Руководство - Настройка сопоставлений атрибутов предоставления пользователей для приложений SaaS в Microsoft Entra ID

Microsoft Entra ID предоставляет поддержку предоставления пользователей доступ к не-Майкрософт SaaS приложениям, таким как Salesforce, G Suite и другим. Если вы включите создание учетных записей пользователей для SaaS-приложения, не относящегося к Майкрософт, то центр администрирования Майкрософт Entra управляет значениями атрибутов с помощью сопоставлений атрибутов.

Прежде чем приступить к работе, убедитесь, что вы знакомы с концепциями управления приложениями и единого входа. Ознакомьтесь со следующими ресурсами:

Существует предварительно настроенный набор атрибутов и сопоставлений атрибутов между объектами пользователя Microsoft Entra и пользовательскими объектами каждого приложения SaaS. Некоторые приложения управляют другими типами объектов в дополнение к пользователям, такими как группы.

Сопоставление атрибутов по умолчанию можно настроить в соответствии с потребностями вашего бизнеса. Поэтому можно изменить или удалить существующие сопоставления атрибутов или создать новые.

Примечание.

Помимо настройки сопоставлений атрибутов с помощью интерфейса Microsoft Entra, можно просматривать, скачивать и изменять представление JSON схемы.

Изменение сопоставлений атрибутов пользователя

Чтобы получить доступ к функции сопоставления для подготовки пользователей, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора приложений.

  2. Перейдите на Entra ID>Enterprise apps.

  3. Отобразится список всех настроенных приложений, включая приложения, добавленные из коллекции.

  4. Выберите любое приложение, чтобы загрузить его область управления, в которой можно просматривать отчеты и управлять параметрами приложения.

  5. Выберите Подготовка, чтобы управлять параметрами подготовки учетных записей пользователей для выбранного приложения.

  6. Разверните Mappings, чтобы просмотреть и изменить атрибуты пользователя, которые потокуются между Microsoft Entra ID и целевым приложением. Если целевое приложение это поддерживает, в этом разделе можно дополнительно настроить конфигурирование групп и учетных записей пользователей.

    Использование сопоставлений для просмотра и изменения атрибутов пользователей

  7. Выберите конфигурацию Сопоставления, чтобы открыть соответствующий экран Сопоставление Атрибутов. Приложения SaaS требуют правильной работы определенных сопоставлений атрибутов. Для требуемых атрибутов функция Удалить недоступна.

    Использование сопоставления атрибутов для настройки сопоставлений атрибутов приложений

    На этом снимке экрана видно, что атрибут Username управляемого объекта в Salesforce заполняется значением userPrincipalName связанного объекта Microsoft Entra.

    Примечание.

    Если снять флажок Создание, это не повлияет на существующих пользователей. Если параметр Создание не выбран, создание новых пользователей невозможно.

  8. Выберите существующее сопоставление атрибутов, чтобы открыть экран Изменить атрибут. Здесь можно редактировать атрибуты пользователя, которые передаются между Microsoft Entra ID и целевым приложением.

    Используйте

Основные сведения о типах сопоставления атрибутов

С помощью сопоставлений атрибутов вы управляете заполнением атрибутов в приложении SaaS, отличном от Майкрософт. Поддерживаются четыре типа сопоставлений:

  • Direct — целевой атрибут заполняется значением атрибута связанного объекта в Microsoft Entra ID.
  • Постоянное — целевой атрибут заполняется определенной строкой, указанной вами.
  • Выражение — целевой атрибут заполняется на основе результата выражения, похожего на сценарий. Дополнительные сведения о выражениях см. в разделе Создание выражений для Attribute-Mappings в Microsoft Entra ID.
  • Нет — целевой атрибут остается без изменений. Однако если целевой атрибут когда-либо пуст, он заполняется заданным значением по умолчанию.

