教學課程：在 Microsoft Entra ID 中開發範例 SCIM 端點

本教學課程說明如何使用 Azure App Service 部署 SCIM 參考程式碼。 然後，使用 cURL 之類的工具或與 Microsoft Entra 布建服務整合來測試程序代碼。 此教學課程適用於想要開始使用 SCIM 的開發人員，或想要測試 SCIM 端點的任何人。

在本教學課程中，您會了解如何：

• 在 Azure 中部署您的 SCIM 端點。
• 測試您的 SCIM 端點。

在 Azure 中部署您的 SCIM 端點

此處的步驟會使用 Visual Studio 2019 和 Visual Studio Code 與 Azure App Service，將 SCIM 端點部署至服務。 SCIM 參考程式碼可以在本機執行、由內部部署伺服器裝載，或部署到其他外部服務。 如需佈建 SCIM 端點的相關資訊，請參閱教學課程：開發和規劃 SCIM 端點的佈建。

取得和部署範例應用程式

移至 GitHub 的參考程式碼，然後選取 [複製或下載]。 選取 [Open in Desktop] \(在 Desktop 中開啟\)，或複製連結、開啟 Visual Studio，然後選取 [Clone or check out code] \(複製或取出程式碼\) 以輸入複製的連結，並建立本機複本。 將檔案儲存到路徑總長度為 260 或更少字元的資料夾。

Visual Studio

1. 在 Visual Studio 中，請務必登入具有主機資源存取權的帳戶。

2. 在 [方案總管] 中，開啟 Microsoft.SCIM.sln ，然後以滑鼠右鍵按一下 Microsoft.SCIM.WebHostSample 檔案。 選取發行。

   

   注意

   若要在本機執行此解決方案，請按兩下專案，然後選取 [IIS Express]，以具有本機主機 URL 的網頁形式啟動專案。 如需詳細資訊，請參閱 IIS Express 概觀。

3. 選取 [建立設定檔]，並確定已選取 [App Service] 和 [建立新項目]。

   

4. 逐步執行對話方塊選項，然後將應用程式重新命名為您選擇的名稱。 此名稱會用於應用程式和 SCIM 端點 URL。

   

5. 選取要使用的資源群組，然後選取 [發佈]。

   

Visual Studio Code

1. 在 Visual Studio Code 中，請務必登入具有主機資源存取權的帳戶。

2. 在 Visual Studio Code 中，開啟包含 Microsoft.SCIM.sln 檔案的資料夾。

3. 開啟 Visual Studio Code 整合式終端機，然後執行 dotnet restore 命令。 此命令會還原專案檔中列出的套件。

4. 在終端機中，使用 cd Microsoft.SCIM.WebHostSample 命令變更目錄

5. 若要在本機執行您的應用程式，請在終端機中執行 .NET CLI 命令。 dotnet run 會使用開發環境來執行 Microsoft.SCIM.WebHostSample 專案。

   dotnet run --environment Development
   

6. 如果未安裝，請新增適用於Visual Studio Code 的 Azure App Service 延伸模組。

7. 若要將 Microsoft.SCIM.WebHostSample 應用程式部署至 Azure App Service，請建立新的 App Service。

8. 在 Visual Studio Code 終端機中，執行 .NET CLI 命令。 此命令會在 bin/debug/publish 目錄中為應用程式產生可部署的發佈資料夾。

   dotnet publish -c Debug
   

9. 在 Visual Studio Code 總管中，以滑鼠右鍵按一下產生的發佈資料夾，然後選取 [部署至 Web 應用程式]。

10. 新的工作流程會在畫面頂端的命令選擇區中開啟。 選取您要發佈應用程式的訂用帳戶。

11. 選取您稍早建立的 App Service Web 應用程式。

12. 如果 Visual Studio Code 提示您確認，請選取 [部署]。 部署程序會花一些時間。 當程序完成時，通知應會出現在右下角，提示您瀏覽至已部署的應用程式。

設定 App Service

移至 Azure App Service>[設定] 中的應用程式，然後選取 [新增應用程式設定] 以新增具有值 https://sts.windows.net/<tenant_id>/ 的 [Token__TokenIssuer] 設定。 將 <tenant_id> 更換為您的 Microsoft Entra tenant ID。

當您使用 Microsoft Entra 系統管理中心中的企業應用程式來測試您的端點時，您有兩個選項。 您可以將環境維持在 Development 並從 /scim/token 端點提供測試權杖，或者您可以將環境變更為 Production 並將 [權杖] 欄位維持空白。

介紹完畢 現在已發佈您的 SCIM 端點，而且您可以使用 Azure App Service URL 來測試 SCIM 端點。

測試您的 SCIM 端點

對 SCIM 端點的要求需要授權。 SCIM 標準有多個可用的選項。 要求可以使用 Cookie、基本驗證、TLS 用戶端驗證，或 RFC 7644 中列出的任何方法。

請務必避免不安全的方法 (例如使用者名稱和密碼)，並使用較安全的方法 (例如 OAuth)。 Microsoft Entra ID 支援長期持有人權杖 (針對資源庫和非資源庫應用程式) 與 OAuth 授權授與 (針對資源庫應用程式)。

注意

存放庫中提供的授權方法僅供測試之用。 當您整合 Microsoft Entra ID 時，您可以檢閱授權指導。 請參閱規劃 SCIM 端點的佈建 (部分機器翻譯)。

開發環境會啟用對於生產環境而言不安全的功能，例如可控制安全性權杖驗證行為的參考程式碼。 權杖驗證程式碼會使用自我簽署安全性權杖，且簽署金鑰會儲存在設定檔中。 請參閱 appsettings.Development.json 檔案中的 Token:IssuerSigningKey 參數。

"Token": {
    "TokenAudience": "Microsoft.Security.Bearer",
    "TokenIssuer": "Microsoft.Security.Bearer",
    "IssuerSigningKey": "A1B2C3D4E5F6A1B2C3D4E5F6",
    "TokenLifetimeInMins": "120"
}

注意

當您將 GET 要求傳送至 /scim/token 端點時，會使用設定的金鑰來發行權杖。 該權杖可以用來做為後續授權的持有人權杖。

預設權杖驗證程式碼會設定為使用 Microsoft Entra 權杖，而且需要使用 appsettings.json 檔案中的 Token:TokenIssuer 參數來設定發行租用戶。

"Token": {
    "TokenAudience": "8adf8e6e-67b2-4cf2-a259-e3dc5476c621",
    "TokenIssuer": "https://sts.windows.net/<tenant_id>/"
}

下一步

• 教學課程：驗證 SCIM 端點
• 教學課程：開發和規劃 SCIM 端點的佈建
• 教學課程：設定資源庫應用程式的佈建