Поделиться через


Управление сопоставлениями и пользователями в приложениях, которые не совпадали с пользователями в идентификаторе Microsoft Entra

При интеграции существующего приложения с идентификатором Microsoft Entra ID для подготовки или единого входа (SSO) можно определить, что в хранилище данных приложения могут быть пользователи, которые не соответствуют пользователям в идентификаторе Microsoft Entra ID или не совпадают с пользователями в идентификаторе Microsoft Entra.

Служба подготовки Microsoft Entra использует настраиваемые правила сопоставления, чтобы определить, соответствует ли пользователь в идентификаторе Microsoft Entra пользователю в приложении, поиск приложения с соответствующим свойством от пользователя Идентификатора Microsoft Entra. Например, предположим, что соответствующее правило заключается в сравнении атрибута пользователя userPrincipalName Идентификатора Microsoft Entra с свойством приложения userName . Когда пользователь в идентификаторе Microsoft Entra с userPrincipalName значением [email protected] назначается роли приложения, служба подготовки Microsoft Entra выполняет поиск приложения с таким запросом, как userName eq "[email protected]". Если поиск приложений не указывает, что пользователи совпадают, служба подготовки Microsoft Entra создает нового пользователя в приложении.

Если у приложения еще нет пользователей, этот процесс заполняет хранилище данных приложения пользователями по мере их назначения в идентификаторе Microsoft Entra. Однако если у приложения уже есть пользователи, может возникнуть две ситуации. Во-первых, в приложении могут быть пользователи с учетными записями пользователей, но сопоставление не удается найти их. Возможно, пользователь представлен в приложении, [email protected] а не [email protected] так, что поиск службы подготовки Microsoft Entra не находит их. В этой ситуации пользователь может в конечном итоге дублировать пользователей в приложении. Во-вторых, в приложении могут быть пользователи с учетными записями пользователей, у которых нет пользователя в идентификаторе Microsoft Entra. В этой ситуации служба подготовки Microsoft Entra не взаимодействует с этими пользователями в приложении, однако если приложение настроено на использование идентификатора Microsoft Entra в качестве единственного поставщика удостоверений, эти пользователи больше не смогут войти в систему: приложение перенаправит пользователя на вход с помощью идентификатора Microsoft Entra ID, но у пользователя нет пользователя в идентификаторе Microsoft Entra.

Эти несоответствия между идентификатором Microsoft Entra и хранилищем данных существующего приложения могут произойти по многим причинам, в том числе:

  • Администратор приложения создает пользователей непосредственно в приложении, например для подрядчиков или поставщиков, которые не представлены в системе источника кадров записи, но требовали доступа к приложению.
  • изменения удостоверений и атрибутов, например лицо, изменяющее свое имя, не были отправлены в идентификатор Microsoft Entra или приложение, поэтому представления устарели в одной или другой системе, или
  • Организация использовала продукт управления удостоверениями, который независимо подготовил Windows Server AD и приложение с различными сообществами. Например, для хранения сотрудников требуется доступ к приложениям, но не требуется почтовые ящики Exchange, поэтому сотрудники магазина не были представлены в Windows Server AD или идентификаторе Microsoft Entra.

Перед включением подготовки или единого входа в приложение с существующими пользователями следует проверка, чтобы убедиться, что пользователи соответствуют, и расследуете и устраните этих пользователей из приложения, которое не совпадало. В этой статье описаны варианты устранения различных ситуаций, с которыми не удалось сопоставить пользователя.

Определение наличия пользователей в приложении, которое не совпадает

Если вы уже определили список пользователей в приложении, которое не соответствует пользователям в идентификаторе Microsoft Entra, перейдите к следующему разделу.

Процедура определения того, какие пользователи в приложении не соответствуют пользователям в идентификаторе Microsoft Entra ID, зависит от того, как приложение или будет интегрировано с идентификатором Microsoft Entra.

  • Если вы используете облачные службы удостоверений SAP, следуйте инструкциям по подготовке облачных удостоверений SAP, чтобы обеспечить наличие необходимых атрибутов для существующих пользователей облачных удостоверений SAP. В этом руководстве вы экспортируете список пользователей из sap Cloud Identity Services в CSV-файл, а затем используете PowerShell для сопоставления пользователей с пользователями в идентификаторе Microsoft Entra.

  • Если приложение использует каталог LDAP, следуйте инструкциям по подготовке каталогов LDAP на шаге, чтобы собрать существующих пользователей из каталога LDAP. В этом руководстве используйте PowerShell для сопоставления пользователей с пользователями в идентификаторе Microsoft Entra.

  • Для других приложений, включая те приложения с базой данных SQL или которые имеют поддержку подготовки в коллекции приложений, следуйте инструкциям по управлению существующими пользователями приложения на шаге, чтобы убедиться, что идентификатор Microsoft Entra имеет пользователей, которые соответствуют пользователям из приложения.

  • Для других приложений, у которых нет интерфейса подготовки, следуйте инструкциям в руководстве по управлению пользователями приложения, которое не поддерживает подготовку с помощью шага, чтобы подтвердить, что идентификатор Microsoft Entra имеет пользователей, соответствующих пользователям из приложения.

После завершения скрипта PowerShell, предоставленного в этих руководствах, отображается ошибка, если записи из приложения не были расположены в идентификаторе Microsoft Entra. Если не все записи для пользователей из хранилища данных приложения могут находиться как пользователи в идентификаторе Microsoft Entra, вам потребуется изучить, какие записи не совпадают и почему, а затем устранить проблему соответствия с помощью одного из вариантов в следующем разделе.

Параметры проверки соответствия пользователей между приложением и идентификатором Microsoft Entra

В этом разделе представлено несколько вариантов решения несоответствующих пользователей в приложении. В зависимости от целей вашей организации и проблем с данными между идентификатором Microsoft Entra и приложением выберите подходящий вариант для каждого пользователя. Может быть не один вариант, охватывающий всех пользователей в определенном приложении.

Вариант Обновления необходимо перед подготовкой
Удаление тестовых пользователей из приложения Пользователи в приложении
Удаление пользователей из приложений для пользователей, которые больше не входят в организацию Пользователи в приложении
Удаление пользователей из приложения и их повторное создание из идентификатора Microsoft Entra Пользователи в приложении
Обновление соответствующего свойства пользователей в приложении Пользователи в приложении
Обновление пользователей в приложении с помощью нового свойства Пользователи в приложении
Изменение соответствующих правил или свойств, если адрес электронной почты не соответствует имени участника-пользователя Пользователи в приложении или правиле сопоставления приложений Microsoft Entra
Обновление соответствующего атрибута пользователей в идентификаторе Microsoft Entra Пользователи в идентификаторе Microsoft Entra
Обновление правил синхронизации microsoft Entra Подключение или подготовки облачной синхронизации для синхронизации необходимых пользователей и атрибутов Синхронизация Microsoft Entra Подключение или облачная синхронизация Microsoft Entra, которая обновит пользователей в идентификаторе Microsoft Entra
Обновление пользователей в идентификаторе Microsoft Entra с помощью нового атрибута Пользователи в идентификаторе Microsoft Entra
Изменение соответствующих правил на другой атрибут, уже заполненный в идентификаторе Microsoft Entra Правило сопоставления приложений Microsoft Entra
Создание пользователей в Windows Server AD для пользователей в приложении, которым требуется постоянный доступ к приложениям Пользователи в Windows Server AD, которые будут обновлять идентификатор Microsoft Entra
Создание пользователей в идентификаторе Microsoft Entra для пользователей в приложении, которым требуется непрерывный доступ к приложениям Пользователи в идентификаторе Microsoft Entra
Обслуживание отдельных и несоответствующих пользователей в приложении и идентификаторе Microsoft Entra нет

Удаление тестовых пользователей из приложения

В приложении могут быть тестовые пользователи, оставшиеся от первоначального развертывания. Если пользователи больше не требуются, их можно удалить из приложения.

Удаление пользователей из приложений для пользователей, которые больше не являются частью организации

Пользователь больше не может быть связан с организацией и больше не нуждается в доступе к приложению, но по-прежнему является пользователем в источнике данных приложения. Это может произойти, если администратор приложения опущен для удаления пользователя или не был проинформирован о необходимости изменения. Если пользователь больше не нужен, его можно удалить из приложения.

Удаление пользователей из приложения и их повторное создание из идентификатора Microsoft Entra

Если приложение в настоящее время не используется или не поддерживает какое-либо состояние каждого пользователя, то другим вариантом является удаление пользователей из приложения, чтобы больше не совпадать с пользователями. Затем, когда пользователи запрашивают или назначают приложение в идентификаторе Microsoft Entra, они будут подготовлены к работе.

Обновление соответствующего свойства пользователей в приложении

Пользователь может существовать в приложении и в идентификаторе Microsoft Entra, но пользователь в приложении либо отсутствует свойство, необходимое для сопоставления, либо свойство имеет неправильное значение.

Например, когда администратор SAP создает пользователя в sap Cloud Identity Services с помощью консоли администрирования, у пользователя может не быть userName свойства. Однако это свойство может использоваться для сопоставления с пользователями в идентификаторе Microsoft Entra. userName Если свойство предназначено для сопоставления, администратор SAP должен обновить существующих пользователей облачных удостоверений SAP, чтобы иметь значение userName свойства.

Например, администратор приложения установил адрес электронной почты пользователя в качестве свойства mail пользователя в приложении, когда пользователь был впервые добавлен в приложение. Однако позже адрес userPrincipalName электронной почты пользователя изменяется в идентификаторе Microsoft Entra. Однако если приложению не требуется адрес электронной почты, или у поставщика электронной почты был перенаправление, которое позволило старому адресу электронной почты продолжать переадресацию, администратор приложения, возможно, пропустил, что в источнике данных приложения возникла потребность mail в обновлении свойства. Это несоответствие можно устранить администратором приложения, изменив mail свойство для пользователей приложения, чтобы иметь текущее значение или изменить правило сопоставления, как описано в следующих разделах.

Обновление пользователей в приложении с помощью нового свойства

Предыдущая система управления удостоверениями организации, возможно, создала пользователей в приложении в качестве локальных пользователей. Если в организации нет единого поставщика удостоверений в то время, эти пользователи в приложении не нуждались в сопоставлении свойств с любой другой системой. Например, предыдущий продукт управления удостоверениями создал пользователей в приложении на основе авторитетного источника кадров. Эта система управления удостоверениями поддерживала корреляцию между пользователями, созданными в приложении с источником кадров, и не предоставляла ни одного из идентификаторов источника кадров приложению. Позже при попытке подключить приложение к клиенту идентификатора Microsoft Entra ID, заполненному из того же источника кадров, идентификатор Microsoft Entra может иметь пользователей для всех таких же людей, как и в приложении, но сопоставление для всех пользователей завершается ошибкой, так как не существует общего свойства.

Чтобы устранить эту проблему, выполните следующие действия.

  1. Выберите существующее неиспользуемое свойство пользователей в приложении или добавьте новое свойство в схему пользователя в приложении.
  2. Заполните это свойство для всех пользователей в приложении данными из авторитетного источника, например идентификатора сотрудника или адреса электронной почты, которые уже присутствуют у пользователей в идентификаторе Microsoft Entra.
  3. Обновите конфигурацию сопоставления атрибутов подготовки приложений Microsoft Entra для приложения, чтобы это свойство было включено в правило сопоставления.

Изменение соответствующих правил или свойств, если адрес электронной почты не соответствует имени участника-пользователя

По умолчанию некоторые сопоставления служб подготовки Microsoft Entra для приложений отправляют userPrincipalName атрибут, соответствующий свойству адреса электронной почты приложения. Некоторые организации имеют основной адрес электронной почты для пользователей, отличных от имени участника-пользователя. Если приложение сохраняет адрес электронной почты в качестве свойства пользователя, а не userPrincipalNameпользователя, необходимо либо изменить пользователей в приложении, либо правило сопоставления.

  • Если вы планируете использовать единый вход из идентификатора Microsoft Entra в приложение, возможно, вы хотите изменить приложение, чтобы добавить свойство пользователя для хранения userPrincipalName. Затем заполните это свойство для каждого пользователя в приложении с помощью userPrincipalName из идентификатора Microsoft Entra ID и обновите конфигурацию подготовки приложений Microsoft Entra таким образом, чтобы это свойство было включено в соответствующее правило.
  • Если вы не планируете использовать единый вход из идентификатора Microsoft Entra ID, то альтернативой является обновление конфигурации сопоставления атрибутов подготовки приложений Microsoft Entra, чтобы сопоставить атрибут адреса электронной почты пользователя Microsoft Entra в правиле сопоставления.

