Configurare Workplace from Meta per il provisioning automatico degli utenti con Microsoft Entra ID

Questo articolo descrive i passaggi da eseguire in Workplace from Meta e Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning degli utenti in Workplace da Meta usando il servizio di provisioning Microsoft Entra. Per dettagli importanti su cosa fa questo servizio, come funziona e domande frequenti, vedere Automatizza il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Capacità supportate

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• A tenant Microsoft Entra
• Uno dei seguenti ruoli: Amministratore dell'applicazione, Amministratore dell'applicazione sul cloud o Proprietario dell'applicazione.
• Sottoscrizione di Workplace from Meta con Single Sign-On abilitato per l'accesso

Per testare i passaggi descritti in questo articolo, seguire queste indicazioni:

• Non usare l'ambiente di produzione, a meno che non sia necessario.
• Se non si ha un ambiente di valutazione Microsoft Entra, è possibile ottenere una versione di valutazione di un mese here.

Passaggio 1: Pianificare la distribuzione dell'approvvigionamento

1. Scopri come funziona il servizio di provisioning.
2. Determinare chi rientra nell'ambito per la fornitura.
3. Determinare i dati da mappare tra Microsoft Entra ID e Workplace da Meta.

Passaggio 2: Configurare Workplace from Meta per supportare il provisioning con Microsoft Entra ID

Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti in Microsoft Entra ID rappresentano gli utenti che devono accedere alla tua app Workplace da Meta. Dopo aver deciso, è possibile assegnare questi utenti all'app Workplace from Meta seguendo le istruzioni riportate di seguito:

• È consigliabile assegnare un singolo utente Microsoft Entra a Workplace da Meta per testare la configurazione di provisioning. Più utenti potrebbero essere assegnati in un secondo momento.

• Quando si assegna un utente a Workplace da Meta, è necessario selezionare un ruolo utente valido. Il ruolo "Accesso predefinito" non è efficace nel provisioning.

Passaggio 3: Aggiungere Workplace from Meta dalla raccolta di applicazioni Microsoft Entra

Aggiungere Workplace from Meta dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in Workplace from Meta. Se Workplace from Meta è stato configurato in precedenza per l'accesso Single Sign-On (SSO), è possibile usare la stessa applicazione. Tuttavia, è consigliabile creare un'app separata durante il test iniziale dell'integrazione. Scopri di più sull'aggiunta di un'applicazione dalla galleria qui.

Passaggio 4: Definire chi è incluso nel processo di provisioning

Il servizio di provisioning Microsoft Entra consente di definire l'ambito del provisioning in base all'assegnazione all'applicazione o in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito dell'app in base all'assegnazione, è possibile utilizzare i passaggi per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito del provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito.

• Iniziare con pochi elementi. Eseguire il test con un piccolo insieme di utenti e gruppi prima di distribuirlo a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.

• Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 5: Configurare il provisioning automatico degli utenti per Workplace da Meta

Questa sezione illustra i passaggi per configurare il servizio di provisioning Microsoft Entra per creare, aggiornare e disabilitare gli utenti in Workplace from Meta App in base alle assegnazioni degli utenti in Microsoft Entra ID.

1. Accedi al centro amministrativo di Microsoft Entra con almeno il ruolo di Cloud Application Administrator.

2. Passare a Entra ID>App aziendali

   

3. Nell'elenco delle applicazioni selezionare Workplace da Meta.

   

4. Selezionare la scheda Provisioning.

   

5. Selezionare + Nuova configurazione.

   

6. Verificare che la sezione "URL tenant" sia popolata con l'endpoint corretto: https://scim.workplace.com/. Nella sezione credenziali amministrative, selezionare Autorizza. Si viene reindirizzati a Workplace dalla pagina di autorizzazione di Meta. Immettere il nome utente di Workplace di Meta e selezionare il pulsante Continua. Selezionare Test Connection per assicurarsi che Microsoft Entra ID possa connettersi a Workplace from Meta. Se la connessione non riesce, verificare che Workplace from Meta account disponga delle autorizzazioni di amministratore e riprovare.

   

   

   Nota

   Se non si modifica l'URL in https://scim.workplace.com/ si verifica un errore durante il tentativo di salvare la configurazione

7. Selezionare Crea per creare la configurazione.

8. Selezionare Proprietà nella pagina Panoramica .

9. Selezionare l'icona Modifica per modificare le proprietà. Abilitare i messaggi di posta elettronica di notifica e fornire un messaggio di posta elettronica per ricevere notifiche di quarantena. Abilitare la prevenzione delle eliminazioni accidentali. Seleziona Applica per salvare le modifiche.

   

10. Selezionare Mapping attributi nel pannello sinistro e selezionare utenti.

11. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a Workplace from Meta nella sezione Attribute-Mapping. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Workplace from Meta per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente , è necessario assicurarsi che Workplace from Meta API supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per confermare le modifiche.

    Attributo	TIPO
    nome utente	Stringa
    nome visualizzato	Stringa
    attivo	Booleano
    titolo	Booleano
    email[type eq "work"].valore	Stringa
    nome.nomeDato	Stringa
    nome.cognome	Stringa
    nome.formattato	Stringa
    indirizzi[tipo eq "lavoro"].formattato	Stringa
    indirizzi[type eq "work"].indirizzoStradale	Stringa
    indirizzi[tipo eq "lavoro"].località	Stringa
    indirizzi[ tipo eq "lavoro" ].regione	Stringa
    indirizzi[tipo eq "lavoro"].paese	Stringa
    indirizzi[tipo eq "lavoro"].codicePostale	Stringa
    indirizzi[tipologia eq "altra"].formattato	Stringa
    numeriDiTelefono[tipo eq "lavoro"].valore	Stringa
    numeriDiTelefono[tipo eq "cellulare"].valore	Stringa
    numeriTelefono[tipologia uguale "fax"].valore	Stringa
    Id esterno	Stringa
    lingua preferita	Stringa
    urn:scim:schemas:extension:enterprise:1.0.manager	Stringa
    urn:scim:schemas:extension:enterprise:1.0.dipartimento	Stringa
    urn:scim:schemas:extension:enterprise:1.0.divisione	Stringa
    urn:scim:schemas:extension:enterprise:1.0.organization	Stringa
    urn:scim:schemas:extension:enterprise:1.0.costCenter	Stringa
    urn:scim:schemas:extension:enterprise:1.0.numeroDipendente	Stringa
    urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method	Stringa
    urn:scim:schemas:extension:facebook:frontline:1.0.è_frontline	Booleano
    urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate	Numero intero

12. Per configurare i filtri di ambito, vedere le istruzioni fornite nell'articolo Filtro di ambito.

13. Usare il provisioning su richiesta per convalidare la sincronizzazione con alcuni utenti prima di distribuire in modo più ampio nell'organizzazione.

14. Quando si è pronti per procedere al provisioning, selezionare Avvia il provisioning nella pagina Panoramica.

Passaggio 6: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

1. Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
2. Controlla la barra di progresso per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
3. Se la configurazione del provisioning sembra essere in cattivo stato, l'applicazione entra in quarantena. Per saperne di più sugli stati di quarantena, consulta l'articolo relativo al provisioning delle applicazioni con stato di quarantena.

Suggerimenti per la risoluzione dei problemi

• Se viene visualizzato un utente creato in modo non riuscito ed è presente un evento del log di controllo con il codice "1789003", significa che l'utente proviene da un dominio non verificato.
• Ci sono casi in cui gli utenti ricevono un errore 'ERRORE: Campo email mancante: Devi fornire un'email. Errore restituito da Facebook: L'elaborazione della richiesta HTTP ha generato un'eccezione. Per informazioni dettagliate, vedere la risposta HTTP restituita dalla proprietà "Response" di questa eccezione. Questa operazione è stata ritentata zero volte. L'operazione viene nuovamente tentata dopo questa data. Questo errore è dovuto al fatto che i clienti mappano la posta elettronica, invece di userPrincipalName, all'email di Facebook, ma alcuni utenti non hanno un attributo della posta elettronica. Per evitare gli errori ed effettuare correttamente l'assegnazione degli utenti non riusciti su Workplace from Facebook, modificare il mapping dell'attributo all'attributo di posta elettronica di Workplace from Facebook in Coalesce([mail],[userPrincipalName]), oppure annullare l'assegnazione dell'utente da Workplace from Facebook, o assegnare un indirizzo di posta elettronica all'utente.
• È disponibile un'opzione in Workplace, che consente l'esistenza di utenti senza indirizzi di posta elettronica. Se questa impostazione è attivata sul lato Workplace, è necessario riavviare il provisioning sul lato Azure affinché gli utenti senza messaggi di posta elettronica vengano creati correttamente in Workplace.

Aggiornare un'applicazione di Workplace from Meta per usare l'endpoint SCIM 2.0 di Workplace from Meta.

Nel dicembre 2021 Facebook ha rilasciato un connettore SCIM 2.0. Il completamento dei passaggi specificati aggiorna le applicazioni configurate per l'uso dell'endpoint SCIM 1.0 per l'uso dell'endpoint SCIM 2.0. Questi passaggi consentono di rimuovere tutte le personalizzazioni apportate in precedenza all'applicazione Workplace from Meta, tra cui:

• Dettagli di autenticazione
• Filtri per la definizione dell'ambito
• Mapping di attributi personalizzati

1. Accedi al centro amministrativo di Microsoft Entra con almeno il ruolo di Cloud Application Administrator.

2. Passare a Entra ID>Applicazioni aziendali>Workplace da Meta.

3. Nella sezione Proprietà della nuova app personalizzata copiare l'ID oggetto.

   

4. In una nuova finestra del Web browser passare a https://developer.microsoft.com/graph/graph-explorer e accedere come amministratore per il tenant Microsoft Entra in cui viene aggiunta l'app.

   

5. Verificare che l'account usato disponga delle autorizzazioni corrette. Per apportare questa modifica, è necessaria l'autorizzazione "Directory.ReadWrite.All".

   

   

6. Usando l’opzione objectID selezionata dall'app in precedenza, eseguire il comando seguente:

   GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
   

7. Prendendo il valore "id" dal corpo della risposta della richiesta diGETdell'esempio precedente, eseguire il comando seguente, sostituendo "[job-id]" con il valore ID della richiestaGET. Il valore deve avere il formato "FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx":

   DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
   

8. In Esplora Microsoft Graph eseguire il comando seguente. Sostituire "[id-oggetto]" con l’ID principale del servizio (ID oggetto) copiato nel terzo passaggio.

   POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
   

   

9. Tornare alla prima finestra del browser Web e selezionare la scheda Provisioning dell'applicazione. La configurazione viene reimpostata. Puoi confermare che l'aggiornamento è stato eseguito con successo verificando che l'ID lavoro inizi con "FacebookWorkplace".

10. Aggiornare l'URL del tenant nella sezione Credenziali amministratore all'URL seguente: https://scim.workplace.com/

    

11. Ripristina le modifiche precedenti apportate all'applicazione (dettagli di autenticazione, filtri per la definizione dell’ambito, mapping di attributi personalizzati) e riattiva il provisioning.

    Nota

    Se non si ripristinano le impostazioni precedenti, è possibile che gli attributi (name.formatted ad esempio) vengano aggiornati in modo imprevisto in Workplace. Accertarsi che la configurazione sia corretta prima di abilitare il provisioning.

Log delle modifiche

• 10/09/2020 - Aggiunta del supporto per gli attributi aziendali "divisione", "organizzazione", "costCenter" e "employeeNumber". Aggiunta del supporto per gli attributi personalizzati "startDate", "auth_method" e "frontline".
• 22/07/2021 - Aggiornato i suggerimenti per la risoluzione dei problemi per i clienti con una mappatura della posta elettronica su Facebook, anche se alcuni utenti non dispongono di un attributo di posta elettronica.

Altre risorse

• Gestione della configurazione degli account utente per le applicazioni aziendali
• Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?

Contenuto correlato

• Informazioni su come esaminare i log e ottenere i report sull'attività di fornitura