Руководство по настройке федеративного каталога для автоматической подготовки пользователей

Цель этого руководства — продемонстрировать действия, которые необходимо выполнить в Федеративном каталоге и идентификаторе Microsoft Entra, чтобы настроить идентификатор Microsoft Entra для автоматической подготовки и отмены подготовки пользователей и (или) групп в Федеративный каталог.

Примечание.

В этом руководстве описывается соединитель, созданный на основе службы подготовки пользователей Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Необходимые компоненты

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

• Клиент Microsoft Entra.
• федеративный каталог Federated Directory;
• учетная запись пользователя Federated Directory с разрешениями администратора.

Назначение пользователей в Federated Directory

Идентификатор Microsoft Entra использует концепцию, называемую назначениями, чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматической подготовки пользователей синхронизируются только пользователи и (или) группы, назначенные приложению в идентификаторе Microsoft Entra.

Перед настройкой и включением автоматической подготовки пользователей следует решить, какие пользователи и /или группы в идентификаторе Microsoft Entra должны иметь доступ к Федеративному каталогу. Когда этот вопрос будет решен, этих пользователей и (или) группы можно будет назначить приложению Federated Directory по приведенным ниже инструкциям.

• Назначение корпоративному приложению пользователя или группы

Важные замечания о назначении пользователей для Federated Directory

• Рекомендуется назначить одному пользователю Microsoft Entra федеративный каталог для проверки конфигурации автоматической подготовки пользователей. Дополнительные пользователи и/или группы можно назначить позднее.

• При назначении пользователя для Federated Directory в диалоговом окне назначения необходимо выбрать действительную роль для конкретного приложения (если это доступно). Пользователи с ролью Доступ по умолчанию исключаются из подготовки.

Настройка подготовки в Federated Directory

Перед настройкой федеративного каталога для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra необходимо включить подготовку SCIM в федеративном каталоге.

1. Войдите в консоль администрирования Federated Directory.

   

2. Перейдите в раздел Directories > User directories (Каталоги > Каталоги пользователей) и выберите нужный клиент.

   

3. Чтобы создать токен носителя с неограниченным сроком действия, перейдите в раздел Directory Keys > Create New Key (Ключи каталога > Создать ключ).

   

4. Создайте ключ каталога.

   

5. Скопируйте значение параметра Маркер доступа. Это значение будет введено в поле "Секретный токен " на вкладке "Подготовка" приложения федеративного каталога.

   

Добавление Federated Directory из коллекции

Чтобы настроить федеративный каталог для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra ID, необходимо добавить федеративный каталог из коллекции приложений Microsoft Entra в список управляемых приложений SaaS.

Чтобы добавить федеративный каталог из коллекции приложений Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

3. В разделе "Добавление из коллекции" введите федеративный каталог, выберите федеративный каталог на панели результатов.

   

4. Перейдите по выделенному ниже URL-адресу в другом браузере.

   

5. Щелкните LOG IN (Войти в систему).

   

6. Так как Federated Directory — это приложение OpenIDConnect, для входа в Federated Directory необходимо выбрать рабочую учетную запись Майкрософт.

   

7. После успешной проверки подлинности дайте согласие на странице согласия. После этого приложение автоматически добавится к вашему клиенту и вы будете перенаправлены в свою учетную запись Federated Directory.

   

Настройка автоматической подготовки пользователей в Federated Directory

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Федеративном каталоге на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для федеративного каталога в идентификаторе Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Обзор корпоративных приложений>удостоверений>

   

3. В списке приложений выберите элемент Federated Directory.

   

4. Выберите вкладку Подготовка.

   

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

   

6. В разделе "Учетные данные администратора" введите значение в поле URL-адрес клиентаhttps://api.federated.directory/v2/. Введите в поле Секретный токен полученное и сохраненное ранее значение из Federated Directory. Нажмите кнопку "Тестировать Подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к федеративной папке. Если установить подключение не удалось, убедитесь, что у учетной записи Federated Directory есть разрешения администратора, и повторите попытку.

   

7. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Send an email notification when a failure occurs (Отправить уведомление по электронной почте при сбое).

   

8. Нажмите кнопку Сохранить.

9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с федеративной папкой.

   

10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra в Федеративный каталог, в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства с меткой Сопоставление, используются для сопоставления учетных записей пользователей в Federated Directory при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    

11. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

12. Чтобы включить службу подготовки Microsoft Entra для федеративного каталога, измените состояние подготовки на On в разделе Параметры.

    

13. Укажите пользователей или группы для подготовки в Federated Directory, выбрав нужные значения в поле Область раздела Параметры.

    

14. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    

После этого начнется начальная синхронизация пользователей и (или) групп, определенных в поле Область раздела Параметры. Начальная синхронизация занимает больше времени, чем последующие синхронизации, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra. С помощью раздела "Сведения о синхронизации" можно отслеживать ход выполнения и следовать ссылкам на отчет о действиях подготовки, который описывает все действия, выполняемые службой подготовки Microsoft Entra в федеративном каталоге.

Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей"

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Следующие шаги

• Сведения о просмотре журналов и получении отчетов о действиях по подготовке