Controllare lo stato del provisioning utenti
Il servizio di provisioning di Microsoft Entra esegue un ciclo di provisioning inziale nel sistema di origine e a quello di destinazione, seguito da cicli incrementali periodici. Quando si configura il provisioning di un'app, è possibile controllare lo stato corrente del servizio di provisioning e verificare quando un utente è in grado di accedere a un'app.
Visualizzare l'indicatore di stato del provisioning
Nella pagina Provisioning di un'app è possibile visualizzare lo stato del servizio di provisioning di Microsoft Entra. La sezione Stato corrente nella parte inferiore della pagina indica se un ciclo di provisioning ha avviato il provisioning degli account utente. È possibile controllare lo stato di avanzamento del ciclo, vedere il numero di utenti e gruppi di cui è stato effettuato il provisioning e verificare il numero di ruoli creati.
Quando si configura il provisioning automatico per la prima volta, la sezione Stato corrente nella parte inferiore della pagina visualizza lo stato del ciclo di provisioning iniziale. Questa sezione viene aggiornata ogni volta che viene eseguito un ciclo incrementale. Vengono visualizzati i dettagli seguenti:
- Tipo di ciclo di provisioning (iniziale o incrementale) attualmente in esecuzione o ultimo ciclo di provisioning completato.
- Indicatore di stato che mostra la percentuale di completamento del ciclo di provisioning. La percentuale riflette il numero di pagine di cui è stato effettuato il provisioning. Ogni pagina può contenere più utenti o gruppi, quindi la percentuale non è direttamente correlata al numero di utenti, gruppi o ruoli di cui è stato effettuato il provisioning.
- Pulsante Aggiorna che è possibile usare per mantenere aggiornata la visualizzazion
- Numero di utenti e gruppi nell'archivio dati del connettore. Il numero aumenta ogni volta che un oggetto viene aggiunto all'ambito del provisioning. Il numero non diminuisce se un utente viene eliminato temporaneamente o definitivamente perché tale operazione non rimuove l'oggetto dall'archivio dati del connettore. Il numero viene ricalcolato alla prima sincronizzazione dopo la reimpostazione di CDS.
- Collegamento Visualizza log di controllo, che apre i log di provisioning di Microsoft Entra. Per altre informazioni sulle operazioni eseguite dal servizio di provisioning utenti, incluso lo stato del provisioning per singoli utenti, vedere Usare i log di provisioning più avanti nell'articolo.
Al termine di un ciclo di provisioning, la sezione Statistiche fino a oggi mostra i numeri cumulativi di utenti e gruppi di cui è stato effettuato il provisioning unitamente alla data di completamento e alla durata dell'ultimo ciclo. L'ID attività identifica in modo univoco il ciclo di provisioning più recente. L'ID processo è un identificatore univoco del processo di provisioning ed è specifico per l'app nel tenant.
Per visualizzare lo stato del provisioning nell’Interfaccia di amministrazione di Microsoft Entra selezionare Identità>Applicazioni>Applicazioni aziendali> [nome dell’applicazione] >Provisioning.
È anche possibile usare Microsoft Graph per monitorare a livello di codice lo stato del provisioning in un'applicazione. Per altre informazioni, vedere Monitorare il provisioning.
Usare i log di provisioning per controllare lo stato del provisioning di un utente
Per visualizzare lo stato del provisioning per un utente selezionato, consultare i log di provisioning in Microsoft Entra ID. Tutte le operazioni eseguite dal servizio di provisioning utenti vengono registrate nei log di provisioning di Microsoft Entra. I log includono le operazioni di lettura e scrittura eseguite nei sistemi di origine e di destinazione. Vengono registrati anche i dati utente correlati alle operazioni di lettura e scrittura.
È possibile accedere ai log di provisioning nell’Interfaccia di amministrazione di Microsoft Entra selezionando Identità>Applicazioni>Applicazioni aziendali>Log di provisioning nella sezione Attività. È possibile eseguire ricerche nei dati di provisioning in base al nome dell'utente o all'identificatore nel sistema di origine o nel sistema di destinazione. Per informazioni dettagliate, vedere Log di provisioning.
I log di provisioning registrano tutte le operazioni eseguite dal servizio di provisioning, tra cui:
- Eseguire query sugli utenti assegnati inclusi nell’ambito del provisioning in Microsoft Entra.
- Esecuzione nell'app di destinazione di query sull'esistenza di tali utenti
- Confronto degli oggetti utente tra i sistemi
- Aggiunta, aggiornamento o disabilitazione dell'account utente nel sistema di destinazione in base al confronto
Per altre informazioni su come leggere i log di provisioning nell'Interfaccia di amministrazione di Microsoft Entra, vedere la guida ai report sul provisioning.
