將 Azure AD 內部部署應用程式佈建到已啟用 SCIM 的應用程式

Azure Active Directory (Azure AD) 佈建服務支援 SCIM 2.0 用戶端,您可使用此用戶端將使用者自動佈建到雲端或內部部署應用程式。 本文概述如何使用 Azure AD 佈建服務,將使用者佈建到已啟用 SCIM 的內部部署應用程式。 如果您想要將使用者佈建到使用 SQL 作為資料存放區的非 SCIM 內部部署應用程式,請參閱 Azure AD ECMA 連接器主機一般 SQL 連接器教學課程。 如果您想要將使用者佈建到 DropBox 和 Atlassian 等雲端應用程式,請參閱應用程式特定教學課程

圖表,其中顯示 SCIM 架構。

必要條件

  • Azure AD 租用戶,並使用 Azure AD Premium P1 或 Premium P2 (或 EMS E3 或 E5)。 使用此功能需要擁有 Azure AD Premium P1 授權。 若要尋找適合您需求的授權,請參閱比較 Azure AD 正式推出的功能
  • 安裝代理程式的系統管理員角色。 這項工作只需要做一次,而且應該是混合式系統管理員或全域系統管理員的 Azure 帳戶。
  • 在雲端中設定應用程式的系統管理員角色 (應用程式系統管理員、雲端應用程式系統管理員、全域系統管理員或具有權限的自訂角色)。
  • 具備至少 3 GB RAM 的電腦,用於託管佈建代理程式。 電腦應具有 Windows Server 2016 或更新版本的 Windows Server,配備目標應用程式的連線能力及 login.microsoftonline.com 的連線輸出、其他 Microsoft Online Services 和 Azure 網域。 例如,裝載於 Azure IaaS 或 Proxy 後方的 Windows Server 2016 虛擬機器。

部署 Azure AD 佈建代理程式

Azure AD 佈建代理程式可以部署至裝載已啟用 SCIM 的應用程式的相同伺服器上或是個別的伺服器上,前提是其可以看到應用程式的 SCIM 端點。 只要代理程式可連線至每個 SCIM 端點,單一代理程式也支援佈建至本機裝載於相同伺服器或個別主機上的多個應用程式。

  1. 下載佈建代理程式,並將其複製到裝載 SCIM 應用程式端點的虛擬機器或伺服器上。
  2. 執行佈建代理程式安裝程式,並同意服務條款,然後選取 [安裝]。
  3. 安裝之後,請找到並啟動 [AAD Connect 佈建代理程式精靈],並在系統提示您輸入延伸模組時選取 [內部部署佈建]
  4. 若要讓代理程式向您的租用戶註冊自己,請提供具有混合式管理員或全域管理員權限的 Azure AD 管理員認證。
  5. 選取 [確認] 以確認安裝成功。

佈建至已啟用 SCIM 的應用程式

安裝代理程式之後,不需要以內部部署方式進一步設定,然後從入口網站管理所有佈建設定。 針對透過 SCIM 所佈建的每個內部部署應用程式,重複下面的步驟。

  1. 在 Azure 入口網站中,導覽至企業應用程式,然後從資源庫新增「內部部署 SCIM 應用程式」。
  2. 從左側功能表中,導覽至 [佈建] 選項,然後選取 [開始使用]。
  3. 從下拉式清單中選取 [自動],然後展開 [內部部署連線] 選項。
  4. 從下拉式清單中選取您已安裝的代理程式,然後選取 [指派代理程式]。
  5. 現在,請先等候 10 分鐘或重新啟動「Microsoft Azure AD Connect 佈代理程式」,再繼續進行下一個步驟並測試連線。
  6. 在 [租用戶 URL] 欄位中,提供應用程式的 SCIM 端點 URL。 URL 通常是每個目標應用程式所獨有,而且必須可透過 DNS 進行解析。 代理程式與應用程式安裝在相同主機的案例範例為 https://localhost:8585/scim螢幕擷取畫面,其中顯示指派代理程式。
  7. 選取 [測試連接],然後儲存認證。 應用程式 SCIM 端點必須主動接聽輸入佈建要求,否則測試將會失敗。 如果遇到連線問題,請使用這裡的步驟。
  8. 設定應用程式所需的任何屬性對應範圍規則。
  9. 使用者和群組指派給應用程式,以將使用者新增至範圍。
  10. 測試佈建幾個隨選使用者。
  11. 將使用者指派給應用程式,以新增更多使用者至範圍。
  12. 移至 [佈建] 窗格,然後選取 [開始佈建]。
  13. 使用佈建記錄進行監視。

下列影片提供內部部署佈建的概觀。

其他需求

  • 確定 SCIM 實作符合 Azure AD SCIM 需求

    Azure AD 提供開放原始碼的參考程式碼,供開發人員用以啟動自己的 SCIM 實作。 程式碼不作任何變更。

  • 支援 /schemas 端點以減少 Azure 入口網站所需的設定。

後續步驟