandırma, uçtan uca çözümün güvenilirliğini ve performansını geliştirir.

yüksek kullanılabilirlik için birden fazla Azure AD Connect sağlama aracısı dağıtabilirsiniz. Aracıyı, aynı şirket içi Active Directory etki alanı kümesini işleyecek şekilde kaydedin.

Geliştirme için uygulama dağıtım topolojisi tasarlama

Gelen Kullanıcı sağlama yapılandırmasındaki Active Directory etki alanlarının sayısına bağlı olarak, aşağıdaki dağıtım topolojilerden birini göz önünde bulundurmayabilirsiniz. Her topoloji diyagramı yapılandırma yönlerini vurgulamak için örnek bir dağıtım senaryosu kullanır. Gereksinimlerinizi karşılayacak yapılandırmayı öğrenmek için dağıtım Gereksiniminize uygun olan örneği kullanın.

Dağıtım topolojisi 1: tüm kullanıcıları bulut HR 'den tek şirket içi Active Directory etki alanına sağlamak için tek bir uygulama

En yaygın dağıtım topolojisi budur. Tüm kullanıcıları bulut HR 'den tek bir AD etki alanına sağlamanız gerekiyorsa ve aynı sağlama kuralları tüm kullanıcılara uygulanacaksa bu topolojiyi kullanın.

Zayıflıkyapılandırma yönleri

• Yüksek kullanılabilirlik ve yük devretme için iki sağlama Aracısı düğümü ayarlayın.
• AD etki alanınızı Azure AD kiracınızla kaydettirmek için sağlama Aracısı Yapılandırma Sihirbazı 'nı kullanın.
• Sağlama uygulamasını yapılandırırken, kayıtlı etki alanları açılan listesinden AD etki alanını seçin.
• Kapsam filtrelerini kullanıyorsanız, yanlışlıkla hesap etkinleştirmeleri oluşmasını engellemek için kapsam silme bayrağını atla seçeneğini yapılandırın.

Dağıtım topolojisi 2: bulut HR 'den tek şirket içi Active Directory etki alanına ayrı Kullanıcı kümeleri sağlamak için uygulamalar ayırın

Bu topoloji, öznitelik eşleme ve sağlama mantığının Kullanıcı türüne (çalışan/yüklenici), Kullanıcı konumuna veya kullanıcının iş birimine göre farklılık gösteren iş gereksinimlerini destekler. Bu topolojiyi Ayrıca, bölüm veya ülkeye göre gelen Kullanıcı sağlama yönetim ve bakımını sağlamak için de kullanabilirsiniz.

Zayıflıkyapılandırma yönleri

• Yüksek kullanılabilirlik ve yük devretme için iki sağlama Aracısı düğümü ayarlayın.
• Sağlamak istediğiniz her ayrı kullanıcı kümesi için bir HR2AD sağlama uygulaması oluşturun.
• Her uygulama tarafından işlenecek kullanıcıları tanımlamak için sağlama uygulamasındaki kapsam filtrelerini kullanın.
• Yöneticilerin farklı Kullanıcı kümelerinde çözümlenmesi gereken senaryoyu işlemek için (ör. çalışanların çalışanlar olan yöneticilere bildirdiği), yalnızca Manager özniteliğini güncelleştirmek için ayrı bir HR2AD sağlama uygulaması oluşturabilirsiniz. Bu uygulamanın kapsamını tüm kullanıcılar olarak ayarlayın.
• Yanlışlıkla hesap kaldırma işlemlerini engellemek için kapsam silme bayrağını atla bayrağını yapılandırın.

Dağıtım topolojisi 3: bulut HR 'den birden çok şirket içi Active Directory etki alanına (etki alanları arası görünürlük olmadan) farklı Kullanıcı kümeleri sağlamak için uygulamalar ayırın

Aynı ormana ait birden çok bağımsız alt AD etki alanını yönetmek için bu topolojiyi kullanın. Yöneticiler, Kullanıcı ile aynı etki alanında ve userPrincipalName, sAMAccountName ve MAIL gibi öznitelikler için benzersiz kimlik oluşturma kurallarınızda varsa, orman genelinde arama gerektirmez. Ayrıca, her sağlama işinin yönetim yetkisini etki alanı sınırı ile yönetme esnekliği sunar.

