Condividi tramite

Funzionamento del provisioning di applicazioni in Microsoft Entra ID

  • Articolo

Per provisioning automatico si intende la creazione di identità e ruoli utente nelle applicazioni cloud a cui devono accedere gli utenti. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Prima di iniziare una distribuzione, è possibile consultare questo articolo per avere informazioni sul funzionamento del provisioning di Microsoft Entra e ottenere consigli sulla configurazione.

Il servizio di provisioning di Microsoft Entra effettua il provisioning degli utenti nelle app SaaS e in altri sistemi collegandosi a un endpoint API di gestione utenti System for Cross-Domain Identity Management (SCIM) 2.0 fornito dal fornitore dell'applicazione o da un agente di provisioning locale. Questo endpoint SCIM consente a Microsoft Entra ID di creare, aggiornare e rimuovere gli utenti a livello programmatico. Per alcune applicazioni, il servizio di provisioning può anche creare, aggiornare e rimuovere oggetti aggiuntivi relativi alle identità, ad esempio i gruppi. Il canale usato per il provisioning tra Microsoft Entra ID e l'applicazione viene crittografato con crittografia HTTPS TLS 1.2.

Servizio di provisioning Microsoft EntraFigura 1: servizio di provisioning di Microsoft Entra

Flusso di lavoro del provisioning utenti in uscitaFigura 2: flusso di lavoro del provisioning utenti "in uscita" da Microsoft Entra ID ad applicazioni SaaS diffuse

Flusso di lavoro del provisioning utenti in ingressoFigura 3: flusso di lavoro del provisioning utenti "in ingresso" da applicazioni di Gestione risorse umane (HCM) comuni verso Microsoft Entra ID e Windows Server Active Directory

Provisioning con SCIM 2.0

Il servizio di provisioning di Microsoft Entra usa il protocollo SCIM 2.0 per il provisioning automatico. Il servizio si connette all'endpoint SCIM dell'applicazione e usa lo schema dell'oggetto utente SCIM e le API REST per automatizzare il provisioning e il deprovisioning di utenti e gruppi. Per la maggior parte delle applicazioni della raccolta Microsoft Entra è disponibile un connettore di provisioning basato su SCIM. Gli sviluppatori usano l'API di gestione degli utenti SCIM 2.0 in Microsoft Entra ID per creare endpoint per le applicazioni che si integrano con il servizio di provisioning. Per informazioni dettagliate, consulta Creare un endpoint SCIM e configurare il provisioning utenti. L'agente di provisioning locale converte inoltre le operazioni SCIM di Microsoft Entra in LDAP, SQL, REST o SOAP, PowerShell, effettua chiamate a un connettore ECMA personalizzato o a connettori e gateway sviluppati dai partner.

Per richiedere un connettore di provisioning automatico di Microsoft Entra per un'app che attualmente non ne dispone, consultare Richiesta di applicazione Microsoft Entra.

Autorizzazione

Le credenziali sono necessarie per la connessione di Microsoft Entra ID all'API di gestione degli utenti dell'applicazione. Durante la configurazione del provisioning automatico degli utenti per un'applicazione, è necessario inserire credenziali valide. Per le applicazioni della raccolta, è possibile trovare i tipi di credenziali e i requisiti per l'applicazione facendo riferimento all'esercitazione nell'app. Per le applicazioni che non fanno parte della raccolta, è possibile fare riferimento alla documentazione SCIM per comprendere i tipi di credenziali e i requisiti. Nell'interfaccia di amministrazione di Microsoft Entra, è possibile testare le credenziali facendo in modo che Microsoft Entra ID provi a connettersi all'applicazione di provisioning dell'app usando le credenziali fornite.

Attributi di mapping

Quando viene abilitato il provisioning degli utenti per un'applicazione SaaS di terze parti, l'interfaccia di amministrazione di Microsoft Entra controlla i valori degli attributi tramite il mapping degli attributi. Il mapping determina gli attributi dell'utente che vengono scambiati tra Microsoft Entra ID e l'applicazione di destinazione quando viene effettuato il provisioning o l'aggiornamento degli account utente.

È disponibile un set preconfigurato di attributi e mapping degli attributi tra gli oggetti utente di Microsoft Entra e gli oggetti utente di ogni app SaaS. Alcune app gestiscono altri tipi di oggetti insieme agli utenti, come i gruppi.

Quando si configura il provisioning, è importante verificare e configurare il mapping degli attributi e i flussi di lavoro che definiscono il tipo di flusso di proprietà utente (o gruppo) da Microsoft Entra ID all'applicazione. Rivedi e configura la proprietà corrispondente (Abbina gli oggetti in base a questo attributo) che viene usata per identificare e abbinare in modo univoco utenti/gruppi tra i due sistemi.

Puoi personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali. Quindi, puoi modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi. Per i dettagli, consulta Personalizzazione dei mapping degli attributi del provisioning utenti per le applicazioni SaaS.

Quando configuri il provisioning in un'applicazione SaaS, come mapping degli attributi puoi specificare il mapping di espressioni. Per questo tipo di mapping è necessario scrivere un'espressione analoga a uno script, che permette di trasformare i dati utente in formati più idonei all'applicazione SaaS. Per i dettagli, consulta Scrittura di espressioni per i mapping degli attributi.

Ambito

Ambito basato sull'assegnazione

Per il provisioning in uscita da Microsoft Entra ID a un'applicazione SaaS, basarsi sulle assegnazioni di utenti o gruppi è il modo più comune per determinare quali utenti sono inclusi nell'ambito del provisioning. Poiché le assegnazioni utente vengono usate anche per l'abilitazione di Single Sign-On, è possibile usare lo stesso metodo per gestire l'accesso e il provisioning. L'ambito basato sull'assegnazione non si applica agli scenari di provisioning in ingresso, ad esempio Workday e Successfactor.

  • Gruppi. Con un piano di licenza Microsoft Entra ID P1 o P2, è possibile usare i gruppi per assegnare l'accesso a un'applicazione SaaS. Quindi, quando l'ambito del provisioning è impostato su Sincronizza solo utenti e gruppi assegnati, il servizio di provisioning di Microsoft Entra eseguirà il provisioning o il deprovisioning degli utenti basandosi sul fatto che siano membri o meno di un gruppo assegnato all'applicazione. Non viene effettuato il provisioning dell'oggetto gruppo, a meno che l'applicazione non supporti gli oggetti gruppo. Assicurati che i gruppi assegnati all'applicazione dispongano della proprietà "SecurityEnabled" impostata su "True".

  • Gruppi dinamici. Il servizio di provisioning utenti di Microsoft Entra è in grado di leggere ed eseguire il provisioning degli utenti in gruppi di appartenenza dinamica. Tieni presenti questi consigli e avvertenze:

    • L'uso di gruppi dinamici può compromettere le prestazioni del provisioning end-to-end da Microsoft Entra alle applicazioni SaaS.

    • La velocità di provisioning o deprovisioning di un utente di un gruppo dinamico in un'applicazione SaaS dipende dalla velocità con cui il gruppo dinamico riesce a valutare le modifiche all'appartenenza. Per informazioni su come controllare lo stato di elaborazione di un gruppo dinamico, consulta Controllare lo stato di elaborazione per una regola di appartenenza.

    • La perdita dell'appartenenza dell'utente al gruppo dinamico viene considerata un evento di deprovisioning. Si consideri questo scenario quando si creano regole per i gruppi di appartenenza dinamica.

  • Gruppi annidati. Il servizio di provisioning utenti di Microsoft Entra non è in grado di leggere o di effettuare il provisioning degli utenti in gruppi annidati. Può effettuare la lettura e il provisioning solo degli utenti che sono membri immediati del gruppo assegnato in modo esplicito. Si tratta di una limitazione delle "assegnazioni basate su gruppi alle applicazioni", che ha effetto anche su Single Sign-On e viene descritta in Uso di un gruppo per gestire l'accesso ad applicazioni SaaS. Come soluzione alternativa, assegna in modo esplicito o definisci l'ambito nei gruppi contenenti gli utenti di cui è necessario effettuare il provisioning.

