Hantera mappningar och användare i program som inte matchade användare i Microsoft Entra-ID

När du integrerar ett befintligt program med Microsoft Entra-ID för etablering eller enkel inloggning (SSO) kan du fastställa att det finns användare i programmets datalager som inte motsvarar användare i Microsoft Entra-ID eller som inte matchade några användare i Microsoft Entra-ID.

Microsoft Entra-etableringstjänsten förlitar sig på konfigurerbara matchningsregler för att avgöra om en användare i Microsoft Entra-ID motsvarar en användare i programmet och söker i programmet efter en användare med matchande egenskap från en Microsoft Entra-ID-användare. Anta till exempel att matchningsregeln userName är att jämföra en Microsoft Entra-ID-användares userPrincipalName attribut med ett programs egenskap. När en användare i Microsoft Entra-ID med värdet userPrincipalNamealice.smith@contoso.com tilldelas till ett programs roll, utför Microsoft Entra-etableringstjänsten en sökning i programmet med en fråga som userName eq "alice.smith@contoso.com". Om programsökningen anger att inga användare matchar skapar Microsoft Entra-etableringstjänsten en ny användare i programmet.

Om programmet inte redan har några användare fyller den här processen programmets datalager med användare när de tilldelas i Microsoft Entra-ID. Men om programmet redan har användare kan det uppstå två situationer. För det första kan det finnas personer med användarkonton i programmet, men matchningen kan inte hitta dem – användaren kanske representeras i programmet som asmith@contoso.com i stället alice.smith@contoso.com för och därför hittar inte sökningen som Microsoft Entra-etableringstjänsten utför. I så fall kan personen få duplicerade användare i programmet. För det andra kan det finnas personer med användarkonton i programmet som inte har någon användare i Microsoft Entra-ID. I det här fallet interagerar inte Microsoft Entra-etableringstjänsten med dessa användare i programmet, men om programmet är konfigurerat för att förlita sig på Microsoft Entra-ID som enda identitetsprovider kan dessa användare inte logga in längre: programmet omdirigerar personen för att logga in med Microsoft Entra-ID. men personen har ingen användare i Microsoft Entra-ID.

Dessa inkonsekvenser mellan Microsoft Entra-ID och ett befintligt programs datalager kan inträffa av många orsaker, bland annat:

• programadministratören skapar användare direkt i programmet, till exempel för leverantörer eller leverantörer, som inte är representerade i ett system med hr-källa men som kräver programåtkomst.
• Identitets- och attributändringar, till exempel en person som ändrar sitt namn, skickades inte till antingen Microsoft Entra-ID eller programmet, så representationerna är inaktuella i det ena eller det andra systemet, eller
• organisationen använde en produkt för identitetshantering som oberoende etablerade Windows Server AD och programmet med olika communities. Till exempel behövde butiksanställda programåtkomst men behövde inte Exchange-postlådor, så butiksanställda var inte representerade i Windows Server AD eller Microsoft Entra-ID.

Innan du aktiverar etablering eller enkel inloggning till ett program med befintliga användare bör du kontrollera att användarna matchar och undersöka och lösa de användare från programmet som inte matchade. I den här artikeln beskrivs alternativ för hur du löser olika situationer där en användare inte kunde matchas.

Kontrollera om det finns användare i programmet som inte matchade

Om du redan har fastställt listan över användare i programmet som inte matchar användare i Microsoft Entra-ID fortsätter du i nästa avsnitt.

Proceduren för att avgöra vilka användare i programmet som inte matchar användare i Microsoft Entra-ID beror på hur programmet är eller kommer att integreras med Microsoft Entra-ID.

• Om du använder SAP Cloud Identity Services följer du självstudiekursen för etablering av SAP Cloud Identity Services genom steget för att se till att befintliga SAP Cloud Identity Services-användare har nödvändiga matchande attribut. I den självstudien exporterar du en lista över användare från SAP Cloud Identity Services till en CSV-fil och använder sedan PowerShell för att matcha dessa användare med användare i Microsoft Entra-ID.

