Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met voorziening van aangepaste beveiligingsattributen kunnen klanten deze automatisch instellen door gebruik te maken van de mogelijkheden voor binnenkomend voorziening van Microsoft Entra. Met deze functie kunt u waarden ophalen voor aangepaste beveiligingskenmerken uit gezaghebbende bronnen, zoals die afkomstig van HR-systemen. Aangepaste inrichting van beveiligingskenmerken ondersteunt de volgende bronnen: Workday, SAP SuccessFactors en andere geïntegreerde HR-systemen die gebruikmaken van API-gestuurde inrichting. Het provisioningsdoel is uw Microsoft Entra ID tenant.
Aangepaste beveiligingskenmerken
Aangepaste beveiligingskenmerken in Microsoft Entra-id zijn bedrijfsspecifieke kenmerken (sleutel-waardeparen) die u kunt definiëren en toewijzen aan Microsoft Entra-objecten. Deze kenmerken kunnen worden gebruikt voor het opslaan van informatie, het categoriseren van objecten of het afdwingen van nauwkeurig afgestemd toegangsbeheer voor specifieke Azure-resources. Zie Wat zijn aangepaste beveiligingskenmerken in Microsoft Entra ID? voor meer informatie over aangepaste beveiligingskenmerken.
Vereiste voorwaarden
Als u aangepaste beveiligingskenmerken wilt inrichten, moet u voldoen aan de volgende vereisten:
- Een Microsoft Entra ID Premium P1-licentie voor het configureren van een van de volgende binnenkomende provisioning-apps:
- Actieve aangepaste beveiligingskenmerken in uw tenant voor detectie tijdens het kenmerktoewijzingsproces. Voordat u deze functie gebruikt, moet u aangepaste beveiligingskenmerksets maken in uw Microsoft Entra ID-tenant. De inrichtingsservice ondersteunt het instellen van één vrije vorm en vooraf gedefinieerde waarden voor aangepaste beveiligingskenmerken van het type
String,IntegerenBoolean. - Als u aangepaste beveiligingskenmerken wilt configureren in de kenmerktoewijzing van uw inkomende inrichtings-app, meldt u zich aan bij het Microsoft Entra-beheercentrum als een gebruiker aan wie de Microsoft Entra-rollen toepassingsbeheerder en kenmerkinrichtingsbeheerder zijn toegewezen:
- Toepassingsbeheerder is nodig om de inrichtingsapp aan te maken en bij te werken.
- De kenmerkinrichtingsbeheerder moet aangepaste beveiligingskenmerken toevoegen of verwijderen in de sectie kenmerkmapping van de provisioningsapp.
Bekende beperkingen
- Het inrichten van aangepaste beveiligingskenmerken met meerdere waarden wordt niet ondersteund.
- Het inrichten van gedeactiveerde aangepaste beveiligingskenmerken wordt niet ondersteund.
- Met de rol Kenmerklogboeklezer kunt u de waarde van het aangepaste beveiligingskenmerk niet weergeven in de inrichtingslogboeken.
Uw app voor voorziening configureren met aangepaste beveiligingskenmerken
Voordat u begint, volgt u deze stappen om aangepaste beveiligingskenmerken toe te voegen aan uw Microsoft Entra ID-tenant en aangepaste beveiligingskenmerken toe te wijzen in uw inkomende inrichtings-app.
Aangepaste beveiligingskenmerken definiëren in uw Microsoft Entra ID-tenant
Open in het Microsoft Entra-beheercentrum de optie om aangepaste beveiligingskenmerken toe te voegen vanuitAangepaste beveiligingskenmerken van >. U moet ten minste de rol Kenmerkdefinitiebeheerder hebben om deze taak te voltooien.
Dit voorbeeld bevat aangepaste beveiligingskenmerken die u aan uw tenant kunt toevoegen. Gebruik de kenmerkenset HRConfidentialData en voeg vervolgens de volgende kenmerken toe aan:
- EEOStatus (string)
- FLSAStatus (String)
- Salarisschaal (tekenreeks)
- PayScaleType (string)
- IsRehire (Booleaanse waarde)
- EmployeeLevel (Integer)
Uw aangepaste beveiligingskenmerken toewijzen in de app voor inkomende provisioning
Meld u aan bij het Microsoft Entra-beheercentrum als gebruiker met machtigingen voor toepassingsbeheerder en kenmerkinrichtingsbeheerder .
