Как работает подготовка приложений в идентификаторе Microsoft Entra

Автоматическая подготовка относится к созданию удостоверений пользователей и ролей в облачных приложениях, к которым пользователям требуется доступ. Помимо создания удостоверений пользователей, автоматическая подготовка включает обслуживание и удаление удостоверений пользователей в качестве изменения состояния или ролей. Перед началом развертывания вы можете ознакомиться с этой статьей, чтобы узнать, как работает подготовка Microsoft Entra и получить рекомендации по настройке.

Служба подготовки Microsoft Entra подготавливает пользователей к приложениям SaaS и другим системам, подключаясь к конечной точке API управления междоменной идентификацией (SCIM) 2.0, предоставленной поставщиком приложения или локальным агентом подготовки. Эта конечная точка SCIM позволяет идентификатору Microsoft Entra программно создавать, обновлять и удалять пользователей. Для выбранных приложений служба подготовки также может создавать, обновлять и удалять дополнительные объекты, связанные с удостоверениями, например группы. Канал, используемый для подготовки между идентификатором Microsoft Entra и приложением, шифруется с помощью шифрования HTTPS TLS 1.2.

Рис. 1. Служба подготовки Microsoft Entra

Рис. 2. Рабочий процесс подготовки пользователей исходящего трафика из идентификатора Microsoft Entra в популярные приложения SaaS

Рис. 3. Рабочий процесс подготовки пользователей из популярных приложений управления капиталом (HCM) в идентификатор Microsoft Entra и Windows Server Active Directory

Подготовка с помощью SCIM 2.0

Служба подготовки Microsoft Entra использует протокол SCIM 2.0 для автоматической подготовки. Служба подключается к конечной точке SCIM для приложения и использует схему пользовательских объектов SCIM и ИНТЕРФЕЙСы REST API для автоматизации подготовки и отмены подготовки пользователей и групп. Соединитель подготовки на основе SCIM предоставляется для большинства приложений в коллекции Microsoft Entra. Разработчики используют API управления пользователями SCIM 2.0 в идентификаторе Microsoft Entra для создания конечных точек для приложений, которые интегрируются со службой подготовки. Дополнительные сведения см. в разделе "Создание конечной точки SCIM" и настройка подготовки пользователей. Локальный агент подготовки также преобразует операции Microsoft Entra SCIM в LDAP, SQL, REST или SOAP, PowerShell, вызовы пользовательского соединителя ECMA или соединителей и шлюзов, созданных партнерами.

Чтобы запросить соединитель автоматической подготовки Microsoft Entra для приложения, которое в настоящее время не имеет его, см . запрос приложения Microsoft Entra.

Авторизация

Учетные данные необходимы для подключения идентификатора Microsoft Entra к API управления пользователями приложения. При настройке автоматической подготовки пользователей для приложения необходимо ввести допустимые учетные данные. Для приложений коллекции можно найти типы учетных данных и требования для приложения, обратившись к руководству по приложению. Для приложений, отличных от коллекции, можно ознакомиться с документацией SCIM , чтобы понять типы учетных данных и требования. В Центре администрирования Microsoft Entra вы можете проверить учетные данные, пытаясь подключиться к приложению подготовки приложения с помощью предоставленных учетных данных.

Атрибуты сопоставления

При включении подготовки пользователей для стороннего приложения SaaS центр администрирования Microsoft Entra управляет значениями атрибутов с помощью сопоставлений атрибутов. Сопоставления определяют атрибуты пользователя, которые выполняются между идентификатором Microsoft Entra и целевым приложением при подготовке или обновлении учетных записей пользователей.

Существует предварительно настроенный набор атрибутов и сопоставлений атрибутов между объектами пользователей Microsoft Entra и объектами пользователей каждого приложения SaaS. Некоторые приложения управляют другими типами объектов вместе с пользователями, такими как группы.

При настройке подготовки важно проверить и настроить сопоставления атрибутов и рабочие процессы, определяющие поток свойств пользователя (или группы) из идентификатора Microsoft Entra в приложение. Просмотрите и настройте соответствующее свойство (сопоставление объектов с помощью этого атрибута), которое используется для уникальной идентификации и сопоставления пользователей и групп между двумя системами.

Вы можете настроить сопоставления атрибутов по умолчанию в соответствии с вашими бизнес-потребностями. Таким образом, можно изменить или удалить существующие сопоставления атрибутов или создать новые сопоставления атрибутов. Дополнительные сведения см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS.

При настройке подготовки к приложению SaaS один из типов сопоставлений атрибутов, которые можно указать, является сопоставлением выражений. Для этих сопоставлений необходимо написать подобное скрипту выражение, позволяющее преобразовать данные пользователей в форматы, которые более приемлемы для приложения SaaS. Дополнительные сведения см. в статье "Написание выражений для сопоставлений атрибутов".

Области

Определение области на основе назначений

Для исходящей подготовки из идентификатора Microsoft Entra в приложение SaaS, основанный на назначениях пользователей или групп, является наиболее распространенным способом определить, какие пользователи находятся в области подготовки. Так как назначения пользователей также используются для включения единого входа, один и тот же метод можно использовать для управления доступом и подготовкой. Определение области на основе назначений не применяется к сценариям подготовки входящего трафика, таким как Workday и Successfactors.

• Группы. С помощью плана лицензии Microsoft Entra ID P1 или P2 можно использовать группы для назначения доступа к приложению SaaS. Затем, когда для области подготовки задано значение Sync только назначенных пользователей и групп, служба подготовки Microsoft Entra подготавливает или отменяет подготовку пользователей на основе того, являются ли они членами группы, назначенной приложению. Сам объект группы не подготавливается, если приложение не поддерживает объекты группы. Убедитесь, что группы, назначенные приложению, имеют для свойства SecurityEnabled значение True.

• Динамические группы. Служба подготовки пользователей Microsoft Entra может читать и подготавливать пользователей в динамических группах членства. Имейте в виду следующие предостережения и рекомендации.

  • Динамические группы могут повлиять на производительность сквозной подготовки из идентификатора Microsoft Entra в приложения SaaS.

  • Как быстро пользователь в динамической группе подготавливается или удаляется в приложении SaaS, зависит от того, насколько быстро динамическая группа может оценить изменения членства. Сведения о том, как проверить состояние обработки динамической группы, см. в разделе "Проверка состояния обработки для правила членства".

  • Когда пользователь теряет членство в динамической группе, он считается событием отмены подготовки. Рассмотрим этот сценарий при создании правил для динамических групп членства.

• Вложенные группы. Служба подготовки пользователей Microsoft Entra не может читать или подготавливать пользователей в вложенных группах. Служба может читать и подготавливать пользователей, которые являются непосредственными членами явно назначенной группы. Это ограничение "назначения на основе групп для приложений" также влияет на единый вход (см . раздел "Использование группы для управления доступом к приложениям SaaS"). Вместо этого напрямую назначьте или иным образом область в группах, которые содержат пользователей, которые должны быть подготовлены.

Области на основе атрибутов

Фильтры области можно использовать для определения правил на основе атрибутов, определяющих, какие пользователи подготовлены для приложения. Этот метод обычно используется для входящего подготовки приложений HCM к идентификатору Microsoft Entra и Active Directory. Фильтры области настраиваются как часть сопоставлений атрибутов для каждого соединителя подготовки пользователей Microsoft Entra. Дополнительные сведения о настройке фильтров области на основе атрибутов см. в разделе "Подготовка приложений на основе атрибутов" с помощью фильтров области.

Пользователи B2B (гостевые)

Службу подготовки пользователей Microsoft Entra можно использовать для подготовки пользователей B2B (гостевой) в идентификаторе Microsoft Entra в приложениях SaaS. Однако для входа пользователей B2B в приложение SaaS с помощью идентификатора Microsoft Entra необходимо вручную настроить приложение SaaS для использования идентификатора Microsoft Entra в качестве поставщика удостоверений языка разметки утверждений безопасности (SAML).

