Konfiguration für zusätzliche Attribute

Online bearbeiten

Der Azure Active Directory adapter ist so konfiguriert, dass er alle Standard-Benutzerkontoattribute unterstützt, die von Azure bereitgestellt werden. Da die Erfassung zusätzlicher Attribute während des Abgleichs negative Auswirkungen auf die Leistung haben kann, kann die Unterstützung für zusätzliche Attribute über eine Konfigurationsdatei aktiviert werden. Diese Datei muss die zusätzlichen Attribute enthalten, die für Ihr Unternehmen erforderlich sind.

Informationen zu diesem Vorgang

Die zusätzlichen Attribute, die derzeit unterstützt werden, müssen der Konfigurationsdatei hinzugefügt werden. Folgen Sie den angegebenen Schritten, um den Pfad der zusätzlichen Attributdatei einzurichten und zu konfigurieren.

Vorgehensweise

  1. Eine Beispieldatei AzureAd-Attributes.properties , in der alle unterstützten zusätzlichen Attribute angegeben sind, ist im Adapterpaket verfügbar. In den Details des Adapterkonnektors oder des Serviceformulars finden Sie den Pfad der Konfigurationsdatei.
  2. Geben Sie den Speicherort der Datei im Pfad der Konfigurationsdatei an.
    Beispiel: C:\Program Files\IBM\TDI\V7.2\timsol\properties\AzureAD-Attributes.properties
    • Die Datei muss im Format .properties vorliegen (Befolgen Sie die Schritte zum Einrichten der Datei AzureAD-Attributes.properties ).
    • Die Datei muss sich auf demselben Rechner befinden, auf dem auch der Dispatcher läuft. Beispiel: <SDI_Solution_Directory>\properties\AzureAD-Attributes.properties.
    • Sie müssen den vollständigen Pfad der Datei im Abschnitt Konfigurationsdateipfad des Dienstformulars angeben. Siehe Einzelheiten zum Formular Dienst/Ziel.
  3. Starten Sie den Dispatcher-Dienst neu und führen Sie einen Abgleich durch.
    Hinweis: Zusätzliche Attribut-Konfigurationsdatei
    • Die Konfigurationsdatei für zusätzliche Attribute (AzureAD-Attributes.properties) muss eine Liste mit durch Kommata getrennten Werten sein.
    • Bei den Attributnamen wird zwischen Groß- und Kleinschreibung unterschieden.
    • Für Attribute, die nicht verarbeitet werden können, wird im SDI-Protokoll eine Warnmeldung erzeugt.
    • Wenn Sie versuchen, ein zusätzliches Attribut zu ändern und es erfolgreich ausgeführt wird, wird das Attribut im Ziel jedoch nicht geändert. Überprüfen Sie in einem solchen Fall, ob dieses Attribut in der Konfigurationsdatei für zusätzliche Attribute vorhanden ist und der Name mit dem in der Tabelle für zusätzliche Benutzerattribute angegebenen Namen übereinstimmt.
    • Wenn Sie den Inhalt der Konfigurationsdatei aktualisieren, ist es erforderlich, den Dispatcher neu zu starten und einen Abgleich durchzuführen.
    • Überprüfen Sie die mitgelieferte Liste der zusätzlichen Attribute. Bestimmen Sie, welche Attribute wesentlich sind, behalten Sie nur diese bei und streichen Sie den Rest von der Liste. Überflüssige Attribute können zu Leistungsverzögerungen führen.
    Beispieldatei Daten
    Sie können zum Beispiel Attribute in einer Datei auf folgende Weise angeben, wobei Attribute je nach Bedarf ein- oder ausgeschlossen werden können.
    additionalAttributes=createdDateTime,ageGroup,businessPhones,companyName,consentProvidedForMinor,creationType,employeeHireDate,employeeId,employeeType,legalAgeGroupClassification,lastPasswordChangeDateTime,onPremisesDistinguishedName,onPremisesDomainName,onPremisesImmutableId,onPremisesLastSyncDateTime,onPremisesSamAccountName,onPremisesSecurityIdentifier,onPremisesSyncEnabled,onPremisesUserPrincipalName,passwordPolicies,preferredDataLocation,proxyAddresses,securityIdentifier,signInSessionsValidFromDateTime,imAddresses,provisionedPlans,licenseAssignmentStates,assignedPlans,onPremisesProvisioningErrors,deletedDateTime,signInActivity,division,costCenter,refreshTokensValidFromDateTime,employeeLeaveDateTime,employeeOrgData,manager,manager_FULLSUPPORT
    Vor-Ort-Attribute:
    • onPremisesDistinguishedName: Enthält den ortsfesten Azure Active Directory distinguished Name oder DN.
    • onPremisesDomainName: Enthält das lokale domainFQDN, auch dnsDomainName genannt, das aus dem lokalen Verzeichnis synchronisiert wird.
    • onPremisesImmutableId: Diese Eigenschaft wird verwendet, um ein lokales Azure Active Directory benutzerkonto mit seinem Azure AD-Benutzerobjekt zu verknüpfen.
    • onPremisesLastSyncDateTime: Gibt den letzten Zeitpunkt an, zu dem das Objekt mit dem lokalen Verzeichnis synchronisiert wurde.
    • onPremisesSamAccountName: Enthält die lokale samAccountName , die aus dem lokalen Verzeichnis synchronisiert wurde.
    • onPremisesSecurityIdentifier: Enthält die lokale Sicherheitskennung (SID) für den Benutzer, der von der lokalen Umgebung in die Cloud synchronisiert wurde.
    • onPremisesSyncEnabled: Wahr, wenn dieses Benutzerobjekt gerade von einem lokalen Active Directory (AD) synchronisiert wird. Andernfalls wird der Benutzer nicht synchronisiert und kann in Azure Active Directory.
    • onPremisesUserPrincipalName: Enthält die lokale userPrincipalName , die aus dem lokalen Verzeichnis synchronisiert wurde.
    • ageGroup und consentProvidedForMinor: Dies sind optionale Eigenschaften, die von Azure Active Directory administratoren verwendet werden, um sicherzustellen, dass die Nutzung eines Kontos auf der Grundlage der altersabhängigen Vorschriften für das Land oder die Region des Benutzers korrekt gehandhabt wird. Der Wert einiger Attribute hängt von anderen Attributen ab. Wenn Sie also solche Attribute aktualisieren, führen Sie einen Abgleich durch, um den Wert des abhängigen Attributs abzurufen.
    • legalAgeGroupClassification: Diese Eigenschaft ist schreibgeschützt und wird anhand der Eigenschaften ageGroup und consentProvidedForMinor berechnet.
    • manager: Diese Eigenschaft unterstützt keinen vollständigen Abgleich.
    • manager_FULLSUPPORT: Um einen vollständigen Abgleich in der Eigenschaft manager zu ermöglichen, verwenden Sie diese Eigenschaft in der Konfigurationsdatei für zusätzliche Attribute.
    • SignIn Activity attributes (Datum und Uhrzeit der letzten interaktiven Anmeldung, Request Identifier der letzten interaktiven Anmeldung, Datum und Uhrzeit der letzten nicht interaktiven Anmeldung, Request Identifier der letzten nicht interaktiven Anmeldung): Um Details für diese Eigenschaft zu erhalten, benötigen Sie eine Azure AD Premium P1/P2 Lizenz und die Berechtigung AuditLog.Read.All .
    Hinweis: Im Falle von IBM Security Verify Governance Identity Manager ist das Kontrollkästchen Never für die Attribute "Urlaubsdatum des Mitarbeiters " und " Einstellungsdatum des Mitarbeiters " standardmäßig aktiviert, wenn die Datums- und Zeitwerte leer sind.
    Die folgenden Attribute sind nicht enthalten, da sie verschiedene Lizenzen erfordern und einige erst in der Betaphase der Graph-APIs sind:
    • aboutMe - erfordert eine SPO-Lizenz
    • birthday - erfordert eine SPO-Lizenz
    • hireDate - erfordert eine SPO-Lizenz
    • interests - erfordert eine SPO-Lizenz
    • mySite - erfordert eine SPO-Lizenz
    • pastProjects - erfordert eine SPO-Lizenz
    • preferredName - erfordert eine SPO-Lizenz
    • responsibilities - erfordert eine SPO-Lizenz
    • schools - erfordert eine SPO-Lizenz
    • skills - erfordert eine SPO-Lizenz
    • showInAddressList - Nicht in Microsoft Graph verwenden. Verwalten Sie diese Eigenschaft stattdessen über das Microsoft 365 admin center
  4. Schritte zur Aktualisierung des Entwurfsformulars in IBM Security Verify Governance Identity Manager
    • Wählen Sie System konfigurieren > Formulare entwerfen.
    • Konfigurieren Sie das Formular und fügen Sie die zusätzlichen Attribute hinzu, die Sie aufnehmen möchten, bzw. entfernen Sie die nicht benötigten Attribute. (Konto > Azure Konto > $erazureadditionaldetails )
    • Klicken Sie auf Speichern. Achten Sie darauf, die Liste der Attribute in die Datei Attribute Additional aufzunehmen.