Кроме этих четырех основных типов, в сопоставлениях настраиваемых атрибутов также поддерживается назначение значений по умолчанию. Назначение значений по умолчанию гарантирует, что целевой атрибут заполняется значением, если нет значения в Microsoft Entra ID или целевом объекте. В наиболее распространенной конфигурации это поле остается пустым. Дополнительные сведения об атрибутах сопоставления см. в разделе Как работает предоставление приложений в Microsoft Entra ID.

Основные сведения о свойствах сопоставления атрибутов

В предыдущем разделе описано свойство типа сопоставления атрибутов. Наряду с этим свойством сопоставления атрибутов также поддерживают атрибуты:

  • атрибут Source — атрибут пользователя из исходной системы (например, Microsoft Entra ID).
  • Целевой атрибут — атрибут пользователя в целевой системе (например, ServiceNow).
  • Значение по умолчанию, если значение NULL (необязательно) — значение, передаваемое целевой системе, если исходный атрибут имеет значение NULL. Это значение подготавливается только при создании пользователя. Значение по умолчанию при значении NULL не подготавливается при обновлении существующего пользователя. Например, добавьте значение по умолчанию для заголовка задания при создании пользователя с выражением: Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]) Чтобы получить больше информации о выражениях, см. раздел Справочник по написанию выражений для сопоставления атрибутов в Microsoft Entra ID.
  • Сопоставление объектов с помощью этого атрибута — должно ли это сопоставление использоваться для уникальной идентификации пользователей между исходной и целевой системами. Используется в атрибуте userPrincipalName или mail в Microsoft Entra ID и отображается в поле имени пользователя в целевом приложении.
  • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При наличии нескольких элементов они оцениваются в порядке, определённом в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются. Хотя вы можете задать столько совпадающих атрибутов, сколько пожелаете, подумайте, действительно ли используемые вами как совпадающие атрибуты являются уникальными и необходимыми. Как правило, клиенты имеют один или два соответствующие атрибуты в конфигурации.
  • Примените сопоставление.
    • Всегда — применение этого сопоставления как при создании, так и при обновлении пользователей.
    • Только при создании — применение этого сопоставления только в действиях создания пользователей.

Сопоставление пользователей в исходной и целевой системах

Служба подготовки Microsoft Entra может быть развернута в сценариях "зеленого поля" (где пользователи не существуют в целевой системе) и "браунфилд" (где пользователи уже существуют в целевой системе). Чтобы реализовать оба сценария, служба подготовки использует принцип сопоставляемых атрибутов. Сопоставляемые атрибуты позволяют определить, как однозначно идентифицировать пользователя в исходной системе и сопоставить его с пользователем в целевой системе. При планировании развертывания следует указать атрибут, который может быть использован для уникальной идентификации пользователя в исходной и целевой системах. Следует учесть:

