你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:为 Workplace by Facebook 配置自动用户预配

  • 项目

本教程介绍了在 Workplace by Facebook 和 Microsoft Entra ID 中配置自动用户预配时需执行的步骤。 配置后,Microsoft Entra ID 会使用 Microsoft Entra 预配服务自动将用户预配到 Workplace by Facebook 以及取消预配。 有关此服务的功能、工作原理以及常见问题的重要详细信息,请参阅使用 Microsoft Entra ID 自动将用户预配到 SaaS 应用程序和取消预配

支持的功能

  • 在 Workplace by Facebook 中创建用户
  • 在用户不再有访问需求的情况下,在 Workplace by Facebook 中删除用户
  • 使用户属性在 Microsoft Entra ID 和 Workplace by Facebook 之间保持同步
  • 单一登录到 Workplace by Facebook(推荐)

先决条件

本教程中概述的方案假定你已具有以下先决条件:

  • 一个 Microsoft Entra 租户
  • 具有配置预配权限的 Microsoft Entra ID 用户帐户(例如应用程序管理员、云应用程序管理员、应用程序所有者或全局管理员)。
  • 已启用 Workplace by Facebook 单一登录的订阅

注意

不建议使用生产环境测试本教程中的步骤。

注意

此集成也可以通过 Microsoft Entra 美国政府云环境使用。 你可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。

测试本教程中的步骤应遵循以下建议:

  • 除非必要,请勿使用生产环境。
  • 如果没有 Microsoft Entra 试用环境,可以在此处获取一个月的试用版。

步骤 1:规划预配部署

  1. 了解预配服务的工作原理
  2. 确定谁在预配范围中。
  3. 确定在 Microsoft Entra ID 与 Workplace by Facebook 之间映射的数据。

步骤 2:配置 Workplace by Facebook 以支持使用 Microsoft Entra ID 进行预配

在配置和启用预配服务前,需确定 Microsoft Entra ID 中哪些用户表示需要访问 Workplace by Facebook 应用的用户。 确定后,可按照此处的说明将这些用户分配到你的 Workplace by Facebook 应用:

  • 建议将单个 Microsoft Entra 用户分配到 Workplace by Facebook 以测试预配配置。 稍后可以分配更多用户。

  • 将用户分配到 Workplace by Facebook 时,必须选择有效的用户角色。 “默认访问权限”角色不可用于预配。

从 Microsoft Entra 应用程序库添加 Workplace by Facebook,开始管理 Workplace by Facebook 的预配。 如果以前为 SSO 设置过 Workplace by Facebook,则可以使用同一应用程序。 但建议你在最初测试集成时创建一个单独的应用。 若要详细了解如何从库中添加应用,可以单击此处

步骤 4:定义谁在预配范围中

借助 Microsoft Entra 预配服务,可根据对应用程序的分配和用户/组的属性来限定谁在预配范围内。 如果选择根据分配来限定要将谁预配到应用,可以使用以下步骤将用户分配到应用程序。 如果选择仅根据用户或组的属性来限定要对谁进行预配,可以使用此处所述的范围筛选器。

  • 先小部分测试。 在向全员推出之前,请先使用少量的用户和组进行测试。 如果预配范围设置为分配的用户和组,则可以先尝试将一两个用户或组分配到应用。 当预配范围设置为所有用户和组时,可以指定基于属性的范围筛选器

  • 如果你需要其他角色,可以更新应用程序清单以添加新角色。

部署 5:配置对 Workplace by Facebook 的自动用户预配

本部分逐步介绍了如何配置 Microsoft Entra 预配服务,以根据 Microsoft Entra ID 中的用户分配在 Workplace by Facebook App 中创建、更新和禁用用户。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览至“标识”>“应用程序”>“企业应用程序”

    “企业应用程序”边栏选项卡

  3. 在应用程序列表中,选择“Workplace by Facebook”

