Sağlama ve sağlamayı kaldırma Azure Active Directory ile SaaS uygulamalarına kullanıcı otomatikleştirinAutomate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

SaaS uygulamaları için kullanıcı sağlamayı otomatik nedir?What is automated user provisioning for SaaS apps?

Azure Active Directory (Azure AD) oluşturulmasını, Bakım ve bulutta kullanıcı kimliklerini kaldırılmasını otomatikleştirmenize olanak tanır (SaaS) Dropbox, Salesforce, ServiceNow ve diğer uygulamalar.Azure Active Directory (Azure AD) lets you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and more.

Bu özellik sağlar:This feature lets you:

  • Otomatik olarak ekip veya kuruluş katıldığında yeni kişiler için doğru sistemlerinde yeni hesapları oluşturun.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Otomatik olarak kişiler ekip veya kuruluş çıktığınızda doğru sistemlerinde hesapları devre dışı bırakın.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Uygulamalarınızı ve sistemlerinizi kimliklerini directory ya da İnsan Kaynakları sisteminizi değişikliklere göre güncel tutulduğundan emin olun.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • Gruplara, bunları destekleyen uygulamalar gibi kullanıcı dışındaki nesneler sağlayın.Provision non-user objects, such as groups, to applications that support them.

Otomatik kullanıcı hazırlama, aynı zamanda bu işlevselliği içerir:Automated user provisioning also includes this functionality:

  • Kaynak ve hedef sistemleri arasında mevcut kimlikleri eşleştirmek yeteneği.The ability to match existing identities between source and target systems.
  • Hangi kullanıcı verilerini tanımlayan özelleştirilebilir öznitelik eşlemelerini kaynak sistemden hedef sisteme akışı.Customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Sağlama hataları için isteğe bağlı bir e-posta uyarıları'nı tıklatın.Optional email alerts for provisioning errors.
  • İzleme ve sorun giderme Yardımı için raporlama ve etkinlik günlükleri.Reporting and activity logs to help with monitoring and troubleshooting.

Otomatik sağlama neden kullanmalısınız?Why use automated provisioning?

Bu özelliği kullanmak için bazı ortak motivasyonlardan şunlardır:Some common motivations for using this feature include:

  • Maliyetleri, verimsiz ve el ile sağlama işlemleriyle ilişkili İnsan hatası önleme.Avoiding the costs, inefficiencies, and human error associated with manual provisioning processes.
  • Barındırma ve özel geliştirilmiş sağlama çözümleri ve betikleri ile ilişkili maliyetleri engelleme.Avoiding the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Kuruluşunuz, bunlar kuruluştan ayrılan anında kullanıcıların kimliklerini anahtar SaaS uygulamalarından kaldırarak güvenliğini sağlama.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Kolayca çok sayıda kullanıcı, belirli bir SaaS uygulama veya sistem içeri aktarılıyor.Easily importing a large number of users into a particular SaaS application or system.
  • İlkeleri kullanan bir uygulamada oturum açabilir ve kimin sağlanan belirlemek için tek bir dizi sahip.Having a single set of policies to determine who is provisioned and who can sign in to an app.

Otomatik sağlamayı nasıl çalışır?How does automatic provisioning work?

Azure AD sağlama hizmeti kullanıcıların SaaS uygulamaları ve diğer sistemler her uygulama satıcısı tarafından sağlanan kullanıcı yönetim API uç noktaları bağlanarak sağlar.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Bu kullanıcı yönetim API uç noktaları, programlı olarak oluşturmak, güncelleştirmek ve kullanıcıları kaldırmak Azure AD verin.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. Seçili uygulamalar için sağlama hizmeti oluşturma, güncelleştirme da gruplar ve roller gibi ek kimlikle ilgili nesneleri kaldırın.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

Sağlama Şekil 1: Azure AD sağlama hizmetiProvisioning Figure 1: The Azure AD Provisioning Service

Giden sağlama Şekil 2: "Giden" kullanıcı popüler SaaS uygulamaları için Azure ad iş akışı sağlamaOutbound Provisioning Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

Sağlama gelen Şekil 3: "Azure Active Directory ve Windows Server Active Directory için popüler İnsan büyük Yönetim (HCM) uygulamalardan kullanıcı sağlama iş akışı gelen"Inbound Provisioning Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

Hangi uygulamalar ve sistemler Azure AD'ye otomatik kullanıcı hazırlama ile kullanabilir miyim?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD özellikleri birçok popüler SaaS uygulamaları ve İnsan Kaynakları sistemleri için destek ve belirli bölümlerini SCIM 2.0 standart uygulayan uygulamaları için genel destek önceden tümleştirilmiş.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

Önceden tümleştirilmiş uygulamalarPre-integrated applications

Azure AD, tüm uygulamaların önceden tümleştirilmiş sağlama bağlayıcı destekleyen bir listesi için bkz kullanıcı sağlama için uygulama öğreticilerin listesine.For a list of all applications for which Azure AD supports a pre-integrated provisioning connector, see the list of application tutorials for user provisioning.

