Azure Active Directory ile SaaS uygulamalarına Kullanıcı hazırlama ve sağlamayı kaldırma işlemlerini otomatikleştirmeAutomate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

Azure Active Directory (Azure AD), Dropbox, Salesforce, ServiceNow gibi bulut (SaaS) uygulamalarında kullanıcı kimliklerinin oluşturulmasını, bakımını ve kaldırılmasını otomatik hale getirmenizi sağlar.Azure Active Directory (Azure AD) lets you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and more. Bu, SaaS uygulamaları için otomatik Kullanıcı sağlama olarak bilinir.This is known as automated user provisioning for SaaS apps.

Bu özellik şunları yapmanızı sağlar:This feature lets you:

  • Ekibinize veya kuruluşunuza katılırsanız yeni kişiler için doğru sistemlerde otomatik olarak yeni hesaplar oluşturun.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Kullanıcılar takımdan veya kuruluştan ayrıldığında doğru sistemlerdeki hesapları otomatik olarak devre dışı bırakır.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Uygulama ve sistemlerinizdeki kimliklerin, dizindeki değişikliklere veya insan kaynakları sistemine göre güncel tutulduğundan emin olun.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • Gruplar gibi kullanıcı olmayan nesneleri onları destekleyen uygulamalara sağlayın.Provision non-user objects, such as groups, to applications that support them.

Otomatik Kullanıcı sağlama, bu işlevi de içerir:Automated user provisioning also includes this functionality:

  • Kaynak ve hedef sistemler arasında var olan kimlikleri eşleştirme özelliği.Ability to match existing identities between source and target systems.
  • Kaynak sistemden hedef sisteme hangi kullanıcı verilerinin akması gerektiğini tanımlayan özelleştirilebilir öznitelik eşlemeleri.Customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Sağlama hataları için isteğe bağlı e-posta uyarıları.Optional email alerts for provisioning errors.
  • İzleme ve sorun giderme konusunda yardımcı olmak için raporlama ve etkinlik günlükleri.Reporting and activity logs to help with monitoring and troubleshooting.

Otomatik sağlama neden kullanılmalıdır?Why use automated provisioning?

Bu özelliği kullanmaya yönelik bazı yaygın nedenler şunlardır:Some common motivations for using this feature include:

  • El ile sağlama işlemleriyle ilişkili maliyetleri, verimsizlikleri ve insan hatasını önleme.Avoiding the costs, inefficiencies, and human error associated with manual provisioning processes.
  • Özel olarak geliştirilmiş sağlama çözümlerinin ve betiklerinin barındırılmasına ve korunmasıyla ilişkili maliyetlerin önünden kaçınmayın.Avoiding the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Kuruluştan ayrıldıklarında kullanıcıların kimliklerini anahtar SaaS uygulamalarından anında kaldırarak kuruluşunuzun güvenliğini sağlama.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Çok sayıda kullanıcıyı belirli bir SaaS uygulamasına veya sistemine kolayca içeri aktarma.Easily importing a large number of users into a particular SaaS application or system.
  • Kimin sağlandığını ve bir uygulamada kimin oturum açmasını belirleyebilen tek bir ilke kümesine sahip olma.Having a single set of policies to determine who is provisioned and who can sign in to an app.

Otomatik sağlama nasıl çalışır?How does automatic provisioning work?

Azure AD sağlama hizmeti , her bir uygulama satıcısı tarafından sağlanan kullanıcı yönetimi API uç noktalarına bağlanarak kullanıcıları ve diğer sistemleri SaaS uygulamaları sağlar.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Bu Kullanıcı yönetimi API uç noktaları, Azure AD 'nin Kullanıcı aracılığıyla kullanıcıları oluşturmasına, güncelleştirmesine ve kaldırmasına izin verir.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. Seçilen uygulamalarda, sağlama hizmeti gruplar ve roller gibi kimlik ile ilgili diğer nesneleri de oluşturabilir, güncelleştirebilir ve kaldırabilir.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

