Filtrowanie użytkowników

Nazwa filtru: Importuj parametry użytkowników
Ten filtr jest ustawiony na import użytkownika na podstawie wprowadzonych parametrów (np. $filter=startswith givenName, 'J'). Można użyć kilku parametrów, które są używane razem.

Przykłady

Poniższy przykład wyszukuje użytkowników, których adres e-mail kończy się na „@efecte.com”

Poniższy przykład wyszukuje użytkowników, którzy znajdują się w dziale, którego nazwa zaczyna się od słowa „IT-Service”

Poniższy przykład wyszukuje użytkowników, których nazwa wyświetlana zaczyna się od słowa „TEST”

Poniższy przykład wyszukuje użytkowników, którzy nie są w firmie o nazwie Efecte

Poniższy przykład wyszukuje użytkowników, którzy nie znajdują się w Active Directory , ale są członkami dzierżawy Entra

Poniższy przykład wyszukuje użytkowników, którzy mają adres e-mail tuija.itasalmi@efecte.com

Poniższy przykład wyszukuje użytkowników, którzy mają typ uwierzytelniania „standardowy” w atrybucie rozszerzenia extension_824667ba11b6468baf6ac13ac3c62c81_AuthenticationType, a konta są nazwane jako wewnętrzne lub zewnętrzne w atrybucie rozszerzenia extension_824667ba11b6468baf6ac13ac3c62c81_AccountType

Poniższy przykład wyszukuje użytkowników, którzy mają pocztę

Poniższy przykład wyszukuje użytkowników, którzy są włączeni

Grupy filtrujące

Nazwa filtru: Parametr grup importowych
Ten filtr jest ustawiony tak, aby importować grupy na podstawie wprowadzonych parametrów. Na przykład: $filter=startswithgroupName, 'E' . Należy pamiętać, że jeden filtr może używać kilku parametrów jednocześnie.

Przykłady

Poniższy przykład wyszukuje grupy, które są grupami zabezpieczeń

Poniższy przykład wyszukuje grupy, których nazwa wyświetlana zaczyna się od słowa „Efecte”

Poniższy przykład wyszukuje grupy utworzone i zsynchronizowane z Active Directory

Wykluczone grupy

W przypadku zadań opartych na Azure wpisz identyfikatory obiektów grup, które mają zostać wykluczone (rozdzielone nowymi wierszami).

Filtrowanie użytkowników na podstawie przynależności do grupy

Nazwa filtru: Parametr importu grup
Ten filtr służy do importowania użytkowników na podstawie przynależności do grupy. W przypadku zadań opartych na Azure należy umieścić identyfikatory obiektów przynależności do grup, które mają zostać uwzględnione lub wykluczone (rozdzielone znakami nowej linii).

Filtrowanie na podstawie pojedynczych użytkowników

Nazwa filtra: Wykluczeni użytkownicy

Za pomocą tego filtra można wykluczyć konkretnych użytkowników z importu. W przypadku Entra należy użyć identyfikatorów ObjectGUID grup, które mają zostać wykluczone (rozdzielonych znakami nowej linii).

Więcej informacji o API i filtrach MS Graph można znaleźć na stronie https://docs.microsoft.com/en-us/graph/aad-advanced-queries?tabs=http .

Jak testować zapytania EPE Azure

Jeśli chcesz przetestować zapytania Azure bez uruchamiania narzędzia EPE, przejdź do adresu URL https://developer.microsoft.com/en-us/graph/graph-explorer 

To narzędzie testowe korzysta z dokładnie tych samych zasad co EPE. Jeśli coś działa tutaj, działa również w EPE i odwrotnie.

Na przykład, jak sprawdzić, czy składnia onPremisesExtensionAttribute działa w EPE:

Można skonfigurować zadanie zaplanowane w celu odczytu danych za pomocą zapytania i podzapytań, które są powiązane z zestawem wyników zwróconym przez zapytanie główne.

