Управление сопоставлениями и пользователями в приложениях, которые не совпадали с пользователями в идентификаторе Microsoft Entra

2025-03-04

При интеграции существующего приложения с Microsoft Entra ID для целей предоставления доступа или единой авторизации (SSO) можно обнаружить, что в хранилище данных приложения есть пользователи, которые не соответствуют или не совпадают с пользователями в Microsoft Entra ID.

Служба предоставления Microsoft Entra использует настраиваемые правила сопоставления, чтобы определить, соответствует ли пользователь в Microsoft Entra ID пользователю в приложении, проводя поиск в приложении пользователя с соответствующим свойством из Microsoft Entra ID. Например, предположим, что соответствующее правило заключается в сравнении атрибута пользователя userPrincipalName Идентификатора Microsoft Entra с свойством приложения userName . Когда пользователь в идентификаторе Microsoft Entra с userPrincipalName значением [email protected] назначается роли приложения, служба подготовки Microsoft Entra выполняет поиск приложения с таким запросом, как userName eq "[email protected]". Если поиск в приложении показывает, что нет совпадающих пользователей, служба подготовки Microsoft Entra создает нового пользователя в приложении.

Если у приложения еще нет пользователей, этот процесс заполняет хранилище данных приложения пользователями по мере их назначения в идентификаторе Microsoft Entra. Однако если у приложения уже есть пользователи, может возникнуть две ситуации. Во-первых, в приложении могут быть пользователи с учетными записями, но при сопоставлении их не удается обнаружить. Возможно, пользователь представлен в приложении как [email protected], а не [email protected], поэтому поиск службы настройки Microsoft Entra их не находит. В этой ситуации у этого человека в приложении могут появиться дублирующиеся пользователи. Во-вторых, в приложении могут быть учетные записи пользователей, которые отсутствуют в Microsoft Entra ID. В этой ситуации служба подготовки Microsoft Entra не взаимодействует с этими пользователями в приложении, однако если приложение настроено на использование идентификатора Microsoft Entra в качестве единственного поставщика удостоверений, эти пользователи больше не смогут войти в систему: приложение перенаправит пользователя на вход с помощью идентификатора Microsoft Entra ID, но у пользователя нет пользователя в идентификаторе Microsoft Entra.

Эти несоответствия между идентификатором Microsoft Entra и хранилищем данных существующего приложения могут произойти по многим причинам, в том числе:

Администратор приложений создает пользователей непосредственно в приложении, например для подрядчиков или поставщиков, которые не представлены в системе источника кадров записи, но требовали доступа к приложению.
изменения данных удостоверения личности и атрибутов, например, когда лицо изменяет свое имя, не были отправлены ни в Microsoft Entra ID, ни в приложение, поэтому представления являются устаревшими в одной из систем или в обеих.
Организация использовала продукт управления удостоверениями, который независимо настраивал Windows Server AD и приложение для различных сообществ. Например, сотрудникам магазина нужен был доступ к приложениям, но им не требовались почтовые ящики Exchange, поэтому сотрудники магазина не были представлены в Windows Server AD или Microsoft Entra ID.

Прежде чем включить предоставление доступа или единый вход для приложения с пользователями, которые уже существуют, необходимо убедиться, что данные пользователей совпадают, и проверить или разобраться с пользователями из приложения, которые не совпадают. В этой статье описаны варианты решения различных ситуаций, когда не удалось сопоставить пользователя.

Определить, есть ли в приложении пользователи, которые не соответствуют требуемым условиям.

Если вы уже определили список пользователей в приложении, которое не соответствует пользователям в идентификаторе Microsoft Entra, перейдите к следующему разделу.

Процедура определения того, какие пользователи в приложении не соответствуют пользователям в идентификаторе Microsoft Entra ID, зависит от того, как приложение или будет интегрировано с идентификатором Microsoft Entra.