Ambito basato sugli attributi

Puoi usare i filtri di ambito per definire regole basate su attributi per determinare gli utenti per i quali viene eseguito il provisioning per un'applicazione. Questo metodo viene usato comunemente per il provisioning in ingresso dalle applicazioni di Gestione connessione ibrida a Microsoft Entra e Active Directory. I filtri per la definizione dell’ambito vengono configurati come parte dei mapping degli attributi per ogni connettore di provisioning degli utenti di Microsoft Entra. Per informazioni dettagliate sulla configurazione dei filtri di ambito basati su attributi, consulta Provisioning dell'applicazione basato su attributi con filtri di ambito.

Utenti B2B (guest)

È possibile usare il servizio di provisioning utenti di Microsoft Entra per eseguire il provisioning degli utenti B2B (guest) di Microsoft Entra ID in applicazioni SaaS. Tuttavia, per consentire agli utenti B2B di accedere all'applicazione SaaS usando Microsoft Entra ID, è necessario configurare manualmente l'applicazione SaaS per usare Microsoft Entra ID come provider di identità Security Assertion Markup Language (SAML).

Seguire queste linee guida generali per la configurazione delle app SaaS per gli utenti B2B (guest):

  • Per la maggior parte delle app, la configurazione degli utenti deve essere eseguita manualmente. È anche necessario creare manualmente gli utenti nell'app.
  • Per le app che supportano la configurazione automatica, come Dropbox, vengono creati inviti separati dalle app. Gli utenti devono assicurarsi di accettare ogni invito.
  • Negli attributi utente, per prevenire eventuali problemi con valori del disco del profilo utente (UPD) modificati negli utenti guest, impostare sempre Identificatore utente su user.mail.

Nota

L'attributo userPrincipalName per un utente di Collaborazione B2B rappresenta l'indirizzo e-mail dell'utente esterno alias@theirdomain come "alias_theirdomain#EXT#@yourdomain". Quando l'attributo userPrincipalName viene incluso nei mapping degli attributi come attributo di origine e viene eseguito il provisioning di un utente B2B, #EXT# e il dominio vengono rimossi da userPrincipalName, quindi per la corrispondenza o il provisioning viene usato solo alias@theirdomain originale. Se è necessario l'User Principal Name completo, che include #EXT# e dominio, sostituire userPrincipalName con originalUserPrincipalName come attributo di origine.
userPrincipalName = alias@theirdomain
originalUserPrincipalName = alias_theirdomain#EXT#@yourdomain

Cicli di provisioning: iniziale e incrementale

Quando Microsoft Entra ID è il sistema di origine, il servizio di provisioning usa la funzionalità di query delta per tracciare le modifiche nei dati di Microsoft Graph per monitorare utenti e gruppi. Il servizio di provisioning esegue un ciclo iniziale rispetto al sistema di origine e a quello di destinazione, seguito da cicli incrementali periodici.

Ciclo iniziale

Quando viene avviato il servizio di provisioning, il primo ciclo consiste nelle operazioni seguenti:

  1. Il servizio esegue una query su tutti gli utenti e i gruppi presenti nel sistema di origine e riprende tutti gli attributi definiti nei mapping attributi.

  2. Il servizio filtra gli utenti e i gruppi restituiti, usando assegnazioni configurate o filtri di ambito basati su attributi.

  3. Quando un utente viene assegnato o incluso nell'ambito per il provisioning, il servizio esegue una query sul sistema di destinazione per individuare un utente corrispondente usando gli attributi di corrispondenza specificati. Se ad esempio il nome userPrincipal nel sistema di origine è l’attributo di corrispondenza ed è mappato a userName nel sistema di destinazione, il servizio di provisioning esegue una query sul sistema di destinazione per trovare i valori di userName che corrispondono ai valori del nome userPrincipal nel sistema di origine.

