本文為您介紹通過SCIM協議,將Azure AD(Azure Active Directory)中的使用者或使用者組同步到雲SSO。
背景資訊
Azure AD中的所有配置操作需要管理使用者(已授予全域管理員許可權)執行。關於如何在Azure AD中建立使用者及授權為管理員的操作,請參見Azure AD文檔。
步驟一:在雲SSO建立SCIM密鑰
- 登入雲SSO控制台。
- 在左側導覽列,單擊設定。
- 在使用者同步配置地區,單擊產生密鑰。
- 在SCIM密鑰產生成功對話方塊,複製SCIM密鑰,然後單擊關閉。
- 可選:在使用者同步配置地區,單擊產生新的SCIM密鑰,可以建立第二個SCIM密鑰。
步驟二:在雲SSO啟用SCIM同步
登入雲SSO控制台。
在左側導覽列,單擊設定。
在SCIM使用者同步配置地區,開啟SCIM同步開關,啟用SCIM同步。
步驟三:在Azure AD中建立應用程式
管理使用者登入Azure門戶。
在首頁左上方,單擊表徵圖。
在左側導覽列,選擇 。
單擊建立應用程式。
在瀏覽Azure AD庫頁面,單擊建立你自己的應用程式。
在建立你自己的應用程式頁面,輸入應用程式名稱(例如:CloudSSODemo),並選擇整合未在庫中找到的任何其他應用程式(非庫),然後單擊建立。
步驟四:在Azure AD中分配使用者或使用者組到應用程式
在Azure AD首頁左上方,單擊表徵圖。
在左側導覽列,選擇 。
在名稱列,單擊應用程式CloudSSODemo。
在左側導覽列,單擊使用者和組。
單擊左上方的添加使用者/組。
選擇使用者或使用者組。
單擊分配。
步驟五:在Azure AD中配置SCIM同步
在CloudSSODemo頁面,單擊左側導覽列的預配。
在預配頁面,單擊開始。
設定預配模式為自動。
在管理員憑據地區,組態管理員憑據。
在租戶URL地區,輸入SCIM服務端地址。
該地址請從雲SSO SCIM配置頁面的SCIM服務端地址處擷取。
在密鑰標記地區,輸入SCIM密鑰。
該SCIM密鑰請通過步驟一:在雲SSO建立SCIM密鑰擷取。
單擊測試連接。
等待測試成功後,您可以繼續進行下一步操作。
在映射地區,配置屬性對應。
單擊Provision Azure Active Directory Users,配置使用者屬性對應。
在customappsso屬性列找到externalId的映射,將其Source attribute屬性值修改為objectId。
刪除不相關的屬性對應,僅保留下圖所示的屬性對應。
單擊Provision Azure Active Directory Groups,配置使用者組屬性對應。刪除不相關的屬性對應,僅保留下圖所示的屬性對應。
說明因為雲SSO的使用者名稱稱和使用者組名稱有字元限制,如果Azure AD中的使用者名稱稱或使用者組名稱包含了雲SSO不允許的字元,則會映射失敗。此時,您需要將Azure AD屬性對應的方式修改為Expression,然後為displayName設定一個Replace規則,把不允許的字元去掉或者替換成支援的字元。具體操作,請參見Azure AD文檔。
在設定地區,選擇範圍為僅同步已指派的使用者和組。
在預配狀態地區,開啟預配開關。
單擊儲存。
在預配頁面,重新整理頁面,查看同步結果。
結果驗證
登入雲SSO控制台。
在使用者或使用者組列表中,查看同步成功的使用者或使用者組。