Configurare l'app di provisioning in ingresso basato su API

  • Articolo

Introduzione

Questa esercitazione descrive come configurare il provisioning utenti in ingresso basato su API.

Questa funzionalità è disponibile solo quando si configurano le app della raccolta aziendale seguenti:

  • Provisioning utenti in ingresso basato su API a Microsoft Entra ID
  • Provisioning utenti in ingresso basato su API ad AD locale

Prerequisiti

Per completare i passaggi di questa esercitazione, è necessario accedere all'interfaccia di amministrazione di Microsoft Entra con i ruoli seguenti:

Se si sta configurando il provisioning utenti in ingresso ad Active Directory locale, è necessario accedere a un Windows Server in cui è possibile installare l'agente di provisioning per la connessione al controller di dominio di Active Directory.

Creare l'app di provisioning basato su API

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore di applicazioni.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali.

  3. Fare clic su Nuova applicazione per creare una nuova applicazione di provisioning. Screenshot dell'interfaccia di amministrazione di Microsoft Entra.

  4. Immettere basato su API nel campo di ricerca e quindi selezionare l'applicazione per la configurazione:

    • Provisioning basato su API ad Active Directory locale: selezionare questa app se si esegue il provisioning di identità ibride (identità che necessitano sia dell'account AD locale che dell'account Microsoft Entra) dal sistema di record. Dopo aver effettuato il provisioning di questi account in AD locale, questi vengono sincronizzati automaticamente con il tenant di Microsoft Entra usando Microsoft Entra Connect Sync o la sincronizzazione cloud di Microsoft Entra Connect.
    • Provisioning basato su API a Microsoft Entra ID: selezionare questa app se si esegue il provisioning di identità solo cloud (identità che non necessitano di account AD locali, ma necessitano solo dell'account Microsoft Entra) dal sistema di record.

    Screenshot delle app di provisioning basato su API.

  5. Nel campo Nome rinominare l'applicazione per soddisfare i requisiti di denominazione e quindi fare clic su Crea.

    Screenshot della creazione dell'app.

    Nota

    Se si prevede di inserire dati da più origini, ognuna con le proprie regole di sincronizzazione, è possibile creare più app e assegnare a ogni app un nome descrittivo, ad esempio Provision-Employees-From-CSV-to-AD o Provision-Contractors-From-SQL-to-AD.

  6. Al termine della creazione dell'applicazione, passare al pannello Provisioning e fare clic su Attività iniziali. Screenshot del pulsante Attività iniziali.

  7. Cambiare la Modalità di provisioning passando da Manuale ad Automatico.

A seconda dell'app selezionata, usare una delle sezioni seguenti per completare la configurazione:

Configurare il provisioning in ingresso basato su API ad AD locale

  1. Dopo aver impostato Modalità di provisioning su Automatica, fare clic su Salva per creare la configurazione iniziale del processo di provisioning.
  2. Fare clic sul banner informativo sull'agente di provisioning di Microsoft Entra.
  3. Fare clic su Accetta le condizioni e scarica per scaricare l'agente di provisioning di Microsoft Entra.
  4. Fare riferimento alla procedura descritta qui per installare e configurare l'agente di provisioning. Questo passaggio registra i domini Active Directory locale con il tenant di Microsoft Entra.
  5. Al termine della registrazione dell'agente, selezionare il dominio nell'elenco a discesa Dominio di Active Directory e specificare il nome distinto dell'unità organizzativa in cui vengono creati nuovi account utente per impostazione predefinita.

    Nota

    Se il dominio AD non è visibile nell'elenco a discesa Dominio di Active Directory, ricaricare l'app di provisioning nel browser. Fare clic su Visualizza agenti locali per il dominio per assicurarsi che lo stato dell'agente sia integro.

