从 Microsoft Entra 本地应用程序预配到已启用 SCIM 的应用

  • 项目

Microsoft Entra 预配服务支持 SCIM 2.0 客户端,可通过它将用户自动预配到云或本地应用程序。 本文概述如何使用 Microsoft Entra 预配服务将用户预配到已启用 SCIM 的本地应用程序中。 如果要将用户预配到使用 SQL 作为数据存储的非 SCIM 本地应用程序,请参阅 Microsoft Entra ECMA 连接器主机通用 SQL 连接器教程。 如果想将用户预配到 DropBox 和 Atlassian 等云应用中,请参阅应用特定的教程

Diagram that shows SCIM architecture.

先决条件

  • 使用 Microsoft Entra ID P1 或 Premium P2(或者 EMS E3 或 E5)的 Microsoft Entra 租户。 使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能
  • 可安装代理的管理员角色。 此任务执行一次,并且应该是一个为混合标识管理员或全局管理员的 Azure 帐户。
  • 可在云中配置应用程序的管理员角色(应用程序管理员、云应用程序管理员、全局管理员或具有权限的自定义角色)。
  • 具有至少 3 GB RAM 的计算机,用于托管预配代理。 该计算机应具有 Windows Server 2016 或更高版本的 Windows Server,可以连接到目标应用程序,并且可以出站连接到 login.microsoftonline.com、其他 Microsoft Online Services 和 Azure 域。 例如,托管在 Azure IaaS 或代理后面的 Windows Server 2016 虚拟机。
  • 确保你的 SCIM 实现符合 Microsoft Entra SCIM 要求。 Microsoft Entra ID 提供开源参考代码,供开发人员用来启动他们的 SCIM 实现,如教程:在 Microsoft Entra ID 中开发示例 SCIM 终结点中所述。
  • 支持 /schemas 终结点,以减少 Azure 门户中所需的配置。

安装并配置 Microsoft Entra Connect 预配代理

  1. 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”。
  3. 搜索“本地 SCIM 应用”应用程序,为该应用命名,然后选择“创建”以将其添加到租户。
  4. 在菜单中导航到应用程序的“预配”页。
  5. 选择“开始”。
  6. 在“预配”页上,将模式更改为“自动”。

Screenshot of selecting Automatic.

  1. 在“本地连接”下,选择“下载并安装”,然后选择“接受条款并下载”

Screenshot of download location for agent.

  1. 离开门户,打开预配代理安装程序,同意服务条款,然后选择“安装”。
  2. 等待 Microsoft Entra 预配代理配置向导,然后选择“下一步”。
  3. 在“选择扩展”步骤中,选择“本地应用程序预配”,然后选择“下一步”。
  4. 预配代理将使用操作系统的 Web 浏览器显示一个弹出窗口,供你向 Microsoft Entra ID 进行身份验证,还可能向组织的标识提供者进行身份验证。 如果使用 Internet Explorer 作为 Windows Server 上的浏览器,那么可能需要将 Microsoft 网站添加到浏览器的受信任站点列表中,以允许 JavaScript 正常运行。
  5. 当系统提示你授权时,请提供 Microsoft Entra 管理员的凭据。 用户需要具有混合标识管理员角色或全局管理员角色。
  6. 选择“确认”以确认设置。 安装成功后,可以选择“退出”,并关闭“预配代理包”安装程序。

通过预配代理配置连接

  1. 至少以应用程序管理员身份登录 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”。

  3. 搜索之前创建的应用程序。

  4. 在菜单中导航到应用程序的“预配”页。

  5. 在门户中,在“本地连接”部分,选择已部署的代理,然后单击“分配代理”。

    Screenshot that shows how to select and assign an agent.

  6. 重启预配代理服务,或在测试连接前等待 10 分钟。

  7. 在“租户 URL”字段中,输入应用程序的 SCIM 终结点的 URL。 示例: https://api.contoso.com/scim/

  8. 将 SCIM 终结点所需的 OAuth 持有者令牌复制到“机密令牌”字段中。

  9. 选择“测试连接”,使 Microsoft Entra ID 尝试连接到 SCIM 终结点。 如果尝试失败,则显示错误信息。

  10. 如果尝试连接应用程序成功,则选择“保存”以保存管理员凭据。

  11. 在使用配置向导完成下一步配置时,请保持此浏览器窗口为打开状态。

预配到已启用 SCIM 的应用程序

安装代理后,无需在本地进行进一步配置,所有预配配置都可通过门户进行管理。 对通过 SCIM 预配的每个本地应用程序重复以下步骤。

  1. 配置应用程序所需的任何属性映射范围规则。
  2. 通过向应用程序分配用户和组将用户添加到范围。
  3. 按需测试预配几名用户。
  4. 将更多用户分配到应用程序以将他们添加到范围中。
  5. 转到“预配”窗格并选择“开始预配” 。
  6. 使用预配日志进行监视。

以下视频概述了本地预配。

后续步骤