Synchronizowanie atrybutów rozszerzenia dla dostarczania aplikacji Microsoft Entra

Identyfikator Entra firmy Microsoft musi zawierać wszystkie dane (atrybuty) wymagane do utworzenia profilu użytkownika podczas aprowizowania kont użytkowników z identyfikatora Entra firmy Microsoft do aplikacji SaaS lub aplikacji lokalnej. Podczas dostosowywania mapowań atrybutów na potrzeby aprowizacji użytkowników może się okazać, że atrybut, który chcesz mapować, nie jest wyświetlany na liście atrybutów źródłowych w identyfikatorze Entra firmy Microsoft. W tym artykule pokazano, jak dodać brakujący atrybut.

Określanie, gdzie należy dodać rozszerzenia

Dodanie brakujących atrybutów potrzebnych dla aplikacji rozpocznie się w lokalnej usłudze Active Directory lub w Microsoft Entra ID, w zależności od lokalizacji kont użytkowników i sposobu ich wprowadzania do Microsoft Entra ID.

Najpierw zidentyfikuj, którzy użytkownicy w dzierżawie Microsoft Entra potrzebują dostępu do aplikacji, a zatem będą objęci procesem aprowizacji do aplikacji.

Następnie określ źródło atrybutu i topologię sposobu, w jaki ci użytkownicy są wprowadzani do identyfikatora Entra firmy Microsoft.

Źródło atrybutu	Topologia	Wymagane kroki
System hr	Pracownicy z systemu HR są dodawani jako użytkownicy w usłudze Microsoft Entra ID.	Utwórz atrybut rozszerzenia w identyfikatorze Entra firmy Microsoft. Zaktualizuj mapowanie ruchu przychodzącego HR, aby wypełnić atrybut rozszerzenia dla użytkowników Microsoft Entra ID z systemu HR.
System hr	Pracownicy z systemu HR są przydzielani jako użytkownicy w usłudze AD systemu Windows Server. Synchronizacja Microsoft Entra Connect z chmurą synchronizuje je do Microsoft Entra ID.	W razie potrzeby rozszerz schemat usługi AD. Utwórz atrybut rozszerzenia w identyfikatorze Entra firmy Microsoft przy użyciu synchronizacji w chmurze. Zaktualizuj mapowanie ruchu przychodzącego hr, aby wypełnić atrybut rozszerzenia dla użytkownika usługi AD z systemu HR.
System hr	Pracownicy z systemu HR są provisionowani jako użytkownicy w usłudze AD systemu Windows Server. Program Microsoft Entra Connect synchronizuje je z identyfikatorem Entra firmy Microsoft.	W razie potrzeby rozszerz schemat AD. Utwórz atrybut rozszerzenia w usłudze Microsoft Entra ID przy użyciu programu Microsoft Entra Connect. Zaktualizuj mapowanie ruchu przychodzącego HR, aby uzupełnić atrybut rozszerzenia dla użytkownika systemu AD z systemu HR.

Jeśli użytkownicy twojej organizacji znajdują się już w lokalnej usłudze Active Directory lub tworzysz ich w usłudze Active Directory, należy zsynchronizować użytkowników z usługi Active Directory z Microsoft Entra ID. Można synchronizować użytkowników i atrybuty przy użyciu programu Microsoft Entra Connect lub synchronizacji z chmurą microsoft Entra Connect.