Azure AD sağlama hizmeti Şekil 1: Azure AD sağlama hizmetiAzure AD Provisioning Service Figure 1: The Azure AD Provisioning Service

Giden Kullanıcı sağlama iş akışıŞekil 2: Azure AD 'den popüler SaaS uygulamalarına "giden" Kullanıcı sağlama iş akışıOutbound user provisioning workflow Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

Gelen Kullanıcı sağlama iş akışışekil 3: Popüler ınsan büyük yönetim (HCM) uygulamalarından Azure Active Directory ve Windows Server 'a yönelik "gelen" Kullanıcı sağlama iş akışı Active DirectoryInbound user provisioning workflow Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

Azure AD otomatik Kullanıcı sağlama ile hangi uygulamaları ve sistemleri kullanabilirim?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD, birçok popüler SaaS uygulaması ve insan kaynakları sistemi için önceden tümleşik destek ve SCıM 2,0 standardının belirli kısımlarını uygulayan uygulamalar için genel destek.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

Önceden tümleştirilmiş uygulamalarPre-integrated applications

Azure AD 'nin önceden tümleştirilmiş sağlama bağlayıcısını desteklediği tüm uygulamaların listesi için, Kullanıcı hazırlama için uygulama öğreticileri listesinebakın.For a list of all applications for which Azure AD supports a pre-integrated provisioning connector, see the list of application tutorials for user provisioning.

Ek uygulamalar için sağlama desteği istemek üzere Azure AD mühendislik ekibine başvurmak için Azure Active Directory geri bildirim Forumuaracılığıyla bir ileti gönderin.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

Not

Bir uygulamanın otomatik Kullanıcı sağlamayı desteklemesi için, öncelikle dış programların kullanıcıların oluşturulmasını, bakımını ve kaldırılmasını otomatik hale getirmesi için gereken kullanıcı yönetimi API 'Lerini sağlaması gerekir.In order for an application to support automated user provisioning, it must first provide the necessary user management APIs that allow for external programs to automate the creation, maintenance, and removal of users. Bu nedenle, tüm SaaS uygulamaları bu özellikle uyumlu değildir.Therefore, not all SaaS apps are compatible with this feature. Kullanıcı yönetimi API 'Lerini destekleyen uygulamalar için, Azure AD Mühendisliği ekibi daha sonra bu uygulamalara bir sağlama Bağlayıcısı oluşturabilir ve bu iş geçerli ve olası müşterilerin ihtiyaçlarına göre önceliklendirilir.For apps that do support user management APIs, the Azure AD engineering team can then build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

SCıM 2,0 ' i destekleyen uygulamaları bağlamaConnecting applications that support SCIM 2.0

SCıM 2,0 tabanlı kullanıcı yönetimi API 'Lerini uygulayan uygulamaları genel olarak bağlama hakkında daha fazla bilgi için bkz. SCIM kullanarak Azure Active Directory Kullanıcıları ve grupları uygulamalara otomatik olarak sağlama.For information on how to generically connect applications that implement SCIM 2.0 -based user management APIs, see Using SCIM to automatically provision users and groups from Azure Active Directory to applications.

Nasıl yaparım? bir uygulamaya otomatik sağlama mi ayarlanacak?How do I set up automatic provisioning to an application?

Azure AD sağlama hizmetini seçili bir uygulama için yapılandırmak üzere Azure Active Directory portalını kullanın.Use the Azure Active Directory portal to configure the Azure AD provisioning service for a selected application.

  1. Azure Active Directory portalını açın.Open the Azure Active Directory portal.

  2. Sol bölmeden Kurumsal uygulamalar ' ı seçin.Select Enterprise applications from the left pane. Yapılandırılmış tüm uygulamaların listesi gösterilmektedir.A list of all configured apps is show.

