Benutzer filtern

Filtername: Benutzerparameter importieren
Dieser Filter dient zum Importieren von Benutzern basierend auf den eingegebenen Parametern (z. B. $filter=startswith givenName, 'J'). Es können mehrere Parameter vorhanden sein, die zusammen verwendet werden.

Beispiele

Das folgende Beispiel findet Benutzer, deren E-Mail-Adresse mit „@efecte.com“ endet.

Das folgende Beispiel findet Benutzer, die in einer Abteilung arbeiten, die mit dem Wort „IT-Service“ beginnt.

Das folgende Beispiel findet Benutzer, deren Anzeigename mit dem Wort „TEST“ beginnt.

Das folgende Beispiel findet Benutzer, die nicht in der Firma Efecte sind

Das folgende Beispiel findet Benutzer, die nicht in Active Directory sind, aber Mitglieder im Entra -Mandanten sind

Das folgende Beispiel findet Benutzer mit der E-Mail-Adresse tuija.itasalmi@efecte.com

Das folgende Beispiel findet Benutzer, die im Erweiterungsattribut extension_824667ba11b6468baf6ac13ac3c62c81_AuthenticationType den Authentifizierungstyp „Standard“ haben und Konten im Erweiterungsattribut extension_824667ba11b6468baf6ac13ac3c62c81_AccountType als intern oder extern betitelt sind

Das folgende Beispiel findet Benutzer, die E-Mail haben

Das folgende Beispiel findet Benutzer, die aktiviert sind

Filtergruppen

Filtername: Importgruppenparameter
Dieser Filter importiert Gruppen basierend auf den eingegebenen Parametern. Beispiel: $filter=startswith groupName, 'E' . Beachten Sie, dass ein Filter mehrere Parameter gleichzeitig verwenden kann.

Beispiele

Das folgende Beispiel findet Gruppen, die Sicherheitsgruppen sind

Das folgende Beispiel findet Gruppen, deren Anzeigename mit dem Wort „Efecte“ beginnt.

Das folgende Beispiel findet Gruppen, die aus Active Directory erstellt und synchronisiert werden

Ausgeschlossene Gruppen

Geben Sie für Azure -basierte Aufgaben die Objekt-IDs der auszuschließenden Gruppen ein (durch Zeilenumbrüche getrennt).

Filtern von Benutzern basierend auf der Gruppenmitgliedschaft

Filtername: Importgruppenparameter
Dieser Filter dient zum Importieren von Benutzern basierend auf der Gruppenmitgliedschaft. Geben Sie für Azure -basierte Aufgaben die Objekt-IDs der Gruppenmitgliedschaften ein, die ein- oder ausgeschlossen werden sollen (getrennt durch Zeilenumbrüche).

Filterung basierend auf einzelnen Benutzern

Filtername: Ausgeschlossene Benutzer

Mit diesem Filter können Sie bestimmte Benutzer vom Import ausschließen. Für Entra verwenden Sie ObjectGUID der auszuschließenden Gruppen (durch Zeilenumbrüche getrennt).

Weitere Informationen zur MS Graph API und zu Filtern finden Sie unter https://docs.microsoft.com/en-us/graph/aad-advanced-queries?tabs=http .

So testen Sie EPE Azure -Abfragen

Wenn Sie Azure -Abfragen testen möchten, ohne EPE auszuführen, gehen Sie zur URL https://developer.microsoft.com/en-us/graph/graph-explorer 

Dieses Testtool verwendet genau die gleichen Regeln wie EPE. Wenn hier etwas funktioniert, funktioniert es auch in EPE und umgekehrt.

So testen Sie beispielsweise, ob die Syntax von onPremisesExtensionAttribute in EPE funktioniert:

Sie können geplante Aufgaben zum Lesen von Daten mit Abfragen und Unterabfragen konfigurieren, die sich auf den von der Hauptabfrage zurückgegebenen Ergebnissatz beziehen.

