Настройка Envoy для автоматического создания пользователей с помощью Microsoft Entra ID

В этой статье описаны шаги, которые необходимо выполнить как в Envoy, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей и групп для Envoy с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.

Поддерживаемые возможности

• Создание пользователей в Envoy
• Удаление пользователей в Envoy, когда они больше не требуют доступа
• Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Envoy
• Управление группами и членством в группах в Envoy
• Единая авторизация в Envoy (рекомендуется)

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• клиент Microsoft Entra
• Учетная запись пользователя в Microsoft Entra ID с разрешением для настройки провизирования (например, администратор приложений, администратор облачных приложенийили владелец приложения).
• арендатор Envoy.
• Учетная запись пользователя в Envoy с разрешениями администратора.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Шаг 1. Планирование развертывания снабжения

1. Узнайте, как работает служба предоставления.
2. Определите, кто находится в рамках для предоставления ресурсов.
3. Определите, какие данные следует сопоставлять между идентификатором Microsoft Entra иEnvoy.

Шаг 2. Настройка Envoy для поддержки управления учетными записями с помощью Microsoft Entra ID

1. Войдите в консоль администрирования Envoy. Выберите Интеграции.

   интеграция

2. Выберите Установить для интеграции с Microsoft Azure SCIM.

   Установка Envoy

3. Выберите Сохранить для Синхронизировать всех пользователей.

   

4. Скопируйте токен носителя OAUTH. Это значение вводится в поле секретного токена на вкладке настройки приложения Envoy.

   

Шаг 3. Добавление Envoy из коллекции приложений Microsoft Entra

Добавьте Envoy из коллекции приложений Microsoft Entra, чтобы начать управление предоставлением доступа в Envoy. Если вы ранее настроили Envoy для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте больше о добавлении приложения из галереи по ссылке.

Шаг 4. Определите, кто входит в область обеспечения ресурсами.

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

• Начните с малого. Протестируйте с небольшим набором пользователей и групп перед развертыванием для всех пользователей. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если область задана для всех пользователей и групп, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Envoy

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для Envoy в Microsoft Entra ID, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

2. Перейдите к Entra ID>приложениям для предприятий

   

3. В списке приложений выберите Envoy.

   

4. Выберите вкладку Подготовка.

   

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

   

6. В разделе Учетные данные администратора введите значение https://app.envoy.com/scim/v2 в поле URL-адрес клиента. Введите значение OAUTH BEARER TOKEN, полученное ранее в секретном токене . Выберите Тестировать подключение, чтобы убедиться, что Microsoft Entra ID может подключаться к Envoy. Если подключение завершается ошибкой, убедитесь, что у учетной записи Envoy есть разрешения администратора и повторите попытку.

   

7. В поле Адрес электронной почты для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках при предоставлении ресурсов, и установите флажок Отправить уведомление по электронной почте при возникновении сбоя.

   

8. Выберите Сохранить.

9. В разделе сопоставления выберите Синхронизировать пользователей Microsoft Entra с Envoy.

10. Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID в Envoy, в разделе сопоставления атрибутов. Атрибуты, выбранные как свойства сопоставления, используются для сопоставления учетных записей пользователей в Envoy для операций обновления. Если вы решили изменить соответствующий целевой атрибут на, необходимо убедиться, что API Envoy поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип
    userName	Струна
    ВнешнийИдентификатор	Струна
    отображаемое имя	Струна
    заголовок	Струна
    emails[type eq "рабочий"].value	Струна
    Предпочтительный язык	Струна
    отдел	Струна
    адреса[тип равен "работа"].страна	Струна
    адреса[тип eq "рабочий"].местоположение	Струна
    addresses[type eq "работа"].region	Струна
    адреса[тип равно "работа"].почтовыйКод	Струна
    адреса[тип eq "работа"].отформатирован	Струна
    адреса[тип eq "рабочий"].streetAddress	Струна
    имя.givenName	Струна
    имя_фамилия	Струна
    форматированное имя	Струна
    phoneNumbers[тип равен "мобильный"].значение	Струна
    phoneNumbers[type eq "рабочий"].value	Струна
    местность	Струна

11. В разделе сопоставления выберите Синхронизировать группы Microsoft Entra с Envoy.

12. Просмотрите атрибуты группы, которые синхронизируются из Microsoft Entra ID в Envoy, в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления, используются для соответствия группам в Envoy при выполнении операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип
    отображаемое имя	Струна
    ВнешнийИдентификатор	Струна
    члены	Ссылка

13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.

14. Чтобы включить службу подготовки Microsoft Entra для Envoy, измените состояния подготовки на On в разделе "Параметры ".

    

15. Определите пользователей и (или) группы, которые вы хотите предоставить в Envoy, выбрав требуемые значения в области Scope в разделе "Параметры".

    

16. Когда будете готовы настроить, нажмите Сохранить.

    

Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в Scope в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, при условии, что служба подготовки Microsoft Entra работает.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
2. Проверьте индикатор хода выполнения , чтобы увидеть состояние цикла подготовки и насколько он близок к завершению.
3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты об активности по предоставлению ресурсов