Обновление соответствующего атрибута пользователей в идентификаторе Microsoft Entra

В некоторых ситуациях атрибут, используемый для сопоставления, имеет значение в пользователе идентификатора Microsoft Entra ID, который устарел. Например, пользователь изменил свое имя, но изменение имени не было сделано в пользователе идентификатора Microsoft Entra ID.

Если пользователь был создан и поддерживается исключительно в идентификаторе Microsoft Entra, необходимо обновить пользователя, чтобы иметь правильные атрибуты. Если атрибут пользователя возникает в системе вышестоящий, например Windows Server AD или источник кадров, необходимо изменить значение в источнике вышестоящий и подождите, пока изменение станет видимым в идентификаторе Microsoft Entra ID.

Обновление правил синхронизации microsoft Entra Подключение или подготовки облачной синхронизации для синхронизации необходимых пользователей и атрибутов

В некоторых ситуациях предыдущая система управления удостоверениями заполняет пользователей Windows Server AD соответствующим атрибутом, который может функционировать в качестве соответствующего атрибута с другим приложением. Например, если предыдущая система управления удостоверениями была подключена к источнику кадров, то у пользователя AD есть employeeId атрибут, заполненный предыдущей системой управления удостоверениями с идентификатором сотрудника пользователя. Например, предыдущая система управления удостоверениями написала уникальный идентификатор пользователя приложения в качестве атрибута расширения в схеме Windows Server AD. Однако если ни из этих атрибутов не были выбраны для синхронизации с идентификатором Microsoft Entra ID, либо пользователи не были область синхронизации с идентификатором Microsoft Entra ID, то представление идентификатора Microsoft Entra для сообщества пользователей может быть неполным.

Чтобы устранить эту проблему, необходимо изменить конфигурацию синхронизации Microsoft Entra Подключение или конфигурацию облачной синхронизации Microsoft Entra, чтобы убедиться, что все соответствующие пользователи в Windows Server AD также находятся в область для подготовки к идентификатору Microsoft Entra, а синхронизированные атрибуты этих пользователей включают атрибуты, которые будут использоваться для соответствующих целей. Если вы используете синхронизацию Microsoft Entra Подключение, ознакомьтесь с разделом Microsoft Entra Подключение Sync: Настройка фильтрации и синхронизации Microsoft Entra Подключение: расширения каталогов. Если вы используете облачную синхронизацию Microsoft Entra, ознакомьтесь с сопоставлением атрибутов в расширениях каталогов Microsoft Entra Cloud Sync и облачных службах синхронизации и сопоставлении настраиваемых атрибутов.

Обновление пользователей в идентификаторе Microsoft Entra с помощью нового атрибута

В некоторых ситуациях приложение может содержать уникальный идентификатор пользователя, который в настоящее время не хранится в схеме идентификатора Microsoft Entra id для пользователя. Например, если вы используете sap Cloud Identity Services, может потребоваться, чтобы идентификатор пользователя SAP был соответствующим атрибутом или если вы используете систему Linux, может потребоваться, чтобы идентификатор пользователя Linux был соответствующим атрибутом. Однако эти свойства не являются частью пользовательской схемы идентификатора Microsoft Entra ID, поэтому, скорее всего, не присутствуют ни в одном из пользователей в идентификаторе Microsoft Entra.

Чтобы использовать новый атрибут для сопоставления, выполните следующие действия.

  1. Выберите существующий атрибут неиспользуемого расширения в идентификаторе Microsoft Entra ID или расширьте схему пользователя Microsoft Entra с новым атрибутом.
  2. Заполните этот атрибут для всех пользователей в идентификаторе Microsoft Entra данными из авторитетного источника, например приложения или системы управления персоналом. Если пользователи синхронизированы из Windows Server AD или подготовлены из системы управления персоналом, может потребоваться внести это изменение в этот источник вышестоящий.
  3. Обновите конфигурацию сопоставления атрибутов для приложений Microsoft Entra и включите этот атрибут в правило сопоставления.

Изменение соответствующих правил на другой атрибут, уже заполненный в идентификаторе Microsoft Entra

Правила сопоставления по умолчанию для приложений в коллекции приложений используют атрибуты, которые обычно присутствуют для всех пользователей идентификатора Microsoft Entra во всех клиентах Майкрософт, таких как userPrincipalName. Эти правила подходят для тестирования общего назначения или подготовки в новое приложение, которое в настоящее время не имеет пользователей. Однако многие организации, возможно, уже заполняли пользователей идентификатора Microsoft Entra другими атрибутами, соответствующими их организации, например идентификатор сотрудника. Если существует другой атрибут, подходящий для сопоставления, обновите конфигурацию сопоставления атрибутов подготовки приложений Microsoft Entra и включите этот атрибут в правило сопоставления.

Настройка входящего подготовки из источника кадров в идентификатор Microsoft Entra

В идеале организации, которые подготавливали пользователей в несколько приложений независимо, должны полагаться на общие идентификаторы пользователей, производных от авторитетного источника, например системы кадров. Многие системы управления персоналом имеют свойства, которые работают, а также идентификаторы, например employeeId , которые можно рассматривать как уникальные, чтобы два человека не имели одного и того же идентификатора сотрудника. Если у вас есть источник кадров, например Workday или SuccessFactors, то приведение атрибутов, таких как employeeId из этого источника, часто может сделать подходящее правило сопоставления.

Чтобы использовать атрибут со значениями, полученными из авторитетного источника для сопоставления, выполните следующие действия.

  1. Выберите соответствующий атрибут пользовательской схемы идентификатора Microsoft Entra id или расширьте схему пользователя Microsoft Entra с новым атрибутом, значения которого соответствуют эквивалентному свойству пользователя в приложении.
  2. Убедитесь, что это свойство также присутствует в источнике кадров для всех пользователей, у которых есть пользователи в идентификаторе Microsoft Entra и приложении.
  3. Настройте входящий трафик подготовки из этого источника кадров в идентификатор Microsoft Entra.
  4. Дождитесь обновления пользователей в идентификаторе Microsoft Entra с новыми атрибутами.
  5. Обновите конфигурацию сопоставления атрибутов для приложений Microsoft Entra и включите этот атрибут в правило сопоставления.

Создание пользователей в Windows Server AD для пользователей в приложении, которым требуется постоянный доступ к приложениям

Если есть пользователи из приложения, которые не соответствуют человеку в авторитетном источнике кадров, но потребуют доступа как к приложениям на основе Windows Server AD, так и к приложениям, интегрированным с идентификатором Microsoft Entra, и ваша организация использует Microsoft Entra Подключение Sync или Microsoft Entra Cloud Sync для подготовки пользователей из Windows Server AD в Microsoft Entra ID, затем вы можете создать пользователя в Windows Server AD для каждого из тех пользователей, которые еще не присутствовали.

Если пользователям не потребуется доступ к приложениям на основе Windows Server AD, создайте пользователей в идентификаторе Microsoft Entra, как описано в следующем разделе.

Создание пользователей в идентификаторе Microsoft Entra для пользователей в приложении, которым требуется непрерывный доступ к приложениям

Если у приложения есть пользователи, которые не соответствуют человеку в авторитетном источнике кадров, но потребуется постоянный доступ и управление ими из Microsoft Entra, вы можете создать для них пользователей Microsoft Entra. Вы можете массово создавать пользователей с помощью следующих средств:

Убедитесь, что эти новые пользователи заполняются атрибутами, необходимыми для идентификатора Microsoft Entra, чтобы позже сопоставить их с существующими пользователями в приложении, а также атрибуты, необходимые идентификатору Microsoft Entra, включая userPrincipalName, mailNicknameи displayName. Он userPrincipalName должен быть уникальным среди всех пользователей в каталоге.

Массовое создание пользователей с помощью PowerShell

В этом разделе показано, как взаимодействовать с идентификатором Microsoft Entra с помощью командлетов Microsoft Graph PowerShell .

Когда ваша организация впервые применит эти командлеты для данного сценария, вам потребуется роль глобального администратора, чтобы предоставить согласие на использование Microsoft Graph PowerShell в арендаторе. Последующие взаимодействия могут использовать роль с более низким уровнем привилегий, например пользователь Администратор istrator.

  1. Если у вас уже есть сеанс PowerShell, в котором вы определили пользователей в приложении, которое не было в идентификаторе Microsoft Entra, перейдите к шагу 6 ниже. В противном случае откройте PowerShell.

  2. Если у вас еще нет установленных модулей Microsoft Graph PowerShell, установите модуль Microsoft.Graph.Users и другие модули с помощью следующей команды:

    Install-Module Microsoft.Graph
    

    Если у вас уже установлены модули, убедитесь, что используете последнюю версию:

    Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
    
  3. Подключение идентификатор Microsoft Entra:

    $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
    
  4. Если вы впервые использовали эту команду, необходимо предоставить согласие на предоставление этим разрешениям средствам командной строки Microsoft Graph.

  5. Введите в среду PowerShell массив пользователей из приложения, который также содержит поля, которые являются обязательными атрибутами Идентификатора Microsoft Entra — имя участника-пользователя, псевдоним почты и полное имя пользователя. Этот сценарий предполагает, что массив $dbu_not_matched_list содержит пользователей из приложения, которые не были сопоставлены.

    $filename = ".\Users-to-create.csv"
    $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
    
  6. Укажите в сеансе PowerShell, какие столбцы в массиве пользователей должны быть созданы, соответствуют требуемым свойствам идентификатора Microsoft Entra. Например, у вас могут быть пользователи в базе данных, где значение в столбце с именем EMail является значением, которое вы хотите использовать в качестве имени участника-пользователя Microsoft Entra, значение в столбце Alias содержит псевдоним электронной почты Microsoft Entra ID, а значение в столбце Full name содержит отображаемое имя пользователя:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    
  7. Откройте следующий скрипт в текстовом редакторе. Может потребоваться изменить этот скрипт, чтобы добавить атрибуты Microsoft Entra, необходимые приложению, или, если $azuread_match_attr_name это не mailNickname так, userPrincipalNameчтобы предоставить этот атрибут Microsoft Entra.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    
  8. Вставьте полученный скрипт из текстового редактора в сеанс PowerShell. Если возникают какие-либо ошибки, перед продолжением их необходимо исправить.

Обслуживание отдельных и несоответствующих пользователей в приложении и идентификаторе Microsoft Entra

В источнике данных приложения может быть суперадминистратор, который не соответствует конкретному пользователю в идентификаторе Microsoft Entra. Если вы не создаете пользователей Microsoft Entra для них, эти пользователи не смогут управляться с помощью идентификатора Microsoft Entra или Управление идентификацией Microsoft Entra. Так как эти пользователи не смогут войти с помощью идентификатора Microsoft Entra ID, поэтому если вы настраиваете приложение для использования идентификатора Microsoft Entra в качестве поставщика удостоверений, убедитесь, что эти пользователи не область использовать идентификатор Microsoft Entra для проверки подлинности.

Повторное экспортирование пользователей

После обновления пользователей Microsoft Entra, пользователей в приложении или правил сопоставления приложений Microsoft Entra необходимо повторно экспортировать и выполнить процедуру сопоставления для приложения, чтобы убедиться, что все пользователи коррелируются.

  • Если вы используете службы SAP Cloud Identity Services, следуйте руководству по подготовке облачных служб удостоверений SAP, начиная с шага, чтобы убедиться, что существующие пользователи облачных удостоверений SAP имеют необходимые атрибуты сопоставления. В этом руководстве вы экспортируете список пользователей из sap Cloud Identity Services в CSV-файл, а затем используете PowerShell для сопоставления пользователей с пользователями в идентификаторе Microsoft Entra.

  • Если приложение использует каталог LDAP, следуйте инструкциям по подготовке каталогов LDAP, начиная с шага, чтобы собрать существующих пользователей из каталога LDAP.

  • Для других приложений, включая те приложения с базой данных SQL или которые имеют поддержку подготовки в коллекции приложений, следуйте инструкциям по управлению существующими пользователями приложения, начиная с шага, чтобы собрать существующих пользователей из приложения.

Назначение пользователей ролям приложений и включение подготовки

После завершения необходимых обновлений и подтверждения того, что все пользователи из приложения совпадают с пользователями в идентификаторе Microsoft Entra, необходимо назначить пользователей в идентификаторе Microsoft Entra, которым требуется доступ к приложению роли приложения Microsoft Entra, а затем включить подготовку к приложению.

  • Если вы используете облачные службы удостоверений SAP, перейдите к руководству по подготовке облачных служб удостоверений SAP, начиная с шага, чтобы убедиться, что существующие пользователи Microsoft Entra имеют необходимые атрибуты.

Следующие шаги