Dela via

Etablera anpassade säkerhetsattribut från HR-källor

Med etablering av anpassade säkerhetsattribut kan kunder ange anpassade säkerhetsattribut automatiskt med hjälp av microsoft Entra-funktioner för inkommande etablering. Med den här funktionen kan du hämta värden för anpassade säkerhetsattribut från auktoritativa källor, till exempel de från HR-system. Etablering av anpassade säkerhetsattribut stöder följande källor: Workday, SAP SuccessFactors och andra integrerade HR-system som använder API-driven etablering. Målet för etableringen är din Microsoft Entra ID-klientorganisation.

Diagram över arkitekturen för anpassade säkerhetsattribut.

Anpassade säkerhetsattribut

Anpassade säkerhetsattribut i Microsoft Entra-ID är affärsspecifika attribut (nyckelvärdepar) som du kan definiera och tilldela till Microsoft Entra-objekt. Dessa attribut kan användas för att lagra information, kategorisera objekt eller framtvinga finjusterad åtkomstkontroll över specifika Azure-resurser. Mer information om anpassade säkerhetsattribut finns i Vad är anpassade säkerhetsattribut i Microsoft Entra-ID?.

Förutsättningar

Om du vill etablera anpassade säkerhetsattribut måste du uppfylla följande krav:

Kända begränsningar

  • Etablering av anpassade säkerhetsattribut med flera värden stöds inte.
  • Etablering av inaktiverade anpassade säkerhetsattribut stöds inte.
  • Med rollen Attributloggläsare kan du inte visa värdet för anpassade säkerhetsattribut i etableringsloggarna.

Konfigurera din tilldelningsapp med anpassade säkerhetsattribut

Innan du börjar följer du dessa steg för att lägga till anpassade säkerhetsattribut i din Microsoft Entra ID-klientorganisation och mappa anpassade säkerhetsattribut i din inkommande provisioneringsapp.

Definiera anpassade säkerhetsattribut i din Microsoft Entra ID-klient

I administrationscentret för Microsoft Entra går du till alternativet för att lägga till anpassade säkerhetsattribut frånAnpassade säkerhetsattribut för >. Du måste ha minst en administratörsroll för attributdefinition för att slutföra den här uppgiften.

Det här exemplet innehåller anpassade säkerhetsattribut som du kan lägga till i din enhet. Använd attributuppsättningen HRConfidentialData och lägg sedan till följande attribut i:

  • EEOStatus (sträng)
  • FLSAStatus (sträng)
  • Lönegrad (sträng)
  • PayScaleType (string)
  • IsRehire (booleskt)
  • Anställningsnivå (heltal)

Skärmbild av anpassade aktiva attribut för säkerhet.

Mappa anpassade säkerhetsattribut i din inkommande försörjningsapplikation

  1. Logga in på administrationscentret för Microsoft Entra som en användare som har rollbehörigheter för både programadministratör och attributetableringsadministratör .

  2. Gå till Företagsapplikationer och öppna sedan din inkommande tillhandahållandeapp.

  3. Öppna skärmen Försörjning.

    Skärmbild av Etableringsöversiktens skärm.

    Notis

    Den här vägledningen visar skärmdumpar av API-driven konfigurering till Microsoft Entra ID. Om du använder provisioneringsappar för Workday eller SuccessFactors visas Workday- och SuccessFactors-relaterade attribut och konfigurationer.

  4. Välj Redigera tilldelning.

    Skärmbild av Redigera provisioneringsskärm.

  5. Välj Attributmappning för att öppna skärmen för attributmappning.

    Skärmbild av skärmen för attributmappning.

  6. Definiera källattribut som du vill lagra känsliga HR-data och markera sedan kryssrutan Visa avancerade alternativ för att öppna attributlistan.

  7. Välj Redigera attributlista för API för att identifiera de attribut som du vill testa.

    Skärmbild av skärmen Redigera attributlista för API.

