AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 应用身份服务 (IDaaS) EIAM 云身份服务 实践教程 通过SCIM同步Microsoft Entra ID(Azure AD)用户或用户组

通过SCIM同步Microsoft Entra ID(Azure AD)用户或用户组

更新时间:
产品详情
我的收藏

本文档旨在指导您如何通过SCIM(System for Cross-domain Identity Management)协议将Microsoft Entra ID(原Azure Active Directory)中的用户同步到IDaaS(Identity as a Service)平台。通过SCIM同步,您可以实现用户的自动化管理,减少手动操作,提高效率。

适用范围

  • 权限:具备阿里云IDaaSMicrosoft Entra ID的管理员权限。

  • 环境已拥有一个Microsoft Entra ID租户,且已创建阿里云IDaaSEIAM实例。

步骤一:在 IDaaS 的应用中配置SCIM同步

  1. 登录阿里云IDaaS控制台,单击左侧导航栏的EIAM 云身份服务,在右侧IDaaS下的实例列表中,定位目标实例,单击操作列下的访问控制台

  2. 应用身份服务页面的左侧导航栏中,选择应用管理 > 应用列表定位目标应用(标准协议自研应用)并进入其详情页。如需创建标准协议自研应用请参见创建应用

  3. 在应用详情页,参考IDaaS与应用间账户同步进行相关配置。

    重要

    请确保在IDaaS应用中已启用API 开放image

  4. 在应用详情页,获取以下信息:

    • Bearer Token:在账户同步 > 应用同步到IDaaS下,单击Bearer Token后的查看,复制并记录显示的Token。

    • SCIM Base URL:在账户同步 > 应用同步到IDaaS下,复制并记录SCIM Base URL字段中显示的URL。

步骤二:在Microsoft Entra ID中启用SCIM同步

创建应用程序

  1. 使用管理员登录Azure门户

  2. 在主页顶部搜索框搜索Microsoft Entra ID,在搜索结果中单击Microsoft Entra ID

  3. 在概述页面,单击添加 > 企业应用程序image

  4. 在打开的浏览 Microsoft Entra 应用库页面。单击创建你自己的应用程序

  5. 输入应用名称,并选择集成未在库中找到的任何其他应用程序(非库)然后单击创建进入应用详情页

分配用户和组

  1. 单击左侧导航栏的管理 > 用户和组

  2. 用户和组页面,单击添加用户/组,进入添加分配页面。

  3. 单击左侧用户和组 > 未选择任何项,在右侧弹出的面板中选择需同步的用户和组,然后单击下方的选择,最后单击左下方的分配

配置连接信息

  1. 单击左侧导航栏的管理 > 预配,进入概述(预览)页面。

  2. 单击创建配置 > 连接应用程序,配置以下参数。

    1. 选择身份验证方法:选择持有者身份验证

    2. 租户 URL:填写步骤一中从IDaaS获取的SCIM Base URL

    3. 机密标记:填写步骤一中从IDaaS获取的Bearer Token

  3. 测试连接。若页面右上方提示“xxx”的连接测试成功,则表示当前配置正确

  4. 单击创建

配置映射属性

  1. 单击左侧导航栏的管理 > 属性映射(预览)

  2. 单击Provision Microsoft Entra ID Users,在用户属性映射页面,执行以下操作。

    同步基础属性

    属性映射列表中,删除所有未在下图中列出的映射项:单击对应行最右侧的删除按钮即可。

    image

    同步其它属性(可选)

    说明

    请根据实际需求进行配置。以下示例演示如何将Microsoft Entra ID用户的 streetAddress 字段同步到 IDaaS 的扩展字段User Address

    1. IDaaS中新增扩展字段

      1. IDaaS 应用身份服务账户 > 字段管理 > 扩展字段,单击创建字段

      2. 配置字段信息。

        • 字段显示名称:在用户信息等页面显示的名称,便于查看和管理。例如:User Address

        • 字段标识:系统使用的唯一标识符。例如:user_address

        • 字段类型:字段的输入类型。例如:输入框。

      3. IDaaS 应用详情页,单击账户同步 > 应用同步到IDaaS > 显示高级配置,设置如下信息。

        • 自定义字段Namespace:填写urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User

        • 同步目标字段:指定需同步的目标字段,支持设置多个。例如:User Address(user_address)

