Procedura: Esportare la configurazione del provisioning ed eseguire il rollback a uno stato valido noto
In questo articolo vengono illustrate le operazioni seguenti:
- Esportare e importare la configurazione del provisioning dall'Interfaccia di amministrazione di Microsoft Entra
- Esportare o importare la configurazione del provisioning usando l’API di Microsoft Graph
Esportare e importare la configurazione del provisioning dall'Interfaccia di amministrazione di Microsoft Entra
Esportare la configurazione del provisioning
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Per esportare la configurazione:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
- Passare a Identità>Applicazioni>Applicazioni aziendali e selezionare l'applicazione.
- Nel riquadro di spostamento sinistro selezionare Provisioning. Nella pagina di configurazione del provisioning fare clic sui Mapping degli attributi, quindi Mostra opzioni avanzate e infine Esamina lo schema. Verrà aperto l'editor schemi.
- Fare clic su Download nella barra dei comandi nella parte superiore della pagina per scaricare lo schema.
Ripristino di emergenza: eseguire il rollback a uno stato valido noto
L'esportazione e il salvataggio della configurazione consentono di eseguire il rollback a una versione precedente della configurazione. È consigliabile esportare la configurazione del provisioning e salvarla per usarla in un secondo momento ogni volta che si modificano i mapping degli attributi o i filtri per la determinazione dell’ambito. Aprire il file JSON scaricato e copiare l'intero contenuto. Sostituire quindi l'intero contenuto del payload JSON nell'editor di schemi e quindi salvare. Se è presente un ciclo di provisioning attivo, viene completato e il ciclo successivo usa lo schema aggiornato. Il ciclo successivo è anche un ciclo iniziale, che rivaluta ogni utente e gruppo in base alla nuova configurazione.
Alcuni aspetti da considerare quando si esegue il rollback a una configurazione precedente:
- Gli utenti vengono valutati di nuovo per determinare se devono trovarsi nell'ambito. Se i filtri per la definizione dell’ambito sono stati modificati, un utente non è più nell'ambito perché è disabilitato. Anche se nella maggior parte dei casi il comportamento è quello desiderato, è possibile che si voglia evitare. Per prevenire il comportamento, usare la funzionalità Ignora eliminazioni esterne all'ambito.
- La modifica della configurazione del provisioning riavvia il servizio e attiva un ciclo iniziale.
Esportare o importare la configurazione del provisioning usando l’API di Microsoft Graph
È possibile usare l'API di Microsoft Graph e Graph explorer per esportare i mapping e lo schema degli attributi del provisioning utenti in un file JSON e importarlo nuovamente in Microsoft Entra ID. È anche possibile usare i passaggi acquisiti qui per creare un backup della configurazione del provisioning.
Passaggio 1: Recuperare l'ID dell’entità servizio dell'app di provisioning (ID oggetto)
Accedere all'Interfaccia di amministrazione di Microsoft Entra e passare alla sezione Proprietà dell'applicazione di provisioning. Ad esempio, per esportare il mapping dell'applicazione di provisioning utenti Workday to AD passare alla sezione Proprietà dell'app.
Nella sezione delle proprietà dell'app di provisioning, copiare il valore GUID associato al campo Object ID (ID oggetto). Questo valore è denominato anche ServicePrincipalId dell'app e verrà usato nelle operazioni di Microsoft Graph explorer.
Passaggio 2: Accedere a Microsoft Graph explorer
Avviare Microsoft Graph Explorer
Fare clic sul pulsante "Accedi con Microsoft" e accedere come almeno un amministratore dell'applicazione.
Dopo l'accesso, verranno visualizzati i dettagli dell'account utente nel riquadro sinistro.
Passaggio 3: Recuperare l'ID del processo di provisioning dell'app di provisioning
In Microsoft Graph Explorer, eseguire la query GET seguente, sostituendo [servicePrincipalId] con il ServicePrincipalId estratto dal Passaggio 1.
GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs
Viene restituita la risposta mostrata di seguito. Copiare l'attributo id
presente nella risposta. Questo valore è ProvisioningJobId e verrà usato per recuperare i metadati dello schema sottostante.
Passaggio 4: Scaricare lo schema di provisioning
In Microsoft Graph Explorer, eseguire la query GET seguente, sostituendo [servicePrincipalId] e [ProvisioningJobId] con il ServicePrincipalId e il ProvisioningJobId recuperati nei passaggi precedenti.
GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema
Copiare l'oggetto JSON dalla risposta e salvarlo in un file per creare un backup dello schema.
Passaggio 5: Importare lo schema di provisioning
Attenzione
Eseguire questo passaggio solo se è necessario modificare lo schema per una configurazione che non può essere modificata tramite l’Interfaccia di amministrazione di Microsoft Entra o se è necessario ripristinare la configurazione da un file di cui è stato eseguito il backup in precedenza con uno schema di lavoro valido.
In Microsoft Graph Explorer, eseguire la query PUT seguente, sostituendo [servicePrincipalId] e [ProvisioningJobId] con il ServicePrincipalId e il ProvisioningJobId recuperati nei passaggi precedenti.
PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema
Nella scheda "Corpo della richiesta" copiare il contenuto del file dello schema JSON.
Nella scheda "Richiesta delle intestazioni" aggiungere l'attributo di intestazione Content-Type con valore "application/json"
Selezionare Esegui query per importare il nuovo schema.