本文为您介绍通过SCIM协议,将Azure AD(Azure Active Directory)中的用户或用户组同步到云SSO。
背景信息
Azure AD中的所有配置操作需要管理员用户(已授予全局管理员权限)执行。关于如何在Azure AD中创建用户及授权为管理员的操作,请参见Azure AD文档。
步骤一:在云SSO创建SCIM密钥
- 登录云SSO控制台。
- 在左侧导航栏,单击设置。
- 在用户同步配置区域,单击生成密钥。
- 在SCIM密钥生成成功对话框,复制SCIM密钥,然后单击关闭。
- 可选:在用户同步配置区域,单击生成新的SCIM密钥,可以创建第二个SCIM密钥。
步骤二:在云SSO启用SCIM同步
登录云SSO控制台。
在左侧导航栏,单击设置。
在SCIM用户同步配置区域,打开SCIM同步开关,启用SCIM同步。
步骤三:在Azure AD中创建应用程序
管理员用户登录Azure门户。
在主页左上角,单击图标。
在左侧导航栏,选择 。
单击新建应用程序。
在浏览Azure AD库页面,单击创建你自己的应用程序。
在创建你自己的应用程序页面,输入应用程序名称(例如:CloudSSODemo),并选择集成未在库中找到的任何其他应用程序(非库),然后单击创建。
步骤四:在Azure AD中分配用户或用户组到应用程序
在Azure AD主页左上角,单击图标。
在左侧导航栏,选择 。
在名称列,单击应用程序CloudSSODemo。
在左侧导航栏,单击用户和组。
单击左上角的添加用户/组。
选择用户或用户组。
单击分配。
步骤五:在Azure AD中配置SCIM同步
在CloudSSODemo页面,单击左侧导航栏的预配。
在预配页面,单击开始。
设置预配模式为自动。
在管理员凭据区域,配置管理员凭据。
在租户URL区域,输入SCIM服务端地址。
该地址请从云SSO SCIM配置页面的SCIM服务端地址处获取。
在密钥标记区域,输入SCIM密钥。
该SCIM密钥请通过步骤一:在云SSO创建SCIM密钥获取。
单击测试连接。
等待测试成功后,您可以继续进行下一步操作。
在映射区域,配置属性映射。
单击Provision Azure Active Directory Users,配置用户属性映射。
在customappsso属性列找到externalId的映射,将其Source attribute属性值修改为objectId。
删除不相关的属性映射,仅保留下图所示的属性映射。
单击Provision Azure Active Directory Groups,配置用户组属性映射。删除不相关的属性映射,仅保留下图所示的属性映射。
说明因为云SSO的用户名称和用户组名称有字符限制,如果Azure AD中的用户名称或用户组名称包含了云SSO不允许的字符,则会映射失败。此时,您需要将Azure AD属性映射的方式修改为Expression,然后为displayName设置一个Replace规则,把不允许的字符去掉或者替换成支持的字符。具体操作,请参见Azure AD文档。
在设置区域,选择范围为仅同步已分配的用户和组。
在预配状态区域,打开预配开关。
单击保存。
在预配页面,刷新页面,查看同步结果。
结果验证
登录云SSO控制台。
在用户或用户组列表中,查看同步成功的用户或用户组。