Руководство. Настройка сопоставлений атрибутов подготовки пользователей для приложений SaaS в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra предоставляет поддержку подготовки пользователей к приложениям, не имеющим microsoft SaaS, таким как Salesforce, G Suite и другие. Если включить подготовку пользователей для приложения SaaS, отличного от Microsoft SaaS, центр администрирования Microsoft Entra управляет значениями атрибутов с помощью сопоставлений атрибутов.
Прежде чем приступить к работе, убедитесь, что вы знакомы с концепциями управления приложениями и единого входа. Ознакомьтесь со следующими ресурсами:
- Краткое руководство по управлению приложениями в идентификаторе Microsoft Entra
- Что собой представляет единый вход
Существует предварительно настроенный набор атрибутов и сопоставлений атрибутов между пользовательскими объектами Microsoft Entra и пользовательскими объектами каждого приложения SaaS. Некоторые приложения управляют другими типами объектов в дополнение к пользователям, такими как группы.
Сопоставление атрибутов по умолчанию можно настроить в соответствии с потребностями вашего бизнеса. Поэтому можно изменить или удалить существующие сопоставления атрибутов или создать новые.
Примечание.
Помимо настройки сопоставлений атрибутов с помощью интерфейса Microsoft Entra, можно просматривать, скачивать и изменять представление JSON схемы.
Изменение сопоставлений атрибутов пользователя
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Чтобы получить доступ к функции сопоставления для подготовки пользователей, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
Перейдите к приложениям Identity>Applications>Enterprise.
Отобразится список всех настроенных приложений, включая приложения, добавленные из коллекции.
Выберите любое приложение, чтобы загрузить его область управления, в которой можно просматривать отчеты и управлять параметрами приложения.
Выберите Подготовка, чтобы управлять параметрами подготовки учетных записей пользователей для выбранного приложения.
Разверните сопоставления , чтобы просмотреть и изменить атрибуты пользователя, которые потокуются между идентификатором Microsoft Entra и целевым приложением. Если целевое приложение поддерживает это, данный раздел позволит также настроить подготовку групп и учетных записей пользователей.
Если щелкнуть конфигурацию Сопоставления, откроется соответствующий экран Сопоставление атрибутов. Приложения SaaS требуют правильной работы определенных сопоставлений атрибутов. Для требуемых атрибутов функция Удалить недоступна.
На этом снимке экрана видно, что атрибут имени пользователя управляемого объекта в Salesforce заполняется значением userPrincipalName связанного объекта Microsoft Entra.
Примечание.
Если снять флажок Создание, это не повлияет на существующих пользователей. Если параметр Создание не выбран, создание новых пользователей невозможно.
Выберите существующее сопоставление атрибутов, чтобы открыть экран Изменить атрибут. Здесь можно изменить атрибуты пользователя, которые потоком между идентификатором Microsoft Entra и целевым приложением.
Основные сведения о типах сопоставления атрибутов
С помощью сопоставлений атрибутов вы управляете заполнением атрибутов в приложении SaaS, отличном от Майкрософт. Поддерживаются четыре типа сопоставлений:
- Direct — целевой атрибут заполняется значением атрибута связанного объекта в идентификаторе Microsoft Entra.
- Постоянное — целевой атрибут заполняется определенной строкой, указанной вами.
- Выражение — целевой атрибут заполняется на основе результата выражения, похожего на сценарий. Дополнительные сведения о выражениях см. в разделе "Написание выражений для сопоставлений атрибутов" в идентификаторе Microsoft Entra ID.
- Нет — целевой атрибут остается без изменений. Однако если целевой атрибут когда-либо пуст, он заполняется заданным значением по умолчанию.
Кроме этих четырех основных типов, в сопоставлениях настраиваемых атрибутов также поддерживается назначение значений по умолчанию. Назначение значений по умолчанию гарантирует, что целевой атрибут заполняется значением, если нет значения в идентификаторе Microsoft Entra или целевом объекте. В наиболее распространенной конфигурации это поле остается пустым. Дополнительные сведения об атрибутах сопоставления см. в статье о работе подготовки приложений в идентификаторе Microsoft Entra.
