Поделиться через

Руководство по настройке Tailscale для автоматической подготовки пользователей

  • Статья

В этом руководстве описаны шаги, которые необходимо выполнить как в Tailscale, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra ID автоматически подготавливает пользователей и группы к Tailscale с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Поддерживаемые возможности

  • Создание пользователей в Tailscale.
  • Удалите пользователей в Tailscale, если они больше не требуют доступа.
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Tailscale.
  • Подготовка групп и членства в группах в Tailscale.
  • Единый вход в Tailscale (рекомендуется).

Необходимые компоненты

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

Шаг 1. Планирование развертывания подготовки

  1. Узнайте, как работает служба подготовки.
  2. Определите, кто находится в область для подготовки.
  3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Tailscale.

Шаг 2. Настройка Tailscale для поддержки подготовки с помощью идентификатора Microsoft Entra

Чтобы выполнить эти действия, необходимо быть владельцем, Администратор или ИТ-администратором в Tailscale. Ознакомьтесь с планами Tailscale, чтобы узнать, какие планы делают подготовку пользователей и групп для Microsoft Entra доступными.

Создайте ключ API SCIM в Tailscale.

На странице управления пользователями консоли администрирования

  1. Нажмите кнопку "Включить подготовку".
  2. Скопируйте созданный ключ в буфер обмена.

Сохраните ключевые сведения в безопасном месте. Это секретный маркер, который необходимо использовать при настройке подготовки в идентификаторе Microsoft Entra.

Добавьте Tailscale из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Tailscale. Если вы ранее настроили Tailscale для единого входа, можно использовать то же приложение. Но мы рекомендуем создать отдельное приложение для исходной проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение того, кто находится в область для подготовки

Служба подготовки Microsoft Entra позволяет область, которые подготавливаются на основе назначения приложению и (или) на основе атрибутов пользователя или группы. Если вы решили область, кто подготовлен к приложению на основе назначения, можно выполнить следующие действия, чтобы назначить пользователей приложению. Если вы решили область, кто подготовлен исключительно на основе атрибутов пользователя или группы, можно использовать фильтр области, как описано здесь.

  • Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в область подготовки включены назначенные пользователи и группы, проверьте этот механизм, назначив приложению одного или двух пользователей либо одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

  • Если вам нужны дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Tailscale

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Tailscale на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для Tailscale в идентификаторе Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Обзор корпоративных приложений>удостоверений>

    Снимок экрана: Колонка

  3. В списке приложений выберите Tailscale.

    Снимок экрана: ссылка Tailscale в списке приложений.

  4. Выберите вкладку Подготовка.

    Снимок экрана вкладка

  5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

    Снимок экрана: параметр

  6. В разделе Администратор Учетные данные введите URL-адрес клиента Tailscale и секретный маркер. Нажмите кнопку "Тестировать Подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Tailscale. Если подключение завершается ошибкой, убедитесь, что у учетной записи Tailscale есть Администратор разрешения и повторите попытку.

    Снимок экрана: токен.

  7. В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.

    Снимок экрана: сообщение электронной почты с уведомлением.

  8. Выберите Сохранить.

  9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Tailscale.

  10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с Tailscale в разделе "Сопоставление атрибутов". Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления учетных записей пользователей в Tailscale для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Tailscale поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут Тип Поддерживается для фильтрации Требуется для масштабирования tail
    userName Строка
    active Логический
    displayName Строка
    preferredLanguage Строка
    name.givenName Строка
    name.familyName Строка
    name.formatted Строка
    emails[type eq "work"].value Строка
    externalId Строка

  11. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Tailscale.

  12. Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с Tailscale в разделе "Сопоставление атрибутов". Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления групп в Tailscale для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут Тип Поддерживается для фильтрации Требуется для масштабирования tail
    displayName Строка
    externalId Строка
    members Справочные материалы

  13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

  14. Чтобы включить службу подготовки Microsoft Entra для Tailscale, измените состояние подготовки на On в разделе Параметры.

    Снимок экрана: включенный переключатель состояния подготовки.

  15. Определите пользователей и (или) группы, которые вы хотите подготовить к Tailscale, выбрав нужные значения в области в разделе Параметры.

    Снимок экрана: область подготовки.

  16. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    Снимок экрана: сохранение конфигурации подготовки.

После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания.

  • Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
  • Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения
  • Если конфигурация подготовки находится в неработоспособном состоянии, приложение перейдет в режим карантина. Дополнительные сведения о режимах карантина см. здесь.

Журнал изменений

  • 11.21.2023 — добавлена поддержка подготовки групп.

Дополнительные ресурсы

Следующие шаги