    • Testa etablering av anpassade säkerhetsattribut med API:et för inkommande etablering genom att definiera ett SCIM-schemanamnområde: urn:ietf:params:scim:schemas:extension:microsoft:entra:csa. Se till att inkludera följande attribut:

      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatus
      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatus
      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGrade
      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayScaleType
      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:isRehire
      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EmployeeLevel

    Skärmbild av scim-schemats namnområdesalternativ.

    Notis

    Du kan definiera ditt eget SCIM-schemanamnområde för att representera känsliga HR-data i SCIM-nyttolasten. Kontrollera att det börjar med urn:ietf:params:scim:schemas:extension.

    • Om du använder Workday eller SuccessFactors som HR-källa uppdaterar du attributlistan med API-uttryck för att hämta HR-data som ska lagras i listan över anpassade säkerhetsattribut.

    • Om du vill hämta samma uppsättning HR-data från SuccessFactors använder du följande API-uttryck:

      • $.employmentNav.results[0].jobInfoNav.results[0].eeoClass
      • $.employmentNav.results[0].jobInfoNav.results[0].flsaStatus
      • $.employmentNav.results[0].jobInfoNav.results[0].payGradeNav.name
      • $.employmentNav.results[0].jobInfoNav.results[0].payScaleType

    Skärmbild av de API-uttryck som är tillgängliga att välja.

  8. Spara schemaändringarna.

  9. På skärmen Attributmappning väljer du Lägg till ny mappning.

    Skärmbild av alternativen Lägg till ny mappning.

    • De anpassade säkerhetsattributen visas i formatet CustomSecurityAttributes.<AttributeSetName>_<AttributeName>.

  10. Lägg till följande mappningar och spara sedan ändringarna:

    API-källattribut Microsoft Entra ID-målattribut
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatus CustomSecurityAttributes.HRConfidentialData_EEOStatus
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatus CustomSecurityAttributes.HRConfidentialData_FLSAStatus
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGrade CustomSecurityAttributes.HRConfidentialData_PayGrade
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayScaleType AnpassadeSäkerhetsAttribut.HRKänsligData_Löneskalatyp
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:isRehire CustomSecurityAttributes.HRConfidentialData_IsRehire
    urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EmployeeLevel KundSäkerhetsAttribut.HRFörtroligData_ArbetarNivå

Testa etablering av anpassade säkerhetsattribut

När du har mappat HR-källattribut till anpassade säkerhetsattribut använder du följande metod för att testa flödet av anpassade säkerhetsattributdata. Vilken metod du väljer beror på typen av etableringsapp.

  • Om ditt jobb använder antingen Workday eller SuccessFactors som källa använder du etableringsfunktionen på begäran för att testa dataflödet för anpassade säkerhetsattribut.
  • Om ditt jobb använder API-driven provisionering, skicka SCIM-massnyttolasten till bulkUpload API-slutpunkten för ditt jobb.

Testa med SuccessFactors-etableringsapp

I det här exemplet mappas SAP SuccessFactors-attribut till anpassade säkerhetsattribut som du ser här:

Skärmbild av alternativ för SAP-attributmappning.

  1. Öppna etableringsjobbet SuccessFactors och välj sedan Etablera på begäran.

Skärmbild av översikten över Microsoft Entra ID med valet Tillhandahåll på begäran.

  1. I rutan Välj en användare anger du attributet personIdExternal för den användare som du vill testa.

    Etableringsloggarna visar de anpassade säkerhetsattribut som du anger.

    Skärmdump av Ändrade attribut-skärmen.

    Notis

    Käll- och målvärdena för anpassade säkerhetsattribut redigeras i etableringsloggarna.

  2. På skärmen Anpassade Säkerhetsattribut av användarens Microsoft Entra ID-profil kan du se de faktiska värden som har angetts för den användaren. Du behöver minst rollen Attributtilldelningsadministratör eller Attributtilldelningsläsare för att visa dessa data.

    Skärmbild av kolumnen tilldelade värden på skärmen Anpassade säkerhetsattribut.

Testa med den API-drivna etableringsappen

  1. Skapa en SCIM-nyttolast för massbegäran som innehåller värden för anpassade säkerhetsattribut.

    Skärmbild av scim-koden för massbegäran av nyttolast.