Azure AD kişiye üzerinden bir ileti gönderme mühendislik ekibinin ek uygulamalar için sağlama destek istemek için Azure Active Directory geri bildirim Forumu.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

Not

Otomatik kullanıcı sağlamayı desteklemek bir uygulama için sırada, gerekli kullanıcı yönetimi için dış programlarda oluşturulmasını, Bakım ve kullanıcıların kaldırılmasını otomatik hale getirmek izin API'leri ilk sağlamalısınız.In order for an application to support automated user provisioning, it must first provide the necessary user management APIs that allow for external programs to automate the creation, maintenance, and removal of users. Bu nedenle, tüm SaaS uygulamaları bu özellik ile uyumlu değildir.Therefore, not all SaaS apps are compatible with this feature. Kullanıcı Yönetimi API'leri destekleyen uygulamalar için Azure AD mühendislik ekibi ardından uygulamalarla sağlama bağlayıcı oluşturabilir miyim ve bu iş, geçerli ve potansiyel müşterilerin gereksinimlerine göre önceliklendirilir.For apps that do support user management APIs, the Azure AD engineering team can then build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

SCIM 2.0 destekleyen uygulamalar arasında bağlantı kurmaConnecting applications that support SCIM 2.0

SCIM kullanan uygulamalar genel olarak bağlanma hakkında bilgi için 2.0 - tabanlı kullanıcı yönetimi API'leri bkz kullanıcıların ve grupların Azure Active Directory'den uygulamalara otomatik olarak sağlamak için SCIM'yi kullanma.For information on how to generically connect applications that implement SCIM 2.0 -based user management APIs, see Using SCIM to automatically provision users and groups from Azure Active Directory to applications.

Bir uygulamayı otomatik sağlamayı ayarlama nasıl ayarlayabilirim?How do I set up automatic provisioning to an application?

Azure Active Directory portalındaki Azure AD sağlama hizmeti için seçilen bir uygulamaya yapılandırmak için kullanın.Use the Azure Active Directory portal to configure the Azure AD provisioning service for a selected application.

  1. Açık Azure Active Directory portalında .Open the Azure Active Directory portal.

  2. Seçin kurumsal uygulamalar sol bölmeden.Select Enterprise applications from the left pane. Tüm yapılandırılmış uygulamaların bir listesini göster ' dir.A list of all configured apps is show.

  3. Seçin + yeni uygulama bir uygulama eklemek için.Choose + New application to add an application. Senaryonuza bağlı olarak aşağıdakilerden birini ekleyin:Add either of the following depending on your scenario:

  4. Tüm ayrıntıları sağlayın ve seçin Ekle.Provide any details and select Add. Yeni uygulama, kurumsal uygulamalar listesine eklenir ve uygulama yönetimi ekranına açar.The new app is added to the list of enterprise applications and opens to its application management screen.

  5. Seçin sağlama hazırlama ayarları uygulaması için kullanıcı hesabını yönetmek için.Select Provisioning to manage user account provisioning settings for the app.

    Ayarlar

  6. Otomatik seçeneğini sağlama modu yönetici kimlik bilgileri, başlatma ve durdurma, eşlemeler ve eşitleme ayarlarını belirtmek için.Select the Automatic option for the Provisioning Mode to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

    • Genişletin yönetici kimlik bilgileri uygulamanın kullanıcı yönetimi API'sine bağlanmak Azure AD için gerekli kimlik bilgilerini girmek için.Expand Admin credentials to enter the credentials required for Azure AD to connect to the application's user management API. Bu bölümde Ayrıca, kimlik bilgileri başarısız veya sağlama işi girmeyeceğini e-posta bildirimlerini etkinleştirme sağlar karantina.This section also lets you enable email notifications if the credentials fail, or the provisioning job goes into quarantine.

    • Genişletin eşlemeleri görüntüleme ve Azure AD arasında akış kullanıcı özniteliklerini düzenleyin ve kullanıcı hesaplarını sağlandığında veya güncelleştirildiğinde, hedef uygulama.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated. Hedef uygulama destekliyorsa, bu bölümde, isteğe bağlı olarak gruplar ve hesaplar sağlama yapılandırmanıza olanak sağlar.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts. Bir eşleme burada görüntüleyebilir ve kullanıcı özniteliklerine özelleştirme sağa eşleme düzenleyicisini açmak için tablo seçin.Select a mapping in the table to open the mapping editor to the right, where you can view and customize user attributes.