In diesem Beispiel ist deviceManagement/managedDevices die Hauptabfrage und hat zwei Unterabfragen. Unterabfragen werden für alle Geräte ausgeführt, die die Hauptabfrage zurückgegeben hat.

Wenn Sie diese Unterabfragen festgelegt haben, können Sie diese in Zuordnungen verwenden, um von Unterabfragen zurückgegebene Daten abzurufen. Zum Beispiel so:

Wenn Sie ein Attribut aus einer Unterabfrage lesen, hat es sein eigenes Format. Zuerst benötigen Sie die Unterabfrage als Präfix, dann einen Punkt (.) und dann den Attributnamen, den Sie lesen möchten.

Sehen wir uns als Beispiel diese Zuordnung genauer an:
/deviceManagement/managedDevices/{id}/windows Pro tectionState . deviceState

Präfix (dasselbe wie Unterabfrage): /deviceManagement/managedDevices/{id}/windows Pro tectionState

Punkt : .

Suffix als Attributname aus dem Unterabfrage-Ergebnissatz: deviceState

Diese Unterabfragezuordnung liest (in diesem Beispiel) von allen Geräten, die aus der Hauptabfrage resultieren, das Windows Pro -Objekt und von dort den Wert des DeviceState-Attributs.

Unterstützung für Untertabellen für Version 2025.2 hinzugefügt

Sie können Attribute aus Tabellen mit dieser Syntax lesen:
deviceManagement/detectedApps/{id}/deviceActionResults.0.actionName
Beispiele (Lesen Sie Daten aus der ersten Tabelle der Ergebnismengen der Unterabfrage „deviceActionResults“ und aus dieser Tabelle werden die Attribute „actionName“, „actionState“ und „lastUpdatedDateTime“ gelesen, um ESM-Attribute zu trennen:

Einschränkungen in Version 2025.1

Mehrstufige Unterabfragen werden nicht unterstützt

Unterabfragen unterstützen nur eine Ebene von Unterabfragen, d. h. Sie können beispielsweise diese Art von Unterabfragen nicht direkt erstellen, wenn Sie mehr als eine Variable in {} haben:

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Untertabellen werden nicht unterstützt

Das Abrufen von Daten aus Untertabellen wird nicht unterstützt, d. h. Sie können beispielsweise „actionName“ nicht aus diesem API Aufruf lesen:

deviceManagement/managedDevices/{id}

Es wird nur eine Unterabfrage pro Aufgabe unterstützt

Wenn Sie mehr als eine Unterabfrage verwenden, können die Daten zwischen den Unterabfragen vermischt werden.

Einschränkungen in Version 2025.2

Mehrstufige Unterabfragen werden nicht unterstützt

Unterabfragen unterstützen nur eine Ebene von Unterabfragen, d. h. Sie können beispielsweise diese Art von Unterabfragen nicht direkt erstellen, wenn Sie mehr als eine Variable in {} haben:

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Es wird nur eine Unterabfrage pro Aufgabe unterstützt

Wenn Sie mehr als eine Unterabfrage verwenden, können die Daten zwischen den Unterabfragen vermischt werden.

Einschränkungen in Version 2025.3

Mehrstufige Unterabfragen werden nicht unterstützt

Unterabfragen unterstützen nur eine Ebene von Unterabfragen, d. h. Sie können beispielsweise diese Art von Unterabfragen nicht direkt erstellen, wenn Sie mehr als eine Variable in {} haben:

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Siehe https://docs.efecte.com/configure-connectors/intune-read-and-write

Siehe https://docs.efecte.com/configure-connectors/ms_teams_integration

Mit dem generischen REST Aufruf -action können Sie über die Microsoft Graph API verschiedene Aufrufe an Azure und Entra ID tätigen. Hier sind einige Beispiele für diese Möglichkeiten, die jedoch nicht darauf beschränkt sind.

Legen Sie die Erweiterungsattribute (1–15) auf Entra ID Konto fest.