Örneğin: aşağıdaki diyagramda, sağlama uygulamaları her coğrafi bölge için kurulumlardır: Kuzey Amerika (NA), Avrupa, Orta Doğu ve Afrika (EMEA) ve Asya Pasifik (APAC). Konuma bağlı olarak, kullanıcılar ilgili AD etki alanına temin edilir. Hazırlama uygulamasının Temsilcili yönetimi, EMEA yöneticilerinin EMEA bölgesine ait kullanıcıların sağlama yapılandırmasını bağımsız bir şekilde yönetebilmeleri için mümkündür.

Zayıflıkyapılandırma yönleri

• Yüksek kullanılabilirlik ve yük devretme için iki sağlama aracısı düğümü ayarlama.
• Tüm alt AD etki alanlarını Azure AD kiracınıza kaydetmek için sağlama aracısı yapılandırma sihirbazını kullanın.
• Her hedef etki alanı için ayrı bir HR2AD sağlama uygulaması oluşturun.
• Sağlama uygulamasını yapılandırıyorsanız, kullanılabilir AD etki alanlarının açılan listesinden ilgili alt AD etki alanını seçin.
• Her uygulama tarafından işlenecek kullanıcıları tanımlamak için sağlama uygulamasındaki filtreleme filtrelerini kullanın.
• Yanlışlıkla hesap devre dışı bırakmalarını önlemek için kapsam dışı atlama silme bayrağını yapılandırabilirsiniz.

Dağıtım topolojisi 4: Bulut İk'dan birden çok etki alanına (etki alanları arası görünürlükle) ayrı kullanıcı kümeleri şirket içi Active Directory uygulamaları ayırma

Bir kullanıcının yöneticisi farklı etki alanında mevcutsa ve userPrincipalName, samAccountName ve posta gibi öznitelikler için benzersiz kimlik oluşturma kurallarınız orman genelinde arama gerektiriyorsa, aynı ormana ait birden çok bağımsız alt AD etki alanını yönetmek için bu topolojiyi kullanın.

Örneğin: Aşağıdaki diyagramda, sağlama uygulamaları her coğrafi bölge için hazırlanmıştır: Kuzey Amerika (NA), Avrupa, Orta Doğu ve Afrika (EMEA) ve Asya Pasifik (APAC). Konuma bağlı olarak, kullanıcılar ilgili AD etki alanına sağlandı. Etki alanları arası yönetici başvuruları ve orman genelinde arama, sağlama aracısı üzerinde referans başvurusu başvurusuna izin verilir.

En önemli yapılandırma özellikleri

• Yüksek kullanılabilirlik ve yük devretme için iki sağlama aracısı düğümü ayarlama.
• Sağlama aracısı üzerinde referans başvurularını yapılandırma.
• Üst AD etki alanını ve tüm alt AD etki alanlarını Azure AD kiracınıza kaydetmek için sağlama aracısı yapılandırma sihirbazını kullanın.
• Her hedef etki alanı için ayrı bir HR2AD sağlama uygulaması oluşturun.
• Her sağlama uygulamasını yapılandırırken, kullanılabilir AD etki alanlarının açılan listesinden üst AD etki alanını seçin. Bu, userPrincipalName, samAccountName ve mail gibi öznitelikler için benzersiz değerler oluşturma sırasında orman genelinde arama sağlar.
• Doğru alt etki alanında ve OU kapsayıcıda dinamik olarak kullanıcı oluşturmak için ifade eşlemesi ile parentDistinguishedName kullanın.
• Her uygulama tarafından işlenecek kullanıcıları tanımlamak için sağlama uygulamasındaki filtreleme filtrelerini kullanın.
• Etki alanı arası yöneticilere yapılan başvuruları çözümlemek için, yalnızca yönetici özniteliğini güncelleştirmek için ayrı bir HR2AD sağlama uygulaması oluşturun. Bu uygulamanın kapsamını tüm kullanıcılar olarak ayarlayın.
• Yanlışlıkla hesap devre dışı bırakmalarını önlemek için kapsam dışı atlama silme bayrağını yapılandırabilirsiniz.

Dağıtım topolojisi 5: Tüm kullanıcıları Bulut İk'dan birden çok etki alanına (etki alanları arası görünürlüğü olan) şirket içi Active Directory sağlayan tek uygulama

Tüm üst ve alt AD etki alanlarına ait kullanıcıları yönetmek için tek bir sağlama uygulaması kullanmak için bu topolojiyi kullanın. Sağlama kuralları tüm etki alanlarında tutarlı ise ve sağlama işlerinin temsilci ile yönetimine gerek yoksa bu topoloji önerilir. Bu topoloji etki alanı arası yönetici başvurularını çözümlemeyi destekler ve orman genelinde benzersizlik denetimi gerçekleştirebilir.

Örneğin: Aşağıdaki diyagramda, tek bir sağlama uygulaması bölgeye göre gruplanmıştır üç farklı alt etki alanı içinde mevcut kullanıcıları yönetir: Kuzey Amerika (NA), Avrupa, Orta Doğu ve Afrika (EMEA) ve Asya Pasifik (APAC). parentDistinguishedName öznitelik eşlemesi, uygun alt etki alanında dinamik olarak kullanıcı oluşturmak için kullanılır. Etki alanları arası yönetici başvuruları ve orman genelinde arama, sağlama aracısı üzerinde referans başvurusu başvurusuna izin verilir.

En önemli yapılandırma özellikleri

• Yüksek kullanılabilirlik ve yük devretme için iki sağlama aracısı düğümü ayarlama.
• Sağlama aracısı üzerinde referans başvurularını yapılandırma.
• Üst AD etki alanını ve tüm alt AD etki alanlarını Azure AD kiracınıza kaydetmek için sağlama aracısı yapılandırma sihirbazını kullanın.
• Ormanın tamamı için tek bir HR2AD sağlama uygulaması oluşturun.
• Sağlama uygulamasını yapılandırırken, kullanılabilir AD etki alanlarının açılan listesinden üst AD etki alanını seçin. Bu, userPrincipalName, samAccountName ve mail gibi öznitelikler için benzersiz değerler oluşturma sırasında orman genelinde arama sağlar.
• Doğru alt etki alanında ve OU kapsayıcıda dinamik olarak kullanıcı oluşturmak için ifade eşlemesi ile parentDistinguishedName kullanın.
• Kapsam filtreleri kullanıyorsanız, yanlışlıkla hesap devre dışı bırakmalarını önlemek için kapsam dışı silmeler atla bayrağını yapılandırabilirsiniz.

Dağıtım topolojisi 6: Bulut İk'dan bağlantısı kesilmiş ormanlara ayrı kullanıcılar şirket içi Active Directory ayırma

BU topolojiyi, IT altyapınız AD ormanlarının bağlantısı kesildi/kopuksa ve kullanıcıları iş bağlantısına göre farklı ormanlara sağlamanız gerekirse kullanın. Örneğin: Contoso yan kuruluşu için çalışan kullanıcıların contoso.com etki alanına sağlanması gerekirken, yan kuruluş Fabrikam'da çalışan kullanıcıların da fabrikam.com sağlanması gerekir.

En önemli yapılandırma özellikleri

• Yüksek kullanılabilirlik ve yük devretme için iki farklı sağlama aracı kümesi (her orman için bir tane) kurabilirsiniz.
• Her orman için bir tane olmak şartıyla iki farklı sağlama uygulaması oluşturun.
• Ormandaki etki alanı çapraz başvurularını çözümlemeniz gerekirse sağlama aracısı üzerinde referans referans başvurusu etkinleştirmeniz gerekir.
• Bağlantısı kesilmiş her orman için ayrı bir HR2AD sağlama uygulaması oluşturun.
• Her sağlama uygulamasını yapılandırırken, kullanılabilir AD etki alanı adlarının açılan listesinden uygun üst AD etki alanını seçin.
• Yanlışlıkla hesap devre dışı bırakmalarını önlemek için kapsam dışı atlama silme bayrağını yapılandırabilirsiniz.