W tym przykładzie deviceManagement/managedDevices jest zapytaniem głównym i ma 2 podzapytania. Podzapytania są wykonywane dla wszystkich urządzeń zwróconych przez zapytanie główne.

Po ustawieniu tych podzapytań możesz ich użyć w mapowaniach, aby pobrać dane zwrócone przez podzapytania. Na przykład tak:

Atrybut odczytywany z podzapytania ma swój własny format. Najpierw musisz podać podzapytanie jako prefiks, następnie kropkę (.), a następnie nazwę atrybutu, który chcesz odczytać.

Jako przykład przyjrzyjmy się temu mapowaniu bardziej szczegółowo:
/deviceManagement/managedDevices/{id}/windows Pro tectionState . deviceState

prefiks (taki sam jak podzapytanie): /deviceManagement/managedDevices/{id}/windows Pro tectionState

kropka : .

sufiks jako nazwa atrybutu z zestawu wyników podzapytania: deviceState

To mapowanie podzapytania odczytuje (w tym przykładzie) ze wszystkich urządzeń wynikowych zapytania Pro obiekt ProtectionState i z niego odczytuje wartość atrybutu deviceState.

Dodano obsługę podtabel w wersji 2025.2

Atrybuty z tabel można odczytać za pomocą następującej składni:
deviceManagement/detectedApps/{id}/deviceActionResults.0.actionName
Przykłady (odczyt danych z pierwszej tabeli podzbiorów wyników zapytania deviceActionResults, a następnie z tej tabeli odczytywanie atrybutów actionName, actionState i lastUpdatedDateTime do oddzielnych atrybutów ESM):

Ograniczenia w wersji 2025.1

Podzapytania wielopoziomowe nie są obsługiwane

Podzapytania obsługują tylko jeden poziom podzapytań, co oznacza, że nie można bezpośrednio tworzyć na przykład tego typu podzapytań, w których w {} znajduje się więcej niż jedna zmienna:

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Podtabele nie są obsługiwane

Pobieranie danych z podtabel nie jest obsługiwane, co oznacza, że nie można na przykład odczytać actionName z tego wywołania API :

deviceManagement/managedDevices/{id}

Obsługiwane jest tylko jedno podzapytanie na zadanie

Jeśli używasz więcej niż jednego podzapytania, dane mogą być wymieszane w poszczególnych podzapytaniach.

Ograniczenia w wersji 2025.2

Podzapytania wielopoziomowe nie są obsługiwane

Podzapytania obsługują tylko jeden poziom podzapytań, co oznacza, że nie można bezpośrednio tworzyć na przykład tego typu podzapytań, w których w {} znajduje się więcej niż jedna zmienna:

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Obsługiwane jest tylko jedno podzapytanie na zadanie

Jeżeli używasz więcej niż jednego podzapytania, dane mogą być wymieszane w poszczególnych podzapytaniach.

Ograniczenia w wersji 2025.3

Podzapytania wielopoziomowe nie są obsługiwane

Podzapytania obsługują tylko jeden poziom podzapytań, co oznacza, że nie można bezpośrednio tworzyć na przykład tego typu podzapytań, w których w {} znajduje się więcej niż jedna zmienna:

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Zobacz https://docs.efecte.com/configure-connectors/intune-read-and-write

Zobacz https://docs.efecte.com/configure-connectors/ms_teams_integration

Dzięki ogólnym wywołaniom REST możesz wykonywać różne wywołania do Azure i Entra ID za pośrednictwem Microsoft Graph API . Oto kilka przykładów takich możliwości, ale nie tylko.

Ustaw extensionAttributes (1-15) na konto Entra ID .