  2. Kopiera bulkUpload-API-URL:en från översiktssidan för etableringsjobbet.

    Skärmbild av API-slutpunkten för tillhandahållande av nyttolasten.

  3. Använd antingen Graph Explorer eller cURL och publicera sedan SCIM-nyttolasten till bulkUpload API-slutpunkten .

    Skärmbild av API-begäran och svar för nyttolasten.

    • Om det inte finns några fel i SCIM-nyttolastformatet får du statusen Godkänd .
    • Vänta några minuter och kontrollera sedan etableringsloggarna för ditt API-drivna etableringsjobb.

  4. Det anpassade säkerhetsattributet visas som i följande exempel.

    Skärmbild av inmatning för anpassade säkerhetsattribut.

    Notis

    Käll- och målvärdena för anpassade säkerhetsattribut redigeras i etableringsloggarna. Om du vill visa de faktiska värden som angetts för användaren går du till användarens Microsoft Entra-ID-profil.
    Du visar data på skärmen Anpassade säkerhetsattribut . Du behöver minst rollen Attributtilldelningsadministratör eller Attributtilldelningsläsare för att visa dessa data.

    Skärmbild av skärmen Anpassade säkerhetsattribut för användaren.

Exempel på SCIM-nyttolast med anpassade säkerhetsattribut

Det här exemplet på SCIM-massbegäran innehåller anpassade fält under tillägget urn:ietf:params:scim:schemas:extension:microsoft:entra:csa som kan mappas till anpassade säkerhetsattribut.

{
    "schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
    "Operations": [{
            "method": "POST",
            "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
            "path": "/Users",
            "data": {
                "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa"],
                "id": "2819c223-7f76-453a-919d-413861904646",
                "externalId": "701984",
                "userName": "bjensen@example.com",
                "name": {
                    "formatted": "Ms. Barbara J Jensen, III",
                    "familyName": "Jensen",
                    "givenName": "Barbara",
                    "middleName": "Jane",
                    "honorificPrefix": "Ms.",
                    "honorificSuffix": "III"
                },
                "displayName": "Babs Jensen",
                "nickName": "Babs",
                "emails": [{
                        "value": "bjensen@example.com",
                        "type": "work",
                        "primary": true
                    }
                ],
                "addresses": [{
                        "type": "work",
                        "streetAddress": "234300 Universal City Plaza",
                        "locality": "Hollywood",
                        "region": "CA",
                        "postalCode": "91608",
                        "country": "USA",
                        "formatted": "100 Universal City Plaza\nHollywood, CA 91608 USA",
                        "primary": true
                    }
                ],
                "phoneNumbers": [{
                        "value": "555-555-5555",
                        "type": "work"
                    }
                ],
                "userType": "Employee",
                "title": "Tour Guide",
                "preferredLanguage": "en-US",
                "locale": "en-US",
                "timezone": "America/Los_Angeles",
                "active": true,
                "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
                    "employeeNumber": "701984",
                    "costCenter": "4130",
                    "organization": "Universal Studios",
                    "division": "Theme Park",
                    "department": "Tour Operations",
                    "manager": {
                        "value": "89607",
                        "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
                        "displayName": "John Smith"
                    }
                },
                "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
                    "EEOStatus":"Semi-skilled",
                    "FLSAStatus":"Non-exempt",
                    "PayGrade":"IC-Level5",
                    "PayScaleType":"Revenue-based",
					"IsRehire": false,
					"EmployeeLevel": 64					
                }
            }
        }, {
            "method": "POST",
            "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
            "path": "/Users",
            "data": {
                "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa" ],
                "id": "2819c223-7f76-453a-919d-413861904646",
                "externalId": "701985",
                "userName": "Kjensen@example.com",
                "name": {
                    "formatted": "Ms. Kathy J Jensen, III",
                    "familyName": "Jensen",
                    "givenName": "Kathy",
                    "middleName": "Jane",
                    "honorificPrefix": "Ms.",
                    "honorificSuffix": "III"
                },
                "displayName": "Kathy Jensen",
                "nickName": "Kathy",
                "emails": [{
                        "value": "kjensen@example.com",
                        "type": "work",
                        "primary": true
                    }
                ],
                "addresses": [{
                        "type": "work",
                        "streetAddress": "100 Oracle City Plaza",
                        "locality": "Hollywood",
                        "region": "CA",
                        "postalCode": "91618",
                        "country": "USA",
                        "formatted": "100 Oracle City Plaza\nHollywood, CA 91618 USA",
                        "primary": true
                    }
                ],
                "phoneNumbers": [{
                        "value": "555-555-5545",
                        "type": "work"
                    }
                ],
                "userType": "Employee",
                "title": "Tour Lead",
                "preferredLanguage": "en-US",
                "locale": "en-US",
                "timezone": "America/Los_Angeles",
                "active": true,
                "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
                    "employeeNumber": "701984",
                    "costCenter": "4130",
                    "organization": "Universal Studios",
                    "division": "Theme Park",
                    "department": "Tour Operations",
                    "manager": {
                        "value": "89607",
                        "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
                        "displayName": "John Smith"
                    }
                },
                "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
                    "EEOStatus":"Skilled",
                    "FLSAStatus":"Exempt",
                    "PayGrade":"Manager-Level2",
                    "PayScaleType":"Profit-based",
					"IsRehire": true,
					"EmployeeLevel": 63
                }
                
            }
        }
    ],
    "failOnErrors": null
}

Etablera anpassade säkerhetsattribut för hybridanvändare

Hybridanvändare etableras från HR-system först i lokal Active Directory och synkroniseras sedan med Microsoft Entra-ID med Entra Connect Sync eller Cloud Sync. Anpassade säkerhetsattribut kan tilldelas till hybridanvändare, och dessa attribut finns bara i Microsoft Entra ID-profilen för hybridanvändaren.

I det här avsnittet beskrivs etableringstopologin för automatisk etablering av anpassade säkerhetsattribut för hybridanvändare. Den använder Workday som betrodd HR-källa. Samma topologi kan dock också användas med SuccessFactors och API-driven tillhandahållande.

Anta att Workday är ditt HR-registersystem för identiteter. Om du vill ange anpassade säkerhetsattribut för hybridanvändare som kommer från Workday konfigurerar du två etableringsappar:

  • Workday till lokal Active Directory-etablering: Den här etableringsappen skapar och uppdaterar hybridanvändare i lokala Active Directory. Den bearbetar bara normala attribut från Workday.
  • Workday till Microsoft Entra ID-etablering: Konfigurera den här etableringsappen för att endast bearbeta uppdateringsåtgärder och begränsa attributmappningen till att endast inkludera anpassade säkerhetsattribut som målattribut.

Med den här topologin fungerar flödet från slutpunkt till slutpunkt:

Flödesdiagram över hur anpassad mappning av säkerhetsattribut fungerar för hybridanvändare.

  1. Etableringsappen Workdayto-AD importerar kärnanvändarprofilen från Workday.
  2. Appen skapar/uppdaterar användarkontot i den lokala Active Directory med hjälp av medarbetar-ID:t som matchande identifierare.
  3. Microsoft Entra Connect Sync/Cloud Sync synkroniserar användarprofilen med Microsoft Entra-ID.
  4. Om du har konfigurerat Workday Writeback skrivs information om e-post eller telefonnummer tillbaka till Workday.
  5. Etableringsappen Workday-to-Microsoft Entra ID är konfigurerad för att endast bearbeta uppdateringar och ange konfidentiella attribut som anpassade säkerhetsattribut. Använd schemaredigeraren under Visa avancerade alternativ för att ta bort standardattributmappningar som accountEnabled och isSoftDeleted som inte är relevanta i det här scenariot.

Skärmbild av attributmappning för hybridanvändare.

Den här konfigurationen tilldelar anpassade säkerhetsattribut till hybridanvändare som synkroniserats med Microsoft Entra-ID från lokala Active Directory.

Notis

Ovanstående konfiguration förlitar sig på tre olika synkroniseringscykler för att slutföras i en viss ordning. Om hybridanvändarprofilen inte är tillgänglig i Microsoft Entra-ID, när etableringsjobbet Workday-to-Microsoft Entra ID körs, misslyckas uppdateringsåtgärden och görs ett nytt försök under nästa körning. Om du använder den API-drivna etablerings-till-Microsoft Entra-ID-appen har du bättre kontroll över tidsschemat för körningen av den anpassade säkerhetsattributuppdateringen.

API-behörigheter för etablering av anpassade säkerhetsattribut

Den här funktionen introducerar följande nya Graph API-behörigheter. Med den här funktionen kan du komma åt och ändra etableringsappscheman som innehåller anpassade mappningar för säkerhetsattribut, antingen direkt eller för den inloggade användarens räkning.

  1. CustomSecAttributeProvisioning.ReadWrite.All: Den här behörigheten ger den anropande appen möjlighet att läsa och skriva attributmappningen som innehåller anpassade säkerhetsattribut. Den här behörigheten med Application.ReadWrite.OwnedBy eller Synchronization.ReadWrite.All eller Application.ReadWrite.All (från minst till högsta behörighet) krävs för att redigera en etableringsapp som innehåller anpassade säkerhetsattributmappningar. Med den här behörigheten kan du hämta det fullständiga schemat som innehåller anpassade säkerhetsattribut och uppdatera eller återställa schemat med anpassade säkerhetsattribut.

  2. CustomSecAttributeProvisioning.Read.All: Den här behörigheten ger den anropande appen möjlighet att läsa attributmappningen och etableringsloggarna som innehåller anpassade säkerhetsattribut. Den här behörigheten med Synchronization.Read.All eller Application.Read.All (från minst till högsta behörighet) krävs för att visa namn och värden för anpassade säkerhetsattribut i de skyddade resurserna.

Om en app inte har behörigheten CustomSecAttributeProvisioning.ReadWrite.All eller CustomSecAttributeProvisioning.Read.All kan den inte komma åt eller ändra etableringsappar som innehåller anpassade säkerhetsattribut. I stället visas ett felmeddelande eller redigerade data.

Felsöka implementering av anpassade säkerhetsattribut

Utfärda Felsökningssteg
Anpassade säkerhetsattribut visas inte i rullgardinsmenyn för målattributmappning. – Se till att du lägger till anpassade säkerhetsattribut i en etableringsapp som stöder anpassade säkerhetsattribut.
– Kontrollera att den inloggade användaren har tilldelats rollen Attributetableringsadministratör (för redigeringsåtkomst) eller Attributetableringsläsare (för visningsåtkomst).
Ett fel returneras när du återställer eller uppdaterar schemat för provisioneringsappen. HTTP 403 Forbidden - InsufficientAccountPermission Provisioning schema has custom security attributes. The account does not have sufficient permissions to perform this operation. Kontrollera att den inloggade användaren har tilldelats rollen Attributetableringsadministratör.
Det går inte att ta bort anpassade säkerhetsattribut som finns i en attributmappning. Kontrollera att den inloggade användaren har tilldelats rollen Attributetableringsadministratör.
Tabellen för attributmappning innehåller rader där strängen redacted visas under käll- och målattribut. Det här beteendet är avsiktligt om den inloggade användaren inte har rollen Attributetableringsadministratör eller Attributetableringsläsare . När du tilldelar en av dessa roller visas mappningarna för anpassade säkerhetsattribut.
Felet returnerades The provisioning service does not support setting custom security attributes of type boolean and integer. Unable to set CSA attribute. Ta bort det heltals-/booleska anpassade säkerhetsattributet från attributmappningen för etableringsappen.
Felet returnerades The provisioning service does not support setting custom security attributes that are deactivated. Unable to set CSA attribute <attribute name>. Ett försök gjordes att uppdatera ett inaktiverat anpassat säkerhetsattribut. Ta bort det inaktiverade anpassade säkerhetsattributet från attributmappningen för etableringsappen.

Nästa steg

Anpassa attributmappningar