Esercitazione: Personalizzare i mapping degli attributi di provisioning degli utenti per le applicazioni SaaS in Microsoft Entra ID

Microsoft Entra ID fornisce supporto per il provisioning degli utenti in applicazioni SaaS non Microsoft, ad esempio Salesforce, G Suite e altri. Se si abilita il provisioning utenti per un'applicazione SaaS non Microsoft, il centro di amministrazione di Microsoft Entra controlla i valori degli attributi tramite mappature degli attributi.

Prima di iniziare, assicurarsi di avere familiarità con la gestione delle applicazioni e i concetti relativi al Single Sign-On (SSO). Fai riferimento ai seguenti collegamenti:

• Guida introduttiva sulla gestione delle app in Microsoft Entra ID
• Cos'è il Single Sign-On (SSO)?

È disponibile un set preconfigurato di attributi e di mapping degli attributi tra gli oggetti utente di Microsoft Entra e gli oggetti utente di ogni app SaaS. Alcune app gestiscono altri tipi di oggetti insieme a utenti e gruppi.

È possibile personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali. Quindi è possibile modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi.

Modifica delle mappature degli attributi utente

Attenersi alla procedura seguente per accedere alla funzione Mappature del provisioning utenti.

1. Accedere al Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'applicazione .

2. Passare a Entra ID>App aziendali.

3. Verrà visualizzato un elenco di tutte le app configurate, incluse le app aggiunte dalla raccolta.

4. Selezionare un'app per caricare il relativo riquadro di gestione, in cui è possibile visualizzare i report e gestire le impostazioni dell'app.

5. Selezionare Provisioning per gestire le impostazioni di provisioning degli account utente per l'app selezionata.

6. Espandere Mappings per visualizzare e modificare gli attributi utente trasmessi tra Microsoft Entra ID e l'applicazione di destinazione. Se l'applicazione di destinazione supporta tale possibilità, questa sezione consente anche di configurare il provisioning dei gruppi e degli account utente.

   

7. Selezionare una configurazione Mapping per aprire la schermata Mapping attributi corrispondente. Le applicazioni SaaS richiedono determinati mapping di attributi per funzionare correttamente. Per gli attributi obbligatori la funzionalità Elimina non è disponibile.

   

   In questo screenshot è possibile notare che l'attributo Username di un oggetto gestito in Salesforce viene popolato con il valore userPrincipalName del Microsoft Entra oggetto collegato.

   Nota

   La disabilitazione di Crea non influisce sugli utenti esistenti. Se l’opzione Crea non è selezionata, non è possibile creare nuovi utenti.

8. Selezionare un mapping degli attributi esistente per aprire la schermata Modifica Attributo. Qui è possibile modificare gli attributi utente che passano tra Microsoft Entra ID e l'applicazione di destinazione.

   

Informazioni sui tipi di mapping degli attributi

Con i mapping degli attributi, è possibile controllare il modo in cui gli attributi vengono popolati in un'applicazione SaaS non Microsoft. Sono supportati quattro diversi tipi di mapping:

• Direct: l'attributo di destinazione viene popolato con il valore di un attributo dell'oggetto collegato in Microsoft Entra ID.
• Costante: l'attributo di destinazione viene popolato con una stringa specificata.
• Espressione: l'attributo di destinazione viene popolato in base al risultato di un'espressione simile a uno script. Per ulteriori informazioni sulle espressioni, vedere Scrivere le espressioni per Attribute-Mappings in Microsoft Entra ID.
• Nessuno: l'attributo di destinazione viene lasciato invariato. Se l'attributo di destinazione viene lasciato vuoto, viene popolato con il valore predefinito specificato.

Oltre a questi quattro tipi base, i mapping degli attributi personalizzati supportano il concetto di assegnazione di un valore predefinito facoltativo. L'assegnazione di valori predefinita garantisce che un attributo di destinazione venga popolato con un valore se non è presente un valore in Microsoft Entra ID o nell'oggetto di destinazione. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto. Per altre informazioni sugli attributi di mapping, vedere Come funziona il provisioning delle applicazioni in Microsoft Entra ID.

Informazioni sulle proprietà di mappatura degli attributi

Nella sezione precedente è stata presentata la proprietà del tipo di mapping basato su attributi. Oltre a questa proprietà, le mappature degli attributi supportano i seguenti attributi:

• attributo Source - Attributo utente del sistema di origine (ad esempio: Microsoft Entra ID).
• Attributo di destinazione: attributo utente nel sistema di destinazione, ad esempio ServiceNow.
• Valore predefinito se Null (facoltativo): valore che verrà passato al sistema di destinazione se l'attributo di origine è Null. Il provisioning di questo valore viene effettuato solo al momento della creazione di un utente. Il "valore predefinito quando è Null" non viene provvisto durante l'aggiornamento di un utente esistente. Ad esempio, aggiungere un valore predefinito per il titolo di lavoro, quando si crea un utente, con l'espressione: Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]). Per ulteriori informazioni sulle espressioni, vedere Guida alla scrittura di espressioni per il mapping degli attributi in Microsoft Entra ID.
• Abbina gli oggetti in base a questo attributo: specifica se questo mapping va usato per l'identificazione univoca degli utenti tra il sistema di origine e il sistema di destinazione. Usato nell'attributo userPrincipalName o mail in Microsoft Entra ID e mappato a un campo nome utente in un'applicazione di destinazione.
• Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina. Sebbene sia possibile impostare qualsiasi numero di attributi corrispondenti, valutare se gli attributi che si stanno usando come attributi corrispondenti sono realmente univoci e devono essere attributi corrispondenti. In genere la configurazione dei clienti include uno o due attributi corrispondenti.
• Applicare la mappatura.
  • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente.
  • Solo durante la creazione: applica il mapping solo alle azioni di creazione dell'utente.

Abbinare gli utenti nei sistemi di origine e di destinazione

Il servizio di provisioning Microsoft Entra può essere distribuito in entrambi gli scenari "campo verde" (in cui gli utenti non esistono nel sistema di destinazione) e negli scenari "brownfield" (in cui gli utenti esistono già nel sistema di destinazione). Per supportare entrambi gli scenari, il servizio di provisioning usa il concetto di attributi corrispondenti. Gli attributi corrispondenti consentono di determinare come identificare in modo univoco un utente nell'origine e associare l'utente nella destinazione. Nell'ambito della pianificazione della distribuzione, identificare l'attributo che può essere usato per identificare in modo univoco un utente nei sistemi di origine e di destinazione. Informazioni da considerare:

• Gli attributi corrispondenti devono essere univoci: i clienti usano spesso attributi come userPrincipalName, mail o Object ID come attributo corrispondente.
• Possibilità di usare più attributi come attributi corrispondenti: è possibile definire più attributi da valutare quando corrispondono agli utenti e all'ordine in cui vengono valutati (definiti come precedenza di corrispondenza nell'interfaccia utente). Se, ad esempio, si definiscono tre attributi come attributi corrispondenti e un utente viene abbinato in modo univoco dopo la valutazione dei primi due attributi, il servizio non valuterà il terzo attributo. Il servizio valuterà gli attributi corrispondenti nell'ordine specificato e arresterà la valutazione quando trova una corrispondenza.
• Il valore nell'origine e la destinazione non devono corrispondere esattamente: il valore nella destinazione può essere una funzione del valore nell'origine. Quindi, si può avere un attributo emailAddress nell'origine e userPrincipalName nella destinazione e fare una corrispondenza tramite una funzione dell'attributo emailAddress che sostituisce alcuni caratteri con un valore costante.
• La corrispondenza basata su una combinazione di attributi non è supportata: la maggior parte delle applicazioni non supporta l'esecuzione di query in base a due proprietà. Di conseguenza, non è possibile trovare una corrispondenza in base a una combinazione di attributi. È possibile valutare le singole proprietà una dopo l'altra.
• Tutti gli utenti devono avere un valore per almeno un attributo corrispondente: se si definisce un attributo corrispondente, tutti gli utenti devono avere un valore per tale attributo nel sistema di origine. Se, ad esempio, si definisce userPrincipalName come attributo corrispondente, tutti gli utenti devono avere un attributo userPrincipalName. Se si definiscono più attributi corrispondenti, ad esempio extensionAttribute1 e mail, non tutti gli utenti devono avere lo stesso attributo corrispondente. Un utente può avere extensionAttribute1 ma non mail e un altro utente può avere mail ma non extensionAttribute1.
• L'applicazione di destinazione deve supportare il filtro per l'attributo corrispondente: gli sviluppatori di applicazioni consentono di filtrare in base a un subset di attributi nell'API utente o gruppo. Per le applicazioni nella raccolta, si garantisce che il mapping predefinito degli attributi sia per un attributo di cui l'API dell'applicazione di destinazione supporta il filtraggio. Quando si modifica l'attributo corrispondente predefinito per l'applicazione di destinazione, controllare la documentazione dell'API non Microsoft per assicurarsi che l'attributo possa essere filtrato.