  4. Se nel sistema di destinazione non viene trovato un utente corrispondente, questo viene creato usando gli attributi restituiti dal sistema di origine. Dopo aver creato l'account utente, il servizio di provisioning rileva e memorizza nella cache l'ID del sistema di destinazione per il nuovo utente. Questo ID viene usato per eseguire tutte le operazioni future su tale utente.

  5. Se invece viene trovato un utente corrispondente, questo viene aggiornato usando gli attributi forniti dal sistema di origine. Dopo aver abbinato l'account utente, il servizio di provisioning rileva e memorizza nella cache l'ID del sistema di destinazione per il nuovo utente. Questo ID viene usato per eseguire tutte le operazioni future su tale utente.

  6. Se i mapping degli attributi contengono attributi "di riferimento", il servizio esegue altri aggiornamenti nel sistema di destinazione per creare e collegare gli oggetti a cui viene fatto riferimento. È ad esempio possibile che nel sistema di destinazione un utente abbia un attributo "Manager" collegato a un altro utente creato nel sistema di destinazione.

  7. Al termine del ciclo iniziale, il servizio salva in modo permanente un limite che fornisce il punto iniziale per i successivi cicli incrementali.

Alcune applicazioni come ServiceNow, G Suite e Box supportano non solo il provisioning degli utenti, ma anche quello dei gruppi e dei relativi membri. In questi casi, se nei mapping è abilitato il provisioning di gruppi, il servizio di provisioning sincronizza sia gli utenti che i gruppi e successivamente anche il gruppo di appartenenza dinamica.

Cicli incrementali

Dopo il ciclo iniziale, tutti gli altri cicli consisteranno in quanto segue:

  1. Il servizio esegue una query sul sistema di origine per trovare gli utenti e i gruppi che sono stati aggiornati dopo il salvataggio dell'ultimo limite.

  2. Il servizio filtra gli utenti e i gruppi restituiti, usando assegnazioni configurate o filtri di ambito basati su attributi.

  3. Quando un utente viene assegnato o incluso nell'ambito per il provisioning, il servizio esegue una query sul sistema di destinazione per individuare un utente corrispondente usando gli attributi di corrispondenza specificati.

  4. Se nel sistema di destinazione non viene trovato un utente corrispondente, questo viene creato usando gli attributi restituiti dal sistema di origine. Dopo aver creato l'account utente, il servizio di provisioning rileva e memorizza nella cache l'ID del sistema di destinazione per il nuovo utente. Questo ID viene usato per eseguire tutte le operazioni future su tale utente.

  5. Se invece viene trovato un utente corrispondente, questo viene aggiornato usando gli attributi forniti dal sistema di origine. Se si tratta di un account appena assegnato e abbinato, il servizio di provisioning rileva e memorizza nella cache l'ID del sistema di destinazione per il nuovo utente. Questo ID viene usato per eseguire tutte le operazioni future su tale utente.

  6. Se i mapping degli attributi contengono attributi "di riferimento", il servizio esegue altri aggiornamenti nel sistema di destinazione per creare e collegare gli oggetti a cui viene fatto riferimento. È ad esempio possibile che nel sistema di destinazione un utente abbia un attributo "Manager" collegato a un altro utente creato nel sistema di destinazione.

  7. Se un utente precedentemente incluso nell'ambito per il provisioning viene rimosso dall'ambito e la relativa assegnazione viene annullata, il servizio disabilita l'utente nel sistema di destinazione eseguendo un aggiornamento.

  8. Se un utente precedentemente incluso nell'ambito per il provisioning viene disabilitato o eliminato temporaneamente nel sistema di origine, il servizio disabilita l'utente nel sistema di destinazione eseguendo un aggiornamento.