Generieren Sie den JSON-Textkörper im Workflow-Skriptknoten (ändern Sie das Skript, damit es Ihren Anforderungen entspricht). Im Beispiel-Workflow unten befindet sich dieses Skript im Knoten „EXT Generate ExtensionAttributes payload“:

import json

_source = this.get("source")

# EXT users extension attributes, ordered from portal
if "Self-service portal" in _source:
  # set values to variables
  _extAttr1 = this.get("iga_id")
  _extAttr4 = "EXT"
  _extAttr9 = str(this.get("work_unit"))
  _extAttr10 = "100"
  _extAttr15 = this.get("microsoft_license")

  _payload_dict = {
    "onPremisesExtensionAttributes": {
        "extensionAttribute1": _extAttr1,
        "extensionAttribute4": _extAttr4,
        "extensionAttribute9": _extAttr9,
        "extensionAttribute10": _extAttr10,
        "extensionAttribute15": _extAttr15
    }
}

  # format to json and set to extattributesEntra attribute
  _payload = json.dumps(_payload_dict, indent=4)
  this.set("extattributesEntra", _payload)

Erstellen Sie einen Orchestrierungsknoten für Microsoft Graph API Datenquelle und die generische REST Aufrufaktivität.

Setzen Sie die Aktion auf PATCH, die Rest-URL auf /users/$objectGUID$ und verwenden Sie im Text den Attributwert „extattributes Entra “, den Sie im vorherigen Schritt mit der Syntax „$extattributes Entra $“ erstellt haben.

Benutzer aktivieren/deaktivieren

In der obigen Abbildung wählen Administratoren das richtige Microsoft Azure AD Ziel aus und können die für ausgewählte Azure -Aufgaben konfigurierten Identitätszuordnungen anzeigen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Innerhalb desselben Knotens können Administratoren die gewünschte Aktion „Aktivieren“ oder „Deaktivieren“ auswählen. Die Funktion „Aktivieren/Deaktivieren“ bezieht sich hier auf die Einstellung „accountEnabled“ auf „true“, wenn das Konto aktiviert ist; andernfalls auf „false“.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer zur Gruppe hinzufügen

In der obigen Abbildung sollte die Konfiguration des Personenattributs auf die Vorlage verweisen, in der der Orchestrierungsknoten die Benutzerdaten findet (normalerweise IGA Konto). Das Rollenattribut muss konfiguriert werden, um zu definieren, wo der Orchestrierungsknoten die verfügbaren Rollen findet (Verzeichnisgruppen, aus denen der Benutzer entfernt werden soll). In einem Rollenattribut können eine oder mehrere Attributgruppen konfiguriert sein. Die Liste der verfügbaren registrierten Verzeichnisaufgaben wird vom EPE-Master abgerufen.

Es ist erforderlich, die Verzeichnisaufgabe auszuwählen, da der Orchestrierungsknoten Efecte Provisioning Engine die Zuordnung der Felder für Identität und Zugriffsrechte verwendet, um zu wissen, unter welchem Attributcode die eindeutigen Namen des Benutzers und der Verzeichnisgruppe gespeichert sind.

Ausnahmebehandlung:

• Das Ergebnis eines Knotens befindet sich nur dann im Status „Abgeschlossen“, wenn alle Gruppenmitgliedschaften des Benutzers erfolgreich aktualisiert wurden. Wenn der Benutzer beispielsweise erfolgreich aus fünf von sechs Gruppen entfernt wird, befindet sich das Ergebnis eines Knotens im Status „Ausnahme“.
• Daher ist die Zuordnung für das JSON-Feld „distinguishedName“ sowohl für die Identität als auch für das Zugriffsrecht erforderlich. Wenn keine Zuordnung gefunden wird, führt der Orchestrierungsknoten zu einem Ausnahmezustand.
• Der Versuch, einen Benutzer aus einer Gruppe zu entfernen, zu der er nicht gehört, schlägt fehl.
• Der Versuch, einen Benutzer zu einer Gruppe hinzuzufügen, zu der er bereits gehört, schlägt fehl.
• Details zur erfolgreich/nicht erfolgreich aktualisierten Gruppenmitgliedschaft des Benutzers finden Sie in den Protokollen.
• Ausnahmen Pro Bereitstellung und Gruppenmitgliedschaft sind optionale Eigenschaften dieses Workflow-Knotens. Administratoren können diese Eigenschaften so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer erstellen

