Настройка Klaxoon SAML для автоматической подготовки пользователей

В этом руководстве описаны шаги, которые необходимо выполнить как в Klaxoon SAML, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей и групп для Klaxoon SAML с помощью службы подготовки Microsoft Entra. Для получения важной информации о том, что эта служба делает, как она работает, и ответы на часто задаваемые вопросы, см. статью "Автоматизация предоставления и отзыва доступа к SaaS-приложениям с помощью Microsoft Entra ID".

Поддерживаемые возможности

• Создание пользователей в Klaxoon.
• Отключите пользователей в Klaxoon, если они больше не требуют доступа.
• Поддерживайте синхронизированными атрибуты пользователей между идентификатором Microsoft Entra и Klaxoon.
• Предоставление лицензий пользователям в Klaxoon на основе групп Microsoft Entra.
• Одноразовая аутентификация в Klaxoon с помощью SAML (рекомендуется).

Необходимые условия

В сценарии, описанном в этом руководстве, предполагается, что у вас уже есть следующие предварительные требования:

• клиент Microsoft Entra.
• Одна из следующих ролей: администратора приложений, администратора облачных приложенийили владельца приложения.
• Контракт Klaxoon уже существует.

Шаг 1. Планирование развертывания снабжения

1. Узнайте о том, как работает служба настройки.
2. Определите, кто будет находиться в области для обеспечения.
3. Определите, какие данные сопоставлять между идентификатором Microsoft Entra и Klaxoon SAML.

Шаг 2. Настройка Klaxoon SAML для поддержки автоматического предоставления с помощью Microsoft Entra ID

• Обратитесь Klaxoon, чтобы получить уникальный URL-адрес арендатора и секретный токен.

Шаг 3. Добавление Klaxoon SAML из коллекции приложений Microsoft Entra

Добавьте Klaxoon SAML из коллекции приложений Microsoft Entra, чтобы начать управление доступом к Klaxoon. Если вы ранее настроили Klaxoon SAML для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте подробнее о добавлении приложения из галереи здесь.

Шаг 4. Определите, кто будет включен в процесс обеспечения ресурсами

Служба подготовки Microsoft Entra позволяет определить, кто будет подготовлен на основе назначения приложению и на основе атрибутов пользователя или группы. Если вы выберете, кого назначить в ваше приложение на основе назначения, вы можете использовать следующие шаги, чтобы назначить пользователей и группы этому приложению. Если вы выберете область охвата, которая будет определена только на основе атрибутов пользователя или группы, можно использовать фильтр области, как описано здесь.

• Начните с малого. Протестируйте с небольшим набором пользователей и групп перед развертыванием для всех пользователей. Если диапазон применения задан для назначения пользователей и групп, вы можете управлять этим, назначив приложению одного или двух пользователей или групп. Если область задана для всех пользователей и групп, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения для добавления новых ролей.

Шаг 5. Настройка автоматической подготовки пользователей в Klaxoon

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Klaxoon SAML на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическое предоставление пользователей для Klaxoon SAML в Microsoft Entra ID:

1. Войдите в Центр администрирования Microsoft Entra с правами не ниже администратора облачных приложений.

2. Перейдите к приложениям>идентификация>корпоративные приложения

   модуль корпоративных приложений

3. В списке приложений выберите Klaxoon SAML.

   

4. Перейдите на вкладку настройки.

   

5. Установите для режима конфигурации значение на Автоматически.

   

6. В разделе Учетные данные администратора введите URL-адрес арендатора Klaxoon и секретный токен, предоставленный Klaxoon. Щелкните Тест подключения, чтобы убедиться, что Microsoft Entra ID может подключиться к Klaxoon. Если подключение завершается ошибкой, обратитесь к Klaxoon, чтобы проверить настройку учетной записи.

   

7. В поле уведомления по электронной почте введите адрес электронной почты человека или группы, которые должны получать уведомления об ошибках предоставления, и установите флажок Отправить уведомление по электронной почте в случае сбоя.

   

8. Выберите Сохранить.

9. В разделе Сопоставления выберите Синхронизировать пользователей Microsoft Entra с Klaxoon SAML.

10. Просмотрите атрибуты пользователя, которые синхронизируются из Microsoft Entra ID в Klaxoon, в разделе Сопоставление атрибутов. Атрибуты, выбранные как свойства сопоставления, используются для сопоставления учетных записей пользователей в Klaxoon для операций обновления. Если вы решите изменить целевой атрибут , соответствующий, необходимо убедиться, что API Klaxoon поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать любые изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Обязательный клаксон
    userName	Струна	✓	✓
    emails[type eq "work"].value	Струна	✓	✓
    externalId	Струна		✓
    имя.личноеИмя	Струна		✓
    имя.фамилия	Струна		✓
    активный	Булев		✓

11. В разделе Сопоставления выберите Синхронизировать группы Microsoft Entra с Klaxoon SAML.

12. Просмотрите атрибуты группы, синхронизированные из Microsoft Entra ID в Klaxoon, в разделе «Сопоставление атрибутов». Выбранные атрибуты как свойства сопоставления используются для сопоставления групп в Klaxoon для операций обновления. Нажмите кнопку Сохранить, чтобы применить изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Обязательный клаксон
    отображаемое имя	Струна	✓	✓
    externalId	Струна		✓
    члены	Ссылка
    urn:ietf:params:scim:schemas:extension:klaxoon:2.0:Group:license	Струна

13. Определите атрибут urn:ietf:params:scim:schemas:extension:klaxoon:2.0:Group:license для предоставления лицензий Klaxoon PRO пользователям, связанным с группой.

    Ценность	Группа с лицензией Klaxoon PRO
    истинный	✓
    ложный	Нет
    не указано (значение по умолчанию)	✓

14. Чтобы настроить фильтры области, ознакомьтесь с инструкциями, приведенными в руководстве по фильтру области .

15. Чтобы включить службу подготовки Microsoft Entra для Klaxoon SAML, измените состояние состояние подготовки на On в разделе "Параметры ".

    

16. Определите пользователей и/или группы, которым вы хотите предоставить доступ к SAML Klaxoon, выбрав нужные значения в разделе Scope в разделе Settings.

    

17. Когда вы будете готовы к развертыванию, нажмите Сохранить.

    

Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в области Scope в разделе "Настройки ". Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, пока работает служба подготовки Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

• Используйте журналы подготовки , чтобы определить, какие пользователи были подготовлены успешно или неудачно.
• Проверьте индикатор выполнения, чтобы просмотреть состояние цикла подготовки и насколько он близок к завершению.
• Если конфигурация предоставления кажется непригодной, приложение перейдет в карантин. Узнайте больше о состояниях карантина здесь .

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложениям и единый вход с помощью идентификатора Microsoft Entra?

Связанное содержимое

• Узнайте, как просматривать журналы и а также получать отчеты об активности управления ресурсами