Správa mapování a uživatelů v aplikacích, které se neshodovaly s uživateli v Microsoft Entra ID
Při integraci existující aplikace s Microsoft Entra ID pro zřizování nebo jednotné přihlašování (SSO) můžete určit, že v úložišti dat aplikace jsou uživatelé, kteří neodpovídají uživatelům v Microsoft Entra ID nebo které se neshodovaly s žádným uživatelem v Microsoft Entra ID.
Služba zřizování Microsoft Entra spoléhá na konfigurovatelná odpovídající pravidla k určení, zda uživatel v Microsoft Entra ID odpovídá uživateli v aplikaci a hledá uživatele s odpovídající vlastností od uživatele Microsoft Entra ID. Předpokládejme například, že odpovídající pravidlo je porovnat atribut uživatele userPrincipalName Microsoft Entra ID s vlastností aplikace userName . Když je uživatel v Microsoft Entra ID s userPrincipalName hodnotou alice.smith@contoso.com přiřazen k roli aplikace, microsoft Entra zřizování služba provádí vyhledávání aplikace s dotazem, například userName eq "alice.smith@contoso.com". Pokud hledání aplikace indikuje, že se neshodují žádní uživatelé, služba zřizování Microsoft Entra vytvoří v aplikaci nového uživatele.
Pokud aplikace ještě nemá žádné uživatele, tento proces naplní úložiště dat aplikace uživateli, protože jsou přiřazeny v Microsoft Entra ID. Pokud však aplikace již obsahuje uživatele, mohou nastat dvě situace. Za prvé, může existovat lidé s uživatelskými účty v aplikaci, ale odpovídající se jim nepodaří najít – možná je uživatel v aplikaci reprezentován jako asmith@contoso.com místo alice.smith@contoso.com a tak vyhledávací služba Microsoft Entra provisioning provádí, že je nenajde. V takovém případě může osoba skončit s duplicitními uživateli v aplikaci. Za druhé, v aplikaci mohou být lidé s uživatelskými účty, kteří nemají žádného uživatele v Microsoft Entra ID. V této situaci služba Microsoft Entra provisioning nepracuje s těmito uživateli v aplikaci, ale pokud je aplikace nakonfigurovaná tak, aby se spoléhala na Microsoft Entra ID jako jediného zprostředkovatele identity, tito uživatelé se už nebudou moci přihlásit: aplikace přesměruje osobu, aby se přihlásila pomocí Microsoft Entra ID, ale osoba nemá uživatele v Microsoft Entra ID.
K těmto nekonzistencí mezi ID Microsoft Entra a existujícím úložištěm dat aplikace může dojít z mnoha důvodů, mezi které patří:
- správce aplikace vytvoří uživatele v aplikaci přímo, například pro dodavatele nebo dodavatele, kteří nejsou zastoupeni v systému zdroje záznamů HR, ale vyžadoval přístup k aplikacím,
- změny identity a atributu, jako je například osoba, která mění jméno, se neodesílala buď na ID Microsoft Entra, nebo na aplikaci, a proto jsou reprezentace v jednom nebo druhém systému zastaralé nebo
- organizace používala produkt pro správu identit, který nezávisle zřídil Windows Server AD a aplikaci s různými komunitami. Například zaměstnanci úložiště potřebovali přístup k aplikacím, ale nepožadovali poštovní schránky Exchange, takže zaměstnanci obchodu nebyli reprezentováni ve službě Windows Server AD nebo Microsoft Entra ID.
Než povolíte zřizování nebo jednotné přihlašování k aplikaci se stávajícími uživateli, měli byste zkontrolovat, jestli se uživatelé shodují, a prozkoumat a vyřešit tyto uživatele z aplikace, které se neshodovaly. Tento článek popisuje možnosti řešení v různých situacích, kdy se uživatel nemohl shodovat.
Určení, jestli v aplikaci existují uživatelé, kteří se neshodovali
Pokud jste již určili seznam uživatelů v aplikaci, které neodpovídají uživatelům v Microsoft Entra ID, pokračujte v další části.
Postup určení, kteří uživatelé v aplikaci neodpovídají uživatelům v MICROSOFT Entra ID, závisí na tom, jak je aplikace nebo bude integrována s Microsoft Entra ID.
