Предоставление настраиваемых атрибутов безопасности из источников HR

Автоматическое управление настраиваемыми атрибутами безопасности позволяет клиентам задавать их с помощью возможностей входящей подготовки данных в Microsoft Entra. С помощью этой функции можно использовать исходные значения для пользовательских атрибутов безопасности из авторитетных источников, таких как из систем управления персоналом. Предоставление кастомных атрибутов безопасности поддерживает следующие источники: Workday, SAP SuccessFactors и другие интегрированные HR-системы, использующие предоставление на основе API. Целевой объект подготовки — это клиент идентификатора Microsoft Entra.

Настраиваемые атрибуты безопасности

Настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra — это бизнес-атрибуты (пары ключевых значений), которые можно определить и назначить объектам Microsoft Entra. Эти атрибуты можно использовать для хранения информации, классификации объектов или обеспечения точного управления доступом к определенным ресурсам Azure. Дополнительные сведения о настраиваемых атрибутах безопасности см. в разделе "Что такое настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra?".

Предпосылки

Чтобы подготовить настраиваемые атрибуты безопасности, необходимо выполнить следующие предварительные требования:

• Лицензия Microsoft Entra ID Premium P1 для настройки одного из следующих приложений для подготовки входящего трафика:
  • Настройка пользователей из Workday в Microsoft Entra ID
  • Подготовка пользователей из SAP SuccessFactors для Microsoft Entra ID
  • Подготовка с использованием API для Microsoft Entra ID
• Активные настраиваемые атрибуты безопасности в клиенте для обнаружения во время процесса сопоставления атрибутов. Перед использованием этой функции необходимо создать настраиваемые наборы атрибутов безопасности в клиенте идентификатора Microsoft Entra ID. Служба подготовки поддерживает настройку отдельных произвольных и предопределенных значений для настраиваемых атрибутов безопасности типа String, Integer и Boolean.
• Чтобы настроить настраиваемые атрибуты безопасности в сопоставлении атрибутов входящего приложения подготовки, войдите в Центр администрирования Microsoft Entra в качестве пользователя, которому назначены роли администратора приложений и администратора подготовки атрибутов Microsoft:
  • Администратор приложения требуется для создания и обновления приложения управления.
  • Администратор предоставления атрибутов требуется для добавления или удаления пользовательских атрибутов безопасности в разделе сопоставления атрибутов приложения для предоставления.

Известные ограничения

• Подготовка многозначных настраиваемых атрибутов безопасности не поддерживается.
• Развертывание деактивированных пользовательских атрибутов безопасности не поддерживается.
• С ролью Attribute Log Reader нельзя просматривать значение настраиваемого атрибута безопасности в журналах подготовки.

Настройка приложения подготовки с помощью настраиваемых атрибутов безопасности

Прежде чем начать, выполните следующие действия , чтобы добавить настраиваемые атрибуты безопасности в клиент идентификатора Microsoft Entra и сопоставить настраиваемые атрибуты безопасности в приложении подготовки для входящего трафика.

Определение настраиваемых атрибутов безопасности в клиенте Идентификатора Microsoft Entra

В Центре администрирования Microsoft Entra откройте параметр для добавления настраиваемых атрибутов безопасности из Entra ID>Настраиваемые атрибуты безопасности. Для выполнения этой задачи необходимо иметь по крайней мере роль администратора определения атрибутов .

В этом примере содержатся настраиваемые атрибуты безопасности, которые можно добавить в интерфейс арендатора. Используйте набор HRConfidentialData атрибутов, а затем добавьте в нее следующие атрибуты:

• EEOStatus (String)
• FLSAStatus (строка)
• PayGrade (String)
• PayScaleType (String)
• IsRehire (Boolean)
• УровеньСотрудника (целое число)

Сопоставление настраиваемых атрибутов безопасности в приложении для подготовки входящего трафика

1. Войдите в Центр администрирования Microsoft Entra в качестве пользователя, у которого есть разрешения администратора приложения и администратора подготовки атрибутов .

2. Перейдите к корпоративным приложениям, а затем откройте приложение для подготовки входящего трафика.

3. Откройте экран настройки.

   

   Замечание

   В этом руководстве отображаются снимки экрана подготовки на основе API в Microsoft Entra ID. Если вы используете приложения подготовки Workday или SuccessFactors, вы увидите связанные атрибуты и конфигурации Workday и SuccessFactors.

4. Выберите Изменить настройки конфигурации.

   

5. Выберите сопоставление атрибутов , чтобы открыть экран сопоставления атрибутов.

   

6. Определите атрибуты, для которых требуется хранение конфиденциальных данных отдела кадров, затем установите флажок "Показать дополнительные параметры", чтобы открыть список атрибутов.

7. Выберите "Изменить список атрибутов" для API, чтобы определить эти атрибуты, которые требуется протестировать.

   

   • Проверьте настраиваемые атрибуты безопасности с помощью API подготовки входящего трафика, определив пространство имен схемы SCIM: urn:ietf:params:scim:schemas:extension:microsoft:entra:csa Обязательно включите следующие атрибуты:

     • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatus
     • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatus
     • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGrade
     • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayScaleType
     • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:isRehire
     • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EmployeeLevel

   

   Замечание

   Вы можете определить собственное пространство имён для схемы SCIM, чтобы представлять конфиденциальные данные кадровых ресурсов в полезных данных SCIM. Убедитесь, что он начинается с urn:ietf:params:scim:schemas:extension.

   • Если вы используете Workday или SuccessFactors в качестве источника кадров, обновите список атрибутов с помощью выражений API для получения данных отдела кадров для хранения в списке настраиваемых атрибутов безопасности.

   • Если вы хотите получить тот же набор данных отдела кадров из SuccessFactors, используйте следующие выражения API:

     • $.employmentNav.results[0].jobInfoNav.results[0].eeoClass
     • $.employmentNav.results[0].jobInfoNav.results[0].flsaStatus
     • $.employmentNav.results[0].jobInfoNav.results[0].payGradeNav.name
     • $.employmentNav.results[0].jobInfoNav.results[0].payScaleType

   

8. Сохраните изменения схемы.

9. На экране сопоставления атрибутов выберите "Добавить новое сопоставление".

   

   • Настраиваемые атрибуты безопасности отображаются в формате CustomSecurityAttributes.<AttributeSetName>_<AttributeName>.

10. Добавьте следующие сопоставления, а затем сохраните изменения:

    Атрибут источника API	Целевой атрибут идентификатора Microsoft Entra ID
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatus	CustomSecurityAttributes.HRConfidentialData_EEOStatus
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatus	CustomSecurityAttributes.HRConfidentialData_FLSAStatus
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGrade	СпециальныеАтрибутыБезопасности.HRКонфиденциальныеДанные_УровеньОплаты
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:ТипШкалыОплаты	ПользовательскиеАтрибутыБезопасности.HRКонфиденциальныеДанные_ТипШкалыОплаты
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:isRehire	CustomSecurityAttributes.HRConfidentialData_IsRehire
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EmployeeLevel	CustomSecurityAttributes.КонфиденциальныеДанныеHR_УровеньСотрудника

Тестирование обеспечения настраиваемых атрибутов безопасности

После сопоставления атрибутов источника кадров с настраиваемыми атрибутами безопасности используйте следующий метод, чтобы проверить поток данных настраиваемых атрибутов безопасности. Выбранный метод зависит от типа приложения подготовки.

• Если задание использует Workday или SuccessFactors в качестве источника, используйте возможность подготовки по запросу для тестирования потока данных настраиваемых атрибутов безопасности.
• Если ваша работа использует подготовку на основе API, отправьте массовые полезные данные SCIM в конечную точку API bulkUpload вашей работы.

Тестирование с помощью приложения подготовки SuccessFactors

В этом примере атрибуты SAP SuccessFactors сопоставляются с настраиваемыми атрибутами безопасности, как показано ниже.

1. Откройте задание подготовки SuccessFactors, а затем выберите "Подготовка по запросу".

2. В поле "Выбор пользователя " введите атрибут personIdExternal пользователя, который требуется протестировать.

   Журналы обеспечения отображают пользовательские атрибуты безопасности, заданные вами.

   

   Замечание

   Исходные и целевые значения настраиваемых атрибутов безопасности удаляются в логах предоставления.

3. На экране настраиваемых атрибутов безопасности профиля идентификатора Microsoft Entra пользователя можно просмотреть фактические значения, заданные для этого пользователя. Чтобы просмотреть эти данные, вам потребуется по крайней мере роль администратора назначения атрибутов или читателя назначений атрибутов .

   

Тестирование с помощью приложения для управления с помощью API.

1. Создайте запрос данных массового запроса SCIM, который содержит значения для настраиваемых атрибутов безопасности.

   

   • Чтобы получить доступ к полному полезному грузу SCIM, см. пример данных SCIM.

2. Скопируйте URL-адрес API bulkUpload из страницы обзора задания подготовки.

   

3. Используйте обозреватель Graph или cURL, а затем отправьте SCIM-пакет в конечную точку API bulkUpload.

   

   • Если в формате полезных данных SCIM отсутствуют ошибки, вы получите состояние "Принято ".
   • Подождите несколько минут, а затем проверьте журналы выполнения задания на базе API.

4. Настраиваемый атрибут безопасности отображается в следующем примере.

   

   Замечание

   Исходные и целевые значения настраиваемых атрибутов безопасности удаляются в журналах подготовки. Чтобы просмотреть фактические значения, заданные для пользователя, перейдите к профилю идентификатора Microsoft Entra.
   Данные отображаются на экране настраиваемых атрибутов безопасности . Чтобы просмотреть эти данные, вам потребуется по крайней мере роль администратора назначения атрибутов или читателя назначений атрибутов.

   

Пример полезной нагрузки SCIM с пользовательскими атрибутами безопасности

В этом примере массового запроса SCIM содержатся настраиваемые поля в расширении urn:ietf:params:scim:schemas:extension:microsoft:entra:csa , которые можно сопоставить с настраиваемыми атрибутами безопасности.

{
    "schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
    "Operations": [{
            "method": "POST",
            "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
            "path": "/Users",
            "data": {
                "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa"],
                "id": "2819c223-7f76-453a-919d-413861904646",
                "externalId": "701984",
                "userName": "bjensen@example.com",
                "name": {
                    "formatted": "Ms. Barbara J Jensen, III",
                    "familyName": "Jensen",
                    "givenName": "Barbara",
                    "middleName": "Jane",
                    "honorificPrefix": "Ms.",
                    "honorificSuffix": "III"
                },
                "displayName": "Babs Jensen",
                "nickName": "Babs",
                "emails": [{
                        "value": "bjensen@example.com",
                        "type": "work",
                        "primary": true
                    }
                ],
                "addresses": [{
                        "type": "work",
                        "streetAddress": "234300 Universal City Plaza",
                        "locality": "Hollywood",
                        "region": "CA",
                        "postalCode": "91608",
                        "country": "USA",
                        "formatted": "100 Universal City Plaza\nHollywood, CA 91608 USA",
                        "primary": true
                    }
                ],
                "phoneNumbers": [{
                        "value": "555-555-5555",
                        "type": "work"
                    }
                ],
                "userType": "Employee",
                "title": "Tour Guide",
                "preferredLanguage": "en-US",
                "locale": "en-US",
                "timezone": "America/Los_Angeles",
                "active": true,
                "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
                    "employeeNumber": "701984",
                    "costCenter": "4130",
                    "organization": "Universal Studios",
                    "division": "Theme Park",
                    "department": "Tour Operations",
                    "manager": {
                        "value": "89607",
                        "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
                        "displayName": "John Smith"
                    }
                },
                "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
                    "EEOStatus":"Semi-skilled",
                    "FLSAStatus":"Non-exempt",
                    "PayGrade":"IC-Level5",
                    "PayScaleType":"Revenue-based",
					"IsRehire": false,
					"EmployeeLevel": 64					
                }
            }
        }, {
            "method": "POST",
            "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
            "path": "/Users",
            "data": {
                "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa" ],
                "id": "2819c223-7f76-453a-919d-413861904646",
                "externalId": "701985",
                "userName": "Kjensen@example.com",
                "name": {
                    "formatted": "Ms. Kathy J Jensen, III",
                    "familyName": "Jensen",
                    "givenName": "Kathy",
                    "middleName": "Jane",
                    "honorificPrefix": "Ms.",
                    "honorificSuffix": "III"
                },
                "displayName": "Kathy Jensen",
                "nickName": "Kathy",
                "emails": [{
                        "value": "kjensen@example.com",
                        "type": "work",
                        "primary": true
                    }
                ],
                "addresses": [{
                        "type": "work",
                        "streetAddress": "100 Oracle City Plaza",
                        "locality": "Hollywood",
                        "region": "CA",
                        "postalCode": "91618",
                        "country": "USA",
                        "formatted": "100 Oracle City Plaza\nHollywood, CA 91618 USA",
                        "primary": true
                    }
                ],
                "phoneNumbers": [{
                        "value": "555-555-5545",
                        "type": "work"
                    }
                ],
                "userType": "Employee",
                "title": "Tour Lead",
                "preferredLanguage": "en-US",
                "locale": "en-US",
                "timezone": "America/Los_Angeles",
                "active": true,
                "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
                    "employeeNumber": "701984",
                    "costCenter": "4130",
                    "organization": "Universal Studios",
                    "division": "Theme Park",
                    "department": "Tour Operations",
                    "manager": {
                        "value": "89607",
                        "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
                        "displayName": "John Smith"
                    }
                },
                "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
                    "EEOStatus":"Skilled",
                    "FLSAStatus":"Exempt",
                    "PayGrade":"Manager-Level2",
                    "PayScaleType":"Profit-based",
					"IsRehire": true,
					"EmployeeLevel": 63
                }
                