In der obigen Abbildung werden die Identitätsattributzuordnungen aus Pro übernommen. Administratoren wählen das richtige Verzeichnisziel aus und können die für ausgewählte Verzeichnisaufgaben konfigurierten Identitätszuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Pro der Bereitstellungsaufgabe vorgenommen werden.

Der neue Benutzerorchestrierungsknoten liest Attribute aus den betreffenden Datenkarten und führt API Aufruf an Azure aus. Es ist wichtig sicherzustellen, dass die im Orchestrierungsknoten „Benutzer erstellen“ verwendete Identitätszuordnung mindestens drei zusätzliche Azure AD Zuordnungen enthält: für die Attribute „displayName“, „mailNickname“ und „userPrincipalName“. Hinweis: Fehlen diese drei Zuordnungen in einer Konfiguration, wird sie nicht in der Dropdown-Liste angezeigt.

Erstellen neuer Benutzeraktivitätsnotizen:

• Es gibt zwei Möglichkeiten, das Passwort für einen neuen Benutzer bei seiner ersten Anmeldung zu erstellen.
  • Definieren Sie das „Standard“-Passwort in der Konfigurationsansicht der Pro .
    • Dieses Passwort wird nur von Benutzern verwendet, wenn sie sich zum ersten Mal in das System einloggen
  • Generieren Sie im Workflow ein zufälliges Kennwort und wählen Sie aus, in welches Attribut auf der Identity Mapping-Datenkarte es geschrieben wurde.
  • In beiden Fällen wird der Wert „pwdLastSet“ für das erste Kennwort auf Null (0) gesetzt, um einen Benutzer zu zwingen, sein Kennwort nach der ersten Anmeldung zu ändern.
  • Möglichkeit zur Auswahl, ob das Kennwort bei der ersten Anmeldung geändert werden muss oder nicht. Administratoren können dies direkt im Workflow-Orchestrierungsknoten „Benutzererstellung“ auswählen.
• Es gibt verschiedene Möglichkeiten, das Passwort für die erste Anmeldung des Endbenutzers bereitzustellen. Je nach Kundenbedarf können Workflow-Funktionen genutzt werden, um das Passwort direkt per E-Mail oder SMS an den Endbenutzer zu senden. Alternativ kann das Passwort für die erste Anmeldung an den Manager gesendet werden, der es dem Endbenutzer bereitstellt. Der Orchestrierungsknoten von EPE selbst bietet diese Funktion NICHT an; sie muss an anderer Stelle definiert werden.
• Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Gruppe erstellen

In der obigen Abbildung werden die Attributzuordnungen der Zugriffsrechte aus Pro übernommen. Administratoren wählen das richtige Azure Directory-Ziel aus und können die für ausgewählte Azure -Aufgaben konfigurierten Zugriffsrechtezuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der neu erstellte Benutzerorchestrierungsknoten liest Attribute von den betreffenden Datenkarten und führt API Befehl an Entra -Verzeichnis aus.

Es muss sichergestellt werden, dass die im Orchestrierungsknoten „Gruppe erstellen“ verwendete Zuordnung von Zugriffsrechten mindestens vier zusätzliche Azure AD Zuordnungen enthält: für die Attribute „displayName“, „mailEnabled“, „mailNickname“ und „securityEnabled“.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.


Gruppe löschen

In der obigen Abbildung können Administratoren das richtige Azure Directory-Ziel auswählen. Der Orchestrierungsknoten „Gruppe löschen“ liest Attribute von den betreffenden Datenkarten und führt API -Befehl an Azure Directory aus.

Bei Azure Active Directory -basierten Konfigurationen sollte das „Rollengruppenattribut“ ObjectGUID der Gruppe enthalten.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer löschen

In der obigen Abbildung können Administratoren das richtige Azure AD Ziel auswählen. Der gelöschte Benutzerorchestrierungsknoten liest Attribute von den betreffenden Datenkarten und führt API Befehl an Entra -Verzeichnis aus.

Bei Azure Active Directory -basierten Konfigurationen sollte das „Personenattribut“ ObjectGUID Wert des Benutzers enthalten.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer aus Gruppe entfernen

In der obigen Abbildung können Administratoren das richtige Azure AD Ziel auswählen. Der entfernte Benutzer aus dem Gruppenorchestrierungsknoten liest Attribute von den betreffenden Datenkarten und führt API Befehl an Entra -Verzeichnis aus.

Bei Azure Active Directory -basierten Konfigurationen sollten „Personenattribut“ und „Rollenattribut“ ObjectGUID Wert des Benutzers enthalten.

Ausnahmebehandlung:

• Das Ergebnis eines Knotens befindet sich nur dann im Status „Abgeschlossen“, wenn alle Gruppenmitgliedschaften des Benutzers erfolgreich aktualisiert wurden. Wenn der Benutzer beispielsweise erfolgreich aus fünf von sechs Gruppen entfernt wird, befindet sich das Ergebnis eines Knotens im Status „Ausnahme“.
• Der Versuch, einen Benutzer aus einer Gruppe zu entfernen, zu der er nicht gehört, schlägt fehl.
• Details zur erfolgreich/nicht erfolgreich aktualisierten Gruppenmitgliedschaft des Benutzers finden Sie in den Protokollen.
• Ausnahmen Pro Bereitstellung und Gruppenmitgliedschaft sind optionale Eigenschaften dieses Workflow-Knotens. Administratoren können diese Eigenschaften so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.
  

Benutzerkennwort zurücksetzen

In der obigen Abbildung können Administratoren das richtige Azure Directory-Ziel auswählen. Der Orchestrierungsknoten „Benutzerkennwort zurücksetzen“ liest Attribute aus den betreffenden Datenkarten und führt API Befehl an Azure Directory aus. Die Attribute „Person“ und „Kennwort“ sollten auf die Vorlage verweisen, in der der Orchestrierungsknoten die Benutzerdaten findet.

Ab EPE-Version 2022.3 haben wir die Möglichkeit implementiert, auszuwählen, ob das Passwort bei der ersten Anmeldung geändert werden muss oder nicht. Administratoren können dies direkt im Workflow-Orchestrierungsknoten „Benutzerpasswort zurücksetzen“ auswählen.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Gruppe „Aktualisieren“

In der obigen Abbildung werden die Attributzuordnungen für Zugriffsrechte aus Pro ausgefüllt. Administratoren wählen das richtige Azure Directory-Ziel aus und können die für ausgewählte Azure -Aufgaben konfigurierten Zugriffsrechtezuordnungen anzeigen.

In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern. Diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der Orchestrierungsknoten der Update-Gruppe liest Attribute von den betreffenden Datenkarten und führt API Aufruf an Azure aus.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer aktualisieren

In der obigen Abbildung werden die Identitätsattributzuordnungen aus Pro gefüllt. Administratoren wählen das richtige Azure Directory-Ziel aus und können die für ausgewählte Azure -Aufgaben konfigurierten Identitätszuordnungen anzeigen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden nur als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der Knoten „Benutzerorchestrierung aktualisieren“ liest Attribute von den betreffenden Datenkarten und führt API Aufruf an Azure AD aus.

