Microsoft Entra 內部部署應用程式布建至已啟用 SCIM 的應用程式

  • 文章

Microsoft Entra 布建服務支援 SCIM 2.0 用戶端,可用來自動將使用者布建到雲端或內部部署應用程式。 本文概述如何使用 Microsoft Entra 布建服務,將使用者布建至已啟用 SCIM 的內部部署應用程式。 如果您想要將使用者布建到使用 SQL 作為數據存放區的非 SCIM 內部部署應用程式,請參閱 Microsoft Entra ECMA 連線 or Host Generic SQL 連線 or 教學課程。 如果您想要將使用者布建到DropBox和 Atlassian 等雲端應用程式,請檢閱應用程式特定的 教學課程

Diagram that shows SCIM architecture.

必要條件

  • 具有 Microsoft Entra ID P1 或 進階版 P2 的 Microsoft Entra 租使用者(或 EMS E3 或 E5)。 使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能
  • 管理員 istrator 角色來安裝代理程式。 此工作是一次性工作,應該是混合式身分識別 管理員 istrator 或全域管理員的 Azure 帳戶。
  • 管理員 istrator 角色,用於在雲端中設定應用程式(應用程式管理員、雲端應用程式管理員、全域管理員,或具有許可權的自定義角色)。
  • 至少有 3 GB RAM 的電腦,用來裝載布建代理程式。 計算機應具有 Windows Server 2016 或更新版本的 Windows Server、目標應用程式的連線能力,以及與 login.microsoftonline.com、其他 Microsoft Online Services 和 Azure 網域的輸出連線。 例如裝載於 Azure IaaS 或 Proxy 後方的 Windows Server 2016 虛擬機。
  • 請確定您的 SCIM 實作符合 Microsoft Entra SCIM 需求。 Microsoft Entra ID 提供開放原始碼參考程式代碼,開發人員可用來啟動其 SCIM 實作,如教學課程:在 Microsoft Entra ID 中開發範例 SCIM 端點中所述
  • 支援 /schemas 端點,以減少 Azure 入口網站 中所需的設定。

安裝和設定 Microsoft Entra 連線 布建代理程式

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別應用程式企業應用程式]。>
  3. 搜尋 內部部署 SCIM 應用程式 應用程式、提供應用程式名稱,然後選取 [建立 ] 將它新增至您的租使用者。
  4. 從功能表中,瀏覽至應用程式的 [ 布建 ] 頁面。
  5. 選取開始使用
  6. 在 [ 布建] 頁面上,將模式變更為 [自動]。

Screenshot of selecting Automatic.

  1. [內部部署 連線]底下,選取 [下載並安裝],然後選取 [接受條款及下載]。

Screenshot of download location for agent.

  1. 離開入口網站並開啟布建代理程式安裝程式、同意服務條款,然後選取 [ 安裝]。
  2. 等候 Microsoft Entra 布建代理程式設定精靈,然後選取 [ 下一步]。
  3. 在 [ 選取擴充功能 ] 步驟中,選取 [內部部署應用程式布建 ],然後選取 [ 下一步]。
  4. 布建代理程式會使用操作系統的網頁瀏覽器來顯示彈出視窗,讓您向 Microsoft Entra ID 進行驗證,並可能也會顯示組織的識別提供者。 如果您使用 Internet Explorer 做為 Windows Server 上的瀏覽器,您可能需要將 Microsoft 網站新增至瀏覽器的信任網站清單,以允許 JavaScript 正確執行。
  5. 當系統提示您授權時,請提供 Microsoft Entra 系統管理員的認證。 用戶必須具備混合式身分識別 管理員 istrator 或 Global 管理員 istrator 角色。
  6. 選取 [ 確認 ] 以確認設定。 安裝成功之後,您可以選取 [ 結束],並關閉 [布建代理程式套件安裝程式]。

透過布建代理程式設定連線

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式企業應用程式]。>

  3. 搜尋稍早建立的應用程式。

  4. 從功能表中,瀏覽至應用程式的 [ 布建 ] 頁面。

  5. 在入口網站的 [內部部署 連線 ivity] 區段上,選取您部署的代理程式,然後選取 [指派代理程式]。

    Screenshot that shows how to select and assign an agent.

  6. 重新啟動布建代理程式服務,或在測試連線前等候 10 分鐘。

  7. 在 [ 租使用者 URL] 字段中,輸入應用程式 SCIM 端點的 URL。 範例: https://api.contoso.com/scim/

  8. 將 SCIM 端點所需的 OAuth 持有人令牌複製到 [ 秘密令牌 ] 字段。

  9. 選取 [測試 連線,讓 Microsoft Entra ID 嘗試連線到 SCIM 端點。 如果嘗試失敗,則會顯示錯誤資訊。

  10. 嘗試連線到應用程式成功之後,請選取 [ 儲存 ] 以儲存系統管理員認證。

  11. 當您使用設定精靈完成下一個步驟的設定時,請保持此瀏覽器窗口開啟。

布建至已啟用 SCIM 的應用程式

安裝代理程式之後,內部部署不需要進一步設定,然後從入口網站管理所有布建組態。 針對透過SCIM布建的每個內部部署應用程式重複下列步驟。

  1. 設定應用程式所需的任何 屬性對應範圍 規則。
  2. 使用者和群組 指派給應用程式,將使用者新增至範圍。
  3. 視需要測試布建幾個使用者
  4. 將更多使用者指派給您的應用程式,以將更多使用者新增至範圍。
  5. 移至 [ 布建] 窗格,然後選取 [ 開始布建]。
  6. 使用布建記錄進行監視。

下列影片提供內部部署布建的概觀。

下一步