Dağıtım topolojisi 7: Birden çok Bulut İk kaynağından bağlantısı kesilmiş ormanlara farklı kullanıcılar şirket içi Active Directory ayırma

Büyük kuruluşlarda birden çok İk sistemi yaygın değildir. İş M&A (birleşmeler ve satın almalar) senaryoları sırasında, şirketlerinizi birden çok İk kaynağına şirket içi Active Directory ihtiyacınız olabilir. Birden çok İk kaynağınız varsa ve bu İk kaynaklarından gelen kimlik verilerini aynı veya farklı etki alanlarına kanal şirket içi Active Directory öneririz.

En önemli yapılandırma özellikleri

• Yüksek kullanılabilirlik ve yük devretme için iki farklı sağlama aracı kümesi (her orman için bir tane) kurabilirsiniz.
• Ormandaki etki alanı çapraz başvurularını çözümlemeniz gerekirse sağlama aracısı üzerinde referans referans başvurusu etkinleştirmeniz gerekir.
• Her İk sistemi için ayrı bir HR2AD sağlama uygulaması oluşturun ve şirket içi Active Directory oluşturun.
• Her sağlama uygulamasını yapılandırırken, kullanılabilir AD etki alanı adlarının açılan listesinden uygun üst AD etki alanını seçin.
• Yanlışlıkla hesap devre dışı bırakmalarını önlemek için kapsam dışı atlama silme bayrağını yapılandırabilirsiniz.

Plan scoping filtreleri ve öznitelik eşlemesi

Bulut İk uygulamasından Active Directory veya Azure AD'ye sağlamayı etkinleştirerek Azure portal öznitelik eşlemesi aracılığıyla öznitelik değerlerini kontrol eder.

Filtreleme filtrelerini tanımlama

Hangi kullanıcıların bulut İk uygulamasından Active Directory'ye veya Azure AD'ye sağlanması gerektiğini belirleyen öznitelik tabanlı kuralları tanımlamak için filtreleme filtrelerini kullanın.

Joiners işlemini başlattığında aşağıdaki gereksinimleri toplayın:

• Bulut İk uygulaması hem çalışanları hem de bağlı çalışanları bir araya getirmek için kullanılıyor mu?
• Hem çalışanları hem de bağlı çalışanları yönetmek için bulut İk uygulamasını Azure AD kullanıcı hazırlamada kullanmayı planlıyor musunuz?
• Bulut İk uygulamasını yalnızca bulut İk uygulaması kullanıcılarının bir alt kümesi için Azure AD kullanıcı hazırlama hizmetine uygulamayı planlıyor musunuz? Örneğin yalnızca çalışanlar olabilir.

Gereksinimlerinize bağlı olarak, öznitelik eşlemelerini yapılandırıldığında, Bulut İk uygulamasındaki hangi kullanıcı kümelerinin Active Directory'ye sağlama kapsamında olması gerektiğini seçmek için Kaynak Nesne Kapsamı alanını ayarlayın. Daha fazla bilgi için yaygın olarak kullanılan scoping filtreleri için bulut İk uygulaması öğreticisi'ne bakın.

Eşleşen öznitelikleri belirleme

Sağlama ile kaynak ve hedef sistem arasındaki mevcut hesapları eşebilme olanağı elde olur. Bulut İk uygulamasını Azure AD sağlama hizmetiyle tümleştirerek, hangi kullanıcı verilerini bulut İk uygulamasından Active Directory'ye veya Azure AD'ye akacaklarını belirlemek için öznitelik eşlemesini yapılandırabilirsiniz.

Joiners işlemini başlattığında aşağıdaki gereksinimleri toplayın:

• Bu bulut İk uygulamasında her bir kullanıcıyı tanımlamak için kullanılan benzersiz kimlik nedir?
• Kimlik yaşam döngüsü perspektifinden bakıldığında, yeniden yapılanları nasıl işlebilirsiniz? Yeniden çalışanlar eski çalışan kimliklerini mi tutsun?
• Geleceğe ait işe alma işlemlerini önceden mi işleyebilirsiniz ve onlar için Active Directory hesapları mı oluşturabilirsiniz?
• Kimlik yaşam döngüsü perspektifinden bakıldığında çalışandan çalışan dönüştürmeye veya başka bir şekilde nasıl işlebilirsiniz?
• Dönüştürülen kullanıcılar eski Active Directory hesaplarını mı yoksa yenilerini mi alır?

Azure AD, gereksinimlerinize bağlı olarak, sabit değerler sağlayarak veya öznitelik eşlemeleri için ifadeler yazarak doğrudan öznitelik-öznitelik eşlemesini destekler. Bu esneklik, hedeflenen uygulama özniteliğinde nelerin doldurulması konusunda nihai denetim sağlar. Microsoft Graph API'sini ve Graph Gezgini'ni kullanarak kullanıcı sağlama öznitelik eşlemelerinizi ve şemanızı bir JSON dosyasına aktararak Azure AD'ye geri aktarabilirsiniz.

Varsayılan olarak, bulut İk uygulamasındaki benzersiz çalışan kimliğini temsil eden öznitelik, Active Directory'deki benzersiz öznitelikle eşlenen eşleşen öznitelik olarak kullanılır. Örneğin, Workday uygulama senaryosunda Workday WorkerID özniteliği Active Directory employeeID özniteliğiyle eşlenmiş.

Birden çok eşleşen öznitelik ayarp eşleşen öncelik atfedilebilir. Bunlar eşleşen önceliğe göre değerlendirilir. Eşleşme bulunur bulunamıyorsa eşleşen başka öznitelik değerlendirilmez.

Ayrıca, var olan öznitelik eşlemelerini değiştirme veyasilme gibi varsayılan öznitelik eşlemelerini özelleştirebilirsiniz. Ayrıca iş ihtiyaçlarınıza göre yeni öznitelik eşlemeleri de oluşturabilirsiniz. Daha fazla bilgi için eşlene özel özniteliklerin listesi için bulut İk uygulaması öğreticisine (Workdaygibi) bakın.

Kullanıcı hesabı durumunu belirleme

Sağlama bağlayıcısı uygulaması varsayılan olarak İk kullanıcı profili durumunu Active Directory veya Azure AD'de kullanıcı hesabı durumuyla eşler ve kullanıcı hesabını etkinleştirip etkinleştirmey kararlarını alır.

Yeni bir Joiners-Leavers, aşağıdaki gereksinimleri toplayın.

Gereksinimlerinize bağlı olarak, Active Directory hesabının bir veri noktalarının birleşimine göre etkinleştirilmesi veya devre dışı bırakılması için Azure AD deyimlerini kullanarak eşleme mantığını özelleştirebilirsiniz.

Cloud ık uygulamasını Active Directory Kullanıcı özniteliklerine eşleyin

Her bir bulut HR uygulaması, eşlemeleri Active Directory için varsayılan bulut ık uygulamasıyla birlikte gelir.

Birleştiriciler-Taşımacılar sürecini başlattığınızda, aşağıdaki gereksinimleri toplayın.

Gereksinimlerinize bağlı olarak, eşlemeleri tümleştirme hedeflerinize uyacak şekilde değiştirebilirsiniz. Daha fazla bilgi için, eşlenecek özel özniteliklerin bir listesi için belirli bulut HR uygulama öğreticisine ( Workdaygibi) bakın.

Benzersiz bir öznitelik değeri oluştur

Birleştiriciler sürecini başlattığınızda, CN, samAccountName ve benzersiz kısıtlamalara sahip UPN gibi öznitelikleri ayarladığınızda benzersiz öznitelik değerleri oluşturmanız gerekebilir.

