Поделиться через


Настройка Gtmhub для автоматического предоставления пользователей с помощью Microsoft Entra ID

В этой статье описаны шаги, которые необходимо выполнить как в gtmhub, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке Microsoft Entra ID автоматически создает и удаляет учетные записи пользователей и группы в Gtmhub с помощью службы управления учетными записями Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.

Примечание.

В настоящее время, когда настроена автоматическая подготовка пользователей, только Microsoft Entra автоматически отменяет подготовку пользователей и групп в Gtmhub и сопоставляет пользователей с их соответствующими командами с помощью службы подготовки Microsoft Entra. Однако, начиная с 2021 года, после включения единой системы входа с помощью Gtmhub, пользователи автоматически подготавливаются при входе через SSO и автоматически назначаются в свои соответствующие команды.

Поддерживаемые возможности

  • Удалите пользователей в Gtmhub, если они больше не требуют доступа.
  • Поддерживайте синхронизацию атрибутов пользователей между Microsoft Entra ID и Gtmhub.
  • Сопоставляйте пользователей с командами автоматически и выравнивайте их.

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие условия:

Шаг 1. Планирование развертывания снабжения

  1. Узнайте, как работает служба снабжения.
  2. Определите, кто входит в зону ответственности для обеспечения.
  3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Gtmhub.

Шаг 2. Настройка gtmhub для поддержки сопоставления групп и отмены подготовки пользователей с помощью идентификатора Microsoft Entra

Чтобы подключить приложение управления выдачей к вашей учетной записи Gtmhub, необходимо выдать токен SCIM и сформировать URL-адрес арендатора.

Чтобы выдать новый токен SCIM, выполните приведенные действия.

  1. Войдите в учетную запись Gtmhub. Перейдите к маркерам > API конфигурации > параметров.

    Вкладка

  2. Выберите Выпустить токен и выберите SCIM. Введите имя маркера и нажмите кнопку "Создать маркер API ".

    Вкладка

  3. После создания токена можно скопировать и использовать его в приложении развертывания Microsoft Entra.

    Скопировать токен

Чтобы скомпилировать URL-адрес клиента, выполните следующие действия.

  1. URL-адрес клиента должен иметь следующий формат:

    https://app.gtmhub.com/api/v1/scim/azure/{account_id}

  2. Если учетная запись Gtmhub находится в центре обработки данных США, вам также нужно добавить центр обработки данных в URL-адрес:

    https://app.us.gtmhub.com/api/v1/scim/azure/{account_id}

  3. Чтобы получить идентификатор учетной записи, перейдите на вкладку "Параметры" , а затем перейдите на вкладку "Маркеры API " и скопируйте идентификатор учетной записи: идентификатор учетной записи

Добавьте Gtmhub из коллекции приложений Microsoft Entra, чтобы начать управление предоставлением в Gtmhub. Если вы ранее настроили gtmhub для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте больше о добавлении приложения из галереи здесь.

Шаг 4. Определение того, кто подлежит обеспечению

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

  • Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрить это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

  • Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматического предоставления пользователей в Gtmhub

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическое предоставление пользователей для Gtmhub в Microsoft Entra ID, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

  2. Перейдите к Entra ID>приложениям для предприятий

    Модуль корпоративных приложений

  3. В списке приложений выберите Gtmhub.

    Ссылка gtmhub в списке приложений

  4. Выберите вкладку Подготовка.

    Вкладка

  5. Установите Режим конфигурирования на Автоматически.

    Вкладка

  6. В разделе "Учетные данные администратора" введите URL-адрес клиента Gtmhub и секретный маркер. Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Gtmhub. Если подключение завершается сбоем, убедитесь, что у учетной записи Gtmhub есть разрешения администратора и повторите попытку.

    токен

  7. В поле Адрес электронной почты для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках при предоставлении ресурсов, и установите флажок Отправить уведомление по электронной почте при возникновении сбоя.

    Уведомление по электронной почте

  8. Выберите Сохранить.

  9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Gtmhub.

  10. Просмотрите атрибуты пользователя, которые синхронизированы из Microsoft Entra ID в Gtmhub в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления учетных записей пользователей в Gtmhub для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Gtmhub поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут Тип Поддерживается для фильтрации
    userName Струна
    externalId (внешний идентификатор) Струна
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Пользователь:менеджер Ссылка
  11. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.

  12. Чтобы включить службу подготовки Microsoft Entra для Gtmhub, измените состояние подготовки на On в разделе "Параметры ".

    Статус конфигурации изменен на

  13. Определите пользователей и (или) группы, которые вы хотите подготовить к gtmhub, выбрав нужные значения в области в разделе "Параметры ".

    Область предоставления услуг

  14. Когда будете готовы настроить, нажмите Сохранить.

    Сохранение конфигурации обеспечения

Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в Scope в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, пока работает служба подготовки ресурсов Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

  1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
  2. Проверьте индикатор прогресса, чтобы увидеть состояние цикла подготовки и насколько он близок к завершению
  3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Дополнительные ресурсы