• Om ditt program använder en LDAP-katalog följer du självstudien om LDAP-katalogetablering genom steget för att samla in befintliga användare från LDAP-katalogen. I den självstudien använder du PowerShell för att matcha dessa användare med användare i Microsoft Entra-ID.

• För andra program, inklusive de program med en SQL-databas eller som har etableringsstöd i programgalleriet, följer du självstudien för att styra ett programs befintliga användare genom steget för att bekräfta att Microsoft Entra-ID har användare som matchar användare från programmet.

• För andra program som inte har något etableringsgränssnitt följer du självstudien för att styra användarna av ett program som inte stöder etablering genom steget för att bekräfta att Microsoft Entra ID har användare som matchar användare från programmet.

När PowerShell-skriptet i dessa självstudier har slutförts visas ett fel om några poster från programmet inte finns i Microsoft Entra-ID. Om inte alla poster för användare från programmets datalager kunde finnas som användare i Microsoft Entra-ID måste du undersöka vilka poster som inte matchade och varför och sedan lösa matchningsproblemet med något av alternativen i nästa avsnitt.

Alternativ för att säkerställa att användarna matchas mellan programmet och Microsoft Entra-ID:t

Det här avsnittet innehåller flera alternativ för att hantera icke-matchande användare i programmet. Baserat på organisationens mål och dataproblemen mellan Microsoft Entra-ID och programmet väljer du lämpligt alternativ för varje användare. Det kanske inte finns ett enda alternativ som omfattar alla användare i ett visst program.

Ta bort testanvändare från programmet

Det kan finnas testanvändare i programmet kvar från den första distributionen. Om det finns användare som inte längre krävs kan de tas bort från programmet.

Ta bort användare från program för personer som inte längre är en del av organisationen

Användaren kanske inte längre är ansluten till organisationen och behöver inte längre åtkomst till programmet, men är fortfarande en användare i programmets datakälla. Detta kan inträffa om programadministratören utelämnade att ta bort användaren eller inte informerades om att ändringen krävdes. Om användaren inte längre behövs kan den tas bort från programmet.

Ta bort användare från programmet och låt dem återskapas från Microsoft Entra-ID

Om programmet för närvarande inte används i stort eller inte har något tillstånd per användare, är ett annat alternativ att ta bort användare från programmet så att det inte längre finns några icke-matchande användare. När användarna sedan begär eller tilldelas programmet i Microsoft Entra-ID kommer de att etableras åtkomst.

Uppdatera matchande egenskap för användare i programmet

En användare kan finnas i ett program och i Microsoft Entra-ID, men användaren i programmet saknar antingen en egenskap som behövs för matchning eller så har egenskapen fel värde.

När en SAP-administratör till exempel skapar en användare i SAP Cloud Identity Services med hjälp av administratörskonsolen kanske användaren inte har någon userName egenskap. Den egenskapen kan dock vara den som används för matchning med användare i Microsoft Entra-ID. Om egenskapen userName är den som är avsedd för matchning behöver du SAP-administratören för att uppdatera de befintliga SAP Cloud Identity Services-användarna så att de har värdet för userName egenskapen.

Till exempel har programadministratören angett användarens e-postadress som en egenskap mail för användaren i programmet, när användaren först lades till i programmet. Men senare ändras personens e-postadress och userPrincipalName i Microsoft Entra-ID. Men om programmet inte krävde e-postadressen, eller om e-postleverantören hade en omdirigering som tillät den gamla e-postadressen att fortsätta vidarebefordra, kan programadministratören ha missat att det fanns ett behov av mail att egenskapen uppdaterades i programmets datakälla. Den här inkonsekvensen kan lösas antingen genom att programadministratören ändrar mail egenskapen för programmets användare för att ha ett aktuellt värde eller genom att ändra matchningsregeln enligt beskrivningen i följande avsnitt.

