Udostępnij za pośrednictwem

Samouczek: konfigurowanie usługi TAP App Security na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

W tym samouczku opisano kroki, które należy wykonać zarówno w usłudze TAP App Security, jak i identyfikatorze Entra firmy Microsoft, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje i anuluje aprowizowanie użytkowników i grup w usłudze TAP App Security przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane funkcje

  • Tworzenie użytkowników w usłudze TAP App Security.
  • Usuń użytkowników z usługi TAP App Security, gdy nie będą już wymagać dostępu.
  • Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i usługą TAP App Security.
  • Logowanie jednokrotne do aplikacji TAP App Security.

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

Krok 1. Planowanie wdrożenia aprowizacji

  1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
  2. Określ, kto znajdzie się w zakresie aprowizacji.
  3. Określ, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i usługą TAP App Security.

Krok 2. Konfigurowanie usługi TAP App Security w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

  1. Zaloguj się do panelu sterowania zaplecza usługi App Security.
  2. Przejdź do Logowanie jednokrotne > active directory.
  3. Kliknij przycisk Integruj aplikację usługi Active Directory. Następnie wprowadź domenę organizacji i kliknij przycisk Zapisz . Zrzut ekranu przedstawiający sposób dodawania domeny.
  4. Po wprowadzeniu domeny zostanie wyświetlony nowy wiersz w tabeli przedstawiający nazwę domeny i jej stan jako inicjowanie. Kliknij ikonę koła zębatego, aby wyświetlić dane techniczne dotyczące serwera TAP App Security i zakończyć inicjowanie. Zrzut ekranu przedstawiający inicjowanie.
  5. Ujawniono dane techniczne dotyczące serwerów TAP App Security. Teraz możesz skopiować adres URL dzierżawy i token autoryzacji z tej strony do późniejszego użycia podczas konfigurowania aprowizacji w usłudze Microsoft Entra ID. Zrzut ekranu przedstawiający szczegóły domeny.

Dodaj usługę TAP App Security z galerii aplikacji Firmy Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze TAP App Security. Jeśli wcześniej skonfigurowano usługę TAP App Security dla logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecane jest jednak utworzenie osobnej aplikacji na potrzeby początkowych testów integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

  • Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

  • Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze TAP App Security

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze TAP App Security na podstawie przypisań użytkowników i/lub grup w identyfikatorze Entra firmy Microsoft.

Aby skonfigurować automatyczną aprowizację użytkowników dla usługi TAP App Security w usłudze Microsoft Entra ID:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>

    Blok Aplikacje dla przedsiębiorstw

  3. Na liście aplikacji wybierz pozycję TAP App Security.

    Link do usługi TAP App Security na liście aplikacji

  4. Wybierz kartę Aprowizacja.

    Karta Aprowizacja

  5. Ustaw Tryb aprowizacji na Automatyczny.

    Karta Aprowizacja automatyczna

  6. W sekcji Administracja Credentials (Poświadczenia) wprowadź adres URL dzierżawy usługi TAP App Security i token tajny. Kliknij pozycję Testuj Połączenie ion, aby upewnić się, że identyfikator entra firmy Microsoft może nawiązać połączenie z usługą TAP App Security. Jeśli połączenie nie powiedzie się, upewnij się, że konto TAP App Security ma Administracja uprawnienia i spróbuj ponownie.

    Token

  7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

    Powiadomienie e-mail

  8. Wybierz pozycję Zapisz.

  9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą TAP App Security.

  10. Przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora Entra firmy Microsoft, aby nacisnąć usługę APP Security w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowania kont użytkowników w usłudze TAP App Security na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że aplikacja TAP interfejs API Zabezpieczenia obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut Typ Obsługiwane do filtrowania Wymagane przez usługę TAP App Security
    userName String
    aktywne Wartość logiczna
    phoneNumbers[type eq "mobile"].value String
    displayName String
    title String

  11. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

  12. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi TAP App Security, zmień stan aprowizacji na . w sekcji Ustawienia.

    Stan aprowizacji — przełącznik w pozycji włączonej

  13. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze TAP App Security, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

    Zakres aprowizacji

  14. Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.

    Zapisywanie konfiguracji aprowizacji

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

  • Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
  • Sprawdź pasek postępu, aby zapoznać się ze stanem cyklu aprowizacji i czasem pozostałym do jego zakończenia
  • Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Więcej zasobów

Następne kroki