教程：为 Harness 配置自动用户预配

在本文中，你将学习如何将 Microsoft Entra ID 配置为自动为 Harness 预配和取消预配用户或组。

注意

本文介绍在 Microsoft Entra 用户预配服务之上构建的连接器。 有关此服务的重要信息以及常见问题解答，请参阅使用 Microsoft Entra ID 为 SaaS 应用程序自动化用户预配和取消预配。

此连接器目前提供预览版。 有关预览版的详细信息，请参阅联机服务的通用许可条款。

先决条件

本文中概述的方案假定您已具有下列先决条件：

• 一个 Microsoft Entra 租户
• Harness 租户
• Harness 中具有管理员权限的用户帐户

将用户分配到 Harness

Microsoft Entra ID 使用名为分配的概念来确定哪些用户应收到对所选应用的访问权限。 在自动用户预配的上下文中，只同步“已分配到”Microsoft Entra ID 中的应用程序的用户或组。

在配置和启用自动用户预配之前，请确定 Microsoft Entra ID 中的哪些用户或组需要访问 Harness。 然后，可按照向企业应用分配用户或组中的说明将这些用户或组分配到 Harness。

有关将用户分配到 Harness 的重要提示

• 建议将单个 Microsoft Entra 用户分配到 Harness，以测试自动用户预配配置。 其他用户或组可以稍后分配。

• 将用户分配到 Harness 时，必须在分配对话框中选择任何特定于应用程序的有效角色（如果有）。 具有“默认访问权限” 角色的用户排除在预配之外。

• 如果当前已在 Microsoft Entra ID 中设置了 Harness FirstGen 应用集成，并且现在正尝试为 Harness NextGen 设置该预配，请确保先将用户信息包含在 FirstGen 应用集成中，然后再尝试通过 SSO 登录到 Harness NextGen。

设置 Harness 以进行预配

1. 登录到您的 Harness 管理控制台，然后进入持续安全>访问管理

   

2. 选择 API 密钥。

   

3. 选择添加 API 密钥。

   

4. 在添加 Api 密钥窗格中，执行以下操作：

   

   a. 在名称框中，为密钥提供名称。
   b. 在权限继承自下拉列表中，选择一个选项。

5. 选择“提交”。

6. 复制该密钥，供本教程稍后使用。

   

从库中添加 Harness

在使用 Microsoft Entra ID 为 Harness 配置自动用户预配之前，需要从 Microsoft Entra 应用程序库将 Harness 添加到托管的 SaaS 应用程序列表。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“应用程序”>“企业应用程序”。

   

3. 要添加新应用程序，请选择窗格顶部的“新建应用程序”按钮。

   

4. 在搜索框中输入 Harness，在结果面板中选择 Harness，然后选择添加按钮添加该应用程序。

   

配置 Harness 的自动用户预配

本部分逐步介绍了如何配置 Microsoft Entra 预配服务，以根据 Microsoft Entra ID 中的用户或组分配在 Harness 中创建、更新和禁用用户或组。

提示

还可选择按照 Harness 单一登录教程中提供的说明为 Harness 启用基于 SAML 的单一登录。 可以独立于自动用户预配来配置单一登录，尽管这两个功能可互相补充。

注意

若要了解有关 Harness SCIM 终结点的详细信息，请参阅 Harness API 密钥文章。

若要在 Microsoft Entra ID 中为 Harness 配置自动用户预配，请执行以下操作：

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“应用程序”>“企业应用程序”。

   

3. 在应用程序列表中，选择“Harness”。

   

4. 选择预配。

   

5. 在“预配模式”下拉列表中，选择“自动” 。

   

6. 在“管理员凭据”下执行以下操作：

   

   • 在“租户 URL”框中，输入 https://app.harness.io/gateway/api/scim/account/<your_harness_account_ID>。 登录到 Harness 后，可以在浏览器中从该 URL 获取 Harness 的帐户 ID。

   • 在机密令牌框中，输入您在“设置 Harness 进行预配”部分的步骤 6 中保存的 SCIM 身份验证令牌值。

   • 选择“测试连接”以确保 Microsoft Entra ID 可以连接到 Harness。 如果连接失败，请确保 Harness 帐户具有管理员权限，然后重试。

7. 在通知电子邮件框中，输入应接收预配错误通知的个人或组的电子邮件地址，然后选中发生故障时发送一封电子邮件通知复选框。

   

8. 选择“保存”。

9. 在“映射”部分下，选择“将 Microsoft Entra 用户同步到 Harness”。

10. 在“属性映射”下，查看从 Microsoft Entra ID 同步到 Harness 的用户属性。 选为匹配的特性用于匹配 Harness 中的用户帐户以执行更新操作。 选择“保存”，提交所有更改。

    

11. 在“映射”部分下，选择“将 Microsoft Entra 组同步到 Harness”。

12. 在“属性映射”下，查看从 Microsoft Entra ID 同步到 Harness 的组属性。 选为匹配属性的特性用于匹配 Harness 中的组以执行更新操作。 选择“保存”，提交所有更改。

    

13. 要配置作用域筛选器，请参阅通过作用域筛选器基于属性预配应用程序。

14. 在“设置”下，要为 Harness 启用 Microsoft Entra 预配服务，将“预配状态”开关切换为“开”。

    

15. 在设置下的作用域下拉列表中，选择要将正在预配的用户或组同步到 Harness 的方式。

    

16. 准备好预配时，选择“保存”。

    

此操作将启动正在预配的用户或组的初始同步。 初始同步所需的时间比后续同步要长。 只要运行 Microsoft Entra 预配服务，大约每 40 分钟就会发生一次同步。 可在同步详细信息部分中监视进度。 还可以单击预配活动报告的链接，其中描述了 Microsoft Entra 预配服务对 Harness 执行的所有操作。

有关如何阅读 Microsoft Entra 预配日志的详细信息，请参阅有关自动用户帐户预配的报告。

其他资源

• 管理企业应用的用户帐户预配
• 什么是使用 Microsoft Entra ID 进行应用程序访问和单一登录？

后续步骤

• 了解如何查看日志并获取有关预配活动的报告