Aprowizacja aplikacji lokalnych firmy Microsoft w aplikacjach obsługujących protokół SCIM
Usługa aprowizacji firmy Microsoft obsługuje klienta SCIM 2.0 , który może służyć do automatycznego aprowizowania użytkowników w aplikacjach w chmurze lub lokalnych. W tym artykule opisano sposób użycia usługi aprowizacji firmy Microsoft do aprowizacji użytkowników w aplikacji lokalnej z włączoną usługą SCIM. Jeśli chcesz aprowizować użytkowników w aplikacjach lokalnych innych niż SCIM, które używają języka SQL jako magazynu danych, zobacz samouczek Dotyczący ogólnego łącznika SQL łącznika ECMA firmy Microsoft. Jeśli chcesz aprowizować użytkowników w aplikacjach w chmurze, takich jak DropBox i Atlassian, zapoznaj się z samouczkami specyficznymi dla aplikacji.
Wymagania wstępne
- Dzierżawa firmy Microsoft Entra z identyfikatorem Microsoft Entra ID P1 lub Premium P2 (lub EMS E3 lub E5). Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
- Rola administratora do instalowania agenta. To zadanie jest jednorazowym zadaniem i powinno być kontem platformy Azure, które jest co najmniej administratorem tożsamości hybrydowej.
- Administratorzy muszą być co najmniej administratorem aplikacji, administratorem aplikacji w chmurze lub rolą niestandardową z uprawnieniami.
- Komputer z co najmniej 3 GB pamięci RAM do hostowania agenta aprowizacji. Komputer powinien mieć system Windows Server 2016 lub nowszą wersję systemu Windows Server z łącznością z aplikacją docelową oraz łączność wychodzącą z login.microsoftonline.com, innymi usługami Microsoft Online Services i domenami platformy Azure. Przykładem jest maszyna wirtualna z systemem Windows Server 2016 hostowana w usłudze Azure IaaS lub za serwerem proxy.
- Upewnij się, że implementacja SCIM spełnia wymagania microsoft Entra SCIM. Identyfikator Entra firmy Microsoft oferuje kod referencyjny typu open source, którego deweloperzy mogą używać do uruchamiania implementacji SCIM, zgodnie z opisem w artykule Samouczek: tworzenie przykładowego punktu końcowego SCIM w usłudze Microsoft Entra ID.
- Obsługa punktu końcowego /schemas w celu zmniejszenia konfiguracji wymaganej w witrynie Azure Portal.
Instalowanie i konfigurowanie agenta aprowizacji programu Microsoft Entra Connect
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
- Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
- Wyszukaj lokalną aplikację SCIM , nadaj aplikacji nazwę i wybierz pozycję Utwórz , aby dodać ją do dzierżawy.
- Z menu przejdź do strony Aprowizowanie aplikacji.
- Wybierz Rozpocznij.
- Na stronie Aprowizowanie zmień tryb na Automatyczny.
- W obszarze Łączność lokalna wybierz pozycję Pobierz i zainstaluj, a następnie wybierz pozycję Akceptuj warunki i pobierz.
- Pozostaw portal i otwórz instalatora agenta aprowizacji, zaakceptuj warunki świadczenia usługi, a następnie wybierz pozycję Zainstaluj.
- Poczekaj na kreatora konfiguracji agenta aprowizacji firmy Microsoft, a następnie wybierz przycisk Dalej.
- W kroku Wybierz rozszerzenie wybierz pozycję Aprowizowanie aplikacji lokalnych, a następnie wybierz pozycję Dalej.
- Agent aprowizacji używa przeglądarki internetowej systemu operacyjnego do wyświetlenia okna wyskakującego, aby się uwierzytelnić w Microsoft Entra ID, a potencjalnie także u dostawcy tożsamości organizacji. Jeśli używasz programu Internet Explorer jako przeglądarki w systemie Windows Server, może być konieczne dodanie witryn internetowych firmy Microsoft do listy zaufanych witryn przeglądarki, aby umożliwić poprawne uruchamianie języka JavaScript.
- Po wyświetleniu monitu o autoryzację podaj poświadczenia administratora firmy Microsoft Entra. Użytkownik musi mieć co najmniej rolę administratora tożsamości hybrydowej.
- Wybierz pozycję Potwierdź , aby potwierdzić ustawienie. Po pomyślnym zakończeniu instalacji możesz wybrać pozycję Zakończ, a także zamknąć instalatora pakietu agenta aprowizacji.
Konfigurowanie połączenia za pośrednictwem agenta aprowizacji
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
Wyszukaj utworzoną wcześniej aplikację.
Z menu przejdź do strony Aprowizowanie aplikacji.
W portalu w sekcji Łączność lokalna wybierz wdrożonego agenta i wybierz pozycję Przypisz agentów.
Uruchom ponownie usługę agenta aprowizacji lub poczekaj 10 minut przed rozpoczęciem testowania połączenia.
W polu Adres URL dzierżawy wprowadź adres URL punktu końcowego SCIM aplikacji. Przykład:
https://api.contoso.com/scim/
Skopiuj wymagany token elementu nośnego OAuth dla punktu końcowego SCIM do pola Token tajny.
Wybierz pozycję Testuj połączenie , aby identyfikator Entra firmy Microsoft próbował nawiązać połączenie z punktem końcowym SCIM. Jeśli próba nie powiedzie się, zostaną wyświetlone informacje o błędzie.
Gdy próba nawiązania połączenia z aplikacją zakończy się pomyślnie, wybierz pozycję Zapisz , aby zapisać poświadczenia administratora.
Pozostaw to okno przeglądarki otwarte po zakończeniu następnego kroku konfiguracji przy użyciu kreatora konfiguracji.
Inicjowanie obsługi administracyjnej aplikacji obsługującej protokół SCIM
Po zainstalowaniu agenta nie jest wymagana żadna dalsza konfiguracja lokalna, a wszystkie konfiguracje aprowizacji są następnie zarządzane z poziomu portalu. Powtórz poniższe kroki dla każdej aplikacji lokalnej aprowizowanej za pośrednictwem protokołu SCIM.
- Skonfiguruj wszystkie mapowania atrybutów lub reguły określania zakresu wymagane dla aplikacji.
- Dodaj użytkowników do zakresu, przypisując użytkowników i grupy do aplikacji.
- Przetestuj aprowizację kilku użytkowników na żądanie.
- Dodaj więcej użytkowników do zakresu, przypisując ich do aplikacji.
- Przejdź do okienka Aprowizacja i wybierz pozycję Rozpocznij aprowizację.
- Monitorowanie przy użyciu dzienników aprowizacji.
Poniższy film wideo zawiera omówienie aprowizacji lokalnej.