  • Соответствующие атрибуты должны быть уникальными: клиенты часто используют такие атрибуты, как userPrincipalName, почта или идентификатор объекта в качестве соответствующего атрибута.
  • Несколько атрибутов можно использовать в качестве соответствующих атрибутов: можно определить несколько атрибутов, которые необходимо оценить при сопоставлении пользователей и порядок их вычисления (определенный как соответствующий приоритет в пользовательском интерфейсе). Например, вы определяете три атрибута в качестве соответствующих атрибутов, а пользователь однозначно сопоставляется после оценки первых двух атрибутов, служба не будет оценивать третий атрибут. Служба вычисляет соответствующие атрибуты в указанном порядке и останавливает оценку при обнаружении совпадения.
  • Значение в источнике и целевом объекте не должно совпадать точно: значение в целевом объекте может быть функцией значения в источнике. Например, в исходной системе может быть атрибут emailAddress, а в целевой системе — атрибут userPrincipalName. Их можно сопоставить с помощью функции атрибута emailAddress, которая заменяет некоторые символы на некоторое постоянное значение.
  • Сопоставление на основе сочетания атрибутов не поддерживается: большинство приложений не поддерживают запросы на основе двух свойств. Таким образом, невозможно сопоставить их на основе сочетания атрибутов. Можно оценивать отдельные свойства один за другим.
  • Все пользователи должны иметь значение по крайней мере для одного соответствующего атрибута: если вы определяете один соответствующий атрибут, все пользователи должны иметь значение для этого атрибута в исходной системе. Например, вы определяете userPrincipalName в качестве соответствующего атрибута, все пользователи должны иметь имя userPrincipalName. Если вы определяете несколько соответствующих атрибутов (например, extensionAttribute1 и mail), не все пользователи должны иметь одинаковый атрибут сопоставления. У одного пользователя может быть только атрибут extensionAttribute1, но не атрибут mail, тогда как у другого пользователя может быть атрибут mail, но не атрибут extensionAttribute1.
  • Целевое приложение должно поддерживать фильтрацию по соответствующим атрибутам: разработчики приложений разрешают фильтрацию для подмножества атрибутов в api пользователя или группы. Для приложений из коллекции мы гарантируем, что сопоставление атрибутов по умолчанию настроено на атрибут, по которому API целевого приложения поддерживает фильтрацию. При изменении атрибута сопоставления по умолчанию для целевого приложения проверьте документацию по API, отличной от Майкрософт, чтобы убедиться, что атрибут можно отфильтровать.

Редактирование сопоставлений атрибутов группы

Ограниченное количество приложений, таких как ServiceNow, Box и G Suite, поддерживает возможность предоставления групп и учетных записей пользователей. Объекты группы могут содержать свойства группы, такие как отображаемые имена и псевдонимы электронной почты (в дополнение к участникам группы).

Пример показывает ServiceNow с подготовленными объектами группы и пользователя

При необходимости можно включить или отключить подготовку группы, выбрав сопоставление группы в разделе Сопоставления и задав для параметра Включено нужное значение на экране Сопоставление атрибутов.

Атрибуты, подготовленные как часть объектов группы, можно настроить так же, как объекты пользователя, описанные ранее.

Подсказка

Подготовление объектов групп (свойства и участники) отличается от присвоения групп для приложения. Можно назначить группу приложению, но предоставлять только объекты пользователя, содержащиеся в группе. Настройка полных объектов группы не требуется для использования групп в назначениях.

Изменение списка поддерживаемых атрибутов

Атрибуты пользователя, поддерживаемые для данного приложения, предварительно настроены. Большинство API управления пользователями приложений не поддерживает обнаружение схемы. Таким образом, служба подготовки Microsoft Entra не может динамически создавать список поддерживаемых атрибутов, выполняя вызовы к приложению.

Однако некоторые приложения поддерживают пользовательские атрибуты, а служба подготовки Microsoft Entra может читать и записывать в настраиваемые атрибуты. Чтобы ввести их определения в Центр администрирования Microsoft Entra, установите флажок Показать расширенные параметры в нижней части экрана Сопоставление атрибутов, а затем выберите Редактировать список атрибутов для вашего приложения.

Ниже приведены приложения и системы, поддерживающие настройку списка атрибутов.

Примечание.

Изменение списка поддерживаемых атрибутов рекомендуется только для администраторов, которые настраивали схему своих приложений и систем, и имеют знания о том, как были определены пользовательские атрибуты или если исходный атрибут не отображается в пользовательском интерфейсе Центр администрирования Microsoft Entra. Иногда для этого требуются навыки работы с API-интерфейсами и средствами разработчика, предоставляемыми приложением или системой. Возможность изменять список поддерживаемых атрибутов по умолчанию заблокирована, но клиенты могут включить эту возможность, перейдя по следующему URL-адресу: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true. Затем вы можете перейти к приложению, чтобы просмотреть список атрибутов.

Примечание.

