Настройка Tailscale для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra

В этой статье описаны шаги, которые необходимо выполнить как в Tailscale, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке Microsoft Entra ID автоматически обеспечивает и удаляет пользователей и группы в Tailscale с помощью службы подготовки и удаления Microsoft Entra. Чтобы получить важные сведения о том, что делает этот сервис, как он функционирует, а также ответы на часто задаваемые вопросы, см. статью Автоматизация предоставления и отзыва доступа пользователей к приложениям SaaS с помощью Microsoft Entra ID.

Поддерживаемые возможности

• Создание пользователей в Tailscale.
• Удалите пользователей в Tailscale, если они больше не требуют доступа.
• Поддерживайте синхронизацию атрибутов пользователей между Microsoft Entra ID и Tailscale.
• Управление группами и членством в группах в Tailscale.
• Единый вход в Tailscale (рекомендуется).

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Клиент Microsoft Entra
• Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
• Учетная запись пользователя в Tailscale с разрешениями администратора.

Шаг 1. Спланируйте развертывание предоставления ресурсов

1. Узнайте, как работает служба предоставления.
2. Определите, кто находится в охвате настройки.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Tailscale.

Шаг 2. Настройка Tailscale для поддержки предоставления через Microsoft Entra ID

Для выполнения этих действий необходимо быть владельцем, администратором или ИТ-администратором в Tailscale. Ознакомьтесь с планами Tailscale, чтобы узнать, какие из них предоставляют возможность настройки пользователей и групп для Microsoft Entra.

Создайте ключ API SCIM в Tailscale.

На странице управления пользователями консоли администрирования

1. Выберите Включить подготовку.
2. Скопируйте созданный ключ в буфер обмена.

Сохраните ключевые сведения в безопасном месте. Это секретный токен, который необходимо использовать при настройке провизирования в Microsoft Entra ID.

Шаг 3. Добавление Tailscale из коллекции приложений Microsoft Entra

Добавьте Tailscale из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Tailscale. Если вы ранее настроили Tailscale для единого входа, можно использовать то же приложение. Но мы рекомендуем создать отдельное приложение для исходной проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение того, кто находится в рамках обеспечения

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

• Начните с малого. Испытайте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если диапазон настройки установлен для назначаемых пользователей и групп, вы можете управлять этим, назначив приложению одного или двух пользователей или одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Tailscale

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Tailscale на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическое предоставление пользователей для Tailscale в Microsoft Entra ID, выполните следующие действия.

1. Войдите в административный центр Microsoft Entra как минимум в роли Администратора облачных приложений.

2. Перейдите к Entra ID>приложениям для предприятий

   

3. В списке приложений выберите Tailscale.

   

4. Выберите вкладку Подготовка.

   

5. Выберите + Новая конфигурация.

   

6. В поле URL-адрес клиента введите URL-адрес клиента Tailscale и секретный маркер. Выберите Тест подключения, чтобы убедиться, что Microsoft Entra ID может подключиться к Tailscale. Если подключение завершается ошибкой, убедитесь, что учетная запись Tailscale имеет необходимые разрешения администратора и повторите попытку.

   

7. Нажмите кнопку "Создать", чтобы создать конфигурацию.

8. Выберите "Свойства " на странице обзора .

9. Щелкните значок "Изменить ", чтобы изменить свойства. Включите уведомления по электронной почте и предоставьте сообщение электронной почты для получения уведомлений о карантине. Включение предотвращения случайных удалений. Выберите Применить, чтобы сохранить изменения.

   

10. Выберите сопоставление атрибутов на левой панели и выберите пользователей.

11. Просмотрите атрибуты пользователя, которые синхронизируются из Microsoft Entra ID в Tailscale, в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления учетных записей пользователей в Tailscale для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Tailscale поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется для Tailscale
    userName	Строка	✓	✓
    активный	Логический	✓
    отображаемое имя	Строка	✓
    предпочтительный язык	Строка	✓
    имя.данноеИмя	Строка	✓
    name.фамилия	Строка	✓
    имя.отформатировано	Строка	✓
    Электронные письма[тип eq "работа"].значение	Строка	✓
    externalId (внешний идентификатор)	Строка	✓	✓

12. Выберите Группы.

13. Просмотрите атрибуты группы, синхронизированные из Microsoft Entra ID в Tailscale в разделе "Сопоставление атрибутов". Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления групп в Tailscale для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется для Tailscale
    отображаемое имя	Строка	✓	✓
    externalId (внешний идентификатор)	Строка		✓
    члены	Справочные материалы

14. Чтобы настроить фильтры области, ознакомьтесь с инструкциями, приведенными в статье о фильтре области.

15. Используйте подготовку по запросу для проверки синхронизации с небольшим количеством пользователей перед развертыванием в организации.

16. Когда вы будете готовы к подготовке, выберите "Начать подготовку " на странице обзора .

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
2. Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения
3. Если конфигурация находится в неработоспособном состоянии, приложение будет переведено в карантин. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Журнал изменений

• 21.11.2023 — добавлена поддержка обеспечения групп.

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты о деятельности по обеспечению