Руководство. Настройка kpifire для автоматической подготовки пользователей

В этом руководстве описаны действия, которые необходимо выполнить в kpifire и Azure Active Directory (Azure AD) для настройки автоматической подготовки пользователей. После настройки Azure AD автоматически осуществляет и отменяет подготовку пользователей и групп для kpifire с помощью службы подготовки Azure AD. Подробные сведения о том, что делает эта служба, как она работает, и часто задаваемые вопросы см. в статье Автоматическая подготовка пользователей и ее отзыв для приложений SaaS в Azure Active Directory.

Поддерживаемые возможности

  • Создание пользователей в kpifire.
  • Удаление пользователей в kpifire, когда им больше не нужен доступ.
  • Синхронизация атрибутов пользователей между Azure AD и kpifire.
  • Подготовка групп и членства в группах в kpifire.
  • Единый вход в kpifire (рекомендуется).

Предварительные требования

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

  • Клиент Azure AD.
  • Учетная запись пользователя в Azure AD с разрешением настраивать подготовку (например, администратор приложений, администратор облачных приложений, владелец приложения или глобальный администратор).
  • Клиент kpifire.
  • Учетная запись пользователя kpifire с разрешениями администратора.

Шаг 1. Планирование развертывания для подготовки

  1. Узнайте, как работает служба подготовки.
  2. Определите, кто будет находиться в области подготовки.
  3. Определите, какие данные следует сопоставлять между Azure AD и kpifire.

Шаг 2. Настройка kpifire для поддержки подготовки с помощью Azure AD

  1. На сайте https://app.kpifire.com выполните вход с правами администратора.

  2. Выберите Settings  API Settings > Add New Token (Параметры > Параметры API > Добавить новый токен), чтобы создать токен SCIM.

    kpifire token generation

  3. Скопируйте и сохраните токен SCIM. Его нужно будет ввести на вкладке "Подготовка" в поле Секретный токен для приложения kpifire на портале Azure.

Добавьте kpifire из коллекции приложений Azure AD, чтобы начать управление подготовкой в kpifire. Если вы ранее настроили kpifire для единого входа, можете использовать то же приложение. Но мы рекомендуем создать отдельное приложение для первоначальной проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение пользователей для включения в область подготовки

Служба подготовки Azure AD позволяет определить пользователей, которые будут подготовлены, на основе назначения приложению и (или) атрибутов пользователя или группы. Если вы решили определить пользователей на основе назначения, выполните следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили указать, кто именно будет подготовлен, на основе одних только атрибутов пользователя или группы, можете использовать фильтр задания области, как описано здесь.

  • Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в область подготовки включены назначенные пользователи и группы, проверьте этот механизм, назначив приложению одного или двух пользователей либо одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

  • Если требуются дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в kpifire

В этом разделе описывается, как настроить службу подготовки Azure AD для создания, обновления и отключения пользователей и групп в kpifire на основе их назначений в Azure AD.

Чтобы настроить автоматическую подготовку пользователей kpifire в Azure AD, сделайте следующее:

  1. Войдите на портал Azure. Выберите Корпоративные приложения, а затем Все приложения.

    Enterprise applications blade

  2. В списке приложений выберите kpifire.

    The kpifire link in the Applications list

  3. Выберите вкладку Подготовка.

    Provisioning tab

  4. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

    Provisioning tab automatic

  5. В разделе Учетные данные администратора введите URL-адрес клиента kpifire и сведения о секретном токене. Выберите Проверить подключение, чтобы убедиться, что Azure AD может подключиться к kpifire. Если установить подключение не удалось, проверьте наличие разрешений администратора у учетной записи kpifire и повторите попытку.

    Token

  6. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки. Установите флажок Отправить уведомление по электронной почте при сбое.

    Notification Email

  7. Щелкните Сохранить.

  8. В разделе Сопоставления выберите Синхронизировать пользователей Azure Active Directory с kpifire.

  9. В разделе Сопоставление атрибутов просмотрите пользовательские атрибуты, которые синхронизируются из Azure AD в kpifire. Атрибуты, выбранные как свойства с меткой Сопоставление, используются для сопоставления учетных записей пользователей в kpifire для операций обновления. Если вы решили изменить целевой атрибут сопоставления, сначала убедитесь, что API kpifire поддерживает фильтрацию пользователей по этому атрибуту. Чтобы зафиксировать изменения, щелкните Сохранить.

    attribute Тип Поддерживается для фильтрации
    userName Строка
    active Логическое
    name.givenName Строка
    name.familyName Строка
    phoneNumbers[type eq "work"].value Строка
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Строка
  10. В разделе Сопоставления выберите Синхронизировать группы Azure Active Directory с kpifire.

  11. В разделе Сопоставления атрибутов просмотрите атрибуты групп, которые синхронизируются из Azure AD в kpifire. Атрибуты, выбранные как свойства с меткой Сопоставление, используются для сопоставления групп в kpifire при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    attribute Тип Поддерживается для фильтрации
    displayName Строка
    members Справочник
  12. Чтобы настроить фильтры области, ознакомьтесь с инструкциями, изложенными в Руководстве по фильтрации областей.

  13. Чтобы включить службу подготовки Azure AD для kpifire, в разделе Параметры измените значение параметра Состояние подготовки на Включено.

    Provisioning Status Toggled On

  14. Определите пользователей или группы для подготовки в kpifire, выбрав необходимые значения в поле Область раздела Параметры.

    Provisioning Scope

  15. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    Saving Provisioning Configuration

После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие. Пока служба подготовки Azure AD запущена, циклы выполняются примерно каждые 40 минут.

Шаг 6. Мониторинг развертывания

Завершив настройку подготовки, используйте следующие ресурсы для мониторинга развертывания:

  • Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно, а какие — неудачно.
  • Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения.
  • Если конфигурация подготовки, вероятно, находится в неработоспособном состоянии, приложение перейдет в карантин. Дополнительные сведения о состояниях карантина см. в статье Подготовка приложений в карантинном состоянии.

Дополнительные ресурсы

Дальнейшие действия