      Kapsam filtreleri hangi kullanıcıların sağlama hizmeti söyleyin ve kaynak sistemi gruplarında sağlanan veya hedef sistem için sağlaması kaldırıldı.Scoping filters tell the provisioning service which users and groups in the source system should be provisioned or deprovisioned to the target system. İçinde öznitelik eşlemesi bölmesinde kaynak nesne kapsamı belirli öznitelik değerlerine göre filtre uygulamak için.In the Attribute mapping pane, select Source Object Scope to filter on specific attribute values. Örneği yalnızca "Departman" özniteliği "Satış" olan kullanıcıların hazırlama kapsamına girmesini sağlayabilirsiniz.For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning. Daha fazla bilgi için bkz. Kapsam filtrelerini kullanma.For more information, see Using scoping filters.

      Daha fazla bilgi için öznitelik eşlemelerini özelleştirme.For more information, see Customizing Attribute Mappings.

    • Ayarları işlemi şu anda çalışıyor olsun dahil olmak üzere, bir uygulama için sağlama hizmetinin denetim.Settings control the operation of the provisioning service for an application, including whether it's currently running. Kapsam menü yalnızca atanan kullanıcı ve grupları sağlama kapsamında olup olmayacağını veya Azure AD dizinindeki tüm kullanıcılara sağlanmalıdır belirtmenize olanak sağlar.The Scope menu lets you specify whether only assigned users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. Kullanıcıları ve grupları "atama" hakkında bilgi için bkz. Azure Active Directory'de kurumsal uygulamalara kullanıcı veya grup atama.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

Uygulama Yönetimi ekranında seçin denetim günlükleri görüntülemek için her işlem kayıtlarını Azure AD tarafından sağlama hizmeti çalıştırın.In the app management screen, select Audit logs to view records of every operation run by the Azure AD provisioning service. Daha fazla bilgi için sağlama raporlama Kılavuzu.For more information, see the provisioning reporting guide.

Ayarlar

Not

Azure AD kullanıcı sağlama hizmeti de yapılandırılabilir ve yönetilen kullanarak Microsoft Graph API.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

Sağlama sırasında ne olacak?What happens during provisioning?

Azure AD, kaynak sistem çalışırken, sağlama hizmeti kullanan fark sorgusu Özelliği Azure AD Graph API kullanıcılar ve Gruplar'ı izlemek için.When Azure AD is the source system, the provisioning service uses the Differential Query feature of the Azure AD Graph API to monitor users and groups. Sağlama hizmeti bir ilk eşitleme, kaynak ve hedef sistemi, düzenli aralıklarla artımlı eşitlemeler tarafından izlenen karşı çalışır.The provisioning service runs an initial sync against the source system and target system, followed by periodic incremental syncs.

İlk eşitlemeInitial sync

Sağlama hizmeti başlatıldığında, ilk eşitleme çalıştırmak hiç olmadığı kadar olur:When the provisioning service is started, the first sync ever run will:

  1. Tüm kullanıcılar ve Gruplar'ı kaynak sistemden içinde tanımlanan tüm öznitelikleri alınırken sorgu öznitelik eşlemelerini.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.
  2. Kullanıcıları ve yapılandırılmış kullanarak döndürülen, grupları filtre atamaları veya öznitelik tabanlı kapsam filtreleri.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Ne zaman atanmış bir kullanıcı veya sağlama için kapsam içinde belirtilen kullanarak eşleşen bir kullanıcı için hedef sistemde hizmet sorgular öznitelikleri eşleşen.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. Örnek: Kaynak sistemindeki userPrincipal adı eşleşen bir özniteliktir ve eşlendiği hedef sistem sonra sağlama hizmeti, kullanıcı adı kaynak sistemde userPrincipal adı değerlerle eşleşen kullanıcı adları için hedef sistemde sorgular.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.
  4. Eşleşen kullanıcı hedef sistemde bulunamazsa, kaynak sistemden öznitelikleri kullanılarak oluşturulur.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Kullanıcı hesabı oluşturulduktan sonra sağlama hizmeti algılar ve kullanıcı gelecekteki tüm işlemleri çalıştırmak için kullanılan yeni kullanıcı kimliği hedef sistemin önbelleğe alır.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Eşleşen bir kullanıcı bulunamazsa, kaynak sistem tarafından sağlanan öznitelikleri kullanılarak güncelleştirilir.If a matching user is found, it's updated using the attributes provided by the source system. Kullanıcı hesabı eşleşen sonra sağlama hizmeti algılar ve kullanıcı gelecekteki tüm işlemleri çalıştırmak için kullanılan yeni kullanıcı kimliği hedef sistemin önbelleğe alır.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Öznitelik eşlemeleri "başvuru" özniteliği içermiyorsa, hizmet oluşturmak ve başvurulan nesneler bağlamak için hedef sistemde ek güncelleştirmeler yapar.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Örneğin, bir kullanıcı bir "Yönetici" özniteliği başka bir kullanıcı hedef sistemde oluşturulan bağlı hedef sistem olabilir.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Başlangıç noktası için sonraki artımlı eşitlemeler sağlayan ilk eşitleme sonunda Filigran kalıcı hale getirin.Persist a watermark at the end of the initial sync, which provides the starting point for the later incremental syncs.

