Синхронизация атрибутов расширения для подготовки приложений Microsoft Entra
Идентификатор Microsoft Entra должен содержать все данные (атрибуты), необходимые для создания профиля пользователя при подготовке учетных записей пользователей из идентификатора Microsoft Entra в приложение SaaS или локальное приложение. При настройке сопоставлений атрибутов для подготовки пользователей может оказаться, что атрибут, который требуется сопоставить, не отображается в списке атрибутов Source в идентификаторе Microsoft Entra ID. Из этой статьи вы узнаете, как добавить отсутствующий атрибут.
Определение места добавления расширений
Добавление отсутствующих атрибутов, необходимых для приложения, начнется либо в локальная служба Active Directory, либо в идентификаторе Microsoft Entra, в зависимости от того, где находятся учетные записи пользователей и как они передаются в идентификатор Microsoft Entra.
Во-первых, определите, какие пользователи в клиенте Microsoft Entra должны иметь доступ к приложению и поэтому будут в области подготовки в приложении.
Затем определите источник атрибута и топологию того, как эти пользователи будут доставлены в идентификатор Microsoft Entra.
Источник атрибута | Топология | Действия, необходимые |
---|---|---|
Система управления персоналом | Работники из системы управления персоналом подготавливаются как пользователи в идентификатор Microsoft Entra. | Создайте атрибут расширения в идентификаторе Microsoft Entra. Обновите сопоставление входящих кадров, чтобы заполнить атрибут расширения пользователями идентификатора Microsoft Entra ID из системы управления персоналом. |
Система управления персоналом | Рабочие роли из системы управления персоналом подготавливаются как пользователи в Windows Server AD. Облачная синхронизация Microsoft Entra Connect синхронизирует их с идентификатором Microsoft Entra. |
При необходимости расширьте схему AD. Создайте атрибут расширения в идентификаторе Microsoft Entra с помощью облачной синхронизации. Обновите входящее сопоставление кадров, чтобы заполнить атрибут расширения для пользователя AD из системы управления персоналом. |
Система управления персоналом | Рабочие роли из системы управления персоналом подготавливаются как пользователи в Windows Server AD. Microsoft Entra Connect синхронизирует их с идентификатором Microsoft Entra. |
При необходимости расширьте схему AD. Создайте атрибут расширения в идентификаторе Microsoft Entra с помощью Microsoft Entra Connect. Обновите входящее сопоставление кадров, чтобы заполнить атрибут расширения для пользователя AD из системы управления персоналом. |
Если пользователи вашей организации уже находятся в локальная служба Active Directory или создают их в Active Directory, необходимо синхронизировать пользователей из Active Directory с идентификатором Microsoft Entra. Вы можете синхронизировать пользователей и атрибутов с помощью Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect.
- Обратитесь к администраторам домена локальная служба Active Directory, являются ли необходимые атрибуты частью класса объектов схемы
User
AD DS, и если они нет, расширьте схему служб домен Active Directory в доменах, где у этих пользователей есть учетные записи. - Настройте облачную синхронизацию Microsoft Entra Connect или Microsoft Entra Connect , чтобы синхронизировать пользователей с атрибутом расширения из Active Directory в Идентификатор Microsoft Entra. Оба этих решения автоматически синхронизируют определенные атрибуты с идентификатором Microsoft Entra, но не все атрибуты. Кроме того, некоторые атрибуты (например
sAMAccountName
, синхронизированные по умолчанию) могут не предоставляться с помощью API Graph. В этих случаях можно использовать функцию расширения каталога Microsoft Entra Connect для синхронизации атрибута с идентификатором Microsoft Entra или использования облачной синхронизации Microsoft Entra Connect. Таким образом, атрибут отображается в API Graph и службе подготовки Microsoft Entra. - Если у пользователей в локальная служба Active Directory еще нет необходимых атрибутов, необходимо обновить пользователей в Active Directory. Это обновление можно сделать, прочитав свойства из Workday, из SAP SuccessFactors или если вы используете другую систему управления персоналом, используя входящий API кадров.
- Дождитесь синхронизации облака Microsoft Entra Connect или Microsoft Entra Connect, чтобы синхронизировать эти обновления, внесенные в схему Active Directory, и пользователей Active Directory в идентификатор Microsoft Entra.
Кроме того, если ни один из пользователей, которым требуется доступ к приложению, не поступает в локальная служба Active Directory, необходимо создать расширения схемы с помощью PowerShell или Microsoft Graph в идентификаторе Microsoft Entra, прежде чем настраивать подготовку приложения.
В следующих разделах описано, как создавать атрибуты расширения для клиента только с облачными пользователями, а также для клиента с пользователями Active Directory.
Создание атрибута расширения в клиенте только для пользователей облака
Вы можете использовать Microsoft Graph и PowerShell для расширения пользовательской схемы для пользователей в идентификаторе Microsoft Entra. Это необходимо, если у вас есть пользователи, которые нуждаются в этом атрибуте, и ни один из них не создается или синхронизирован из локальная служба Active Directory. (Если у вас есть Active Directory, продолжайте читать ниже в разделе о том, как использовать функцию расширения каталога Microsoft Entra Connect для синхронизации атрибута с идентификатором Microsoft Entra.)
После создания расширений схемы эти атрибуты расширения автоматически обнаруживаются при следующем посещении страницы подготовки в Центре администрирования Microsoft Entra в большинстве случаев.
Если у вас более 1000 субъектов-служб, вы можете найти расширения, отсутствующие в списке атрибутов источника. Если созданный атрибут не отображается автоматически, убедитесь, что он был создан, и добавьте его в схему вручную. Чтобы убедиться, что атрибут создан, используйте Microsoft Graph и Graph Explorer. Чтобы добавить его в вручную, см. раздел изменение списка поддерживаемых атрибутов.
Создание атрибута расширения только для пользователей облака с помощью Microsoft Graph
Вы можете расширить схему пользователей Microsoft Entra с помощью Microsoft Graph.
Сначала перечислите приложения в клиенте, чтобы получить идентификатор приложения, над которым вы работаете. Дополнительные сведения см. в разделе Список объектов extensionProperties.
GET https://graph.microsoft.com/v1.0/applications
Затем создайте атрибут расширения. Замените приведенное ниже свойство ИД на идентификатор, полученный на предыдущем шаге. Необходимо использовать атрибут "ID", а не "appId". Дополнительные сведения см. в разделе [Создание extensionProperty]/graph/api/application-post-extensionproperty).
POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json
{
"name": "extensionName",
"dataType": "string",
"targetObjects": [
"User"
]
}
В предыдущем запросе создан атрибут расширения с форматом extension_appID_extensionName
. Теперь с его помощью вы можете обновить пользователя. Дополнительные сведения см. в статье Обновление пользователя.
PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json
{
"extension_inputAppId_extensionName": "extensionValue"
}
В конце проверьте атрибут для пользователя. Дополнительные сведения см. в статье Как получить пользователя. Graph версии 1.0 по умолчанию не возвращает ни один из атрибутов расширения каталога пользователя, если только атрибуты не указаны в запросе в качестве одного из возвращаемых свойств.
GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName
Создание атрибута расширения только для пользователей облака с помощью PowerShell
Вы можете создать пользовательское расширение с помощью PowerShell.
Примечание.
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.
#Connect to your Azure AD tenant
Connect-AzureAD
#Create an application (you can instead use an existing application if you would like)
$App = New-AzureADApplication -DisplayName “test app name” -IdentifierUris https://testapp
#Create a service principal
New-AzureADServicePrincipal -AppId $App.AppId
#Create an extension property
New-AzureADApplicationExtensionProperty -ObjectId $App.ObjectId -Name “TestAttributeName” -DataType “String” -TargetObjects “User”
При необходимости можно проверить, можно ли задать свойство расширения только для пользователя облака.
#List users in your tenant to determine the objectid for your user
Get-AzureADUser
#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-AzureADUserExtension -objectid aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb -ExtensionName “extension_6552753978624005a48638a778921fan3_TestAttributeName”
#Verify that the attribute was added correctly.
Get-AzureADUser -ObjectId bbbbbbbb-1111-2222-3333-cccccccccccc | Select -ExpandProperty ExtensionProperty
Создание атрибута расширения с помощью облачной синхронизации
Если у вас есть пользователи в Active Directory и используется облачная синхронизация Microsoft Entra Connect, облачная синхронизация автоматически обнаруживает расширения в локальная служба Active Directory при добавлении нового сопоставления. Если вы используете синхронизацию Microsoft Entra Connect, перейдите к следующему разделу , создайте атрибут расширения с помощью Microsoft Entra Connect.