Если вы используете облачные службы удостоверений SAP, следуйте руководству по настройке облачных удостоверений SAP, чтобы у существующих пользователей этих служб были необходимые атрибуты. В этом руководстве вы экспортируете список пользователей из sap Cloud Identity Services в CSV-файл, а затем используете PowerShell для сопоставления пользователей с пользователями в идентификаторе Microsoft Entra.
Если ваше приложение использует каталог LDAP, следуйте шагам из учебного пособия по подготовке каталога LDAP, чтобы на шаге собрать существующих пользователей из каталога LDAP. В этом руководстве используйте PowerShell для сопоставления пользователей с пользователями в идентификаторе Microsoft Entra.
Для других приложений, включая те приложения с базой данных SQL или которые имеют поддержку подготовки в галерее приложений, следуйте руководству по управлению существующими пользователями приложения чтобы на этапе подтвердить, что Microsoft Entra ID имеет пользователей, которые соответствуют пользователям из приложения.
Для других приложений, у которых нет интерфейса предоставления ресурсов, следуйте руководству по управлению пользователями приложения, которое не поддерживает предоставление ресурсов, на этапе подтверждения того, что идентификатор Microsoft Entra содержит пользователей, соответствующих пользователям из приложения.

После завершения скрипта PowerShell, предоставленного в этих руководствах, отображается ошибка, если записи из приложения не были расположены в идентификаторе Microsoft Entra. Если не все записи пользователей из хранилища данных приложения могут быть найдены как пользователи в Microsoft Entra ID, вам нужно будет исследовать, какие записи не совпадают и почему, а затем решить проблему соответствия, используя один из вариантов в следующем разделе.

Параметры проверки соответствия пользователей между приложением и идентификатором Microsoft Entra

В этом разделе представлено несколько вариантов решения несоответствующих пользователей в приложении. В зависимости от целей вашей организации и проблем с данными между идентификатором Microsoft Entra и приложением выберите подходящий вариант для каждого пользователя. Может быть не один вариант, охватывающий всех пользователей в определенном приложении.

Вариант	Обновления, необходимые перед настройкой
Удаление тестовых пользователей из приложения	Пользователи в приложении
Удаление пользователей из приложений для пользователей, которые больше не входят в организацию	Пользователи в приложении
Удаление пользователей из приложения и их повторное создание из идентификатора Microsoft Entra	Пользователи в приложении
Обновление соответствующего свойства пользователей в приложении	Пользователи в приложении
Обновление пользователей в приложении с помощью нового свойства	Пользователи в приложении
Изменение соответствующих правил или свойств, если адрес электронной почты не соответствует имени участника-пользователя	Пользователи в приложении или правиле сопоставления приложений Microsoft Entra
Обновление соответствующего атрибута пользователей в идентификаторе Microsoft Entra	Пользователи в идентификаторе Microsoft Entra
Обновите правила синхронизации в Microsoft Entra Connect или Cloud Sync для синхронизации необходимых пользователей и атрибутов	Синхронизация Microsoft Entra Connect или облачная синхронизация Microsoft Entra, которая обновит пользователей в идентификаторе Microsoft Entra ID
Обновление пользователей в идентификаторе Microsoft Entra с помощью нового атрибута	Пользователи в идентификаторе Microsoft Entra
Измените правила соответствия на другой атрибут, уже заполненный в Microsoft Entra ID	Правило сопоставления приложений Microsoft Entra
Создание пользователей в Windows Server AD для пользователей в приложении, которым требуется постоянный доступ к приложениям	Пользователи в Windows Server AD, которые будут обновлять идентификатор Microsoft Entra
Создание пользователей в идентификаторе Microsoft Entra для пользователей в приложении, которым требуется непрерывный доступ к приложениям	Пользователи в идентификаторе Microsoft Entra
Поддержание отдельных и несоответствующих пользователей в приложении и Microsoft Entra ID	Отсутствует

Удаление тестовых пользователей из приложения

В приложении могут быть тестовые пользователи, оставшиеся от первоначального развертывания. Если пользователи больше не требуются, их можно удалить из приложения.

Удаление пользователей из приложений для пользователей, которые больше не являются частью организации

Пользователь больше не может быть связан с организацией и больше не нуждается в доступе к приложению, но по-прежнему является пользователем в источнике данных приложения. Это может произойти, если администратор приложений забыл удалить пользователя или не был проинформирован о необходимости изменения. Если пользователь больше не нужен, его можно удалить из приложения.

Удаление пользователей из приложения и их повторное создание из идентификатора Microsoft Entra

Если приложение в настоящее время не широко используется или не поддерживает никаких данных на уровне пользователя, то другим вариантом является удаление пользователей из приложения, чтобы больше не было несоответствующих пользователей. Затем, когда пользователи запрашивают или им назначают приложение в Microsoft Entra ID, им предоставляется доступ.

