全部產品
Search
文件中心

CloudSSO:通過SCIM同步Azure AD使用者或使用者組的樣本

更新時間:Jul 13, 2024

本文為您介紹通過SCIM協議,將Azure AD(Azure Active Directory)中的使用者或使用者組同步到雲SSO。

背景資訊

Azure AD中的所有配置操作需要管理使用者(已授予全域管理員許可權)執行。關於如何在Azure AD中建立使用者及授權為管理員的操作,請參見Azure AD文檔

步驟一:在雲SSO建立SCIM密鑰

  1. 登入雲SSO控制台
  2. 在左側導覽列,單擊設定
  3. 使用者同步配置地區,單擊產生密鑰
  4. SCIM密鑰產生成功對話方塊,複製SCIM密鑰,然後單擊關閉
  5. 可選:使用者同步配置地區,單擊產生新的SCIM密鑰,可以建立第二個SCIM密鑰。

步驟二:在雲SSO啟用SCIM同步

  1. 登入雲SSO控制台

  2. 在左側導覽列,單擊設定

  3. SCIM使用者同步配置地區,開啟SCIM同步開關,啟用SCIM同步。

步驟三:在Azure AD中建立應用程式

  1. 管理使用者登入Azure門戶

  2. 在首頁左上方,單擊SSO_AAD_icon表徵圖。

  3. 在左側導覽列,選擇Azure Active Directory > 公司專屬應用程式程式 > 所有應用程式

  4. 單擊建立應用程式

  5. 瀏覽Azure AD庫頁面,單擊建立你自己的應用程式

  6. 建立你自己的應用程式頁面,輸入應用程式名稱(例如:CloudSSODemo),並選擇整合未在庫中找到的任何其他應用程式(非庫),然後單擊建立

步驟四:在Azure AD中分配使用者或使用者組到應用程式

  1. 在Azure AD首頁左上方,單擊SSO_AAD_icon表徵圖。

  2. 在左側導覽列,選擇Azure Active Directory > 公司專屬應用程式程式 > 所有應用程式

  3. 名稱列,單擊應用程式CloudSSODemo

  4. 在左側導覽列,單擊使用者和組

  5. 單擊左上方的添加使用者/組

  6. 選擇使用者或使用者組。

  7. 單擊分配

步驟五:在Azure AD中配置SCIM同步

  1. CloudSSODemo頁面,單擊左側導覽列的預配

  2. 預配頁面,單擊開始

  3. 設定預配模式自動

  4. 管理員憑據地區,組態管理員憑據。

    1. 租戶URL地區,輸入SCIM服務端地址。

      該地址請從雲SSO SCIM配置頁面的SCIM服務端地址處擷取。

    2. 密鑰標記地區,輸入SCIM密鑰。

      該SCIM密鑰請通過步驟一:在雲SSO建立SCIM密鑰擷取。

    3. 單擊測試連接

      等待測試成功後,您可以繼續進行下一步操作。

  5. 映射地區,配置屬性對應。

    • 單擊Provision Azure Active Directory Users,配置使用者屬性對應。

      1. customappsso屬性列找到externalId的映射,將其Source attribute屬性值修改為objectId

      2. 刪除不相關的屬性對應,僅保留下圖所示的屬性對應。使用者屬性對應

    • 單擊Provision Azure Active Directory Groups,配置使用者組屬性對應。刪除不相關的屬性對應,僅保留下圖所示的屬性對應。使用者組屬性對應

    說明

    因為雲SSO的使用者名稱稱和使用者組名稱有字元限制,如果Azure AD中的使用者名稱稱或使用者組名稱包含了雲SSO不允許的字元,則會映射失敗。此時,您需要將Azure AD屬性對應的方式修改為Expression,然後為displayName設定一個Replace規則,把不允許的字元去掉或者替換成支援的字元。具體操作,請參見Azure AD文檔

  6. 設定地區,選擇範圍僅同步已指派的使用者和組

  7. 預配狀態地區,開啟預配開關。

  8. 單擊儲存

  9. 預配頁面,重新整理頁面,查看同步結果。

結果驗證

  1. 登入雲SSO控制台

  2. 在使用者或使用者組列表中,查看同步成功的使用者或使用者組。

    同步的使用者或使用者組的來源會自動標識為SCIM同步

    具體操作,請參見查看使用者資訊查看使用者組資訊

相關文檔

Azure AD與雲SSO進行單點登入的樣本