Если атрибут расширения каталога в Microsoft Entra ID не отображается автоматически в раскрывающемся списке сопоставления атрибутов, его можно добавить в список атрибутов Microsoft Entra вручную. При ручном добавлении атрибутов расширения каталога Microsoft Entra в ваше приложение для снабжения обратите внимание, что имена этих атрибутов чувствительны к регистру. Например, если у вас есть атрибут расширения каталога с именем extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenter, убедитесь, что он указан в том же формате, что и в каталоге. Подготовка атрибутов расширения каталога с несколькими значениями не поддерживается.

При редактировании списка поддерживаемых атрибутов предоставляются следующие свойства:

  • Имя — системное имя атрибута, определенное в схеме целевого объекта.
  • Тип данных, который атрибут хранит, как это определено в схеме целевого объекта, и который может быть одним из следующих типов.
    • Binary — атрибут содержит двоичные данные.
    • Boolean — атрибут содержит значение True или False.
    • DateTime — атрибут содержит строку даты.
    • Integer — атрибут содержит целое число.
    • Reference — атрибут содержит идентификатор, который ссылается на значение, хранящееся в другой таблице в целевом приложении.
    • String — атрибут содержит текстовую строку.
  • Первичный ключ? — указывает, определен ли атрибут как поле первичного ключа в схеме целевого объекта.
  • Обязательное? — указывает, является ли атрибут обязательным для заполнения в целевом приложении или системе.
  • С несколькими значениями? — указывает, поддерживает ли атрибут несколько значений.
  • Учитывается ли регистр? — указывает, учитывается ли регистр при оценке значений атрибутов.
  • Выражение API — не используйте, если иное не указано в документации для конкретного соединителя провизии (например, Workday).
  • Атрибут объекта ссылки — если применяется атрибут ссылочного типа, то в этом меню можно выбрать таблицу и атрибут в целевом приложении, которое содержит значение, связанное с атрибутом. Например, если у вас есть атрибут «Отдел», значение которого хранится и ссылается на объект в отдельной таблице «Отделы», вы выберете Departments.Name. Эталонные таблицы и поля первичного идентификатора, поддерживаемые для данного приложения, предварительно настроены и не могут быть изменены с помощью Центр администрирования Microsoft Entra. Однако их можно изменить с помощью Microsoft API Graph.

Подготовка настраиваемого атрибута расширения для приложения, совместимого со SCIM

Запрос SCIM для комментариев (RFC) определяет базовую схему пользователя и группы, а также позволяет расширениям схемы соответствовать потребностям приложения. Чтобы добавить настраиваемый атрибут в приложение SCIM, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора приложений.

  2. Перейдите на Entra ID>Enterprise apps.

  3. Выберите приложение, а затем выберите Настройка.

  4. В разделе Сопоставления выберите объект (пользователя или группу), для которого необходимо добавить настраиваемый атрибут.

  5. В нижней части страницы щелкните Показать дополнительные параметры.

  6. Выберите Изменить список атрибутов для .

    Примечание.

    Если не отображается опция изменить список атрибутов для AppName, перейдите по URL-адресу к вашему приложению с помощью https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true, чтобы включить редактор схемы.

  7. В нижней части списка атрибутов введите данные настраиваемого атрибута в предоставленных полях. Затем нажмите кнопку Добавить атрибут.

Для приложений SCIM имя атрибута должно соответствовать шаблону, приведенному в примере. Атрибуты CustomExtensionName и CustomAttribute можно настроить в соответствии с требованиями приложения, например: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute

Эти инструкции относятся только к приложениям с поддержкой SCIM. Такие приложения, как ServiceNow и Salesforce, не интегрированы с Microsoft Entra ID с помощью SCIM, поэтому они не требуют этого конкретного пространства имен при добавлении пользовательского атрибута.

Пользовательские атрибуты не могут быть ссылочными, многозначными или атрибутами со сложной структурой. Настраиваемые атрибуты расширения с несколькими значениями и атрибуты расширения сложного типа сейчас поддерживаются только для приложений из галереи. Заголовок пользовательской схемы расширения опущен в примере, так как он не отправляется в запросах от клиента SCIM Microsoft Entra.

Пример представления пользователя с атрибутом расширения.

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User",
    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
  ],
  "userName": "bjensen",
  "id": "48af03ac28ad4fb88478",
  "externalId": "bjensen",
  "name": {
    "formatted": "Ms. Barbara J Jensen III",
    "familyName": "Jensen",
    "givenName": "Barbara"
  },
  "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
    "employeeNumber": "701984",
    "costCenter": "4130",
    "organization": "Universal Studios",
    "division": "Theme Park",
    "department": "Tour Operations",
    "manager": {
      "value": "26118915-6090-4610-87e4-49d8ca9f808d",
      "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
      "displayName": "John Smith"
    }
  },
  "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
    "CustomAttribute": "701984",
  },
  "meta": {
    "resourceType": "User",
    "created": "2010-01-23T04:56:22Z",
    "lastModified": "2011-05-13T04:42:34Z",
    "version": "W\/\"3694e05e9dff591\"",
    "location": "https://example.com/v2/Users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
  }
}

Предоставление роли для приложения SCIM

Выполните действия, описанные в примере, чтобы подготовить роли приложения для пользователя в приложении. Описание относится к настраиваемым приложениям SCIM. Для приложений коллекции, таких как Salesforce и ServiceNow, используйте предопределенные сопоставления ролей. Пункты описывают, как преобразовать атрибут AppRoleAssignments в формат, который ожидается вашим приложением.

  • Сопоставление appRoleAssignment из Microsoft Entra ID с ролью в вашем приложении требует преобразования атрибута посредством выражения. Атрибут appRoleAssignment не должен быть сопоставлен непосредственно с атрибутом роли без использования выражения для анализа сведений о роли.

Примечание.

При подготовке ролей из корпоративных приложений стандарт SCIM определяет атрибуты роли корпоративного пользователя по-разному. Дополнительные сведения см. в разделе Как разработать и спланировать настройку конечной точки SCIM в Microsoft Entra ID.

SingleAppRoleAssignment

Когда используется: используйте выражение SingleAppRoleAssignment для подготовки одной роли для пользователя и указания основной роли.

Практическое руководство. Выполните описанные действия, чтобы перейти на страницу сопоставления атрибутов и использовать выражение SingleAppRoleAssignment для сопоставления с атрибутом ролей. Существует три атрибута роли для выбора (roles[primary eq "True"].display, roles[primary eq "True"].typeи roles[primary eq "True"].value). В сопоставлениях можно использовать любой из атрибутов ролей или все. Если вы хотите включить более одного атрибута, просто добавьте новое сопоставление и включите его в качестве целевого атрибута.

Добавить SingleAppRoleAssignment

Следует учесть...

  • Убедитесь, что несколько ролей не назначены пользователю. Нет гарантии, какая роль назначена.
  • SingleAppRoleAssignments Проверьте атрибут. Атрибут не совместим с параметром области Sync All users and groups.

Пример запроса (POST)

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "alias",
  "userName": "alias@contoso.OnMicrosoft.com",
  "active": true,
  "displayName": "First Name Last Name",
  "meta": {
    "resourceType": "User"
  },
  "roles": [
    {
      "primary": true,
      "type": "WindowsAzureActiveDirectoryRole",
      "value": "Admin"
    }
  ]
}

Пример выходных данных (PATCH)

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Add",
      "path": "roles",
      "value": [
        {
          "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
        }
      ]
    }
  ]
}

Форматы запросов в PATCH и POST отличаются. Чтобы обеспечить отправку POST и PATCH в одном формате, вы можете использовать функциональный флаг, описанный здесь.

AppRoleAssignmentsComplex

Когда используется: используйте выражение AppRoleAssignmentsComplex для подготовки нескольких ролей для пользователя.

