Zarządzanie mapowaniami i użytkownikami w aplikacjach, które nie są zgodne z użytkownikami w identyfikatorze Entra firmy Microsoft
Podczas integrowania istniejącej aplikacji z identyfikatorem Entra firmy Microsoft na potrzeby aprowizacji lub logowania jednokrotnego (SSO) możesz określić, że w magazynie danych aplikacji znajdują się użytkownicy, którzy nie odpowiadają użytkownikom w identyfikatorze Entra firmy Microsoft lub które nie były zgodne z żadnymi użytkownikami w usłudze Microsoft Entra ID.
Usługa aprowizacji Microsoft Entra opiera się na konfigurowalnych regułach dopasowywania w celu określenia, czy użytkownik w identyfikatorze Entra firmy Microsoft odpowiada użytkownikowi w aplikacji, wyszukując aplikację z pasującą właściwością użytkownika microsoft Entra ID. Załóżmy na przykład, że zgodna reguła polega na porównaniu atrybutu użytkownika userPrincipalName
microsoft Entra ID z właściwością aplikacji userName
. Gdy użytkownik w usłudze Microsoft Entra ID z wartością userPrincipalName
alice.smith@contoso.com
jest przypisywany do roli aplikacji, usługa aprowizacji Firmy Microsoft wykonuje wyszukiwanie aplikacji z zapytaniem, takim jak userName eq "alice.smith@contoso.com"
. Jeśli wyszukiwanie aplikacji nie wskazuje, że użytkownicy nie są zgodni, usługa aprowizacji firmy Microsoft tworzy nowego użytkownika w aplikacji.
Jeśli aplikacja nie ma jeszcze żadnych użytkowników, ten proces wypełnia magazyn danych aplikacji użytkownikami, ponieważ są one przypisane w identyfikatorze Entra firmy Microsoft. Jeśli jednak aplikacja ma już użytkowników, mogą wystąpić dwie sytuacje. Po pierwsze, mogą istnieć osoby z kontami użytkowników w aplikacji, ale dopasowanie nie może je zlokalizować — być może użytkownik jest reprezentowany w aplikacji asmith@contoso.com
, a nie alice.smith@contoso.com
i dlatego wyszukiwanie usługi aprowizacji Microsoft Entra nie znajduje ich. W takiej sytuacji osoba może skończyć się zduplikowanymi użytkownikami w aplikacji. Po drugie, mogą istnieć osoby z kontami użytkowników w aplikacji, które nie mają żadnego użytkownika w usłudze Microsoft Entra ID. W takiej sytuacji usługa aprowizacji firmy Microsoft nie wchodzi w interakcję z tymi użytkownikami w aplikacji, jednak jeśli aplikacja jest skonfigurowana do korzystania z identyfikatora Microsoft Entra jako jedynego dostawcy tożsamości, ci użytkownicy nie będą mogli się już zalogować: aplikacja przekierowuje osobę, aby zalogować się przy użyciu identyfikatora Entra firmy Microsoft, ale osoba nie ma użytkownika w identyfikatorze Entra firmy Microsoft.
Te niespójności między identyfikatorem Entra firmy Microsoft i magazynem danych istniejącej aplikacji mogą wystąpić z wielu powodów, takich jak:
- administrator aplikacji tworzy użytkowników bezpośrednio w aplikacji, takich jak dla wykonawców lub dostawców, którzy nie są reprezentowani w systemie źródła kadr rekordu, ale wymagali dostępu do aplikacji,
- zmiany tożsamości i atrybutów, takie jak zmiana nazwy przez osobę, nie były wysyłane do identyfikatora Entra firmy Microsoft lub aplikacji, a więc reprezentacje są nieaktualne w jednym lub innym systemie albo
- Organizacja korzystała z produktu do zarządzania tożsamościami, który niezależnie aprowizować usługę AD systemu Windows Server i aplikację z różnymi społecznościami. Na przykład pracownicy sklepu potrzebowali dostępu do aplikacji, ale nie wymagali skrzynek pocztowych programu Exchange, więc pracownicy sklepu nie byli reprezentowani w usłudze AD systemu Windows Server lub identyfikatorze Firmy Microsoft Entra.