      4. 单击保存

    2. Microsoft Entra ID中配置属性映射

      1. 单击属性映射列表下方的显示高级选项 > 编辑 customappsso 的属性列表

      2. 编辑属性列表的最后,新增属性并填写以下信息,完成后单击左上方的保存

        • 名称:填写在IDaaS应用中配置的自定义字段Namespace字段标识,二者使用英文冒号(:)连接。例如:urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:user_address

        • 类型:选择与IDaaS应用中的扩展字段兼容的数据类型。例如:String

      3. 单击属性映射列表下方的添加新映射

      4. 编辑属性页面,设置以下信息:

        • 映射类型:选择直接

        • 源属性:选择需同步的属性。例如:streetAddress

        • 目标属性:选择前面步骤新增的属性。例如:urn:ietf:params:scim:schemas:extension:CustomExtensionName:2.0:User:user_address

      5. 单击下方的确定

  3. 配置完成后,单击左上角保存

执行用户同步

  • 启用自动同步:

    单击左侧导航栏的概述(预览),随后在右侧单击启动预配,即可启用自动同步。默认预配间隔为40分钟(固定)。

  • 立即执行同步。

    1. 在左侧导航栏中,单击按需预配

    2. 选择用户或组的搜索框中,输入目标用户或组的名称进行搜索,并从结果中选择。

    3. 单击页面底部的配置,启动同步。

步骤三:结果验证

  1. 登录阿里云IDaaS控制台,单击目标实例的访问控制台进入应用身份服务管理后台。

  2. 单击左侧导航栏的账户 > 账户与组织,即可在右侧账户列表中查看同步成功的用户。其来源显示为SCIM 导入

    说明

    若当前已设置从Microsoft Entra ID同步用户信息至IDaaS扩展字段,则可单击用户的账户名,进入账户详情,在账户信息 > 扩展字段区域查看。

  3. 单击左侧导航栏的账户 > ,即可在右侧列表中查看同步成功的组。其来源显示为SCIM 导入

常见问题

Microsoft Entra ID(AAD中禁用状态的用户如何重新启用?

  1. 登录Azure 门户。在顶部搜索栏,搜索用户。单击服务 > 用户

  2. 所有用户中查找已禁用的目标用户。单击用户名进入详情页,然后在概述 > 我的源 > 账户状态下单击编辑

  3. 勾选已启用账户。单击保存后,账户将重新激活。

Microsoft Entra ID(AAD的用户禁用是否能够同步IDaaS?

Microsoft Entra ID 的用户禁用状态可以同步到阿里云IDaaS。其流程如下:

  1. 当用户被禁用时,Microsoft Entra ID会通过SCIM协议发送 active: false 属性。

  2. IDaaS收到后会将该用户状态标记为已禁用

  3. 重新启用Microsoft Entra ID的用户时,IDaaS的账户状态恢复为正常

Microsoft Entra ID(AAD同步到IDaaS是否支持删除用户?

  • 在 Microsoft Entra ID 中删除用户:

    • 用户将被移至已删除用户列表。在下一次同步周期中,Microsoft Entra ID 将向 IDaaS 发送禁用指令,IDaaS 接收后执行用户禁用操作。

    • 若在已删除用户列表中对该用户执行永久删除Microsoft Entra ID 将在下一次同步时向 IDaaS 发送删除指令,IDaaS 接收后执行用户删除操作。

  • 在 Microsoft Entra ID 的企业应用程序中移除用户分配:
    Microsoft Entra ID 将向 IDaaS 发送禁用指令,IDaaS 根据配置执行相应用户的禁用操作。

    重要

    在执行大规模用户删除操作前,建议在测试环境中验证同步行为,确保符合预期的安全与合规要求。

上一篇:无AK访问配置流程(结合阿里云RAM)下一篇:通过SCIM同步Okta用户或用户组