Обновление соответствующего свойства пользователей в приложении

Пользователь может существовать в приложении и в идентификаторе Microsoft Entra, но пользователь в приложении либо отсутствует свойство, необходимое для сопоставления, либо свойство имеет неправильное значение.

Например, когда администратор SAP создает пользователя в sap Cloud Identity Services с помощью консоли администрирования, у пользователя может не быть userName свойства. Однако это свойство может использоваться для сопоставления с пользователями в идентификаторе Microsoft Entra. Если userName свойство предназначено для сопоставления, то администратор SAP должен обновить существующих пользователей SAP Cloud Identity Services, чтобы у них было значение свойства userName.

Например, администратор приложений задал адрес электронной почты пользователя в качестве свойства mail пользователя в приложении, когда пользователь был добавлен в приложение. Однако позже адрес электронной почты пользователя и userPrincipalName изменяются в учетной записи Microsoft Entra. Однако если приложению не требовался адрес электронной почты, или у поставщика электронной почты было перенаправление, которое позволило старому адресу электронной почты продолжать пересылку, администратор приложения мог не заметить, что в источнике данных приложения необходимо обновить свойство mail. Это несоответствие можно устранить администратором приложения, изменив mail свойство для пользователей приложения, чтобы иметь текущее значение или изменить правило сопоставления, как описано в следующих разделах.

Обновление пользователей в приложении с помощью нового свойства

Предыдущая система управления удостоверениями организации, возможно, создала пользователей в приложении в качестве локальных пользователей. Если в организации нет единого поставщика удостоверений в то время, эти пользователи в приложении не нуждались в сопоставлении свойств с любой другой системой. Например, предыдущий продукт управления идентификацией создавал пользователей в приложении на основе авторитетного источника кадров. Эта система управления удостоверениями поддерживала корреляцию между пользователями, созданными в приложении с источником кадров, и не предоставляла ни одного из идентификаторов источника кадров приложению. Позже при попытке подключить приложение к клиенту идентификатора Microsoft Entra ID, заполненному из того же источника кадров, идентификатор Microsoft Entra может иметь пользователей для всех таких же людей, как и в приложении, но сопоставление для всех пользователей завершается ошибкой, так как не существует общего свойства.

Чтобы устранить эту проблему, выполните следующие действия.

Выберите существующее неиспользуемое свойство пользователей в приложении или добавьте новое свойство в схему пользователя в приложении.
Заполните это свойство для всех пользователей в приложении данными из авторитетного источника, например идентификатора сотрудника или адреса электронной почты, которые уже присутствуют у пользователей в идентификаторе Microsoft Entra.
Обновите конфигурацию сопоставления атрибутов подготовки приложений Microsoft Entra для приложения, чтобы это свойство было включено в правило сопоставления.

Изменение соответствующих правил или свойств, если адрес электронной почты не соответствует имени участника-пользователя

По умолчанию некоторые сопоставления служб предоставления Microsoft Entra для приложений отправляют атрибут userPrincipalName, который соответствует свойству адреса электронной почты приложения. У некоторых организаций есть основные адреса электронной почты для пользователей, отличные от имени участника-пользователя. Если приложение сохраняет адрес электронной почты в качестве свойства пользователя, а не userPrincipalNameпользователя, необходимо либо изменить пользователей в приложении, либо правило сопоставления.

Если вы планируете использовать единый вход через Microsoft Entra ID в приложение, возможно, вы захотите изменить приложение, чтобы добавить свойство для пользователя, которое будет хранить userPrincipalName. Затем заполните это свойство для каждого пользователя в приложении, используя его userPrincipalName из Microsoft Entra ID, и обновите конфигурацию настройки приложения Microsoft Entra так, чтобы это свойство было включено в правило сопоставления.
Если вы не планируете использовать единую аутентификацию Microsoft Entra ID, то в качестве альтернативы вы можете настроить конфигурацию сопоставления атрибутов подготовки приложений Microsoft Entra, чтобы сопоставить атрибут адреса электронной почты пользователя Microsoft Entra в правиле сопоставления.

Обновление соответствующего атрибута пользователей в идентификаторе Microsoft Entra

В некоторых ситуациях атрибут, используемый для сопоставления, имеет значение в учетной записи пользователя Microsoft Entra ID, которое устарело. Например, пользователь изменил свое имя, но изменение имени не было сделано в пользователе идентификатора Microsoft Entra ID.

Если пользователь был создан и поддерживается исключительно в идентификаторе Microsoft Entra, необходимо обновить пользователя, чтобы иметь правильные атрибуты. Если атрибут пользователя возникает в вышестоящей системе, например Windows Server AD или источник кадров, необходимо изменить значение в вышестоящем источнике и подождите, пока изменение станет видимым в идентификаторе Microsoft Entra ID.

Обновите правила синхронизации Microsoft Entra Connect или правила подготовки облачной синхронизации, чтобы синхронизировать необходимых пользователей и атрибуты.

В некоторых ситуациях предыдущая система управления удостоверениями заполняет пользователей Windows Server AD соответствующим атрибутом, который может функционировать в качестве соответствующего атрибута с другим приложением. Например, если предыдущая система управления удостоверениями была подключена к источнику кадров, то у пользователя AD есть employeeId атрибут, заполненный предыдущей системой управления удостоверениями с идентификатором сотрудника пользователя. Например, предыдущая система управления удостоверениями написала уникальный идентификатор пользователя приложения в качестве атрибута расширения в схеме Windows Server AD. Однако если ни один из этих атрибутов не был выбран для синхронизации с Microsoft Entra ID, либо пользователи не подпадали под синхронизацию с Microsoft Entra ID, то представление сообщества пользователей в Microsoft Entra ID может быть неполным.

Чтобы устранить эту проблему, необходимо изменить конфигурацию синхронизации Microsoft Entra Connect или конфигурацию облачной синхронизации Microsoft Entra, чтобы убедиться, что все соответствующие пользователи в Windows Server AD, которые также находятся в приложении, находятся в области подготовки к идентификатору Microsoft Entra и что синхронизированные атрибуты этих пользователей включают атрибуты, которые будут использоваться для сопоставления. Если вы используете синхронизацию Microsoft Entra Connect, см. раздел "Синхронизация Microsoft Entra Connect": настройка фильтрации и синхронизации Microsoft Entra Connect: расширения каталогов. Если вы используете облачную синхронизацию Microsoft Entra, ознакомьтесь с сопоставлением атрибутов в расширениях каталогов Microsoft Entra Cloud Sync и облачных службах синхронизации и сопоставлении настраиваемых атрибутов.

Обновление пользователей в идентификаторе Microsoft Entra с помощью нового атрибута

В некоторых ситуациях приложение может содержать уникальный идентификатор пользователя, который в настоящее время не хранится в схеме идентификатора Microsoft Entra id для пользователя. Например, если вы используете sap Cloud Identity Services, может потребоваться, чтобы идентификатор пользователя SAP был соответствующим атрибутом или если вы используете систему Linux, может потребоваться, чтобы идентификатор пользователя Linux был соответствующим атрибутом. Однако эти свойства не являются частью пользовательской схемы идентификатора Microsoft Entra ID, поэтому, скорее всего, не присутствуют ни в одном из пользователей в идентификаторе Microsoft Entra.

Чтобы использовать новый атрибут для сопоставления, выполните следующие действия.

Выберите существующий атрибут неиспользуемого расширения в идентификаторе Microsoft Entra ID или расширьте схему пользователя Microsoft Entra с новым атрибутом.
Заполните этот атрибут для всех пользователей в идентификаторе Microsoft Entra данными из авторитетного источника, например приложения или системы управления персоналом. Если пользователи синхронизированы из Windows Server AD или подготовлены из системы управления персоналом, может потребоваться внести это изменение в этот вышестоящий источник.
Обновите конфигурацию сопоставления атрибутов для приложений Microsoft Entra и включите этот атрибут в правило сопоставления.

