教程:为 Workplace from Meta 配置自动用户预配
本教程介绍了在 Workplace from Meta 和 Microsoft Entra ID 中配置自动用户预配时需执行的步骤。 配置后,Microsoft Entra ID 会使用 Microsoft Entra 预配服务自动将用户预配到 Workplace from Meta 以及取消预配。 有关此服务的功能、工作原理以及常见问题的重要详细信息,请参阅使用 Microsoft Entra ID 自动将用户预配到 SaaS 应用程序和取消预配。
支持的功能
- 在 Workplace from Meta 中创建用户
- 在用户不再有访问需求的情况下,在 Workplace from Meta 中删除用户
- 使用户属性在 Microsoft Entra ID 和 Workplace from Meta 之间保持同步
- 单一登录到 Workplace from Meta(推荐)
先决条件
本教程中概述的方案假定你已具有以下先决条件:
- 一个 Microsoft Entra 租户
- 以下角色之一:应用程序管理员、云应用程序管理员或应用程序所有者。
- 已启用 Workplace from Meta 单一登录的订阅
注意
不建议使用生产环境测试本教程中的步骤。
注意
此集成也可以通过 Microsoft Entra 美国政府云环境使用。 你可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。
测试本教程中的步骤应遵循以下建议:
- 除非必要,请勿使用生产环境。
- 如果没有 Microsoft Entra 试用环境,可以在此处获取一个月的试用版。
步骤 1:规划预配部署
- 了解预配服务的工作原理。
- 确定谁在预配范围中。
- 确定在 Microsoft Entra ID 与 Workplace from Meta 之间映射的数据。
步骤 2:配置 Workplace from Meta 以支持使用 Microsoft Entra ID 进行预配
在配置和启用预配服务前,需确定 Microsoft Entra ID 中哪些用户表示需要访问 Workplace from Meta 应用的用户。 确定后,可按照此处的说明将这些用户分配到你的 Workplace from Meta 应用:
建议将单个 Microsoft Entra 用户分配到 Workplace from Meta 以测试预配配置。 稍后可以分配更多用户。
将用户分配到 Workplace from Meta 时,必须选择有效的用户角色。 “默认访问权限”角色不可用于预配。
步骤 3:从 Microsoft Entra 应用程序库中添加 Workplace from Meta
从 Microsoft Entra 应用程序库添加 Workplace from Meta,开始管理 Workplace from Meta 的预配。 如果以前为 SSO 设置过 Workplace from Meta,则可以使用同一应用程序。 但建议你在最初测试集成时创建一个单独的应用。 若要详细了解如何从库中添加应用,可以单击此处。
步骤 4:定义谁在预配范围中
借助 Microsoft Entra 预配服务,可根据对应用程序的分配和用户/组的属性来限定谁在预配范围内。 如果选择根据分配来限定要将谁预配到应用,可以使用以下步骤将用户分配到应用程序。 如果选择仅根据用户或组的属性来限定要对谁进行预配,可以使用此处所述的范围筛选器。
先小部分测试。 在向全员推出之前,请先使用少量的用户和组进行测试。 如果预配范围设置为分配的用户和组,则可以先尝试将一两个用户或组分配到应用。 当预配范围设置为所有用户和组时,可以指定基于属性的范围筛选器。
如果你需要其他角色,可以更新应用程序清单以添加新角色。
部署 5:配置对 Workplace from Meta 的自动用户预配
本部分逐步介绍了如何配置 Microsoft Entra 预配服务,以根据 Microsoft Entra ID 中的用户分配在 Workplace from Meta 应用中创建、更新和禁用用户。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”
在应用程序列表中,选择“Workplace from Meta”。
选择“预配”选项卡。
将“预配模式”设置为“自动”。
确保使用正确的终结点填充“租户 URL”部分:https://scim.workplace.com/。 在“管理员凭据”部分下,单击“授权”。 你将被重定向到 Workplace from Meta 的授权页。 输入 Workplace from Meta 用户名,并单击“继续”按钮。 单击“测试连接”,确保 Microsoft Entra ID 可以连接到 Workplace from Meta。 如果连接失败,请确保 Workplace from Meta 帐户具有管理员权限并重试。
注意
尝试保存配置时,未能将 URL 更改为 https://scim.workplace.com/ 将导致失败
在“通知电子邮件”字段中,输入应接收预配错误通知的个人或组的电子邮件地址,并选中“发生故障时发送电子邮件通知”复选框 。
选择“保存”。
在“映射”部分下,选择“将 Microsoft Entra 用户同步到 Workplace from Meta”。
在“属性映射”部分,查看从 Microsoft Entra ID 同步到 Workplace from Meta 的用户属性。 选为“匹配”属性的特性用于匹配 Workplace from Meta 中的用户帐户以执行更新操作。 如果选择更改匹配的目标属性,则需要确保 Workplace from Meta API 支持基于该属性筛选用户。 选择“保存”按钮以提交任何更改。
Attribute 类型 userName 字符串 displayName 字符串 活动 Boolean title 布尔 emails[type eq "work"].value 字符串 name.givenName 字符串 name.familyName 字符串 name.formatted 字符串 addresses[type eq "work"].formatted 字符串 addresses[type eq "work"].streetAddress 字符串 addresses[type eq "work"].locality 字符串 addresses[type eq "work"].region 字符串 addresses[type eq "work"].country 字符串 addresses[type eq "work"].postalCode 字符串 addresses[type eq "other"].formatted 字符串 phoneNumbers[type eq "work"].value 字符串 phoneNumbers[type eq "mobile"].value 字符串 phoneNumbers[type eq "fax"].value 字符串 externalId 字符串 preferredLanguage 字符串 urn:scim:schemas:extension:enterprise:1.0.manager 字符串 urn:scim:schemas:extension:enterprise:1.0.department String urn:scim:schemas:extension:enterprise:1.0.division String urn:scim:schemas:extension:enterprise:1.0.organization String urn:scim:schemas:extension:enterprise:1.0.costCenter String urn:scim:schemas:extension:enterprise:1.0.employeeNumber String urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method 字符串 urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline 布尔 urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate Integer 若要配置范围筛选器,请参阅范围筛选器教程中提供的以下说明。
要为 Workplace from Meta 启用 Microsoft Entra 预配服务,请在“设置”部分将“预配状态”更改为“开”。
通过在“设置”部分的“范围”中选择相应的值,定义要预配到 Workplace from Meta 的用户。
在已准备好预配时,请单击“保存”。
此操作会对“设置”部分的“范围”中定义的所有用户启动初始同步周期 。 初始周期执行的时间比后续周期长,只要 Microsoft Entra 预配服务正在运行,后续周期大约每 40 分钟就会进行一次。
步骤 6:监视部署
配置预配后,请使用以下资源来监视部署:
故障排除提示
- 如果看到未成功创建用户,并且存在代码为“1789003”的审核日志事件,则表示用户来自未经验证的域。
- 在某些情况下,用户会收到错误“错误: 缺少电子邮件字段: 必须提供 Facebook 返回的电子邮件错误: 处理 HTTP 请求时发生异常。 有关详细信息,请参阅此异常情况的“Response”属性返回的 HTTP 响应。 此操作已重试 0 次。 操作将在此日期后重试”。 此错误是因为客户将 mail(而不是 userPrincipalName)映射到 Facebook 电子邮件,但某些用户不具有 mail 属性。 要避免这些错误,并成功将失败的用户预配到 Facebook 中的工作区,请将映射到该工作区的属性从 Facebook 电子邮件属性修改到 Coalesce ([mail],[userPrincipalName]) 或取消从 Facebook 的工作区中分配用户,或预配用户的电子邮件地址。
- 工作区中提供了一个选项,允许没有电子邮件地址的用户存在。如果在工作区端启用此设置,则必须重启 Azure 端预配,才能在工作区中成功创建没有电子邮件的用户。
更新 Workplace from Meta 应用程序以使用 Workplace from Meta SCIM 2.0 终结点
2021 年 12 月,Facebook 发布了 SCIM 2.0 连接器。 完成以下步骤会将配置为使用 SCIM 1.0 终结点的应用程序更新为使用 SCIM 2.0 终结点。 这些步骤将删除以前对 Workplace from Meta 应用程序进行的任何自定义,包括:
- 身份验证详细信息
- 范围筛选器
- 自定义属性映射
注意
在完成以下步骤之前,请务必记下对上面列出的设置所做的任何更改。 否则会导致自定义设置丢失。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“Workplace from Meta”。
在新的自定义应用的“属性”部分,复制“对象 ID”。
在新的 Web 浏览器窗口中,转到 https://developer.microsoft.com/graph/graph-explorer 并以要向其中添加应用的 Microsoft Entra 租户的管理员身份登录。
检查以确保所使用的帐户具有正确的权限。 进行此更改需要“Directory.ReadWrite.All”权限。
使用之前从应用中选择的 ObjectID,运行以下命令:
GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/从上述 GET 请求的响应正文获取 ID 值,运行以下命令,将 [job-id] 替换为 GET 请求中的 ID 值。 值的格式应为“FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx”:
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]在 Graph 浏览器中,运行以下命令。 将“[object-id]”替换为从第三步复制的服务主体 ID(对象 ID)。
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
返回到第一个 Web 浏览器窗口,选择应用程序的“预配”选项卡。 配置已重置。 可通过确认作业 ID 以“FacebookWorkplace”开头来确认升级已进行。
将“管理员凭据”部分中的租户 URL 更新为以下内容:https://scim.workplace.com/
还原你之前对应用程序所做的任何更改(身份验证详细信息、范围筛选器、自定义属性映射)并重新启用预配。
注意
未能还原之前的设置可能会导致 Workplace 中的属性(例如 name.formatted)意外更新。 在启用预配之前,请务必检查配置
更改日志
- 2020/09/10 - 添加了对企业属性“division”、“organization”、“costCenter”和“employeeNumber”的支持。 添加了对自定义属性“startDate”、“auth_method”和“frontline”的支持。
- 2021/07/22 - 更新了向客户提供的故障排除提示,即将 mail 映射到 Facebook 邮件,但某些用户不具有 mail 属性。