Настройте Hypervault для автоматического предоставления пользователей с помощью Microsoft Entra ID

В этой статье описаны шаги, которые необходимо выполнить как в Hypervault, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке Microsoft Entra ID автоматически создает и удаляет пользователей в Hypervault с помощью службы предоставления Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.

Поддерживаемые возможности

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие условия:

• Клиент Microsoft Entra
• Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
• Учетная запись пользователя в Hypervault с разрешениями администратора.

Шаг 1. Планирование развертывания снабжения

1. Узнайте, как работает служба снабжения.
2. Определите, кто входит в область настройки.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Hypervault.

Шаг 2: Настройка Hypervault для поддержки управления учетными данными в Microsoft Entra ID

1. Войдите в учетную запись Hypervault в качестве руководителя.
2. Перейдите на страницу параметров рабочей области .
3. В разделе "Подключение к Microsoft Azure" выберите "Включить подготовку пользователей".
4. Скопируйте значения домена и токена. Эти значения требуются на шаге 5.

Шаг 3. Добавление Hypervault из коллекции приложений Microsoft Entra

Добавьте Hypervault из галереи приложений Microsoft Entra, чтобы начать управлять настройкой в Hypervault. Если вы ранее настроили Hypervault для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте больше о добавлении приложения из галереи здесь.

Шаг 4. Определение того, кто подлежит обеспечению

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

• Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрить это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Hypervault

В этом разделе описаны действия по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей в Hypervault на основе назначений пользователей в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для Hypervault в идентификаторе Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

2. Перейдите к Entra ID>приложениям для предприятий

   

3. В списке приложений выберите Hypervault.

   

4. Выберите вкладку Подготовка.

   

5. Выберите + Новая конфигурация.

   

6. В поле URL-адрес арендатора введите URL-адрес арендатора Hypervault и секретный токен. Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Hypervault. Если подключение завершается ошибкой, убедитесь, что у учетной записи Hypervault есть необходимые разрешения администратора и повторите попытку.

   

7. Нажмите кнопку "Создать", чтобы создать конфигурацию.

8. Выберите "Свойства " на странице обзора .

9. Щелкните значок "Изменить ", чтобы изменить свойства. Включите уведомления по электронной почте и предоставьте сообщение электронной почты для получения уведомлений о карантине. Включение предотвращения случайных удалений. Выберите Применить, чтобы сохранить изменения.

10. В поле "Email для уведомлений" введите адрес электронной почты человека, который должен получать уведомления об ошибках при настройке, затем установите флажок "Отправить уведомление по электронной почте при возникновении сбоя".

    

11. Выберите сопоставление атрибутов на левой панели и выберите пользователей.

12. Просмотрите атрибуты пользователя, которые синхронизированы из Microsoft Entra ID в Hypervault в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления учетных записей пользователей в Hypervault для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Hypervault поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуемо Hypervault
    userName	Струна	✓	✓
    активный	булевый		✓
    отображаемое имя	Струна		✓
    имя.имяОтчество	Струна		✓
    имя_фамилия	Струна		✓
    emails[тип eq "рабочий"].value	Струна		✓

13. Чтобы настроить фильтры области, ознакомьтесь с инструкциями, приведенными в статье о фильтре области.

14. Используйте подготовку по запросу для проверки синхронизации с небольшим количеством пользователей перед развертыванием в организации.

15. Когда вы будете готовы к подготовке, выберите "Начать подготовку " на странице обзора .

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
2. Проверьте индикатор прогресса, чтобы увидеть состояние цикла подготовки и насколько он близок к завершению
3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты о процессе предоставления ресурсов