Изменение правил сопоставления на другой атрибут, уже заполненный в идентификаторе Microsoft Entra ID

Правила сопоставления по умолчанию для приложений в коллекции приложений используют атрибуты, которые обычно присутствуют для всех пользователей идентификатора Microsoft Entra во всех клиентах Майкрософт, таких как userPrincipalName. Эти правила подходят для тестирования общего назначения или внедрения в новое приложение, которое на данный момент не имеет пользователей. Однако многие организации, возможно, уже заполняли пользователей идентификатора Microsoft Entra другими атрибутами, соответствующими их организации, например идентификатор сотрудника. Если существует другой атрибут, подходящий для сопоставления, обновите конфигурацию сопоставления атрибутов подготовки приложений Microsoft Entra и включите этот атрибут в правило сопоставления.

Настройка входящего предоставления из источника кадровых данных в Microsoft Entra ID

В идеале организации, которые добавляли пользователей в различные приложения независимо, должны полагаться на универсальные идентификаторы пользователей, из авторитетного источника, например системы управления персоналом. Многие системы управления персоналом имеют свойства, которые хорошо работают в качестве идентификаторов, например employeeId, и которые можно считать уникальными, чтобы два человека не имели одного и того же идентификатора сотрудника. Если у вас есть источник данных по персоналу, например Workday или SuccessFactors, то включение атрибутов, таких как идентификатор сотрудника из этого источника, часто может создать подходящее правило сопоставления.

Чтобы использовать атрибут со значениями, полученными из авторитетного источника для сопоставления, выполните следующие действия.

Выберите соответствующий атрибут пользовательской схемы идентификатора Microsoft Entra id или расширьте схему пользователя Microsoft Entra с новым атрибутом, значения которого соответствуют эквивалентному свойству пользователя в приложении.
Убедитесь, что этот атрибут также присутствует в HR-источнике для всех людей, у которых есть учетные записи в Microsoft Entra ID и приложении.
Настройте входящее обеспечение из этого HR-источника в Microsoft Entra ID.
Дождитесь обновления пользователей в идентификаторе Microsoft Entra с новыми атрибутами.
Обновите конфигурацию сопоставления атрибутов для приложений Microsoft Entra и включите этот атрибут в правило сопоставления.

Создание пользователей в Windows Server AD для пользователей в приложении, которым требуется постоянный доступ к приложениям

Если есть пользователи из приложения, которые не соответствуют человеку в авторитетном источнике кадров, но потребуют доступа как к приложениям на основе Windows Server AD, так и к приложениям, интегрированным с идентификатором Microsoft Entra ID в будущем, и ваша организация использует Microsoft Entra Connect Sync или Microsoft Entra Cloud Sync для подготовки пользователей из Windows Server AD в Идентификатор Microsoft Entra ID, затем вы можете создать пользователя в Windows Server AD для каждого из тех пользователей, которые еще не присутствовали.

Если пользователям не потребуется доступ к приложениям на основе Windows Server AD, создайте пользователей в идентификаторе Microsoft Entra, как описано в следующем разделе.

Создание пользователей в идентификаторе Microsoft Entra для пользователей в приложении, которым требуется непрерывный доступ к приложениям

Если у приложения есть пользователи, которые не соответствуют человеку в авторитетном источнике кадров, но потребуется постоянный доступ и управление ими из Microsoft Entra, вы можете создать для них пользователей Microsoft Entra. Вы можете создавать пользователей в массовом режиме с помощью следующих способов:

CSV-файл, как описано в разделе Массовое создание пользователей в Центре администрирования Microsoft Entra
командлет New-MgUser.

Убедитесь, что эти новые пользователи заполняются атрибутами, необходимыми для идентификатора Microsoft Entra, чтобы позже сопоставить их с существующими пользователями в приложении, а также атрибуты, необходимые идентификатору Microsoft Entra, включая userPrincipalName, mailNicknameи displayName. userPrincipalName должен быть уникальным среди всех пользователей в директории.

Массовое создание пользователей с помощью PowerShell

В этом разделе показано, как взаимодействовать с Microsoft Entra ID с помощью командлетов Microsoft Graph PowerShell.

Когда ваша организация впервые использует эти командлеты для данного сценария, вам потребуется находиться в роли глобального администратора, чтобы разрешить использование Microsoft Graph PowerShell в вашем арендаторе. Последующие взаимодействия могут использовать роль с более низким уровнем привилегий, например администратора пользователей.