Przed włączeniem aprowizacji lub logowania jednokrotnego w aplikacji z istniejącymi użytkownikami należy sprawdzić, czy użytkownicy są zgodni, oraz zbadać i rozwiązać problemy z tymi użytkownikami z aplikacji, która nie jest zgodna. W tym artykule opisano opcje rozwiązywania różnych sytuacji, których nie można dopasować do użytkownika.
Ustal, czy w aplikacji znajdują się użytkownicy, którzy nie są zgodni
Jeśli już określono listę użytkowników w aplikacji, którzy nie są zgodni z użytkownikami w identyfikatorze Entra firmy Microsoft, przejdź do następnej sekcji.
Procedura określania, którzy użytkownicy w aplikacji nie są zgodni z użytkownikami w identyfikatorze Entra firmy Microsoft, zależy od tego, jak aplikacja jest lub zostanie zintegrowana z identyfikatorem Entra firmy Microsoft.
Jeśli używasz usług SAP Cloud Identity Services, postępuj zgodnie z samouczkiem aprowizacji usług SAP Cloud Identity Services, wykonując krok, aby upewnić się, że istniejący użytkownicy usługi SAP Cloud Identity Services mają niezbędne pasujące atrybuty. W tym samouczku wyeksportujesz listę użytkowników z usług SAP Cloud Identity Services do pliku CSV, a następnie użyjesz programu PowerShell, aby dopasować tych użytkowników do użytkowników w usłudze Microsoft Entra ID.
Jeśli aplikacja korzysta z katalogu LDAP, postępuj zgodnie z samouczkiem aprowizacji katalogów LDAP, wykonując kroki zbierania istniejących użytkowników z katalogu LDAP. W tym samouczku użyj programu PowerShell, aby dopasować tych użytkowników do użytkowników w usłudze Microsoft Entra ID.
W przypadku innych aplikacji, w tym aplikacji z bazą danych SQL lub obsługujących obsługę administracyjną w galerii aplikacji, postępuj zgodnie z samouczkiem, aby zarządzać istniejącymi użytkownikami aplikacji za pomocą kroku, aby potwierdzić, że identyfikator Entra firmy Microsoft ma użytkowników, którzy są zgodni z użytkownikami z aplikacji.
W przypadku innych aplikacji, które nie mają interfejsu aprowizacji, postępuj zgodnie z samouczkiem, aby zarządzać użytkownikami aplikacji, która nie obsługuje aprowizacji za pomocą kroku, aby potwierdzić, że identyfikator Entra firmy Microsoft ma użytkowników, którzy są zgodni z użytkownikami z aplikacji.
Po ukończeniu skryptu programu PowerShell podanego w tych samouczkach zostanie wyświetlony błąd, jeśli jakiekolwiek rekordy z aplikacji nie znajdowały się w identyfikatorze Entra firmy Microsoft. Jeśli nie wszystkie rekordy użytkowników z magazynu danych aplikacji mogą znajdować się jako użytkownicy w identyfikatorze Entra firmy Microsoft, należy zbadać, które rekordy nie są zgodne i dlaczego, a następnie rozwiązać problem z dopasowaniem, korzystając z jednej z opcji w następnej sekcji.
Opcje zapewniania, że użytkownicy są zgodni między aplikacją a identyfikatorem Firmy Microsoft Entra
Ta sekcja zawiera kilka opcji adresowania niezgodnych użytkowników w aplikacji. Na podstawie celów organizacji i problemów z danymi między identyfikatorem Entra firmy Microsoft i aplikacją wybierz odpowiednią opcję dla każdego użytkownika. Może nie istnieć jedna opcja, która obejmuje wszystkich użytkowników w określonej aplikacji.
Usuwanie użytkowników testowych z aplikacji
Użytkownicy testowi mogą pozostać w aplikacji po lewej stronie od początkowego wdrożenia. Jeśli istnieją użytkownicy, którzy nie są już potrzebni, można je usunąć z aplikacji.
Usuwanie użytkowników z aplikacji dla osób, które nie są już częścią organizacji
Użytkownik może nie być już powiązany z organizacją i nie potrzebuje już dostępu do aplikacji, ale nadal jest użytkownikiem w źródle danych aplikacji. Może się tak zdarzyć, jeśli administrator aplikacji pominął usunięcie użytkownika lub nie został poinformowany, że zmiana jest wymagana. Jeśli użytkownik nie jest już potrzebny, można go usunąć z aplikacji.
Usuwanie użytkowników z aplikacji i ponowne tworzenie ich na podstawie identyfikatora Entra firmy Microsoft
Jeśli aplikacja nie jest obecnie w szerokim użyciu lub nie utrzymuje żadnego stanu dla użytkownika, kolejną opcją jest usunięcie użytkowników z aplikacji, aby nie było już żadnych niezgodnych użytkowników. Następnie, gdy użytkownicy żądają aplikacji lub są przypisani do aplikacji w identyfikatorze Entra firmy Microsoft, będą oni aprowizowani dostęp.
Aktualizowanie pasującej właściwości użytkowników w aplikacji
Użytkownik może istnieć w aplikacji i identyfikatorze Entra firmy Microsoft, ale w aplikacji brakuje właściwości wymaganej do dopasowania lub właściwość ma nieprawidłową wartość.
Na przykład gdy administrator SAP tworzy użytkownika w usługach SAP Cloud Identity Services przy użyciu konsoli administracyjnej, użytkownik może nie mieć userName
właściwości. Jednak ta właściwość może być używana do dopasowywania użytkowników w identyfikatorze Entra firmy Microsoft. userName
Jeśli właściwość jest przeznaczona do dopasowania, administrator SAP będzie musiał zaktualizować tych istniejących użytkowników usług SAP Cloud Identity Services, aby mieć wartość userName
właściwości.
W innym przykładzie administrator aplikacji ustawił adres e-mail użytkownika jako właściwość mail
użytkownika w aplikacji, gdy użytkownik został najpierw dodany do aplikacji. Jednak później adres e-mail osoby i userPrincipalName
zostanie zmieniony w identyfikatorze Entra firmy Microsoft. Jeśli jednak aplikacja nie wymaga adresu e-mail lub dostawca poczty e-mail miał przekierowanie, które zezwoliło staremu adresowi e-mail na przekazywanie dalej, administrator aplikacji mógł przegapić potrzebę mail
zaktualizowania właściwości w źródle danych aplikacji. Tę niespójność można rozwiązać przez administratora aplikacji zmieniającego mail
właściwość dla użytkowników aplikacji, aby mieć bieżącą wartość, lub zmieniając regułę dopasowania zgodnie z opisem w poniższych sekcjach.
Aktualizowanie użytkowników w aplikacji przy użyciu nowej właściwości
Poprzedni system zarządzania tożsamościami organizacji mógł utworzyć użytkowników w aplikacji jako użytkownicy lokalni. Jeśli organizacja nie ma w tym czasie jednego dostawcy tożsamości, ci użytkownicy w aplikacji nie potrzebują żadnych właściwości, które mają być skorelowane z żadnym innym systemem. Na przykład poprzedni produkt do zarządzania tożsamościami utworzył użytkowników w aplikacji na podstawie autorytatywnego źródła kadr. Ten system zarządzania tożsamościami utrzymywał korelację między użytkownikami utworzonymi w aplikacji ze źródłem HR i nie dostarczył żadnej z identyfikatorów źródłowych hr aplikacji. Później podczas próby połączenia aplikacji z dzierżawą identyfikatora Entra firmy Microsoft wypełniona z tego samego źródła hr identyfikator Entra firmy Microsoft może mieć użytkowników dla wszystkich osób, które znajdują się w aplikacji, ale dopasowanie kończy się niepowodzeniem dla wszystkich użytkowników, ponieważ nie ma wspólnej właściwości.
Aby rozwiązać ten pasujący problem, wykonaj następujące kroki.
- Wybierz istniejącą nieużywaną właściwość użytkowników w aplikacji lub dodaj nową właściwość do schematu użytkownika w aplikacji.
- Wypełnij właściwość dla wszystkich użytkowników w aplikacji danymi z autorytatywnego źródła, takiego jak numer identyfikacyjny pracownika lub adres e-mail, który jest już obecny dla użytkowników w identyfikatorze Entra firmy Microsoft.
- Zaktualizuj konfigurację mapowań atrybutów aprowizacji aplikacji firmy Microsoft Entra, aby ta właściwość została uwzględniona w zgodnej regule.
Zmiana pasujących reguł lub właściwości, gdy adres e-mail nie jest zgodny z główną nazwą użytkownika
Domyślnie niektóre mapowania usługi aprowizacji firmy Microsoft dla aplikacji wysyłają userPrincipalName
atrybut zgodny z właściwością adresu e-mail aplikacji. Niektóre organizacje mają podstawowe adresy e-mail użytkowników, które różnią się od głównej nazwy użytkownika. Jeśli aplikacja przechowuje adres e-mail jako właściwość użytkownika, a nie userPrincipalName
, musisz zmienić użytkowników w aplikacji lub zgodną regułę.
- Jeśli planujesz użyć logowania jednokrotnego z usługi Microsoft Entra ID do aplikacji, możesz zmienić aplikację, aby dodać właściwość użytkownika do przechowywania userPrincipalName. Następnie wypełnij tę właściwość dla każdego użytkownika w aplikacji za pomocą userPrincipalName użytkownika z identyfikatora Entra firmy Microsoft, a następnie zaktualizuj konfigurację aprowizacji aplikacji Microsoft Entra, aby ta właściwość została uwzględniona w regule dopasowania.
- Jeśli nie planujesz korzystania z logowania jednokrotnego z usługi Microsoft Entra ID, alternatywą jest zaktualizowanie konfiguracji mapowań atrybutów aplikacji Entra firmy Microsoft w celu dopasowania atrybutu adresu e-mail użytkownika Firmy Microsoft Entra do zgodnej reguły.
Aktualizowanie pasującego atrybutu użytkowników w identyfikatorze Entra firmy Microsoft
W niektórych sytuacjach atrybut używany do dopasowywania ma wartość w użytkowniku Microsoft Entra ID, który jest nieaktualny. Na przykład osoba zmieniła swoje imię i nazwisko, ale zmiana nazwy nie została wprowadzona w użytkowniku Microsoft Entra ID.
Jeśli użytkownik został utworzony i zachowany wyłącznie w usłudze Microsoft Entra ID, zaktualizuj użytkownika, aby miał odpowiednie atrybuty. Jeśli atrybut użytkownika pochodzi z nadrzędnego systemu, takiego jak usługa AD systemu Windows Server lub źródło hr, musisz zmienić wartość w źródle nadrzędnym i poczekać, aż zmiana stanie się widoczna w identyfikatorze Entra firmy Microsoft.
Aktualizowanie synchronizacji usługi Microsoft Entra Połączenie lub reguł aprowizacji synchronizacji w chmurze w celu synchronizowania niezbędnych użytkowników i atrybutów
W niektórych sytuacjach poprzedni system zarządzania tożsamościami wypełnił użytkowników usługi AD systemu Windows Server odpowiednim atrybutem, który może działać jako pasujący atrybut z inną aplikacją. Jeśli na przykład poprzedni system zarządzania tożsamościami był połączony ze źródłem hr, użytkownik usługi AD ma employeeId
atrybut wypełniony przez ten poprzedni system zarządzania tożsamościami przy użyciu identyfikatora pracownika użytkownika. W innym przykładzie poprzedni system zarządzania tożsamościami zapisał unikatowy identyfikator użytkownika aplikacji jako atrybut rozszerzenia w schemacie usługi AD systemu Windows Server. Jeśli jednak żadna z tych atrybutów nie została wybrana do synchronizacji z identyfikatorem Entra firmy Microsoft lub użytkownicy nie byli w zakresie synchronizacji z identyfikatorem Entra firmy Microsoft, reprezentacja identyfikatora Entra firmy Microsoft może być niekompletna.
Aby rozwiązać ten problem, musisz zmienić synchronizację usługi Microsoft Entra Połączenie lub konfigurację synchronizacji w chmurze firmy Microsoft Entra, aby upewnić się, że wszyscy odpowiedni użytkownicy w usłudze AD systemu Windows Server, którzy znajdują się również w aplikacji, mają zakres aprowizacji w usłudze Microsoft Entra ID i że zsynchronizowane atrybuty tych użytkowników obejmują atrybuty, które będą używane do dopasowania. Jeśli używasz usługi Microsoft Entra Połączenie sync, zobacz Microsoft Entra Połączenie Sync: Configure filtering and Microsoft Entra Połączenie Sync: Directory extensions (Microsoft Entra Połączenie Sync: Configure filtering and Microsoft Entra Połączenie Sync: Directory extensions ( Microsoft Entra Połączenie Sync: Configure filtering and Microsoft Entra Połączenie Sync: Directory extensions (Synchronizacja: microsoft Entra Połączenie Sync). Jeśli używasz synchronizacji z chmurą Firmy Microsoft Entra, zobacz Mapowanie atrybutów w usłudze Microsoft Entra Cloud Sync i rozszerzenia katalogów synchronizacji chmury oraz mapowanie atrybutów niestandardowych.
Aktualizowanie użytkowników w identyfikatorze Entra firmy Microsoft przy użyciu nowego atrybutu
W niektórych sytuacjach aplikacja może przechowywać unikatowy identyfikator użytkownika, który nie jest obecnie przechowywany w schemacie Identyfikator entra firmy Microsoft dla użytkownika. Jeśli na przykład używasz usług SAP Cloud Identity Services, być może chcesz, aby identyfikator użytkownika SAP był zgodnym atrybutem lub jeśli używasz systemu Linux, możesz chcieć, aby identyfikator użytkownika systemu Linux był zgodnym atrybutem. Jednak te właściwości nie są częścią schematu użytkownika Identyfikator entra firmy Microsoft i prawdopodobnie nie są obecne dla żadnego z użytkowników w identyfikatorze Entra firmy Microsoft.
Aby użyć nowego atrybutu do dopasowania, wykonaj następujące kroki.
- Wybierz istniejący nieużywany atrybut rozszerzenia w identyfikatorze Entra firmy Microsoft lub rozszerz schemat użytkownika Microsoft Entra przy użyciu nowego atrybutu.
- Wypełnij ten atrybut dla wszystkich użytkowników w firmie Microsoft Entra ID danymi z autorytatywnego źródła, takiego jak aplikacja lub system hr. Jeśli użytkownicy są synchronizowani z usługi AD systemu Windows Server lub aprowizowani z systemu HR, może być konieczne wprowadzenie tej zmiany w tym nadrzędnym źródle.
- Zaktualizuj konfigurację mapowań atrybutów aprowizacji aplikacji Firmy Microsoft i dołącz ten atrybut do zgodnej reguły.
