Поставка приложений Microsoft Entra на локальных серверах в приложения с поддержкой SCIM

Служба подготовки Microsoft Entra поддерживает клиент SCIM 2.0, который можно использовать для автоматической подготовки пользователей в облачные или локальные приложения. В этой статье описывается, как использовать службу подготовки Microsoft Entra для подготовки пользователей к локальному приложению с поддержкой SCIM. Если вы хотите развернуть пользователей в локальные приложения, не поддерживающие SCIM, которые используют SQL в качестве хранилища данных, см. учебник по универсальному коннектору SQL Microsoft Entra ECMA Connector Host. Если вам нужно подготовить пользователей к работе в облачных приложениях, как например DropBox или Atlassian, изучите руководства для этих приложений.

Предварительные условия

• Клиент Microsoft Entra с Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5). Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, см. статью Сравнение общедоступных функций Microsoft Entra ID.
• Роль администратора для установки агента. Эта задача является разовым усилием, и это должна быть учетная запись Azure, которая по крайней мере является администратором по управлению гибридными идентификациями.
• Администраторы должны быть по крайней мере администратором приложений, администратором облачных приложений или настраиваемой ролью с разрешениями.
• Компьютер с как минимум 3 ГБ ОЗУ для размещения агента развертывания. Компьютер должен иметь Windows Server 2016 или более позднюю версию Windows Server с подключением к целевому приложению и с исходящим подключением к login.microsoftonline.com, другим Майкрософт веб-службам и доменам Azure. Примером является Windows Server 2016 виртуальная машина, размещенная в Azure IaaS или за прокси-сервером.
• Убедитесь, что реализация SCIM соответствует требованиям Microsoft Entra SCIM. Microsoft Entra ID предлагает код с открытым кодом reference, который разработчики могут использовать для загрузки реализации SCIM, как описано в Tutorial: разработка примера конечной точки SCIM в Microsoft Entra ID.
• Поддержите конечную точку /schemas, чтобы уменьшить настройку, необходимую на портале Azure.

Установка и настройка агента предоставления Microsoft Entra Connect

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора приложений.
2. Перейдите на Entra ID>Enterprise apps.
3. Найдите локальное приложение SCIM, присвойте приложению имя и нажмите кнопку «Создать», чтобы добавить его в клиент.
4. В меню перейдите на страницу подготовки приложения.
5. Выберите Начать.
6. На странице Подготовка измените режим на автоматический.

7. В разделе "Локальное подключение" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

8. Выйдите из портала и откройте установщик агента подготовки, примите условия использования и нажмите кнопку "Установить".
9. Подождите, пока откроется мастер настройки агента подготовки к работе Microsoft Entra, и выберите Далее.
10. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".
11. Агент предоставления доступа использует веб-браузер операционной системы для отображения всплывающего окна, чтобы вы могли пройти аутентификацию в системе Microsoft Entra ID и, возможно, вашего поставщика удостоверений организации. Если вы используете Microsoft Edge на Windows Server, убедитесь, что Майкрософт сайты не заблокированы. Если для организации требуется устаревшая поддержка браузера, вы можете использовать Microsoft Edge с режимом IE и добавить Майкрософт сайты в список доверенных сайтов.
12. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется роль администратора гибридных удостоверений по крайней мере.
13. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать Выйти, а также закрыть установщик пакета агента развертывания.

Настроить подключение через агента провиженинга

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора приложений.

2. Перейдите на Entra ID>Enterprise apps.

3. Найдите созданное ранее приложение.

4. В меню перейдите на страницу подготовки приложения.

5. На портале, в разделе "Локальная связь", выберите развернутого агента и выберите "Назначить агента(ов)".

   

6. Перезапустите службу агента управления или подождите 10 минут до тестирования подключения.

7. В поле URL-адрес клиента введите URL-адрес конечной точки SCIM приложения. Пример: https://api.contoso.com/scim/

8. Скопируйте необходимый маркер носителя OAuth для конечной точки SCIM в поле "Секретный маркер ".

9. Выберите Test Connection, чтобы Microsoft Entra ID попытаться подключиться к конечной точке SCIM. Если подключиться не удастся, отобразятся сведения об ошибке.

10. После успешного подключения к приложению нажмите кнопку "Сохранить ", чтобы сохранить учетные данные администратора.

11. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

Настройка приложений с поддержкой SCIM

После установки агента дополнительная конфигурация не требуется на локальном уровне, а всеми настройками предоставления затем управляются с портала. Повторите следующие действия для каждого локального приложения, подготавливаемого с помощью SCIM.

1. Настройте сопоставления атрибутов или правила определения области действия, необходимые для вашего приложения.
2. Добавьте пользователей в область, назначив приложению пользователей и группы.
3. Протестируйте настройку по запросу для нескольких пользователей.
4. Добавьте пользователей в область, назначив их приложению.
5. Откройте панель Подготовка и щелкните Начать подготовку.
6. Мониторинг с помощью журналов настройки.

В следующем видео приведены общие сведения о локальной подготовке.

Следующие шаги

• Подготовка приложений
• Разработка примера конечной точки SCIM
• Известные проблемы развертывания