Aprowizacja aplikacji lokalnych firmy Microsoft w aplikacjach obsługujących protokół SCIM

  • Artykuł

Usługa aprowizacji firmy Microsoft obsługuje klienta SCIM 2.0 , który może służyć do automatycznego aprowizowania użytkowników w aplikacjach w chmurze lub lokalnych. W tym artykule opisano sposób użycia usługi aprowizacji firmy Microsoft do aprowizacji użytkowników w aplikacji lokalnej z włączoną usługą SCIM. Jeśli chcesz aprowizować użytkowników w aplikacjach lokalnych innych niż SCIM, które używają języka SQL jako magazynu danych, zobacz samouczek Microsoft Entra ECMA Połączenie or Host Generic SQL Połączenie or. Jeśli chcesz aprowizować użytkowników w aplikacjach w chmurze, takich jak DropBox i Atlassian, zapoznaj się z samouczkami specyficznymi dla aplikacji.

Diagram that shows SCIM architecture.

Wymagania wstępne

  • Dzierżawa firmy Microsoft Entra z identyfikatorem Microsoft Entra ID P1 lub Premium P2 (lub EMS E3 lub E5). Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
  • Administracja istrator roli do instalowania agenta. To zadanie jest jednorazowym zadaniem i powinno być kontem platformy Azure, które jest Administracja istratorem tożsamości hybrydowej lub administratorem globalnym.
  • Administracja istrator roli konfigurowania aplikacji w chmurze (administrator aplikacji, administrator aplikacji w chmurze, administrator globalny lub rola niestandardowa z uprawnieniami).
  • Komputer z co najmniej 3 GB pamięci RAM do hostowania agenta aprowizacji. Komputer powinien mieć system Windows Server 2016 lub nowszą wersję systemu Windows Server z łącznością z aplikacją docelową oraz łączność wychodzącą z login.microsoftonline.com, innymi usługami online firmy Microsoft i domenami platformy Azure. Przykładem jest maszyna wirtualna z systemem Windows Server 2016 hostowana w usłudze Azure IaaS lub za serwerem proxy.
  • Upewnij się, że implementacja SCIM spełnia wymagania microsoft Entra SCIM. Identyfikator Entra firmy Microsoft oferuje kod referencyjny typu open source, którego deweloperzy mogą używać do uruchamiania implementacji SCIM, zgodnie z opisem w artykule Samouczek: tworzenie przykładowego punktu końcowego SCIM w usłudze Microsoft Entra ID.
  • Obsługa punktu końcowego /schemas w celu zmniejszenia konfiguracji wymaganej w witrynie Azure Portal.

Instalowanie i konfigurowanie agenta aprowizacji firmy Microsoft Połączenie

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.
  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  3. Wyszukaj lokalną aplikację SCIM , nadaj aplikacji nazwę i wybierz pozycję Utwórz , aby dodać ją do dzierżawy.
  4. Z menu przejdź do strony Aprowizowanie aplikacji.
  5. Wybierz Rozpocznij.
  6. Na stronie Aprowizowanie zmień tryb na Automatyczny.

Screenshot of selecting Automatic.

  1. W obszarze Lokalna Połączenie ivity wybierz pozycję Pobierz i zainstaluj, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Screenshot of download location for agent.

  1. Pozostaw portal i otwórz instalatora agenta aprowizacji, zaakceptuj warunki świadczenia usługi, a następnie wybierz pozycję Zainstaluj.
  2. Poczekaj na kreatora konfiguracji agenta aprowizacji firmy Microsoft, a następnie wybierz przycisk Dalej.
  3. W kroku Wybierz rozszerzenie wybierz pozycję Aprowizowanie aplikacji lokalnych, a następnie wybierz pozycję Dalej.
  4. Agent aprowizacji użyje przeglądarki internetowej systemu operacyjnego, aby wyświetlić okno podręczne służące do uwierzytelniania w usłudze Microsoft Entra ID, a potencjalnie także dostawcy tożsamości organizacji. Jeśli używasz przeglądarki Internet Explorer jako przeglądarki w systemie Windows Server, może być konieczne dodanie witryn internetowych firmy Microsoft do listy zaufanych witryn przeglądarki, aby umożliwić poprawne uruchamianie języka JavaScript.
  5. Po wyświetleniu monitu o autoryzację podaj poświadczenia administratora firmy Microsoft Entra. Użytkownik musi mieć rolę Administracja istratora tożsamości hybrydowej lub globalnego Administracja istratora.
  6. Wybierz pozycję Potwierdź , aby potwierdzić ustawienie. Po pomyślnym zakończeniu instalacji możesz wybrać pozycję Zakończ, a także zamknąć instalatora pakietu agenta aprowizacji.

Konfigurowanie połączenia za pośrednictwem agenta aprowizacji

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

  3. Wyszukaj utworzoną wcześniej aplikację.

  4. Z menu przejdź do strony Aprowizowanie aplikacji.

  5. W portalu w sekcji Lokalna Połączenie ivity wybierz wdrożonego agenta i wybierz pozycję Przypisz agentów.

    Screenshot that shows how to select and assign an agent.

  6. Uruchom ponownie usługę agenta aprowizacji lub poczekaj 10 minut przed rozpoczęciem testowania połączenia.

  7. W polu Adres URL dzierżawy wprowadź adres URL punktu końcowego SCIM aplikacji. Przykład: https://api.contoso.com/scim/

  8. Skopiuj wymagany token elementu nośnego OAuth dla punktu końcowego SCIM do pola Token tajny.

  9. Wybierz pozycję Test Połączenie ion, aby identyfikator Entra firmy Microsoft próbował nawiązać połączenie z punktem końcowym SCIM. Jeśli próba nie powiedzie się, zostaną wyświetlone informacje o błędzie.

  10. Gdy próba nawiązania połączenia z aplikacją zakończy się pomyślnie, wybierz pozycję Zapisz , aby zapisać poświadczenia administratora.

  11. Pozostaw to okno przeglądarki otwarte po zakończeniu następnego kroku konfiguracji przy użyciu kreatora konfiguracji.

Inicjowanie obsługi administracyjnej aplikacji obsługującej protokół SCIM

Po zainstalowaniu agenta nie jest wymagana żadna dalsza konfiguracja lokalna, a wszystkie konfiguracje aprowizacji są następnie zarządzane z poziomu portalu. Powtórz poniższe kroki dla każdej aplikacji lokalnej aprowizowanej za pośrednictwem protokołu SCIM.

  1. Skonfiguruj wszystkie mapowania atrybutów lub reguły określania zakresu wymagane dla aplikacji.
  2. Dodaj użytkowników do zakresu, przypisując użytkowników i grupy do aplikacji.
  3. Przetestuj aprowizację kilku użytkowników na żądanie.
  4. Dodaj więcej użytkowników do zakresu, przypisując ich do aplikacji.
  5. Przejdź do okienka Aprowizacja i wybierz pozycję Rozpocznij aprowizację.
  6. Monitorowanie przy użyciu dzienników aprowizacji.

Poniższy film wideo zawiera omówienie aprowizacji lokalnej.

Następne kroki