Zmienianie reguł dopasowywania do innego atrybutu, który został już wypełniony w identyfikatorze Entra firmy Microsoft
Domyślne reguły dopasowywania aplikacji w galerii aplikacji opierają się na atrybutach, które są często obecne dla wszystkich użytkowników identyfikatora Entra firmy Microsoft we wszystkich klientach firmy Microsoft, takich jak userPrincipalName
. Te reguły są odpowiednie do testowania ogólnego przeznaczenia lub aprowizacji w nowej aplikacji, która obecnie nie ma użytkowników. Jednak wiele organizacji mogło już wypełnić użytkowników identyfikatora Entra firmy Microsoft innymi atrybutami istotnych dla organizacji, takimi jak identyfikator pracownika. Jeśli istnieje inny atrybut odpowiedni do dopasowywania, zaktualizuj konfigurację mapowań atrybutów aprowizacji aplikacji Firmy Microsoft i uwzględnij ten atrybut w regule dopasowania.
Konfigurowanie aprowizacji ruchu przychodzącego ze źródła hr na identyfikator Entra firmy Microsoft
W idealnym przypadku organizacje, które aprowizowały użytkowników w wielu aplikacjach niezależnie, powinny polegać na wspólnych identyfikatorach użytkowników pochodzących z autorytatywnego źródła, takiego jak system hr. Wiele systemów kadr ma właściwości, które działają, a także identyfikatory, takie jak employeeId
te, które mogą być traktowane jako unikatowe, tak aby żadna osoba nie miała tego samego identyfikatora pracownika. Jeśli masz źródło kadr, takie jak Workday lub SuccessFactors, wprowadzenie atrybutów, takich jak employeeId z tego źródła, często może utworzyć odpowiednią regułę dopasowania.
Aby użyć atrybutu z wartościami uzyskanymi z autorytatywnego źródła do dopasowania, wykonaj następujące kroki.
- Wybierz odpowiedni atrybut schematu użytkownika Microsoft Entra ID lub rozszerz schemat użytkownika Microsoft Entra przy użyciu nowego atrybutu, którego wartości odpowiadają równoważnej właściwości użytkownika w aplikacji.
- Upewnij się, że właściwość jest również obecna w źródle kadr dla wszystkich osób, które mają użytkowników w usłudze Microsoft Entra ID i aplikacji.
- Skonfiguruj aprowizację przychodzącą z tego źródła hr na wartość Microsoft Entra ID.
- Poczekaj na zaktualizowanie użytkowników w identyfikatorze Entra firmy Microsoft przy użyciu nowych atrybutów.
- Zaktualizuj konfigurację mapowań atrybutów aprowizacji aplikacji Firmy Microsoft i dołącz ten atrybut do zgodnej reguły.
Tworzenie użytkowników w usłudze AD systemu Windows Server dla użytkowników w aplikacji, którzy potrzebują dalszego dostępu do aplikacji
Jeśli istnieją użytkownicy z aplikacji, którzy nie odpowiadają osobie w autorytatywnym źródle hr, ale będą wymagać dostępu do aplikacji opartych na usłudze AD systemu Windows Server i aplikacji zintegrowanych z identyfikatorem Entra firmy Microsoft w przyszłości, a organizacja korzysta z usługi Microsoft Entra Połączenie Sync lub Microsoft Entra Cloud Sync w celu aprowizacji użytkowników z usługi Windows Server AD do identyfikatora Entra firmy Microsoft, następnie można utworzyć użytkownika w usłudze AD systemu Windows Server dla każdego z tych użytkowników, którzy nie byli jeszcze obecni.
Jeśli użytkownicy nie będą wymagać dostępu do aplikacji opartych na usłudze AD systemu Windows Server, utwórz użytkowników w usłudze Microsoft Entra ID zgodnie z opisem w następnej sekcji.