Azure AD işlevi Selectuniquevalues her kuralı değerlendirir ve hedef sistemde benzersizlik için oluşturulan değeri denetler. Bir örnek için bkz. userPrincipalName (UPN) özniteliği için benzersiz değer oluşturma.

Active Directory OU kapsayıcı atamasını yapılandırma

Active Directory Kullanıcı hesaplarını iş birimlerine, konumlarına ve departmanlara göre kapsayıcılara yerleştirmek yaygın bir gereksinimdir. Bir geçiş işlemi başlattığınızda ve bir gözehirde kuruluş değişikliği varsa, kullanıcıyı Active Directory bir OU 'dan diğerine taşımanız gerekebilir.

OU atamasının iş mantığını yapılandırmak ve onu parentDistinguishedName Active Directory özniteliğiyle eşlemek için Switch () işlevini kullanın.

Örneğin, kullanıcı OU 'da ık özniteliği Municipsellik temelinde oluşturmak istiyorsanız aşağıdaki ifadeyi kullanabilirsiniz:

Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")

Bu ifadeyle, Municipitesi değeri Dallas, Austin, Seattle veya Londra ise, Kullanıcı hesabı ilgili OU 'da oluşturulur. Eşleşme yoksa, hesap varsayılan OU 'da oluşturulur.

Yeni Kullanıcı hesaplarının parola teslimini planlayın

Birleştiriciler sürecini başlattığınızda, Yeni Kullanıcı hesaplarının geçici bir parolasını ayarlayıp teslim etmeniz gerekir. Azure AD Kullanıcı sağlama ile bulut HR ile Kullanıcı için Azure AD self servis parola sıfırlama (SSPR) özelliğini bir gün boyunca alabilirsiniz.

SSPR, BT yöneticilerinin kullanıcıların parolalarını sıfırlamalarını veya hesaplarının kilidini açmalarına olanak tanımak için basit bir araçtır. Bulut HR uygulamasından Mobil sayı özniteliğini Active Directory ve Azure AD ile eşitlemek için sağlayabilirsiniz. Cep telefonu numarası ÖZNITELIĞI Azure AD 'de olduktan sonra, Kullanıcı hesabı için SSPR 'yi etkinleştirebilirsiniz. Ardından, bir gün sonra Yeni Kullanıcı, kimlik doğrulaması için kayıtlı ve doğrulanan mobil numarayı kullanabilir. Kimlik doğrulama iletişim bilgilerini önceden doldurma hakkında daha fazla bilgi için SSPR belgelerine bakın.

İlk döngüyü planlayın

Azure AD sağlama hizmeti ilk kez çalıştırıldığında, bulut HR uygulamasındaki tüm Kullanıcı nesnelerinin anlık görüntüsünü oluşturmak için bulut HR uygulamasına karşı bir Başlangıç döngüsünü gerçekleştirir. İlk Döngülerde geçen süre, kaynak sistemde kaç kullanıcının var olduğunu doğrudan bağlıdır. 100.000 ' den fazla kullanıcısı olan bazı bulut ık uygulama kiracılarının ilk döngüsünün süresi uzun sürebilir.

Büyük bulut İK uygulama kiracılar (>30.000 kullanıcıları) için, aşamalı aşamalar içinde ilk döngüyü çalıştırın. Artımlı güncelleştirmeleri yalnızca, farklı Kullanıcı hazırlama senaryoları için Active Directory doğru özniteliklerin ayarlandığını doğruladıktan sonra başlatın. Buradaki sırayı izleyin.

1. Kapsam filtresiniayarlayarak yalnızca sınırlı bir kullanıcı kümesi için başlangıç döngüsünü çalıştırın.
2. İlk çalıştırma için seçilen kullanıcılar için ayarlanan Active Directory hesap sağlamayı ve öznitelik değerlerini doğrulayın. Sonuç beklentilerinizi karşılıyorsa, daha fazla kullanıcı eklemek ve ikinci çalıştırmanın sonuçlarını doğrulamak için kapsam filtresini genişletin.