Yalnızca kullanıcılar sağlama, ancak grupları ve bunların üyeleri de sağlama ServiceNow, G Suite ve kutusunu desteği gibi bazı uygulamalar.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. İçinde grup sağlama etkinse, bu durumlarda eşlemeleri, sağlama hizmeti kullanıcıları ve grupları eşitler ve daha sonra grubu üyeliğini eşitler.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

Artımlı eşitlemelerIncremental syncs

İlk eşitleme sonrasında, diğer tüm eşitlemeler olur:After the initial sync, all other syncs will:

  1. Tüm kullanıcılar ve son Filigran depolanmış beri güncelleştirildi gruplar için kaynak sistemi sorgulayın.Query the source system for any users and groups that were updated since the last watermark was stored.
  2. Kullanıcıları ve yapılandırılmış kullanarak döndürülen, grupları filtre atamaları veya öznitelik tabanlı kapsam filtreleri.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Ne zaman atanmış bir kullanıcı veya sağlama için kapsam içinde belirtilen kullanarak eşleşen bir kullanıcı için hedef sistemde hizmet sorgular öznitelikleri eşleşen.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.
  4. Eşleşen kullanıcı hedef sistemde bulunamazsa, kaynak sistemden öznitelikleri kullanılarak oluşturulur.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Kullanıcı hesabı oluşturulduktan sonra sağlama hizmeti algılar ve kullanıcı gelecekteki tüm işlemleri çalıştırmak için kullanılan yeni kullanıcı kimliği hedef sistemin önbelleğe alır.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Eşleşen bir kullanıcı bulunamazsa, kaynak sistem tarafından sağlanan öznitelikleri kullanılarak güncelleştirilir.If a matching user is found, it's updated using the attributes provided by the source system. Eşleşen yeni atanmış bir hesabı ise, sağlama hizmetine algılar ve kullanıcı gelecekteki tüm işlemleri çalıştırmak için kullanılan yeni kullanıcı kimliği hedef sistemin önbelleğe alır.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Öznitelik eşlemeleri "başvuru" özniteliği içermiyorsa, hizmet oluşturmak ve başvurulan nesneler bağlamak için hedef sistemde ek güncelleştirmeler yapar.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Örneğin, bir kullanıcı bir "Yönetici" özniteliği başka bir kullanıcı hedef sistemde oluşturulan bağlı hedef sistem olabilir.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Daha önce sağlama kapsamında olan bir kullanıcı (atanmamış dahil) kapsamdan kaldırdıysanız, hizmetin kullanıcı hedef sistemdeki bir güncelleştirme aracılığıyla devre dışı bırakır.If a user that was previously in scope for provisioning is removed from scope (including being unassigned), the service disables the user in the target system via an update.
  8. Daha önce sağlama kapsamında olan bir kullanıcı devre dışı ya da geçici olarak silinen kaynak sistemde hizmeti kullanıcı hedef sistemdeki bir güncelleştirme aracılığıyla devre dışı bırakır.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.
  9. Daha önce sağlama kapsamında olan bir kullanıcı silindi sabit kaynak sistemde varsa hizmet hedef sistemde kullanıcıyı siler.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. Azure AD'de kalıcı olarak silinmiş, geçici olarak silinen sonraki 30 gün kullanıcılardır.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.
  10. Başlangıç noktası için sonraki artımlı eşitlemeler sağlayan Artımlı eşitleme sonuna yeni bir filigran kalıcı hale getirin.Persist a new watermark at the end of the incremental sync, which provides the starting point for the later incremental syncs.

