本文档旨在指导您如何通过SCIM(System for Cross-domain Identity Management)协议将Microsoft Entra ID中的用户同步到IDaaS(Identity as a Service)平台。通过SCIM同步,您可以实现用户的自动化管理,减少手动操作,提高效率。
前提条件
您已拥有一个Microsoft Entra ID租户,并具备管理员权限。
您已准备好Microsoft Entra ID和IDaaS的管理员账号及相关权限。
步骤一:在IDaaS中配置SCIM同步
在IDaaS控制台中创建一个新的应用(标准协议应用或自研应用),或者选择现有的应用进行配置。详情请参见创建应用。
在应用管理页面,找到目标应用并进入其详情页。在账户同步标签下,切换应用同步到IDaaS页签。请参见IDaaS与应用间账户同步。
在应用同步到IDaaS页签配置同步应用,需查看Bearer Token(用于身份验证)和SCIM Base URL(指定接收SCIM请求的客户端地址),并通过接口授权管理SCIM接口权限。
选择SCIM API接口权限,请参见开启API开放功能。
步骤二:在Microsoft Entra ID中启用SCIM同步
管理员用户登录Azure门户。
在主页顶部搜索框搜索Microsoft Entra ID,在搜索结果中单击。
创建应用程序。
在概述页面,单击。
在弹出的所有应用程序页面。单击 。
输入应用名称,并选择 非库应用程序,然后单击创建。
分配权限。
进入创建的应用详情页,单击分配用户和组。
在用户和组菜单里,单击添加用户/组。
给应用程序分配用户。在弹出的添加分配页面选择要同步的用户,勾选需要同步的用户,单击,可以将单个用户分配给应用程序。
给应用程序分配组。点击组页签,勾选需要同步的组。单击,将选定的组分配给应用程序。
在左侧菜单栏,单击预配。
创建配置,单击连接应用程序。配置以下参数:
租户 URL:填写IDaaS提供的SCIM Base URL。
机密标记:填写IDaaS生成的Bearer Token密钥。
测试连接,确保Microsoft Entra ID能够成功连接到IDaaS。连接成功后,右上角提示“xxx”的连接测试成功。单击创建。
重要请确保IDaas里API开放状态为已启用。
配置映射属性,单击编辑属性。
单击Provision Microsoft Entra ID Users,配置用户属性映射,删除不相关的属性映射,仅保留所需要的属性映射。配置完成后,单击左上角保存按钮。
重要当前Microsoft Entra ID (AAD) 的自定义字段不支持同步到阿里云IDaaS的扩展字段。
在应用详情页面,单击启动预配即可启用自动同步功能,默认预配间隔为40分钟(固定)。如需立即执行同步操作,可单击按需分配进行实时手动触发。
步骤三:结果验证
登录IDaaS控制台。
在列表中,单击账户与组织页签,查看同步成功的用户。同步的用户来源会自动标识为SCIM导入。
在列表中,单击组页签,查看同步成功的组。
通过以上步骤,您可以成功配置Microsoft Entra ID与IDaaS之间的SCIM同步,从而实现用户的自动化管理。如果您在配置过程中遇到问题,请联系商务经理进行咨询,或联系产品技术专家进行咨询。