Pokud používáte SLUŽBU SAP Cloud Identity Services, postupujte podle kurzu zřizování SAP Cloud Identity Services v kroku, abyste zajistili, že stávající uživatelé služby SAP Cloud Identity Services mají potřebné odpovídající atributy. V tomto kurzu vyexportujete seznam uživatelů ze služby SAP Cloud Identity Services do souboru CSV a pak použijete PowerShell, aby odpovídal uživatelům v Microsoft Entra ID.
Pokud vaše aplikace používá adresář LDAP, postupujte podle kurzu zřizování adresáře LDAP a shromážděte stávající uživatele z adresáře LDAP. V tomto kurzu použijte PowerShell ke spárování uživatelů s uživateli v Microsoft Entra ID.
V případě jiných aplikací, včetně těchto aplikací s databází SQL nebo s podporou zřizování v galerii aplikací, postupujte podle kurzu a v rámci tohoto kroku ověřte , že microsoft Entra ID obsahuje uživatele, kteří odpovídají uživatelům z aplikace.
V případě jiných aplikací, které nemají rozhraní pro zřizování, postupujte podle kurzu pro řízení uživatelů aplikace, které nepodporují zřizování prostřednictvím kroku, a ověřte, že ID Microsoft Entra má uživatele, kteří odpovídají uživatelům z aplikace.
Po dokončení skriptu PowerShellu uvedeného v těchto kurzech se zobrazí chyba, pokud některé záznamy z aplikace nebyly umístěny v Microsoft Entra ID. Pokud nejsou všechny záznamy pro uživatele z úložiště dat aplikace umístěné jako uživatelé v Microsoft Entra ID, budete muset zjistit, které záznamy se neshodovaly a proč, a vyřešit problém shody pomocí jedné z možností v další části.
Možnosti pro zajištění shody uživatelů mezi aplikací a ID Microsoft Entra
Tato část obsahuje několik možností, jak řešit neodpovídající uživatele v aplikaci. Na základě cílů vaší organizace a problémů s daty mezi ID Microsoft Entra a aplikací vyberte příslušnou možnost pro každého uživatele. Nemusí existovat jedna možnost, která pokrývá všechny uživatele v konkrétní aplikaci.
Odstranění testovacích uživatelů z aplikace
V aplikaci můžou zbyt testovací uživatelé z počátečního nasazení. Pokud už nejsou potřeba uživatelé, můžete je z aplikace odstranit.
Odstranění uživatelů z aplikací pro uživatele, kteří už nejsou součástí organizace
Uživatel už nemusí být přidružený k organizaci a už nepotřebuje přístup k aplikaci, ale stále je uživatelem ve zdroji dat aplikace. K tomu může dojít v případě, že správce aplikace vynechal odebrání uživatele nebo nebyl informován o tom, že změna byla požadována. Pokud už uživatel není potřeba, můžete ho z aplikace odstranit.
Odstranění uživatelů z aplikace a jejich opětovné vytvoření z Microsoft Entra ID
Pokud se aplikace aktuálně nepoužívá nebo neudržuje žádný stav pro jednotlivé uživatele, je další možností odstranit uživatele z aplikace, aby už žádní uživatelé nebyli shodní. Jakmile uživatelé požadují nebo přiřazují aplikaci v Microsoft Entra ID, zřídí se jim přístup.
Aktualizace odpovídající vlastnosti uživatelů v aplikaci
Uživatel může existovat v aplikaci a v Microsoft Entra ID, ale uživatel v aplikaci chybí vlastnost potřebná ke shodě nebo vlastnost má nesprávnou hodnotu.
Když například správce SAP vytvoří uživatele ve službě SAP Cloud Identity Services pomocí konzoly pro správu, nemusí mít userName uživatel vlastnost. Tato vlastnost však může být ta, která se používá pro porovnávání s uživateli v Microsoft Entra ID. userName Pokud je vlastnost určená ke shodě, budete muset správce SAP aktualizovat stávající uživatele sap Cloud Identity Services tak, aby měli hodnotu userName vlastnosti.
Správce aplikace například nastavil e-mailovou adresu uživatele jako vlastnost mail uživatele v aplikaci při prvním přidání uživatele do aplikace. Později se ale e-mailová adresa osoby změní userPrincipalName v MICROSOFT Entra ID. Pokud ale aplikace nepožadovala e-mailovou adresu nebo poskytovatel e-mailu měl přesměrování, které povolilo předávání starých e-mailových adres, správce aplikace možná zmeškal, že ve zdroji dat aplikace bylo potřeba mail aktualizovat vlastnost. Tuto nekonzistence může vyřešit správce aplikace, který změní mail vlastnost uživatelů aplikace na aktuální hodnotu, nebo změnou odpovídajícího pravidla, jak je popsáno v následujících částech.
Aktualizace uživatelů v aplikaci pomocí nové vlastnosti
Předchozí systém správy identit organizace mohl v aplikaci vytvářet uživatele jako místní uživatelé. Pokud organizace v té době neměla jednoho zprostředkovatele identity, tito uživatelé v aplikaci nepotřebují žádné vlastnosti, které by měly být korelovány s žádným jiným systémem. Například předchozí produkt pro správu identit vytvořil uživatele v aplikaci na základě autoritativního zdroje personálního oddělení. Tento systém správy identit udržoval korelaci mezi uživateli, které vytvořil v aplikaci se zdrojem lidských zdrojů, a nezadal do aplikace žádné identifikátory zdroje lidských zdrojů. Později při pokusu o připojení aplikace k tenantovi Microsoft Entra ID naplněného ze stejného zdroje lidských zdrojů může id Microsoft Entra obsahovat uživatele pro všechny stejné osoby, jako jsou v aplikaci, ale shoda selže pro všechny uživatele, protože neexistuje společná vlastnost.
Pokud chcete tento odpovídající problém vyřešit, proveďte následující kroky.
- Vyberte existující nepoužívané vlastnosti uživatelů v aplikaci nebo přidejte novou vlastnost do schématu uživatele v aplikaci.
- Tuto vlastnost naplňte u všech uživatelů v aplikaci daty z autoritativního zdroje, jako je číslo ID zaměstnance nebo e-mailová adresa, která je již k dispozici pro uživatele v Microsoft Entra ID.
- Aktualizujte konfiguraci mapování atributů aplikace Microsoft Entra tak, aby tato vlastnost byla zahrnuta do odpovídajícího pravidla.
Změna odpovídajících pravidel nebo vlastností v případech, kdy e-mailová adresa neodpovídá hlavnímu názvu uživatele
Ve výchozím nastavení některé mapování služeb zřizování Microsoft Entra pro aplikace odesílají userPrincipalName atribut tak, aby odpovídal vlastnosti e-mailové adresy aplikace. Některé organizace mají primární e-mailové adresy pro své uživatele, které se liší od hlavního názvu uživatele. Pokud aplikace ukládá e-mailovou adresu jako vlastnost uživatele, a ne userPrincipalNamejako vlastnost , musíte buď změnit uživatele v aplikaci, nebo odpovídající pravidlo.
- Pokud máte v úmyslu používat jednotné přihlašování z Microsoft Entra ID do aplikace, můžete chtít změnit aplikaci tak, aby přidala vlastnost uživatele, která bude obsahovat userPrincipalName. Potom tuto vlastnost naplníte u každého uživatele v aplikaci parametrem userPrincipalName z ID Microsoft Entra a aktualizujte konfiguraci zřizování aplikace Microsoft Entra tak, aby tato vlastnost byla zahrnuta do odpovídajícího pravidla.
- Pokud nemáte v úmyslu používat jednotné přihlašování z Id Microsoft Entra, pak alternativou je aktualizace konfigurace mapování atributů zřizování aplikací Microsoft Entra tak, aby odpovídala atributu e-mailové adresy uživatele Microsoft Entra v odpovídajícím pravidle.
Aktualizace odpovídajícího atributu uživatelů v Microsoft Entra ID
V některých situacích má atribut použitý pro párování hodnotu v uživateli Microsoft Entra ID, který je zastaralý. Uživatel například změnil své jméno, ale změna jména nebyla provedena u uživatele Microsoft Entra ID.
Pokud byl uživatel vytvořen a udržován výhradně v Microsoft Entra ID, měli byste aktualizovat uživatele, aby měl správné atributy. Pokud atribut uživatele pochází z upstreamového systému, jako je Windows Server AD nebo zdroj hr, musíte změnit hodnotu v upstreamovém zdroji a počkat, až se změna zobrazí v Microsoft Entra ID.
Aktualizace pravidel zřizování synchronizace nebo cloudové synchronizace Microsoft Entra Připojení pro synchronizaci potřebných uživatelů a atributů
V některých situacích předchozí systém správy identit naplnil uživatele služby Windows Server AD příslušným atributem, který může fungovat jako odpovídající atribut s jinou aplikací. Pokud byl například předchozí systém správy identit připojený ke zdroji lidských zdrojů, má employeeId uživatel AD atribut naplněný tímto předchozím systémem správy identit s ID zaměstnance uživatele. V jiném příkladu předchozí systém správy identit napsal jedinečné ID uživatele aplikace jako atribut rozšíření ve schématu Windows Server AD. Pokud však nebyl vybrán žádný z těchto atributů pro synchronizaci s Microsoft Entra ID nebo uživatelé nebyli mimo rozsah synchronizace do Microsoft Entra ID, pak může být reprezentace ID Microsoft Entra komunity uživatelů neúplná.
Pokud chcete tento problém vyřešit, musíte změnit konfiguraci synchronizace microsoft entra Připojení nebo cloudové synchronizace Microsoft Entra, abyste zajistili, že všichni příslušní uživatelé ve službě Windows Server AD, kteří jsou také v aplikaci, mají obor pro zřizování pro MICROSOFT Entra ID a že synchronizované atributy těchto uživatelů zahrnují atributy, které se použijí pro odpovídající účely. Pokud používáte synchronizaci Microsoft Entra Připojení, přečtěte si téma Microsoft Entra Připojení Sync: Konfigurace filtrování a Microsoft Entra Připojení Sync: Rozšíření adresáře. Pokud používáte synchronizaci cloudu Microsoft Entra, přečtěte si téma Mapování atributů v Rozšíření synchronizace cloudu Microsoft Entra a rozšíření adresáře synchronizace cloudu a vlastní mapování atributů.
Aktualizace uživatelů v Microsoft Entra ID pomocí nového atributu
V některých situacích může aplikace obsahovat jedinečný identifikátor uživatele, který není aktuálně uložen ve schématu Microsoft Entra ID pro uživatele. Pokud například používáte službu SAP Cloud Identity Services, možná budete chtít mít ID uživatele SAP odpovídající atribut nebo pokud používáte linuxový systém, můžete chtít, aby ID uživatele Linuxu bylo odpovídající atribut. Tyto vlastnosti však nejsou součástí schématu uživatele Microsoft Entra ID, a proto pravděpodobně nejsou přítomny u žádného uživatele v Microsoft Entra ID.
Pokud chcete pro párování použít nový atribut, proveďte následující kroky.
- Vyberte existující nepoužívaný atribut rozšíření v MICROSOFT Entra ID nebo rozšiřte uživatelské schéma Microsoft Entra o nový atribut.
- Tento atribut naplňte u všech uživatelů v Microsoft Entra ID daty z autoritativního zdroje, jako je aplikace nebo personální systém. Pokud jsou uživatelé synchronizovaní ze služby Windows Server AD nebo zřízeni z personálního systému, možná budete muset provést tuto změnu v daném nadřazeném zdroji.
- Aktualizujte konfiguraci mapování atributů zřizování aplikací Microsoft Entra a do odpovídajícího pravidla zahrňte tento atribut.
Změna odpovídajících pravidel na jiný atribut, který je již vyplněný v ID Microsoft Entra
Výchozí odpovídající pravidla pro aplikace v galerii aplikací závisí na atributech, které se běžně vyskytují u všech uživatelů Microsoft Entra ID ve všech zákaznících Microsoftu, například userPrincipalName. Tato pravidla jsou vhodná pro testování pro obecné účely nebo pro zřizování v nové aplikaci, která aktuálně nemá žádné uživatele. Řada organizací však již mohla uživatele Microsoft Entra ID naplnit jinými atributy, které jsou relevantní pro svoji organizaci, například ID zaměstnance. Pokud je pro párování vhodný jiný atribut, aktualizujte konfiguraci mapování atributů aplikace Microsoft Entra a zahrňte tento atribut do odpovídajícího pravidla.
Konfigurace příchozího zřizování ze zdroje lidských zdrojů na ID Microsoft Entra
V ideálním případě by organizace, které zřizovaly uživatele do více aplikací nezávisle, měly spoléhat na běžné identifikátory pro uživatele odvozené od autoritativního zdroje, jako je například systém personálního oddělení. Mnoho systémů personálního oddělení má vlastnosti, které fungují i identifikátory, jako employeeId je například to, že je možné považovat za jedinečné, aby žádné dva lidé neměli stejné ID zaměstnance. Pokud máte zdroj personálního oddělení, například Workday nebo SuccessFactors, pak přenesení atributů, jako je employeeId z tohoto zdroje, může často vytvořit vhodné odpovídající pravidlo.
