Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны шаги, которые необходимо выполнить как в Twingate, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке Microsoft Entra ID автоматически создаёт и удаляет пользователей и группы в Twingate с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает, и ответы на часто задаваемые вопросы см. в статье Автоматизация подготовки и удаления пользователей для приложений SaaS с помощью Microsoft Entra ID.
Поддерживаемые возможности
- Создание пользователей в Twingate
- Удаление пользователей в Twingate, когда им больше не нужен доступ
- Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Twingate
- Предоставление групп и членств в Twingate
- Единый вход в Twingate (рекомендуется)
Предварительные условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Клиент Microsoft Entra
- Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
- Клиент Twingate на уровне продукта, поддерживающем интеграцию с поставщиком удостоверений. Дополнительные сведения о различных уровнях продукта см. на странице с ценами на Twingate.
- Учетная запись пользователя в Twingate с правами администратора.
Шаг 1. Планирование развертывания подготовки
- Узнайте как работает служба предоставления.
- Определите, кто входит в зону ответственности для обеспечения.
- Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Twingate.
Шаг 2. Настройка Twingate для поддержки предоставления с помощью Microsoft Entra ID
Войдите в консоль администрирования Twingate.
Перейдите в раздел Параметры > Поставщик удостоверений.
Нажмите кнопку
..., чтобы открыть меню действий. Выберите Regenerate SCIM Token (Повторно создать токен SCIM). Обратите внимание, что при этом существующий токен, если таковой имеется, станет недействительным.
Скопируйте конечную точку SCIM и токен SCIM из модального окна. Эти значения вводятся в поля URL-адрес клиента и секретный токен соответственно на вкладке провиженинга вашего приложения Twingate.
Шаг 3. Добавление Twingate из коллекции приложений Microsoft Entra
Добавьте Twingate из галереи приложений Microsoft Entra, чтобы начать управление предоставлением доступа в Twingate. Если вы уже настроили единый вход (SSO) для Twingate, вы можете использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.
Шаг 4. Определите, кто входит в область обеспечения ресурсами.
Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.
Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в области предоставления включены назначенные пользователи и группы, вы можете управлять этим, назначив приложению одного или двух пользователей или одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.
Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.
Шаг 5. Настройка автоматической подготовки пользователей в Twingate
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и /или групп в Twingate на основе назначений пользователей и /или групп в идентификаторе Microsoft Entra.
Чтобы настроить автоматическое предоставление пользователей для Twingate в Microsoft Entra ID, следуйте этим шагам.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к Entra ID>приложениям для предприятий
В списке приложений выберите Twingate.
Выберите вкладку Подготовка.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе Учетные данные администратора укажите URL-адрес клиента и секретный токен Twingate. Выберите Test Connection, чтобы убедиться, что Microsoft Entra ID может подключиться к Twingate. Если установить подключение не удалось, убедитесь, что у учетной записи Twingate есть разрешения администратора, и повторите попытку.
В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.
Выберите Сохранить.
В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с Twingate.
Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID в Twingate в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства с меткой Сопоставление, используются для сопоставления учетных записей пользователей в Twingate для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Twingate поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Доступно для фильтрации externalId (внешний идентификатор) Строка ✓ userName Строка активный Логический Электронные письма[тип eq "работа"].значение Строка имя.имяОтчество Строка имя.фамилия Строка В разделе "Сопоставления" выберите «Синхронизировать группы Microsoft Entra с Twingate».
Просмотрите атрибуты группы, которые синхронизируются из Microsoft Entra ID в Twingate, в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства с меткой Сопоставление, используются для сопоставления групп в Twingate при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Доступно для фильтрации externalId (внешний идентификатор) Строка ✓ отображаемое имя Строка участники Справочные материалы Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.
Чтобы включить службу подготовки Microsoft Entra для Twingate, измените состояние подготовки на "Включено " в разделе "Параметры ".
Укажите пользователей и (или) группы, которым вы хотите предоставить доступ в Twingate, выбрав нужные значения в поле Область в разделе Параметры.
Когда будете готовы настроить, нажмите Сохранить.
После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, пока запущена служба подготовки Microsoft Entra.
Шаг 6. Изменение требуемого параметра назначения
Параметр по умолчанию — Нет , который позволяет пользователям входить в Twingate без назначения в корпоративном приложении.
Выберите Свойства.
Установите Обязательное назначение в Да
Выберите Сохранить
Шаг 7. Мониторинг развертывания
После настройки подготовки используйте следующие ресурсы для мониторинга развертывания.
- Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
- Проверьте индикатор выполнения, чтобы узнать текущее состояние цикла подготовки и насколько близко его завершение.
- Если конфигурация настройки находится в неисправном состоянии, приложение перейдет в карантин. Дополнительные сведения о режимах карантина см. здесь.
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?