本文介绍在 Bizagi Studio for Digital Process Automation 和 Microsoft Entra ID 中配置自动用户预配所需的步骤。 根据配置,Microsoft Entra ID 会自动为 Bizagi Studio for Digital Process Automation 配置和取消配置用户以及组,使用 Microsoft Entra 配置服务。 有关此服务的功能、工作原理和常见问题的重要详细信息,请参阅 Automate 用户预配和取消预配到具有 Microsoft Entra ID 的 SaaS 应用程序。
支持的功能
- 在 Bizagi Studio for Digital Process Automation 中创建用户
- 在不再需要访问权限时,删除 Bizagi Studio for Digital Process Automation 中的用户。
- 使用户属性在 Microsoft Entra ID 与 Bizagi Studio for Digital Process Automation 之间保持同步
- 单点登录到 Bizagi Studio 进行数字流程自动化(建议)
先决条件
本文中概述的方案假定你已具备以下内容:
- Microsoft Entra 租户。
- 以下角色之一:Application Administrator、Cloud 应用程序管理员或 Application Owner。
- Bizagi Studio for Digital Process Automation 版本 11.2.4.2X 或更高版本。
规划预配部署
按照以下步骤进行计划:
- 了解 预配服务的工作原理。
- 确定在预配范围内的人员。
- 确定在 Microsoft Entra ID 与 Bizagi Studio for Digital Process Automation 之间映射的数据。
配置以支持使用 Microsoft Entra ID 进行预配
若要配置 Bizagi Studio for Digital Process Automation 以支持使用 Microsoft Entra ID进行预配,请执行以下步骤:
以具有 管理员权限的用户身份登录到工作门户。
转到 管理员>安全>OAuth 2 应用程序。
选择 并添加。
对于 “授予类型”,请选择 持有者令牌。 对于 “允许的范围”,请选择 “API ”和 “用户同步”。 然后,选择“保存”。
复制并保存 客户端密码。 在 Azure portal 中,对于 Bizagi Studio for Digital Process Automation 应用程序,在 Provisioning 选项卡上,客户端机密值在 Secret Token 字段中输入。
从 Microsoft Entra 库中添加应用程序
要开始管理对 Bizagi Studio for Digital Process Automation 的预配,请从 Microsoft Entra 应用程序库添加应用。 如果以前为 Bizagi Studio for Digital Process Automation 设置过单一登录,则可以使用同一应用程序。 但是在最初测试集成时,应创建单独的应用。 有关详细信息,请参阅 快速入门:将应用程序添加到 Microsoft Entra 租户。
定义谁在预配范围中
通过Microsoft Entra 预配服务,你可以根据应用程序分配或用户或组的属性来限定预配的人员的范围。 如果您选择根据分配来确定哪些人被预配到您的应用,则可以使用 步骤将用户和组分配到应用程序。 如果选择仅根据用户或组的属性来限定预配的人员,则可以 使用范围筛选器。
先小部分测试。 在向全员推出之前,请先使用少量的用户和组进行测试。 如果预配范围设置为分配的用户和组,则可以先尝试将一两个用户或组分配到应用。 将范围设置为所有用户和组时,可以指定 基于属性的范围筛选器。
如果需要额外的角色,可以 更新应用程序清单 以添加新角色。
配置自动用户预配
本部分指导您完成配置 Microsoft Entra 预配服务的步骤,以创建、更新和禁用用户和组。 你正在你的测试应用中,基于Microsoft Entra ID中的用户和组分配来执行此操作。
在 Microsoft Entra ID 中为 Bizagi Studio for Digital Process Automation 配置自动用户预配
以至少为 Cloud 应用程序管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用。
在应用程序列表中,选择 Bizagi Studio for Digital Process Automation。
选择“预配”选项卡。
设置 + 新建配置。
在 “租户 URL ”字段中,输入 Bizagi Studio for Digital Process Automation 租户 URL 和机密令牌。 选择 Test Connection 以确保Microsoft Entra ID可以连接到 Bizagi Studio for Digital Process Automation。 如果连接失败,请确保 Bizagi Studio for Digital Process Automation 帐户具有所需的管理员权限,然后重试。
租户 URL:输入 Bizagi SCIM 终结点,其结构如下:
<Your_Bizagi_Project>/scim/v2/例如:https://my-company.bizagi.com/scim/v2/。机密令牌: 此值是从本文前面讨论的步骤中检索的。
选择 “创建 ”以创建配置。
在“概述”页中选择“属性”。
选择铅笔以编辑属性。 启用通知电子邮件并提供电子邮件以接收隔离电子邮件。 启用意外删除预防。 选择“应用”保存更改。
在左侧面板中选择 “属性映射 ”,然后选择 用户。
在 Attribute-Mapping 部分中,查看从 Microsoft Entra ID 同步到 Bizagi Studio for Digital Process Automation 的用户属性。 选择为“匹配”属性的属性用于在 Bizagi Studio for Digital Process Automation 中匹配用户帐户,以便进行更新操作。 如果更改 匹配的目标属性,必须确保 Bizagi Studio for Digital Process Automation API 支持基于该属性筛选用户。 选择“保存”,以提交所有更改。
属性 类型 支持筛选 用户名 字符串 ✓ 活动 布尔 emails[type eq "工作"].value 字符串 name.givenName 字符串 姓名.姓氏 字符串 name.formatted 字符串 phoneNumbers[type eq "移动"].value 字符串 可以通过导航到 “显示高级选项 > 编辑 Bizagi 的属性列表”来添加自定义扩展属性。 自定义扩展属性的前缀必须为 urn:ietf:params:scim:schemas:extension:bizagi:2.0:UserProperties:。 例如,如果自定义扩展属性为 IdentificationNumber,则必须将该属性添加为 urn:ietf:params:scim:schemas:extension:bizagi:2.0:UserProperties:IdentificationNumber。 选择“保存”,以提交所有更改。
有关如何添加自定义属性的详细信息,请参阅 “自定义应用程序属性”。
注意
仅支持基本类型属性(例如 String、Integer、Boolean、DateTime 等)。 尚不支持与参数表或多种类型相关联的属性。
有关如何读取Microsoft Entra 预配日志的详细信息,请参阅 有关自动用户帐户预配的报告。
监视部署
配置预配后,请使用以下资源来监视部署:
- 使用 预配日志 确定哪些用户已成功或未成功预配
- 检查 进度栏 以查看预配周期的状态及其完成程度
- 如果预配配置似乎处于不正常状态,则应用程序进入隔离状态。 您可以在应用程序预配隔离状态一文中了解有关隔离状态的更多信息。