            }
        }
    ],
    "failOnErrors": null
}

Подготовка настраиваемых атрибутов безопасности для гибридных пользователей

Гибридные пользователи подготавливаются из систем управления персоналом, сначала в локальной среде Active Directory, а затем синхронизируются с идентификатором Microsoft Entra Connect с помощью службы "Синхронизация записей" или "Облачная синхронизация". Настраиваемые атрибуты безопасности можно назначать гибридным пользователям, и эти атрибуты присутствуют только в профиле идентификатора Microsoft Entra гибридного пользователя.

В этом разделе описывается топология конфигурирования для автоматического назначения кастомизированных атрибутов безопасности для гибридных пользователей. Он использует Workday в качестве надежного источника кадров. Однако ту же топологию также можно использовать с SuccessFactors и подготовкой на основе API.

Предположим, Workday — это ваша система учёта кадров для идентификаций. Чтобы задать настраиваемые атрибуты безопасности для гибридных пользователей, полученных из Workday, настройте два приложения подготовки:

• Подготовка Workday к локальной Active Directory: Это приложение для подготовки создает и обновляет гибридных пользователей в локальной Active Directory. Он обрабатывает только обычные атрибуты из Workday.
• Подключение Workday к Microsoft Entra ID: Настройте это приложение подготовки таким образом, чтобы оно обрабатывало только операции обновления и ограничивало сопоставление атрибутов, включая в качестве целевых только настраиваемые атрибуты безопасности.

В этой топологии ниже показано, как работает сквозной поток:

1. Приложение Workday-to-AD настройки импортирует основной профиль пользователя из Workday.
2. Приложение создает или обновляет учетную запись пользователя в локальной среде Active Directory с помощью идентификатора сотрудника в качестве соответствующего идентификатора.
3. Microsoft Entra Connect Sync / Cloud Sync синхронизирует профиль пользователя с идентификатором Microsoft Entra.
4. Если вы настроили обратную запись Workday, данные электронной почты или номера телефона записываются обратно в Workday.
5. Приложение провизионирования идентификаторов Workday-to-Microsoft Entra настроено только для обработки обновлений и установки конфиденциальных атрибутов как настраиваемых атрибутов безопасности. Используйте редактор схем в разделе "Показать расширенные параметры ", чтобы удалить сопоставления атрибутов по умолчанию, такие как accountEnabled и isSoftDeleted которые не относятся к этому сценарию.

Эта конфигурация назначает пользовательские атрибуты безопасности гибридным пользователям, синхронизированным с идентификатором Microsoft Entra из локальной среды Active Directory.

Разрешения API для подготовки настраиваемых атрибутов безопасности

Эта функция содержит следующие новые разрешения API Graph. Эта функция позволяет получать доступ к схемам приложений подготовки и изменять их, содержащие сопоставления настраиваемых атрибутов безопасности, напрямую или от имени пользователя, вошедшего в систему.

1. CustomSecAttributeProvisioning.ReadWrite.All: это разрешение предоставляет вызывающему приложению возможность чтения и записи сопоставления атрибутов, содержащего настраиваемые атрибуты безопасности. Для изменения приложения управления доступом, содержащего сопоставления настраиваемых атрибутов безопасности, требуется разрешение с Application.ReadWrite.OwnedBy, Synchronization.ReadWrite.All или Application.ReadWrite.All (от наименьшего до высшего уровня привилегий). Это разрешение позволяет получить полную схему, содержащую настраиваемые атрибуты безопасности, а также обновить или сбросить схему с настраиваемыми атрибутами безопасности.

2. CustomSecAttributeProvisioning.Read.All: это разрешение предоставляет вызывающему приложению возможность считывания сопоставления атрибутов и журналов подготовки, содержащих настраиваемые атрибуты безопасности. Для просмотра имен и значений настраиваемых атрибутов безопасности в защищенных ресурсах требуется разрешение Synchronization.Read.All или Application.Read.All (от наименьшего до максимального уровня привилегий).

Если у приложения нет CustomSecAttributeProvisioning.ReadWrite.All разрешения или CustomSecAttributeProvisioning.Read.All разрешения, оно не может получить доступ к приложениям подготовки или изменять их, если они содержат настраиваемые атрибуты безопасности. Вместо этого появляется сообщение об ошибке или отредактированные данные.

Устранение неполадок с развертыванием пользовательских атрибутов безопасности

Дальнейшие шаги

Настройка сопоставлений атрибутов