Основные сведения о свойствах сопоставления атрибутов
В предыдущем разделе описано свойство типа сопоставления атрибутов. Наряду с этим свойством сопоставления атрибутов также поддерживают атрибуты:
- Исходный атрибут — атрибут пользователя из исходной системы (например, идентификатор Microsoft Entra).
- Целевой атрибут — атрибут пользователя в целевой системе (например, ServiceNow).
- Значение по умолчанию, если значение NULL (необязательно) — значение, передаваемое целевой системе, если исходный атрибут имеет значение NULL. Это значение подготавливается только при создании пользователя. Значение по умолчанию, если значение NULL не подготавливается при обновлении существующего пользователя. Например, добавьте значение по умолчанию для заголовка задания при создании пользователя с выражением:
Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle])
Дополнительные сведения о выражениях см. в справочнике по написанию выражений для сопоставления атрибутов в идентификаторе Microsoft Entra. - Сопоставление объектов с помощью этого атрибута — должно ли это сопоставление использоваться для уникальной идентификации пользователей между исходной и целевой системами. Используется в
userPrincipalName
атрибуте microsoft Entra ID и сопоставлен с полем имени пользователя в целевом приложении. - Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При указании нескольких атрибутов сопоставления они вычисляются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются. Хотя вы можете задать столько соответствующих атрибутов, сколько вы хотите, рассмотрите, являются ли атрибуты, которые вы используете в качестве соответствующих атрибутов, действительно уникальными и должны соответствовать атрибутам. Как правило, клиенты имеют один или два соответствующие атрибуты в конфигурации.
- Примените сопоставление.
- Всегда — применение этого сопоставления как при создании, так и при обновлении пользователей.
- Только при создании — применение этого сопоставления только при создании пользователей.
Сопоставление пользователей в исходной и целевой системах
Службу подготовки Microsoft Entra можно развернуть в сценариях "зеленого поля" (где пользователи не существуют в целевой системе) и "браунфилд" (где пользователи уже существуют в целевой системе). Чтобы реализовать оба сценария, служба подготовки использует принцип сопоставляемых атрибутов. Сопоставляемые атрибуты позволяют определить, как однозначно идентифицировать пользователя в исходной системе и сопоставить его с пользователем в целевой системе. При планировании развертывания следует указать атрибут, который может быть использован для уникальной идентификации пользователя в исходной и целевой системах. Следует учесть:
- Соответствующие атрибуты должны быть уникальными: клиенты часто используют такие атрибуты, как userPrincipalName, почта или идентификатор объекта в качестве соответствующего атрибута.
- Несколько атрибутов можно использовать в качестве соответствующих атрибутов: можно определить несколько атрибутов, которые необходимо оценить при сопоставлении пользователей и порядок их вычисления (определенный как соответствующий приоритет в пользовательском интерфейсе). Например, вы определяете три атрибута в качестве соответствующих атрибутов, а пользователь однозначно сопоставляется после оценки первых двух атрибутов, служба не будет оценивать третий атрибут. Служба вычисляет соответствующие атрибуты в указанном порядке и останавливает оценку при обнаружении совпадения.
- Значение в источнике и целевом объекте не должно совпадать точно: значение в целевом объекте может быть функцией значения в источнике. Например, в исходной системе может быть атрибут emailAddress, а в исходной системе — атрибут userPrincipalName. Их можно сопоставить с помощью функции атрибута emailAddress, которая заменяет некоторые знаки некоторым постоянным значением.
- Сопоставление на основе сочетания атрибутов не поддерживается: большинство приложений не поддерживают запросы на основе двух свойств. Таким образом, невозможно сопоставить их на основе сочетания атрибутов. Можно оценить отдельные свойства после другого.
