分享方式:

將 Microsoft Entra 內部部署應用程式佈建到已啟用 SCIM 的應用程式

  • 文章

Microsoft Entra 佈建服務支援 SCIM 2.0 用戶端,您可使用此用戶端將使用者自動佈建到雲端或內部部署應用程式。 本文概述如何使用 Microsoft Entra 佈建服務,將使用者佈建到已啟用 SCIM 的內部部署應用程式。 如果您想要將使用者佈建到使用 SQL 作為資料存放區的非 SCIM 內部部署應用程式,請參閱 Microsoft Entra ECMA 連接器主機一般 SQL 連接器教學課程。 如果您想要將使用者佈建到 DropBox 和 Atlassian 等雲端應用程式,請參閱應用程式特定教學課程

圖表顯示 SCIM 結構。

必要條件

  • 具有 Microsoft Entra ID P1 或 Premium P2 (或 EMS E3 或 E5) 授權的 Microsoft Entra 租用戶。 使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能
  • 安裝代理程式的系統管理員角色。 此工作是一次性的工作,且此 Azure 帳戶至少須為混合式身分識別系統管理員。
  • 系統管理員至少須為應用程式系統管理員、雲端應用程式管理員,或具有存取權限的自訂角色。
  • 具備至少 3 GB RAM 的電腦,用於託管佈建代理程式。 電腦應具有 Windows Server 2016 或更新版本的 Windows Server,配備目標應用程式的連線能力及 login.microsoftonline.com 的連線輸出、其他 Microsoft Online Services 和 Azure 網域。 例如,裝載於 Azure IaaS 或 Proxy 後方的 Windows Server 2016 虛擬機器。
  • 確定 SCIM 實作符合 Microsoft Entra SCIM 需求。 Microsoft Entra ID 提供開放原始碼參考程式代碼,開發人員可用來啟動 SCIM 實作,如教學課程:在 Microsoft Entra ID 中開發範例 SCIM 端點中所述。
  • 支援 /schemas 端點以減少 Azure 入口網站所需的設定。

安裝並設定 Microsoft Entra Connect 佈建代理程式

  1. 以至少 應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]
  3. 搜尋 [內部部署 SCIM 應用程式] 的應用程式,提供應用程式名稱,然後選取建立以將其新增至您的租用戶。
  4. 從功能表瀏覽至應用程式的 [佈建] 頁面。
  5. 選取開始使用
  6. 在 [佈建] 頁面上,將模式變更為 [自動]

顯示選取 [自動] 的螢幕擷取畫面。

  1. 在 [內部部署連線能力] 下,選取 [下載並安裝],然後選取 [接受條款並下載]

顯示代理程式下載位置的螢幕擷取畫面。

  1. 離開入口網站,並開啟佈建代理程式的安裝程式,同意服務條款,然後選取 [安裝]
  2. 等待 Microsoft Entra 佈建代理程式設定精靈,然後選取 [下一步]
  3. 在 [選擇延伸模組] 步驟中,選取 [內部部署應用程式佈建],然後選取 [下一步]
  4. 佈建代理程式會使用作業系統的網頁瀏覽器來顯示快顯視窗,讓您驗證 Microsoft Entra ID,並有可能會顯示您組織的識別提供者。 如果您使用 Internet Explorer 作為 Windows Server 上的瀏覽器,您可能需要將 Microsoft 網站新增至瀏覽器的受信任網站清單,以允許 JavaScript 正確執行。
  5. 當系統提示您授權時,請提供 Microsoft Entra 系統管理員的認證。 使用者必須至少有混合式身分識別系統管理員角色。
  6. 選取 [確認] 以確認設定。 安裝成功後,您可以選取 [結束],同時關閉 [佈建代理程式套件] 安裝程式。

透過佈建代理程式設定連線

  1. 以至少 應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]

  3. 搜尋稍早建立的應用程式。

  4. 從功能表瀏覽至應用程式的 [佈建] 頁面。

  5. 在入口網站中,從 [內部部署連線能力] 區段,選取您已部署的代理程式,然後選取 [指派代理程式]

    顯示如何選取並指派代理程式的螢幕擷取畫面。

  6. 在測試連線之前,請先重新啟動佈建代理程式服務或等候 10 分鐘。

  7. 在 [租用戶 URL] 欄位中,輸入應用程式 SCIM 端點的 URL。 範例: https://api.contoso.com/scim/

  8. 將 SCIM 端點所需的 OAuth 持有人權杖複製到 [秘密權杖] 欄位中。

  9. 選取 [測試連線],讓 Microsoft Entra ID 嘗試連線至 SCIM 端點。 如果嘗試失敗,將會顯示錯誤資訊。

  10. 成功嘗試連線至應用程式後,請選取 [儲存] 以儲存系統管理員認證。

  11. 在您使用設定精靈完成下個步驟的設定時,請讓此瀏覽器視窗保持開啟。

佈建至已啟用 SCIM 的應用程式

安裝代理程式之後,不需要以內部部署方式進一步設定,所有佈建設定將會透過入口網站管理。 針對透過 SCIM 所佈建的每個內部部署應用程式,重複下面的步驟。

  1. 設定應用程式所需的任何屬性對應範圍規則。
  2. 使用者和群組指派給應用程式,以將使用者新增至範圍。
  3. 測試佈建幾個隨選使用者。
  4. 將使用者指派給應用程式,以新增更多使用者至範圍。
  5. 移至 [佈建] 窗格,然後選取 [開始佈建]
  6. 使用佈建記錄進行監視。

下列影片提供內部部署佈建的概觀。

下一步