Ga naar Bedrijfstoepassingen en open vervolgens uw inkomende provisioning-applicatie.
Open het scherm Inrichten .
Opmerking
In deze handleiding worden schermopnamen weergegeven van API-gestuurde inrichting voor Microsoft Entra ID. Als u apps voor het inrichten van Workday of SuccessFactors gebruikt, ziet u gerelateerde kenmerken en configuraties van Workday en SuccessFactors.
Selecteer Inrichting bewerken.
Selecteer Kenmerktoewijzing om het kenmerktoewijzingsscherm te openen.
Definieer bronkenmerken die u gevoelige HR-gegevens wilt opslaan en schakel vervolgens het selectievakje Geavanceerde opties weergeven in om de lijst met kenmerken te openen.
Selecteer Kenmerklijst bewerken voor API om de kenmerken te identificeren die u wilt testen.
Test de inrichting van aangepaste beveiligingskenmerken met de inkomende inrichtings-API door een SCIM-schemanaamruimte te definiëren:
urn:ietf:params:scim:schemas:extension:microsoft:entra:csa. Zorg ervoor dat u de volgende kenmerken opneemt:urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatusurn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatusurn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGradeurn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayScaleTypeurn:ietf:params:scim:schemas:extension:microsoft:entra:csa:isRehireurn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EmployeeLevel
Opmerking
U kunt uw eigen SCIM-schemanaamruimte definiëren om gevoelige HR-gegevens in uw SCIM-nettolading weer te geven. Zorg ervoor dat het begint met
urn:ietf:params:scim:schemas:extension.Als u Workday of SuccessFactors als uw HR-bron gebruikt, werkt u de lijst met kenmerken bij met API-expressies om HR-gegevens op te halen die moeten worden opgeslagen, in de lijst met aangepaste beveiligingskenmerken.
Als u dezelfde set HR-gegevens uit SuccessFactors wilt ophalen, gebruikt u de volgende API-expressies:
$.employmentNav.results[0].jobInfoNav.results[0].eeoClass$.employmentNav.results[0].jobInfoNav.results[0].flsaStatus$.employmentNav.results[0].jobInfoNav.results[0].payGradeNav.name$.employmentNav.results[0].jobInfoNav.results[0].payScaleType
Sla de schemawijzigingen op.
Selecteer op het Kenmerktoewijzing-scherm Nieuwe toewijzing toevoegen.
- De aangepaste beveiligingskenmerken worden weergegeven in de indeling
CustomSecurityAttributes.<AttributeSetName>_<AttributeName>.
- De aangepaste beveiligingskenmerken worden weergegeven in de indeling
Voeg de volgende toewijzingen toe en sla de wijzigingen op:
API-bronattribuut Microsoft Entra ID doelkenmerk urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatus CustomSecurityAttributes.HRVertrouwelijkeGegevens_EEOStatus urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatus CustomSecurityAttributes.HRConfidentialData_FLSAStatus urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGrade CustomSecurityAttributes.HRVertrouwelijkeGegevens_Betalingsniveau urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayScaleType CustomSecurityAttributes.HRConfidentialData_PayScaleType urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:isRehire CustomSecurityAttributes.HRConfidentialData_IsRehire urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EmployeeLevel CustomSecurityAttributes.HRConfidentialData_EmployeeLevel
Inrichting van aangepaste beveiligingskenmerken testen
Nadat u HR-bronkenmerken hebt toegewezen aan de aangepaste beveiligingskenmerken, gebruikt u de volgende methode om de stroom van gegevens van aangepaste beveiligingskenmerken te testen. De methode die u kiest, is afhankelijk van het type voorzieningsapp.
- Als uw functie Workday of SuccessFactors als bron gebruikt, gebruik dan de on-demand inrichtingsfunctie om de gegevensstroom voor aangepaste beveiligingskenmerken te testen.
- Als uw taak API-gestuurde inrichting gebruikt, verzendt u scim-bulkpayload naar het eindpunt van de bulkUpload-API van uw taak.
Testen van SuccessFactors-voorzieningsapp
In dit voorbeeld worden SAP SuccessFactors-kenmerken toegewezen aan aangepaste beveiligingskenmerken, zoals hier wordt weergegeven:
- Open de voorzieningstaak SuccessFactors en selecteer Voorziening op aanvraag.
Voer in het vak Een gebruiker selecteren het kenmerk personIdExternal in van de gebruiker die u wilt testen.
