Transizione da Active Directory a Entra ID

Se state spostando la gestione degli utenti da una Active Directory locale a Entra ID basato su cloud, ci sono alcuni passaggi che dovreste conoscere per rendere questa transizione il più agevole possibile. Queste raccomandazioni si basano sul fatto che:

• Non tutti gli attributi AD hanno una rappresentazione in Entra ID.

• Le diverse organizzazioni possono avere preferenze diverse per quanto riguarda i nomi utente e le credenziali di accesso di facile utilizzo.

• Gli utenti già sincronizzati in MyQ da un AD on-premises dovrebbero essere aggiornato da Entra IDpiuttosto che duplicati. In questo modo, i clienti mantengono la loro storia in MyQ, compresi i crediti, le quote e i lavori in sospeso.

In questo articolo esamineremo le opzioni disponibili per garantire che gli utenti in MyQ siano aggiornati dalla sincronizzazione Entra ID e non creati come nuovi.

Se si parte da zero e non è necessario aggiornare gli utenti già presenti in MyQ, si può proseguire con la sezione guida sulla nuova sincronizzazione Entra ID.

Problemi di identificazione degli utenti

MyQ sincronizza ID Entra utenti con NomePrincipaleUtente (Nome principale dell'utente, UPN) come identificatore primario, e per questo motivo, NomePrincipaleUtente viene impostato automaticamente come nome utente. Questo non può essere influenzato in alcun modo. Il nome utente risultante sarà simile a tim.canterbury@acme.com.

Il motivo è che per un'autenticazione completamente funzionale contro Entra ID, MyQ ha bisogno dell'intero UPN dell'utente. Inoltre, se più tenant Entra ID sono sincronizzati in MyQ, la distinzione tra di essi è più facile quando NomePrincipaleUtente viene utilizzato perché contiene anche il dominio, rendendolo unico.

Tuttavia, MyQ sincronizza gli utenti da una Active Directory con sAMAccountName come nome utente. Anche questo attributo non può essere modificato. Gli utenti sincronizzati da AD avranno probabilmente nomi utente come tim.cantebury, timcanterbury, o semplicemente canterbury.

Per impostazione predefinita, quando si aggiornano gli utenti, MyQ utilizza i nomi utente per identificare l'utente da aggiornare. Tuttavia, poiché sAMAccountName e NomePrincipaleUtente non sono in genere identici, e senza alcuni passaggi preliminari la sincronizzazione di tali utenti risulterebbe in duplicati.

Determinare l'ambiente in cui ci si trova

Prima di tutto, è importante capire come è stato progettato e configurato l'ambiente con cui si lavora. Potrebbero verificarsi le seguenti situazioni:

Come aggiornare gli utenti esistenti

Per evitare la duplicazione degli utenti, è necessario selezionare uno dei seguenti metodi per abbinare le due diverse identità dello stesso utente:

• Normalizzare gli utenti con CSV e aggiornarli da Entra ID.

• Aggiungere i domini ai nomi utente e quindi aggiornare gli utenti da Entra ID.

• Utilizzare il campo Numero personale per abbinare le identità degli utenti.

Sorgenti di sincronizzazione

Quando si aggiornano gli utenti in MyQ, è importante comprendere le fonti di sincronizzazione e la loro coesistenza. Nelle impostazioni della fonte di sincronizzazione degli utenti, sono presenti due opzioni:

Fonte di sincronizzazione: il nome della fonte. Funge anche da "marcatore" per identificare gli utenti provenienti da questa fonte.

• Se si aggiungono due sorgenti, entrambe denominate "CSV", la seconda sorgente può sovrascrivere quanto importato dalla prima.

• È anche possibile combinare diversi tipi di fonti, ad esempio se le fonti AD e CSV utilizzano entrambe il nome "SYNC1", il CSV sarà in grado di aggiornare gli utenti importati da AD e viceversa (a seconda dell'ordine di sincronizzazione).

• Se le fonti sono state denominate "CSV1" e "CSV2", la sincronizzazione da CSV2 ignorerà gli utenti sincronizzati da CSV1, a meno che non si utilizzi l'opzione seguente.

Ignorare la fonte di sincronizzazione: Quando è attivata, questa fonte di sincronizzazione considera tutti gli utenti in MyQ e può sovrascriverli/aggiornarli. Quando è disattivata, la sincronizzazione aggiornerà solo gli utenti che ha importato.

Opzione 1: normalizzare gli utenti con CSV e aggiornarli da Entra ID

Con questo metodo, è necessario assicurarsi che gli utenti in MyQ abbiano un numero personale, esportarli, modificare il file CSV esportato per cambiare tutti i nomi utente in UPN utilizzati da Entra ID, e quindi importare nuovamente tutto questo accoppiando gli utenti con il numero personale. In questo modo, al momento della sincronizzazione, gli utenti AD avranno già l'UPN come nome utente e le loro identità saranno correttamente collegate.

Prerequisiti

• Se gli utenti non utilizzano numeri personali, sincronizzarli con i numeri personali dall'AD corrente. Questo attributo ci servirà per accoppiare gli utenti in seguito (dato che non potremo accoppiarli in base ai nomi utente).

• Se non è possibile sincronizzare i numeri personali da AD, assegnarli direttamente in MyQ. Esportare gli utenti in CSV (sul sito Utenti pagina, selezionare Strumenti - Esportazione), modificare il file CSV nel modo preferito e assegnare a ogni utente un numero personale unico (CODICE colonna). Importare nuovamente il CSV in modo da aggiornare gli utenti in MyQ e aggiungere i loro numeri personali.

Passare i nomi utente a UPN

1. Vai al sito Utenti pagina, selezionare Strumenti - Esportazionee attendere il download del file CSV con gli utenti esportati.

2. Modificare il CSV nel modo preferito, cambiando tutti i nomi utente in modo che assumano la forma di UPN in Entra ID, ad esempio, timcanterbury → tim.canterbury@acme.come salvare il file CSV. Lasciare intatti i numeri personali.

3. In MyQ, in Impostazioni - Sincronizzazione degli utenti, aggiungere il file CSV finale come origine di sincronizzazione.

   1. Cambiare il nome dell'origine di sincronizzazione da "CSV" al nome dell'origine di sincronizzazione AD (per indirizzare gli utenti solo da AD) o selezionare l'opzione "Ignora origine di sincronizzazione" (vedi sopra).

   2. Abilitazione Accoppiamento con il numero personale.

4. Eseguire la sincronizzazione dell'utente, sia dal programma Sincronizzazione degli utenti pagina o Programmatore di attività (consigliato).

Una volta completata l'operazione, i nomi utente in MyQ dovrebbero corrispondere a NomePrincipaleUtente in Entra ID.

È possibile procedere alla sincronizzazione degli utenti da Entra ID utilizzando il metodo normale. Quando si crea la nuova sincronizzazione di Entra ID, ricordarsi di regolare anche il nome dell'origine di sincronizzazione o di attivare "Ignora origine di sincronizzazione" per garantire che l'origine Entra ID possa aggiornare gli utenti sincronizzati da AD (vedi sopra).

Gli utenti che corrispondono attraverso i nomi utente devono essere accuratamente riflessi nei log (visualizzati come Partita tramite LOGIN).

Opzione 2: Aggiunta del dominio ai nomi utente e successivo aggiornamento degli utenti da Entra ID

Se il dominio AD è lo stesso del dominio dell'Entra ID, è possibile procedere come segue:

1. Nell'origine di sincronizzazione AD, attivare l'opzione Aggiungere il dominio al nome utentee sincronizzare gli utenti. Ciò comporterà una modifica del nome utente come tim.canterbury → tim.canterbury@acme.com.

2. Eseguire la sincronizzazione da AD, sia dall'applicazione Sincronizzazione degli utenti pagina o Programmatore di attività (consigliato).

3. Creare una nuova sincronizzazione di Entra ID, modificare il nome della sorgente di sincronizzazione (vedere sopra), oppure abilitare Ignorare la fonte di sincronizzazione per poter aggiornare gli utenti sincronizzati da altre fonti.

4. Eseguire la sincronizzazione da Entra ID, sia dalla finestra di dialogo Sincronizzazione degli utenti pagina o Programmatore di attività (consigliato).

Se i nomi utente, dopo l'aggiunta del dominio, corrispondono all'opzione NomePrincipaleUtente di questi utenti, saranno aggiornati dalla nuova fonte. D'ora in poi, è possibile continuare a sincronizzare gli utenti da Entra ID e rimuovere la vecchia fonte di sincronizzazione.

Opzione 3: utilizzare il campo del numero personale per abbinare le identità degli utenti

È possibile collegare le due identità dell'utente accoppiandole attraverso la funzione Campo del numero personale. Esistono due scenari comuni:

• Gli utenti in AD hanno già numeri personali che possono essere sincronizzati anche da Entra ID (ad es, ID dipendente attributo).

• Gli utenti non hanno numeri personali, ma un'altra informazione può essere sincronizzata con questo campo, ad esempio un indirizzo e-mail.

Se si decide di abbinare gli utenti esistenti con questo metodo, procedere come segue:

1. In Impostazioni - Sincronizzazione utenti, regolare l'origine di sincronizzazione AD e, nella scheda Utenti, specificare l'attributo che si desidera utilizzare per il file Numero personale, ad esempio, posta. Se si utilizza NomePrincipaleUtenteÈ possibile sincronizzare l'UPN dell'utente dall'AD locale e utilizzarlo per confrontare la sua identità con Entra ID.

2. Nella nuova sorgente di sincronizzazione Entra ID, attivare l'opzione Accoppiamento con il numero personale e compilare lo stesso attributo nell'opzione Numero personale (posta o NomePrincipaleUtente in questo esempio). Inoltre, non dimenticate di modificare il nome della sorgente di sincronizzazione o di abilitare la funzione Ignorare la fonte di sincronizzazione (vedi sopra).

Non è necessario che l'attributo sia tra quelli elencati nel menu a tendina; è possibile digitare e creare manualmente un nuovo attributo e quindi sincronizzare praticamente qualsiasi attributo dell'elemento tipo di risorsa utente in Entra ID.

3. Eseguire la sincronizzazione, sia dal menu Pagina di sincronizzazione degli utenti o Programmatore di attività (consigliato).

Si consiglia di verificare gli utenti dopo l'esecuzione della sincronizzazione AD e di assicurarsi che i dati di Numero personale Il campo contiene le informazioni desiderate. In caso affermativo, è possibile passare alla seconda sincronizzazione da Entra ID.