  3. Uygulama eklemek için + Yeni uygulama ' yı seçin.Choose + New application to add an application. Senaryonuza bağlı olarak aşağıdakilerden birini ekleyin:Add either of the following depending on your scenario:

  4. Tüm ayrıntıları sağlayın ve Ekle' yi seçin.Provide any details and select Add. Yeni uygulama, kurumsal uygulamalar listesine eklenir ve uygulama yönetimi ekranına açılır.The new app is added to the list of enterprise applications and opens to its application management screen.

  5. Uygulama için Kullanıcı hesabı sağlama ayarlarını yönetmek üzere sağlamayı seçin.Select Provisioning to manage user account provisioning settings for the app.

    Sağlama ayarları ekranını gösterir

  6. Yönetici kimlik bilgileri, eşlemeler, başlatma ve durdurma ve eşitlemeye yönelik ayarları belirtmek için sağlama modunun Otomatik seçeneğini belirleyin.Select the Automatic option for the Provisioning Mode to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

    • Azure AD 'nin uygulamanın kullanıcı yönetim API 'sine bağlanması için gereken kimlik bilgilerini girmek üzere yönetici kimlik bilgileri ' ni genişletin.Expand Admin credentials to enter the credentials required for Azure AD to connect to the application's user management API. Bu bölüm ayrıca kimlik bilgileri başarısız olursa veya sağlama işi karantinaalanına gittiğinde e-posta bildirimlerini etkinleştirmenizi sağlar.This section also lets you enable email notifications if the credentials fail, or the provisioning job goes into quarantine.

    • Kullanıcı hesapları sağlandığında veya güncelleştirilirken Azure AD ile hedef uygulama arasında akan Kullanıcı özniteliklerini görüntülemek ve düzenlemek için eşlemeler ' i genişletin.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated. Hedef uygulama destekliyorsa, bu bölüm, isteğe bağlı olarak grupların ve Kullanıcı hesaplarının sağlanması yapılandırmanızı sağlar.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts. Kullanıcı özniteliklerini görüntüleyebileceğiniz ve özelleştirebileceğiniz eşleme düzenleyicisini sağ tarafta açmak için tabloda bir eşleme seçin.Select a mapping in the table to open the mapping editor to the right, where you can view and customize user attributes.

      Kapsam filtreleri , kaynak sistemdeki hangi kullanıcıların ve grupların hedef sisteme sağlanması veya sağlanması gerektiğini sağlama hizmetine bildirir.Scoping filters tell the provisioning service which users and groups in the source system should be provisioned or deprovisioned to the target system. Öznitelik eşleme bölmesinde, belirli öznitelik değerlerini filtrelemek Için kaynak nesne kapsamı ' nı seçin.In the Attribute mapping pane, select Source Object Scope to filter on specific attribute values. Örneği yalnızca "Departman" özniteliği "Satış" olan kullanıcıların hazırlama kapsamına girmesini sağlayabilirsiniz.For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning. Daha fazla bilgi için bkz. Kapsam filtrelerini kullanma.For more information, see Using scoping filters.

      Daha fazla bilgi için bkz. öznitelik eşlemelerini özelleştirme.For more information, see Customizing Attribute Mappings.

    • Ayarlar , uygulamanın Şu anda çalışıp çalışmadığını da içeren sağlama hizmeti işlemini denetler.Settings control the operation of the provisioning service for an application, including whether it's currently running. Kapsam menüsü, yalnızca atanan kullanıcıların ve grupların sağlama için kapsamda olup olmayacağını veya Azure AD dizinindeki tüm kullanıcıların sağlanması gerekip gerekmediğini belirtmenizi sağlar.The Scope menu lets you specify whether only assigned users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. Kullanıcıları ve grupları "atama" hakkında bilgi için bkz. Azure Active Directory'de kurumsal uygulamalara kullanıcı veya grup atama.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

Uygulama yönetimi ekranında, Azure AD sağlama hizmeti tarafından çalıştırılan her işlemin kayıtlarını görüntülemek için sağlama günlükleri (Önizleme) öğesini seçin.In the app management screen, select Provisioning logs (preview) to view records of every operation run by the Azure AD provisioning service. Daha fazla bilgi için bkz. sağlama Raporlama Kılavuzu.For more information, see the provisioning reporting guide.