Test kullanıcıları için başlangıç döngüsünün sonuçlarını tatmin ettikten sonra, Artımlı güncelleştirmeleribaşlatın.

Test ve güvenlik planlaması

İlk pilot bilgisayardan dağıtımınızın her aşamasında, Kullanıcı sağlamayı etkinleştirerek, sonuçların beklenen şekilde olduğunu ve sağlama döngülerini kontrol etmeyi olduğunuzdan emin olun.

Test planı

Bulut HR uygulamasını Azure AD Kullanıcı sağlaması için yapılandırdıktan sonra, bu çözümün kuruluşunuzun gereksinimlerini karşılayıp karşılamadığını doğrulamak için test çalışmalarını çalıştırın.

Otomatik Kullanıcı hazırlama uygulamanızı, belirlenen zaman çizelgelerinizi temel alarak üretime nasıl geçireceğinizi öğrenmek için önceki sonuçları kullanın.

Plan güvenliği

Yeni bir hizmet dağıtımının bir parçası olarak bir güvenlik incelemesinin kullanılması yaygındır. Bir güvenlik incelemesi gerekiyorsa veya yürütülmemişse, bir hizmet olarak kimliğe genel bakış sağlayan birçok Azure AD Teknik incelemesini inceleyin.

Planı geri alma

Bulut HR Kullanıcı sağlama uygulamasının üretim ortamında istendiği gibi çalışması başarısız olabilir. Bu durumda, aşağıdaki geri alma adımları önceki bilinen iyi duruma geri dönmede size yardımcı olabilir.

1. Etkilenen kullanıcılar veya gruplar üzerinde hatalı işlemlerin ne olduğunu belirlemek için sağlama Özeti raporunu ve sağlama günlüklerini gözden geçirin. Sağlama Özeti raporu ve günlükleri hakkında daha fazla bilgi için bkz. Cloud İK uygulama kullanıcı sağlamayı yönetme.
2. Etkilenen kullanıcıların veya grupların bilinen son iyi durumu, sağlama denetim günlükleri aracılığıyla veya hedef sistemleri (Azure AD veya Active Directory) inceleyerek belirlenebilir.
3. En son bilinen iyi durum değerlerini kullanarak uygulamada doğrudan etkilenen kullanıcıları veya grupları güncelleştirmek için uygulama sahibiyle birlikte çalışın.

Cloud HR uygulamasını dağıtma

Çözüm gereksinimlerinize göre hizalanan bulut HR uygulamasını seçin.

Workday: çalışan profillerini Workday 'den Active Directory ve Azure AD 'ye aktarmak için bkz. öğretici: otomatik Kullanıcı sağlaması Için Workday 'yi yapılandırma. İsteğe bağlı olarak, e-posta adresini, Kullanıcı adını ve telefon numarasını Workday 'e geri yazabilirsiniz.

SAP başarılı etmenleri: çalışan profillerini başarılı bir şekilde Active Directory ve Azure AD 'ye aktarmak için bkz. öğretici: otomatik Kullanıcı sağlama Için SAP başarılı faktörlerini yapılandırma. İsteğe bağlı olarak, e-posta adresini ve Kullanıcı adını başarılı etkenlere geri yazabilirsiniz.

Yapılandırmanızı yönetin

Azure AD, kuruluşunuzun Kullanıcı sağlama kullanımı ve denetim günlükleri ve raporları aracılığıyla işletimsel sistem durumu hakkında ek öngörüler sağlayabilir.

Raporlardan ve günlüklerden öngörü elde edin

Başarılı bir Başlangıç döngüsündensonra, Azure AD sağlama hizmeti, aşağıdaki olaylardan biri gerçekleşene kadar her bir uygulamaya özgü öğreticilerde tanımlanan aralıklarda sonsuza kadar sürekli artımlı güncelleştirmeler çalıştırmaya devam eder:

• Hizmet el ile durduruldu. Azure portal veya uygun Microsoft Graph apı komutu kullanılarak yeni bir başlangıç çevrimi tetiklenir.
• Yeni bir başlangıç çevrimi, öznitelik eşlemelerinde veya kapsam filtrelerinizdeki bir değişikliğe göre tetiklenir.
• Sağlama işlemi, yüksek hata oranı nedeniyle karantinaya alınır. Dört haftadan uzun bir süre içinde kalır ve bu süre otomatik olarak devre dışıdır.

Bu olayları ve sağlama hizmeti tarafından gerçekleştirilen diğer tüm etkinlikleri gözden geçirmek için, günlükleri incelemeyi ve sağlama etkinliğine ilişkin raporları almayı öğrenin.

Azure İzleyici günlükleri

Sağlama hizmeti tarafından gerçekleştirilen tüm etkinlikler Azure AD denetim günlüklerine kaydedilir. Azure AD denetim günlüklerini daha fazla analiz için Azure Izleyici günlüklerine yönlendirebilirsiniz. Azure Izleyici günlükleri (Log Analytics çalışma alanı olarak da bilinir) sayesinde, olayları bulmak, eğilimleri çözümlemek ve çeşitli veri kaynakları arasında bağıntı gerçekleştirmek için verileri sorgulayabilirsiniz. Pratik Kullanıcı senaryolarında Azure AD günlükleri için Azure Izleyici günlüklerini kullanmanın avantajlarını öğrenmek için bu videoyu izleyin.

Ortamınızdaki sağlama olayları etrafında önceden oluşturulmuş raporlara erişim sağlamak IÇIN Azure ad etkinlik günlükleri için Log Analytics görünümlerini yükler.

Daha fazla bilgi için bkz. Azure izleyici günlüklerinizi Azure ad etkinlik günlüklerini çözümleme.

Kişisel verileri yönetme

Windows sunucusunda yüklü Azure AD Connect sağlama aracısı, Windows olay günlüğünde, bulut HR uygulamanıza bağlı olarak, öznitelik eşlemelerini Active Directory olan günlükler oluşturur. kullanıcı gizliliği yükümlülükleriyle uyum sağlamak için, olay günlüğünü temizlemek üzere Windows zamanlanmış bir görev ayarlayın ve hiçbir veri 48 saatten daha fazla tutulmayacak şekilde emin olun.

Azure AD sağlama hizmeti, raporlar oluşturmaz, analiz gerçekleştirmez veya 30 günden daha fazla veri depolamadığından, hiçbir veriyi 30 günden daha fazla saklayamadığından, bu verileri bir veya daha fazla öngörü sağlamadığı için

Sorun giderme

Sağlama sırasında oluşabilecek sorunları gidermek için aşağıdaki makalelere bakın:

• Azure AD Galeri uygulamasına kullanıcı sağlamayı yapılandırma sorunu
• Bir uygulamaya sağlamak için şirket içi Active Directory bir özniteliği Azure AD 'ye eşitleyin
• Azure Active Directory galeri uygulamasına kullanıcı sağlamayı yapılandırırken yönetici kimlik bilgileri kaydedilirken sorun oluştu
• Azure AD Galeri uygulamasına hiçbir Kullanıcı sağlanmıyor
• Azure AD Galeri uygulamasına yanlış kullanıcı kümesi sağlanıyor
• aracı sorunlarını giderme için Windows Olay Görüntüleyicisi ayarlama
• Hizmet sorunlarını giderme için Azure portal denetim günlüklerini ayarlama
• AD Kullanıcı hesabı oluşturma işlemleri için günlükleri anlama
• Yönetici güncelleştirme işlemlerine yönelik günlükleri anlama
• Yaygın olarak karşılaşılan hatalar çözümleniyor

Sonraki adımlar

• Öznitelik eşlemeleri için ifadeler yazma
• Azure AD eşitleme API 'sine genel bakış
• Kapsam dışına çıkan Kullanıcı hesaplarını silmeyi atlayın
• Azure AD Connect sağlama aracısı: sürüm yayınlama geçmişi