Quanto tempo sarà necessario per eseguire il provisioning degli utenti?
Quando si usa il provisioning utenti automatico con un'applicazione, è necessario tenere presenti alcuni aspetti. Prima di tutto, Microsoft Entra ID effettua automaticamente il provisioning e aggiorna gli account utente in un'app in base a elementi come l’assegnazione di utenti e gruppi. La sincronizzazione viene effettuata a intervalli di tempo pianificati regolarmente, in genere ogni 40 minuti.
Il tempo necessario per effettuare il provisioning di un determinato utente dipende principalmente dal fatto che il processo di provisioning esegua un ciclo iniziale o un ciclo incrementale.
Per il ciclo iniziale, la durata del processo dipende da diversi fattori, tra cui il numero di utenti e gruppi inclusi nell'ambito del provisioning e il numero totale di utenti e gruppi presenti nel sistema di origine. La prima sincronizzazione tra Microsoft Entra ID e un'app può richiedere appena 20 minuti o fino a diverse ore. La durata dipende dalle dimensioni della directory di Microsoft Entra e dal numero di utenti inclusi nell'ambito del provisioning. I fattori che influiscono sulle prestazioni della sincronizzazione iniziale sono descritti in un elenco completo riportato più oltre in questa sezione.
Per i cicli incrementali successivi al ciclo iniziale i tempi del processo tendono a essere più veloci (entro 10 minuti), poiché il servizio di provisioning archivia le filigrane che rappresentano lo stato di entrambi i sistemi dopo il ciclo iniziale, migliorando le prestazioni delle sincronizzazioni successive. La durata del processo dipende dal numero di modifiche rilevate durante il ciclo di provisioning. Se sono presenti meno di 5.000 modifiche agli utenti o alle appartenenze a gruppi, è possibile completare il processo in un unico ciclo di sincronizzazione incrementale.
La tabella seguente riepiloga i tempi di sincronizzazione per gli scenari di provisioning più comuni. In questi scenari, il sistema di origine è Microsoft Entra ID e il sistema di destinazione è un'applicazione SaaS. I tempi di sincronizzazione sono acquisiti tramite un'analisi statistica dei processi di sincronizzazione per le applicazioni SaaS ServiceNow, Workplace, Salesforce e G Suite.
| Configurazione dell'ambito | Utenti, gruppi e membri nell'ambito | Durata del ciclo iniziale |
|---|---|---|
| Sincronizza solo utenti e gruppi assegnati | < 1,000 | <30 minuti |
| Sincronizza solo utenti e gruppi assegnati | 1.000 - 10.000 | 142 - 708 minuti |
| Sincronizza solo utenti e gruppi assegnati | 10.000 - 100.000 | 1.170 - 2.340 minuti |
| Sincronizza tutti gli utenti e i gruppi in Microsoft Entra ID | < 1,000 | <30 minuti |
| Sincronizza tutti gli utenti e i gruppi in Microsoft Entra ID | 1.000 - 10.000 | < 30 - 120 minuti |
| Sincronizza tutti gli utenti e i gruppi in Microsoft Entra ID | 10.000 - 100.000 | 713 - 1.425 minuti |
| Sincronizza tutti gli utenti in Microsoft Entra ID | < 1,000 | <30 minuti |
| Sincronizza tutti gli utenti in Microsoft Entra ID | 1.000 - 10.000 | 43 - 86 minuti |
Nella configurazione Sincronizza solo utenti e gruppi assegnati, è possibile applicare le formule seguenti per determinare la durata approssimativa prevista, minima e massima, del ciclo iniziale:
- Numero minimo di minuti = 0,01 x [Numero di utenti, gruppi e membri di gruppo assegnati]
- Numero massimo di minuti = 0,08 x [Numero di utenti, gruppi e membri di gruppo assegnati]
Riepilogo dei fattori che influenzano il tempo necessario per completare un ciclo iniziale:
Numero totale di utenti e gruppi nell'ambito del provisioning.
Numero totale di utenti, gruppi e membri di gruppo presenti nel sistema di origine (Microsoft Entra ID).
Se gli utenti inclusi nell'ambito del provisioning corrispondono agli utenti esistenti nell'applicazione di destinazione o se devono essere creati per la prima volta. I processi di sincronizzazione nei quali tutti gli utenti vengono creati per la prima volta hanno una durata approssimativa doppia rispetto ai processi di sincronizzazione nei quali tutti gli utenti corrispondono a utenti esistenti.
Numero di errori nei log di provisioning. Le prestazioni risultano ridotte se sono presenti troppi errori e se il servizio di provisioning è in stato di quarantena.