Tworzenie użytkowników w identyfikatorze Entra firmy Microsoft dla użytkowników w aplikacji, którzy potrzebują dalszego dostępu do aplikacji
Jeśli istnieją użytkownicy z aplikacji, którzy nie odpowiadają osobie w autorytatywnym źródle kadr, ale będą potrzebować dalszego dostępu i będą podlegać firmie Microsoft Entra, możesz utworzyć dla nich użytkowników firmy Microsoft Entra. Możesz zbiorczo tworzyć użytkowników przy użyciu jednego z następujących narzędzi:
- Plik CSV, zgodnie z opisem w artykule Zbiorcze tworzenie użytkowników w centrum administracyjnym firmy Microsoft Entra
- Polecenie cmdlet New-MgUser
Upewnij się, że ci nowi użytkownicy są wypełniani atrybutami wymaganymi przez identyfikator Entra firmy Microsoft, aby później dopasować je do istniejących użytkowników w aplikacji, oraz atrybuty wymagane przez identyfikator Entra firmy Microsoft, w tym userPrincipalName
, mailNickname
i displayName
. Element userPrincipalName
musi być unikatowy dla wszystkich użytkowników w katalogu.
Zbiorcze tworzenie użytkowników przy użyciu programu PowerShell
W tej sekcji przedstawiono sposób interakcji z identyfikatorem Entra firmy Microsoft przy użyciu poleceń cmdlet programu PowerShell programu Microsoft Graph.
Przy pierwszym użyciu tych poleceń cmdlet w organizacji w tym scenariuszu musisz mieć rolę globalnego Administracja istratora, aby umożliwić programowi Microsoft Graph używanie programu PowerShell w dzierżawie. Kolejne interakcje mogą używać roli o niższych uprawnieniach, takiej jak user Administracja istrator.
Jeśli masz już sesję programu PowerShell, w której zidentyfikowano użytkowników w aplikacji, którzy nie byli w identyfikatorze Microsoft Entra ID, przejdź do kroku 6 poniżej. W przeciwnym razie otwórz program PowerShell.
Jeśli nie masz już zainstalowanych modułów programu PowerShell programu Microsoft Graph, zainstaluj
Microsoft.Graph.Users
moduł i inne za pomocą tego polecenia:Install-Module Microsoft.Graph
Jeśli masz już zainstalowane moduły, upewnij się, że używasz najnowszej wersji:
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
Połączenie do identyfikatora Entra firmy Microsoft:
$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
Jeśli używasz tego polecenia po raz pierwszy, musisz wyrazić zgodę, aby zezwolić narzędziom wiersza polecenia programu Microsoft Graph na posiadanie tych uprawnień.
Przełącz do środowiska programu PowerShell tablicę użytkowników z aplikacji, która zawiera również pola, które są wymaganymi atrybutami identyfikatora Entra firmy Microsoft — główną nazwą użytkownika, pseudonimem poczty i pełną nazwą użytkownika. Ten skrypt zakłada, że tablica
$dbu_not_matched_list
zawiera użytkowników z aplikacji, które nie zostały dopasowane.$filename = ".\Users-to-create.csv" $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
Określ w sesji programu PowerShell, które kolumny w tablicy użytkowników do utworzenia odpowiadają wymaganym właściwościom identyfikatora Entra firmy Microsoft. Możesz na przykład mieć użytkowników w bazie danych, w której wartość w kolumnie o nazwie
EMail
jest wartością, której chcesz użyć jako głównej nazwy użytkownika Microsoft Entra, wartość w kolumnieAlias
zawiera pseudonim poczty Microsoft Entra ID, a wartość w kolumnieFull name
zawiera nazwę wyświetlaną użytkownika:$db_display_name_column_name = "Full name" $db_user_principal_name_column_name = "Email" $db_mail_nickname_column_name = "Alias"
Otwórz następujący skrypt w edytorze tekstów. Może być konieczne zmodyfikowanie tego skryptu w celu dodania atrybutów firmy Microsoft Entra wymaganych przez aplikację lub , jeśli
$azuread_match_attr_name
element niemailNickname
jest lubuserPrincipalName
, w celu podania tego atrybutu Microsoft Entra.$dbu_missing_columns_list = @() $dbu_creation_failed_list = @() foreach ($dbu in $dbu_not_matched_list) { if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) { $params = @{ accountEnabled = $false displayName = $dbu.$db_display_name_column_name mailNickname = $dbu.$db_mail_nickname_column_name userPrincipalName = $dbu.$db_user_principal_name_column_name passwordProfile = @{ Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_}) } } try { New-MgUser -BodyParameter $params } catch { $dbu_creation_failed_list += $dbu; throw } } else { $dbu_missing_columns_list += $dbu } }
Wklej wynikowy skrypt z edytora tekstów do sesji programu PowerShell. Jeśli wystąpią jakiekolwiek błędy, przed kontynuowaniem należy je poprawić.
Obsługa oddzielnych i niezgodnych użytkowników w aplikacji i identyfikatorze Entra firmy Microsoft
W źródle danych aplikacji może istnieć użytkownik administratora, który nie odpowiada żadnej konkretnej osobie w identyfikatorze Entra firmy Microsoft. Jeśli nie utworzysz dla nich użytkowników microsoft Entra, ci użytkownicy nie będą mogli zarządzać za pomocą identyfikatora Entra firmy Microsoft ani Zarządzanie tożsamością Microsoft Entra. Ponieważ ci użytkownicy nie będą mogli zalogować się przy użyciu identyfikatora Microsoft Entra ID, więc jeśli konfigurujesz aplikację do używania identyfikatora Microsoft Entra jako dostawcy tożsamości, upewnij się, że ci użytkownicy nie mają zakresu używania identyfikatora Microsoft Entra do uwierzytelniania.
Ponowne eksportowanie użytkowników
Po wprowadzeniu aktualizacji do użytkowników firmy Microsoft Entra, użytkowników w aplikacji lub reguł dopasowania aplikacji Microsoft Entra należy ponownie wyeksportować i ponownie wykonać procedurę dopasowania dla aplikacji, aby upewnić się, że wszyscy użytkownicy są skorelowane.
Jeśli używasz usług SAP Cloud Identity Services, postępuj zgodnie z samouczkiem aprowizacji usług SAP Cloud Identity Services, zaczynając od kroku, aby upewnić się, że istniejący użytkownicy usług SAP Cloud Identity Services mają niezbędne pasujące atrybuty. W tym samouczku wyeksportujesz listę użytkowników z usług SAP Cloud Identity Services do pliku CSV, a następnie użyjesz programu PowerShell, aby dopasować tych użytkowników do użytkowników w usłudze Microsoft Entra ID.
Jeśli aplikacja korzysta z katalogu LDAP, postępuj zgodnie z samouczkiem aprowizacji katalogów LDAP, zaczynając od kroku, aby zebrać istniejących użytkowników z katalogu LDAP.
W przypadku innych aplikacji, w tym aplikacji z bazą danych SQL lub obsługujących obsługę administracyjną w galerii aplikacji, postępuj zgodnie z samouczkiem, aby zarządzać istniejącymi użytkownikami aplikacji, zaczynając od kroku zbierania istniejących użytkowników z aplikacji.
Przypisywanie użytkowników do ról aplikacji i włączanie aprowizacji
Po zakończeniu niezbędnych aktualizacji i potwierdzeniu, że wszyscy użytkownicy z aplikacji są zgodni z użytkownikami w identyfikatorze Entra firmy Microsoft, należy przypisać użytkowników w identyfikatorze Entra firmy Microsoft, którzy potrzebują dostępu do aplikacji do roli aplikacji Microsoft Entra, a następnie włączyć aprowizowanie aplikacji.
- Jeśli używasz usług SAP Cloud Identity Services, kontynuuj samouczek aprowizacji usług SAP Cloud Identity Services, zaczynając od kroku, aby upewnić się, że istniejący użytkownicy usługi Microsoft Entra mają niezbędne atrybuty.
Następne kroki
- Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i ustanawianie punktu odniesienia przeglądanego dostępu
- Zarządzanie istniejącymi użytkownikami aplikacji w usłudze Microsoft Entra ID za pomocą programu Microsoft PowerShell
- Przygotowanie do przeglądu dostępu użytkowników dostępu do aplikacji