教程：为 Cerner Central 配置自动用户预配

本教程旨在介绍为了从 Microsoft Entra ID 自动将用户帐户预配到 Cerner Central 中的用户名单以及取消其预配而需要在 Cerner Central 和 Microsoft Entra ID 中执行的步骤。

先决条件

在本教程中概述的方案假定您已具有以下各项：

• 一个 Microsoft Entra 租户
• Cerner Central 租户

注意

Microsoft Entra ID 使用 SCIM 协议与 Cerner Central 进行集成。

将用户分配到 Cerner Central

Microsoft Entra ID 使用名为“分配”的概念来确定哪些用户应收到对所选应用的访问权限。 在自动用户帐户预配的上下文中，只同步已“分配”到 Microsoft Entra ID 中的应用程序的用户和组。

在配置和启用预配服务前，应确定 Microsoft Entra ID 中的哪些用户和/或组表示需要访问 Cerner Central 的用户。 确定后，可以按照此处的说明将这些用户分配到 Cerner Central：

向企业应用分配用户或组

将用户分配到 Cerner Central 的重要提示

• 建议将单个 Microsoft Entra 用户分配到 Cerner Central 来测试预配配置。 其他用户和/或组可以稍后分配。

• 完成对单个用户的初始测试后，Cerner Central 会建议将要预配的打算访问任何 Cerner 解决方案（不局限于 Cerner Central）的完整用户列表分配到 Cerner 的用户名单。 其他 Cerner 解决方案将利用用户名单中的此用户列表。

• 将用户分配到 Cerner Central 时，必须在分配对话框中选择“用户”角色。 具有“默认访问权限”角色的用户排除在预配之外。

向 Cerner Central 配置用户预配

本部分将指导完成以下操作：使用 Cerner 的 SCIM 用户帐户预配 API 将 Microsoft Entra ID 连接到 Cerner Central 的用户名单，配置预配服务以便基于 Microsoft Entra ID 中的用户和组在 Cerner Central 中创建、更新和禁用分配的用户帐户。

提示

还可选择按照 Azure 门户中提供的说明为 Cerner Central 启用基于 SAML 的单一登录。 可以独立于自动预配配置单一登录，尽管这两个功能互相补充。 有关详细信息，请参阅 Cerner Central 单一登录教程。

若要在 Microsoft Entra ID 中为 Cerner Central 配置自动用户帐户预配，请执行以下操作：

为了将用户帐户预配到 Cerner Central，需要从 Cerner 请求一个 Cerner Central 系统帐户，并生成一个 Microsoft Entra ID 可用来连接 Cerner 的 SCIM 终结点的 OAuth 持有者令牌。 此外，建议在将集成部署到生产环境前，先在 Cerner 沙盒环境中执行集成。

1. 第一步是确保管理 Cerner 和 Microsoft Entra 集成的人员具有 CernerCare 帐户，需要此帐户才可访问完成此说明所必需的文档。 如有必要，请使用以下 URL 在每个适用的环境中创建 CernerCare 帐户。

   • 沙盒：https://sandboxcernercare.com/accounts/create

   • 生产：https://cernercare.com/accounts/create

2. 接下来，必须为 Microsoft Entra ID 创建系统帐户。 使用下面的说明为沙盒和生产环境请求一个系统帐户。

   • 说明：https://wiki.ucern.com/display/CernerCentral/Requesting+A+System+Account

   • 沙盒：https://sandboxcernercentral.com/system-accounts/

   • 生产：https://cernercentral.com/system-accounts/

3. 接下来，为每个系统帐户生成 OAuth 持有者令牌。 为此，请根据以下说明进行操作。

   • 说明：https://wiki.ucern.com/display/public/reference/Accessing+Cerner%27s+Web+Services+Using+A+System+Account+Bearer+Token

   • 沙盒：https://sandboxcernercentral.com/system-accounts/

   • 生产：https://cernercentral.com/system-accounts/

4. 最后，需要获取 Cerner 中沙盒与生产环境的用户名单领域 ID，以完成配置。 有关如何获取此项的信息，请参阅：https://wiki.ucern.com/display/public/reference/Publishing+Identity+Data+Using+SCIM。

5. 现可以配置 Microsoft Entra ID 向 Cerner 预配用户帐户。 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。

6. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。

7. 如果已为 Cerner Central 配置单一登录，请使用搜索字段搜索 Cerner Central 实例。 否则，请选择“添加”并在应用程序库中搜索“Cerner Central”。 从搜索结果中选择 Cerner Central，并将其添加到应用程序列表。

8. 选择 Cerner Central 的实例，然后选择“预配”选项卡。

9. 将“预配模式”设置为“自动”。

   

10. 在“管理员凭据”下填写以下字段：

    • 在“租户 URL”字段中，输入以下格式的 URL，将“User-Roster-Realm-ID”替换为在第 4 步中获取的领域 ID。

    沙盒：https://user-roster-api.sandboxcernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/

    生产：https://user-roster-api.cernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/

    • 在“密钥标记”字段中，输入在第 3 步中生成的 OAuth 持有者令牌并单击“测试连接”。

    • 应当会在门户的右上端看到一条成功通知。

11. 在“通知电子邮件”字段中输入应收到预配错误通知的用户或组的电子邮件地址，并选中下面的复选框。

12. 单击“ 保存”。

13. 在“属性映射”部分中，查看要从 Microsoft Entra ID 同步到 Cerner Central 的用户和组属性。 选为“匹配”属性的特性将用于匹配 Cerner Central 中的用户帐户和组以执行更新操作。 选择“保存”按钮以提交任何更改 。

14. 若要为 Cerner Central 启用 Microsoft Entra 预配服务，请在“设置”部分将“预配状态”更改为“开”

15. 单击“保存” 。

这将开始对在“用户和组”部分中分配给 Cerner Central 的任何用户和/或组进行初始同步。 初始同步执行的时间长于后续同步，只要 Microsoft Entra 预配服务正在运行，则大约每隔 40 分钟就会进行一次同步。 可以使用“同步详细信息”部分监视进度并跟踪指向预配活动日志的链接，这些日志描述了预配服务对 Cerner Central 应用执行的所有操作。

要详细了解如何读取 Microsoft Entra 预配日志，请参阅有关自动用户帐户预配的报告。

其他资源

• Cerner Central：使用 Microsoft Entra ID 发布标识数据
• 教程：使用 Microsoft Entra ID 为 Cerner Central 配置单一登录
• 管理企业应用的用户帐户预配
• 什么是使用 Microsoft Entra ID 进行应用程序访问和单一登录？

后续步骤

• 了解如何查看日志并获取有关预配活动的报表。