Поделиться через

Настройте Workplace from Meta для автоматического предоставления пользователей с помощью Microsoft Entra ID

В этой статье описаны шаги, которые необходимо выполнить как в Workplace от Meta, так и в Microsoft Entra ID для настройки автоматического предоставления пользователей. При настройке идентификатор Microsoft Entra id автоматически подготавливает и отменяет подготовку пользователей в Workplace from Meta с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и ответы на часто задаваемые вопросы см. в статье Автоматизация предоставления и отмены предоставления доступа пользователей к приложениям SaaS с помощью Microsoft Entra ID

Поддерживаемые возможности

  • Создание пользователей в Workplace from Meta
  • Удаляйте пользователей из Workplace, принадлежащего Meta, когда им больше не требуется доступ.
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Workplace from Meta
  • Единый вход в Workplace from Meta (рекомендуется)

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

Примечание.

Чтобы проверить действия, описанные в этой статье, не рекомендуется использовать рабочую среду.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Чтобы протестировать действия, описанные в этой статье, выполните следующие рекомендации.

  • Не используйте рабочую среду, если в этом нет необходимости.
  • Если у вас нет пробной среды Microsoft Entra, вы можете получить её на один месяц здесь.

Шаг 1. Планирование развертывания снабжения

  1. Узнайте, как работает служба предоставления.
  2. Определите, кто находится в области предоставления.
  3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Workplace from Meta.

Шаг 2. Настройка Workplace from Meta для поддержки подготовки с помощью идентификатора Microsoft Entra

Перед настройкой и включением службы подготовки необходимо определить, какие пользователи в Microsoft Entra ID представляют пользователей, которым нужен доступ к приложению Workplace от Meta. Как только вы примете решение, вы можете назначить этих пользователей в ваше приложение Workplace from Meta, следуя инструкциям здесь:

  • Для проверки конфигурации предоставления рекомендуется назначить одного пользователя Microsoft Entra в Workplace от Meta. Другие пользователи могут быть назначены позже.

  • При назначении пользователя в Workplace from Meta необходимо выбрать действительную роль пользователя. Роль "Доступ по умолчанию" не работает для предоставления.

Добавьте Workplace from Meta из коллекции приложений Microsoft Entra, чтобы начать управлять предоставлением доступа к Workplace from Meta. Если вы ранее настроили Workplace from Meta для единого входа (SSO), можно использовать то же приложение. Однако мы рекомендуем создать отдельное приложение при первоначальном тестировании интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определите, кто входит в область обеспечения ресурсами.

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите определить, кто будет предоставляться вашему приложению на основе назначения, вы можете использовать действия для назначения пользователей и групп приложению. При выборе области, которая выделена только на основе атрибутов пользователя или группы, можно использовать фильтр области.

  • Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрять это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если область задана для всех пользователей и групп, можно указать фильтр области на основе атрибутов.

  • Если вам нужны дополнительные роли, можно обновить манифест приложения , чтобы добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Workplace from Meta

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей в Workplace from Meta App на основе назначений пользователей в идентификаторе Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к Entra ID>приложениям для предприятий

    Колонка корпоративных приложений

  3. В списке приложений выберите Workplace from Meta.

    Ссылка

  4. Перейдите на вкладку "Подготовка ".

    Снимок экрана вариантов управления с выделенным параметром подготовки.

  5. Задайте для режима подготовкизначение "Автоматический".

    Снимок экрана: раскрывающийся список режимов конфигурации с выделенным параметром

  6. Убедитесь, что раздел "URL-адрес арендатора" заполнен правильной конечной точкой: https://scim.workplace.com/. В разделе "Учетные данные администратора" выберите "Авторизовать". Вы перенаправляетесь на Workplace со страницы авторизации, принадлежащей Meta. Введите имя пользователя Workplace из Meta и нажмите кнопку «Продолжить». Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Workplace от Meta. Если подключение не удается, убедитесь, что ваша учетная запись Workplace from Meta имеет права администратора, и повторите попытку.