Pokud chcete použít atribut s hodnotami získanými z autoritativního zdroje pro porovnávání, proveďte následující kroky.
- Vyberte odpovídající atribut schématu uživatele Microsoft Entra ID nebo rozšiřte schéma uživatele Microsoft Entra o nový atribut, jehož hodnoty odpovídají ekvivalentní vlastnosti uživatele v aplikaci.
- Ujistěte se, že vlastnost se nachází také ve zdroji lidských zdrojů pro všechny uživatele, kteří mají uživatele v Microsoft Entra ID a aplikaci.
- Nakonfigurujte příchozí zřizování z tohoto zdroje lidských zdrojů na ID Microsoft Entra.
- Počkejte, až se uživatelé v ID Microsoft Entra aktualizují o nové atributy.
- Aktualizujte konfiguraci mapování atributů zřizování aplikací Microsoft Entra a do odpovídajícího pravidla zahrňte tento atribut.
Vytváření uživatelů ve službě Windows Server AD pro uživatele v aplikaci, kteří potřebují trvalý přístup k aplikacím
Pokud existují uživatelé z aplikace, které neodpovídají osobě v autoritativním zdroji lidských zdrojů, ale bude vyžadovat přístup k aplikacím založeným na Windows Serveru AD i aplikacím integrovaným s Microsoft Entra ID v budoucnu a vaše organizace používá Microsoft Entra Připojení Sync nebo Microsoft Entra Cloud Sync k zřizování uživatelů ze služby Windows Server AD pro Microsoft Entra ID, pak můžete vytvořit uživatele ve službě Windows Server AD pro všechny uživatele, kteří ještě nebyli přítomni.
Pokud uživatelé nebudou vyžadovat přístup k aplikacím založeným na službě Windows Server AD, vytvořte uživatele v Microsoft Entra ID, jak je popsáno v další části.
Vytvoření uživatelů v Microsoft Entra ID pro uživatele v aplikaci, kteří potřebují trvalý přístup k aplikaci
Pokud existují uživatelé z aplikace, kteří neodpovídají osobě v autoritativním zdroji lidských zdrojů, ale budou potřebovat nepřetržitý přístup a budou se řídit z Microsoft Entra, můžete pro ně vytvořit uživatele Microsoft Entra. Uživatele můžete hromadně vytvářet pomocí následujících:
- Soubor CSV, jak je popsáno v hromadném vytváření uživatelů v Centru pro správu Microsoft Entra
- Rutina New-MgUser
Ujistěte se, že jsou tito noví uživatelé naplněni atributy vyžadovanými pro Microsoft Entra ID, aby je později odpovídaly stávajícím uživatelům v aplikaci, a atributy vyžadované ID Microsoft Entra, včetně userPrincipalName, mailNicknamea displayName. Musí userPrincipalName být jedinečný mezi všemi uživateli v adresáři.
Hromadné vytváření uživatelů pomocí PowerShellu
Tato část ukazuje, jak pracovat s ID Microsoft Entra pomocí rutin Prostředí Microsoft Graph PowerShell .
Při prvním použití těchto rutin pro tento scénář musíte být v roli globálního Správa istratoru, aby bylo možné používat Prostředí Microsoft Graph PowerShell ve vašem tenantovi. Následné interakce můžou používat nižší privilegovanou roli, například uživatelskou Správa istrator.
Pokud už máte relaci PowerShellu, ve které jste identifikovali uživatele v aplikaci, které nebyly v ID Microsoft Entra, pokračujte v kroku 6 níže. V opačném případě otevřete PowerShell.
Pokud ještě nemáte nainstalované moduly Microsoft Graph PowerShellu, nainstalujte modul
Microsoft.Graph.Usersa další pomocí tohoto příkazu:Install-Module Microsoft.GraphPokud už máte nainstalované moduly, ujistěte se, že používáte nejnovější verzi:
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applicationsPřipojení do Microsoft Entra ID:
$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"Pokud jste tento příkaz použili poprvé, budete muset udělit souhlas s povolením, aby nástroje příkazového řádku Microsoft Graphu měly tato oprávnění.