- Все пользователи должны иметь значение по крайней мере для одного соответствующего атрибута: если вы определяете один соответствующий атрибут, все пользователи должны иметь значение для этого атрибута в исходной системе. Например, вы определяете userPrincipalName в качестве соответствующего атрибута, все пользователи должны иметь имя userPrincipalName. Если вы определяете несколько соответствующих атрибутов (например, extensionAttribute1 и mail), не все пользователи должны иметь одинаковый атрибут сопоставления. У одного пользователя может быть только атрибут extensionAttribute1, но не атрибут mail, тогда как у другого пользователя может быть атрибут mail, но не атрибут extensionAttribute1.
- Целевое приложение должно поддерживать фильтрацию по соответствующим атрибутам: разработчики приложений разрешают фильтрацию для подмножества атрибутов в api пользователя или группы. Для приложений из коллекции мы гарантируем, что сопоставление атрибутов по умолчанию позволит сопоставлять атрибуты, фильтрацию по которым API целевого приложения не поддерживает. При изменении атрибута сопоставления по умолчанию для целевого приложения проверьте документацию по API, отличной от Майкрософт, чтобы убедиться, что атрибут можно отфильтровать.
Изменение сопоставлений атрибутов группы
Выбранное количество приложений, таких как ServiceNow, Box и G Suite, поддерживает возможность подготовки групп и объектов пользователей. Объекты группы могут содержать свойства группы, такие как отображаемые имена и псевдонимы электронной почты (в дополнение к участникам группы).
При необходимости можно включить или отключить подготовку группы, выбрав сопоставление группы в разделе Сопоставления и задав для параметра Включено нужное значение на экране Сопоставление атрибутов.
Атрибуты, подготовленные как часть объектов группы, можно настроить так же, как объекты пользователя, описанные ранее.
Совет
Подготовка объектов группы (свойства и участники) отличается от присвоения групп приложению. Можно назначить группу приложению, но подготовить только объекты пользователя, содержащиеся в группе. Подготовка объектов полной группы не требуется для использования групп в назначениях.
Изменение списка поддерживаемых атрибутов
Атрибуты пользователя, поддерживаемые для данного приложения, предварительно настроены. Большинство API управления пользователями приложений не поддерживает обнаружение схемы. Таким образом, служба подготовки Microsoft Entra не может динамически создавать список поддерживаемых атрибутов, выполняя вызовы к приложению.
Однако некоторые приложения поддерживают пользовательские атрибуты, а служба подготовки Microsoft Entra может читать и записывать в настраиваемые атрибуты. Чтобы ввести их определения в Центр администрирования Microsoft Entra, установите флажок "Показать дополнительные параметры " в нижней части экрана сопоставления атрибутов, а затем выберите "Изменить список атрибутов" для приложения.
Ниже приведены приложения и системы, поддерживающие настройку списка атрибутов.
- Salesforce
- ServiceNow
- Workday to Active Directory / Workday to Microsoft Entra ID
- SuccessFactors в Active Directory / SuccessFactors в идентификатор Microsoft Entra
- Идентификатор Microsoft Entra (атрибуты API Graph для идентификатора Microsoft Entra ID и пользовательские расширения каталогов поддерживаются). Дополнительные сведения о создании расширений см. в разделе "Синхронизация атрибутов расширения" для подготовки приложений Microsoft Entra и известных проблем для подготовки в идентификаторе Microsoft Entra
- Приложения, поддерживающие систему междоменного удостоверения (SCIM) 2.0
- Идентификатор Microsoft Entra поддерживает обратную запись в Workday или SuccessFactors для метаданных XPATH и JSONPath. Идентификатор Microsoft Entra не поддерживает новые атрибуты Workday или SuccessFactors, не включенные в схему по умолчанию
Примечание.