Limitazioni relative al numero e alla frequenza delle richieste implementate dal sistema di destinazione. Alcuni sistemi di destinazione implementano limitazioni relative al numero e alla frequenza delle richieste, che possono influire negativamente sulle prestazioni durante la sincronizzazione di grandi quantità di dati. In queste condizioni, un'applicazione che riceve un numero eccessivo di richieste potrebbe ridurre la propria velocità di risposta o interrompere la connessione. Per migliorare le prestazioni, il connettore deve essere regolato in modo da non inviare le richieste di app più velocemente di quanto l'app possa elaborarle. I connettori di provisioning creati da Microsoft sono in grado di eseguire questa regolazione.
Numero e dimensione dei gruppi assegnati. La sincronizzazione dei gruppi assegnati richiede più tempo rispetto alla sincronizzazione degli utenti. Il numero e la dimensione dei gruppi assegnati incidono sulle prestazioni. Se in un'applicazione è abilitato il mapping per la sincronizzazione dell'oggetto del gruppo, in aggiunta agli utenti vengono sincronizzate le proprietà del gruppo, come i nomi e le appartenenze del gruppo. Queste sincronizzazioni richiedono più tempo rispetto alla sincronizzazione degli oggetti utente.
Se le prestazioni diventano un problema e si sta tentando di effettuare il provisioning della maggior parte degli utenti e dei gruppi nel tenant, usare i filtri per la definizione dell’ambito. I filtri per la definizione dell’ambito consentono di ottimizzare i dati che il servizio di provisioning estrae da Microsoft Entra ID in quanto permettono di filtrare gli utenti in base a valori di attributo specifici. Per altre informazioni sui filtri di ambito, vedere Provisioning dell'applicazione basato su attributi con filtri per la definizione dell'ambito.
Nella maggior parte dei casi, il ciclo incrementale viene completato in 30 minuti. Tuttavia, quando sono presenti centinaia o migliaia di modifiche agli utenti o modifiche alle appartenenze a gruppi, la durata del ciclo incrementale aumenterà in proporzione al numero di modifiche apportate al processo e può richiedere diverse ore. L'uso dell’opzione Sincronizza utenti e gruppi assegnati e la riduzione al minimo di utenti/gruppi inclusi nell'ambito del provisioning consentono di ridurre la durata della sincronizzazione.
Consigli per ridurre il tempo necessario per effettuare il provisioning di un utente e/o di un gruppo:
- Impostare l'ambito di provisioning per sincronizzare
assigned users and groups, anzichésync all users and groups. - Numero totale di utenti e gruppi inclusi nell'ambito del provisioning.
- Creare più processi di provisioning destinati allo stesso sistema. Quando si esegue questa operazione, ogni processo di sincronizzazione verrà eseguito in modo indipendente con una conseguente riduzione del tempo necessario per elaborare le modifiche. Assicurarsi che l'ambito degli utenti sia distinto tra questi processi di provisioning per evitare che le modifiche di un processo influiscano sull’altro.
- Aggiungere filtri per la definizione dell’ambito per limitare ulteriormente il numero di utenti e gruppi inclusi nell'ambito del provisioning.
Controllare le modifiche apportate alla configurazione del provisioning
Le modifiche alla configurazione del provisioning vengono registrate nei log di controllo. Gli utenti con le autorizzazioni necessarie, ad esempio l'amministratore dell'applicazione e il lettore di report, possono accedere ai log tramite l'interfaccia utente dei log di controllo, l'API e PowerShell. È possibile usare il filtro per le attività nei log di controllo per identificare le azioni seguenti.
Nota
Per le azioni eseguite dal servizio di provisioning, ad esempio la creazione di utenti, l'aggiornamento degli utenti e l'eliminazione degli utenti, è consigliabile usare i log di provisioning. Per monitorare le modifiche apportate alla configurazione del provisioning, è consigliabile usare i log di controllo.
| Azione | Attività (filtrare i log in base a questa proprietà) |
|---|---|
| Aggiornare le credenziali (ad esempio, aggiungere un nuovo token di connessione) | Aggiornare l'impostazione o le credenziali del provisioning |
| Modificare le impostazioni nel processo di provisioning (ad esempio, indirizzo di posta elettronica per le notifiche, sincronizzazione di tutti gli utenti e i gruppi assegnati dalla sincronizzazione, prevenzione delle eliminazioni accidentali) | Aggiornare l'impostazione o le credenziali del provisioning |
| Avvia provisioning | Abilitare/avviare la configurazione del provisioning |
| Arrestare il provisioning | Disabilitare/sospendere la configurazione del provisioning |
| Riavviare il provisioning | Abilitare/riavviare la configurazione del provisioning |
| Aggiornare i mapping degli attributi o le regole per la definizione dell’ambito | Aggiornare i mapping degli attributi o l'ambito |
Passaggi successivi
Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID