Руководство. Настройка автоматической подготовки пользователей в MURAL Identity

В этом руководстве описаны действия, которые необходимо выполнить как в идентификаторе MURAL, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra id автоматически подготавливает и отменяет подготовку пользователей и групп в MURAL Identity с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Поддерживаемые возможности

• Создание пользователей в MURAL Identity
• Удалите пользователей в удостоверении MURAL, если они больше не требуют доступа.
• Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и удостоверением MURAL
• Подготовка групп и членства в группах в MURAL Identity.
• Единый вход в MURAL Identity (рекомендуется).

Необходимые компоненты

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

• Клиент Microsoft Entra.
• Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
• Подготовка SCIM доступна только для плана Enterprise MURAL. Перед настройкой подготовки SCIM обратитесь к члену команды по работе с клиентами MURAL, чтобы включить эту функцию.
• Перед настройкой автоматической подготовки необходимо правильно настроить единый вход на основе SAML. Инструкции по настройке единого входа с помощью идентификатора Microsoft Entra для MURAL см . здесь.

Шаг 1. Планирование развертывания подготовки

1. Узнайте, как работает служба подготовки.
2. Определите, кто будет находиться в области подготовки.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и удостоверением MURAL.

Шаг 2. Настройка удостоверения MURAL для поддержки подготовки с помощью идентификатора Microsoft Entra

Выполните эти действия, чтобы получить URL-адрес SCIM и уникальный токен API со страницы "Ключи API" на панели мониторинга компании MURAL. Используйте этот ключ в поле "Секретный токен" на шаге 5.

Шаг 3. Добавление удостоверения MURAL из коллекции приложений Microsoft Entra

Добавьте MURAL Identity из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в MURAL Identity. Если вы ранее настроили MURAL Identity для единого входа, можете использовать то же приложение. Но мы рекомендуем создать отдельное приложение для исходной проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение того, кто будет находиться в области подготовки

Служба подготовки Microsoft Entra позволяет определить, кто будет подготовлен на основе назначения приложению и на основе атрибутов пользователя или группы. Если вы решили указать, кто именно будет подготовлен к работе в приложении, на основе назначения, можно выполнить следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили определить пользователей только на основе атрибутов пользователя или группы, примените фильтр области, как описано здесь.

• Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в область подготовки включены назначенные пользователи и группы, проверьте этот механизм, назначив приложению одного или двух пользователей либо одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если требуются дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в удостоверение MURAL

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в MURAL Identity на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для удостоверения MURAL в идентификаторе Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Обзор корпоративных приложений>удостоверений>

   

3. В списке приложений выберите пункт MURAL Identity.

   

4. Выберите вкладку Подготовка.

   

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

   

6. В разделе Учетные данные администратора укажите URL-адрес клиента и секретный токен MURAL Identity. Нажмите кнопку "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к удостоверению MURAL. Если установить подключение не удалось, убедитесь, что в учетной записи MURAL Identity есть разрешения администратора, и повторите попытку.

   

7. В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.

   

8. Выберите Сохранить.

9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с удостоверением MURAL.

10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra и MURAL Identity в разделе "Сопоставление атрибутов". Атрибуты, выбранные как соответствующие свойства, используются для сопоставления учетных записей пользователей в MURAL Identity при операциях обновления. Если вы решили изменить соответствующий целевой атрибут, потребуется убедиться, что API MURAL Identity поддерживает фильтрацию пользователей по этому атрибуту. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется удостоверением MURAL
    userName	Строка	✓	✓
    emails[type eq "work"].value	Строка		✓
    active	Логический
    name.givenName	Строка
    name.familyName	Строка
    externalId	Строка

11. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с MURAL Identity.

12. Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с MURAL Identity в разделе "Сопоставление атрибутов". Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления групп в MURAL Identity для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется удостоверением MURAL
    displayName	Строка	✓	✓
    members	Справочные материалы
    externalId	Строка

13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

14. Чтобы включить службу подготовки Microsoft Entra для удостоверения MURAL, измените состояние подготовки на "Включено " в разделе "Параметры ".

    

15. Определите пользователей и (или) группы для подготовки в MURAL Identity, выбрав нужные значения в поле Область в разделе Параметры.

    

16. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    

После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания.

• Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
• Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения.
• Если конфигурация подготовки, вероятно, находится в неработоспособном состоянии, приложение перейдет в карантин. Дополнительные сведения о режимах карантина см. здесь.

Советы по устранению неполадок

• При подготовке пользователя следует помнить, что в MURAL номера в полях имен (то есть givenName или familyName) не поддерживаются.
• При фильтрации по userName в конечной точке GET убедитесь, что адрес электронной почты указан только строчными буквами, в противном случае будет получен пустой результат. Это связано с тем, что во время подготовки учетных записей мы преобразуем адреса электронной почты в нижний регистр.
• При отмене подготовки конечного пользователя (присвоение атрибуту active значения false) он будет обратимо удален и потеряет доступ ко всем своим рабочим областям. Если позднее этот конечный пользователь, подготовка которого была отменена, активируется повторно (присвоение атрибуту active значения true), у пользователя не будет доступа к рабочим областям, к которым он ранее относился. Конечный пользователь увидит сообщение об ошибке "You’ve been deactivated from this workspace" (Вас деактивировали для этой рабочей области) и сможет запросить повторную активацию, которую должен утвердить администратор рабочей области.
• Если у вас возникли другие проблемы, обратитесь к группе поддержки MURAL Identity.

Журнал изменений

06.22.2023 — добавлена поддержка подготовки групп.

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Следующие шаги

• Сведения о просмотре журналов и получении отчетов о действиях по подготовке