本文为您介绍通过SCIM协议,将Azure AD(Azure Active Directory,以下简称 AAD)中的用户或用户组同步到云SSO。

背景信息

AAD中的所有配置操作需要管理员用户(已授予全局管理员权限)执行。关于如何在AAD中创建用户及授权为管理员的操作,请参见AAD文档

步骤一:在云SSO创建SCIM密钥

  1. 登录云SSO控制台
  2. 在左侧导航栏,单击设置
  3. 用户同步配置区域,单击生成密钥
  4. SCIM密钥生成成功对话框,复制SCIM密钥,然后单击关闭
  5. 可选:用户同步配置区域,单击生成新的SCIM密钥,可以创建第二个SCIM密钥。

步骤二:在云SSO启用SCIM同步

  1. 登录云SSO控制台
  2. 在左侧导航栏,单击设置
  3. 用户同步配置区域,打开SCIM同步开关,启用SCIM同步。

步骤三:在AAD中创建应用程序

  1. 管理员用户登录Azure门户
  2. 单击主页的SSO_AAD_icon图标。
  3. 在左侧导航栏,选择Azure Active Directory > 企业应用程序 > 所有应用程序
  4. 单击新建应用程序
  5. 浏览Azure AD库页面,单击创建你自己的应用程序
  6. 创建你自己的应用程序页面,输入应用程序名称(例如:CloudSSODemo),并选择集成未在库中找到的任何其他应用程序(非库),然后单击创建

步骤四:在AAD中分配用户或用户组到应用程序

  1. 单击AAD主页的SSO_AAD_icon图标。
  2. 在左侧导航栏,选择Azure Active Directory > 企业应用程序 > 所有应用程序
  3. 名称列,单击应用程序CloudSSODemo
  4. 在左侧导航栏,单击用户和组
  5. 单击左上角的添加用户/组
  6. 选择用户或用户组。
  7. 单击分配

步骤五:在AAD中配置SCIM同步

  1. CloudSSODemo页面,单击左侧导航栏的预配
  2. 预配页面,单击开始
  3. 设置预配模式自动
  4. 管理员凭据区域,配置管理员凭据。
    1. 租户URL区域,输入SCIM服务端地址。
      该地址请从云SSO SCIM配置页面的SCIM服务端地址处获取。
    2. 密钥标记区域,输入SCIM密钥。
      该SCIM密钥请通过步骤一:在云SSO创建SCIM密钥获取。
    3. 单击测试连接
      等待测试成功后,您可以继续进行下一步操作。
  5. 映射区域,配置属性映射。
    • 单击Provision Azure Active Directory Users,配置用户属性映射。
      1. customappsso属性列找到externalId的映射,将其Source attribute属性值修改为objectId
      2. 删除不相关的属性映射,仅保留下图所示的属性映射。用户属性映射
    • 单击Provision Azure Active Directory Groups,配置用户组属性映射。删除不相关的属性映射,仅保留下图所示的属性映射。用户组属性映射
  6. 设置区域,选择范围仅同步已分配的用户和组
  7. 预配状态区域,打开预配开关。
  8. 单击保存
  9. 预配页面,刷新页面,查看同步结果。

结果验证

  1. 登录云SSO控制台
  2. 在用户或用户组列表中,查看同步成功的用户或用户组。

    同步的用户或用户组的来源会自动标识为SCIM同步

    具体操作,请参见查看用户信息查看用户组信息