Редактирование списка поддерживаемых атрибутов рекомендуется только для администраторов, которые настраивали схему своих приложений и систем, и имеют знания о том, как были определены пользовательские атрибуты или если исходный атрибут не отображается автоматически в пользовательском интерфейсе Центра администрирования Microsoft Entra. Иногда для этого требуются навыки работы с API-интерфейсами и средствами разработчика, предоставляемыми приложением или системой. Возможность изменять список поддерживаемых атрибутов по умолчанию заблокирована, но клиенты могут включить эту возможность, перейдя по следующему URL-адресу: https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true. Затем вы можете перейти к приложению, чтобы просмотреть список атрибутов.
Примечание.
Если атрибут расширения каталога в идентификаторе Microsoft Entra id не отображается автоматически в раскрывающемся списке сопоставления атрибутов, его можно добавить вручную в список атрибутов Microsoft Entra. При добавлении атрибутов расширения каталога Microsoft Entra в приложение подготовки обратите внимание, что имена атрибутов расширения каталога чувствительны к регистру. Например, если у вас есть атрибут расширения каталога с именем extension_53c9e2c0exxxxxxxxxxxxxxxx_acmeCostCenter
, убедитесь, что он указан в том же формате, что и в каталоге. Подготовка атрибутов расширения каталога с несколькими значениями не поддерживается.
При редактировании списка поддерживаемых атрибутов предоставляются следующие свойства:
- Имя — системное имя атрибута, определенное в схеме целевого объекта.
- Тип данных, хранящий атрибут, как определено в схеме целевого объекта, который может быть одним из следующих типов.
- Binary — атрибут содержит двоичные данные.
- Boolean — атрибут содержит значение True или False.
- DateTime — атрибут содержит строку даты.
- Integer — атрибут содержит целое число.
- Reference — атрибут содержит идентификатор, который ссылается на значение, хранящееся в другой таблице в целевом приложении.
- String — атрибут содержит текстовую строку.
- Первичный ключ? — указывает, определен ли атрибут как поле первичного ключа в схеме целевого объекта.
- Обязательное? — указывает, является ли атрибут обязательным для заполнения в целевом приложении или системе.
- С несколькими значениями? — указывает, поддерживает ли атрибут несколько значений.
- С учетом регистра? — указывает, учитывается ли регистр при оценке значений атрибутов.
- Выражение API — не используется, если это иное не указано в документации по конкретному соединителю для подготовки (например, Workday).
- Атрибут объекта ссылки — если применяется атрибут ссылочного типа, то в этом меню можно выбрать таблицу и атрибут в целевом приложении, которое содержит значение, связанное с атрибутом. Например, если у вас есть атрибут "Department", сохраненный значение которого ссылается на объект в отдельной таблице "Отделы", вы выберете
Departments.Name
. Справочные таблицы и поля первичного идентификатора, поддерживаемые для данного приложения, предварительно настроены и не могут быть изменены с помощью Центра администрирования Microsoft Entra. Однако их можно изменить с помощью API Microsoft Graph.
Подготовка настраиваемого атрибута расширения для приложения, совместимого со SCIM
Запрос SCIM для комментариев (RFC) определяет базовую схему пользователя и группы, а также позволяет расширениям схемы соответствовать потребностям приложения. Чтобы добавить настраиваемый атрибут в приложение SCIM, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
- Перейдите к приложениям Identity>Applications>Enterprise.
- Выберите приложение и выберите команду "Подготовка".
- В разделе Сопоставления выберите объект (пользователя или группу), для которого необходимо добавить настраиваемый атрибут.
- В нижней части страницы щелкните Показать дополнительные параметры.
- Выберите Изменить список атрибутов для <ваше приложение>.
- В нижней части списка атрибутов введите данные настраиваемого атрибута в предоставленных полях. Затем нажмите кнопку Добавить атрибут.
Для приложений SCIM имя атрибута должно соответствовать шаблону, приведенному в примере. Атрибуты CustomExtensionName и CustomAttribute можно настроить в соответствии с требованиями приложения, например: urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute
Эти инструкции относятся только к приложениям с поддержкой SCIM. Такие приложения, как ServiceNow и Salesforce, не интегрированы с идентификатором Microsoft Entra с помощью SCIM, поэтому они не требуют этого конкретного пространства имен при добавлении пользовательского атрибута.