1. Sprawdź z lokalnymi administratorami domeny Active Directory, czy wymagane atrybuty są częścią klasy obiektów schematu User usług AD DS, a jeśli nie, rozszerz schemat usług Active Directory Domain Services w domenach, w których ci użytkownicy mają konta.
2. Skonfiguruj Microsoft Entra Connect lub synchronizację z chmurą Microsoft Entra Connect, aby zsynchronizować użytkowników z ich atrybutem rozszerzenia z usługi Active Directory do Microsoft Entra ID. Oba te rozwiązania automatycznie synchronizują pewne atrybuty z identyfikatorem Entra firmy Microsoft, ale nie wszystkie atrybuty. Ponadto niektóre atrybuty (takie jak sAMAccountName) synchronizowane domyślnie mogą nie być uwidocznione przy użyciu interfejsu API programu Graph. W takich przypadkach można użyć funkcji rozszerzenia katalogu Microsoft Entra Connect, aby zsynchronizować atrybut z Microsoft Entra ID lub użyć synchronizacji w chmurze Microsoft Entra Connect. Dzięki temu atrybut jest widoczny dla interfejsu API Graph i usługi aprowizacji Microsoft.
3. Jeśli użytkownicy w lokalnej usłudze Active Directory nie mają jeszcze wymaganych atrybutów, musisz zaktualizować użytkowników w lokalnym Active Directory. Tę aktualizację można wykonać, odczytując właściwości z Workday lub SAP SuccessFactors, albo jeśli używasz innego systemu HR, korzystając z przychodzącego interfejsu API HR.
4. Zaczekaj na synchronizację, którą realizuje Microsoft Entra Connect lub synchronizację z chmurą Microsoft Entra Connect, aby zsynchronizować aktualizacje, które wprowadziłeś w schemacie usługi Active Directory i użytkownikach usługi Active Directory, z identyfikatorem Microsoft Entra ID.

Alternatywnie, jeśli żaden z użytkowników, którzy potrzebują dostępu do aplikacji, nie pochodzi z lokalnej usługi Active Directory znajdującej się na miejscu, należy utworzyć rozszerzenia schematu przy użyciu PowerShell lub Microsoft Graph w Microsoft Entra ID, przed skonfigurowaniem aprowizacji w aplikacji.

W poniższych sekcjach opisano sposób tworzenia atrybutów rozszerzenia dla dzierżawy z użytkownikami tylko w chmurze oraz dzierżawy z użytkownikami usługi Active Directory.

Tworzenie atrybutu rozszerzenia w dzierżawie z tylko użytkownikami chmury

Za pomocą programu Microsoft Graph i programu PowerShell można rozszerzyć schemat użytkownika dla użytkowników w usłudze Microsoft Entra ID. Jest to konieczne, jeśli masz użytkowników, którzy potrzebują tego atrybutu, a żaden z nich nie pochodzi z lub nie jest zsynchronizowany z lokalną usługą Active Directory. (Jeśli masz usługę Active Directory, kontynuuj czytanie poniżej w sekcji dotyczącej tego, jak użyć funkcji rozszerzenia katalogu Microsoft Entra Connect do zsynchronizowania atrybutu z identyfikatorem Microsoft Entra ID.)

Po utworzeniu rozszerzeń schematu te atrybuty rozszerzenia są automatycznie wykrywane podczas następnego odwiedzania strony aprowizacji w centrum administracyjnym firmy Microsoft Entra, w większości przypadków.

Jeśli masz więcej niż 1000 elementów usługi, w liście atrybutów źródłowych mogą brakować rozszerzenia. Jeśli utworzony atrybut nie jest automatycznie wyświetlany, sprawdź, czy atrybut został utworzony i dodaj go ręcznie do schematu. Aby sprawdzić, czy został utworzony, użyj programu Microsoft Graph i Eksploratora programu Graph. Aby dodać go ręcznie do schematu, zobacz Edytowanie listy obsługiwanych atrybutów.

Tworzenie atrybutu rozszerzenia tylko dla użytkowników chmury przy użyciu programu Microsoft Graph

Schemat użytkowników firmy Microsoft Entra można rozszerzyć przy użyciu programu Microsoft Graph.

Najpierw wyświetl listę aplikacji w dzierżawie, aby uzyskać identyfikator aplikacji, nad którą pracujesz. Aby dowiedzieć się więcej, zobacz List extensionProperties.

