本文介绍在 Bizagi Studio for Digital Process Automation 和 Microsoft Entra ID 中配置自动用户预配所需的步骤。 配置为执行此操作后,Microsoft Entra ID 会使用 Microsoft Entra 预配服务自动将用户和组预配到 Bizagi Studio for Digital Process Automation 以及将其取消预配。 有关此服务的功能、工作原理以及常见问题解答的重要详细信息,请参阅使用 Microsoft Entra ID 自动将用户预配到 SaaS 应用程序和取消预配。
支持的功能
- 在 Bizagi Studio for Digital Process Automation 中创建用户
- 在用户不再有访问需求的情况下,在 Bizagi Studio for Digital Process Automation 中删除用户
- 使用户属性在 Microsoft Entra ID 和 Bizagi Studio for Digital Process Automation 之间保持同步
- 单一登录到 Bizagi Studio for Digital Process Automation(建议)
先决条件
本文中概述的方案假定你已具备以下内容:
- Microsoft Entra 租户。
- 以下角色之一: 应用程序管理员、 云应用程序管理员或 应用程序所有者。
- Bizagi Studio for Digital Process Automation 版本 11.2.4.2X 或更高版本。
规划预配部署
按照以下步骤进行计划:
- 了解 预配服务的工作原理。
- 确定谁在预配范围内。
- 确定在 Microsoft Entra ID 与 Bizagi Studio for Digital Process Automation 之间映射的数据。
配置为支持使用 Microsoft Entra ID 进行预配
要将 Bizagi Studio for Digital Process Automation 配置为支持通过 Microsoft Entra ID 进行预配,请执行以下步骤:
以具有管理员权限的用户身份登录工作门户。
转到管理>安全性>OAuth 2 应用程序。
选择 “添加”。
对于“授权类型”,请选择“持有者令牌”。 对于“允许的范围”,选择“API”和“用户同步”。 再选择“保存”。
复制并保存“客户端密码”。 在 Azure 门户中,对于 Bizagi Studio for Digital Process Automation 应用程序,在的“预配”选项卡上,在“机密令牌”字段中输入客户端密码值。
从 Microsoft Entra 库中添加应用程序
要开始管理对 Bizagi Studio for Digital Process Automation 的预配,请从 Microsoft Entra 应用程序库添加应用。 如果以前为 Bizagi Studio for Digital Process Automation 设置过单一登录,则可以使用同一应用程序。 但是在最初测试集成时,应创建单独的应用。 有关详细信息,请参阅 快速入门:将应用程序添加到 Microsoft Entra 租户。
定义谁在预配范围中
通过Microsoft Entra 预配服务,你可以根据应用程序分配或用户或组的属性来限定预配的人员的范围。 如果您选择根据分配来确定向您的应用程序预配的对象范围,您可以使用 步骤将用户和组分配到应用程序。 如果选择仅根据用户或组的属性来限定预配的人员,则可以 使用范围筛选器。
先小部分测试。 在向全员推出之前,请先使用少量的用户和组进行测试。 如果预配范围设置为分配的用户和组,则可以先尝试将一两个用户或组分配到应用。 将范围设置为所有用户和组时,可以指定 基于属性的范围筛选器。
如果需要额外的角色,可以 更新应用程序清单 以添加新角色。
配置自动用户预配
本部分介绍了如何配置 Microsoft Entra 预配服务以创建、更新以及禁用用户和组。 你在根据 Microsoft Entra ID 中的用户和组分配,在测试应用中执行此操作。
在 Microsoft Entra ID 中为 Bizagi Studio for Digital Process Automation 配置自动用户预配
以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用。
在“应用程序”列表中选择“Bizagi Studio for Digital Process Automation”。
选择“预配”选项卡。
将预配模式设置为自动。
在“管理员凭据”部分中,输入 Bizagi Studio for Digital Process Automation 的租户 URL 和机密令牌。
租户 URL:输入具有以下结构的 Bizagi SCIM 终结点:
<Your_Bizagi_Project>/scim/v2/。 例如:https://my-company.bizagi.com/scim/v2/。机密令牌:此值从本文前面讨论的步骤中进行检索。
要确保 Microsoft Entra ID 可以连接到 Bizagi Studio for Digital Process Automation,请选择“测试连接”。 如果连接失败,请确保 Bizagi Studio for Digital Process Automation 帐户具有管理员权限,然后重试。
对于“通知电子邮件”,输入应接收预配错误通知的个人或组的电子邮件地址。 选择“发生故障时发送电子邮件通知”选项。
选择“保存”。
在“映射”部分中,选择“将 Microsoft Entra 用户同步到 Bizagi Studio for Digital Process Automation”。
在“属性映射”部分中,查看从 Microsoft Entra ID 同步到 Bizagi Studio for Digital Process Automation 的用户属性。 选为“匹配”属性的特性用于匹配 Bizagi Studio for Digital Process Automation 中的用户帐户以执行更新操作。 如果更改 匹配的目标属性,必须确保 Bizagi Studio for Digital Process Automation API 支持基于该属性筛选用户。 选择“保存”,以提交所有更改。
属性 类型 支持筛选 用户名 字符串 ✓ 活动 布尔值 emails[type eq "work"].value 字符串 name.givenName 字符串 姓名.姓氏 字符串 name.formatted 字符串 phoneNumbers[type eq "mobile"].value 字符串 可以通过导航到显示高级选项 > 编辑 Bizagi 的属性列表来添加自定义扩展属性。 自定义扩展属性的前缀必须为“urn:ietf:params:scim:schemas:extension:bizagi:2.0:UserProperties:”。 例如,如果自定义扩展属性为 IdentificationNumber,则必须将属性添加为 urn:ietf:params:scim:schemas:extension:bizagi:2.0:UserProperties:IdentificationNumber。 选择“保存”,以提交所有更改。
有关如何添加自定义属性的详细信息,请参阅 “自定义应用程序属性”。
注意
仅支持基本类型属性(例如 String、Integer、Boolean、DateTime 等)。 尚不支持与参数表或多种类型相关联的属性。
若要配置范围筛选器,请参阅 范围筛选器文章。
要为 Bizagi Studio for Digital Process Automation, 启用 Microsoft Entra 预配服务,请在“设置”部分中将“预配状态”更改为“开”。
定义要预配到 Bizagi Studio for Digital Process Automation 的用户和组。 在“设置”部分中,在“范围”中选择所需值。
准备好预配时,选择“保存”。
此操作会对“设置”部分的“范围”中定义的所有用户和组启动初始同步周期。 初始周期执行的时间比后续周期长,只要 Microsoft Entra 配置服务正在运行,后续周期大约每 40 分钟就会进行一次。
监视部署
配置预配后,请使用以下资源来监视部署:
- 使用 预配日志 确定哪些用户已成功或未成功预配
- 检查 进度栏 以查看预配周期的状态及其完成程度
- 如果预配配置似乎处于不正常状态,则应用程序进入隔离状态。 您可以在应用程序预配隔离状态一文中了解有关隔离状态的更多信息。