Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны шаги, которые необходимо выполнить как в Astro, так и в Microsoft Entra ID для настройки автоматического предоставления пользователей и групп. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей для Astro с помощью службы подготовки Microsoft Entra. Важные сведения о том, что эта служба делает, как она работает и часто задаваемые вопросы, см. в разделе Автоматизация предоставления и аннулирования доступа пользователей к SaaS-приложениям с помощью Microsoft Entra ID.
Поддерживаемые возможности
- Создание пользователей в Astro.
- Удалите пользователей в Astro, если они больше не требуют доступа.
- Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Astro.
- Управление группами и членством в группах в Astro.
- Единая аутентификация в Astro (рекомендуется).
Необходимые условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие условия:
- клиент Microsoft Entra
- Одна из следующих ролей: администратора приложений, администратора облачных приложенийили владельца приложения.
- Учетная запись пользователя в Astro с разрешениями администратора.
Шаг 1. Планирование развертывания подготовки
- Узнайте о том, как работает служба предоставления.
- Определите, кто находится в круге лиц, подпадающих под обеспечение.
- Определите, какие данные следует сопоставить между Microsoft Entra ID и Astro.
Шаг 2. Настройка Astro для поддержки предоставления с помощью идентификатора Microsoft Entra ID
Обратитесь в службу поддержки Astro, чтобы настроить Astro для поддержки провизии с помощью Microsoft Entra ID.
Шаг 3. Добавление Astro из коллекции приложений Microsoft Entra
Добавьте Astro из галереи приложений Microsoft Entra, чтобы начать управление настройками в Astro. Если вы ранее настроили Astro for SSO, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Здесь вы можете узнать больше о добавлении приложения из коллекции .
Шаг 4. Определение того, кто подлежит обеспечению
Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите ограничить круг лиц, которым предоставляется доступ к вашему приложению на основе назначений, можно использовать шаги для назначения пользователей и групп приложению. Если вы решаете, кого предоставлять доступ, основываясь исключительно на атрибутах пользователя или группы, можно использовать фильтр области охвата.
Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрить это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если область задана для всех пользователей и групп, можно указать фильтр области на основе атрибутов.
Если вам нужны дополнительные роли, можно обновить манифест приложения , чтобы добавить новые роли.
Шаг 5. Настройка автоматической подачи пользователей в Astro
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в Astro на основе назначений пользователей в идентификаторе Microsoft Entra.
Чтобы настроить автоматическую подготовку пользователей для Astro в службе Microsoft Entra ID, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra, обладая правами не ниже администратора облачных приложений.
Перейдите к Entra ID>приложениям для предприятий
В списке приложений выберите Astro.
Перейдите на вкладку Положения.
Задайте для режима подготовки параметр на автоматический.
В разделе Учетные данные администратора введите URL-адрес арендатора Astro и секретный токен. Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Astro. Если подключение завершается ошибкой, убедитесь, что у учетной записи Astro есть разрешения администратора и повторите попытку.
В поле "Email для уведомлений" введите адрес электронной почты человека, который должен получать уведомления об ошибках при настройке, затем установите флажок "Отправить уведомление по электронной почте при возникновении сбоя".
Выберите Сохранить.
В разделе сопоставления выберите Синхронизировать пользователей Microsoft Entra с Astro.
Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID в Astro, в разделе сопоставления атрибутов. Атрибуты, выбранные в качестве свойств сопоставления , используются для идентификации учетных записей пользователей в Astro в операциях обновления. Если вы решите изменить атрибут , соответствующий целевому атрибуту, вы должны убедиться, что API Astro поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать любые изменения.
Атрибут Тип Поддерживается для фильтрации Требуется Astro userName Струна ✓ ✓ активный Логический ✓ Отображаемое имя Струна ✓ В разделе сопоставления выберите Синхронизировать группы Microsoft Entra ID с Astro.
Просмотрите атрибуты группы, синхронизированные из Microsoft Entra ID в Astro, в разделе сопоставления атрибутов . Атрибуты, выбранные как свойства сопоставления, используются для сопоставления групп в Astro для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать любые изменения.
Атрибут Тип Поддерживается для фильтрации Требуется Astro Отображаемое имя Струна ✓ ✓ externalId (внешний идентификатор) Струна ✓ Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтре области.
Чтобы включить службу подготовки Microsoft Entra для Astro, измените состояние состояния подготовки на On в разделе "Параметры ".
Определите пользователей и (или) группы, которым вы хотите предоставить доступ к Astro, выбрав нужные значения в Области в разделе Параметры.
Когда вы будете готовы для настройки, нажмите Сохранить.
Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в разделе "Область", в разделе "Параметры". Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, пока работает служба подготовки Microsoft Entra.
Шаг 6. Мониторинг развертывания
После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:
- Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
- Посмотрите на индикатор хода выполнения, чтобы увидеть, каково состояние цикла подготовки и насколько он близок к завершению.
- Если конфигурация подготовки представляется неработоспособной, приложение переходит в карантинный режим. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложениям и единый вход с помощью идентификатора Microsoft Entra?