Samouczek: konfigurowanie aplikacji Workplace from Meta na potrzeby automatycznej aprowizacji użytkowników

W tym samouczku opisano kroki, które należy wykonać w aplikacji Workplace from Meta i Microsoft Entra ID, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje użytkowników i anuluje aprowizację z aplikacji Workplace z meta przy użyciu usługi aprowizacji Firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane funkcje

• Tworzenie użytkowników w miejscu pracy na podstawie meta
• Usuwanie użytkowników w miejscu pracy z meta, gdy nie wymagają już dostępu
• Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i aplikacją Workplace z meta
• Logowanie jednokrotne do aplikacji Workplace z aplikacji Meta (zalecane)

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

• Dzierżawa firmy Microsoft Entra
• Jedną z następujących ról: Administracja istrator aplikacji, Administracja istrator aplikacji w chmurze lub właściciel aplikacji.
• Subskrypcja aplikacji Workplace from Meta z obsługą logowania jednokrotnego

Uwaga

Nie zalecamy używania środowiska produkcyjnego do testowania czynności opisanych w tym samouczku.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Aby przetestować czynności opisane w tym samouczku, należy postępować zgodnie z następującymi zaleceniami:

• Nie używaj środowiska produkcyjnego, chyba że jest to konieczne.
• Jeśli nie masz środowiska wersji próbnej firmy Microsoft Entra, możesz skorzystać z miesięcznej wersji próbnej tutaj.

Krok 1. Planowanie wdrożenia aprowizacji

1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
2. Określ, kto znajdzie się w zakresie aprowizacji.
3. Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i aplikacją Workplace z meta.

Krok 2. Konfigurowanie aplikacji Workplace from Meta w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy w usłudze Microsoft Entra ID reprezentują użytkowników, którzy potrzebują dostępu do aplikacji Meta w miejscu pracy. Po podjęciu decyzji możesz przypisać tych użytkowników do aplikacji Workplace z aplikacji Meta, postępując zgodnie z instrukcjami podanymi tutaj:

• Zaleca się, aby jeden użytkownik firmy Microsoft Entra został przypisany do aplikacji Workplace z meta, aby przetestować konfigurację aprowizacji. Więcej użytkowników może zostać przypisanych później.

• Podczas przypisywania użytkownika do aplikacji Workplace z meta musisz wybrać prawidłową rolę użytkownika. Rola "Dostęp domyślny" nie działa na potrzeby aprowizacji.

Krok 3. Dodawanie aplikacji Workplace from Meta z galerii aplikacji Microsoft Entra

Dodaj aplikację Workplace from Meta z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w aplikacji Workplace z aplikacji Meta. Jeśli wcześniej skonfigurowano aplikację Workplace from Meta for SSO, możesz użyć tej samej aplikacji. Zaleca się jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się określić zakres aprowizacji aplikacji na podstawie przypisania, możesz użyć poniższych kroków , aby przypisać użytkowników do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

• Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

• Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w miejscu pracy z poziomu meta

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników w aplikacji Meta App w miejscu pracy na podstawie przypisań użytkowników w usłudze Microsoft Entra ID.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>

   

3. Na liście aplikacji wybierz pozycję Workplace z meta.

   

4. Wybierz kartę Aprowizacja.

   

5. Ustaw Tryb aprowizacji na Automatyczny.

   

6. Upewnij się, że sekcja "Adres URL dzierżawy" została wypełniona prawidłowym punktem końcowym: https://scim.workplace.com/. W sekcji Administracja Credentials (Poświadczenia Administracja) kliknij pozycję Authorize (Autoryzuj). Nastąpi przekierowanie do miejsca pracy ze strony autoryzacji meta. Wprowadź nazwę użytkownika aplikacji Workplace z meta i kliknij przycisk Kontynuuj . Kliknij pozycję Test Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z aplikacją Workplace z meta. Jeśli połączenie nie powiedzie się, upewnij się, że konto Workplace z konta meta ma Administracja uprawnienia i spróbuj ponownie.

   

   

   Uwaga

   Nie można zmienić adresu URL w taki sposób, aby https://scim.workplace.com/ wystąpił błąd podczas próby zapisania konfiguracji

7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

8. Wybierz pozycję Zapisz.

9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z aplikacji Workplace z meta.

10. Przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora Entra firmy Microsoft do miejsca pracy z meta w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowania kont użytkowników w miejscu pracy z meta na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że aplikacja Workplace from Meta API obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ
    userName	String
    displayName	String
    aktywne	Wartość logiczna
    title	Wartość logiczna
    emails[type eq "work"].value	String
    name.givenName	String
    name.familyName	String
    name.formatted	String
    addresses[type eq "work"].formatted	String
    addresses[type eq "work"].streetAddress	String
    addresses[type eq "work"].locality	String
    addresses[type eq "work"].region	String
    addresses[type eq "work"].country	String
    addresses[type eq "work"].postalCode	String
    addresses[type eq "other"].formatted	String
    phoneNumbers[type eq "work"].value	String
    phoneNumbers[type eq "mobile"].value	String
    phoneNumbers[type eq "fax"].value	String
    externalId	String
    preferredLanguage	String
    urn:scim:schemas:extension:enterprise:1.0.manager	String
    urn:scim:schemas:extension:enterprise:1.0.department	String
    urn:scim:schemas:extension:enterprise:1.0.division	String
    urn:scim:schemas:extension:enterprise:1.0.organization	String
    urn:scim:schemas:extension:enterprise:1.0.costCenter	String
    urn:scim:schemas:extension:enterprise:1.0.employeeNumber	String
    urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method	String
    urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline	Wartość logiczna
    urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate	Integer

11. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

12. Aby włączyć usługę aprowizacji firmy Microsoft dla aplikacji Workplace z meta, zmień stan aprowizacji na Wł. w sekcji Ustawienia.

    

13. Zdefiniuj użytkowników, których chcesz aprowizować w aplikacji Workplace z meta, wybierając odpowiednie wartości w sekcji Zakres w sekcji Ustawienia.

    

14. Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.

    

Ta operacja rozpoczyna początkowy cykl synchronizacji wszystkich użytkowników zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

1. Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
2. Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i sposób jego zamknięcia do ukończenia
3. Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Wskazówki dotyczące rozwiązywania problemów

• Jeśli użytkownik nie zostanie utworzony pomyślnie i zostanie wyświetlone zdarzenie dziennika inspekcji z kodem "1789003", oznacza to, że użytkownik pochodzi z niezweryfikowanej domeny.
• Istnieją przypadki, w których użytkownicy otrzymują błąd "ERROR: Missing Email field: You must provide an email Error returned from Facebook: Processing of the HTTP request was exception( Błąd: Przetwarzanie żądania HTTP spowodowało wyjątek). Aby uzyskać szczegółowe informacje, zobacz odpowiedź HTTP zwróconą przez właściwość "Response" tego wyjątku. Ta operacja została ponowiona zero razy. Po tej dacie zostanie ponowiona ponowna próba". Ten błąd jest spowodowany mapowaniem poczty przez klientów, a nie userPrincipalName, na adres e-mail serwisu Facebook, ale niektórzy użytkownicy nie mają atrybutu poczty. Aby uniknąć błędów i pomyślnie aprowizować nieudanych użytkowników w miejscu pracy z serwisu Facebook, zmodyfikuj mapowanie atrybutu atrybutu workplace from facebook email attribute to Coalesce([mail],[userPrincipalName]) lub nieprzypisaj użytkownika z witryny Workplace z serwisu Facebook lub aprowizuj adres e-mail użytkownika.
• Istnieje opcja w miejscu pracy, która umożliwia istnienie użytkowników bez adresów e-mail. Jeśli to ustawienie jest włączone po stronie miejsca pracy, aprowizowanie po stronie platformy Azure musi zostać uruchomione ponownie, aby użytkownicy bez wiadomości e-mail mogli pomyślnie utworzyć w miejscu pracy.