Die Aktualisierung des Benutzerkennworts wird bei dieser Orchestrierungsaktivität nicht unterstützt.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Gruppe überprüfen

In der obigen Abbildung werden die Attributzuordnungen der Zugriffsrechte aus den Pro übernommen. Administratoren wählen das richtige Azure Verzeichnis unter „Ziel“ aus und können sehen, welche Zugriffsrechtezuordnungen für die ausgewählte Azure -Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Im Admin-Bereich „Zugriffsrechtezuordnungen“ können Administratoren „IF“-Ausdrücke angeben, die einen API Aufruf generieren, um zu überprüfen, ob die Gruppe existiert. Es können beliebig viele Attribute aus der Datenkarte ausgewählt werden, um die Eindeutigkeit einer Gruppe zu bestätigen. Bei einer Aktion werden diese Attribute aus der entsprechenden Datenkarte gelesen und gemäß der Azure Directory-Konfiguration „Ziel*“ mit den entsprechenden Azure -Attributen verglichen. Administratoren können durch Ändern des „IF“-Ausdrucks auch „gleich“ oder „ungleich“ zum entsprechenden Azure -Attribut verwenden. Das Feld „Ergebnis speichern*“ definiert, wo die Ergebnisse des erfolgreichen API Aufrufs gespeichert werden: „true“, wenn die Gruppe gefunden wurde, andernfalls „false“.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Überprüfen der Gruppenmitgliedschaft

In der obigen Abbildung werden die Identitätsattributzuordnungen aus den Pro übernommen. Administratoren wählen das richtige Azure Verzeichnis unter „Ziel“ aus und können sehen, welche Identitätszuordnungen für die ausgewählte Azure -Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Das Feld „Ergebnis speichern*“ wird verwendet, um zu definieren, wo die Ergebnisse des erfolgreichen API Aufrufs gespeichert werden: „true“, wenn der Benutzer gefunden wurde, und andernfalls „false“.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer überprüfen

In der obigen Abbildung werden die Identitätsattributzuordnungen aus den Pro übernommen. Administratoren wählen das richtige Azure Verzeichnis unter „Ziel“ aus und können sehen, welche Identitätszuordnungen für die ausgewählte Azure -Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Im Administratorenbereich „Identitätszuordnungen“ können Administratoren „IF“-Ausdrücke angeben, die einen API Aufruf generieren, um die Existenz des Benutzers zu überprüfen. Es können beliebig viele Attribute aus der Personendatenkarte ausgewählt werden, um die Eindeutigkeit eines Benutzers zu bestätigen. Bei einer Aktion werden diese Attribute aus der entsprechenden Datenkarte gelesen und gemäß der Azure -Konfiguration „Ziel*“ mit den entsprechenden Azure Attributen verglichen. Administratoren können durch Ändern des „IF“-Ausdrucks auch „gleich“ oder „ungleich“ zum entsprechenden Azure -Attribut verwenden. Das Feld „Ergebnis speichern*“ definiert, wo die Ergebnisse des erfolgreichen API Aufrufs gespeichert werden: „true“, wenn der Benutzer gefunden wurde, andernfalls „false“.

Der entscheidende Punkt zum Verständnis der Funktionsweise dieses Knotens ist: Beim Bilden des IF-Ausdrucks muss der Administrator die Attribute der Vorlage verwenden. Tatsächlich werden die daraus gelesenen Werte jedoch gemäß der Identitätszuordnungskonfiguration in die richtigen Azure Directory-Attribute übersetzt (abgebildet) und als Suchabfrage an Azure Directory übergeben.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzerdefiniertes Objekt erstellen

Seit 2022.2 führt Efecte Provisioning Engine (EPE) die neue Workflow-Aktivität „Benutzerdefiniertes Objekt erstellen“ ein. Beispielsweise können nun Geräte, Kontakte und Anwendungen mit EPE für Azure AD erstellt werden. Beachten Sie, dass diese Aktion IGA -lizenziert ist. Das bedeutet, dass die Erstellung benutzerdefinierter Objekte in IGA Installationen verwendet werden kann.