Wygeneruj treść JSON w węźle skryptu przepływu pracy (zmodyfikuj skrypt, aby odpowiadał Twoim wymaganiom). W przykładowym przepływie pracy poniżej ten skrypt znajduje się w węźle „EXT Generate ExtensionAttributes payload”:

import json

_source = this.get("source")

# EXT users extension attributes, ordered from portal
if "Self-service portal" in _source:
  # set values to variables
  _extAttr1 = this.get("iga_id")
  _extAttr4 = "EXT"
  _extAttr9 = str(this.get("work_unit"))
  _extAttr10 = "100"
  _extAttr15 = this.get("microsoft_license")

  _payload_dict = {
    "onPremisesExtensionAttributes": {
        "extensionAttribute1": _extAttr1,
        "extensionAttribute4": _extAttr4,
        "extensionAttribute9": _extAttr9,
        "extensionAttribute10": _extAttr10,
        "extensionAttribute15": _extAttr15
    }
}

  # format to json and set to extattributesEntra attribute
  _payload = json.dumps(_payload_dict, indent=4)
  this.set("extattributesEntra", _payload)

Utwórz węzeł orkiestracji dla źródła danych interfejsu Microsoft Graph API i ogólnej aktywności wywołania REST .

Ustaw Akcję na PATCH, adres URL reszty na /users/$objectGUID$ i w treści wykorzystaj wartość atrybutu Entra extattributes, którą utworzyłeś w poprzednim kroku, używając składni $extattributes Entra $.

Aktywuj/Dezaktywuj użytkownika

Na powyższej ilustracji administratorzy wybierają właściwy „cel” usługi Microsoft Azure AD i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań Azure . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

W tym samym węźle administratorzy mogą wybrać preferowaną akcję: „Aktywuj” lub „Dezaktywuj”. Funkcjonalność „Aktywuj/Dezaktywuj” w tym przypadku oznacza ustawienie „accountEnabled” na wartość true, jeśli konto jest włączone; w przeciwnym razie na false.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Dodaj użytkownika do grupy

Na powyższej ilustracji konfiguracja atrybutu „Person” powinna wskazywać szablon, w którym węzeł orkiestracji znajduje dane użytkownika (zazwyczaj konto IGA ). Atrybut „Rola” musi zostać skonfigurowany, aby określić, gdzie węzeł orkiestracji znajduje dostępne role (grupy katalogów, z których użytkownik powinien zostać usunięty). W atrybucie „Rola” może być skonfigurowana jedna lub wiele grup atrybutów. Lista dostępnych zarejestrowanych zadań katalogowych jest pobierana z bazy danych EPE-master.

Należy wybrać katalog Task, ponieważ węzeł koordynacji Efecte Provisioning Engine będzie używał mapowania pól tożsamości i praw dostępu, aby dowiedzieć się, pod którym kodem atrybutu przechowywane są wyróżniające nazwy użytkownika i grupy katalogów.

Obsługa wyjątków:

• Wynik węzła będzie w stanie „Zakończone” tylko wtedy, gdy wszystkie członkostwa użytkownika w grupach zostaną pomyślnie zaktualizowane. Na przykład, gdy użytkownik zostanie pomyślnie usunięty z 5 z 6 grup, wynik węzła będzie w stanie „Wyjątek”.
• W związku z tym wymagane jest mapowanie pola JSON „distributedName” zarówno dla tożsamości, jak i uprawnień dostępu. Jeśli mapowanie nie zostanie znalezione, węzeł orkiestracji przejdzie w stan „Wyjątek”.
• Próba usunięcia użytkownika z grupy, do której nie należy, zakończy się niepowodzeniem.
• Próba dodania użytkownika do grupy, do której już należy, zakończy się niepowodzeniem.
• Szczegóły dotyczące pomyślnej/nieudanej aktualizacji członkostwa użytkownika w grupie można znaleźć w dziennikach.
• Wyjątki Pro aprowizacji i członkostwa w grupie to opcjonalne właściwości w tym węźle przepływu pracy. Administratorzy mogą skonfigurować te właściwości w taki sposób, aby możliwe było zapisanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Utwórz użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy katalog docelowy i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań katalogowych. W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł orkiestracji tworzenia nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje wywołanie API do Azure . Należy upewnić się, że mapowanie tożsamości używane w węźle orkiestracji tworzenia użytkownika zawiera co najmniej trzy dodatkowe mapowania usługi Azure AD : dla atrybutów „displayName”, „mailNickname” i „userPrincipalName”. Uwaga: jeśli te trzy mapowania nie będą dostępne w danej konfiguracji, nie będą one wyświetlane na liście rozwijanej.

Tworzenie nowych notatek dotyczących aktywności użytkownika:

• Istnieją dwa sposoby utworzenia hasła dla nowego użytkownika na potrzeby jego pierwszego logowania.
  • Zdefiniuj hasło „domyślne” w widoku konfiguracji zadania Pro
    • To hasło będzie używane przez użytkowników tylko wtedy, gdy zalogują się do systemu po raz pierwszy.
  • Generowanie losowego hasła w przepływie pracy i wybór atrybutu, do którego na karcie danych mapowania tożsamości zostało ono zapisane
  • W obu przypadkach wartość „pwdLastSet” przy pierwszym logowaniu jest ustawiana na zero (0), aby zmusić użytkownika do zmiany hasła po pierwszym logowaniu.
  • Możliwość wyboru, czy hasło ma zostać zmienione przy pierwszym logowaniu. Administratorzy mogą dokonać tego wyboru bezpośrednio z węzła koordynacji tworzenia użytkowników w przepływie pracy.
• Istnieją różne sposoby podania hasła do pierwszego logowania użytkownika końcowego. W zależności od potrzeb klienta, możliwe jest wykorzystanie funkcji przepływu pracy do wysłania hasła bezpośrednio do użytkownika końcowego e-mailem lub SMS-em. Inną opcją jest wysłanie hasła do pierwszego logowania do menedżera, który je poda użytkownikowi końcowemu. Sam węzeł orkiestracji EPE NIE zapewnia tej funkcjonalności, należy ją zdefiniować w innym miejscu.
• Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Utwórz grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy katalog „docelowy” Azure i mogą wyświetlić mapowania praw dostępu skonfigurowane dla wybranych zadań Azure . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji tworzenia nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie API w katalogu Entra .

Ważne jest, aby upewnić się, że mapowanie praw dostępu, używane w węźle koordynacji Tworzenie grupy, zawiera co najmniej cztery dodatkowe mapowania Azure AD : dla atrybutów „displayName”, „mailEnabled”, „mailNickname” i „securityEnabled”.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.


Usuń grupę

Na powyższej ilustracji administratorzy mogą wybrać właściwy katalog docelowy Azure . Węzeł orkiestracji grupy usuwania odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie API w katalogu Azure .

W przypadku konfiguracji opartych na usłudze Azure Active Directory „Atrybut grupy ról” powinien zawierać ObjectGUID grupy.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” Azure AD . Węzeł orkiestracji usuwania użytkowników odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie API w katalogu Entra .

W przypadku konfiguracji opartych na usłudze Azure Active Directory „Atrybut osoby” powinien zawierać wartość ObjectGUID użytkownika.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń użytkownika z grupy

Na powyższej ilustracji administratorzy mogą wybrać właściwy cel Azure AD . Węzeł orkiestracji usuwający użytkownika z grupy odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie API w katalogu Entra .

W przypadku konfiguracji opartych na usłudze Azure Active Directory „Atrybut osoby” i „Atrybut roli” powinny zawierać wartość ObjectGUID użytkownika.

Obsługa wyjątków:

• Wynik węzła będzie w stanie „Zakończone” tylko wtedy, gdy wszystkie członkostwa użytkownika w grupach zostaną pomyślnie zaktualizowane. Na przykład, gdy użytkownik zostanie pomyślnie usunięty z 5 z 6 grup, wynik węzła będzie w stanie „Wyjątek”.
• Próba usunięcia użytkownika z grupy, do której nie należy, zakończy się niepowodzeniem.
• Szczegóły dotyczące pomyślnej/nieudanej aktualizacji członkostwa użytkownika w grupie można znaleźć w dziennikach.
• Wyjątki Pro aprowizacji i członkostwa w grupie to opcjonalne właściwości w tym węźle przepływu pracy. Administratorzy mogą skonfigurować te właściwości w taki sposób, aby możliwe było zapisanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.
  

Zresetuj hasło użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy katalog docelowy Azure . Węzeł orkiestracji „Resetuj hasło użytkownika” odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie API w katalogu Azure . Atrybuty „Person” i „Hasło” powinny wskazywać szablon, w którym węzeł orkiestracji znajduje dane użytkownika.

Od wersji EPE 2022.3 wprowadziliśmy możliwość wyboru, czy hasło ma zostać zmienione przy pierwszym logowaniu, czy nie. Administratorzy mogą dokonać tego wyboru bezpośrednio z węzła orkiestracji przepływu pracy „Resetowanie hasła użytkownika”.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Aktualizuj grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy katalog docelowy Azure i mogą przeglądać mapowania praw dostępu skonfigurowane dla wybranych zadań Azure .

W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zajdzie potrzeba wprowadzenia jakichkolwiek zmian w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji grupy aktualizacji odczytuje atrybuty z odpowiednich kart danych i wykonuje wywołanie API do Azure .

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Aktualizuj użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy katalog „docelowy” Azure i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań Azure . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji użytkowników aktualizacji odczytuje atrybuty z odpowiednich kart danych i wykonuje wywołanie API do Azure AD .

Aktualizacja hasła użytkownika nie jest obsługiwana w ramach tej aktywności orkiestracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zweryfikuj grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań provisioningu Pro . Administratorzy wybierają właściwy katalog Azure z sekcji „Docelowy” i mogą wyświetlić mapowania praw dostępu skonfigurowane dla wybranego zadania Azure . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

W panelu administratora Mapowania praw dostępu administratorzy mogą podać wyrażenie „IF”, które utworzy wywołanie API w celu weryfikacji istnienia grupy. Można wybrać dowolną liczbę atrybutów z Karty danych, aby potwierdzić unikalność grupy. Po wykonaniu akcji atrybuty te zostaną odczytane z danej Karty danych i porównane z odpowiednimi atrybutami Azure zgodnie z konfiguracją katalogu Azure „Target*”. Administratorzy mogą również wybrać opcję „equal” lub „not equal” dla odpowiedniego atrybutu Azure zmieniając wyrażenie „IF”. Pole „Save result*” służy do określenia miejsca zapisywania wyników pomyślnego wywołania API : „true” w przypadku znalezienia grupy lub „false” w przeciwnym razie.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zweryfikuj członkostwo w grupie

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań provisioningu Pro . Administratorzy wybierają właściwy katalog Azure z sekcji „Docelowy” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania Azure . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Pole „Zapisz wynik*” służy do określenia miejsca, w którym zapisywane są wyniki pomyślnego wywołania API : „true”, jeśli użytkownik został znaleziony, lub „false”, w przeciwnym wypadku.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zweryfikuj użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań provisioningu Pro . Administratorzy wybierają właściwy katalog Azure z sekcji „Docelowy” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania Azure . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

W panelu administratorów usługi Identity Mappings administratorzy mogą podać wyrażenie „IF”, które utworzy wywołanie API w celu weryfikacji istnienia użytkownika. Można wybrać dowolną liczbę atrybutów z karty danych osoby, aby potwierdzić unikalność użytkownika. Po wykonaniu akcji atrybuty te zostaną odczytane z danej karty danych i porównane z odpowiednimi atrybutami Azure zgodnie z konfiguracją platformy Azure „Target*”. Administratorzy mogą również wybrać opcję „equal” lub „not equal” dla odpowiedniego atrybutu Azure , zmieniając wyrażenie „IF”. Pole „Save result*” służy do określenia miejsca zapisywania wyników pomyślnego wywołania API : „true” w przypadku znalezienia użytkownika lub „false” w przeciwnym razie.

Kluczową kwestią pozwalającą zrozumieć mechanikę tego węzła jest to, że podczas tworzenia wyrażenia IF administrator musi użyć atrybutów szablonu, ale w rzeczywistości wartości odczytane z nich zostaną przetłumaczone (zamapowane) na odpowiednie atrybuty usługi Azure Directory zgodnie z konfiguracją mapowania tożsamości i przekazane do usługi Azure Directory jako zapytanie wyszukiwania.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Utwórz obiekt niestandardowy

Od wersji 2022.2 Efecte Provisioning Engine (EPE) wprowadza nową aktywność przepływu pracy „Tworzenie obiektu niestandardowego”. Na przykład urządzenia, kontakty i aplikacje można teraz tworzyć za pomocą EPE w ramach Azure AD . Należy pamiętać, że ta akcja jest objęta licencją IGA . Oznacza to, że funkcja tworzenia obiektów niestandardowych może być używana w instalacjach IGA .

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań provisioningu Pro . Administratorzy wybierają właściwy katalog Azure z sekcji „Docelowy” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania Azure . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Niestandardowa klasa obiektów definiuje, jaki obiekt tworzy EPE. W tym przykładzie EPE tworzy kontakty.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Aktualizuj obiekt niestandardowy

Od wersji 2023.1 Efecte Provisioning Engine (EPE) wprowadza nową aktywność przepływu pracy „Aktualizacja obiektu niestandardowego”. Na przykład urządzenia, kontakty i aplikacje można teraz aktualizować za pomocą EPE w celu uzyskania dostępu do Azure AD . Należy pamiętać, że ta akcja jest objęta licencją IGA . Oznacza to, że funkcja tworzenia obiektów niestandardowych może być używana w instalacjach IGA .

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań provisioningu Pro . Administratorzy wybierają właściwy katalog Azure z sekcji „Docelowy” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania Azure . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń obiekt niestandardowy

Od wersji 2023.1 Efecte Provisioning Engine (EPE) wprowadza nową aktywność przepływu pracy „Usuń obiekt niestandardowy”. Na przykład urządzenia, kontakty i aplikacje można teraz usuwać za pomocą EPE w celu przejścia do Azure AD . Należy pamiętać, że ta akcja jest objęta licencją IGA . Oznacza to, że funkcja tworzenia obiektów niestandardowych może być używana w instalacjach IGA .

Na powyższej ilustracji atrybut „Nazwa obiektu” definiuje obiekt usuwany przez EPE. W tym przykładzie EPE usuwa kontakty.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Odczytaj dane użytkownika

Od wersji 2022.2 Efecte Provisioning Engine (EPE) wprowadza nową aktywność przepływu pracy „Odczyt danych użytkownika”. Informacje można aktualizować w oparciu o referencje, na przykład dane konta IGA można zaktualizować z magazynu tożsamości.

Na powyższej ilustracji atrybut osoby służy do aktualizacji informacji o koncie właściwym z katalogu do ESM.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Uruchom zadanie provisioningu

Aktywność tę stosuje się wtedy, gdy wszystkie informacje z katalogu są potrzebne natychmiast.

Na powyższej ilustracji administratorzy mogą wybrać właściwy katalog „Docelowy”. Uruchom zadanie aranżacji, aby węzeł orkiestracji odczytał atrybuty z katalogu Azure do kont IGA .

Wymagania dla zadania EPE „Docelowy” są następujące:

• Zadanie musi być typu „Zadanie harmonogramowalne”, a nie oparte na zdarzeniu
• Szablon przepływu pracy musi być taki sam jak szablon mapowania tożsamości
• Zadanie musi zostać zaplanowane w określonym czasie – oznacza to, że zadanie ma zostać „włączone”
• Mapowania muszą być odrębne, w zadaniu nie może być duplikatów mapowań

W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Ogólne wywołanie REST

Dodaj węzeł Orchestration do swojego przepływu pracy i skonfiguruj następujące rzeczy.

Nazwa - ustaw nazwę opisową

Opis - ustaw opisowy opis

Orchestrate - wybierz Pro Engine

Źródło danych — wybierz Microsoft Graph API

Aktywność — wybierz ogólne wywołanie REST

Cel — wybierz zadanie oparte na zdarzeniach (możesz użyć tego samego zadania dla wielu węzłów orkiestracji)

Akcja – wybierz akcję na podstawie wywoływanego REST API (sprawdź dokumentację API , aby uzyskać informacje o poprawnej akcji). Obsługiwane akcje to: POST, PUT, PATCH, DELETE i GET.

Adres URL REST – punkt końcowy API, do którego się odwołujesz. Może to być pełny adres URL lub jego sufiks. Jeśli użyjesz sufiksu, rzeczywisty adres URL do wywołania zostanie połączony przy użyciu następujących elementów: adres URL hosta konektora + zapytanie zadania + adres URL węzła orkiestracji. Zmiennych atrybutów szablonu można używać podobnie jak w węźle poczty e-mail, używając składni dolara, takiej jak: $attribute_code$ i $reference:attribute_code$.

Uwaga! Jeśli w adresie URL znajdują się spacje lub znaki $, pamiętaj o ich zakodowaniu w adresie URL. Zatem $ to %24, a spacja to %20.
Np. ten adres URL: users?%24count=true&$filter=userprincipalname eq 'test' jest zakodowany w ten sposób: users?$count=true&%24filter=userprincipalname%20eq%20'test'

Rest Body – treść JSON dla wywołania API. Może być pusta, jeśli wywoływane API nie wymaga treści. Można również użyć {}, jeśli pozostawienie treści nie działa z Microsoft. Szczegóły dotyczące treści można znaleźć w dokumentacji API . Zmiennych atrybutów szablonu można używać podobnie jak w węźle e-mail, używając składni dolara, takiej jak: $attribute_code$ i $reference:attribute_code$.

Na przykład w tym ciele mamy dwie zmienne: $firstname$ i $lastname$
{"nazwa": {
"givenName": "$firstname$",
"familyName": "$nazwisko$"}}

Jeśli potrzebujesz utworzyć skomplikowany kod JSON dla wywołania API , możesz najpierw utworzyć pełny kod JSON dla atrybutu somedatacard. A następnie umieścić w nim tylko kod tego atrybutu, na przykład: $generated_json_body_attributecode$

import json

if onPremisesExtensionAttributes:
  _data = this.get("onPremisesExtensionAttributes")
  _obj = json.loads(_data)
  _value = _obj["extensionAttribute14"]
  this.set("extensionAttribute14code",_value)

Atrybut odpowiedzi REST – do tego atrybutu zostanie zapisany wynik JSON wywołania API . Nie wszystkie API zwracają odpowiedź JSON. Szczegóły można znaleźć w dokumentacji API .

import json

if onPremisesExtensionAttributes:
  _data = this.get("onPremisesExtensionAttributes")
  _obj = json.loads(_data)
  _value = _obj["extensionAttribute14"]
  this.set("extensionAttribute14code",_value)

Wyjątek Pro dostarczania — jeśli wystąpi problem z wywołaniem REST API , do tego atrybutu zostanie zapisany błąd.

Obsługa wyjątków dla wywołań REST ogólnych:

• Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.
• Wynik węzła będzie miał stan „Zakończono”, jeśli kod odpowiedzi HTTP Microsoft Graph API będzie wynosił 200 lub więcej, ale mniej niż 400.
• Szczegóły dotyczące pomyślnych i nieudanych wywołań Microsoft Graph API można znaleźć w dziennikach.

W tym rozdziale opisano opcje rozwiązywania problemów,

• W przypadku użycia szablonu awarii należy sprawdzić poprawność karty danych
• Sprawdź historię zaplanowanych zadań z poziomu zarządzania łącznikiem
• Sprawdź dzienniki modułu Efecte Provisioning Engine
• Obecnie EPE nie obsługuje mapowania tego samego atrybutu id Entra ID na wiele atrybutów ESM. Jednak interfejs użytkownika nadal pozwala na taką konfigurację, co może prowadzić do błędów.