    Снимок экрана: диалоговое окно

    Уполномочивать

    Примечание.

    Не удалось изменить URL-адрес https://scim.workplace.com/ , что приведет к сбою при попытке сохранить конфигурацию.

  7. В поле Notification Email введите адрес электронной почты человека или группы, который должен получать уведомления об ошибках предоставления, и установите флажок Отправить уведомление по электронной почте при возникновении ошибки.

    Уведомление по электронной почте

  8. Нажмите кнопку "Сохранить".

  9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra в Workplace от Meta".

  10. Просмотрите атрибуты пользователя, которые синхронизированы из Microsoft Entra ID в Workplace from Meta в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления учетных записей пользователей в Workplace from Meta для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что Workplace from Meta API поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку "Сохранить ", чтобы зафиксировать любые изменения.

    Атрибут Тип
    userName Струна
    отображаемое имя Струна
    активный булевый
    заголовок булевый
    emails[тип eq "рабочий"].value Струна
    имя.имяОтчество Струна
    имя_фамилия Струна
    имя.отформатировано Струна
    адреса[тип == "работа"].отформатирован Струна
    адреса[тип eq "работа"].streetAddress Струна
    адреса[тип eq "рабочий"].местоположение Струна
    адреса[тип = "работа"].регион Струна
    адреса[тип eq "работа"].страна Струна
    адреса[тип равен "работа"].почтовый индекс Струна
    адреса[тип eq "прочее"].форматированный Струна
    Номера телефонов [тип равен "работа"]. значение Струна
    phoneNumbers[тип равен "мобильный"].значение Струна
    phoneNumbers[тип равен "факс"].значение Струна
    внешний_идентификатор Струна
    Предпочтительный язык Струна
    urn:scim:schemas:extension:enterprise:1.0.manager Струна
    urn:scim:schemas:extension:enterprise:1.0.отдел Струна
    urn:scim:schemas:extension:enterprise:1.0.подразделение Струна
    urn:scim:schemas:extension:enterprise:1.0.organization (техническое обозначение) Струна
    urn:scim:schemas:extension:enterprise:1.0.costCenter Струна
    urn:scim:schemas:extension:enterprise:1.0.employeeNumber Струна
    urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method Струна
    urn:scim:schemas:extension:facebook:frontline:1.0.является_первыми_линиями булевый
    urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate Целое число

  11. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтре области.

  12. Чтобы включить службу подготовки Microsoft Entra для Workplace from Meta, измените Состояние подготовки на Вкл в разделе Параметры.

    Состояние конфигурации переключено на включено

  13. Определите пользователей, которым вы хотите предоставить доступ в Workplace от Meta, выбрав соответствующие значения в области в разделе Параметры.

    Область подготовки

  14. Когда вы будете готовы к предоставлению, выберите Сохранить.

    Сохранение конфигурации провизирования

Эта операция запускает начальный цикл синхронизации всех пользователей, определенных в области в разделе "Параметры ". Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, при условии, что служба подготовки Microsoft Entra работает.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

  1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
  2. Проверьте индикатор хода выполнения, чтобы увидеть состояние цикла предоставления и насколько близко к завершению.
  3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Советы по устранению неполадок

  • Если пользователя не удалось создать и есть событие журнала аудита с кодом "1789003", это означает, что пользователь из непроверенного домена.
  • Существуют случаи, когда пользователи получают ошибку "ERROR: отсутствует поле электронной почты: Вы должны указать электронную почту. Ошибка, возвращенная из Facebook: обработка HTTP-запроса привела к исключению." Дополнительные сведения см. в http-ответе, возвращаемом свойством "Ответ" этого исключения. Эта операция была повторена ноль раз. Операция снова выполняется после этой даты. Эта ошибка возникает из-за того, что клиенты сопоставляют атрибут электронной почты, а не userPrincipalName, с электронной почтой Facebook, однако у некоторых пользователей атрибут электронной почты отсутствует. Чтобы избежать ошибок и успешно обеспечить пользователей в Workplace от Facebook, измените сопоставление атрибутов, связав атрибут электронной почты Workplace от Facebook с Coalesce([mail],[userPrincipalName]), снимите назначение пользователя из Workplace от Facebook или предоставьте пользователю адрес электронной почты.
  • В Workplace есть настройка, которая позволяет существовать пользователям без адресов электронной почты. Если эта настройка включена на стороне Workplace, параметризация на стороне Azure должна быть перезапущена, чтобы пользователи без адресов электронной почты успешно создавались в Workplace.

Обновите приложение Workplace от Meta для использования конечной точки SCIM 2.0 службы Workplace от Meta

В декабре 2021 года Facebook выпустила соединитель SCIM 2.0. Выполнение указанных шагов обновляет приложения, настроенные для использования конечной точки SCIM 1.0 на SCIM 2.0. Эти действия удаляют все настройки, которые были ранее внесены в приложение Workplace от Meta, в том числе:

  • Подробные сведения о проверке подлинности
  • Фильтры определения области действия
  • настраиваемые сопоставления атрибутов.

Примечание.

Не забудьте заметить все изменения, внесенные в параметры, перечисленные в предыдущем разделе, перед выполнением следующих действий. Если этого не сделать, это приведет к потере настраиваемых параметров.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите в Entra ID>корпоративные приложения>Workplace от Meta.

  3. Скопируйте идентификатор объекта в разделе "Свойства" нового пользовательского приложения.

    Снимок экрана приложения Workplace от Meta на портале Azure

  4. В новом окне веб-браузера перейдите по адресу https://developer.microsoft.com/graph/graph-explorer и войдите в качестве администратора клиента Microsoft Entra, где добавлено ваше приложение.

    Снимок экрана: страница входа в обозреватель Microsoft Graph

  5. Убедитесь, что используемая учетная запись имеет правильные разрешения. Для внесения этого изменения требуется разрешение "Directory.ReadWrite.All".

    Снимок экрана опции настроек Microsoft Graph

    Снимок экрана: разрешения Microsoft Graph

  6. Используя идентификатор ObjectID, выбранный в приложении ранее, выполните следующую команду:

    GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

  7. Принимая значение "id" из текста ответа запроса из предыдущегоGETпримера, выполните следующую команду, заменив "[job-id]" значением идентификатораGETиз запроса. Значение должно иметь формат "FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx".

    DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

  8. В обозревателе Microsoft Graph выполните следующую команду. Замените [object-id] на ID основного объекта службы (ID объекта), скопированный на третьем шаге.

    POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }

    Снимок экрана: запрос Microsoft Graph

  9. Вернитесь в первое окно веб-браузера и откройте вкладку "Подготовка" для приложения. Конфигурация сбрасывается. Вы можете убедиться, что обновление выполнено успешно, убедив, что идентификатор задания начинается с "FacebookWorkplace".

  10. Измените URL-адрес клиента в разделе "Учетные данные администратора" на следующий URL-адрес: https://scim.workplace.com/

    Снимок экрана: учетные данные администратора в рабочем месте из мета-приложения на портале Azure

  11. Восстановите все предыдущие изменения, внесенные в приложение (детали проверки подлинности, фильтры области, сопоставления настраиваемых атрибутов) и вновь включите предоставление.

    Примечание.

    Неудача в восстановлении предыдущих параметров может привести к тому, что атрибуты, например name.formatted, будут обновляться в Workplace неожиданно. Обязательно проверьте конфигурацию перед включением предоставления ресурсов.

Журнал изменений

  • 09.10.2020 — добавлена поддержка корпоративных атрибутов "division", "organization", "costCenter" и "employeeNumber". Добавлена поддержка настраиваемых атрибутов startDate, auth_method и frontline.
  • 22.07.2021 - Обновлены рекомендации по устранению неполадок для клиентов с сопоставлением электронной почты с почтой Facebook, хотя у некоторых пользователей нет почтового атрибута.

Дополнительные ресурсы

Связанный контент