Пользовательские атрибуты нельзя ссылаться на атрибуты, многозначные или сложные атрибуты. Настраиваемые атрибуты расширения с несколькими значениями и атрибуты расширения сложного типа сейчас поддерживаются только для приложений из коллекции. Пользовательский заголовок схемы расширения опущен в примере, так как он не отправляется в запросах от клиента Microsoft Entra SCIM.
Пример представления пользователя с атрибутом расширения.
{
"schemas":[
"urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
],
"userName":"bjensen",
"id": "48af03ac28ad4fb88478",
"externalId":"bjensen",
"name":{
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen",
"givenName":"Barbara"
},
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "701984",
"costCenter": "4130",
"organization": "Universal Studios",
"division": "Theme Park",
"department": "Tour Operations",
"manager": {
"value": "26118915-6090-4610-87e4-49d8ca9f808d",
"$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
"displayName": "John Smith"
}
},
"urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
"CustomAttribute": "701984",
},
"meta": {
"resourceType": "User",
"created": "2010-01-23T04:56:22Z",
"lastModified": "2011-05-13T04:42:34Z",
"version": "W\/\"3694e05e9dff591\"",
"location": "https://example.com/v2/Users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}
}
Подготовка роли для приложения SCIM
Выполните действия, описанные в примере, чтобы подготовить роли приложения для пользователя в приложении. Описание зависит от пользовательских приложений SCIM. Для приложений коллекции, таких как Salesforce и ServiceNow, используйте предопределенные сопоставления ролей. Маркеры описывают преобразование атрибута AppRoleAssignments в формат, который ожидает приложение.
- Сопоставление appRoleAssignment в идентификаторе Microsoft Entra с ролью в приложении требует преобразования атрибута с помощью выражения. Атрибут appRoleAssignment не должен быть сопоставлен непосредственно с атрибутом роли без использования выражения для анализа сведений о роли.
Примечание.
При подготовке ролей из корпоративных приложений стандарт SCIM определяет атрибуты роли корпоративного пользователя по-разному. Дополнительные сведения см. в разделе "Разработка и планирование подготовки для конечной точки SCIM" в идентификаторе Microsoft Entra.
SingleAppRoleAssignment
Когда используется: используйте выражение SingleAppRoleAssignment для подготовки одной роли для пользователя и указания основной роли.
Практическое руководство. Выполните описанные действия, чтобы перейти на страницу сопоставления атрибутов и использовать выражение SingleAppRoleAssignment для сопоставления с атрибутом ролей. Существует три атрибута роли для выбора (roles[primary eq "True"].display
, roles[primary eq "True"].type
и roles[primary eq "True"].value
). В сопоставлениях можно использовать любой или все атрибуты roles. Если вы хотите включить несколько атрибутов, просто добавьте новое сопоставление и включите его в качестве целевого атрибута.
Следует учесть...
- Убедитесь, что несколько ролей не назначены пользователю. Нет гарантии, какая роль подготовлена.
SingleAppRoleAssignments
Проверьте атрибут. Атрибут не совместим с параметром областиSync All users and groups
.
Пример запроса (POST)
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"externalId": "alias",
"userName": "[email protected]",
"active": true,
"displayName": "First Name Last Name",
"meta": {
"resourceType": "User"
},
"roles": [{
"primary": true,
"type": "WindowsAzureActiveDirectoryRole",
"value": "Admin"
}
]}
Пример выходных данных (PATCH)
"Operations": [
{
"op": "Add",
"path": "roles",
"value": [{
"value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
}
]
}]
Форматы запросов в PATCH и POST отличаются. Настроить использование одного формата можно с помощью специального флага.
