Настройка интрасети Iris для автоматического создания пользователей с помощью системы идентификации Microsoft Entra

В этой статье описаны шаги, которые необходимо выполнить как в интрасети Iris, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке Microsoft Entra ID автоматически подготавливает и удаляет пользователей и группы для интрасети Iris с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.

Поддерживаемые возможности

• Создание пользователей в интрасети Iris
• Удаление пользователей в интрасети Iris, когда они больше не требуют доступа
• Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Iris Intranet
• Единый вход в Iris Intranet (рекомендуется)

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • владелец приложения.

• Клиент Iris Интрасети.
• Учетная запись пользователя в интрасети Iris с разрешениями администратора.

Шаг 1. Планирование развертывания снабжения

1. Узнайте, как работает служба обеспечения.
2. Определите, кто входит в область предоставления ресурсов.
3. Определите, какие данные нужно сопоставить между Microsoft Entra ID и Iris Intranet.

Шаг 2. Настройка интрасети Iris для поддержки предоставления с помощью Microsoft Entra ID

Чтобы настроить Iris Интрасети для поддержки подготовки с помощью Microsoft Entra, необходимо получить URL-адрес клиента и секретный маркер отправив письмо в службу поддержки Iris Интрасети. Эти значения вводятся в поля секретный маркер и URL-адрес клиента на вкладке "Подготовка" приложения Iris Интрасети.

Шаг 3. Добавление Интранета Ирис из галереи приложений Microsoft Entra

Добавьте Iris Интрасеть в галерее приложений Microsoft Entra, чтобы начать управление доступом к Iris Интрасети. Если вы ранее настроили Iris Intranet для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте подробнее о добавлении приложения из галереи здесь.

Шаг 4: Определите, кто входит в область предоставления ресурсов

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

• Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрять это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Iris Intranet

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическое предоставление пользователей для Iris Интрасети в Microsoft Entra ID, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

2. Перейдите к Entra ID>приложениям для предприятий

   

3. В списке приложений выберите Iris Intranet.

   

4. Выберите вкладку Подготовка.

   

5. Установите Режим конфигурирования на Автоматически.

   

6. В разделе "Учетные данные администратора" введите URL-адрес арендатора Iris Интрасети и секретный токен. Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к интрасети Iris. Если подключение завершается ошибкой, убедитесь, что у учетной записи Iris Интрасети есть разрешения администратора и повторите попытку.

   

7. В поле Адрес электронной почты для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках при предоставлении ресурсов, и установите флажок Отправить уведомление по электронной почте при возникновении сбоя.

   

8. Выберите Сохранить.

9. В разделе Сопоставления выберите Синхронизировать пользователей Microsoft Entra с Iris Intranet.

10. Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID на Iris Интрасеть в разделе Attribute-Mapping. Атрибуты, выбранные как свойства сопоставления, используются для сопоставления учетных записей пользователей интрасети Iris для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Iris Интрасети поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации
    userName	Струна	✓
    активный	булевый
    emails[тип eq "рабочий"].value	Струна
    имя.имяОтчество	Струна
    имя_фамилия	Струна
    имя.отформатировано	Струна
    Номера телефонов [тип равен "работа"]. значение	Струна
    phoneNumbers[тип равен "мобильный"].значение	Струна
    внешний_идентификатор	Струна

11. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.

12. Чтобы включить службу обеспечения Microsoft Entra для интрасети Iris, измените состояние обеспечения на Включено в разделе Параметры.

    

13. Определите пользователей и (или) группы, которых вы хотите предоставить в Iris Интрасеть, выбрав нужные значения в разделе Область в разделе Параметры.

    

14. Когда вы будете готовы для настройки, нажмите Сохранить.

    

Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в Scope в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, пока работает служба подготовки ресурсов Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
2. Используйте индикатор выполнения, чтобы узнать текущее состояние цикла подготовки ресурсов и насколько близко он к завершению.
3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты о процессе предоставления ресурсов