Örnek-bir uygulama için günlük hazırlama ekranı

Not

Azure AD Kullanıcı sağlama hizmeti, Microsoft Graph API 'sikullanılarak da yapılandırılabilir ve yönetilebilir.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

Sağlama sırasında ne olur?What happens during provisioning?

Azure AD kaynak sistem olduğunda, sağlama hizmeti kullanıcıları ve grupları izlemek için Azure ad Graph API 'ın fark sorgusu özelliğini kullanır.When Azure AD is the source system, the provisioning service uses the Differential Query feature of the Azure AD Graph API to monitor users and groups. Sağlama Hizmeti, kaynak sistem ve hedef sisteme karşı bir başlangıç döngüsü çalıştırır ve ardından düzenli artımlı Döngülerde çalışır.The provisioning service runs an initial cycle against the source system and target system, followed by periodic incremental cycles.

Başlangıç çevrimiInitial cycle

Sağlama hizmeti başlatıldığında, her zaman çalıştırılan ilk eşitleme:When the provisioning service is started, the first sync ever run will:

  1. Öznitelik eşlemelerindetanımlanmış tüm öznitelikleri alarak kaynak sistemden tüm kullanıcıları ve grupları sorgulayın.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.
  2. Yapılandırılan atamaları veya öznitelik tabanlı kapsam filtrelerinikullanarak döndürülen kullanıcıları ve grupları filtreleyin.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Bir Kullanıcı atandığında veya sağlama kapsamında olduğunda, hizmet belirtilen eşleşen özniteliklerikullanarak hedef sistemi eşleşen bir kullanıcı için sorgular.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. Örnek: Kaynak sistemdeki userPrincipal adı eşleşen öznitelik ise ve hedef sistemde Kullanıcı adı ile eşleşiyorsa, sağlama hizmeti kaynak sistemdeki userPrincipal ad değerleriyle eşleşen kullanıcı adları için hedef sistemi sorgular.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.
  4. Hedef sistemde eşleşen bir Kullanıcı bulunamazsa, kaynak sistemden döndürülen öznitelikler kullanılarak oluşturulur.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Kullanıcı hesabı oluşturulduktan sonra, sağlama hizmeti yeni kullanıcı için hedef sistemin KIMLIĞINI algılar ve önbelleğe alır ve bu kullanıcı, gelecekteki tüm işlemleri çalıştırmak için kullanılır.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Eşleşen bir kullanıcı bulunursa, kaynak sistem tarafından belirtilen öznitelikler kullanılarak güncelleştirilir.If a matching user is found, it's updated using the attributes provided by the source system. Kullanıcı hesabı eşleştirdikten sonra, sağlama hizmeti yeni kullanıcı için hedef sistemin KIMLIĞINI algılar ve önbelleğe alır ve bu kullanıcı, gelecekteki tüm işlemleri çalıştırmak için kullanılır.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Öznitelik eşlemeleri "başvuru" öznitelikleri içeriyorsa, hizmet, başvurulan nesneleri oluşturmak ve bağlamak için hedef sistemde ek güncelleştirmeler yapar.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Örneğin, bir Kullanıcı hedef sistemde bir "Yönetici" özniteliğine sahip olabilir ve bu, hedef sistemde oluşturulan başka bir kullanıcıyla bağlantılıdır.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. İlk döngüsünün sonunda, sonraki artımlı döngüler için başlangıç noktasını sağlayan bir filigranı kalıcı hale getirin.Persist a watermark at the end of the initial cycle, which provides the starting point for the later incremental cycles.

ServiceNow, G Suite ve Box gibi bazı uygulamalar yalnızca kullanıcıları sağlamaktan, ayrıca grupları ve üyelerini sağlamaktan de destek vermez.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. Bu durumlarda, eşlemelerdegrup sağlama etkinse, sağlama hizmeti kullanıcıları ve grupları eşitler ve daha sonra grup üyeliklerini eşitler.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

Artımlı döngülerIncremental cycles

İlk döngüden sonra diğer tüm döngüler şunları yapar:After the initial cycle, all other cycles will:

  1. Son eşik depolanmasından bu yana güncelleştirilmiş olan tüm kullanıcılar ve gruplar için kaynak sistemi sorgulayın.Query the source system for any users and groups that were updated since the last watermark was stored.
  2. Yapılandırılan atamaları veya öznitelik tabanlı kapsam filtrelerinikullanarak döndürülen kullanıcıları ve grupları filtreleyin.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Bir Kullanıcı atandığında veya sağlama kapsamında olduğunda, hizmet belirtilen eşleşen özniteliklerikullanarak hedef sistemi eşleşen bir kullanıcı için sorgular.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.
  4. Hedef sistemde eşleşen bir Kullanıcı bulunamazsa, kaynak sistemden döndürülen öznitelikler kullanılarak oluşturulur.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Kullanıcı hesabı oluşturulduktan sonra, sağlama hizmeti yeni kullanıcı için hedef sistemin KIMLIĞINI algılar ve önbelleğe alır ve bu kullanıcı, gelecekteki tüm işlemleri çalıştırmak için kullanılır.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Eşleşen bir kullanıcı bulunursa, kaynak sistem tarafından belirtilen öznitelikler kullanılarak güncelleştirilir.If a matching user is found, it's updated using the attributes provided by the source system. Bu, eşleşen yeni bir hesap ise, sağlama hizmeti yeni kullanıcı için hedef sistemin KIMLIĞINI algılar ve önbelleğe alır ve bu kullanıcı, gelecekteki tüm işlemleri yürütmek için kullanılır.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Öznitelik eşlemeleri "başvuru" öznitelikleri içeriyorsa, hizmet, başvurulan nesneleri oluşturmak ve bağlamak için hedef sistemde ek güncelleştirmeler yapar.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Örneğin, bir Kullanıcı hedef sistemde bir "Yönetici" özniteliğine sahip olabilir ve bu, hedef sistemde oluşturulan başka bir kullanıcıyla bağlantılıdır.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Önceden sağlama kapsamında olan bir Kullanıcı kapsamdan kaldırılırsa (atanmamış olanlar dahil), hizmet, hedef sistemdeki kullanıcıyı bir güncelleştirme aracılığıyla devre dışı bırakır.If a user that was previously in scope for provisioning is removed from scope (including being unassigned), the service disables the user in the target system via an update.
  8. Kaynak sistemde daha önce sağlama kapsamında olan bir kullanıcı devre dışıysa veya geçici olarak silinirse, hizmet, hedef sistemdeki kullanıcıyı bir güncelleştirme aracılığıyla devre dışı bırakır.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.
  9. Daha önce sağlama kapsamında olan bir Kullanıcı kaynak sistemde sabit bir şekilde silinirse, hizmet kullanıcıyı hedef sistemde siler.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. Azure AD 'de, kullanıcılar, geçici olarak silindikten sonra 30 gün sonra kalıcı olarak silinir.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.
  10. Daha sonraki artımlı döngüler için başlangıç noktasını sağlayan artımlı döngüsünün sonunda yeni bir filigranı kalıcı hale getirin.Persist a new watermark at the end of the incremental cycle, which provides the starting point for the later incremental cycles.

