通过SCIM同步Microsoft Entra ID用户或用户组的示例
本文为您介绍通过SCIM协议,将Microsoft Entra ID(原Azure AD)中的用户或用户组同步到云SSO。
准备工作
Microsoft Entra ID中的所有配置操作需要管理员用户(已授予全局管理员权限)执行。关于如何在Microsoft Entra ID中创建用户及授权,请参见Microsoft Entra ID文档。
步骤一:在云SSO创建SCIM密钥
登录云SSO控制台。
在左侧导航栏,单击设置。
在用户设置页签下的SCIM用户同步配置区域,单击生成新的SCIM密钥。
在SCIM密钥生成成功对话框,复制SCIM密钥,然后单击确定。
步骤二:在云SSO启用SCIM同步
登录云SSO控制台。
在左侧导航栏,单击设置。
在用户设置页签下的SCIM用户同步配置区域,打开SCIM同步开关,启用SCIM同步。
请复制并保存SCIM服务端地址,方便后续配置。
步骤三:在Microsoft Entra ID中创建应用程序
使用Microsoft Entra ID管理员用户登录Azure门户。
在主页左上角,单击
图标。在左侧导航栏,选择。
单击新建应用程序。
在浏览Microsoft Entra库页面,单击创建你自己的应用程序。
在创建你自己的应用程序页面,输入应用程序名称(例如:CloudSSODemo),并选择集成未在库中找到的任何其他应用程序(非库),然后单击创建。
步骤四:在Microsoft Entra ID中分配用户或用户组到应用程序
在CloudSSODemo页面的左侧导航栏,选择。
单击左上角的添加用户/组。
选择用户或用户组。
单击分配。
步骤五:在Microsoft Entra ID中配置SCIM同步
在CloudSSODemo页面的左侧导航栏,选择。
单击左上角的新配置,创建预配配置,配置管理员凭据。
在租户URL区域,输入SCIM服务端地址。
该地址从云SSO SCIM配置页面的SCIM服务端地址处获取。
在机密标记区域,输入SCIM密钥。
该SCIM密钥从步骤一:在云SSO创建SCIM密钥获取。
单击测试连接。
测试成功后,单击创建。
在预配页面的左侧导航栏,选择,配置属性映射及其他参数。
在映射区域,配置属性映射。
单击Provision Microsoft Entra ID Users,配置用户属性映射。
在customappsso属性列找到externalId的映射,将其源属性设置为objectId。
删除不相关的属性映射,仅保留下图所示的属性映射。
单击Provision Microsoft Entra ID Groups,配置用户组属性映射。删除不相关的属性映射,仅保留下图所示的属性映射。
说明因为云SSO的用户名称和用户组名称有字符限制,如果Microsoft Entra ID中的用户名称或用户组名称包含了云SSO不允许的字符,则会映射失败。此时,您需要将Microsoft Entra ID中displayName的映射类型修改为表达式,然后设置一个替换规则,把不允许的字符去掉或者替换成支持的字符。具体操作,请参见Microsoft Entra ID文档。
在设置区域,选择范围为仅同步已分配的用户和组。
在预配状态区域,打开预配开关。
单击保存。
在概述页面,刷新页面,查看同步结果。
结果验证
登录云SSO控制台。
在用户或用户组列表中,查看同步成功的用户或用户组。