Uppdatera användare i programmet med en ny egenskap

En organisations tidigare identitetshanteringssystem kan ha skapat användare i programmet som lokala användare. Om organisationen inte hade en enda identitetsprovider vid den tidpunkten behövde inte dessa användare i programmet några egenskaper korreleras med något annat system. Till exempel skapade en tidigare identitetshanteringsprodukt användare i ett program baserat på en auktoritativ HR-källa. Det identitetshanteringssystemet behöll korrelationen mellan de användare som det skapade i programmet med HR-källan och angav inte någon av HR-källidentifierarna till programmet. När du senare försöker ansluta programmet till en Microsoft Entra-ID-klient som fyllts i från samma HR-källa kan Microsoft Entra-ID:t ha användare för samma personer som i programmet, men matchningen misslyckas för alla användare eftersom det inte finns någon egenskap gemensamt.

Utför följande steg för att lösa det här matchningsproblemet.

1. Välj en befintlig oanvänd egenskap för användare i programmet eller lägg till en ny egenskap i användarschemat i programmet.
2. Fyll i den egenskapen på alla användare i programmet med data från en auktoritativ källa, till exempel ett anställds ID-nummer eller e-postadress, som redan finns på användare i Microsoft Entra-ID.
3. Uppdatera konfigurationen av attributmappningar för Microsoft Entra-programetablering för programmet så att den här egenskapen ingår i matchningsregeln.

Ändra matchande regler eller egenskaper när e-postadressen inte matchar användarens huvudnamn

Som standard skickar userPrincipalName vissa av Microsoft Entra-etableringstjänstens mappningar för program attributet för att matcha med en egenskap för appens e-postadress. Vissa organisationer har primära e-postadresser för sina användare som skiljer sig från användarens huvudnamn. Om programmet lagrar e-postadressen som en egenskap för användaren och inte userPrincipalName, måste du antingen ändra användarna i programmet eller matchningsregeln.

• Om du planerar att använda enkel inloggning från Microsoft Entra-ID till programmet kanske du vill ändra programmet för att lägga till en egenskap på användaren för att lagra userPrincipalName. Fyll sedan i den egenskapen på varje användare i programmet med användarens userPrincipalName från Microsoft Entra-ID och uppdatera konfigurationen för Microsoft Entra-programetablering så att den här egenskapen ingår i matchningsregeln.
• Om du inte planerar att använda enkel inloggning från Microsoft Entra-ID är ett alternativ att uppdatera konfigurationen för microsoft Entra-programetableringsattributmappningar för att matcha ett e-postadressattribut för Microsoft Entra-användaren i matchningsregeln.

Uppdatera matchande attribut för användare i Microsoft Entra-ID

I vissa situationer har attributet som används för matchning ett värde i Microsoft Entra-ID-användaren som är inaktuell. En person har till exempel ändrat sitt namn, men namnändringen gjordes inte i Microsoft Entra-ID-användaren.

Om användaren skapades och underhålls enbart i Microsoft Entra-ID bör du uppdatera användaren så att den har rätt attribut. Om användarattributet kommer från ett överordnat system, till exempel Windows Server AD eller en HR-källa, måste du ändra värdet i den överordnade källan och vänta tills ändringen visas i Microsoft Entra-ID.

Uppdatera etableringsreglerna för Microsoft Entra-Anslut eller Cloud Sync för att synkronisera nödvändiga användare och attribut

I vissa situationer har ett tidigare identitetshanteringssystem fyllt Windows Server AD-användare med ett lämpligt attribut som kan fungera som ett matchande attribut med ett annat program. Om det tidigare identitetshanteringssystemet till exempel var anslutet till en HR-källa har AD-användaren ett employeeId attribut som fylls i av det tidigare identitetshanteringssystemet med användarens medarbetar-ID. Till exempel har det tidigare identitetshanteringssystemet skrivit det unika användar-ID:t för programmet som ett tilläggsattribut i Windows Server AD-schemat. Men om inget av dessa attribut har valts för synkronisering till Microsoft Entra-ID, eller om användarna inte omfattas av synkronisering till Microsoft Entra-ID, kan Microsoft Entra-ID-representationen av användarcommunityn vara ofullständig.

För att lösa det här problemet måste du ändra din Microsoft Entra-Anslut synkronisering eller Microsoft Entra-molnsynkroniseringskonfiguration för att säkerställa att alla lämpliga användare i Windows Server AD som också finns i programmet finns i omfånget för att etableras till Microsoft Entra-ID och att de synkroniserade attributen för dessa användare inkluderar de attribut som ska användas för matchande ändamål. Om du använder Microsoft Entra Anslut synkronisering läser du Microsoft Entra Anslut Sync: Configure filtering and Microsoft Entra Anslut Sync: Directory extensions (Microsoft Entra Anslut Sync: Configure filtering and Microsoft Entra Anslut Sync: Directory extensions). Om du använder Microsoft Entra-molnsynkronisering kan du läsa Attributmappning i Microsoft Entra Cloud Sync- och Cloud Sync-katalogtillägg och anpassad attributmappning.

Uppdatera användare i Microsoft Entra-ID med ett nytt attribut

I vissa situationer kan programmet innehålla en unik identifierare för användaren som för närvarande inte lagras i Microsoft Entra-ID-schemat för användaren. Om du till exempel använder SAP Cloud Identity Services kanske du vill att SAP-användar-ID:t ska vara det matchande attributet, eller om du använder ett Linux-system kanske du vill att Linux-användar-ID:t ska vara det matchande attributet. Dessa egenskaper ingår dock inte i användarschemat för Microsoft Entra-ID och finns därför troligen inte på någon av användarna i Microsoft Entra-ID:t.

Utför följande steg för att använda ett nytt attribut för matchning.

1. Välj ett befintligt tilläggsattribut som inte används i Microsoft Entra-ID eller utöka Microsoft Entra-användarschemat med ett nytt attribut.
2. Fyll i attributet för alla användare i Microsoft Entra-ID med data från en auktoritativ källa, till exempel programmet eller ett HR-system. Om användarna synkroniseras från Windows Server AD eller etableras från ett HR-system kan du behöva göra den ändringen i den överordnade källan.
3. Uppdatera konfigurationen av attributmappningar för Microsoft Entra-programetablering och inkludera det här attributet i matchningsregeln.

Ändra matchande regler till ett annat attribut som redan har fyllts i i Microsoft Entra-ID

Standardmatchningsreglerna för program i programgalleriet förlitar sig på attribut som vanligtvis finns på alla Microsoft Entra-ID-användare i alla Microsoft-kunder, till exempel userPrincipalName. Dessa regler är lämpliga för generell testning eller för etablering i ett nytt program som för närvarande inte har några användare. Många organisationer kan dock redan ha fyllt i Microsoft Entra-ID-användare med andra attribut som är relevanta för organisationen, till exempel ett medarbetar-ID. Om det finns ett annat attribut som är lämpligt för matchning uppdaterar du konfigurationen för Microsoft Entra-programetableringsattributmappningar och inkluderar det här attributet i matchningsregeln.

Konfigurera inkommande etablering från en HR-källa till Microsoft Entra-ID

Helst bör organisationer som har etablerat användare i flera program oberoende av varandra förlita sig på vanliga identifierare för användare som härletts från en auktoritativ källa, till exempel ett HR-system. Många HR-system har egenskaper som fungerar såväl som identifierare, till exempel som employeeId kan behandlas som unika så att inga två personer har samma medarbetar-ID. Om du har en HR-källa, till exempel Workday eller SuccessFactors, kan det ofta vara en lämplig matchningsregel att ta in attribut som ett employeeId från den källan.

Utför följande steg för att använda ett attribut med värden som hämtats från en auktoritativ källa för matchning.

