Руководство. Настройка Klaxoon SAML для автоматической подготовки пользователей

В этом руководстве описаны шаги, которые необходимо выполнить как в Klaxoon SAML, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra id автоматически подготавливает и отменяет подготовку пользователей и групп в Klaxoon SAML с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Поддерживаемые возможности

• Создание пользователей в Klaxoon.
• Отключение пользователей в Klaxoon, когда им больше не нужен доступ.
• Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Klaxoon.
• Предоставление лицензий пользователям в Klaxoon на основе групп Microsoft Entra.
• Единый вход в Klaxoon с использованием SAML (рекомендуется).

Необходимые компоненты

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

• Клиент Microsoft Entra.
• Одна из следующих ролей: Application Администратор istrator, Cloud Application Администратор istrator или Владелец приложения.
• Существующий контракт Klaxoon.

Шаг 1. Планирование развертывания подготовки

1. Узнайте, как работает служба подготовки.
2. Определите, кто будет находиться в области подготовки.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Klaxoon SAML.

Шаг 2. Настройка Klaxoon SAML для поддержки подготовки с помощью идентификатора Microsoft Entra

• Обратитесь в группу поддержки Klaxoon, чтобы получить URL-адрес арендатора и токен секрета.

Шаг 3. Добавление Klaxoon SAML из коллекции приложений Microsoft Entra

Добавьте Klaxoon SAML из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Klaxoon. Если вы ранее настроили Klaxoon SAML для единого входа, можете использовать то же приложение. Но мы рекомендуем создать отдельное приложение для исходной проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение того, кто будет находиться в область для подготовки

Служба подготовки Microsoft Entra позволяет область, которые будут подготовлены на основе назначения приложению и на основе атрибутов пользователя или группы. Если вы решили указать, кто именно будет подготовлен к работе в приложении, на основе назначения, можно выполнить следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили определить пользователей только на основе атрибутов пользователя или группы, примените фильтр области, как описано здесь.

• Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в область подготовки включены назначенные пользователи и группы, проверьте этот механизм, назначив приложению одного или двух пользователей либо одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если требуются дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Klaxoon

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Klaxoon SAML на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для Klaxoon SAML в идентификаторе Microsoft Entra ID:

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Обзор корпоративных приложений>удостоверений>

   

3. В списке приложений выберите Klaxoon SAML.

   

4. Выберите вкладку Подготовка.

   

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

   

6. В разделе Учетные данные администратора введите URL-адрес арендатора и токен секрета для приложения Klaxoon, предоставленные группой поддержки Klaxoon. Нажмите кнопку Test Подключение ion, чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Klaxoon. В случае сбоя подключения обратитесь в группу поддержки Klaxoon, чтобы проверить настройку учетной записи.

   

7. В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.

   

8. Выберите Сохранить.

9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Klaxoon SAML.

10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Klaxoon в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства в разделе Соответствие, используются для сопоставления учетных записей пользователей в Klaxoon для операций обновления. Если вы решили изменить соответствующий целевой атрибут, потребуется убедиться, что API Klaxoon поддерживает фильтрацию пользователей по этому атрибуту. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется для Klaxoon
    userName	Строка	✓	✓
    emails[type eq "work"].value	Строка	✓	✓
    externalId	Строка		✓
    name.givenName	Строка		✓
    name.familyName	Строка		✓
    active	Логический		✓

11. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Klaxoon SAML.

12. Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с Klaxoon в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства с меткой Соответствие, используются для сопоставления групп в Klaxoon при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется для Klaxoon
    displayName	Строка	✓	✓
    externalId	Строка		✓
    members	Справочные материалы
    urn:ietf:params:scim:schemas:extension:klaxoon:2.0:Group:license	Строка

13. Определите атрибут urn:ietf:params:scim:schemas:extension:klaxoon:2.0:Group:license, чтобы предоставить лицензии Klaxoon PRO пользователям, связанным с группой.

    Значение	Группа с лицензией Klaxoon PRO
    true	✓
    false	No
    Не указано (значение по умолчанию)	✓

14. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

15. Чтобы включить службу подготовки Microsoft Entra для Klaxoon SAML, измените состояние подготовки на On в разделе Параметры.

    

16. Определите пользователей и (или) группы для подготовки в Klaxoon SAML, выбрав нужные значения в поле Область в разделе Параметры.

    

17. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    

После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания.

• Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
• Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения.
• Если конфигурация подготовки, вероятно, находится в неработоспособном состоянии, приложение перейдет в карантин. Дополнительные сведения о режимах карантина см. здесь.

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Следующие шаги

• Сведения о просмотре журналов и получении отчетов о действиях по подготовке