Modifica dei mapping di attributi del gruppo

Un numero selezionato di applicazioni, tra cui ServiceNow, Box e G Suite, supporta la possibilità di effettuare il provisioning di oggetti gruppo e oggetti utente. Oltre ai membri del gruppo, gli oggetti gruppo possono contenere proprietà di gruppo come i nomi visualizzati e gli alias di posta elettronica.

Il provisioning dei gruppi può essere facoltativamente abilitato o disabilitato scegliendo la mappatura del gruppo usando Mappings e impostando Abilitato sull'opzione desiderata nella schermata Mapping attributi.

Gli attributi forniti come parte degli Oggetti Gruppo possono essere personalizzati allo stesso modo degli Oggetti Utente, descritti in precedenza.

Modifica dell'elenco degli attributi supportati

Gli attributi utente supportati per un'applicazione specifica sono preconfigurati. La maggior parte delle API di gestione utente dell'applicazione non supporta l'individuazione dello schema. Pertanto, il servizio di provisioning Microsoft Entra non è in grado di generare dinamicamente l'elenco degli attributi supportati effettuando chiamate all'applicazione.

Tuttavia, alcune applicazioni supportano attributi personalizzati e il servizio di provisioning Microsoft Entra può leggere e scrivere in attributi personalizzati. Per immettere le relative definizioni nel Interfaccia di amministrazione di Microsoft Entra, selezionare la casella di controllo Show advanced options nella parte inferiore della schermata Attribute Mapping e quindi selezionare Edit attribute list for l'app.

Alcuni sistemi e applicazioni che supportano la personalizzazione dell'elenco di attributi:

• Salesforce
• ServiceNow
• Da Workday a Active Directory/Workday a Microsoft Entra ID
• SuccessFactors da Active Directory/SuccessFactors a Microsoft Entra ID
• Microsoft Entra ID supporta attributi predefiniti di Microsoft Entra ID API Graph e le estensioni di directory personalizzate. Per ulteriori informazioni sulla creazione di estensioni, vedere Sincronizzazione degli attributi di estensione per Microsoft Entra Application Provisioning e Problemi noti per il provisioning in Microsoft Entra ID
• App che supportano System for Cross-domain Identity (SCIM) 2.0
• Microsoft Entra ID supporta il writeback in Workday o SuccessFactors per i metadati XPATH e JSONPath. Microsoft Entra ID non supporta i nuovi attributi di Workday o SuccessFactors non inclusi nello schema predefinito

Quando si modifica l'elenco degli attributi supportati, vengono fornite le proprietà seguenti:

• Nome: nome di sistema dell'attributo, definito nello schema dell'oggetto di destinazione.
• Tipo: tipo di dati archiviati dall'attributo, definito nello schema dell'oggetto di destinazione, che può essere uno dei seguenti.
  • Binario: l'attributo contiene dati binari.
  • Booleano: l'attributo contiene un valore True o False.
  • DateTime: l'attributo contiene una stringa di data.
  • Integer: l'attributo contiene un numero intero.
  • Riferimento: l'attributo contiene un ID che fa riferimento a un valore archiviato in un'altra tabella nell'applicazione di destinazione.
  • String: l'attributo contiene una stringa di testo.
• Chiave primaria?: specifica se l'attributo è definito come campo di chiave primaria nello schema dell'oggetto di destinazione.
• Obbligatorio? specifica se l'attributo deve essere immesso nell'applicazione o nel sistema di destinazione.
• Multivalore?: specifica se l'attributo supporta più valori.
• Maiuscole/minuscole esatte?: specifica se i valori degli attributi sono valutati in modo case-sensitive.
• Espressione API: non usare questa opzione a meno che non sia specificato nella documentazione per un determinato connettore di provisioning, ad esempio Workday.
• Attributo oggetto di riferimento: se l'attributo è di tipo Riferimento, in questo menu è possibile selezionare la tabella e l'attributo nell'applicazione di destinazione che contiene il valore associato all'attributo. Ad esempio, se è presente un attributo denominato "Reparto" il cui valore archiviato fa riferimento a un oggetto in una tabella "Reparti" separata, sarà necessario selezionare Departments.Name. Le tabelle di riferimento e i campi ID primari supportati per una determinata applicazione sono preconfigurati e non possono essere modificati usando il Interfaccia di amministrazione di Microsoft Entra. Tuttavia, è possibile modificarli usando Microsoft API Graph.

Provisioning di un attributo di estensione personalizzato in un'applicazione conforme a SCIM

SCIM RFC (Request for Comments) definisce uno schema di utenti e gruppi centrale e consente anche di estendere lo schema per soddisfare le esigenze dell'applicazione. Per aggiungere un attributo personalizzato a un'applicazione SCIM:

1. Accedere al Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'applicazione .

2. Passare a Entra ID>App aziendali.

3. Selezionare l'applicazione e quindi scegliere Provisioning.

4. In Mapping selezionare l'oggetto (utente o gruppo) per il quale si vuole aggiungere un attributo personalizzato.

5. Nella parte inferiore della pagina selezionare Mostra opzioni avanzate.

6. Selezionare Modifica elenco degli attributi per AppName.

   Nota

   Se l'opzione Modifica elenco attributi per AppName non viene visualizzata, passare all'applicazione usando l'URL https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true per abilitare l'editor dello schema.

7. Nella parte inferiore dell'elenco di attributi immettere le informazioni sull'attributo personalizzato nei campi disponibili. Quindi selezionare Aggiungi attributo.

Per le applicazioni SCIM, il nome dell'attributo deve seguire il modello illustrato nell'esempio riportato di seguito. È possibile personalizzare "CustomExtensionName" e "CustomAttribute" in base ai requisiti dell'applicazione, ad esempio urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:CustomAttribute

Queste istruzioni sono valide solo per le applicazioni abilitate per SCIM. Le applicazioni come ServiceNow e Salesforce non sono integrate con Microsoft Entra ID tramite SCIM e pertanto non richiedono questo spazio dei nomi specifico quando si aggiunge un attributo personalizzato.

Gli attributi personalizzati non possono essere referenziali, multivalore o di tipi complessi. Gli attributi personalizzati di estensioni multivalore e tipi complessi sono attualmente supportati solo per le applicazioni nella galleria. L'intestazione dello schema dell'estensione personalizzata viene omessa nell'esempio perché non viene inviata nelle richieste dal client SCIM Microsoft Entra.