Not

İsteğe bağlı olarak, eşlemeler bölümündeki hedef nesne eylemleri onay kutularını kullanarak oluşturma, güncelleştirmeveya silme işlemlerini devre dışı bırakabilirsiniz.You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. Bir güncelleştirme sırasında kullanıcıyı devre dışı bırakma mantığı, "accountEnabled" gibi bir alandan bir öznitelik eşlemesi aracılığıyla da denetlenir.The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

Sağlama Hizmeti, aşağıdaki olaylardan biri gerçekleşene kadar her bir uygulamaya özgü öğreticidetanımlanan aralıklarda sonsuza kadar geri dönüş artımlı döngülerinde çalışmaya devam eder:The provisioning service continues running back-to-back incremental cycles indefinitely, at intervals defined in the tutorial specific to each application, until one of the following events occurs:

  • Hizmet, Azure portal kullanılarak veya uygun Graph API komutu kullanılarak el ile durdurulurThe service is manually stopped using the Azure portal, or using the appropriate Graph API command
  • Yeni bir başlangıç çevrimi, Azure portal durumu temizle ve yeniden Başlat seçeneği kullanılarak veya uygun Graph API komutu kullanılarak tetiklenir.A new initial cycle is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Graph API command. Bu eylem tüm depolanmış filigranı temizler ve tüm kaynak nesnelerinin yeniden değerlendirilmesini sağlar.This action clears any stored watermark and causes all source objects to be evaluated again.
  • Öznitelik eşlemelerinde veya kapsam filtrelerinde değişiklik nedeniyle yeni bir başlangıç çevrimi tetiklenir.A new initial cycle is triggered because of a change in attribute mappings or scoping filters. Bu eylem Ayrıca, depolanan tüm filigranı temizler ve tüm kaynak nesnelerinin yeniden değerlendirilmesini sağlar.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • Sağlama işlemi, yüksek bir hata oranı nedeniyle karantinaya alınır (aşağıya bakın) ve dört haftadan uzun bir şekilde karantinayla kalır.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. Bu olay, hizmet otomatik olarak devre dışı bırakılır.In this event, the service will be automatically disabled.

Hatalar ve yeniden denemelerErrors and retries

Hedef sistemdeki bir hata nedeniyle tek bir Kullanıcı hedef sistemde eklenemez, güncelleştirilemiyor veya silinemezse, işlem sonraki eşitleme döngüsüne yeniden denenir.If an individual user can't be added, updated, or deleted in the target system because of an error in the target system, then the operation is retried in the next sync cycle. Kullanıcı başarısız olmaya devam ederse, yeniden denemeler daha düşük bir sıklıkta gerçekleşecek ve aşamalı olarak günde yalnızca bir denemeye geri dönebilir.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. Sorunu çözmek için Yöneticiler, temel nedeni tespit etmek ve uygun eylemi gerçekleştirmek için sağlama günlüklerini denetlemelidir.To resolve the failure, administrators must check the provisioning logs to determine the root cause and take the appropriate action. Yaygın hatalarda şunlar olabilir:Common failures can include:

  • Hedef sistemde gerekli olan kaynak sistemde doldurulmuş bir özniteliği olmayan kullanıcılarUsers not having an attribute populated in the source system that is required in the target system
  • Kaynak sistemde, hedef sistemde benzersiz bir kısıtlama olan ve aynı değer başka bir Kullanıcı kaydında bulunan bir öznitelik değeri olan kullanıcılarUsers having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

Bu arızalar, kaynak sistemdeki etkilenen kullanıcının öznitelik değerleri ayarlanarak veya öznitelik eşlemeleri çakışmalara neden olmaz ayarlanarak çözülebilir.These failures can be resolved by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings to not cause conflicts.

KarantinaQuarantine

Hedef sisteme karşı yapılan çağrıların çoğu veya hepsi bir hata nedeniyle (örneğin, geçersiz yönetici kimlik bilgileri) başarısız olursa, sağlama işi "Karantina" durumuna geçer.If most or all of the calls made against the target system consistently fail because of an error (such as for invalid admin credentials), then the provisioning job goes into a "quarantine" state. Bu durum, sağlama Özeti raporunda ve Azure Portal e-posta bildirimleri yapılandırılmışsa e-postayla belirtilir.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

Karantinaya alma sırasında, artımlı döngülerin sıklığı günde bir kez yavaş şekilde azaltılır.When in quarantine, the frequency of incremental cycles is gradually reduced to once per day.

Sağlama işi, tüm sorunlu hatalar düzeltildikten ve sonraki eşitleme döngüsünün başlamasından sonra karantinadan çıkarılır.The provisioning job will be removed from quarantine after all of the offending errors are fixed and the next sync cycle starts. Sağlama işi dört haftadan uzun bir süreyle karantinayla kalırsa, sağlama işi devre dışı bırakılır.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled.

Kullanıcıları sağlamak için ne kadar sürer?How long will it take to provision users?

Performans, sağlama işinizin ilk sağlama döngüsünü mi yoksa artımlı bir döngüyü mi çalıştırdığına bağlıdır.Performance depends on whether your provisioning job is running an initial provisioning cycle or an incremental cycle. Sağlama süresinin ne kadar süreceği ve sağlama hizmetinin durumunun nasıl izleneceği hakkında ayrıntılar için bkz. Kullanıcı sağlama durumunu denetleme.For details about how long provisioning takes and how to monitor the status of the provisioning service, see Check the status of user provisioning.

Kullanıcıların düzgün şekilde sağlandığını nasıl anlayabilirim?How can I tell if users are being provisioned properly?

Kullanıcı sağlama hizmeti tarafından çalıştırılan tüm işlemler, Azure AD sağlama günlüklerine (Önizleme)kaydedilir.All operations run by the user provisioning service are recorded in the Azure AD Provisioning logs (preview). Bu, kaynak ve hedef sistemlere yapılan tüm okuma ve yazma işlemlerini ve her işlem sırasında okunan veya yazılan kullanıcı verilerini içerir.This includes all read and write operations made to the source and target systems, and the user data that was read or written during each operation.

Azure portal sağlama günlüklerini okuma hakkında daha fazla bilgi için bkz. sağlama Raporlama Kılavuzu.For information on how to read the provisioning logs in the Azure portal, see the provisioning reporting guide.

Nasıl yaparım? Kullanıcı sağlama sorunlarını gidermeHow do I troubleshoot issues with user provisioning?

Otomatik Kullanıcı sağlama sorunlarını gidermeye yönelik senaryo tabanlı yönergeler için bkz. kullanıcıları yapılandırma ve uygulama sağlama sorunları.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

Otomatik Kullanıcı sağlamayı kullanıma almak için en iyi uygulamalar nelerdir?What are the best practices for rolling out automatic user provisioning?

Bir uygulamaya giden Kullanıcı sağlama için örnek adım adım dağıtım planı için, bkz. Kullanıcı hazırlama Için kimlik dağıtım kılavuzu.For an example step-by-step deployment plan for outbound user provisioning to an application, see the Identity Deployment Guide for User Provisioning.

Sık sorulan sorularFrequently asked questions

SaaS uygulamalarına otomatik Kullanıcı sağlama, Azure AD 'de B2B kullanıcılarıyla çalışıyor mu?Does automatic user provisioning to SaaS apps work with B2B users in Azure AD?

Evet, Azure AD Kullanıcı sağlama hizmeti 'ni kullanarak Azure AD 'de SaaS uygulamalarına B2B (veya konuk) Kullanıcı sağlayabilirsiniz.Yes, it's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications.

Ancak, B2B kullanıcılarının Azure AD 'yi kullanarak SaaS uygulamasında oturum açması için, SaaS uygulamasının SAML tabanlı çoklu oturum açma yeteneğine belirli bir şekilde yapılandırılmış olması gerekir.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. SaaS uygulamalarının B2B kullanıcılarından oturum açma işlemlerini desteklemesi için nasıl yapılandırılacağı hakkında daha fazla bilgi için bkz. B2B işbirliği Için SaaS uygulamalarını yapılandırma.For more information on how to configure SaaS applications to support sign-ins from B2B users, see Configure SaaS apps for B2B collaboration.

SaaS uygulamalarına otomatik Kullanıcı sağlama, Azure AD 'de dinamik gruplarla çalışıyor mu?Does automatic user provisioning to SaaS apps work with dynamic groups in Azure AD?

Evet.Yes. "Yalnızca atanmış kullanıcıları ve grupları Eşitle" olarak yapılandırıldığında, Azure AD Kullanıcı sağlama hizmeti bir SaaS uygulamasındaki kullanıcıları dinamik bir grubunüyesi olup olmadıklarında temin edebilir veya devre dışı bırakabilirsiniz.When configured to "sync only assigned users and groups", the Azure AD user provisioning service can provision or de-provision users in a SaaS application based on whether they're members of a dynamic group. Dinamik Gruplar ayrıca "tüm kullanıcıları ve grupları Eşitle" seçeneği ile de çalışır.Dynamic groups also work with the "sync all users and groups" option.

Ancak dinamik grupların kullanımı, Azure AD 'den SaaS uygulamalarına kadar uçtan uca Kullanıcı sağlamanın genel performansını etkileyebilir.However, usage of dynamic groups can impact the overall performance of end-to-end user provisioning from the Azure AD to SaaS applications. Dinamik grupları kullanırken, bu uyarıları ve önerileri göz önünde bulundurun:When using dynamic groups, keep these caveats and recommendations in mind:

  • Bir SaaS uygulamasında dinamik bir gruptaki bir kullanıcının ne kadar hızlı sağlandığı veya sağlanmasının ne kadar hızlı olması, dinamik grubun üyelik değişikliklerini nasıl değerlendirileceğini gösterir.How fast a user in a dynamic group is provisioned or deprovisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. Dinamik bir grubun işleme durumunu denetleme hakkında daha fazla bilgi için bkz. bir üyelik kuralı için işleme durumunu denetleme.For information on how to check the processing status of a dynamic group, see Check processing status for a membership rule.

  • Dinamik grupları kullanırken, bir sağlama olayında üyelik sonuçlarının kaybedilmesi halinde kuralların Kullanıcı sağlama ve yük sağlama için dikkatle değerlendirilmesi gerekir.When using dynamic groups, the rules must be carefully considered with user provisioning and de-provisioning in mind, as a loss of membership results in a deprovisioning event.

SaaS uygulamalarına otomatik Kullanıcı hazırlama işlemi, Azure AD 'de iç içe gruplar ile çalışır mı?Does automatic user provisioning to SaaS apps work with nested groups in Azure AD?

Hayır.No. "Yalnızca atanmış kullanıcıları ve grupları Eşitle" olarak yapılandırıldığında, Azure AD Kullanıcı sağlama hizmeti iç içe gruplardaki kullanıcıları okuyamaz veya sağlayamaz.When configured to "sync only assigned users and groups", the Azure AD user provisioning service isn't able to read or provision users that are in nested groups. Yalnızca açıkça atanan grubun hemen üyesi olan kullanıcıları okuyabilir ve temin edebilir.It's only able to read and provision users that are immediate members of the explicitly assigned group.

Bu, çoklu oturum açmayı da etkileyen ve SaaS uygulamalarına erişimi yönetmek için bir grup kullanmabölümünde açıklanan "uygulamalara yönelik grup tabanlı atamaların" bir kısıtlamasıdır.This is a limitation of "group-based assignments to applications", which also affects single sign-on and is described in Using a group to manage access to SaaS applications.

Geçici bir çözüm olarak, sağlanması gereken kullanıcıları içeren grupları açıkça (veya başka bir şekilde kapsama) atamanız gerekir.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned.

Şifrelenmiş kanal kullanılarak Azure AD ile hedef uygulama arasında sağlama mı var?Is provisioning between Azure AD and a target application using an encrypted channel?

Evet.Yes. Sunucu hedefi için HTTPS SSL şifrelemesi kullanıyoruz.We use HTTPS SSL encryption for the server target.