    应用程序列表中的 Workplace by Facebook 链接

  4. 选择“预配”选项卡。

    “管理”选项的屏幕截图,其中突出显示了“预配”选项。

  5. 将“预配模式”设置为“自动”。

    “预配模式”下拉列表的屏幕截图,其中突出显示了“自动”选项。

  6. 确保使用正确的终结点填充“租户 URL”部分:https://scim.workplace.com/。在“管理员凭据”部分下,单击“授权”。 你将被重定向到 Workplace by Facebook 的授权页。 输入 Workplace by Facebook 用户名,并单击“继续”按钮。 单击“测试连接”,确保 Microsoft Entra ID 可以连接到 Workplace by Facebook。 如果连接失败,请确保 Workplace by Facebook 帐户具有管理员权限并重试。

    屏幕截图显示具有“授权”选项的“管理员凭据”对话框。

    授权

    注意

    尝试保存配置时,未能将 URL 更改为 https://scim.workplace.com/ 将导致失败

  7. 在“通知电子邮件”字段中,输入应接收预配错误通知的个人或组的电子邮件地址,并选中“发生故障时发送电子邮件通知”复选框 。

    通知电子邮件

  8. 选择“保存”。

  9. 在“映射”部分下,选择“将 Microsoft Entra 用户同步到 Workplace by Facebook”。

  10. 在“属性映射”部分,查看从 Microsoft Entra ID 同步到 Workplace by Facebook 的用户属性。 选为“匹配”属性的属性将用于匹配 Workplace by Facebook 中的用户帐户以执行更新操作。 如果选择更改匹配目标特性,则需要确保 Workplace by Facebook API 支持基于该特性筛选用户。 选择“保存”按钮以提交任何更改。

    Attribute 类型
    userName 字符串
    displayName 字符串
    活动 Boolean
    title 布尔
    emails[type eq "work"].value 字符串
    name.givenName 字符串
    name.familyName 字符串
    name.formatted 字符串
    addresses[type eq "work"].formatted 字符串
    addresses[type eq "work"].streetAddress 字符串
    addresses[type eq "work"].locality 字符串
    addresses[type eq "work"].region 字符串
    addresses[type eq "work"].country 字符串
    addresses[type eq "work"].postalCode 字符串
    addresses[type eq "other"].formatted 字符串
    phoneNumbers[type eq "work"].value 字符串
    phoneNumbers[type eq "mobile"].value 字符串
    phoneNumbers[type eq "fax"].value 字符串
    externalId 字符串
    preferredLanguage 字符串
    urn:scim:schemas:extension:enterprise:1.0.manager 字符串
    urn:scim:schemas:extension:enterprise:1.0.department String
    urn:scim:schemas:extension:enterprise:1.0.division String
    urn:scim:schemas:extension:enterprise:1.0.organization String
    urn:scim:schemas:extension:enterprise:1.0.costCenter String
    urn:scim:schemas:extension:enterprise:1.0.employeeNumber String
    urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method 字符串
    urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline 布尔
    urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate Integer

  11. 若要配置范围筛选器,请参阅范围筛选器教程中提供的以下说明。

  12. 若要为 Workplace by Facebook 启用 Microsoft Entra 预配服务,请在“设置”部分将“预配状态”更改为“”。

    预配状态已打开

  13. 通过在“设置”部分的“范围”中选择相应的值,定义要预配到 Workplace by Facebook 的用户。

    预配范围

  14. 在已准备好预配时,请单击“保存”。

    保存预配配置

此操作会对“设置”部分的“范围”中定义的所有用户启动初始同步周期 。 初始周期执行的时间比后续周期长,只要 Microsoft Entra 预配服务正在运行,后续周期大约每 40 分钟就会进行一次。

步骤 6:监视部署

配置预配后,请使用以下资源来监视部署:

  1. 通过预配日志来确定哪些用户已预配成功或失败
  2. 检查进度栏来查看预配周期的状态以及完成进度
  3. 如果怀疑预配配置处于非正常状态,则应用程序将进入隔离状态。 有关隔离状态的详细信息,请访问此处

故障排除提示

  • 如果看到未成功创建用户,并且存在代码为“1789003”的审核日志事件,则表示用户来自未经验证的域。
  • 在某些情况下,用户会收到错误“错误: 缺少电子邮件字段: 必须提供 Facebook 返回的电子邮件错误: 处理 HTTP 请求时发生异常。 有关详细信息,请参阅此异常情况的“Response”属性返回的 HTTP 响应。 此操作已重试 0 次。 操作将在此日期后重试”。 此错误是因为客户将 mail(而不是 userPrincipalName)映射到 Facebook 电子邮件,但某些用户不具有 mail 属性。 要避免这些错误,并成功将失败的用户预配到 Facebook 中的工作区,请将映射到该工作区的属性从 Facebook 电子邮件属性修改到 Coalesce ([mail],[userPrincipalName]) 或取消从 Facebook 的工作区中分配用户,或预配用户的电子邮件地址。
  • Workplace 中有一个选项,它允许存在没有电子邮件地址的用户。如果在 Workplace 端切换此设置,则必须重启 Azure 端的预配,以便在 Workplace 中成功创建没有电子邮件的用户。

更新 Workplace by Facebook 应用程序以使用 Workplace by Facebook SCIM 2.0 终结点

2021 年 12 月,Facebook 发布了 SCIM 2.0 连接器。 完成以下步骤会将配置为使用 SCIM 1.0 终结点的应用程序更新为使用 SCIM 2.0 终结点。 这些步骤将删除以前对 Workplace by Facebook 应用程序进行的任何自定义,包括:

  • 身份验证详细信息
  • 范围筛选器
  • 自定义属性映射

注意

在完成以下步骤之前,请务必记下对上面列出的设置所做的任何更改。 否则会导致自定义设置丢失。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“Workplace by Facebook”。

  3. 在新的自定义应用的“属性”部分,复制“对象 ID”。

    Azure 门户中 Workplace by Facebook 应用的屏幕截图

  4. 在新的 Web 浏览器窗口中,转到 https://developer.microsoft.com/graph/graph-explorer 并以要向其中添加应用的 Microsoft Entra 租户的管理员身份登录。

    Microsoft Graph 浏览器登录页面的屏幕截图

  5. 检查以确保所使用的帐户具有正确的权限。 进行此更改需要“Directory.ReadWrite.All”权限。

    Microsoft Graph 设置选项的屏幕截图

    Microsoft Graph 权限的屏幕截图

  6. 使用之前从应用中选择的 ObjectID,运行以下命令:

    GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

  7. 从上述 GET 请求的响应正文获取 ID 值,运行以下命令,将 [job-id] 替换为 GET 请求中的 ID 值。 值的格式应为“FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx”:

    DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

  8. 在 Graph 浏览器中,运行以下命令。 将“[object-id]”替换为从第三步复制的服务主体 ID(对象 ID)。

    POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }

    Microsoft Graph 请求的屏幕截图

  9. 返回到第一个 Web 浏览器窗口,选择应用程序的“预配”选项卡。 配置已重置。 可通过确认作业 ID 以“FacebookWorkplace”开头来确认升级已进行。

  10. 将“管理员凭据”部分中的租户 URL 更新为以下内容:https://scim.workplace.com/

    Azure 门户中 Workplace by Facebook 应用中的“管理员凭据”的屏幕截图

  11. 还原你之前对应用程序所做的任何更改(身份验证详细信息、范围筛选器、自定义属性映射)并重新启用预配。

    注意

    未能还原之前的设置可能会导致 Workplace 中的属性(例如 name.formatted)意外更新。 在启用预配之前,请务必检查配置

更改日志

  • 2020/09/10 - 添加了对企业属性“division”、“organization”、“costCenter”和“employeeNumber”的支持。 添加了对自定义属性“startDate”、“auth_method”和“frontline”的支持
  • 2021/07/22 - 更新了向客户提供的故障排除提示,即将 mail 映射到 Facebook 邮件,但某些用户不具有 mail 属性

更多资源

后续步骤