1. Välj ett lämpligt användarschemaattribut för Microsoft Entra-ID eller utöka Microsoft Entra-användarschemat med ett nytt attribut, vars värden motsvarar en motsvarande egenskap för en användare i programmet.
2. Se till att egenskapen också finns i en HR-källa för alla personer som har användare i Microsoft Entra-ID och programmet.
3. Konfigurera inkommande etablering från hr-källan till Microsoft Entra-ID.
4. Vänta tills användarna i Microsoft Entra-ID:t har uppdaterats med nya attribut.
5. Uppdatera konfigurationen av attributmappningar för Microsoft Entra-programetablering och inkludera det här attributet i matchningsregeln.

Skapa användare i Windows Server AD för användare i programmet som behöver fortsatt programåtkomst

Om det finns användare från programmet som inte motsvarar en person i en auktoritativ HR-källa, men kräver åtkomst till både Windows Server AD-baserade program och Microsoft Entra ID-integrerade program i framtiden, och din organisation använder Microsoft Entra Anslut Sync eller Microsoft Entra Cloud Sync för att etablera användare från Windows Server AD till Microsoft Entra ID, sedan kan du skapa en användare i Windows Server AD för var och en av de användare som inte redan fanns.

Om användarna inte behöver åtkomst till Windows Server AD-baserade program skapar du användarna i Microsoft Entra-ID enligt beskrivningen i nästa avsnitt.

Skapa användare i Microsoft Entra-ID för användare i programmet som behöver fortsatt programåtkomst

Om det finns användare från programmet som inte motsvarar en person i en auktoritativ HR-källa, men kommer att behöva fortsatt åtkomst och styras från Microsoft Entra, kan du skapa Microsoft Entra-användare åt dem. Du kan skapa användare i grupp med hjälp av antingen:

• En CSV-fil, enligt beskrivningen i Massskapa användare i administrationscentret för Microsoft Entra
• Cmdleten New-MgUser

Se till att dessa nya användare fylls i med de attribut som krävs för Att Microsoft Entra-ID ska matcha dem senare med de befintliga användarna i programmet och de attribut som krävs av Microsoft Entra-ID, inklusive userPrincipalName, mailNicknameoch displayName. userPrincipalName Måste vara unikt bland alla användare i katalogen.

Skapa användare i grupp med PowerShell

Det här avsnittet visar hur du interagerar med Microsoft Entra-ID med hjälp av Microsoft Graph PowerShell-cmdletar .

Första gången din organisation använder dessa cmdletar för det här scenariot måste du ha en global administratörsroll så att Microsoft Graph PowerShell kan användas i din klientorganisation. Efterföljande interaktioner kan använda en lägre privilegierad roll, till exempel användaradministratör.

1. Om du redan har en PowerShell-session där du har identifierat användarna i programmet som inte fanns i Microsoft Entra-ID fortsätter du i steg 6 nedan. Annars öppnar du PowerShell.

2. Om du inte redan har installerat Microsoft Graph PowerShell-modulerna installerar du modulen Microsoft.Graph.Users och andra med hjälp av det här kommandot:

   Install-Module Microsoft.Graph
   

   Om du redan har installerat modulerna kontrollerar du att du använder en ny version:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Anslut till Microsoft Entra-ID:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
   

4. Om det är första gången du använder det här kommandot måste du godkänna att Microsoft Graph-kommandoradsverktygen har dessa behörigheter.

5. För in en matris med användare från programmet i PowerShell-miljön, som också har de fält som krävs för Microsoft Entra-ID : användarens huvudnamn, e-postmeddelandets smeknamn och användarens fullständiga namn. Det här skriptet förutsätter att matrisen $dbu_not_matched_list innehåller användarna från programmet som inte matchades.

   $filename = ".\Users-to-create.csv"
   $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
   

6. Ange i PowerShell-sessionen vilka kolumner i matrisen med användare som ska skapas motsvarar egenskaperna för Microsoft Entra-ID:t som krävs. Du kan till exempel ha användare i en databas där värdet i kolumnen med namnet EMail är det värde som du vill använda som Microsoft Entra-användarens huvudnamn, värdet i kolumnen Alias innehåller e-postnamnet Microsoft Entra och värdet i kolumnen Full name innehåller användarens visningsnamn:

   $db_display_name_column_name = "Full name"
   $db_user_principal_name_column_name = "Email"
   $db_mail_nickname_column_name = "Alias"
   

7. Öppna följande skript i en textredigerare. Du kan behöva ändra det här skriptet för att lägga till de Microsoft Entra-attribut som krävs av ditt program, eller om $azuread_match_attr_name är inte mailNickname eller userPrincipalName, för att kunna ange det Microsoft Entra-attributet.

   $dbu_missing_columns_list = @()
   $dbu_creation_failed_list = @()
   foreach ($dbu in $dbu_not_matched_list) {
      if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
          ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
          ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
         $params = @{
            accountEnabled = $false
            displayName = $dbu.$db_display_name_column_name
            mailNickname = $dbu.$db_mail_nickname_column_name
            userPrincipalName = $dbu.$db_user_principal_name_column_name
            passwordProfile = @{
              Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
            }
         }
         try {
           New-MgUser -BodyParameter $params
         } catch { $dbu_creation_failed_list += $dbu; throw }
      } else {
         $dbu_missing_columns_list += $dbu
      }
   }
   

8. Klistra in det resulterande skriptet från textredigeraren i PowerShell-sessionen. Om det uppstår fel måste du korrigera dem innan du fortsätter.

Underhålla separata och omatchade användare i programmet och Microsoft Entra-ID

Det kan finnas en superadministratörsanvändare i programmets datakälla som inte motsvarar någon specifik person i Microsoft Entra-ID. Om du inte skapar Microsoft Entra-användare för dem kommer dessa användare inte att kunna hanteras från Microsoft Entra-ID eller Microsoft Entra ID-styrning. Eftersom dessa användare inte kommer att kunna logga in med Microsoft Entra-ID: t, så om du konfigurerar programmet för att använda Microsoft Entra-ID som identitetsprovider kontrollerar du att dessa användare inte omfattas av användning av Microsoft Entra-ID för autentisering.

Exportera användare igen

När du har gjort uppdateringar för Microsoft Entra-användare, användare i programmet eller Matchningsreglerna för Microsoft Entra-programmet bör du exportera och utföra matchningsproceduren för ditt program igen för att säkerställa att alla användare är korrelerade.

• Om du använder SAP Cloud Identity Services följer du självstudiekursen för etablering av SAP Cloud Identity Services med början i steget för att se till att befintliga SAP Cloud Identity Services-användare har nödvändiga matchande attribut. I den självstudien exporterar du en lista över användare från SAP Cloud Identity Services till en CSV-fil och använder sedan PowerShell för att matcha dessa användare med användare i Microsoft Entra-ID.

• Om ditt program använder en LDAP-katalog följer du självstudien om LDAP-katalogetablering med början i steget för att samla in befintliga användare från LDAP-katalogen.

• För andra program, inklusive de program med en SQL-databas eller som har etableringsstöd i programgalleriet, följer du självstudien för att styra ett programs befintliga användare från och med steget för att samla in befintliga användare från programmet.

Tilldela användare till programroller och aktivera etablering

När du har slutfört nödvändiga uppdateringar och bekräftat att alla användare från programmet matchar användare i Microsoft Entra-ID bör du tilldela de användare i Microsoft Entra-ID som behöver åtkomst till programmet till approllen Microsoft Entra och sedan aktivera etablering till programmet.

• Om du använder SAP Cloud Identity Services fortsätter du självstudiekursen för etablering av SAP Cloud Identity Services med början i steget för att se till att befintliga Microsoft Entra-användare har de attribut som krävs.

Nästa steg

• Integrera program med Microsoft Entra-ID och upprätta en baslinje för granskad åtkomst
• Styra ett programs befintliga användare i Microsoft Entra-ID med Microsoft PowerShell
• Förbereda för en åtkomstgranskning av användarnas åtkomst till ett program