Синхронизация атрибутов расширения для подготовки приложений Microsoft Entra

Идентификатор Microsoft Entra должен содержать все данные (атрибуты), необходимые для создания профиля пользователя при подготовке учетных записей пользователей из идентификатора Microsoft Entra в приложение SaaS или локальное приложение. При настройке сопоставлений атрибутов для подготовки пользователей может оказаться, что атрибут, который требуется сопоставить, не отображается в списке атрибутов Source в идентификаторе Microsoft Entra ID. Из этой статьи вы узнаете, как добавить отсутствующий атрибут.

Определение места добавления расширений

Добавление отсутствующих атрибутов, необходимых для приложения, начнется либо в локальной службе Active Directory, либо в Microsoft Entra ID, в зависимости от местоположения учетных записей пользователей и способа их передачи в Microsoft Entra ID.

Во-первых, определите, какие пользователи в арендаторе Microsoft Entra должны иметь доступ к приложению и поэтому подлежат обеспечению в приложении.

Затем определите источник атрибута и топологию для интеграции этих пользователей в Microsoft Entra ID.

Если пользователи вашей организации уже находятся в локальной службе Active Directory или вы создаете их в Active Directory, необходимо синхронизировать пользователей из Active Directory с Microsoft Entra ID. Вы можете синхронизировать пользователей и атрибутов с помощью Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect.

1. Обратитесь к администраторам локального домена Active Directory, чтобы проверить, являются ли необходимые атрибуты частью схемы объектов класса User AD DS, и если нет, расширьте схему служб доменов Active Directory в доменах, где у этих пользователей есть учетные записи.
2. Настройте Microsoft Entra Connect или облачную синхронизацию Microsoft Entra Connect, чтобы синхронизировать пользователей с их расширенными атрибутами из Active Directory в Microsoft Entra ID. Оба этих решения автоматически синхронизируют определенные атрибуты с идентификатором Microsoft Entra, но не все атрибуты. Кроме того, некоторые атрибуты (например sAMAccountName, синхронизированные по умолчанию) могут не предоставляться с помощью API Graph. В этих случаях можно использовать функцию расширения каталога Microsoft Entra Connect для синхронизации атрибута с идентификатором Microsoft Entra илииспользования облачной синхронизации Microsoft Entra Connect. Таким образом, атрибут отображается в API Graph и службе подготовки Microsoft Entra.
3. Если у пользователей в локальной службе Active Directory еще нет необходимых атрибутов, вам нужно обновить пользователей в Active Directory. Это обновление можно сделать, прочитав свойства из Workday, SAP SuccessFactors или, если вы используете другую систему управления персоналом, используя входящий HR API.
4. Дождитесь синхронизации облака Microsoft Entra Connect или Microsoft Entra Connect, чтобы синхронизировать эти обновления, внесенные в схему Active Directory, и пользователей Active Directory в идентификатор Microsoft Entra.

Кроме того, если ни один из пользователей, которым требуется доступ к приложению, не присутствует в локальной службе Active Directory, необходимо создать расширения схемы с помощью PowerShell или Microsoft Graph в системе Microsoft Entra ID, прежде чем настраивать подготовку к использованию приложения.

В следующих разделах описано, как создавать атрибуты расширения для клиента только с облачными пользователями, а также для клиента с пользователями Active Directory.

Создание атрибута расширения в клиенте только для пользователей облака

Вы можете использовать Microsoft Graph и PowerShell для расширения пользовательской схемы для пользователей в идентификаторе Microsoft Entra. Это необходимо, если у вас есть пользователи, которые нуждаются в этом атрибуте, и ни один из них не создается или не синхронизирован из локальной службы Active Directory. (Если у вас есть Active Directory, продолжайте читать ниже в разделе о том, как использовать функцию расширения каталога Microsoft Entra Connect для синхронизации атрибута с идентификатором Microsoft Entra.)

После создания расширений схемы в большинстве случаев эти атрибуты расширения автоматически обнаруживаются при следующем посещении страницы подготовки в Центре администрирования Microsoft Entra.

Если у вас более 1000 сервисных принципалов, вы можете обнаружить, что некоторые расширения отсутствуют в списке атрибутов источника. Если созданный атрибут не отображается автоматически, убедитесь, что он был создан, и добавьте его в схему вручную. Чтобы убедиться, что атрибут создан, используйте Microsoft Graph и Graph Explorer. Чтобы добавить его вручную в вашу схему, см. раздел редактирование списка поддерживаемых атрибутов.

Создание атрибута расширения только для пользователей облака с помощью Microsoft Graph

Вы можете расширить схему пользователей Microsoft Entra с помощью Microsoft Graph.

Сначала перечислите приложения в арендаторе, чтобы получить идентификатор приложения, над которым вы работаете сейчас. Дополнительные сведения см. в разделе Список объектов extensionProperties.

GET https://graph.microsoft.com/v1.0/applications

Затем создайте атрибут расширения. Замените приведенное ниже свойство ИД на идентификатор, полученный на предыдущем шаге. Необходимо использовать атрибут "ID", а не "appId". Дополнительные сведения см. в разделе [Создание свойства расширения]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

В предыдущем запросе создан атрибут расширения с форматом extension_appID_extensionName. Теперь вы можете обновить пользователя с помощью этого атрибута расширения. Дополнительные сведения см. в статье Обновление пользователя.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

В конце проверьте атрибут для пользователя. Дополнительные сведения см. в статье Как получить пользователя. Graph версии 1.0 по умолчанию не возвращает ни один из атрибутов расширения каталога пользователя, если только атрибуты не указаны в запросе в качестве одного из возвращаемых свойств.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Создание атрибута расширения только для пользователей облака с помощью PowerShell

Вы можете создать пользовательское расширение с помощью PowerShell.