Практическое руководство. Изменение списка поддерживаемых атрибутов, как описано, чтобы включить новый атрибут для ролей:

Добавить роли

Затем используйте выражение AppRoleAssignmentsComplex для сопоставления с атрибутом пользовательской роли, как показано на изображении:

Добавление выражения AppRoleAssignmentsComplex

Следует учесть...

  • Все роли назначены как основные = false.
  • Атрибут id не требуется в ролях SCIM. Вместо этого используйте атрибут value . Например, если атрибут value содержит имя или идентификатор роли, используйте его для предоставления роли. Вы можете использовать флаг функции здесь , чтобы устранить проблему с атрибутом идентификатора. Тем не менее, полагаться исключительно на атрибут значения не всегда достаточно; например, если имеется несколько ролей с одинаковым именем или идентификатором. В некоторых случаях необходимо использовать атрибут id для правильного назначения роли.

Ограничения

  • AppRoleAssignmentsComplex не совместим с параметром "Синхронизация всех пользователей и групп".

Пример запроса (POST)

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "alias",
  "userName": "alias@contoso.OnMicrosoft.com",
  "active": true,
  "displayName": "First Name Last Name",
  "meta": {
    "resourceType": "User"
  },
  "roles": [
    {
      "primary": false,
      "type": "WindowsAzureActiveDirectoryRole",
      "displayName": "Admin",
      "value": "Admin"
    },
    {
      "primary": false,
      "type": "WindowsAzureActiveDirectoryRole",
      "displayName": "User",
      "value": "User"
    }
  ]
}

Пример выходных данных (PATCH)

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Add",
      "path": "roles",
      "value": [
        {
          "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"Admin\",\"displayName\":\"Admin\"}"
        },
        {
          "value": "{\"id\":\"06b07648-ecfe-599f-9d2f-6325724a46ee\",\"value\":\"User\",\"displayName\":\"User\"}"
        }
      ]
    }
  ]
}

AssertiveAppRoleAssignmentsComplex (рекомендуется для сложных ролей)

Когда использовать: используйте AssertiveAppRoleAssignmentsComplex, чтобы включить функциональность замены PATCH. Для приложений SCIM, поддерживающих несколько ролей, это гарантирует, что роли, удаленные в Microsoft Entra ID, также удаляются в целевом приложении. Функция замены также удаляет все дополнительные роли, которые пользователь не отражает в Entra ID

Разница между AppRoleAssignmentsComplex и AssertiveAppRoleAssignmentsComplex заключается в режиме вызова патча и его воздействии на целевую систему. Первый добавляет только с помощью PATCH и поэтому не удаляет существующие роли на целевой системе. Последний заменяет PATCH, который удаляет роли в целевой системе, если они не были назначены пользователю на Entra ID.

Практическое руководство. Изменение списка поддерживаемых атрибутов, как описано, чтобы включить новый атрибут для ролей:

Добавить роли

Затем используйте выражение AssertiveAppRoleAssignmentsComplex для сопоставления с атрибутом пользовательской роли, как показано на изображении:

Добавить AssertiveAppRoleAssignmentsComplex

Следует учесть...

  • Все роли подготавливаются как первичные = false.
  • Атрибут id не требуется в ролях SCIM. Вместо этого используйте атрибут value . Например, если атрибут value содержит имя или идентификатор роли, используйте его для назначения роли. Вы можете использовать флаг функции здесь , чтобы устранить проблему с атрибутом идентификатора. Тем не менее, полагаться исключительно на атрибут значения не всегда достаточно; например, если имеется несколько ролей с одинаковым именем или идентификатором. В некоторых случаях необходимо использовать атрибут id для правильного назначения роли.

Ограничения

  • AssertiveAppRoleAssignmentsComplex не совместим с областью настройки "Синхронизация всех пользователей и групп".

