Gestione del provisioning degli account utente per le app aziendali nell'interfaccia di amministrazione di Microsoft Entra

  • Articolo

Questo articolo descrive i passaggi generali per la gestione del provisioning e del deprovisioning automatico degli account utente per le applicazioni che lo supportano. Il provisioning degli account utente è l'atto di creazione, aggiornamento e/o la disabilitazione di record di account utente nell'archivio di profili utente locale di un'applicazione. La maggior parte delle applicazioni cloud e SaaS, così come molte applicazioni locali archiviano il ruolo e le autorizzazioni nell'archivio profili utente locale dell'applicazione. La presenza di un record utente di questo tipo nell'archivio locale dell'applicazione è necessaria per l'accesso Single Sign-On e l'accesso al lavoro. Per altre informazioni sul provisioning automatico degli account utente, vedere Automatizzare il provisioning utenti e il deprovisioning in applicazioni SaaS con Microsoft Entra ID.

Importante

Microsoft Entra ID include una raccolta che contiene migliaia di applicazioni preintegrate abilitate per il provisioning automatico con Microsoft Entra ID. Per iniziare, trovare l'esercitazione sulla configurazione del provisioning specifica per l'applicazione nell'elenco delle esercitazioni su come integrare app SaaS con Microsoft Entra ID. È probabile che siano disponibili indicazioni dettagliate per configurare sia l'app che l'ID Entra di Microsoft per creare la connessione di provisioning.

Individuazione delle app nel portale

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Usare l'interfaccia di amministrazione di Microsoft Entra per visualizzare e gestire tutte le applicazioni configurate per l'accesso Single Sign-On in una directory. Le app aziendali sono app distribuite e usate all'interno dell'organizzazione. Per visualizzare e gestire le applicazioni aziendali, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali.

  3. Verrà visualizzato un elenco di tutte le app configurate, incluse le app aggiunte dalla raccolta.

  4. Selezionare un'app per caricare il relativo riquadro delle risorse, in cui è possibile visualizzare i report e gestire le impostazioni delle app.

  5. Selezionare Provisioning per gestire le impostazioni di provisioning degli account utente per l'app selezionata.

    Schermata Provisioning per la gestione delle impostazioni di provisioning degli account utente

Modalità di provisioning

Il riquadro Provisioning inizia con un menu Modalità, che mostra le modalità di provisioning supportate per un'applicazione aziendale e ne consente la configurazione. Le opzioni disponibili includono:

  • Automatico : questa opzione viene visualizzata se Microsoft Entra ID supporta il provisioning automatico basato su API o il deprovisioning degli account utente in questa applicazione. Selezionare questa modalità per visualizzare un'interfaccia che consenta agli amministratori di:

    • Configurare l'ID Microsoft Entra per connettersi all'API di gestione utenti dell'applicazione
    • Creare mapping e flussi di lavoro dell'account che definiscono il flusso dei dati dell'account utente tra Microsoft Entra ID e l'app
    • Gestire il servizio di provisioning Di Microsoft Entra

  • Manuale: questa opzione viene visualizzata se Microsoft Entra ID non supporta il provisioning automatico degli account utente in questa applicazione. In questo caso, i record relativi agli account utente archiviati nell'applicazione devono essere gestiti usando un processo esterno, in base alle funzionalità di gestione e provisioning degli utenti fornite dall'applicazione, che possono includere il provisioning just-in-time SAML.

Configurazione del provisioning automatico degli account utente

Selezionare l'opzione Automatica per specificare le impostazioni per le credenziali di amministratore, i mapping, l'avvio e l'arresto, nonché la sincronizzazione.

Credenziali di amministratore

Espandere Amministrazione Credenziali per immettere le credenziali necessarie per microsoft Entra ID per connettersi all'API di gestione utenti dell'applicazione. L'input necessario dipende dall'applicazione. Per informazioni sui tipi di credenziali e sui requisiti per applicazioni specifiche, vedere l' esercitazione sulla configurazione per l'applicazione specifica.

Selezionare Test Connessione ion per testare le credenziali facendo in modo che Microsoft Entra ID tenti di connettersi all'app di provisioning dell'app usando le credenziali fornite.

Mapping

Espandere Mapping per visualizzare e modificare gli attributi utente trasmessi tra Microsoft Entra ID e l'applicazione di destinazione quando viene effettuato il provisioning o l'aggiornamento degli account utente.

È disponibile un set preconfigurato di mapping tra gli oggetti utente di Microsoft Entra e gli oggetti utente di ogni app SaaS. Alcune app gestiscono anche gli oggetti gruppo. Selezionare un mapping nella tabella per aprire l'editor di mapping, in cui è possibile visualizzarli e personalizzarli.

Le personalizzazioni supportate includono:

  • Abilitazione e disabilitazione dei mapping per oggetti specifici, ad esempio l'oggetto utente Microsoft Entra all'oggetto utente dell'app SaaS.

  • Modifica degli attributi trasmessi dall'oggetto utente Microsoft Entra all'oggetto utente dell'app. Per altre informazioni sul mapping degli attributi, vedere Informazioni sui tipi di mapping degli attributi.

  • Applicazione di filtro delle azioni di provisioning eseguite dall'ID Microsoft Entra nell'applicazione di destinazione. Invece di avere oggetti completamente sincronizzati con Microsoft Entra ID, è possibile limitare l'esecuzione delle azioni.

    Ad esempio, selezionare Solo Aggiorna e Microsoft Entra-only aggiorna gli account utente esistenti in un'applicazione, ma non ne crea di nuovi. Selezionando solo Crea, Azure creerà solo nuovi account utente, senza aggiornare quelli esistenti. Questa funzionalità consente agli amministratori di creare diversi mapping per i flussi di lavoro di creazione e aggiornamento degli account.

  • Aggiunta di un nuovo mapping di attributi. Selezionare Aggiungi nuovo mapping nella parte inferiore del riquadro Mapping attributi. Compilare il modulo Modifica attributo e selezionare OK per aggiungere il nuovo mapping all'elenco.

Impostazione

Espandere Impostazioni per impostare un indirizzo di posta elettronica per ricevere notifiche e se ricevere avvisi in caso di errori. Selezionare anche l'ambito degli utenti da sincronizzare. Scegliere di sincronizzare tutti gli utenti e i gruppi o solo gli utenti assegnati.

Stato del provisioning

Se il provisioning viene abilitato per la prima volta per un'applicazione, attivare il servizio impostando Stato del provisioning su . Questa modifica fa sì che il servizio di provisioning Microsoft Entra esegua un ciclo iniziale. Legge gli utenti assegnati nella sezione Utenti e gruppi, esegue una query sull'applicazione di destinazione e quindi esegue le azioni di provisioning definite nella sezione Mapping ID di Microsoft Entra. Durante questo processo, il servizio di provisioning archivia i dati memorizzati nella cache relativi agli account utente gestiti. Il servizio archivia i dati memorizzati nella cache in modo che gli account non gestiti all'interno delle applicazioni di destinazione che non erano mai inclusi nell'ambito dell'assegnazione non siano interessati dalle operazioni di deprovisioning. Dopo il ciclo iniziale, il servizio di provisioning sincronizza automaticamente gli oggetti utente e gruppo a intervalli di quaranta minuti.

Impostare Stato del provisioning su No per sospendere il servizio di provisioning. In questo stato Azure non crea, aggiorna né rimuove oggetti utente o gruppo nell'app. Impostare lo stato di nuovo su e il servizio ripartirà dal punto in cui si era interrotto.