#Connect to your Entra tenant
Connect-Entra -Scopes 'Application.ReadWrite.All'

#Create an application (you can instead use an existing application if you would like)
$App = New-EntraApplication -DisplayName "test app name" -IdentifierUris https://testapp

#Create a service principal
New-EntraServicePrincipal -AppId $App.AppId

#Create an extension property
New-EntraApplicationExtensionProperty -ApplicationId $App.ObjectId -Name "TestAttributeName" -DataType "String" -TargetObjects "User"

При необходимости можно проверить, можно ли задать свойство расширения только для пользователя облака.

#List users in your tenant to determine the objectid for your user
Get-EntraUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-EntraUserExtension -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb -ExtensionName "extension_6552753978624005a48638a778921fan3_TestAttributeName"

#Verify that the attribute was added correctly.
Get-EntraUser -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb | Select -ExpandProperty ExtensionProperty

Создание атрибута расширения с помощью облачной синхронизации

Если у вас есть пользователи в Active Directory и используется облачная синхронизация Microsoft Entra Connect, облачная синхронизация автоматически обнаруживает ваши расширения в локальной службе Active Directory при добавлении нового сопоставления. Если вы используете синхронизацию Microsoft Entra Connect, перейдите к следующему разделу , создайте атрибут расширения с помощью Microsoft Entra Connect.

Выполните приведенные ниже действия, чтобы автообнаружить эти атрибуты и настроить соответствующее сопоставление с идентификатором Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора гибридной идентификации.
2. Перейдите к Удостоверение>Гибридное управление>Microsoft Entra Connect>Синхронизация с облаком.
3. Выберите конфигурацию, к которой вы хотите добавить атрибут расширения, а также сопоставление.
4. В разделе Управление атрибутами выберите щелкните, чтобы изменить сопоставления.
5. Выберите Добавить сопоставление атрибутов. Атрибуты автоматически обнаруживаются.
6. Новые атрибуты доступны в раскрывающемся списке в исходном атрибуте.
7. Укажите нужный тип сопоставления и нажмите кнопку "Применить".

Дополнительные сведения см. в разделе "Сопоставление настраиваемых атрибутов" в облачной синхронизации Microsoft Entra Connect.

Создание атрибута расширения с помощью Microsoft Entra Connect

Если пользователи, обращающиеся к приложениям, находятся в локальной службе Active Directory, необходимо синхронизировать атрибуты пользователей из Active Directory с Microsoft Entra ID. Если вы используете Microsoft Entra Connect, перед настройкой приложения необходимо выполнить следующие задачи.

1. Обратитесь к администраторам домена локальный домен Active Directory, являются ли необходимые атрибуты частью класса объектов схемы User AD DS, и если их нет, расширьте схему служб доменов Active Directory в тех доменах, где имеются учетные записи этих пользователей.

2. Откройте мастер Microsoft Entra Connect, выберите "Задачи" и выберите " Настройка параметров синхронизации".

3. Войдите в качестве гибридного администратора удостоверений.

4. На странице Дополнительные возможности выберите пункт Синхронизация атрибутов расширений каталога.

5. Выберите атрибуты, которые нужно расширить до идентификатора Microsoft Entra.

   Примечание.

   В поиске по доступным атрибутам учитывается регистр.

6. Завершите мастер Microsoft Entra Connect и разрешите выполнение полного цикла синхронизации. По завершении цикла схема расширяется, а новые значения синхронизируются между локальным AD и идентификатором Microsoft Entra.

Заполнение и использование нового атрибута

В центре администрирования Microsoft Entra при редактировании сопоставлений атрибутов пользователя для единого входа или предоставления из Идентификатора Microsoft Entra в приложение, список атрибутов (Source attribute) теперь будет содержать добавленный атрибут в формате <attributename> (extension_<appID>_<attributename>), где appID является идентификатором приложения-заполнителя в вашем клиенте. Выберите атрибут и сопоставьте его с целевым приложением для предоставления.

Затем вам нужно будет заполнить этих пользователей, назначенных приложению, необходимым атрибутом, прежде чем включить автоматизацию подготовки к приложению. Если атрибут не возникает в Active Directory, существует пять способов заполнения пользователей в массовом режиме:

• Если свойства исходят из системы управления персоналом (HR), и вы создаете учетные записи работников из этой HR-системы в Active Directory, настройте сопоставление с Workday, SAP SuccessFactors или, если вы используете другую систему управления персоналом, c помощью входящего HR API для атрибута Active Directory. Затем дождитесь, пока произойдет синхронизация с помощью Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect, чтобы обновления, внесенные в схему Active Directory и для пользователей Active Directory, были синхронизированы в Microsoft Entra ID.
• Если свойства создаются в системе управления персоналом и вы не используете Active Directory, можно настроить сопоставление из Workday, SAP SuccessFactors или других с помощью входящего API к атрибуту пользователя Microsoft Entra.
• Если свойства происходят из другой внутренней системы, можно настроить соединитель MIM для Microsoft Graph для создания или обновления пользователей Microsoft Entra.
• Если свойства исходят от самих пользователей, вы можете попросить пользователей предоставить значения атрибута при запросе доступа к приложению, включив требования атрибута в каталог управления правами.
• Во всех остальных случаях, индивидуальное приложение может обновлять пользователей через API Microsoft Graph.

Следующие шаги

• Определение круга лиц для предоставления ресурсов