Пример запроса (POST)

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "contoso",
  "userName": "contoso@alias.onmicrosoft.com",
  "active": true,
  "roles": [
    {
      "primary": false,
      "type": "WindowsAzureActiveDirectoryRole",
      "display": "User",
      "value": "User"
    },
    {
      "primary": false,
      "type": "WindowsAzureActiveDirectoryRole",
      "display": "Test",
      "value": "Test"
    }
  ]
}

Пример выходных данных (PATCH)

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "replace",
      "path": "roles",
      "value": [
        {
          "primary": false,
          "type": "WindowsAzureActiveDirectoryRole",
          "display": "User",
          "value": "User"
        },
        {
          "primary": false,
          "type": "WindowsAzureActiveDirectoryRole",
          "display": "Test",
          "value": "Test"
        }
      ]
    }
  ]
}

Подготовка атрибута с несколькими значениями

Некоторые атрибуты, такие как phoneNumbers и электронная почта, являются атрибутами с несколькими значениями, в которых необходимо указать различные типы номеров телефонов или сообщений электронной почты. Используйте выражение для атрибутов с несколькими значениями. Он позволяет указать тип атрибута и сопоставить его с соответствующим Microsoft Entra пользовательским атрибутом для значения.

  • phoneNumbers[type eq "work"].value
  • phoneNumbers[type eq "mobile"].value
  • phoneNumbers[type eq "fax"].value
{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "phoneNumbers": [
    {
      "value": "555-555-5555",
      "type": "work"
    },
    {
      "value": "555-555-5555",
      "type": "mobile"
    },
    {
      "value": "555-555-5555",
      "type": "fax"
    }
  ]
}

Восстановление атрибутов по умолчанию и сопоставления атрибутов

Если вам нужно начать работу заново и сбросить имеющиеся сопоставления до состояния по умолчанию, установите флажок Восстановить сопоставления по умолчанию и сохраните конфигурацию. Это позволяет задать все сопоставления и фильтры области, как если бы приложение было добавлено в клиент Microsoft Entra из коллекции приложений.

При выборе этого параметра принудительно выполняется повторная синхронизация всех пользователей, когда служба предоставления работает.

Внимание

Перед вызовом этого параметра настоятельно рекомендуется задать для параметра Состояние подготовки значение Откл.

Что нужно знать

  • Microsoft Entra ID обеспечивает эффективную реализацию процесса синхронизации. Во время цикла синхронизации в инициализированной среде обрабатываются только объекты, требующие обновления.
  • Обновление сопоставлений атрибутов влияет на производительность цикла синхронизации. Чтобы обновить конфигурацию сопоставления атрибутов, необходимо повторно оценить все управляемые объекты.
  • Рекомендуется, в качестве лучшей практики, по возможности свести к минимуму количество последовательных изменений в сопоставлениях атрибутов.
  • Добавление атрибута фотографии для предоставления приложению не поддерживается, так как нельзя указать формат синхронизации фотографии. Вы можете запросить функцию в голосовой связи пользователя.
  • Атрибут IsSoftDeleted часто является частью сопоставлений по умолчанию для приложения и может иметь значение true в одном из четырех сценариев:
    • Пользователь находится вне области из-за отключения его от приложения.
    • Пользователь находится вне области применения из-за несоответствия фильтру применимости.
    • Пользователь мягко удалён в Microsoft Entra ID.
    • AccountEnabled у свойства установлено значение false для пользователя. Попробуйте сохранить IsSoftDeleted атрибут в сопоставлениях атрибутов.
  • Служба подготовки Microsoft Entra не поддерживает подготовку значений NULL.
  • Первичный ключ, как правило ID, не должен быть включен в качестве целевого атрибута в сопоставления атрибутов.
  • Атрибут роли обычно следует сопоставлять с помощью выражения, а не прямого сопоставления. Дополнительные сведения о сопоставлении ролей см. в статье Подготовка роли в приложении SCIM.
  • Хотя вы можете отключить группы из сопоставлений, отключение пользователей не поддерживается.

Следующие шаги

  • Last updated on