本文介绍在 Workplace from Meta 和 Microsoft Entra ID 中配置自动用户预配时需要执行的步骤。 配置后,Microsoft Entra ID 会自动使用 Microsoft Entra 预配服务将用户从 Meta 预配到 Workplace 和取消预配。 有关此服务的具体作用、工作原理以及常见问题的详细信息,请参阅 使用 Microsoft Entra ID 自动为 SaaS 应用程序进行用户预配和取消预配。
支持的功能
- 通过 Meta 在 Workplace 中创建用户
- 当用户不再需要访问权限时,请在 Meta 中移除他们。
- 使用户属性在 Microsoft Entra ID 和 Workplace from Meta 之间保持同步
- 从 Meta 单一登录 Workplace (建议)
先决条件
本文中概述的方案假定你已具备以下先决条件:
注释
若要测试本文中的步骤,不建议使用生产环境。
注释
还可以从 Microsoft Entra US Government 云环境使用此集成。 可以在 Microsoft Entra US Government 云应用程序库中找到此应用程序,并按照与从公有云中相同的方式对其进行配置。
若要测试本文中的步骤,应遵循以下建议:
- 除非必要,请勿使用生产环境。
- 如果没有 Microsoft Entra 试用环境,可以在此处获取一个月的试用版。
步骤 1:规划预配部署
- 了解 预配服务的工作原理。
- 确定哪些对象在预配范围内。
- 确定 在 Microsoft Entra ID 和来自 Meta 的 Workplace 之间要映射的数据。
步骤 2:将 Workplace from Meta 配置为支持使用 Microsoft Entra ID 进行预配
在配置和启用预配服务之前,需要确定Microsoft Entra ID 中的哪些用户表示需要从 Meta 应用访问 Workplace 的用户。 确定后,可以按照此处的说明将这些用户从 Meta 应用分配到 Workplace:
建议将单个 Microsoft Entra 用户分配到 Workplace from Meta 以测试预配配置。 以后可能会分配更多用户。
将用户从 Meta 分配到 Workplace 时,必须选择有效的用户角色。 “默认访问权限”角色不可用于预配。
步骤 3:从 Microsoft Entra 应用程序库中添加 Meta 的 Workplace
将 Workplace from Meta 从 Microsoft Entra 应用程序库中添加,以开始管理对 Workplace from Meta 的预配。 如果以前已设置 Workplace from Meta 进行单一登录(SSO),则可以使用相同的应用程序。 但是,我们建议在最初测试集成时创建单独的应用。 在此处 了解有关如何从图库添加应用程序的详细信息。
步骤 4:定义谁在预配范围内
通过Microsoft Entra 预配服务,你可以根据应用程序分配或用户或组的属性来限定预配的人员的范围。 如果您选择根据分配范围决定将哪些人员预配到您的应用程序,您可以使用 步骤将用户和组分配到应用程序中。 如果选择仅根据用户或组的属性来限定预配的人员,则可以 使用范围筛选器。
从小开始。 在向所有人推出之前,先使用一小部分用户和组进行测试。 将预配范围设置为已分配的用户和组时,可以通过向应用分配一两个用户或组来控制此设置。 将范围设置为所有用户和组时,可以指定 基于属性的范围筛选器。
如果需要额外的角色,可以 更新应用程序清单 以添加新角色。
步骤 5:从 Meta 配置到 Workplace 的自动用户预配
本节将指导你完成配置 Microsoft Entra 预配服务的步骤,以基于 Microsoft Entra ID 中的用户分配在 Meta App 的 Workplace 中创建、更新和禁用用户。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
转到 Entra ID>企业应用
在应用程序列表中, 从 Meta 中选择 Workplace。
选择“预配”选项卡。
将“预配模式”设置为“自动”。
确保“租户 URL”部分填写正确的终结点:https://scim.workplace.com/ 在“ 管理员凭据 ”部分下,选择“ 授权”。 你已从 Meta 的授权页面重定向到 Workplace。 输入你的 Meta Workplace 用户名,然后选择继续按钮。 选择 “测试连接 ”,确保Microsoft Entra ID 可以从 Meta 连接到 Workplace。 如果连接失败,请确保 Workplace from Meta 帐户具有管理员权限,然后重试。
注释
未能将 URL 更改为 https://scim.workplace.com/,会导致在尝试保存配置时失败。
在 “通知电子邮件 ”字段中,输入应接收预配错误通知的人员或组的电子邮件地址,并在 发生故障时选中“发送电子邮件通知 ”复选框。
选择“保存”。
在“ 映射 ”部分下,选择“ 将Microsoft Entra 用户从 Meta 同步到 Workplace”。
请在“属性映射”部分查看从 Microsoft Entra ID 同步至 Workplace 的用户属性。 选择为匹配属性的属性用于在 Meta 的 Workplace 中匹配用户帐户以进行更新操作。 如果选择更改 匹配的目标属性,则需要确保 Workplace from Meta API 支持基于该属性筛选用户。 选择“保存”按钮以提交任何更改 。
特征 类型 用户名 字符串 显示名称 字符串 活跃 布尔型 标题 布尔型 emails[type eq "工作"].value 字符串 名字.给定名 字符串 姓名.姓氏 字符串 姓名.已格式化 字符串 addresses[type eq “work”].formatted 字符串 addresses[type eq “工作”].街道地址 字符串 addresses[type eq “work”].locality 字符串 addresses[type eq “work”].region 字符串 addresses[type eq “work”].country 字符串 addresses[type eq “work”].postalCode 字符串 addresses[type eq "其他"].formatted 字符串 phoneNumbers[type eq "工作"].value 字符串 phoneNumbers[type eq "移动"].value 字符串 电话号码[类型 eq “传真”].