  9. Se un utente precedentemente incluso nell'ambito per il provisioning viene eliminato definitivamente nel sistema di origine, il servizio elimina l'utente nel sistema di destinazione. In Microsoft Entra ID gli utenti vengono eliminati definitivamente dopo che sono trascorsi 30 giorni dall'eliminazione temporanea.

  10. Al termine del ciclo incrementale, il servizio salva in modo permanente un nuovo limite che fornisce il punto di iniziale per i successivi cicli incrementali.

Nota

Eventualmente, puoi disabilitare le operazioni di creazione, aggiornamento o eliminazione usando le caselle di controllo Azioni oggetto di destinazione nella sezione Mapping. La logica per disabilitare un utente durante un aggiornamento viene controllata anche tramite un mapping attributi da un campo come accountEnabled.

Il servizio di provisioning continuerà a eseguire cicli incrementali back-to-back all'infinito, in base agli intervalli definiti nell'esercitazione specifica di ogni applicazione. I cicli incrementali continueranno fino al verificarsi di uno degli eventi seguenti:

  • Il servizio viene bloccato manualmente tramite l'interfaccia di amministrazione di Microsoft Entra o utilizzando il comando appropriato dell'API di Microsoft Graph.
  • Un nuovo ciclo iniziale viene attivato usando l'opzione Riavviare il provisioning nell'interfaccia di amministrazione di Microsoft Entra o usando l'apposito comando dell'API di Microsoft Graph. L'azione cancella le eventuali filigrane salvate e comporta una nuova valutazione di tutti gli oggetti di origine. Inoltre, l'azione non interrompe i collegamenti tra gli oggetti di origine e di destinazione. Per interrompere i collegamenti, usare Riavvia synchronizationJob con la richiesta:
POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Authorization: Bearer <token>
Content-type: application/json
{
   "criteria": {
       "resetScope": "Full"
   }
}
  • Viene attivato un nuovo ciclo iniziale a causa di una modifica nel mapping degli attributi o nei filtri di ambito. Questa azione cancella anche gli eventuali limiti salvati e tutti gli oggetti di origine vengono nuovamente valutati.
  • Il processo di provisioning entra in quarantena (vedere esempio) a causa di errori molto frequenti e resta in quarantena per più di quattro settimane. In questo caso, il servizio viene disabilitato automaticamente.

Errori e ripetizione di tentativi

Se non è possibile aggiungere, aggiornare o eliminare un singolo utente nel sistema di destinazione a causa di un errore in tale sistema, il tentativo di eseguire questa operazione viene ripetuto nel ciclo di sincronizzazione successivo. Le operazioni con errori vengono ripetute automaticamente, riducendo progressivamente la frequenza dei tentativi. Per risolvere l'errore, gli amministratori devono verificare i log di provisioning per determinare la causa radice del problema e intraprendere l'azione appropriata. Ecco alcuni esempi di errori comuni:

  • Per gli utenti nel sistema di origine non è definito un valore di attributo che è necessario nel sistema di destinazione.
  • Per gli utenti nel sistema di origine è definito un valore di attributo per cui è impostato un vincolo di unicità nel sistema di destinazione e lo stesso valore è presente in un altro record utente

Questi errori possono essere risolti modificando i valori di attributo per l'utente interessato nel sistema di origine o modificando i mapping attributi in modo da non causare conflitti.

Quarantena

Se la maggior parte o tutte le chiamate al sistema di destinazione non riescono a causa di un errore (ad esempio nel caso di credenziali di amministratore non valide), il processo di provisioning passa allo stato di "quarantena". Questo stato viene indicato nel report di riepilogo sul provisioning e tramite posta elettronica, se nell'interfaccia di amministrazione di Microsoft Entra sono state configurate le notifiche di posta elettronica.

In stato di quarantena, la frequenza dei cicli incrementali viene gradualmente ridotta fino a diventare giornaliera.

Dopo che tutti gli errori sono stati risolti, il processo di provisioning esce dalla quarantena e viene avviato il ciclo di sincronizzazione successivo. Se lo stato di quarantena dura per più di quattro settimane, il processo di provisioning viene disabilitato. Per altre informazioni sugli stati di quarantena, vai qui.

Tempo richiesto per il provisioning

Le prestazioni variano a seconda del fatto che il processo di provisioning esegua un ciclo di provisioning iniziale o incrementale. Per informazioni dettagliate sul tempo necessario per il provisioning e su come monitorare lo stato del servizio di provisioning, consulta Controllare lo stato del provisioning dell'utente.

Come stabilire se il provisioning utenti viene eseguito correttamente

Tutte le operazioni eseguite dal servizio di provisioning utenti vengono registrate nei log di provisioning di Microsoft Entra. Nei log sono incluse tutte le operazioni di lettura e scrittura eseguite nei sistemi di origine e di destinazione, oltre ai dati degli utenti che sono stati letti o scritti durante ogni operazione. Per ulteriori informazioni su come leggere i log di provisioning nell'Interfaccia di amministrazione di Microsoft Entra, consultare la guida ai report sul provisioning.

Deprovisioning

Il servizio di provisioning di Microsoft Entra mantiene sincronizzati i sistemi di origine e di destinazione effettuando il deprovisioning degli account quando viene revocato l'accesso dell'utente.

Il servizio di provisioning supporta sia l'eliminazione che la disabilitazione (a volte definita eliminazione temporanea) degli utenti. La definizione esatta di disabilitazione ed eliminazione varia in base all'implementazione dell'applicazione di destinazione, ma generalmente la disabilitazione indica che l'utente non può effettuare l'accesso. Un'eliminazione indica che l'utente è stato rimosso completamente dall'applicazione. Per le applicazioni SCIM, una disabilitazione è una richiesta per impostare la proprietà attiva su false per un utente.

Configurare l'applicazione per disabilitare un utente

Assicurarsi che la casella di controllo per gli aggiornamenti sia selezionata.

Verifica il mapping della proprietà active per l'applicazione. Se viene usata un'applicazione dalla raccolta di app, il mapping potrebbe essere leggermente diverso. In questo caso, usare il mapping predefinito per le applicazioni della raccolta.

Disabilitare un utente

Configurare l'applicazione per eliminare un utente

Lo scenario attiva una disabilitazione o un'eliminazione:

  • Un utente viene eliminato temporaneamente in Microsoft Entra ID (inviato al Cestino/proprietà AccountEnabled impostata su Falso). Trenta giorni dopo l'eliminazione di un utente in Microsoft Entra ID, vengono eliminati definitivamente dal tenant. A questo punto, il servizio di provisioning invierà una richiesta DELETE per eliminare definitivamente l'utente nell'applicazione. In qualsiasi momento durante la finestra di 30 giorni, puoi eliminare manualmente un utente in modo permanente, operazione che invia una richiesta di eliminazione all'applicazione.
  • Un utente viene eliminato/rimosso definitivamente dal Cestino in Microsoft Entra ID.
  • Un utente non è assegnato da un'app.
  • Un utente passa dall'ambito all'esterno dell'ambito (non passa più un filtro di ambito).

Eliminare un utente

Per impostazione predefinita, il servizio di provisioning Microsoft Entra elimina temporaneamente o disabilita gli utenti che non rientrano più nell'ambito. Se vuoi eseguire l'override di questo comportamento predefinito, puoi impostare un flag per ignorare le eliminazioni out-of-scope.

Se si verifica uno dei quattro eventi precedenti e l'applicazione di destinazione non supporta le eliminazioni temporanee, il servizio di provisioning invierà una richiesta DELETE per eliminare definitivamente l'utente dall'app.

Se viene visualizzato IsSoftDeleted nei mapping degli attributi, questo viene usato per determinare lo stato dell'utente e se inviare una richiesta di aggiornamento con active = false per eliminarlo temporaneamente.

Eventi di deprovisioning

La tabella descrive come configurare le azioni di deprovisioning con il servizio di provisioning Microsoft Entra. Queste regole vengono scritte con l'applicazione non-raccolta/personalizzata, ma in genere si applicano alle applicazioni nella raccolta. Tuttavia, il comportamento per le applicazioni della raccolta può variare in quanto sono stati ottimizzati per soddisfare le esigenze dell'applicazione. Ad esempio, se l'applicazione di destinazione non supporta l'eliminazione temporanea, il servizio di provisioning di Microsoft Entra potrebbe inviare una richiesta di eliminazione definitiva per eliminare gli utenti, anziché quella temporanea.

Scenario Come eseguire la configurazione in Microsoft Entra ID
Un utente non è stato assegnato da un'app, è stato eliminato in Microsoft Entra ID o il suo accesso è stato bloccato. Non fare niente. Rimuovere isSoftDeleted dai mapping degli attributi e/o impostare la proprietà ignorare flag di eliminazione fuori ambito su true.
Un utente non è stato assegnato da un'app, è stato eliminato in Microsoft Entra ID o il suo accesso è stato bloccato. Si vuole impostare un attributo specifico su true o false. Eseguire il mapping di isSoftDeleted all'attributo che si desidera impostare su false.
Un utente è disabilitato in Microsoft Entra ID, non assegnato da un'applicazione, eliminato temporaneamente in Microsoft Entra ID o il suo accesso è bloccato. Si vuole inviare una richiesta DELETE all'applicazione di destinazione. Questa funzionalità è attualmente supportata per un set limitato di applicazioni della raccolta in cui è necessaria la funzionalità. Non è configurabile dai clienti.
Un utente viene eliminato in Microsoft Entra ID. Non si vuole eseguire alcuna operazione nell'applicazione di destinazione. Assicurarsi che "Elimina" non sia selezionata come una delle azioni dell'oggetto di destinazione nell'esperienza di configurazione degli attributi.
Un utente viene eliminato in Microsoft Entra ID. Si vuole impostare il valore di un attributo nell'applicazione di destinazione. Non supportato.
Un utente viene eliminato in Microsoft Entra ID. Si vuole eliminare l'utente nell'applicazione di destinazione Assicurarsi che Elimina sia selezionata come una delle azioni dell'oggetto di destinazione nell'esperienza di configurazione degli attributi.

Limitazioni note

  • Quando un utente o un gruppo non è assegnato da un'app e non è più gestito con il servizio di provisioning, viene inviata una richiesta di disabilitazione. A questo punto, il servizio non gestisce l'utente e una richiesta di eliminazione temporanea non viene inviata quando l'utente viene eliminato dall’elenco.
  • Il provisioning di un utente disabilitato in Microsoft Entra ID non è supportato. Devono essere attivi in Microsoft Entra ID prima di eseguirne il provisioning.
  • Quando un utente passa dallo stato di eliminazione temporanea ad attivo, il servizio di provisioning di Microsoft Entra attiva l'utente nell'app di destinazione, ma non ripristina automaticamente il gruppo di appartenenza dinamica. L'applicazione di destinazione deve mantenere il gruppo di appartenenza dinamico per l'utente in uno stato inattivo. Se l'applicazione di destinazione non supporta il mantenimento dello stato inattivo, è possibile riavviare il provisioning per aggiornare i gruppi di appartenenza dinamica.

Consiglio

Quando si sviluppa un'applicazione, devono essere sempre supportate sia le eliminazioni temporanee che le eliminazioni definitive. Ciò consente ai clienti di eseguire il ripristino quando un utente viene disabilitato accidentalmente.

Passaggi successivi

Pianificare una distribuzione automatica del provisioning utenti

Configurare il provisioning per un'app della raccolta

Creare un endpoint SCIM e configurare il provisioning durante la creazione dell'app

Risolvere i problemi di configurazione e provisioning degli utenti in un'applicazione.