In der obigen Abbildung werden die Identitätsattributzuordnungen aus den Pro übernommen. Administratoren wählen das richtige Azure Verzeichnis unter „Ziel“ aus und können sehen, welche Identitätszuordnungen für die ausgewählte Azure -Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Die benutzerdefinierte Objektklasse definiert, welches Objekt EPE erstellt. In diesem Beispiel erstellt EPE Kontakte.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzerdefiniertes Objekt aktualisieren

Seit 2023.1 führt Efecte Provisioning Engine (EPE) die neue Workflow-Aktivität „Benutzerdefiniertes Objekt aktualisieren“ ein. Beispielsweise können Geräte, Kontakte und Anwendungen nun mit EPE in Richtung Azure AD aktualisiert werden. Beachten Sie, dass diese Aktion IGA -lizenziert ist. Das bedeutet, dass die Erstellung benutzerdefinierter Objekte in IGA Installationen verwendet werden kann.

In der obigen Abbildung werden die Identitätsattributzuordnungen aus den Pro übernommen. Administratoren wählen das richtige Azure Verzeichnis unter „Ziel“ aus und können sehen, welche Identitätszuordnungen für die ausgewählte Azure -Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzerdefiniertes Objekt löschen

Seit 2023.1 führt Efecte Provisioning Engine (EPE) die neue Workflow-Aktivität „Benutzerdefiniertes Objekt löschen“ ein. Beispielsweise können Geräte, Kontakte und Anwendungen nun mit EPE in Richtung Azure AD gelöscht werden. Beachten Sie, dass diese Aktion IGA -lizenziert ist. Das bedeutet, dass die Erstellung benutzerdefinierter Objekte in IGA Installationen verwendet werden kann.

In der obigen Abbildung definiert das Attribut „Objektname“, welches Objekt EPE löscht. In diesem Beispiel löscht EPE Kontakte.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzerdaten lesen

Seit 2022.2 führt Efecte Provisioning Engine (EPE) die neue Workflow-Aktivität „Benutzerdaten lesen“ ein. Informationen können hinter Referenzen aktualisiert werden, beispielsweise können IGA -Kontodaten aus dem Identitätsspeicher aktualisiert werden.

In der obigen Abbildung wird das Personenattribut zum Aktualisieren der richtigen Kontoinformationen vom Verzeichnis zum ESM verwendet.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Bereitstellungsaufgabe ausführen

Diese Aktivität wird verwendet, wenn alle Informationen aus dem Verzeichnis sofort zurück benötigt werden.

In der obigen Abbildung können Administratoren das richtige Verzeichnis „Ziel“ auswählen. Führen Sie den Bereitstellungstask-Orchestrierungsknoten aus, um Attribute aus Azure -Verzeichnis in IGA -Konten zu lesen.

Anforderungen für die EPE-Aufgabe „Ziel“ sind:

• Die Aufgabe muss vom Typ „Planbare Aufgabe“ sein und darf nicht ereignisbasiert sein.
• Die Vorlage des Workflows muss mit der Vorlage für die Identitätszuordnung identisch sein.
• Die Aufgabe muss zu einem bestimmten Zeitpunkt geplant werden - es markiert eine Aufgabe, die dann "aktiviert" werden soll
• Zuordnungen müssen eindeutig sein, keine doppelten Zuordnungen in der Aufgabe

In dieser Orchestrierungsansicht können Sie keine Zuordnungen ändern. Diese werden nur als visuelle Hilfe angezeigt. Wenn die Attributzuordnungen geändert werden müssen, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Generischer REST Aufruf

Fügen Sie Ihrem Workflow einen Orchestrierungsknoten hinzu und konfigurieren Sie die folgenden Dinge.