Aktualizowanie aplikacji Workplace from Meta do używania punktu końcowego Workplace from Meta SCIM 2.0

W grudniu 2021 r. Facebook wydał łącznik SCIM 2.0. Wykonanie poniższych kroków spowoduje zaktualizowanie aplikacji skonfigurowanych do używania punktu końcowego SCIM 1.0 do korzystania z punktu końcowego SCIM 2.0. Te kroki spowodują usunięcie wszelkich dostosowań wykonanych wcześniej w miejscu pracy z aplikacji Meta, w tym:

• Szczegóły uwierzytelniania
• Filtry określania zakresu
• Mapowania atrybutów niestandardowych

Uwaga

Pamiętaj, aby pamiętać o wszelkich zmianach wprowadzonych w ustawieniach wymienionych powyżej przed wykonaniem poniższych kroków. Niepowodzenie w tym celu spowoduje utratę dostosowanych ustawień.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do obszaru Aplikacje dla przedsiębiorstw w aplikacji>Identity>Applications>w miejscu pracy z aplikacji Meta.

3. W sekcji Właściwości nowej aplikacji niestandardowej skopiuj identyfikator obiektu.

   

4. W nowym oknie przeglądarki internetowej przejdź do https://developer.microsoft.com/graph/graph-explorer witryny i zaloguj się jako administrator dzierżawy firmy Microsoft Entra, w której jest dodawana aplikacja.

   

5. Upewnij się, że używane konto ma odpowiednie uprawnienia. Aby wprowadzić tę zmianę, wymagane jest uprawnienie "Directory.ReadWrite.All".

   

   

6. Za pomocą identyfikatora ObjectID wybranego wcześniej z aplikacji uruchom następujące polecenie:

   GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
   

7. Biorąc wartość "id" z treści odpowiedzi żądania GET z powyższego, uruchom poniższe polecenie, zastępując ciąg "[job-id]" wartością id z żądania GET. Wartość powinna mieć format "FacebookAtWorkOutDelta.xxxxxxx.xxxxxxx":

   DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
   

8. W Eksploratorze programu Graph uruchom poniższe polecenie. Zastąp ciąg "[object-id]" identyfikatorem jednostki usługi (identyfikatorem obiektu) skopiowanym z trzeciego kroku.

   POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
   

   

9. Wróć do pierwszego okna przeglądarki internetowej i wybierz kartę Aprowizacja aplikacji. Konfiguracja zostanie zresetowana. Możesz potwierdzić, że uaktualnienie zostało wykonane, potwierdzając, że identyfikator zadania zaczyna się od "FacebookWorkplace".

10. Zaktualizuj adres URL dzierżawy w sekcji Administracja Credentials (Poświadczenia Administracja):https://scim.workplace.com/

    

11. Przywróć poprzednie zmiany wprowadzone w aplikacji (szczegóły uwierzytelniania, filtry określania zakresu, mapowania atrybutów niestandardowych) i ponownie włącz aprowizację.

    Uwaga

    Nie można przywrócić poprzednich ustawień może spowodować nieoczekiwane zaktualizowanie atrybutów (name.formatted) w miejscu pracy. Przed włączeniem aprowizacji upewnij się, że konfiguracja jest sprawdzana

Dziennik zmian

• 10.09.2020 — Dodano obsługę atrybutów przedsiębiorstwa "division", "organization", "costCenter" i "employeeNumber". Dodano obsługę atrybutów niestandardowych "startDate", "auth_method" i "frontline".
• 22.07.2021 — Zaktualizowano wskazówki dotyczące rozwiązywania problemów dla klientów z mapowaniem poczty e-mail na pocztę na Facebooku, ale niektórzy użytkownicy nie mają atrybutu poczty.

Więcej zasobów

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji