Bedarfsgesteuerte Bereitstellung in Microsoft Entra ID
Mit der bedarfsorientierten Bereitstellung können Sie einen Benutzer oder eine Gruppe innerhalb von Sekunden bereitstellen. Unter anderem können Sie dieses Feature für Folgendes verwenden:
- zum schnellen Behandeln von Konfigurationsproblemen
- zum Überprüfen von definierten Ausdrücken
- zum Testen von Bereichsfiltern
Verwenden der bedarfsorientierten Bereitstellung
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
- Wechseln Sie zu Identität>Anwendungen>Unternehmensanwendungen>, und wählen Sie Ihre Anwendung aus.
- Wählen Sie Bereitstellung aus.
- Wechseln Sie zu Identität>Externe Identitäten>Mandantenübergreifende Synchronisierung>Konfigurationen
- Wählen Sie Ihre Konfiguration aus, und wechseln Sie dann zur Konfigurationsseite für die Bereitstellung.
Konfigurieren Sie die Bereitstellung, indem Sie Ihre Administratoranmeldeinformationen angeben.
Klicken Sie auf Bei Bedarf bereitstellen.
Suchen Sie anhand von Vorname, Nachname, Anzeigename, Benutzerprinzipalname oder E-Mail-Adresse nach einem Benutzer. Alternativ können Sie nach einer Gruppe suchen und bis zu fünf Benutzer auswählen.
Hinweis
Für die Cloud HR-Bereitstellungs-App (Workday/SuccessFactors in Active Directory/Microsoft Entra ID) ist der Eingabewert unterschiedlich. Geben Sie bei einem Workday-Szenario für den Benutzer in Workday die „WorkerID“ oder „WID“ an. Geben Sie bei einem SuccessFactors-Szenario den Wert „personIdExternal“ des Benutzers in SuccessFactors an.
Klicken Sie unten auf der Seite auf Bereitstellen.
Grundlegendes zu den Bereitstellungsschritten
Am bedarfsorientierten Bereitstellungsprozess sollen die Schritte veranschaulicht werden, die der Bereitstellungsdienst beim Bereitstellen eines Benutzers ausführt. Die Bereitstellung eines Benutzers umfasst in der Regel fünf Schritte. Einer oder mehrere dieser Schritte, die in den folgenden Abschnitten erläutert werden, werden während der bedarfsorientierten Bereitstellung veranschaulicht.
Schritt 1: Verbindung testen
Der Bereitstellungsdienst versucht, den Zugriff auf das Zielsystem zu autorisieren, indem er eine Anforderung für einen „Testbenutzer“ ausgibt. Der Bereitstellungsdienst erwartet die Antwort, dass der Dienst autorisiert ist, um mit den Bereitstellungsschritten fortzufahren. Dieser Schritt tritt nur bei einem Fehler auf. Wenn der Schritt erfolgreich ist, wird er in der Umgebung für die bedarfsorientierte Bereitstellung nicht angezeigt.
Tipps zur Problembehandlung
- Stellen Sie sicher, dass Sie gültige Anmeldeinformationen (z. B. das geheime Token und die Mandanten-URL) für das Zielsystem bereitgestellt haben. Welche Anmeldeinformationen erforderlich sind, hängt von der jeweiligen Anwendung ab. Ausführliche Tutorials für die Konfiguration finden Sie in dieser Liste.
- Stellen Sie sicher, dass das Zielsystem das Filtern anhand von übereinstimmenden Attributen unterstützt, die im Bereich Attributzuordnungen definiert wurden. Unter Umständen müssen Sie die unterstützten Filter in der vom Anwendungsentwickler bereitgestellten API-Dokumentation nachschlagen.
- Für SCIM-Anwendungen (System for Cross-Domain Identity Management) verwenden Sie ein REST-API-Tool wie cURL. Mithilfe solcher Tools können Sie sicherstellen, dass die Anwendung so auf Autorisierungsanforderungen reagiert, wie der Microsoft Entra-Bereitstellungsdienst dies erwartet. Hier finden Sie eine Beispielanforderung.
Schritt 2: Benutzer importieren
Als Nächstes ruft der Bereitstellungsdienst den Benutzer aus dem Quellsystem ab. Die Benutzerattribute, die vom Dienst abgerufen werden, werden später für Folgendes verwendet:
- zur Überprüfung, ob der Benutzer für die Bereitstellung infrage kommt
- zur Überprüfung des Zielsystems auf einen vorhandenen Benutzer
- zum Bestimmen, welche Benutzerattribute in das Zielsystem exportiert werden sollen
Anzeigen der Details
Im Abschnitt Details anzeigen werden die Eigenschaften des Benutzers angezeigt, die aus dem Quellsystem (z. B. Microsoft Entra ID) importiert wurden.
Tipps zur Problembehandlung
Beim Importieren des Benutzers kann ein Fehler auftreten, wenn im Benutzerobjekt im Zielsystem das übereinstimmende Attribut fehlt. Testen Sie einen der folgenden Ansätze, um diesen Fehler zu beheben:
- Aktualisieren Sie das Benutzerobjekt mit einem Wert für das übereinstimmende Attribut.
- Ändern Sie das übereinstimmende Attribut in der Bereitstellungskonfiguration.
Wenn ein erwartetes Attribut in der importierten Liste fehlt, vergewissern Sie sich, dass das Attribut im Benutzerobjekt im Quellsystem mit einem Wert versehen ist. Der Bereitstellungsdienst unterstützt derzeit keine Attribute mit Nullwert.
Stellen Sie sicher, dass die Seite Attributzuordnung der Bereitstellungskonfiguration das erwartete Attribut enthält.
Schritt 3: Gültigkeitsbereich des Benutzers ermitteln
Als Nächstes ermittelt der Bereitstellungsdienst, ob sich der Benutzer im Gültigkeitsbereich für die Bereitstellung befindet. Der Dienst berücksichtigt unter anderem folgende Aspekte:
- ob der Benutzer der Anwendung zugewiesen ist
- ob der Bereich auf Sync assigned (Zugewiesene synchronisieren) oder Sync all (Alle synchronisieren) festgelegt ist
- in Ihrer Bereitstellungskonfiguration definierte Bereichsfilter
Anzeigen der Details
Im Abschnitt Details anzeigen werden die ausgewerteten Bedingungen für den Gültigkeitsbereich angezeigt. Möglicherweise wird eine oder mehrere der folgenden Eigenschaften angezeigt:
- Aktiv im Quellsystem: Für den Benutzer wurde in Microsoft Entra ID die Eigenschaft
IsActive
auf true festgelegt. - Der Anwendung zugewiesen: Der Benutzer ist in Microsoft Entra ID der Anwendung zugewiesen.
- Gültigkeitsbereich „Alle synchronisieren“ : Diese Einstellung für den Gültigkeitsbereich lässt alle Benutzer und Gruppen im Mandanten zu.
- Benutzer hat erforderliche Rolle: Der Benutzer verfügt über die Rollen, die für eine Bereitstellung in der Anwendung erforderlich sind.
- Bereichsfilter: Diese Eigenschaft wird ebenfalls angezeigt, wenn Sie Bereichsfilter für Ihre Anwendung definiert haben. Der Filter wird in folgendem Format angezeigt: {Titel des Bereichsfilters} {Attribut des Bereichsfilters} {Operator des Bereichsfilters} {Wert des Bereichsfilters}.
Tipps zur Problembehandlung
- Stellen Sie sicher, dass Sie eine gültige Bereichsrolle definiert haben. Vermeiden Sie beispielsweise den Operator Greater_Than bei nicht ganzzahligen Werten.
- Lesen Sie die Tipps für die Bereitstellung von Benutzern mit der Standardzugriffsrolle, wenn ein Benutzer die erforderliche Rolle nicht besitzt.
Schritt 4: Benutzer zwischen Quell- und Zielsystem abgleichen
In diesem Schritt versucht der Dienst, den im Importschritt abgerufenen Benutzer mit einem Benutzer im Zielsystem abzugleichen.
Anzeigen der Details
Die Seite Details anzeigen enthält die Eigenschaften der Benutzer, die mit dem Zielsystem abgeglichen wurden. Der Kontextbereich ändert sich wie folgt:
- Wenn keine Benutzer im Zielsystem übereinstimmen, werden keine Eigenschaften angezeigt.
- Wenn es im Zielsystem für einen Benutzer eine Übereinstimmung gibt, werden die Eigenschaften dieses Benutzers angezeigt.
- Wenn es Übereinstimmungen für mehrere Benutzer gibt, werden die Eigenschaften aller Benutzer angezeigt.
- Wenn Ihre Attributzuordnungen mehrere übereinstimmende Attribute enthalten, werden die einzelnen übereinstimmenden Attribute nacheinander ausgewertet, und die abgeglichenen Benutzer für diese werden angezeigt.
Tipps zur Problembehandlung
- Der Bereitstellungsdienst kann einen Benutzer im Quellsystem ggf. nicht eindeutig mit einem Benutzer im Zielsystem abgleichen. Beheben Sie dieses Problem, indem Sie sicherstellen, dass das abzugleichende Attribut eindeutig ist.
- Stellen Sie sicher, dass das Zielsystem das Filtern anhand des abzugleichenden Attributs unterstützt.
Schritt 5: Aktion ausführen
Schließlich führt der Bereitstellungsdienst eine Aktion (z. B. Erstellen, Aktualisieren, Löschen oder Überspringen des Benutzers) aus.
Hier sehen Sie ein Beispiel für die Anzeige nach der erfolgreichen bedarfsorientierten Bereitstellung eines Benutzers:
Anzeigen der Details
Im Abschnitt Details anzeigen werden die Attribute angezeigt, die in dem Zielsystem geändert wurden. Diese Anzeige beinhaltet das endgültige Ergebnis der Aktivität des Bereitstellungsdiensts und die exportierten Attribute. Wenn bei diesem Schritt ein Fehler auftritt, handelt es sich bei den angezeigten Attributen um die Attribute, die der Bereitstellungsdienst zu ändern versucht hat.
Tipps zur Problembehandlung
- Die Fehler, die beim Exportieren von Änderungen auftreten, können sehr unterschiedlich sein. In der Dokumentation zur Protokollbereitstellung werden häufige Fehler beschrieben.
- Die bedarfsorientierte Bereitstellung meldet, dass Gruppen oder Benutzer nicht bereitgestellt werden können, weil sie der Anwendung nicht zugewiesen sind. Zwischen der Zuweisung eines Objekts zu einer Anwendung und der Erkennung der Zuweisung durch die bedarfsorientierte Bereitstellung gibt es eine Replikationsverzögerung von bis zu fünf Minuten. Möglicherweise müssen Sie einige Minuten warten und es dann noch mal versuchen.
Häufig gestellte Fragen
Muss man die Bereitstellung deaktivieren, um die bedarfsorientierte Bereitstellung zu verwenden? Bei Anwendungen, die ein langlebiges Bearertoken oder die Kombination aus Benutzername und Kennwort für die Autorisierung verwenden, sind keine weiteren Schritte erforderlich. Bei Anwendungen, die OAuth für die Autorisierung verwenden, muss derzeit der Bereitstellungsauftrag angehalten werden, bevor die bedarfsorientierte Bereitstellung verwendet werden kann. Anwendungen wie G Suite, Box, Workplace by Facebook und Slack gehören zu dieser Kategorie. Wir arbeiten daran, die bedarfsorientierte Bereitstellung für alle Anwendungen zu unterstützen, ohne Bereitstellungsaufträge anhalten zu müssen.
Wie lange dauert die bedarfsorientierte Bereitstellung? Die bedarfsorientierte Bereitstellung dauert in der Regel weniger als 30 Sekunden.
Bekannte Einschränkungen
Zurzeit gibt es einige bekannte Einschränkungen bei der bedarfsorientierten Bereitstellung. Reichen Sie Vorschläge und Feedback ein, damit wir über kommende Verbesserungen entscheiden können.
Hinweis
Die folgenden Einschränkungen gelten nur für die bedarfsorientierte Bereitstellung. Weitere Informationen dazu, ob eine Anwendung Bereitstellungsgruppen, Löschungen oder andere Features unterstützt, finden Sie im Tutorial für die jeweilige Anwendung.
- Die bedarfsgesteuerte Bereitstellung von Gruppen unterstützt die zeitgleiche Aktualisierung von bis zu fünf Mitgliedern. Connectors für die mandantenübergreifende Synchronisierung, Workday usw. unterstützen keine Gruppenbereitstellung und unterstützen daher keine bedarfsgesteuerte Bereitstellung von Gruppen.
- Die Anforderungs-API für die bedarfsgesteuerte Bereitstellung kann nur eine einzelne Gruppe mit jeweils bis zu fünf Mitgliedern akzeptieren.
- Die bedarfsgesteuerte Bereitstellung von Gruppen wird für die mandantenübergreifende Synchronisierung nicht unterstützt.
- Die bedarfsgesteuerte Bereitstellung unterstützt die Bereitstellung von nur jeweils einem Benutzer bzw. von nur jeweils einer Benutzerin über das Microsoft Entra Admin Center.
- Das Wiederherstellen eines zuvor vorläufig gelöschten Benutzers im Zielmandanten mit Bedarfsbereitstellung wird nicht unterstützt. Wenn Sie versuchen, einen Benutzer mit bedarfsorientierter Bereitstellung vorläufig zu löschen und den Benutzer dann wiederherzustellen, kann dies zu einer Duplizierung des Benutzers führen.
- Die bedarfsorientierte Bereitstellung von Rollen wird nicht unterstützt.
- Die bedarfsorientierte Bereitstellung unterstützt das Deaktivieren von Benutzern, deren Zuweisung zur Anwendung aufgehoben wurde. Das Deaktivieren oder Löschen von Benutzern, die in Microsoft Entra ID deaktiviert oder gelöscht wurden, wird jedoch nicht unterstützt. Diese Benutzer werden bei der Benutzersuche nicht angezeigt.
- Die bedarfsorientierte Bereitstellung unterstützt keine geschachtelten Gruppen, die nicht direkt der Anwendung zugewiesen sind.