  6. Fare clic su Connessione di test per verificare che Microsoft Entra ID possa connettersi all'agente di provisioning.
  7. Fare clic su Salva per salvare le modifiche.
  8. Al termine dell'operazione di salvataggio, verranno visualizzati altri due pannelli di espansione, uno per Mapping e uno per Impostazioni. Prima di procedere al passaggio successivo, specificare un ID di posta elettronica di notifica valido e salvare di nuovo la configurazione.

    Nota

    È obbligatorio fornire l'E-mail di notifica in Impostazioni. Se il campo E-mail di notifica viene lasciato vuoto, il provisioning verrà messo in quarantena all'avvio dell'esecuzione.

  9. Fare clic sul collegamento ipertestuale nel pannello di espansione Mapping per visualizzare i mapping degli attributi predefiniti.

    Nota

    La configurazione predefinita nella pagina Mapping attributi esegue il mapping degli attributi Utente di base e Utente aziendale SCIM agli attributi AD locali. È consigliabile usare i mapping predefiniti per cominciare e personalizzarli in seguito, man mano che si acquisisce familiarità con il flusso di dati complessivo.

  10. Completare la configurazione seguendo la procedura descritta nella sezione Iniziare ad accettare le richieste di provisioning.

Configurare il provisioning in ingresso basato su API a Microsoft Entra ID

  1. Dopo aver impostato Modalità di provisioning su Automatica, fare clic su Salva per creare la configurazione iniziale del processo di provisioning.

  2. Una volta completata l'operazione di salvataggio, verranno visualizzati altri due pannelli di espansione, uno per Mapping e uno per Impostazioni. Prima di procedere al passaggio successivo, assicurarsi di fornire un ID e-mail di notifica valido e salvare nuovamente la configurazione.

    Nota

    È obbligatorio fornire l'E-mail di notifica in Impostazioni. Se il campo E-mail di notifica viene lasciato vuoto, il provisioning verrà messo in quarantena all'avvio dell'esecuzione.

  3. Fare clic sul collegamento ipertestuale nel pannello di espansione Mapping per visualizzare i mapping degli attributi predefiniti.

    Nota

    La configurazione predefinita nella pagina Mapping attributi esegue il mapping degli attributi Utente di base e Utente aziendale SCIM agli attributi AD locali. È consigliabile usare i mapping predefiniti per cominciare e personalizzarli in seguito, man mano che si acquisisce familiarità con il flusso di dati complessivo.

  4. Completare la configurazione seguendo la procedura descritta nella sezione Iniziare ad accettare le richieste di provisioning.

Iniziare ad accettare le richieste di provisioning

  1. Aprire la pagina Provisioning>Panoramica dell'applicazione di provisioning.
  2. In questa pagina, è possibile effettuare le seguenti operazioni:
    • Pulsante di controllo Avvia provisioning: fare clic su questo pulsante per mettere il processo di provisioning in modalità ascolto per elaborare i payload delle richieste di caricamento in blocco in ingresso.
    • Pulsante di controllo Arresta provisioning: usare questa opzione per mettere in pausa/arrestare il processo di provisioning.
    • Pulsante di controllo Riavvia provisioning: usare questa opzione per rimuovere i payload di richiesta esistenti in attesa di elaborazione e avviare un nuovo ciclo di provisioning.
    • Pulsante di controllo Modifica provisioning: usare questa opzione per modificare le impostazioni del processo, i mapping degli attributi e per personalizzare lo schema di provisioning.
    • Pulsante di controllo Effettuare il provisioning on demand: questa funzione non è supportata per il provisioning in ingresso basato su API.
    • Testo dell'URL Endpoint API di provisioning: copiare il valore dell'URL HTTPS indicato e salvarlo in un Blocco note o in OneNote per usarlo successivamente con il client API.
  3. Espandere il pannello Statistiche aggiornate>Visualizza informazioni tecniche e copiare l'URL Endpoint API di provisioning. Condividere questo URL con lo sviluppatore dell'API dopo aver concesso l'autorizzazione all'accesso per richiamare l'API.

Passaggi successivi