教學課程:設定 Harness 來自動佈建使用者
在本文中,您將瞭解如何設定 Microsoft Entra ID 來對 Harness 自動佈建及取消佈建使用者或群組。
注意
本文將描述以 Microsoft Entra 使用者佈建服務為基礎的連接器。 如需此服務的用途和常見問題答案等重要資訊,請參閱使用 Microsoft Entra ID 自動對 SaaS 應用程式進行和取消使用者的佈建。
此連接器目前為預覽版。 如需預覽版的詳細資訊,請參閱線上服務的通用授權條款。
必要條件
本文中概述的案例假設您已經具有下列必要條件:
- Microsoft Entra 租用戶
- Harness 租用戶
- Harness 中具有管理員權限的使用者帳戶
指派使用者給 Harness
Microsoft Entra ID 會使用名為「指派」的概念,來判斷哪些使用者應接收對所選應用程式的存取權。 在自動使用者佈建的內容中,只有「已指派」至 Microsoft Entra ID 中的應用程式使用者或群組會進行同步處理。
在設定並啟用自動佈建使用者之前,請決定 Microsoft Entra ID 中有哪些使用者或群組需要存取 Harness。 然後,您可以將這些使用者或群組指派給 Harness,方法是遵循將使用者或群組指派給企業應用程式中的指示。
將使用者指派給 Harness 的重要秘訣
建議您將單一 Microsoft Entra 使用者指派給 Harness,以測試自動佈建使用者的設定。 稍後可以指派其他使用者或群組。
將使用者指派給 Harness 時,您必須在 [指派] 對話方塊中選取任何有效的應用程式專屬角色 (如果有的話)。 具有預設存取角色的使用者會從佈建中排除。
如果您目前已在 Microsoft Entra ID 中設定 Harness FirstGen 應用程式整合,且現在正嘗試為 Harness NextGen 設定一項整合,請在嘗試透過 SSO 登入 Harness NextGen 之前,先確定 FirstGen App Integration 中也包含使用者資訊。
設定 Harness 以進行佈建
登入您的 Harness 系統管理主控台,然後前往 [持續安全性]>[存取管理]。
選取 [API 金鑰]。
選取 [新增 API 金鑰]。
在 [新增 Api 金鑰] 窗格中,執行以下操作:
a. 在 [名稱] 方塊中,提供金鑰的名稱。
b. 在 [Permissions Inherited from] \(權限繼承自\) 下拉式清單中選取選項。選取 [提交]。
請複製金鑰,以便稍後在本教學課程中使用。
從資源庫新增 Harness
設定 Harness 以使用 Microsoft Entra ID 自動佈建使用者之前,您需要從 Microsoft Entra 應用程式庫將 Harness 新增至受控 SaaS 應用程式清單。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式]。
![[所有應用程式] 連結](common/enterprise-applications.png)
若要新增新的應用程式,請選取窗格頂端的 [新增應用程式] 按鈕。
![[新增應用程式] 按鈕](common/add-new-app.png)
在搜尋方塊中,輸入 Harness,在結果清單中選取 [Harness],然後選取 [新增] 按鈕以新增應用程式。
設定使用者自動佈建至 Harness
本節將引導逐步設定 Microsoft Entra 佈建服務,以根據 Microsoft Entra ID 中的使用者或群組指派,在 Harness 中建立、更新和停用使用者或群組。
提示
建議您選擇為 Harness 啟用 SAML 型單一登入,方法是遵循 Harness 單一登入教學課程中的指示。 雖然單一登入和自動使用者佈建這兩個功能互相補充,您還是可以將這兩者分開設定。
注意
若要深入了解 Harness SCIM 端點,請參閱 Harness API 金鑰 (英文) 文章。
若要在 Microsoft Entra ID 中為 Harness 設定自動使用者佈建,請執行以下操作:
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式]。
在應用程式清單中,選取 [Harness]。
選取 [佈建]
在 [佈建模式] 下拉式清單中,選取 [自動]。
![[佈建模式] 下拉式清單](common/provisioning-automatic.png)
在 [管理員認證] 底下,執行下列動作:
在 [租用戶 URL] 方塊中,輸入
https://app.harness.io/gateway/api/scim/account/<your_harness_account_ID>。 當您登入 Harness 時,您可以從瀏覽器中的 URL 取得您的 Harness 帳戶識別碼。在 [祕密權杖] 方塊中,輸入您在<設定 Harness 以進行佈建>一節第 6 步中儲存的 SCIM 驗證權杖值。
選取 [測試連線],以確保 Microsoft Entra ID 可以連線到 Harness。 如果連線失敗,請確定您的 Harness 帳戶具有管理員權限,然後再試一次。
在 [通知電子郵件] 方塊中,輸入應該收到佈建錯誤通知的個人或群組電子郵件地址,然後選取 [發生失敗時傳送電子郵件通知] 核取方塊。
![[通知電子郵件] 方塊](common/provisioning-notification-email.png)
選取 [儲存]。
在 [對應] 底下,選取 [將 Microsoft Entra 使用者同步至 Harness]。
在 [屬性對應] 底下,檢閱從 Microsoft Entra ID 同步至 Harness 的使用者屬性。 選取為 [比對] 的屬性會用來比對 Harness 中的使用者帳戶,以進行更新作業。 選取 [儲存] 認可任何變更。
![Harness 使用者 [屬性對應] 窗格](media/harness-provisioning-tutorial/userattributes.png)
在 [對應] 底下,選取 [將 Microsoft Entra 群組同步至 Harness]。
在 [屬性對應] 底下,檢閱從 Microsoft Entra ID 同步至 Harness 的群組屬性。 選取為 [比對] 屬性 (Property) 的屬性 (Attribute),會用來比對 Harness 中的群組以進行更新作業。 選取 [儲存] 認可任何變更。
![Harness 群組 [屬性對應] 窗格](media/harness-provisioning-tutorial/groupattributes.png)
若要設定範圍篩選條件,請參閱含範圍篩選器的屬性型應用程式佈建。
如果要在 [設定] 下針對 Harness 啟用 Microsoft Entra 佈建服務,請將 [佈建狀態] 開關切換為 [開啟]。
![[佈建狀態] 切換為 [開啟]](common/provisioning-toggle-on.png)
在 [設定] 下的 [範圍] 下拉式清單中,針對您要佈建至 Harness 的使用者或群組選取同步方式。
準備好要佈建時,請選取 [儲存]。
這項作業會針對您要佈建的使用者或群組啟動首次同步。 首次同步處理所花的時間比後續同步處理更久。 只要 Microsoft Entra 佈建服務正在執行,同步處理大約每 40 分鐘就會發生一次。 您可以在 [同步處理詳細資料] 區段中監視進度。 您也可以遵循佈建活動報告的連結,其會說明 Harness 上的 Microsoft Entra 佈建服務所執行的所有動作。
如需有關如何讀取 Microsoft Entra 佈建記錄的詳細資訊,請參閱關於使用者帳戶自動佈建的報告。