Udostępnij za pośrednictwem

Samouczek: konfigurowanie katalogu federacyjnego na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

Celem tego samouczka jest zademonstrowanie kroków, które należy wykonać w katalogu federacyjnym i identyfikatorze Entra firmy Microsoft w celu skonfigurowania identyfikatora Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników i/lub grup w katalogu federacyjnym.

Uwaga

W tym samouczku opisano łącznik oparty na usłudze aprowizacji użytkowników firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

  • Dzierżawa firmy Microsoft Entra.
  • Katalog federacyjny.
  • Konto użytkownika w katalogu federacyjnym z uprawnieniami administratora.

Przypisywanie użytkowników do katalogu federacyjnego

Identyfikator Entra firmy Microsoft używa koncepcji nazywanej przypisaniami, aby określić, którzy użytkownicy powinni otrzymywać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji użytkowników synchronizowane są tylko użytkownicy i/lub grupy przypisane do aplikacji w usłudze Microsoft Entra ID.

Przed skonfigurowaniem i włączeniem automatycznej aprowizacji użytkowników należy zdecydować, którzy użytkownicy i/lub grupy w usłudze Microsoft Entra ID potrzebują dostępu do katalogu federacyjnego. Po podjęciu decyzji możesz przypisać tych użytkowników i/lub grupy do katalogu federacyjnego, wykonując poniższe instrukcje:

Ważne porady dotyczące przypisywania użytkowników do katalogu federacyjnego

  • Zaleca się przypisanie pojedynczego użytkownika microsoft Entra do katalogu federacyjnego w celu przetestowania automatycznej konfiguracji aprowizacji użytkowników. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

  • Podczas przypisywania użytkownika do katalogu federacyjnego należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji.

Konfigurowanie katalogu federacyjnego na potrzeby aprowizacji

Przed skonfigurowaniem katalogu federacyjnego na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy włączyć aprowizację SCIM w katalogu federacyjnym.

  1. Zaloguj się do konsoli administracyjnej katalogu federacyjnego

    Zrzut ekranu przedstawiający konsolę administracyjną usługi Federated Directory z polem umożliwiającym wprowadzenie nazwy firmy. Przyciski logowania są również widoczne.

  2. Przejdź do katalogu Katalogi > i wybierz dzierżawę.

    Zrzut ekranu przedstawiający konsolę administracyjną usługi Federated Directory z wyróżnioną pozycją Katalogi i Katalog federacyjny Microsoft Entra ID Test.

  3. Aby wygenerować trwały token elementu nośnego, przejdź do pozycji Klucze > katalogu Utwórz nowy klucz.

    Zrzut ekranu przedstawiający stronę Klucze katalogu konsoli administracyjnej usługi Federated Directory. Przycisk Utwórz nowy został wyróżniony.

  4. Utwórz klucz katalogu.

    Zrzut ekranu przedstawiający stronę Tworzenie klucza katalogu konsoli administracyjnej usługi Federated Directory z polami Nazwa i Opis oraz przyciskiem Utwórz klucz.

  5. Skopiuj wartość tokenu dostępu. Ta wartość zostanie wprowadzona w polu Token tajny na karcie Aprowizacja aplikacji federacyjnej katalogu.

    Zrzut ekranu przedstawiający stronę w konsoli administracyjnej usługi Federated Directory. Symbol zastępczy tokenu dostępu i nazwa klucza, opis i wystawca są widoczne.

Aby skonfigurować katalog federacyjny na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft, należy dodać katalog federacyjny z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.

Aby dodać katalog federacyjny z galerii aplikacji Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

  3. W sekcji Dodawanie z galerii wpisz Katalog federacyjny, wybierz pozycję Katalog federacyjny w panelu wyników.

    Katalog federacyjny na liście wyników

  4. Przejdź do adresu URL wyróżnionego poniżej w osobnej przeglądarce.

    Zrzut ekranu przedstawiający stronę w witrynie Azure Portal z informacjami o katalogu federacyjnym. Wartość U R L jest wyróżniona.

  5. Kliknij pozycję ZALOGUJ.

    Zrzut ekranu przedstawiający menu główne w witrynie katalogu federacyjnego. Przycisk Zaloguj jest wyróżniony.

  6. Ponieważ katalog federacyjny to aplikacja OpenIDConnect, wybierz opcję zalogowania się do katalogu federacyjnego przy użyciu konta służbowego Microsoft.

    Zrzut ekranu przedstawiający stronę testową S C I M D w witrynie katalogu federacyjnego. Logowanie się przy użyciu konta Microsoft zostało wyróżnione.

  7. Po pomyślnym uwierzytelnieniu zaakceptuj monit o zgodę dla strony zgody. Następnie aplikacja zostanie automatycznie dodana do dzierżawy i nastąpi przekierowanie do konta usługi Federated Directory.

Konfigurowanie automatycznej aprowizacji użytkowników w katalogu federacyjnym

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w katalogu federacyjnym na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.

Aby skonfigurować automatyczną aprowizację użytkowników dla katalogu federacyjnego w usłudze Microsoft Entra ID:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>

    Blok Aplikacje dla przedsiębiorstw

  3. Na liście aplikacji wybierz pozycję Katalog federacyjny.

    Link do katalogu federacyjnego na liście aplikacji

  4. Wybierz kartę Aprowizacja.

    Zrzut ekranu przedstawiający opcje Zarządzania z wywołaną opcją Aprowizacja.

  5. Ustaw Tryb aprowizacji na Automatyczny.

    Zrzut ekranu przedstawiający listę rozwijaną Tryb aprowizacji z wywołaną opcją Automatyczna.

  6. W sekcji Poświadczenia administratora wprowadź adres https://api.federated.directory/v2/ URL dzierżawy. Wprowadź wartość pobraną i zapisaną wcześniej z katalogu federacyjnego w tokenie tajnym. Kliknij pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z katalogiem federacyjnym. Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto usługi Federated Directory ma uprawnienia administratora i spróbuj ponownie.

    Adres URL dzierżawy i token

  7. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, i zaznacz pole wyboru — Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

    Powiadomienie e-mail

  8. Kliknij przycisk Zapisz.

  9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z katalogami federacyjnymi.

  10. Przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora Entra firmy Microsoft do katalogu federacyjnego w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowywania kont użytkowników w katalogu federacyjnym na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Zrzut ekranu przedstawiający stronę Mapowania atrybutów. Tabela zawiera listę atrybutów microsoft Entra ID i Federacyjny katalog oraz stan dopasowania.

  11. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

  12. Aby włączyć usługę aprowizacji firmy Microsoft dla katalogu federacyjnego, zmień stan aprowizacji na . w sekcji Ustawienia.

    Stan aprowizacji — przełącznik w pozycji włączonej

  13. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w katalogu federacyjnym, wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia.

    Zakres aprowizacji

  14. Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.

    Zapisywanie konfiguracji aprowizacji

Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i/lub grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do raportu aktywności aprowizacji, w którym opisano wszystkie akcje wykonywane przez usługę aprowizacji Firmy Microsoft w katalogu federacyjnym.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika

Dodatkowe zasoby

Następne kroki