Настройка Global Relay Identity Sync для автоматической подготовки пользователей с помощью Microsoft Entra ID

В этой статье описаны шаги, которые необходимо выполнить как в Global Relay Identity Sync, так и в Microsoft Entra ID для настройки автоматической подготовки пользователей. Когда выполняется настройка, Microsoft Entra ID автоматически подготавливает и аннулирует подготовку пользователей и групп к Global Relay Identity Sync с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.

Поддерживаемые возможности

• Создание пользователей в Global Relay Identity Sync
• Удаление пользователей в Global Relay Identity Sync, если им больше не требуется доступ
• Поддерживайте синхронизацию атрибутов пользователей между Microsoft Entra ID и Global Relay Identity Sync
• Управление группами и членством в группах в "Global Relay Identity Sync"

Примечание.

Соединитель подготовки "Глобальная ретрансляционная синхронизация удостоверений" использует метод авторизации SCIM, который больше не поддерживается из-за проблем безопасности. Предпринимаются усилия вместе с Global Relay для перехода на более безопасный метод авторизации.

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Клиент Microsoft Entra
• Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.

Шаг 1. Планирование развертывания снабжения

1. Узнайте, как работает служба обеспечения.
2. Определите, кто входит в зону ответственности для обеспечения.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и глобальной синхронизацией удостоверений ретранслятора.

Шаг 2. Настройка Global Relay Identity Sync для поддержки подготовки с Microsoft Entra ID

Чтобы получить Tenant URL, обратитесь к вашему представителю Global Relay Identity Sync. Это значение введите в поле URL-адрес клиента на вкладке "Подготовка" приложения "Синхронизация удостоверений глобального ретранслятора".

Шаг 3. Добавление синхронизации удостоверений Global Relay из коллекции приложений Microsoft Entra

Добавьте Global Relay Identity Sync из галереи приложений Microsoft Entra, чтобы начать управлять конфигурацией Global Relay Identity Sync. Дополнительные сведения о добавлении приложения из галереи см. здесь.

Шаг 4. Определение того, кто подлежит обеспечению

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

• Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрить это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматического предоставления пользователей для Global Relay Identity Sync

В этом разделе представлены шаги по конфигурации службы обеспечения Microsoft Entra для создания, обновления и отключения пользователей и/или групп в Identity Sync приложения Global Relay на основе назначения пользователей и/или групп в Microsoft Entra ID.

Чтобы настроить автоматическое предоставление пользователей для Global Relay Identity Sync в Microsoft Entra ID:

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

2. Перейдите к Entra ID>приложениям для предприятий

   

3. В списке приложений выберите Global Relay Identity Sync.

   

4. Выберите вкладку Подготовка.

   

5. Установите Режим конфигурирования на Автоматически.

   

6. В разделе "Учетные данные администратора" введите URL-адрес арендатора для Global Relay Identity Sync. Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к глобальной синхронизации удостоверений ретранслятора. Если подключение завершается ошибкой, убедитесь, что учетная запись синхронизации удостоверений глобального ретранслятора имеет разрешения администратора и обратитесь к представителю Глобального ретранслятора, чтобы устранить эту проблему.

   кнопка авторизации

7. В поле Адрес электронной почты для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках при предоставлении ресурсов, и установите флажок Отправить уведомление по электронной почте при возникновении сбоя.

   

8. Выберите Сохранить.

9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra в Global Relay Identity Sync".

10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra и global Relay Identity Sync в разделе "Сопоставление атрибутов ". Атрибуты, выбранные в качестве свойств соответствия, используются для сопоставления учетных записей пользователей в Global Relay Identity Sync для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API синхронизации удостоверений Global Relay поддерживает фильтрацию пользователей по этому атрибуту. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип
    userName	Струна
    активный	булевый
    отображаемое имя	Струна
    заголовок	Струна
    Предпочтительный язык	Струна
    имя.имяОтчество	Струна
    имя_фамилия	Струна
    имя.отформатировано	Струна
    адреса[тип == "работа"].отформатирован	Струна
    адреса[тип eq "работа"].streetAddress	Струна
    emails[тип eq "рабочий"].value	Струна
    адреса[тип eq "рабочий"].местоположение	Струна
    адреса[тип = "работа"].регион	Струна
    адреса[тип равен "работа"].почтовый индекс	Струна
    адреса[тип eq "работа"].страна	Струна
    адреса[тип eq "прочее"].форматированный	Струна
    Номера телефонов [тип равен "работа"]. значение	Струна
    phoneNumbers[тип равен "мобильный"].значение	Струна
    phoneNumbers[тип равен "факс"].значение	Струна
    externalId (внешний идентификатор)	Струна
    имя.почетныйПрефикс	Струна
    имя.почетныйСуффикс	Струна
    Псевдоним	Струна
    тип пользователя	Струна
    местность	Струна
    часовой пояс	Струна
    emails[type eq "домашний"].value	Струна
    emails[type eq "другое"].value	Струна
    phoneNumbers[type eq "домашний"].value	Струна
    phoneNumbers[тип eq "другое"].значение	Струна
    phoneNumbers[type eq "пейджер"].value	Струна
    Неприменимо, поскольку текст, возможно, следует оставить в исходной форме из-за отсутствия контекста, указывающего на необходимость перевода терминов, используемых в коде или программировании.	Струна
    адреса[тип eq "домашний"].местоположение	Струна
    адреса[type eq "home"].регион	Струна
    addresses[type eq "дом"].postalCode	Струна
    addresses[тип равно "домашний"].страна	Струна
    адреса[тип eq "дом"].форматированный	Струна
    адреса[тип eq "другой"].адресУлицы	Струна
    адреса[тип равен "другое"].местоположение	Струна
    addresses[type eq "other"].регион	Струна
    адреса[тип eq "другой"].почтовыйКод	Струна
    адреса[type eq "other"].страна	Струна
    роли[primary eq "True"].display	Струна
    роли[primary eq "Истина"].type	Струна
    roles[primary eq "Истина"].value	Струна
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:номерСотрудника	Струна
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:центр_затрат	Струна
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:организация	Струна
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:подразделение	Струна
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Пользователь:департамент	Струна
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Пользователь:менеджер	Ссылка
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:proxyAddresses	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute1	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute2	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute3	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute4	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute5	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute6	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute7	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute8	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute9	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute10	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute11	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute12	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute13	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute14	Струна
    urn:ietf:params:scim:schemas:extension:GlobalRelay:2.0:User:extensionAttribute15	Струна

11. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra с Global Relay Identity Sync".

12. Просмотрите атрибуты группы, которые синхронизируются из Microsoft Entra ID в Global Relay Identity Sync в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств для сопоставления, используются для сопоставления групп в Global Relay Identity Sync при выполнении операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип
    отображаемое имя	Струна
    члены	Ссылка

13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.

14. Чтобы включить службу подготовления Microsoft Entra для Global Relay Identity Sync, измените Состояние подготовления на Включено в разделе Параметры.

    

15. Определите пользователей и/или группы, которых вы хотите подготовить для Global Relay Identity Sync, выбрав нужные значения в области в разделе Параметры.

    

16. Когда будете готовы настроить, нажмите Сохранить.

    

Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в Scope в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, пока работает служба подготовки ресурсов Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
2. Проверьте индикатор прогресса, чтобы увидеть состояние цикла подготовки и насколько он близок к завершению
3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты о процессе предоставления ресурсов