AppRoleAssignmentsComplex
Когда используется: используйте выражение AppRoleAssignmentsComplex для подготовки нескольких ролей для пользователя. Практическое руководство. Изменение списка поддерживаемых атрибутов, как описано, чтобы включить новый атрибут для ролей:
Затем используйте выражение AppRoleAssignmentsComplex для сопоставления с атрибутом пользовательской роли, как показано на изображении:
Следует учесть...
- Все роли подготавливаются как первичные = false.
- Атрибут
id
не требуется в ролях SCIM. Вместо этого используйте атрибутvalue
. Например, еслиvalue
атрибут содержит имя или идентификатор роли, используйте его для подготовки роли. Вы можете использовать флаг функции здесь , чтобы устранить проблему с атрибутом идентификатора. Тем не менее, полагаться исключительно на атрибут значения не всегда достаточно; например, если имеется несколько ролей с одинаковым именем или идентификатором. В некоторых случаях необходимо использовать атрибут идентификатора для правильной подготовки роли.
Ограничения
- AppRoleAssignmentsComplex не совместим с параметром "Синхронизация всех пользователей и групп".
Пример запроса (POST)
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"externalId": "alias",
"userName": "[email protected]",
"active": true,
"displayName": "First Name Last Name",
"meta": {
"resourceType": "User"
},
"roles": [
{
"primary": false,
"type": "WindowsAzureActiveDirectoryRole",
"displayName": "Admin",
"value": "Admin"
},
{
"primary": false,
"type": "WindowsAzureActiveDirectoryRole",
"displayName": "User",
"value": "User"
}
]
}
Пример выходных данных (PATCH)
"Operations": [
{
"op": "Add",
"path": "roles",
"value": [
{
"value": "{"id":"06b07648-ecfe-589f-9d2f-6325724a46ee","value":"Admin","displayName":"Admin"}
},
{
"value": "{"id":"06b07648-ecfe-599f-9d2f-6325724a46ee","value":"User","displayName":"User"}
}
]
}
]
AssertiveAppRoleAssignmentsComplex (рекомендуется для сложных ролей)
Когда используется: используйте assertiveAppRoleAssignmentsComplex, чтобы включить функции замены PATCH. Для приложений SCIM, поддерживающих несколько ролей, это гарантирует, что роли, удаленные в идентификаторе Microsoft Entra, также удаляются в целевом приложении. Функция замены также удаляет все дополнительные роли, которые у пользователя не отражаются в идентификаторе записи.
Разница между AppRoleAssignmentsComplex и AssertiveAppRoleAssignmentsComplex — это режим вызова исправления и влияние на целевой системный элемент. Бывший выполняет добавление PATCH только и поэтому не удаляет существующие роли в целевом объекте. Последний заменяет PATCH, который удаляет роли в целевой системе, если они не были назначены пользователю на идентификаторе Записи.
Практическое руководство. Изменение списка поддерживаемых атрибутов, как описано, чтобы включить новый атрибут для ролей:
Затем используйте выражение AssertiveAppRoleAssignmentsComplex для сопоставления с атрибутом пользовательской роли, как показано на изображении:
Следует учесть...
- Все роли подготавливаются как первичные = false.
- Атрибут
id
не требуется в ролях SCIM. Вместо этого используйте атрибутvalue
. Например, еслиvalue
атрибут содержит имя или идентификатор роли, используйте его для подготовки роли. Вы можете использовать флаг функции здесь , чтобы устранить проблему с атрибутом идентификатора. Тем не менее, полагаться исключительно на атрибут значения не всегда достаточно; например, если имеется несколько ролей с одинаковым именем или идентификатором. В некоторых случаях необходимо использовать атрибут идентификатора для правильной подготовки роли.
Ограничения
- AssertiveAppRoleAssignmentsComplex не совместим с областью настройки "Синхронизация всех пользователей и групп".
Пример запроса (POST)
{"schemas":["urn:ietf:params:scim:schemas:core:2.0:User"],
"externalId":"contoso",
"userName":"[email protected]",
"active":true,
"roles":[{
"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"User",
"value":"User"},
{"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"Test",
"value":"Test"}],
}
Пример выходных данных (PATCH)
{"schemas":["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[{
"op":"replace",
"path":"roles",
"value":[{
"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"User",
"value":"User"},
{"primary":false,
"type":"WindowsAzureActiveDirectoryRole",
"display":"Test",
"value":"Test"}
]
}
]
}
Подготовка атрибута с несколькими значениями
Некоторые атрибуты, такие как phoneNumbers и электронная почта, являются атрибутами с несколькими значениями, в которых необходимо указать различные типы номеров телефонов или сообщений электронной почты. Используйте выражение для атрибутов с несколькими значениями. Он позволяет указать тип атрибута и сопоставить его с соответствующим атрибутом пользователя Microsoft Entra для значения.
phoneNumbers[type eq "work"].value
phoneNumbers[type eq "mobile"]
.ценностьphoneNumbers[type eq "fax"].value
"phoneNumbers": [ { "value": "555-555-5555", "type": "work" }, { "value": "555-555-5555", "type": "mobile" }, { "value": "555-555-5555", "type": "fax" } ]
Восстановление атрибутов по умолчанию и сопоставления атрибутов
Если вам нужно начать работу заново и сбросить имеющиеся сопоставления до состояния по умолчанию, установите флажок Восстановить сопоставления по умолчанию и сохраните конфигурацию. Это позволяет задать все сопоставления и фильтры области, как если бы приложение было добавлено в клиент Microsoft Entra из коллекции приложений.
При выборе этого параметра принудительно выполняется повторная синхронизация всех пользователей во время выполнения службы подготовки.
Внимание
Перед вызовом этого параметра настоятельно рекомендуется задать для параметра Состояние подготовки значение Откл.
Что нужно знать
- Идентификатор Microsoft Entra обеспечивает эффективную реализацию процесса синхронизации. Во время цикла синхронизации в инициализированной среде обрабатываются только объекты, требующие обновления.
- Обновление сопоставлений атрибутов влияет на производительность цикла синхронизации. Чтобы обновить конфигурацию сопоставления атрибутов, необходимо повторно оценить все управляемые объекты.
- Рекомендуется сократить количество последовательных изменений сопоставлений атрибутов.
- Добавление атрибута фотографии для подготовки к приложению не поддерживается сегодня, так как нельзя указать формат для синхронизации фотографии. Вы можете запросить функцию в голосовой связи пользователя.
- Атрибут
IsSoftDeleted
часто является частью сопоставлений по умолчанию для приложения.IsSoftdeleted
может иметь значение true в одном из четырех сценариев: 1) Пользователь выходит из области из-за того, что пользователь не назначен из приложения. 2) Пользователь выходит из области из-за отсутствия собрания фильтра области. 3) Пользователь обратимо удален в идентификаторе Microsoft Entra ID. 4) СвойствоAccountEnabled
имеет значение false для пользователя. Попробуйте сохранитьIsSoftDeleted
атрибут в сопоставлениях атрибутов. - Служба подготовки Microsoft Entra не поддерживает подготовку значений NULL.
- Они первичный ключ, как правило
ID
, не должны быть включены в качестве целевого атрибута в сопоставления атрибутов. - Атрибут roles обычно следует сопоставлять с помощью выражения, а не прямого сопоставления. Дополнительные сведения о сопоставлении ролей см. в статье "Подготовка роли в приложении SCIM".
- Хотя вы можете отключить группы из сопоставлений, отключение пользователей не поддерживается.
Следующие шаги
- Автоматическая подготовка пользователей и ее отзыв для приложений SaaS
- Запись выражений для сопоставления атрибутов
- Фильтры области для подготовки пользователей
- Использование SCIM для включения автоматической подготовки пользователей и групп из идентификатора Microsoft Entra в приложения
- Список учебников по интеграции приложений SaaS