Rappresentazione di esempio di un utente con un attributo di estensione:

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User",
    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
  ],
  "userName": "bjensen",
  "id": "48af03ac28ad4fb88478",
  "externalId": "bjensen",
  "name": {
    "formatted": "Ms. Barbara J Jensen III",
    "familyName": "Jensen",
    "givenName": "Barbara"
  },
  "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
    "employeeNumber": "701984",
    "costCenter": "4130",
    "organization": "Universal Studios",
    "division": "Theme Park",
    "department": "Tour Operations",
    "manager": {
      "value": "26118915-6090-4610-87e4-49d8ca9f808d",
      "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
      "displayName": "John Smith"
    }
  },
  "urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User": {
    "CustomAttribute": "701984",
  },
  "meta": {
    "resourceType": "User",
    "created": "2010-01-23T04:56:22Z",
    "lastModified": "2011-05-13T04:42:34Z",
    "version": "W\/\"3694e05e9dff591\"",
    "location": "https://example.com/v2/Users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
  }
}

Provisioning di un ruolo in un'app SCIM

Usare i passaggi nell'esempio per assegnare i ruoli dell'applicazione a un utente per la tua applicazione. La descrizione è specifica per le applicazioni SCIM personalizzate. Per le applicazioni di tipo gallery, ad esempio Salesforce e ServiceNow, usare le mappature dei ruoli predefiniti. I punti elenco seguenti descrivono come trasformare l'attributo AppRoleAssignments nel formato previsto dall'applicazione.

• Per eseguire il mapping di appRoleAssignment in Microsoft Entra ID a un ruolo nell'applicazione, è necessario trasformare l'attributo usando un expression. L'attributo appRoleAssignment non deve essere mappato direttamente a un attributo Role senza usare un'espressione per analizzare i dettagli del ruolo.

SingleAppRoleAssignment

Quando usarla: usare l'espressione SingleAppRoleAssignment per effettuare il provisioning di un singolo ruolo per un utente e per specificare il ruolo primario.

Come configurarla: usare la procedura descritta in precedenza per passare alla pagina dei mapping degli attributi e usare l'espressione SingleAppRoleAssignment per eseguire il mapping all'attributo Role. Sono disponibili tre attributi tra cui scegliere per il ruolo (roles[primary eq "True"].display, roles[primary eq "True"].type e roles[primary eq "True"].value). È possibile scegliere di includere uno o tutti gli attributi di ruolo nei propri mapping. Se si vuole includere più di un attributo, è sufficiente aggiungere un nuovo mapping e includerlo come attributo di destinazione.

Alcune cose da considerare

• Assicurarsi che a un utente non siano assegnati più ruoli. Non c'è alcuna garanzia su quale ruolo venga fornito.
• Controllare l'attributo SingleAppRoleAssignments. L'attributo non è compatibile con l'impostazione dell'ambito su Sync All users and groups.

Richiesta di esempio (POST)

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "alias",
  "userName": "alias@contoso.OnMicrosoft.com",
  "active": true,
  "displayName": "First Name Last Name",
  "meta": {
    "resourceType": "User"
  },
  "roles": [
    {
      "primary": true,
      "type": "WindowsAzureActiveDirectoryRole",
      "value": "Admin"
    }
  ]
}

Output di esempio (PATCH)

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Add",
      "path": "roles",
      "value": [
        {
          "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"25\",\"displayName\":\"Role1234\"}"
        }
      ]
    }
  ]
}

Il formato della richiesta è diverso in PATCH e in POST. Per assicurarsi che le richieste POST e PATCH vengano inviate nello stesso formato, è possibile usare il flag di funzionalità descritto qui.

AppRoleAssignmentsComplex

Quando usarla: usare l'espressione AppRoleAssignmentsComplex per eseguire il provisioning di più ruoli per un utente.

Come configurare: modificare l'elenco degli attributi supportati come descritto in precedenza per includere un nuovo attributo per i ruoli:

Usare quindi l'espressione AppRoleAssignmentsComplex per eseguire il mapping all'attributo Role personalizzato, come illustrato nell'immagine seguente:

Alcune cose da considerare

• Tutti i ruoli sono provisionati come primario = false.
• L'attributo id non è obbligatorio nei ruoli SCIM. Usare piuttosto l'attributo value . Ad esempio, se l'attributo value contiene il nome o l'identificatore del ruolo, usarlo per effettuare il provisioning del ruolo. Puoi usare il feature flag qui per risolvere il problema dell'attributo ID. Tuttavia, basarsi esclusivamente sull'attributo Value non è sempre sufficiente; ad esempio, nel caso in cui siano presenti più ruoli con lo stesso nome o identificatore. In alcuni casi, è necessario usare l'attributo id per configurare correttamente il ruolo.

Limitazioni

• AppRoleAssignmentsComplex non è compatibile con l'impostazione dell'ambito su "Sincronizza tutti gli utenti e i gruppi".

Richiesta di esempio (POST)

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "alias",
  "userName": "alias@contoso.OnMicrosoft.com",
  "active": true,
  "displayName": "First Name Last Name",
  "meta": {
    "resourceType": "User"
  },
  "roles": [
    {
      "primary": false,
      "type": "WindowsAzureActiveDirectoryRole",
      "displayName": "Admin",
      "value": "Admin"
    },
    {
      "primary": false,
      "type": "WindowsAzureActiveDirectoryRole",
      "displayName": "User",
      "value": "User"
    }
  ]
}

Output di esempio (PATCH)

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Add",
      "path": "roles",
      "value": [
        {
          "value": "{\"id\":\"06b07648-ecfe-589f-9d2f-6325724a46ee\",\"value\":\"Admin\",\"displayName\":\"Admin\"}"
        },
        {
          "value": "{\"id\":\"06b07648-ecfe-599f-9d2f-6325724a46ee\",\"value\":\"User\",\"displayName\":\"User\"}"
        }
      ]
    }
  ]
}

AssertiveAppRoleAssignmentsComplex (consigliato per ruoli complessi)

Quando usarlo: usare AssertiveAppRoleAssignmentsComplex per abilitare la funzionalità di sostituzione PATCH. Per le applicazioni SCIM che supportano più ruoli, ciò garantisce che anche i ruoli rimossi in Microsoft Entra ID vengano rimossi nell'applicazione di destinazione. La funzionalità di sostituzione rimuoverà anche tutti i ruoli aggiuntivi che l'utente ha che non sono riflessi in Entra ID

La differenza tra AppRoleAssignmentsComplex e AssertiveAppRoleAssignmentsComplex è la modalità della chiamata patch e l'effetto sul sistema di destinazione. La prima delle due esegue solo operazioni di aggiunta tramite PATCH e pertanto non rimuove alcun ruolo esistente nel target. Quest'ultimo sostituisce PATCH che rimuove i ruoli nel sistema di destinazione se non sono stati assegnati all'utente in Entra ID.

Come configurare: modificare l'elenco degli attributi supportati come descritto in precedenza per includere un nuovo attributo per i ruoli:

Usare quindi l'espressione AssertiveAppRoleAssignmentsComplex per eseguire il mapping all’attributo ruolo personalizzato, come illustrato nell'immagine.

Alcune cose da considerare

• Il provisioning di tutti i ruoli viene effettuato con primario impostato su false.
• L'attributo id non è obbligatorio nei ruoli SCIM. Usare piuttosto l'attributo value . Ad esempio, se l'attributo value contiene il nome o l'identificatore del ruolo, usarlo per effettuare il provisioning del ruolo. È possibile usare il flag di funzionalità qui per risolvere il problema dell'attributo id. Tuttavia, basarsi esclusivamente sull'attributo Value non è sempre sufficiente; ad esempio, nel caso in cui siano presenti più ruoli con lo stesso nome o identificatore. In alcuni casi, è necessario usare l'attributo ID per configurare correttamente il ruolo

Limitazioni

• AssertiveAppRoleAssignmentsComplex non è compatibile con l'impostazione dell'ambito su "Sincronizza tutti gli utenti e i gruppi".

Richiesta di esempio (POST)

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "externalId": "contoso",
  "userName": "contoso@alias.onmicrosoft.com",
  "active": true,
  "roles": [
    {
      "primary": false,
      "type": "WindowsAzureActiveDirectoryRole",
      "display": "User",
      "value": "User"
    },
    {
      "primary": false,
      "type": "WindowsAzureActiveDirectoryRole",
      "display": "Test",
      "value": "Test"
    }
  ]
}

Output di esempio (PATCH)

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "replace",
      "path": "roles",
      "value": [
        {
          "primary": false,
          "type": "WindowsAzureActiveDirectoryRole",
          "display": "User",
          "value": "User"
        },
        {
          "primary": false,
          "type": "WindowsAzureActiveDirectoryRole",
          "display": "Test",
          "value": "Test"
        }
      ]
    }
  ]
}

Configurazione di un attributo multivalore

Alcuni attributi, ad esempio phoneNumbers ed emails, sono attributi multivalore in cui può essere necessario specificare tipi diversi di numeri di telefono o indirizzi di posta elettronica. Per gli attributi multivalore, usare l'espressione seguente. Consente di specificare il tipo di attributo e di eseguirne il mapping all'attributo utente Microsoft Entra corrispondente per il valore.

• phoneNumbers[type eq "work"].value
• phoneNumbers[type eq "mobile"].value
• phoneNumbers[type eq "fax"].value

{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "phoneNumbers": [
    {
      "value": "555-555-5555",
      "type": "work"
    },
    {
      "value": "555-555-5555",
      "type": "mobile"
    },
    {
      "value": "555-555-5555",
      "type": "fax"
    }
  ]
}

Ripristino degli attributi predefiniti e delle mappature degli attributi

Se è necessario ricominciare da capo e reimpostare i mapping esistenti sul rispettivo stato predefinito, è possibile selezionare la casella di controllo Ripristina mapping predefiniti e salvare la configurazione. In questo modo vengono impostati tutti i mapping e i filtri di scopo come se l'applicazione fosse stata aggiunta al tenant di Microsoft Entra dalla galleria delle applicazioni.

La selezione di questa opzione forza una nuova sincronizzazione di tutti gli utenti durante l'esecuzione del servizio di provisioning.

Informazioni utili

• Microsoft Entra ID fornisce un'implementazione efficiente di un processo di sincronizzazione. In un ambiente inizializzato, durante un ciclo di sincronizzazione vengono elaborati solo gli oggetti che richiedono aggiornamenti.
• L'aggiornamento dei mapping degli attributi influisce negativamente sulle prestazioni di un ciclo di sincronizzazione. Un aggiornamento della configurazione del mapping degli attributi richiede la rivalutazione di tutti gli oggetti gestiti.
• È consigliabile ridurre al minimo il numero di modifiche consecutive ai mapping degli attributi.
• L'aggiunta di un attributo foto da fornire a un'app non è attualmente supportata perché non è possibile specificare il formato per la sincronizzazione della foto. La funzionalità può essere richiesta su UserVoice.
• L'attributo IsSoftDeleted fa spesso parte dei mapping predefiniti per un'applicazione e può essere true in uno di quattro scenari:
  • L'utente è fuori dall'ambito perché non è più assegnato all'applicazione.
  • L'utente non rientra nell'ambito di applicazione a causa del mancato soddisfacimento di un filtro di scopo.
  • L'utente viene eliminato softmente in Microsoft Entra ID.
  • La proprietà AccountEnabled è impostata su false per l'utente. Provare a mantenere l'attributo IsSoftDeleted nei mapping degli attributi.
• Il servizio di provisioning Microsoft Entra non supporta il provisioning di valori null.
• La chiave primaria, in genere ID, non deve essere inclusa come attributo di destinazione nei mapping degli attributi.
• In genere l'attributo Role deve essere mappato usando un'espressione anziché un mapping diretto. Per ulteriori informazioni sul mapping dei ruoli, vedere Assegnazione di un ruolo a un'app SCIM.
• Sebbene sia possibile disabilitare i gruppi dai mapping, la disabilitazione di utenti non è supportata.

Passaggi successivi

• Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS
• Scrittura di espressioni per i mapping degli attributi
• Filtri di ambito per Provisioning Utente
• Utilizza SCIM per abilitare il provisioning automatico di utenti e gruppi da Microsoft Entra ID alle applicazioni
• Elenco di esercitazioni pratiche sulla procedura di integrazione delle applicazioni SaaS