全部产品
Search
文档中心

云SSO:通过SCIM同步Azure AD用户或用户组的示例

更新时间:Dec 06, 2023

本文为您介绍通过SCIM协议,将Azure AD(Azure Active Directory)中的用户或用户组同步到云SSO。

背景信息

Azure AD中的所有配置操作需要管理员用户(已授予全局管理员权限)执行。关于如何在Azure AD中创建用户及授权为管理员的操作,请参见Azure AD文档

步骤一:在云SSO创建SCIM密钥

  1. 登录云SSO控制台
  2. 在左侧导航栏,单击设置
  3. 用户同步配置区域,单击生成密钥
  4. SCIM密钥生成成功对话框,复制SCIM密钥,然后单击关闭
  5. 可选:用户同步配置区域,单击生成新的SCIM密钥,可以创建第二个SCIM密钥。

步骤二:在云SSO启用SCIM同步

  1. 登录云SSO控制台

  2. 在左侧导航栏,单击设置

  3. SCIM用户同步配置区域,打开SCIM同步开关,启用SCIM同步。

步骤三:在Azure AD中创建应用程序

  1. 管理员用户登录Azure门户

  2. 在主页左上角,单击SSO_AAD_icon图标。

  3. 在左侧导航栏,选择Azure Active Directory > 企业应用程序 > 所有应用程序

  4. 单击新建应用程序

  5. 浏览Azure AD库页面,单击创建你自己的应用程序

  6. 创建你自己的应用程序页面,输入应用程序名称(例如:CloudSSODemo),并选择集成未在库中找到的任何其他应用程序(非库),然后单击创建

步骤四:在Azure AD中分配用户或用户组到应用程序

  1. 在Azure AD主页左上角,单击SSO_AAD_icon图标。

  2. 在左侧导航栏,选择Azure Active Directory > 企业应用程序 > 所有应用程序

  3. 名称列,单击应用程序CloudSSODemo

  4. 在左侧导航栏,单击用户和组

  5. 单击左上角的添加用户/组

  6. 选择用户或用户组。

  7. 单击分配

步骤五:在Azure AD中配置SCIM同步

  1. CloudSSODemo页面,单击左侧导航栏的预配

  2. 预配页面,单击开始

  3. 设置预配模式自动

  4. 管理员凭据区域,配置管理员凭据。

    1. 租户URL区域,输入SCIM服务端地址。

      该地址请从云SSO SCIM配置页面的SCIM服务端地址处获取。

    2. 密钥标记区域,输入SCIM密钥。

      该SCIM密钥请通过步骤一:在云SSO创建SCIM密钥获取。

    3. 单击测试连接

      等待测试成功后,您可以继续进行下一步操作。

  5. 映射区域,配置属性映射。

    • 单击Provision Azure Active Directory Users,配置用户属性映射。

      1. customappsso属性列找到externalId的映射,将其Source attribute属性值修改为objectId

      2. 删除不相关的属性映射,仅保留下图所示的属性映射。用户属性映射

    • 单击Provision Azure Active Directory Groups,配置用户组属性映射。删除不相关的属性映射,仅保留下图所示的属性映射。用户组属性映射

    说明

    因为云SSO的用户名称和用户组名称有字符限制,如果Azure AD中的用户名称或用户组名称包含了云SSO不允许的字符,则会映射失败。此时,您需要将Azure AD属性映射的方式修改为Expression,然后为displayName设置一个Replace规则,把不允许的字符去掉或者替换成支持的字符。具体操作,请参见Azure AD文档

  6. 设置区域,选择范围仅同步已分配的用户和组

  7. 预配状态区域,打开预配开关。

  8. 单击保存

  9. 预配页面,刷新页面,查看同步结果。

结果验证

  1. 登录云SSO控制台

  2. 在用户或用户组列表中,查看同步成功的用户或用户组。

    同步的用户或用户组的来源会自动标识为SCIM同步

    具体操作,请参见查看用户信息查看用户组信息

相关文档

Azure AD与云SSO进行单点登录的示例