In de inrichtingslogboeken worden de aangepaste beveiligingskenmerken weergegeven die u hebt ingesteld.
Opmerking
De bron- en doelwaarden van aangepaste beveiligingskenmerken worden bewerkt in de inrichtingslogboeken.
In het scherm Aangepaste beveiligingskenmerken van het Microsoft Entra ID-profiel van de gebruiker kunt u de werkelijke waarden bekijken die voor die gebruiker zijn ingesteld. U hebt ten minste de rol Kenmerktoewijzingsbeheerder of Kenmerktoewijzingslezer nodig om deze gegevens weer te geven.
Test met de API-gestuurde voorzieningsapplicatie
Maak een payload voor SCIM-bulkaanvragen met waarden voor aangepaste beveiligingskenmerken.
Kopieer de bulkUpload API-URL van de overzichtspagina van de voorzieningstaak.
Gebruik Graph Explorer of cURL en plaats de SCIM-nettolading vervolgens op het eindpunt van de bulkUpload-API .
- Als er geen fouten zijn in de SCIM-nettoladingindeling, ontvangt u de status Geaccepteerd .
- Wacht enkele minuten en controleer vervolgens de inrichtingslogboeken van uw API-gestuurde inrichtingstaak.
Het aangepaste beveiligingskenmerk wordt weergegeven zoals in het volgende voorbeeld.
Opmerking
De bron- en doelwaarden van aangepaste beveiligingskenmerken worden redacted in de inrichtingslogboeken. Als u de werkelijke waarden wilt weergeven die voor de gebruiker zijn ingesteld, gaat u naar het Microsoft Entra ID-profiel van de gebruiker.
U bekijkt de gegevens in het scherm Aangepaste beveiligingskenmerken . U hebt ten minste de rol Kenmerktoewijzingsbeheerder of Kenmerktoewijzingslezer nodig om deze gegevens weer te geven.
Voorbeeld van SCIM-nettolading met aangepaste beveiligingskenmerken
Deze voorbeeld-SCIM-bulkaanvraag bevat aangepaste velden onder de extensie urn:ietf:params:scim:schemas:extension:microsoft:entra:csa die kunnen worden toegewezen aan aangepaste beveiligingskenmerken.
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
"urn:ietf:params:scim:schemas:extension:microsoft:entra:csa"],
"id": "2819c223-7f76-453a-919d-413861904646",
"externalId": "701984",
"userName": "bjensen@example.com",
"name": {
"formatted": "Ms. Barbara J Jensen, III",
"familyName": "Jensen",
"givenName": "Barbara",
"middleName": "Jane",
"honorificPrefix": "Ms.",
"honorificSuffix": "III"
},
"displayName": "Babs Jensen",
"nickName": "Babs",
"emails": [{
"value": "bjensen@example.com",
"type": "work",
"primary": true
}
],
"addresses": [{
"type": "work",
"streetAddress": "234300 Universal City Plaza",
"locality": "Hollywood",
"region": "CA",
"postalCode": "91608",
"country": "USA",
"formatted": "100 Universal City Plaza\nHollywood, CA 91608 USA",
"primary": true
}
],
"phoneNumbers": [{
"value": "555-555-5555",
"type": "work"
}
],
"userType": "Employee",
"title": "Tour Guide",
"preferredLanguage": "en-US",
"locale": "en-US",
"timezone": "America/Los_Angeles",
"active": true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "701984",
"costCenter": "4130",
"organization": "Universal Studios",
"division": "Theme Park",
"department": "Tour Operations",
"manager": {
"value": "89607",
"$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
"displayName": "John Smith"
}
},
"urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
"EEOStatus":"Semi-skilled",
"FLSAStatus":"Non-exempt",
"PayGrade":"IC-Level5",
"PayScaleType":"Revenue-based",
"IsRehire": false,
"EmployeeLevel": 64
}
}
}, {
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
"urn:ietf:params:scim:schemas:extension:microsoft:entra:csa" ],
"id": "2819c223-7f76-453a-919d-413861904646",
"externalId": "701985",
"userName": "Kjensen@example.com",
"name": {
"formatted": "Ms. Kathy J Jensen, III",
"familyName": "Jensen",
"givenName": "Kathy",
"middleName": "Jane",
"honorificPrefix": "Ms.",
"honorificSuffix": "III"
},
"displayName": "Kathy Jensen",
"nickName": "Kathy",
"emails": [{
"value": "kjensen@example.com",
"type": "work",
"primary": true
}
],
"addresses": [{
"type": "work",
"streetAddress": "100 Oracle City Plaza",
"locality": "Hollywood",
"region": "CA",
"postalCode": "91618",
"country": "USA",
"formatted": "100 Oracle City Plaza\nHollywood, CA 91618 USA",
"primary": true
}
],
"phoneNumbers": [{
"value": "555-555-5545",
"type": "work"
}
],
"userType": "Employee",
"title": "Tour Lead",
"preferredLanguage": "en-US",
"locale": "en-US",
"timezone": "America/Los_Angeles",
"active": true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "701984",
"costCenter": "4130",
"organization": "Universal Studios",
"division": "Theme Park",
"department": "Tour Operations",
"manager": {
"value": "89607",
"$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
"displayName": "John Smith"
}
},
"urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
"EEOStatus":"Skilled",
"FLSAStatus":"Exempt",
"PayGrade":"Manager-Level2",
"PayScaleType":"Profit-based",
"IsRehire": true,
"EmployeeLevel": 63
}
}
}
],
"failOnErrors": null
}
Aangepaste beveiligingskenmerken inrichten voor hybride gebruikers
Hybride gebruikers worden eerst ingericht vanuit HR-systemen in on-premises Active Directory en vervolgens gesynchroniseerd met Microsoft Entra ID met behulp van Entra Connect Sync of Cloud Sync. Aangepaste beveiligingskenmerken kunnen worden toegewezen aan hybride gebruikers en deze kenmerken zijn alleen aanwezig in het Microsoft Entra ID-profiel van de hybride gebruiker.
In deze sectie wordt de inrichtingstopologie beschreven voor het automatisch inrichten van aangepaste beveiligingskenmerken voor hybride gebruikers. Workday wordt gebruikt als vertrouwde HR-bron. Dezelfde topologie kan echter ook worden gebruikt met SuccessFactors en API-gestuurde inrichting.
Stel dat Workday uw HR-systeem voor identiteiten is. Als u aangepaste beveiligingskenmerken wilt instellen voor hybride gebruikers die afkomstig zijn van Workday, configureert u twee inrichtingsapps:
- Inrichting van Workday naar on-premises Active Directory: Met deze inrichtings-app worden hybride gebruikers in on-premises Active Directory gemaakt en bijgewerkt. Het verwerkt alleen normale kenmerken van Workday.
- Inrichting van Workday naar Microsoft Entra-id: Configureer deze inrichtings-app om alleen updatebewerkingen te verwerken en de kenmerktoewijzing te beperken tot alleen aangepaste beveiligingskenmerken als doelkenmerken.
Met deze topologie werkt de end-to-end-stroom als volgt:
- Met de Workday-to-AD provisioning-app importeert u het kerngebruikersprofiel uit Workday.
- De app maakt of werkt het gebruikersaccount bij in de on-premises Active Directory met behulp van de medewerker-ID als overeenkomende identificator.
- Microsoft Entra Connect Sync/Cloud Sync synchroniseert het gebruikersprofiel met Microsoft Entra ID.
- Als u Workday Writeback hebt geconfigureerd, worden e-mail- of telefoonnummergegevens teruggeschreven naar Workday.
- De Workday-to-Microsoft Entra ID provisioning app is geconfigureerd om alleen updates te verwerken en vertrouwelijke attributen in te stellen als aangepaste beveiligingsattributen. Gebruik de schema-editor onder Geavanceerde opties weergeven om standaardkenmerktoewijzingen te verwijderen, zoals
accountEnabledenisSoftDeleteddie niet relevant zijn in dit scenario.
Met deze configuratie worden de aangepaste beveiligingskenmerken toegewezen aan hybride gebruikers die zijn gesynchroniseerd met Microsoft Entra-id vanuit on-premises Active Directory.
Opmerking
De bovenstaande configuratie is afhankelijk van drie verschillende synchronisatiecycli die in een specifieke volgorde moeten worden voltooid. Als het hybride gebruikersprofiel niet beschikbaar is in Microsoft Entra ID, mislukt de updatebewerking wanneer de inrichtingstaak Workday-to-Microsoft Entra ID wordt uitgevoerd en wordt opnieuw geprobeerd tijdens de volgende uitvoering. Als u de API-driven provisioning-to-Microsoft Entra ID-app gebruikt, hebt u betere controle over de timing van de uitvoering van de aangepaste update van het beveiligingskenmerk.
API-machtigingen voor het inrichten van aangepaste beveiligingskenmerken
Deze functie introduceert de volgende nieuwe Graph API-machtigingen. Met deze functionaliteit kunt u toegang krijgen tot en wijzigingen aanbrengen in schemas van inrichtingsapps die aangepaste toewijzingen van beveiligingskenmerken bevatten, hetzij rechtstreeks of namens de aangemelde gebruiker.
CustomSecAttributeProvisioning.ReadWrite.All: Met deze machtiging kan de aanroepende app de kenmerktoewijzing lezen en schrijven die aangepaste beveiligingskenmerken bevat. Deze toestemming met
Application.ReadWrite.OwnedBy,Synchronization.ReadWrite.AllofApplication.ReadWrite.All(van de minste naar de hoogste bevoegdheid) is vereist voor het bewerken van een inrichtings-app die aangepaste beveiligingskenmerkentoewijzingen bevat. Met deze machtiging kunt u het volledige schema ophalen met de aangepaste beveiligingskenmerken en het schema bijwerken of opnieuw instellen met aangepaste beveiligingskenmerken.CustomSecAttributeProvisioning.Read.All: met deze machtiging kan de aanroepende app de kenmerktoewijzing en de inrichtingslogboeken met aangepaste beveiligingskenmerken lezen. Deze machtiging met
Synchronization.Read.AllofApplication.Read.All(van minimaal naar hoogste bevoegdheid) is vereist om de namen en waarden van de aangepaste beveiligingskenmerken in de beveiligde resources weer te geven.
Als een app niet over de CustomSecAttributeProvisioning.ReadWrite.All machtiging of de CustomSecAttributeProvisioning.Read.All machtiging beschikt, kan deze geen toegang krijgen tot of wijzigen van inrichtingsapps die aangepaste beveiligingskenmerken bevatten. In plaats daarvan wordt een foutbericht of bewerkte gegevens weergegeven.
Problemen met het inrichten van aangepaste beveiligingskenmerken oplossen
| Probleem | Stappen voor probleemoplossing |
|---|---|
| Aangepaste beveiligingskenmerken worden niet weergegeven in de vervolgkeuzelijst voor het toewijzen van Doelkenmerken. | - Zorg ervoor dat u aangepaste beveiligingskenmerken toevoegt aan een inrichtings-app die aangepaste beveiligingskenmerken ondersteunt. - Zorg ervoor dat de aangemelde gebruiker de rol Attribute Provisioning Administrator (voor bewerkingstoegang) of Kenmerkinrichtingslezer (voor weergavetoegang) is toegewezen. |
Er trad een fout op wanneer u het schema van de inrichtings-app reset of bijwerkt. HTTP 403 Forbidden - InsufficientAccountPermission Provisioning schema has custom security attributes. The account does not have sufficient permissions to perform this operation. |
Zorg ervoor dat aan de aangemelde gebruiker de rol Kenmerkinrichtingsbeheerder is toegewezen. |
| Kan aangepaste beveiligingskenmerken die aanwezig zijn in een kenmerktoewijzing niet verwijderen. | Zorg ervoor dat aan de aangemelde gebruiker de rol Kenmerkinrichtingsbeheerder is toegewezen. |
De kenmerktoewijzingstabel bevat rijen waarin de tekenreeks redacted wordt weergegeven onder bron- en doelkenmerken. |
Dit gedrag is standaard als de aangemelde gebruiker geen rol Kenmerkinrichtingsbeheerder of Kenmerkinrichtingslezer heeft. Als u een van deze rollen toewijst, worden de aangepaste toewijzingen van beveiligingsattributen weergegeven. |
Foutmelding The provisioning service does not support setting custom security attributes of type boolean and integer. Unable to set CSA attribute. |
Verwijder het aangepaste beveiligingsattribuut geheel getal/Boolean uit de kenmerktoewijzing van de inrichtings-app. |
Foutmelding The provisioning service does not support setting custom security attributes that are deactivated. Unable to set CSA attribute <attribute name>. |
Er is geprobeerd een gedeactiveerd aangepast beveiligingskenmerk bij te werken. Verwijder het gedeactiveerde aangepaste beveiligingskenmerk uit de kenmerktoewijzing van de voorzieningsapp. |