配置 API 驱动的入站预配应用

简介

本教程介绍如何配置 API 驱动的入站用户预配。

只有在配置以下企业库应用时，此功能才可用：

• API 驱动的入站用户预配到 Microsoft Entra ID
• API 驱动的到本地 AD 的入站用户预配

先决条件

若要完成本教程中的步骤，需要使用以下角色访问 Microsoft Entra 管理中心：

• 应用程序管理员（若要配置到 Microsoft Entra ID 的入站用户预配），或者
• 应用程序管理员 + 混合标识管理员（若要配置到本地 Active Directory 的入站用户预配）

如果要配置到本地 Active Directory 的入站用户预配，需要访问 Windows Server，可在其中安装预配代理来连接到 Active Directory 域控制器。

创建 API 驱动的预配应用

1. 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“应用程序”>“企业应用程序”。

3. 单击“新建应用程序”，创建新的预配应用程序。

4. 在搜索字段中输入“API 驱动”，然后选择适合你的设置的应用程序：

   • 向本地 Active Directory 进行 API 驱动的预配：如果要从记录系统预配混合标识（需要本地 AD 和 Microsoft Entra 帐户的标识），请选择此应用。 在本地 AD 中预配这些帐户后，它们会自动使用 Microsoft Entra Connect Sync 或 Microsoft Entra Connect 云同步同步同步到 Microsoft Entra 租户。
   • 向 Microsoft Entra ID 进行 API 驱动的预配：如果要从记录系统预配仅限云的标识（不需要本地 AD 帐户，而只需要 Microsoft Entra 帐户的标识），请选择此应用。

   

5. 在“名称”字段中，重命名应用程序以满足命名要求，然后单击“创建”。

   

   注意

   如果计划从多个源引入数据，而每个源都有自己的同步规则，你可以创建多个应用，并为每个应用提供描述性名称，例如 Provision-Employees-From-CSV-to-AD 或 Provision-Contractors-From-SQL-to-AD。

6. 成功创建应用程序后，转到“预配”边栏选项卡，然后单击“开始”。

7. 将预配模式从“手动”切换为“自动”。

根据你选择的应用，使用以下部分之一来完成设置：

• 配置 API 驱动的到本地 AD 的入站预配
• 配置 API 驱动的入站预配到 Microsoft Entra ID

配置 API 驱动的到本地 AD 的入站预配

1. 将预配模式设置为“自动”后，然后单击“保存”，创建预配作业的初始配置。
2. 单击有关 Microsoft Entra 预配代理的信息横幅。
3. 单击“接受条款并下载”，下载 Microsoft Entra 预配代理。
4. 请查看此处记录的步骤来安装和配置预配代理。 此步骤将本地 Active Directory 域注册到 Microsoft Entra 租户。
5. 成功注册代理后，在“Active Directory 域”下拉列表中选择你的域，并指定在其中默认创建新用户帐户的 OU 的可分辨名称。

   注意

   如果你的 AD 域在“Active Directory 域”下拉列表中不可见，请在浏览器中重新加载预配应用。 单击“查看域的本地代理”，确保代理状态为“正常”。

6. 单击“测试连接”，确保 Microsoft Entra ID 可连接到预配代理。
7. 单击“保存”，保存所做的更改。
8. 保存操作成功后，你将另外看到两个扩展面板 - 一个用于“映射”，另一个用于“设置”。 在继续下一步之前，请提供有效的通知电子邮件 ID 并再次保存配置。

   注意

   必须在“设置”中提供通知电子邮件地址。 如果通知电子邮件地址留空，那么在开始执行时，预配将进入隔离状态。

9. 单击“映射”扩展面板中的超链接以查看默认属性映射。

   注意

   “属性映射”页中的默认配置将 SCIM 核心用户和企业用户属性映射到本地 AD 属性。 建议首先使用默认映射，然后随着你对整个数据流更加熟悉，再自定义这些映射。

10. 按照开始接受预配请求部分中的步骤来完成配置。

配置 API 驱动的入站预配到 Microsoft Entra ID

1. 将预配模式设置为“自动”后，然后单击“保存”，创建预配作业的初始配置。

2. 保存操作成功后，你将另外看到两个扩展面板 - 一个用于“映射”，另一个用于“设置”。 在继续下一步之前，请确保提供有效的通知电子邮件 ID 并再次保存配置。

   注意

   必须在“设置”中提供通知电子邮件地址。 如果通知电子邮件地址留空，那么在开始执行时，预配将进入隔离状态。

3. 单击“映射”扩展面板中的超链接以查看默认属性映射。

   注意

   “属性映射”页中的默认配置将 SCIM 核心用户和企业用户属性映射到本地 AD 属性。 建议首先使用默认映射，然后随着你对整个数据流更加熟悉，再自定义这些映射。

4. 按照开始接受预配请求部分中的步骤来完成配置。

开始接受预配请求

1. 打开预配应用程序的“预配”>“概述”页。
2. 在此页面上，可执行以下操作：
   • “开始预配”控制按钮 - 单击此按钮可将预配作业置于侦听模式，以处理入站批量上传请求有效负载。
   • “停止预配”控制按钮 - 使用此选项可暂停/停止预配作业。
   • “重启预配”控制按钮 - 使用此选项可清除任何正在等待处理的现有请求有效负载，并启动新的预配周期。
   • “编辑预配”控制按钮 - 使用此选项可编辑作业设置和属性映射，并自定义预配架构。
   • 按需预配控制按钮–API 驱动的入站预配不支持此功能。
   • “预配 API 终结点”URL 文本 - 复制显示的 HTTPS URL 值，并将其保存在记事本或 OneNote 中，以便稍后与 API 客户端一起使用。
3. 展开“截至目前的统计信息”>“查看技术信息”面板，并复制“预配 API 终结点”URL。 授予访问权限来调用 API 后，请与 API 开发人员共享此 URL。

后续步骤

• 授予对入站预配 API 的访问权限
• 有关 API 驱动的入站预配的常见问题
• 使用 Microsoft Entra ID 自动执行 SaaS 应用程序的用户预配和取消预配