Следуйте этим общим рекомендациям при настройке приложений SaaS для пользователей B2B (гостевой):

• Для большинства приложений настройка пользователей должна выполняться вручную. Пользователи также должны создаваться вручную в приложении.
• Для приложений, поддерживающих автоматическую настройку, например Dropbox, создаются отдельные приглашения из приложений. Пользователи должны принять каждое приглашение.
• В атрибутах пользователя для устранения проблем с диском профиля пользователя (UPD) в гостевых пользователях всегда задайте идентификатор пользователя для user.mail.

Циклы подготовки: начальные и добавочные

Если идентификатор Microsoft Entra является исходной системой, служба подготовки использует разностный запрос для отслеживания изменений в данных Microsoft Graph для мониторинга пользователей и групп. Служба подготовки запускает начальный цикл для исходной системы и целевой системы, а затем периодические добавочные циклы.

Начальный цикл

При запуске службы подготовки первый цикл будет следующим:

1. Запросите всех пользователей и групп из исходной системы, извлекая все атрибуты, определенные в сопоставлениях атрибутов.

2. Фильтрация возвращаемых пользователей и групп с помощью любых настроенных назначений или фильтров области на основе атрибутов.

3. При назначении пользователя или области подготовки служба запрашивает целевую систему для соответствующего пользователя с помощью указанных атрибутов сопоставления. Пример. Если имя userPrincipal в исходной системе является соответствующим атрибутом и сопоставляется с userName в целевой системе, служба подготовки запрашивает целевую систему для имен пользователей, которые соответствуют значениям имени пользователя в исходной системе.

4. Если соответствующий пользователь не найден в целевой системе, он создается с помощью атрибутов, возвращаемых из исходной системы. После создания учетной записи пользователя служба подготовки обнаруживает и кэширует идентификатор целевой системы для нового пользователя. Этот идентификатор используется для выполнения всех будущих операций с этим пользователем.

5. Если найден соответствующий пользователь, он обновляется с помощью атрибутов, предоставляемых исходной системой. После сопоставления учетной записи пользователя служба подготовки обнаруживает и кэширует идентификатор целевой системы для нового пользователя. Этот идентификатор используется для выполнения всех будущих операций с этим пользователем.

6. Если сопоставления атрибутов содержат атрибуты reference, служба выполняет дополнительные обновления в целевой системе для создания и связывания ссылочных объектов. Например, у пользователя может быть атрибут Manager в целевой системе, связанный с другим пользователем, созданным в целевой системе.

7. Сохраните водяной знак в конце начального цикла, который предоставляет отправную точку для последующих добавочных циклов.

Некоторые приложения, такие как ServiceNow, G Suite и Box, поддерживают не только пользователей подготовки, но и группы подготовки и их членов. В таких случаях, если подготовка групп включена в сопоставлениях, служба подготовки синхронизирует пользователей и группы, а затем синхронизирует динамическую группу членства.

Добавочные циклы

После начального цикла все остальные циклы будут:

1. Запрос исходной системы для всех пользователей и групп, которые были обновлены с момента хранения последнего водяного знака.

2. Фильтрация возвращаемых пользователей и групп с помощью любых настроенных назначений или фильтров области на основе атрибутов.

3. При назначении пользователя или области подготовки служба запрашивает целевую систему для соответствующего пользователя с помощью указанных атрибутов сопоставления.

4. Если соответствующий пользователь не найден в целевой системе, он создается с помощью атрибутов, возвращаемых из исходной системы. После создания учетной записи пользователя служба подготовки обнаруживает и кэширует идентификатор целевой системы для нового пользователя. Этот идентификатор используется для выполнения всех будущих операций с этим пользователем.

5. Если найден соответствующий пользователь, он обновляется с помощью атрибутов, предоставляемых исходной системой. Если это только что назначенная учетная запись, служба подготовки обнаруживает и кэширует идентификатор целевой системы для нового пользователя. Этот идентификатор используется для выполнения всех будущих операций с этим пользователем.

6. Если сопоставления атрибутов содержат атрибуты reference, служба выполняет дополнительные обновления в целевой системе для создания и связывания ссылочных объектов. Например, у пользователя может быть атрибут Manager в целевой системе, связанный с другим пользователем, созданным в целевой системе.

7. Если пользователь, который ранее был в области подготовки, удаляется из области, включая отмену назначения, служба отключает пользователя в целевой системе через обновление.

8. Если пользователь, который ранее был в области подготовки, отключен или обратимо удален в исходной системе, служба отключает пользователя в целевой системе через обновление.

9. Если пользователь, который ранее был в области подготовки, жестко удаляется в исходной системе, служба удаляет пользователя в целевой системе. В идентификаторе Microsoft Entra пользователи удаляются через 30 дней после обратимого удаления.

10. Сохраните новый водяной знак в конце добавочного цикла, который предоставляет отправную точку для последующих добавочных циклов.

Служба подготовки продолжает выполнять добавочные циклы в обратном режиме неограниченное время с интервалами, определенными в руководстве, конкретном для каждого приложения. Добавочные циклы продолжаются до тех пор, пока не произойдет одно из событий:

• Служба остановлена вручную с помощью Центра администрирования Microsoft Entra или с помощью соответствующей команды API Microsoft Graph.
• Новый начальный цикл активируется с помощью параметра подготовки перезапуска в Центре администрирования Microsoft Entra или с помощью соответствующей команды API Microsoft Graph. Действие очищает все сохраненные подложки и приводит к повторной оценке всех исходных объектов. Кроме того, действие не нарушает связи между исходными и целевыми объектами. Чтобы разорвать ссылки, используйте задание синхронизации перезапуска с запросом:

POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Authorization: Bearer <token>
Content-type: application/json
{
   "criteria": {
       "resetScope": "Full"
   }
}

• Новый начальный цикл активируется из-за изменения сопоставлений атрибутов или фильтров области. Это действие также очищает все сохраненные подложки и приводит к повторной оценке всех исходных объектов.
• Процесс подготовки переходит в карантин (см. пример) из-за высокой частоты ошибок и остается в карантине более четырех недель. В этом случае служба автоматически отключается.

Ошибки и повторные попытки

Если ошибка в целевой системе препятствует добавлению, обновлению или удалению отдельного пользователя в целевой системе, операция выполняется в следующем цикле синхронизации. Ошибки постоянно извлекаются, постепенно масштабируя частоту повторных попыток. Чтобы устранить сбой, администраторы должны проверить журналы подготовки , чтобы определить первопричину и принять соответствующее действие. Распространенные ошибки могут включать:

• Пользователи, не имеющие атрибута, заполненного в исходной системе, необходимой в целевой системе
• Пользователи, имеющие значение атрибута в исходной системе, для которой существует уникальное ограничение в целевой системе, и то же значение присутствует в другой записи пользователя.

Устраните эти ошибки, изменив значения атрибутов для затронутого пользователя в исходной системе или изменив сопоставления атрибутов, чтобы они не приводили к конфликтам.

Карантин

Если большинство или все вызовы, выполненные в целевой системе, последовательно завершаются сбоем из-за ошибки (например, недопустимых учетных данных администратора), задание подготовки переходит в состояние "карантин". Это состояние указывается в сводном отчете по подготовке и по электронной почте, если Уведомления по электронной почте были настроены в Центре администрирования Microsoft Entra.

В карантине частота добавочных циклов постепенно уменьшается до одного раза в день.

Задание подготовки выходит из карантина после исправления всех ошибок, и начинается следующий цикл синхронизации. Если задание подготовки остается в карантине более четырех недель, задание подготовки отключено. Дополнительные сведения о состоянии карантина см. здесь.

Продолжительное время подготовки

Производительность зависит от того, выполняется ли задание подготовки начального цикла подготовки или добавочного цикла. Дополнительные сведения о том, сколько времени занимает подготовка и как отслеживать состояние службы подготовки, см. в разделе "Проверка состояния подготовки пользователей".

Как определить правильность подготовки пользователей

Все операции, выполняемые службой подготовки пользователей, записываются в журналы подготовки Microsoft Entra. Журналы включают все операции чтения и записи, сделанные в исходные и целевые системы, а также данные пользователя, которые были считываются или записываются во время каждой операции. Сведения о том, как читать журналы подготовки в Центре администрирования Microsoft Entra, см. в руководстве по подготовке отчетов.

Отмена подготовки

Служба подготовки Microsoft Entra сохраняет исходные и целевые системы в синхронизации путем отмены подготовки учетных записей при удалении доступа пользователей.

Служба подготовки поддерживает как удаление, так и отключение (иногда называется обратимым удалением) пользователей. Точное определение отключения и удаления зависит от реализации целевого приложения, но обычно отключает, что пользователь не может войти. Удаление указывает, что пользователь был полностью удален из приложения. Для приложений SCIM отключается запрос, чтобы задать активное свойство значение false для пользователя.

Настройка приложения для отключения пользователя

Убедитесь, что установлен флажок для обновлений.

Подтвердите сопоставление для активного приложения. Если вы используете приложение из коллекции приложений, сопоставление может немного отличаться. В этом случае используйте сопоставление по умолчанию для приложений коллекции.

Настройка приложения для удаления пользователя

Сценарий активирует отключение или удаление:

• Пользователь обратимо удален в идентификаторе Microsoft Entra (отправлен в корзину или свойство AccountEnabled, заданное значение false). Тридцать дней после удаления пользователя в идентификаторе Microsoft Entra id они окончательно удаляются из клиента. На этом этапе служба подготовки отправляет запрос DELETE для окончательного удаления пользователя в приложении. В любое время в течение 30-дневного окна можно вручную удалить пользователя, который отправляет запрос на удаление приложению.
• Пользователь окончательно удаляется из корзины в идентификаторе Microsoft Entra.
• Пользователь не назначен из приложения.
• Пользователь переходит из области в область действия (больше не передает фильтр области).

По умолчанию служба подготовки Microsoft Entra обратимо удаляет или отключает пользователей, которые выходят из области. Если вы хотите переопределить это поведение по умолчанию, можно задать флаг для пропуска удаления из области.

Когда происходит одно из четырех событий, а целевое приложение не поддерживает обратимое удаление, служба подготовки отправляет запрос DELETE для окончательного удаления пользователя из приложения.

Если вы видите IsSoftDeleted в сопоставлениях атрибутов, оно используется для определения состояния пользователя и отправки запроса на обновление с active = false целью обратимого удаления пользователя.

Отмена подготовки событий

В таблице описывается, как настроить действия отмены подготовки с помощью службы подготовки Microsoft Entra. Эти правила написаны с учетом не из коллекции или пользовательского приложения, но обычно применяются к приложениям в коллекции. Однако поведение приложений коллекции может отличаться, так как они оптимизированы для удовлетворения потребностей приложения. Например, если целевое приложение не поддерживает обратимое удаление, служба подготовки Microsoft Entra может отправить запрос на удаление пользователей, а не отправить обратимое удаление.

Известные ограничения

• Когда пользователь или группа не назначены из приложения и больше не управляется службой подготовки, отправляется запрос на отключение. На этом этапе служба не управляет пользователем, а запрос на удаление не отправляется при обратимом удалении пользователя из каталога.
• Подготовка пользователя, отключенного в идентификаторе Microsoft Entra ID, не поддерживается. Они должны быть активными в идентификаторе Microsoft Entra, прежде чем они подготовлены.
• Когда пользователь переходит от обратимого удаления к активному, служба подготовки Microsoft Entra активирует пользователя в целевом приложении, но не автоматически восстанавливает динамическую группу членства. Целевое приложение должно поддерживать группу динамического членства для пользователя в неактивном состоянии. Если целевое приложение не поддерживает неактивное состояние, можно перезапустить подготовку для обновления динамических групп членства.

Рекомендация

При разработке приложения всегда поддерживаются обратимые и жесткие удаления. Он позволяет клиентам восстанавливаться при случайном отключении пользователя.

Дальнейшие действия

Планирование автоматического развертывания подготовки пользователей

Настройка подготовки для приложения коллекции

Создание конечной точки SCIM и настройка подготовки при создании собственного приложения

Устранение неполадок при настройке и подготовке пользователей в приложении.