Выполните приведенные ниже действия, чтобы автообнаружить эти атрибуты и настроить соответствующее сопоставление с идентификатором Microsoft Entra.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
- Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.
- Выберите конфигурацию, которую вы хотите добавить атрибут расширения и сопоставление.
- В разделе "Управление атрибутами" выберите команду "Изменить сопоставления".
- Выберите Добавить сопоставление атрибутов. Атрибуты автоматически обнаруживаются.
- Новые атрибуты доступны в раскрывающемся списке в исходном атрибуте.
- Укажите нужный тип сопоставления и нажмите кнопку "Применить".
Дополнительные сведения см. в разделе "Сопоставление настраиваемых атрибутов" в облачной синхронизации Microsoft Entra Connect.
Создание атрибута расширения с помощью Microsoft Entra Connect
Если пользователи, обращающиеся к приложениям, возникают в локальная служба Active Directory, необходимо синхронизировать атрибуты с пользователями из Active Directory с идентификатором Microsoft Entra. Если вы используете Microsoft Entra Connect, перед настройкой подготовки приложения необходимо выполнить следующие задачи.
Обратитесь к администраторам домена локальная служба Active Directory, являются ли необходимые атрибуты частью класса объектов схемы
User
AD DS, и если они нет, расширьте схему служб домен Active Directory в доменах, где у этих пользователей есть учетные записи.Откройте мастер Microsoft Entra Connect, выберите "Задачи" и выберите " Настройка параметров синхронизации".
Войдите в качестве администратора гибридного удостоверения.
На странице Дополнительные возможности выберите пункт Синхронизация атрибутов расширений каталога.
Выберите атрибуты, которые нужно расширить до идентификатора Microsoft Entra.
Примечание.
В поиске по доступным атрибутам учитывается регистр.
Завершите мастер Microsoft Entra Connect и разрешите выполнение полного цикла синхронизации. По завершении цикла схема расширяется, а новые значения синхронизируются между локальным AD и идентификатором Microsoft Entra.
Примечание.
Возможность подготавливать атрибуты ссылки из локальной службы AD, например managedby или DN/DistinguishedName, сейчас не поддерживается. Вы можете запросить эту функцию на веб-сайте User Voice.
Заполнение и использование нового атрибута
В Центре администрирования Microsoft Entra при редактировании сопоставлений атрибутов пользователя для единого входа или подготовки из Идентификатора Microsoft Entra в приложение список атрибутов Source теперь будет содержать добавленный атрибут в формате <attributename> (extension_<appID>_<attributename>)
, где appID является идентификатором приложения-заполнителя в вашем клиенте. Выберите атрибут и сопоставьте его с целевым приложением для подготовки.
Затем необходимо заполнить пользователей, назначенных приложению необходимым атрибутом, прежде чем включить подготовку приложения. Если атрибут не возникает в Active Directory, существует пять способов заполнения пользователей в массовом режиме:
- Если свойства создаются в системе кадров, и вы подготавливаете работников из этой системы кадров в качестве пользователей в Active Directory, настройте сопоставление из Workday, SAP SuccessFactors или используете другую систему управления персоналом, используя входящий API кадров для атрибута Active Directory. Затем дождитесь синхронизации облака Microsoft Entra Connect или Microsoft Entra Connect, чтобы синхронизировать эти обновления, внесенные в схему Active Directory, и пользователей Active Directory в идентификатор Microsoft Entra ID.
- Если свойства создаются в системе управления персоналом и не используют Active Directory, можно настроить сопоставление из Workday, SAP SuccessFactors или других пользователей с помощью входящего API атрибута пользователя Microsoft Entra.
- Если свойства создаются в другой локальной системе, можно настроить соединитель MIM для Microsoft Graph для создания или обновления пользователей Microsoft Entra.
- Если свойства исходят от самих пользователей, вы можете попросить пользователей предоставить значения атрибута при запросе доступа к приложению, включив требования атрибута в каталог управления правами.
- Во всех других ситуациях пользовательское приложение может обновить пользователей с помощью API Microsoft Graph .