Если у вас уже есть сеанс PowerShell, в котором вы выявили пользователей в приложении, которые не зарегистрированы в Microsoft Entra ID, перейдите к шагу 6 ниже. В противном случае откройте PowerShell.
Если у вас еще нет установленных модулей Microsoft Graph PowerShell, установите модуль Microsoft.Graph.Users и другие модули с помощью следующей команды:
```
Install-Module Microsoft.Graph
```
Если у вас уже установлены модули, убедитесь, что вы используете последнюю версию:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Подключитесь к идентификатору Microsoft Entra:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"

Если вы впервые использовали эту команду, необходимо предоставить согласие на предоставление этим разрешениям средствам командной строки Microsoft Graph.
Введите в среду PowerShell массив пользователей из приложения, который также содержит поля, которые являются обязательными атрибутами Идентификатора Microsoft Entra — имя участника-пользователя, псевдоним почты и полное имя пользователя. Этот сценарий предполагает, что массив $dbu_not_matched_list содержит пользователей из приложения, которые не были сопоставлены.
```
$filename = ".\Users-to-create.csv"
$bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
```
Укажите в сеансе PowerShell, какие столбцы в массиве пользователей должны быть созданы, соответствуют требуемым свойствам идентификатора Microsoft Entra. Например, у вас могут быть пользователи в базе данных, где значение в столбце с именем EMail является значением, которое вы хотите использовать в качестве имени участника-пользователя Microsoft Entra, значение в столбце Alias содержит псевдоним электронной почты Microsoft Entra ID, а значение в столбце Full name содержит отображаемое имя пользователя:
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```

Откройте следующий скрипт в текстовом редакторе. Может потребоваться изменить этот скрипт, чтобы добавить атрибуты Microsoft Entra, необходимые приложению, или, если $azuread_match_attr_name не равно mailNickname или userPrincipalName, чтобы можно было предоставить этот атрибут Microsoft Entra.

$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}

Вставьте полученный скрипт из текстового редактора в сеанс PowerShell. Если возникают какие-либо ошибки, перед продолжением их необходимо исправить.

Поддерживайте отдельных и несопоставленных пользователей в приложении и Microsoft Entra ID.

В источнике данных приложения может быть суперадминистратор, который не соответствует конкретному пользователю в идентификаторе Microsoft Entra. Если вы не создаете пользователей Microsoft Entra для них, эти пользователи не смогут управляться с помощью идентификатора Microsoft Entra или Управления идентификаторами Microsoft Entra. Так как эти пользователи не смогут войти с помощью идентификатора Microsoft Entra ID, поэтому если вы настраиваете приложение для использования идентификатора Microsoft Entra в качестве поставщика удостоверений, убедитесь, что эти пользователи не используют идентификатор Microsoft Entra для проверки подлинности.

Повторное экспортирование пользователей

После обновления пользователей Microsoft Entra, пользователей в приложении или правил сопоставления приложений Microsoft Entra необходимо повторно экспортировать данные и выполнить процедуру сопоставления пользователей, чтобы убедиться, что все пользователи соответствуют друг другу.

Если вы используете услуги SAP Cloud Identity Services, следуйте руководству по подготовке SAP Cloud Identity Services, начиная с шага, чтобы убедиться, что существующие пользователи SAP Cloud Identity Services имеют необходимые атрибуты сопоставления. В этом руководстве вы экспортируете список пользователей из sap Cloud Identity Services в CSV-файл, а затем используете PowerShell для сопоставления пользователей с пользователями в идентификаторе Microsoft Entra.
Если приложение использует каталог LDAP, следуйте инструкциям по подготовке каталогов LDAP , начиная с шага, чтобы собрать существующих пользователей из каталога LDAP.
Для других приложений, включая те, которые используют базу данных SQL или имеют поддержку управления в галерее приложений, следуйте руководству по управлению существующими пользователями приложения, начиная с шага сбора существующих пользователей из приложения.

Назначение пользователей на роли приложений и включение управления доступом

После завершения необходимых обновлений и подтверждения того, что все пользователи из приложения совпадают с пользователями в Microsoft Entra ID, необходимо назначить нуждающимся в доступе пользователям Microsoft Entra ID роль приложения Microsoft Entra и затем включить подготовку к приложению.

Если вы используете облачные службы удостоверений SAP, перейдите к руководству по подготовке облачных служб удостоверений SAP , начиная с шага, чтобы убедиться, что существующие пользователи Microsoft Entra имеют необходимые атрибуты.