Not

İsteğe bağlı olarak devre dışı bırakabilirsiniz Oluştur, güncelleştirme, veya Sil kullanarak işlemlerini hedef nesne eylemleri onay kutuları Eşlemeleri bölümü.You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. Güncelleştirme sırasında bir kullanıcı devre dışı bırakmak için mantığı da "accountEnabled" gibi bir alandan bir özellik eşlemesi aracılığıyla denetlenir.The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

Sağlama hizmeti uçtan uca artımlı eşitlemeler, tanımlanan aralıklarla sürdürür öğretici her uygulamaya özgü, aşağıdaki olaylardan biri gerçekleşene kadar:The provisioning service continues running back-to-back incremental syncs indefinitely, at intervals defined in the tutorial specific to each application, until one of the following events occurs:

  • Azure portalını kullanarak ya da uygun Graph API'si komutunu kullanarak hizmeti el ile durdurulduThe service is manually stopped using the Azure portal, or using the appropriate Graph API command
  • Kullanarak yeni bir ilk eşitleme tetiklenen durumu temizleyin ve yeniden seçeneği Azure portalında ya da uygun Graph API'si komutu.A new initial sync is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Graph API command. Bu eylem, depolanmış tüm Filigran temizler ve tüm kaynak nesneleri yeniden değerlendirilecek neden olur.This action clears any stored watermark and causes all source objects to be evaluated again.
  • Yeni bir ilk eşitleme kapsamı belirleme filtreleri ile öznitelik eşlemelerini de bir değişiklik nedeniyle tetiklenir.A new initial sync is triggered because of a change in attribute mappings or scoping filters. Bu eylem, ayrıca depolanan tüm Filigran temizler ve tüm kaynak nesneleri yeniden değerlendirilecek neden olur.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • Sağlama işlemi bir yüksek hata oranı nedeniyle karantinaya (aşağıya bakın) geçer ve dört hafta için karantinaya kalır.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. Bu durumda hizmet otomatik olarak devre dışı bırakılır.In this event, the service will be automatically disabled.

Hataları ve yeniden denemeErrors and retries

Ardından tek bir kullanıcı eklendi, güncelleştirilemiyor veya hedef sistemde bulunan bir hata nedeniyle hedef sistemde silindi, işlem sonraki eşitleme döngüsünde yeniden denenir.If an individual user can't be added, updated, or deleted in the target system because of an error in the target system, then the operation is retried in the next sync cycle. Kullanıcı başarısız olmaya devam ederse, yeniden denemeler kademeli olarak gün başına yalnızca bir girişimi dön ölçeklendirme daha düşük bir sıklıkta gerçekleşecek şekilde başlar.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. Hatayı gidermek için Yöneticiler denetlemelidir denetim günlükleri "emanet işleme" kök belirlemek için olayları neden ve uygun eylemi gerçekleştirin.To resolve the failure, administrators must check the audit logs for "process escrow" events to determine the root cause and take the appropriate action. Sık karşılaşılan hatalar içerebilir:Common failures can include:

  • Kullanıcılar hedef sistemde gerekli kaynak sistemindeki doldurulmuş bir özniteliğe sahip değilUsers not having an attribute populated in the source system that is required in the target system
  • Kullanıcılar bir öznitelik değeri var olan benzersiz kısıtlama hedef sistemde kaynak sistemindeki ve aynı değere sahip başka bir kullanıcı kaydı var.Users having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

Bu hatalar, kaynak sistemde etkilenen kullanıcının öznitelik değerleri ayarlayarak ya da çakışmalara neden olmayan için öznitelik eşlemelerini ayarlayarak çözülebilir.These failures can be resolved by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings to not cause conflicts.

Karantinaya AlQuarantine

Çoğu veya tüm hedef sistem karşı sürekli olarak yapılan çağrıları (olduğu gibi geçersiz yönetici kimlik bilgileri gibi) bir hata nedeniyle başarısız olursa, sağlama işi bir "karantina" durumuna geçtiğinde.If most or all of the calls made against the target system consistently fail because of an error (such as for invalid admin credentials), then the provisioning job goes into a "quarantine" state. Bu durum belirtilen özet raporu sağlama ve e-posta bildirimleri Azure portalında yapılandırıldıysa e-posta yoluyla.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

Karantinadaki olduğunda, artımlı eşitlemeler sıklığını kademeli olarak günde bir kere için azaltılır.When in quarantine, the frequency of incremental syncs is gradually reduced to once per day.

Sağlama işi karantinadan tüm soruna neden olan hataları sabittir ve sonraki eşitleme döngüsü başladıktan sonra kaldırılır.The provisioning job will be removed from quarantine after all of the offending errors are fixed and the next sync cycle starts. Sağlama işi dört hafta için karantinaya kalırsa, sağlama işi devre dışı bırakıldı.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled.

Ne kadar kullanıcıları sağlama sürer?How long will it take to provision users?