GET https://graph.microsoft.com/v1.0/applications

Następnie utwórz atrybut rozszerzenia. Zastąp właściwość ID poniżej wartością ID pobraną w poprzednim kroku. Musisz użyć atrybutu "ID" , a nie "appId". Aby dowiedzieć się więcej, zobacz [Utwórz właściwość rozszerzenia]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

Poprzednie żądanie utworzyło atrybut rozszerzenia o formacie extension_appID_extensionName. Teraz możesz zaktualizować użytkownika za pomocą tego atrybutu rozszerzenia. Aby dowiedzieć się więcej, zobacz Aktualizowanie użytkownika.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

Na koniec zweryfikuj atrybut użytkownika. Aby dowiedzieć się więcej, zobacz Uzyskaj użytkownika. Program Graph w wersji 1.0 domyślnie nie zwraca żadnych atrybutów rozszerzenia katalogu użytkownika, chyba że atrybuty są określone w żądaniu jako jedna z właściwości do zwrócenia.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Tworzenie atrybutu rozszerzenia tylko dla użytkowników chmury przy użyciu programu PowerShell

Rozszerzenie niestandardowe można utworzyć przy użyciu programu PowerShell.

#Connect to your Entra tenant
Connect-Entra -Scopes 'Application.ReadWrite.All'

#Create an application (you can instead use an existing application if you would like)
$App = New-EntraApplication -DisplayName "test app name" -IdentifierUris https://testapp

#Create a service principal
New-EntraServicePrincipal -AppId $App.AppId

#Create an extension property
New-EntraApplicationExtensionProperty -ApplicationId $App.ObjectId -Name "TestAttributeName" -DataType "String" -TargetObjects "User"

Opcjonalnie możesz przetestować, czy można ustawić właściwość rozszerzenia tylko dla użytkownika chmury.

#List users in your tenant to determine the objectid for your user
Get-EntraUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-EntraUserExtension -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb -ExtensionName "extension_6552753978624005a48638a778921fan3_TestAttributeName"

#Verify that the attribute was added correctly.
Get-EntraUser -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb | Select -ExpandProperty ExtensionProperty

Tworzenie atrybutu rozszerzenia przy użyciu synchronizacji w chmurze

Jeśli masz użytkowników w usłudze Active Directory i korzystasz z synchronizacji z chmurą Microsoft Entra Connect, synchronizacja w chmurze automatycznie odnajduje rozszerzenia w lokalnej usłudze Active Directory po przejściu do dodania nowego mapowania. Jeśli używasz synchronizacji programu Microsoft Entra Connect, kontynuuj czytanie w następnej sekcji , utwórz atrybut rozszerzenia przy użyciu programu Microsoft Entra Connect.

Wykonaj poniższe kroki, aby automatycznie wykryć te atrybuty i skonfigurować odpowiednie mapowanie na identyfikator Entra firmy Microsoft.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.
2. Przejdź do Tożsamości>Zarządzanie hybrydowe>Microsoft Entra Connect>Synchronizacja z chmurą.
3. Wybierz konfigurację, do której chcesz dodać atrybut rozszerzenia i mapowanie.
4. W obszarze Zarządzaj atrybutami wybierz kliknij, aby edytować przypisania.
5. Wybierz pozycję Dodaj mapowanie atrybutów. Atrybuty są automatycznie odnajdywane.
6. Nowe atrybuty są dostępne na liście rozwijanej w obszarze atrybutu źródłowego.
7. Wypełnij żądany typ mapowania i wybierz pozycję Zastosuj.

Aby uzyskać więcej informacji, zobacz Mapowanie atrybutów niestandardowych w usłudze Microsoft Entra Connect w chmurze synchronizacji.

Tworzenie atrybutu rozszerzenia przy użyciu programu Microsoft Entra Connect

Jeśli użytkownicy, którzy uzyskują dostęp do aplikacji, pochodzą z lokalnego Active Directory, należy zsynchronizować atrybuty użytkowników z usługi Active Directory do Microsoft Entra ID. Jeśli używasz programu Microsoft Entra Connect, przed skonfigurowaniem aprowizacji w aplikacji należy wykonać następujące zadania.

1. Skontaktuj się z administratorami domeny lokalnej usługi Active Directory i sprawdź, czy wymagane atrybuty są częścią klasy obiektów schematu User usług AD DS, a jeśli nie, rozszerz schemat usług domenowych Active Directory w domenach, w których ci użytkownicy mają konta.

2. Otwórz kreatora Microsoft Entra Connect, wybierz opcję Zadania, a następnie wybierz opcję Dostosuj opcje synchronizacyjne.

3. Zaloguj się jako Administrator tożsamości hybrydowej.

4. Na stronie Opcjonalne funkcje wybierz pozycję Synchronizacja atrybutów rozszerzenia katalogu.

5. Wybierz atrybuty, które chcesz rozszerzyć na identyfikator Entra firmy Microsoft.

   Uwaga

   Wyszukiwanie pod Dostępne atrybuty jest wrażliwe na wielkość liter.

6. Zakończ pracę kreatora Microsoft Entra Connect i zezwól na uruchomienie pełnego cyklu synchronizacji. Po zakończeniu cyklu schemat jest rozszerzony, a nowe wartości są synchronizowane między lokalną usługą AD i identyfikatorem Entra firmy Microsoft.

Uwaga

Możliwość aprowizacji atrybutów referencyjnych z lokalnej usługi AD, takiej jak managedby lub DN/DistinguishedName, nie jest obecnie obsługiwana. Możesz zażądać tej funkcji w funkcji User Voice.

Wypełnianie i używanie nowego atrybutu

W centrum administracyjnym Microsoft Entra, podczas edytowania mapowań atrybutów użytkownika na potrzeby logowania jednokrotnego lub aprowizacji z Microsoft Entra ID do aplikacji, lista atrybutów źródłowych będzie teraz zawierać dodany atrybut w formacie <attributename> (extension_<appID>_<attributename>), gdzie appID jest identyfikatorem aplikacji zastępczej w Twojej dzierżawie. Wybierz atrybut i przypisz go do aplikacji docelowej do aprowizacji.

Następnie należy wypełnić wymagany atrybut dla tych użytkowników przypisanych do aplikacji, przed włączeniem udostępniania zasobów aplikacji. Jeśli atrybut nie pochodzi z usługi Active Directory, istnieje pięć sposobów zbiorczego wypełniania użytkowników:

• Jeśli właściwości pochodzą z systemu HR i udostępniasz pracowników z tego systemu HR jako użytkowników w usłudze Active Directory, skonfiguruj mapowanie z Workday, SAP SuccessFactors, lub jeśli używasz innego systemu HR, przy użyciu inbound HR API do atrybutu usługi Active Directory. Następnie poczekaj, aż Microsoft Entra Connect lub synchronizacja z chmurą Microsoft Entra Connect zsynchronizują aktualizacje, które wprowadziłeś w schemacie Active Directory i użytkowników Active Directory z Microsoft Entra ID.
• Jeśli właściwości pochodzą z systemu HR i nie używasz Active Directory, możesz skonfigurować mapowanie z systemu Workday, SAP SuccessFactors lub innych za pośrednictwem przychodzącego interfejsu API do atrybutu użytkownika Microsoft Entra.
• Jeśli właściwości pochodzą z innego systemu lokalnego, możesz skonfigurować łącznik MIM dla programu Microsoft Graph w celu utworzenia lub zaktualizowania użytkowników usługi Microsoft Entra.
• Jeśli właściwości pochodzą od samych użytkowników, możesz poprosić użytkowników o podanie wartości atrybutu podczas żądania dostępu do aplikacji, uwzględniając wymagania dotyczące atrybutów w wykazie zarządzania upoważnieniami.
• W przypadku wszystkich innych sytuacji aplikacja niestandardowa może zaktualizować użytkowników za pośrednictwem Microsoft Graph API.

Następne kroki

• Określ, kto jest objęty procesem dostarczania