Name - beschreibenden Namen festlegen

Beschreibung - Legen Sie eine beschreibende Beschreibung fest

Orchestrate – Pro Engine auswählen

Datenquelle – wählen Sie Microsoft Graph API

Aktivität – Wählen Sie „Generischer REST Aufruf“ aus

Ziel – wählen Sie Ihre ereignisbasierte Aufgabe aus (Sie können dieselbe Aufgabe für mehrere Orchestrierungsknoten verwenden)

Aktion - Wählen Sie die Aktion basierend auf der aufgerufenen REST API aus (die korrekte Aktion finden Sie in API Dokumentation). Unterstützte Aktionen sind: POST, PUT, PATCH, DELETE und GET

REST URL – der API-Endpunkt, den Sie aufrufen. Dies kann die vollständige URL oder deren Suffix sein. Bei Verwendung eines Suffixes wird die tatsächliche aufzurufende URL aus Folgendem zusammengesetzt: Connector-Host-URL + Task-Abfrage + Orchestrierungsknoten-URL. Sie können Vorlagenattributvariablen ähnlich wie im E-Mail-Knoten verwenden, indem Sie eine Dollar-Syntax wie $attribute_code$ und $reference:attribute_code$ verwenden.

Hinweis! Wenn Ihre URL Leerzeichen oder $-Zeichen enthält, denken Sie daran, diese URL-kodieren. $ ist also %24, Leerzeichen ist %20
Beispielsweise wird diese URL: users?%24count=true&$filter=userprincipalname eq 'test' folgendermaßen codiert: users?$count=true&%24filter=userprincipalname%20eq%20'test'

Rest Body – JSON-Body für den API-Aufruf. Kann leer sein, wenn die aufgerufene API keinen Body benötigt. Alternativ können Sie {} verwenden, wenn das Verlassen des Bodys mit Microsoft nicht funktioniert. Details zum Body finden Sie in API Dokumentation. Sie können Vorlagenattributvariablen ähnlich wie im E-Mail-Knoten verwenden, indem Sie eine Dollar-Syntax wie $attribute_code$ und $reference:attribute_code$ verwenden.

In diesem Textkörper haben wir beispielsweise zwei Variablen: $firstname$ und $lastname$
{"Name": {
"givenName": "$Vorname$",
„familyName“: „$lastname$“}}

Falls Sie einen komplizierten JSON-Text für API Aufruf erstellen müssen, können Sie diesen vollständigen JSON-Text zunächst für ein Datenkartenattribut erstellen. Und dann haben Sie nur diesen Attributcode im Text, wie folgt: $generated_json_body_attributecode$

import json

if onPremisesExtensionAttributes:
  _data = this.get("onPremisesExtensionAttributes")
  _obj = json.loads(_data)
  _value = _obj["extensionAttribute14"]
  this.set("extensionAttribute14code",_value)

REST-Antwortattribut – Das JSON-Ergebnis des API Aufrufs wird in dieses Attribut geschrieben. Nicht alle API geben JSON-Antworten zurück. Details finden Sie in API Dokumentation.

import json

if onPremisesExtensionAttributes:
  _data = this.get("onPremisesExtensionAttributes")
  _obj = json.loads(_data)
  _value = _obj["extensionAttribute14"]
  this.set("extensionAttribute14code",_value)

Pro – Wenn beim REST API Aufruf ein Problem auftritt, wird ein Fehler in dieses Attribut geschrieben.

Ausnahmebehandlung für generische REST Aufrufe:

• Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Provisionierungsaktionen Ausnahmen auftreten.
• Das Ergebnis eines Knotens befindet sich im Status „Abgeschlossen“, wenn der HTTP-Antwortcode Microsoft Graph API 200 oder darüber und unter 400 liegt.
• Details zu erfolgreichen/nicht erfolgreichen Microsoft Graph API Aufrufen finden Sie in den Protokollen.

In diesem Kapitel werden Möglichkeiten zur Fehlerbehebung beschrieben,

• Falls eine Fehlervorlage verwendet wird, überprüfen Sie die korrekte Datenkarte
• Überprüfen Sie den Verlauf geplanter Aufgaben über die Connector-Verwaltung
• Überprüfen Sie die Protokolle Efecte Provisioning Engine
• Derzeit unterstützt EPE nicht die Zuordnung desselben Entra ID-Attributs zu mehreren ESM-Attributen. Die Benutzeroberfläche lässt diese Konfiguration jedoch weiterhin zu, was zu Fehlern führen kann.