Samouczek: konfigurowanie aplikacji M-Files na potrzeby automatycznej aprowizacji użytkowników

W tym samouczku opisano kroki, które należy wykonać zarówno w plikach M-Files, jak i identyfikatorze Entra firmy Microsoft, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje i anuluje aprowizację użytkowników i grup w usłudze M-Files przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane możliwości

• Tworzenie użytkowników w plikach M-Files.
• Usuń użytkowników w usłudze M-Files, gdy nie będą już wymagać dostępu.
• Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i plikami M-Files.
• Aprowizuj grupy i członkostwa w grupach w plikach M-Files.
• Logowanie jednokrotne do aplikacji M-Files (zalecane).

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

• Dzierżawa firmy Microsoft Entra
• Jedną z następujących ról: Administracja istrator aplikacji, Administracja istrator aplikacji w chmurze lub właściciel aplikacji.
• Subskrypcja chmury M-Files (chmura klasyczna nie jest obsługiwana).
• Konto użytkownika w usłudze M-Files z dostępem administratora subskrypcji lub administratora dostępu do zarządzania plikami M-Files.

Krok 1. Planowanie wdrożenia aprowizacji

1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
2. Określ, kto znajdzie się w zakresie aprowizacji.
3. Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i plikami M-Files.
4. Niezbędne mapowania są wstępnie zdefiniowane, ale można mapować dwa dodatkowe pola danych na M-Files.

Krok 2. Konfigurowanie funkcji M-Files w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

Przed skonfigurowaniem aprowizacji użytkowników w usłudze M-Files upewnij się, że wszystkie magazyny w subskrypcji mają wyłączoną synchronizację użytkowników w usłudze M-Files Administracja.

Jeśli wcześniej skonfigurowano aprowizację użytkowników w usłudze M-Files Manage przy użyciu własnej aplikacji Entra ID, nie można zmienić konfiguracji tak, aby korzystała z aplikacji M-Files z galerii aplikacji Microsoft Entra. Jeśli zamiast tego chcesz użyć aplikacji M-Files, usuń istniejącą konfigurację z obszaru Zarządzanie plikami M-Files i wyłącz lub usuń powiązaną aplikację Entra ID. Następnie postępuj zgodnie z tymi instrukcjami, aby utworzyć nową konfigurację.

1. Zaloguj się do aplikacji M-Files Manage pod adresem https://manage.m-files.com.
2. W obszarze nawigacji po lewej stronie kliknij pozycję Aprowizowanie.
3. Przejdź do karty Konfiguracja .
4. W obszarze Tworzenie konfiguracji aprowizacji użytkowników kliknij pozycję Aplikacja z galerii usługi Azure AD.
5. Wprowadź niezbędne informacje.
   • W polu Nazwa konfiguracji wprowadź unikatową nazwę konfiguracji.
   • Wybierz pozycję Domyślny typ licencji dla aprowizowanych użytkowników. Wszyscy aprowizowani użytkownicy najpierw uzyskają tę licencję. Typ licencji grupy użytkowników można zmienić na wyższy po aprowizacji grup użytkowników. Jeśli w subskrypcji nie ma wystarczającej liczby dostępnych licencji typu licencji domyślnej, wszyscy użytkownicy nie otrzymują licencji.
6. Kliknij ikonę kopiowania ( ) dla każdego elementu danych utworzonego przez narzędzie M-Files Manage i zanotuj wartości.

Uwaga

Wpis tajny klienta nie jest wyświetlany nigdzie indziej podczas zamykania okna dialogowego.

Krok 3. Dodawanie plików M-Files z galerii aplikacji Microsoft Entra

Dodaj aplikację M-Files z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze M-Files. Jeśli wcześniej skonfigurowano aplikację M-Files na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zaleca się jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

• Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. Jeśli zakres aprowizacji jest ustawiony na przypisanych użytkowników i grupy, możesz to kontrolować, przypisując jednego lub dwóch użytkowników lub grup do aplikacji. Gdy zakres jest ustawiony na wszystkich użytkowników i grupy, można określić filtr określania zakresu na podstawie atrybutów.

• Jeśli potrzebujesz więcej ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze M-Files

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze TestApp na podstawie przypisań użytkowników i/lub grup w identyfikatorze Entra firmy Microsoft.

Aby skonfigurować automatyczną aprowizację użytkowników dla aplikacji M-Files w usłudze Microsoft Entra ID:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

   

3. Na liście aplikacji wybierz pozycję M-Files.

   

4. Wybierz kartę Aprowizacja.

   

5. Ustaw Tryb aprowizacji na Automatyczny.

   

6. W sekcji Administracja Credentials (Poświadczenia) wprowadź adres URL dzierżawy usługi M-Files, punkt końcowy tokenu, identyfikator klienta i klucz tajny klienta. Kliknij pozycję Test Połączenie ion, aby upewnić się, że identyfikator entra firmy Microsoft może nawiązać połączenie z aplikacją M-Files. Jeśli połączenie nie powiedzie się, upewnij się, że wprowadzone wartości są poprawne i spróbuj ponownie.

   

7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

8. Wybierz pozycję Zapisz.

9. Opcjonalnie: Jeśli chcesz zsynchronizować dodatkowe informacje o użytkowniku, możesz zdefiniować dwa dodatkowe pola, które mają być synchronizowane z usługą M-Files Manage. Informacje są wyświetlane w sekcji Dodatkowe informacje 1 i Dodatkowe informacje 2 na stronie Informacje o użytkowniku.

   1. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft z plikami M-Files.
   2. W sekcji Mapowanie atrybutów kliknij pozycję Dodaj nowe mapowanie.
   3. Użyj następujących wartości:
      • Typ mapowania: Bezpośredni
      • Atrybut źródłowy: wprowadź atrybut Entra ID
      • Atrybut docelowy: Wybierz urn:ietf:params:scim:schemas:extension:info:2.0:User:info1 lub urn:ietf:params:scim:schemas:extension:info:2.0:User:info2
      • Dopasuj obiekty przy użyciu tego atrybutu: Nie
      • Zastosuj to mapowanie: Zawsze
   4. Kliknij przycisk OK.
   5. Opcjonalnie: aby zsynchronizować dwa dodatkowe pola danych do zarządzania plikami M, dodaj drugie mapowanie z innym dostępnym atrybutem docelowym.

Uwaga

Nie zaleca się wprowadzania zmian w domyślnych mapowaniach atrybutów.

1. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

2. Aby włączyć usługę aprowizacji firmy Microsoft dla plików M-Files, zmień stan aprowizacji na Wł. w sekcji Ustawienia.

   

3. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze M-Files, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

   

4. Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.

   

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

• Użyj dzienników aprowizacji, aby określić, którzy użytkownicy zostali pomyślnie aprowizowani lub nie powiodły się.
• Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i sposób jego zakończenia.
• Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Więcej zasobów

• Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw.
• Co to jest dostęp do aplikacji i logowanie jednokrotne w usłudze Microsoft Entra ID?.

Następne kroki

• Po zakończeniu aprowizacji użytkowników utwórz łącza między aprowizowaną grupą użytkowników i grupami użytkowników M-Files w usłudze M-Files Manage. Aby uzyskać instrukcje, zobacz M-Files Manage — Podręcznik użytkownika.
• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji.