教程:为 Cornerstone OnDemand 配置自动用户预配

  • 项目

本教程演示要将 Microsoft Entra ID 配置为自动将用户或组预配到 Cornerstone OnDemand 以及取消其预配,需在 Cornerstone OnDemand 和 Microsoft Entra ID 中执行的步骤。

警告

预配集成不再受到支持。 因此,Microsoft Entra 企业应用库中 Cornerstone OnDemand 应用程序的预配功能很快就会被删除。 应用程序的 SSO 功能将保持不变。 Microsoft 正在与 Cornerstone 合作构建新的新式预配集成,但没有关于何时完成的时间表。

注意

本教程介绍在 Microsoft Entra 用户预配服务之上构建的连接器。 有关此服务的功能、工作原理以及常见问题的信息,请参阅使用 Microsoft Entra ID 自动化服务型软件 (SaaS) 应用程序用户预配和取消预配

先决条件

本教程中所述的方案假定你具有:

  • 一个 Microsoft Entra 租户。
  • Cornerstone OnDemand 租户。
  • Cornerstone OnDemand 中具有管理员权限的用户帐户。

注意

Microsoft Entra 预配集成依赖于 Cornerstone OnDemand Web 服务。 此服务可供 Cornerstone OnDemand 团队使用。

从 Azure 市场添加 Cornerstone OnDemand

在使用 Microsoft Entra ID 为 Cornerstone OnDemand 配置自动用户预配之前,请从市场将 Cornerstone OnDemand 添加到托管 SaaS 应用程序列表。

若要从市场添加 Cornerstone OnDemand,请执行以下步骤。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。

  3. 在“从库中添加” 部分,键入 **“Cornerstone OnDemand”,然后从结果面板中选择“Cornerstone OnDemand”。 若要添加该应用程序,请选择“添加”。

    Cornerstone OnDemand in the results list

将用户分配到 Cornerstone OnDemand

Microsoft Entra ID 使用名为分配的概念来确定哪些用户应收到对所选应用的访问权限。 在自动用户预配的上下文中,只同步已分配到 Microsoft Entra ID 中的应用程序的用户或组。

在配置和启用自动用户预配之前,请确定 Microsoft Entra ID 中的哪些用户或组需要访问 Cornerstone OnDemand。 若要将这些用户或组分配到 Cornerstone OnDemand,请按照向企业应用分配用户或组中的说明进行操作。

将用户分配到 Cornerstone OnDemand 的重要提示

  • 建议将单个 Microsoft Entra 用户分配到 Cornerstone OnDemand,以测试自动用户预配配置。 可稍后再分配其他用户或组。

  • 将用户分配到 Cornerstone OnDemand 时,请在分配对话框中选择任何特定于应用程序的有效角色(如果有)。 具有“默认访问权限”角色的用户排除在预配之外。

配置 Cornerstone OnDemand 的自动用户预配

本部分将指导你完成配置 Microsoft Entra 预配服务的步骤。 使用它可以基于 Microsoft Entra 中的用户或组分配在 Cornerstone OnDemand 中创建、更新和禁用用户或组。

若要在 Microsoft Entra ID 中为 Cornerstone OnDemand 配置自动用户预配,请执行以下步骤。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“Cornerstone OnDemand”。

    Enterprise applications blade

  3. 在应用程序列表中,选择“Cornerstone OnDemand”。

    The Cornerstone OnDemand link in the applications list

  4. 选择“预配”选项卡。

    Cornerstone OnDemand Provisioning

  5. 将“预配模式”设置为“自动”。

    Cornerstone OnDemand Provisioning Mode

  6. 在“管理员凭据”部分下,输入 Cornerstone OnDemand 帐户的管理员用户名、管理员密码和域:

    • 在“管理员用户名”框中,填入 Cornerstone OnDemand 租户中管理员帐户的域或用户名。 例如 contoso\admin。

    • 在“管理员密码”框中,填入管理员用户名所对应的密码。

    • 在“域”框中,填入 Cornerstone OnDemand 租户的 Web 服务 URL。 例如,该服务位于 https://ws-[corpname].csod.com/feed30/clientdataservice.asmx,对于 Contoso,域为 https://ws-contoso.csod.com/feed30/clientdataservice.asmx

  7. 填写步骤 5 中所示的框后,选择“测试连接”以确保 Microsoft Entra ID 可以连接到 Cornerstone OnDemand。 如果连接失败,请确保 Cornerstone OnDemand 帐户具有管理员权限,然后重试。

    Cornerstone OnDemand Test Connection

  8. 在“通知电子邮件”框中,输入要接收预配错误通知的人员或组的电子邮件地址。 选中“发生故障时发送电子邮件通知”复选框。

    Cornerstone OnDemand Notification Email

  9. 选择“保存”。

  10. 在“映射”部分下,选择“将 Microsoft Entra 用户同步到 Cornerstone OnDemand”。

    Cornerstone OnDemand synchronization

  11. 在“属性映射”部分中,查看从 Microsoft Entra ID 同步到 Cornerstone OnDemand 的用户属性。 选为“匹配”属性的特性用于匹配 Cornerstone OnDemand 中的用户帐户以执行更新操作。 若要保存任何更改,请选择“保存”。

    Cornerstone OnDemand Attribute Mappings

  12. 若要配置范围筛选器,请按照范围筛选器教程中的说明进行操作。

  13. 若要为 Cornerstone OnDemand 启用 Microsoft Entra 预配服务,请在“设置”部分中将“预配状态”更改为“启用”。

    Cornerstone OnDemand Provisioning Status

  14. 定义要预配到 Cornerstone OnDemand 的用户或组。 在“设置”部分的“范围”中,选择所需的值。

    Cornerstone OnDemand Scope

  15. 准备好预配时,选择“保存”。

    Cornerstone OnDemand Save

此操作会对“设置”部分的“范围”中定义的所有用户或组启动初始同步 。 初始同步所需的时间比后续同步要长。 只要运行 Microsoft Entra 预配服务,大约每 40 分钟就会发生一次同步。

可使用“同步详细信息”部分监视进度并跟踪指向预配活动报告的链接。 该报告描述了 Microsoft Entra 预配服务对 Cornerstone OnDemand 执行的所有操作。

有关如何阅读 Microsoft Entra 预配日志的信息,请参阅有关自动用户帐户预配的报告

连接器限制

Cornerstone OnDemand“位置”特性需要一个与 Cornerstone OnDemand 门户上的角色相对应的值。 若要获取有效“位置”值的列表,请转到 Cornerstone OnDemand 门户中的“编辑用户记录”>“组织结构”>“位置”。

Cornerstone OnDemand Provisioning Edit User Record

Cornerstone OnDemand Provisioning Position

Cornerstone OnDemand Provisioning position list

其他资源

后续步骤