Přineste do prostředí PowerShellu pole uživatelů z aplikace, která mají také pole, která jsou povinné atributy Microsoft Entra ID – hlavní název uživatele, přezdívka pošty a celé jméno uživatele. Tento skript předpokládá, že pole
$dbu_not_matched_listobsahuje uživatele z aplikace, které nebyly spárovány.$filename = ".\Users-to-create.csv" $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8Zadejte v relaci PowerShellu, které sloupce v poli uživatelů, které se mají vytvořit, odpovídají požadovaným vlastnostem ID Microsoft Entra. Můžete mít například uživatele v databázi, kde hodnota ve sloupci s názvem
EMailje hodnota, kterou chcete použít jako hlavní název uživatele Microsoft Entra, hodnota ve sloupciAliasobsahuje přezdívku e-mailu Microsoft Entra ID a hodnota ve sloupciFull nameobsahuje zobrazované jméno uživatele:$db_display_name_column_name = "Full name" $db_user_principal_name_column_name = "Email" $db_mail_nickname_column_name = "Alias"V textovém editoru otevřete následující skript. Tento skript možná budete muset upravit tak, aby se přidaly atributy Microsoft Entra potřebné vaší aplikací, nebo pokud
$azuread_match_attr_namenenímailNicknamenebouserPrincipalName, aby bylo možné poskytnout tento atribut Microsoft Entra.$dbu_missing_columns_list = @() $dbu_creation_failed_list = @() foreach ($dbu in $dbu_not_matched_list) { if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) { $params = @{ accountEnabled = $false displayName = $dbu.$db_display_name_column_name mailNickname = $dbu.$db_mail_nickname_column_name userPrincipalName = $dbu.$db_user_principal_name_column_name passwordProfile = @{ Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_}) } } try { New-MgUser -BodyParameter $params } catch { $dbu_creation_failed_list += $dbu; throw } } else { $dbu_missing_columns_list += $dbu } }Vložte výsledný skript z textového editoru do relace PowerShellu. Pokud dojde k nějakým chybám, musíte je před pokračováním opravit.
Údržba samostatných a nepřiřazených uživatelů v aplikaci a ID Microsoft Entra
Ve zdroji dat aplikace může existovat supersprávce, který neodpovídá žádné konkrétní osobě v Microsoft Entra ID. Pokud pro ně nevytvoříte uživatele Microsoft Entra, nebudou tito uživatelé moct spravovat z Microsoft Entra ID nebo zásad správného řízení Microsoft Entra ID. Vzhledem k tomu, že se tito uživatelé nebudou moct přihlásit pomocí Microsoft Entra ID, takže pokud aplikaci konfigurujete tak, aby používala Microsoft Entra ID jako zprostředkovatele identity, ujistěte se, že jsou tito uživatelé mimo rozsah používání Microsoft Entra ID pro ověřování.
Opětovné exportování uživatelů
Po provedení aktualizací uživatelů Microsoft Entra, uživatelů v aplikaci nebo pravidel porovnávání aplikací Microsoft Entra byste měli znovu exportovat a provést odpovídající postup pro vaši aplikaci, abyste zajistili korelaci všech uživatelů.
Pokud používáte SLUŽBU SAP Cloud Identity Services, postupujte podle kurzu zřizování SAP Cloud Identity Services, který začíná krokem, abyste zajistili, že stávající uživatelé služby SAP Cloud Identity Services mají potřebné odpovídající atributy. V tomto kurzu vyexportujete seznam uživatelů ze služby SAP Cloud Identity Services do souboru CSV a pak použijete PowerShell, aby odpovídal uživatelům v Microsoft Entra ID.
Pokud vaše aplikace používá adresář LDAP, postupujte podle kurzu zřizování adresáře LDAP počínaje krokem a shromážděte existující uživatele z adresáře LDAP.
V případě jiných aplikací, včetně těchto aplikací s databází SQL nebo s podporou zřizování v galerii aplikací, postupujte podle kurzu a naučte se řídit stávajícími uživateli aplikace, kteří začínají krokem a shromáždí stávající uživatele z aplikace.
Přiřazení uživatelů k rolím aplikací a povolení zřizování
Jakmile dokončíte potřebné aktualizace a potvrdíte, že všichni uživatelé z aplikace odpovídají uživatelům v Microsoft Entra ID, měli byste přiřadit uživatele v Microsoft Entra ID, kteří potřebují přístup k aplikaci k roli aplikace Microsoft Entra a pak povolit zřizování aplikace.
- Pokud používáte SAP Cloud Identity Services, pokračujte kurzem zřizování SAP Cloud Identity Services od kroku, abyste zajistili, že stávající uživatelé Microsoft Entra mají potřebné atributy.