值 字符串 externalId 字符串 首选语言 字符串 urn:scim:schemas:extension:enterprise:1.0.manager 字符串 urn:scim:schemas:extension:enterprise:1.0.department 字符串 urn:scim:schemas:extension:enterprise:1.0.division 字符串 urn:scim:schemas:extension:enterprise:1.0.organization 字符串 urn:scim:schemas:extension:enterprise:1.0.costCenter 字符串 urn:scim:schemas:extension:enterprise:1.0.employeeNumber 字符串 urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method 字符串 urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline 布尔型 urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate 整数 若要配置范围筛选器,请参阅 范围筛选器文章中提供的以下说明。
若要启用 Microsoft Entra 为 Meta 的 Workplace 进行预配服务,请在“设置”部分中将“预配状态”更改为“开启”。
通过在“设置”部分中的“作用域”中选择适当的值,定义要从 Meta 预配到 Workplace 的用户。
准备好预配时,选择“保存”。
此操作启动在“设置 部分”中 范围 所定义的所有用户的初始同步周期。 初始周期的执行时间比后续周期要长,而在 Microsoft Entra 预配服务运行期间,后续周期大约每 40 分钟发生一次。
第6步:监控您的部署
配置预配后,请使用以下资源来监视部署:
- 使用 预配日志 确定哪些用户已成功或未成功预配
- 检查 进度栏 以查看预配周期的状态及其完成程度
- 如果预配配置似乎处于不正常状态,则应用程序进入隔离状态。 您可以在应用程序预配隔离状态一文中了解有关隔离状态的更多信息。
故障排除提示
- 如果看到用户未成功创建,并且存在包含代码“1789003”的审核日志事件,则表示用户来自未验证的域。
- 在某些情况下,用户会收到错误“错误: 缺少电子邮件字段: 必须提供 Facebook 返回的电子邮件错误: 处理 HTTP 请求时发生异常。 有关详细信息,请参阅此异常情况的“Response”属性返回的 HTTP 响应。 此操作已重试 0 次。 此操作将在此日期之后重试。 此错误是因为客户将 mail(而不是 userPrincipalName)映射到 Facebook 电子邮件,但某些用户不具有 mail 属性。 要避免这些错误,并成功将失败的用户预配到 Facebook 中的工作区,请将映射到该工作区的属性从 Facebook 电子邮件属性修改到 Coalesce ([mail],[userPrincipalName]) 或取消从 Facebook 的工作区中分配用户,或预配用户的电子邮件地址。
- Workplace 中有一个选项,允许没有电子邮件地址的用户存在。如果在 Workplace 端启用此设置,则必须重启 Azure 端的预配,以便可以成功创建没有电子邮件地址的用户。
将 Workplace from Meta 应用程序更新为使用 Workplace from Meta SCIM 2.0 终结点
2021 年 12 月,Facebook 发布了 SCIM 2.0 连接器。 完成给定步骤后,将原来配置为使用 SCIM 1.0 终结点的应用程序更新为使用 SCIM 2.0 终结点。 这些步骤从 Meta 应用程序中删除以前对 Workplace 所做的任何自定义,包括:
- 身份验证详细信息
- 范围筛选器
- 自定义属性映射
注释
在完成以下步骤之前,请务必注意对上一节中列出的设置所做的任何更改。 否则会导致自定义设置丢失。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
请浏览到 Entra ID>Enterprise 应用>来自 Meta 的 Workplace。
在新的自定义应用的“属性”部分,复制“对象 ID”。
在新的 Web 浏览器窗口中,转到 https://developer.microsoft.com/graph/graph-explorer 并以要向其中添加应用的 Microsoft Entra 租户的管理员身份登录。
检查以确保所使用的帐户具有正确的权限。 进行此更改需要“Directory.ReadWrite.All”权限。
使用之前从应用中选择的 ObjectID,运行以下命令:
GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
从上一示例中请求的
GET
响应正文获取“id”值,运行以下命令,将“[job-id]”替换为请求中的GET
ID 值。 值的格式应为“FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx”:DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
在 Microsoft Graph 资源管理器中运行以下命令。 将“[object-id]”替换为从第三步复制的服务主体 ID(对象 ID)。
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
返回到第一个 Web 浏览器窗口,选择应用程序的“预配”选项卡。 配置将重置。 可以通过确认任务 ID 是否以“FacebookWorkplace”开头来确定升级是否成功。
将“管理员凭据”部分中的租户 URL 更新为以下 URL: https://scim.workplace.com/
还原你之前对应用程序所做的任何更改(身份验证详细信息、范围筛选器、自定义属性映射)并重新启用预配。
注释
未能还原以前的设置可能会导致属性(例如 name.formatted 例如)意外地在 Workplace 中更新。 在启用预配之前,请务必检查配置
更改日志
- 2020/09/10 - 添加了对企业属性“部门”、“组织”、“costCenter”和“employeeNumber”的支持。添加了对自定义属性“startDate”、“auth_method”和“frontline”的支持。
- 2021/07/22 - 更新了将邮件映射到 Facebook 邮件的客户故障排除提示,但某些用户没有邮件属性。