Sağlama iş bir ilk eşitleme veya bir artımlı eşitleme çalıştıran performans bağlıdır.Performance depends on whether your provisioning job is running an initial sync or an incremental sync.

İçin ilk eşitlemeler, sağlama, kapsamında kullanıcıların ve grupların sayısı da dahil olmak üzere, birçok faktöre ve kullanıcı ve grup kaynak sistemindeki toplam sayısı işi zaman bağlıdır.For initial syncs, the job time depends on many factors, including the number of users and groups in scope for provisioning, and the total number of users and group in the source system. İlk eşitleme performansı etkileyen faktörleri kapsamlı bir listesi bu bölümde daha sonra özetlenir.A comprehensive list of factors that affect initial sync performance are summarized later in this section.

İçin artımlı eşitlemeler, işi zaman bu eşitleme döngüsü algılandı değişikliklerinin sayısına bağlı olarak değişir.For incremental syncs, the job time depends on the number of changes detected in that sync cycle. 5. 000'den daha az kullanıcı veya grup üyeliği değişiklikleri varsa, bir tek Artımlı eşitleme döngüsü içinde iş tamamlayabilir.If there are fewer than 5,000 user or group membership changes, the job can finish within a single incremental sync cycle.

Eşitleme zamanlarını sağlama yaygın senaryolar için aşağıdaki tabloda özetlenmiştir.The following table summarizes synchronization times for common provisioning scenarios. Bu senaryolarda, Azure AD kaynaklı sistemidir ve hedef sistemde bir SaaS uygulamasıdır.In these scenarios, the source system is Azure AD and the target system is a SaaS application. Eşitleme sürelerini ServiceNow, çalışma alanı, Salesforce ve G Suite SaaS uygulamaları için eşitleme işlerinin istatistiksel çözümleme türetilmiştir.The sync times are derived from a statistical analysis of sync jobs for the SaaS applications ServiceNow, Workplace, Salesforce, and G Suite.

Kapsam yapılandırmasıScope configuration Kullanıcılara, gruplara veya kapsamda üyeleriUsers, groups, and members in scope İlk eşitleme zamanıInitial sync time Artımlı eşitleme zamanıIncremental sync time
Atanan kullanıcı ve grupları yalnızca EşitleSync assigned users and groups only < 1,000< 1,000 < 30 dakika< 30 minutes < 30 dakika< 30 minutes
Atanan kullanıcı ve grupları yalnızca EşitleSync assigned users and groups only 1.000 - 10.0001,000 - 10,000 142 - 708 dakika142 - 708 minutes < 30 dakika< 30 minutes
Atanan kullanıcı ve grupları yalnızca EşitleSync assigned users and groups only 10,000 - 100,00010,000 - 100,000 1,170 - 2,340 dakika1,170 - 2,340 minutes < 30 dakika< 30 minutes
Azure AD'de tüm kullanıcıları ve grupları EşitleSync all users and groups in Azure AD < 1,000< 1,000 < 30 dakika< 30 minutes < 30 dakika< 30 minutes
Azure AD'de tüm kullanıcıları ve grupları EşitleSync all users and groups in Azure AD 1.000 - 10.0001,000 - 10,000 < 30-120 dakika< 30 - 120 minutes < 30 dakika< 30 minutes
Azure AD'de tüm kullanıcıları ve grupları EşitleSync all users and groups in Azure AD 10,000 - 100,00010,000 - 100,000 713 - 1,425 dakika713 - 1,425 minutes < 30 dakika< 30 minutes
Tüm kullanıcılar Azure AD'de eşitlemeSync all users in Azure AD < 1,000< 1,000 < 30 dakika< 30 minutes < 30 dakika< 30 minutes
Tüm kullanıcılar Azure AD'de eşitlemeSync all users in Azure AD 1.000 - 10.0001,000 - 10,000 43 - 86 dakika43 - 86 minutes < 30 dakika< 30 minutes

Yapılandırma için eşitleme atanan kullanıcı ve grupları yalnızca, şu formüllerden yaklaşık minimum ve maksimum beklenen belirlemek için kullanabileceğiniz ilk eşitleme saatler:For the configuration Sync assigned user and groups only, you can use the following formulas to determine the approximate minimum and maximum expected initial sync times:

Minimum minutes =  0.01 x [Number of assigned users, groups, and group members]
Maximum minutes = 0.08 x [Number of assigned users, groups, and group members] 

Tamamlamak süresini etkileyen faktörler özeti bir ilk eşitleme:Summary of factors that influence the time it takes to complete an initial sync:

  • Kullanıcılar ve gruplar sağlama kapsamında toplam sayısı.The total number of users and groups in scope for provisioning.

  • Kullanıcılar, gruplar ve Grup üyeleri kaynak sistemde bulunan (Azure AD) toplam sayısı.The total number of users, groups, and group members present in the source system (Azure AD).

  • Olup kullanıcıların sağlama kapsamında hedef uygulamada mevcut kullanıcılar eşleştirilir veya ilk kez oluşturulması gerekir.Whether users in scope for provisioning are matched to existing users in the target application, or need to be created for the first time. Eşitleme işleri, tüm kullanıcılar için ilk kez oluşturulur ele hakkında iki kez sürece olarak eşitleme işleri, tüm kullanıcılar için mevcut kullanıcıların eşleştirilir.Sync jobs for which all users are created for the first time take about twice as long as sync jobs for which all users are matched to existing users.

  • Hataların sayısı denetim günlükleri.Number of errors in the audit logs. Çok sayıda hata ve sağlama hizmeti bir karantina duruma geçti performans daha yavaş olur.Performance is slower if there are many errors and the provisioning service has gone into a quarantine state.

  • İstek hız sınırları ve hedef sistem tarafından uygulanan kısıtlama.Request rate limits and throttling implemented by the target system. Bazı hedef sistemleri, istek hızı sınırlarını ve kısıtlama, büyük eşitleme işlemler sırasındaki performansınızı etkileyebilir uygular.Some target systems implement request rate limits and throttling, which can impact performance during large sync operations. Bu şartlar altında çok fazla istek çok hızlı aldığı uygulama yanıt hızını yavaş veya bağlantıyı kapatın.Under these conditions, an app that receives too many requests too fast might slow its response rate or close the connection. Performansı artırmak için bağlayıcı uygulama isteklerini uygulama bunları işleyebileceğinden daha hızlı göndererek değil ayarlamak gerekir.To improve performance, the connector needs to adjust by not sending the app requests faster than the app can process them. Microsoft tarafından oluşturulan sağlama bağlayıcılar bu ayarı yapın.Provisioning connectors built by Microsoft make this adjustment.

  • Atanan gruplar boyutunu ve sayı.The number and sizes of assigned groups. Atanan gruplar eşitleniyor kullanıcıları eşitleme daha uzun sürer.Syncing assigned groups takes longer than syncing users. Sayı ve boyutları atanan gruplar performansı etkileyebilir.Both the number and the sizes of the assigned groups impact performance. Bir uygulama varsa eşlemeleri için nesne eşitleme grubu etkingrubu adları gibi Grup Özellikleri ve üyeliklerinin yanı sıra kullanıcılar eşitlenmiş.If an application has mappings enabled for group object sync, group properties such as group names and memberships are synced in addition to users. Bu ek eşitlemeler yalnızca kullanıcı, nesneyi eşitleme daha uzun sürer.These additional syncs will take longer than only syncing user objects.

Kullanıcı düzgün hazırlanmadı olmadığını nasıl anlayabilirim?How can I tell if users are being provisioned properly?

Sağlama hizmeti kullanıcı tarafından çalıştırılan tüm işlemleri Azure AD'de kayıtlı denetim günlükleri.All operations run by the user provisioning service are recorded in the Azure AD audit logs. Bu tüm içeren okuma ve yazma işlemleri kaynak ve hedef sistemleri ve okuma veya her işlemi sırasında yazılan kullanıcı verileri için yapılır.This includes all read and write operations made to the source and target systems, and the user data that was read or written during each operation.

Azure portalında denetim günlükleri okuma hakkında daha fazla bilgi için bkz: sağlama raporlama Kılavuzu.For information on how to read the audit logs in the Azure portal, see the provisioning reporting guide.

Kullanıcı hazırlama sorunlarını nasıl giderebilirim?How do I troubleshoot issues with user provisioning?

Senaryo tabanlı otomatik kullanıcı hazırlama sorunlarını giderme konusunda yönergeler için bkz. yapılandırmak ve uygulamaya kullanıcı hazırlama sorunlarını.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

Otomatik kullanıcı hazırlama kullanıma alma için en iyi uygulamalar nelerdir?What are the best practices for rolling out automatic user provisioning?

Bir uygulamaya giden kullanıcı sağlama için bir örnek adım adım dağıtım planlama için kimlik kullanıcı sağlama için Dağıtım Kılavuzu.For an example step-by-step deployment plan for outbound user provisioning to an application, see the Identity Deployment Guide for User Provisioning.

Diğer sık sorulan sorularMore frequently asked questions

Otomatik kullanıcı iş SaaS uygulamaları ile B2B kullanıcıları Azure AD'de sağlamayı mu?Does automatic user provisioning to SaaS apps work with B2B users in Azure AD?

Evet, SaaS uygulamaları için Azure AD'de hizmet sağlama B2B (veya konuk) kullanıcıları sağlama Azure AD Kullanıcınızı kullanmanız mümkündür.Yes, it's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications.

Ancak, B2B kullanıcıları Azure AD kullanarak SaaS uygulaması için oturum açmak SaaS uygulama belirli bir şekilde yapılandırılmış, SAML tabanlı çoklu oturum açma özelliği olması gerekir.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. B2B kullanıcıları oturum açmalar SaaS uygulamaları destekleyecek şekilde yapılandırma hakkında daha fazla bilgi için bkz: yapılandırma SaaS uygulamaları için B2B işbirliği.For more information on how to configure SaaS applications to support sign ins from B2B users, see Configure SaaS apps for B2B collaboration.

Otomatik kullanıcı SaaS uygulamaları çalışmaya dinamik grupları ile Azure AD'de sağlamayı mu?Does automatic user provisioning to SaaS apps work with dynamic groups in Azure AD?

Evet.Yes. Sağlama hizmetini Azure AD kullanıcısı, "eşitleme yalnızca atanan kullanıcılar ve gruplar için" yapılandırıldığında sağlayabilirsiniz kaldırabilir kullanıcılara veya bir SaaS uygulamasında üyeleri olup olmadıklarını üzerinde bir dinamik grup.When configured to "sync only assigned users and groups", the Azure AD user provisioning service can provision or de-provision users in a SaaS application based on whether they're members of a dynamic group. Dinamik gruplar, "tüm kullanıcılar ve grupları eşitleme" seçeneği ile de çalışır.Dynamic groups also work with the "sync all users and groups" option.

Ancak, dinamik gruplar kullanımını SaaS uygulamaları için Azure AD'den sağlama uçtan uca kullanıcı genel performansını etkileyebilir.However, usage of dynamic groups can impact the overall performance of end-to-end user provisioning from the Azure AD to SaaS applications. Dinamik gruplar kullanırken, bu uyarılar ve öneriler göz önünde bulundurun:When using dynamic groups, keep these caveats and recommendations in mind:

  • Dinamik grup üyeliği değişiklikleri ne kadar hızlı değerlendirebilirsiniz nasıl hızla kullanıcı dinamik bir grup olarak sağlanan veya bir SaaS uygulamasında sağlaması bağlıdır.How fast a user in a dynamic group is provisioned or deprovisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. Dinamik bir grup işleme durumunu denetleme hakkında daha fazla bilgi için bkz: bir üyelik kuralı için işlem durumunu denetleme.For information on how to check the processing status of a dynamic group, see Check processing status for a membership rule.

  • Dinamik gruplar kullanırken, hazırlama ve göz önünde bulundurun üyeliği sonuçları bir sağlamayı kaldırma olay kaybı olarak sağlamayı kullanıcıyla dikkatle kuralları alınmalıdır.When using dynamic groups, the rules must be carefully considered with user provisioning and de-provisioning in mind, as a loss of membership results in a deprovisioning event.

Otomatik kullanıcı SaaS uygulamaları çalışmaya iç içe grupları ile Azure AD'de sağlamayı mu?Does automatic user provisioning to SaaS apps work with nested groups in Azure AD?

Hayır.No. "Eşitleme yalnızca atanan kullanıcılar ve gruplar için" yapılandırıldığında, Azure AD kullanıcı sağlama hizmeti okuyun veya iç içe geçmiş gruplardaki kullanıcıların sağlamak mümkün değildir.When configured to "sync only assigned users and groups", the Azure AD user provisioning service isn't able to read or provision users that are in nested groups. Yalnızca okuma ve anında açıkça atanan grubun üyesi olan kullanıcılar sağlayın.It's only able to read and provision users that are immediate members of the explicitly assigned group.

Bu bir sınırlamadır "Grup tabanlı atamaları uygulamalar için", aynı zamanda çoklu oturum açma etkiler ve açıklanan SaaS uygulamalarına erişimi yönetmek için bir grup kullanmanızı.This is a limitation of "group-based assignments to applications", which also affects single sign-on and is described in Using a group to manage access to SaaS applications.

Geçici bir çözüm olarak, açıkça atamanız gerekir (veya başka türlü kapsamını) sağlanması gereken kullanıcıları içeren gruplar.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned.

Azure AD arasında sağlama ve şifreli bir kanal kullanarak bir hedef uygulama?Is provisioning between Azure AD and a target application using an encrypted channel?

Evet.Yes. HTTPS SSL şifrelemesi için sunucusu hedef kullanırız.We use HTTPS SSL encryption for the server target.