本文为您介绍通过 SCIM 协议,将 Microsoft Entra ID(即 Azure AD)中的用户或用户组同步到腾讯云身份中心。
背景信息
Microsoft Entra ID 中的所有配置操作需要管理员(已授予全局管理员权限)执行。关于如何在 Microsoft Entra ID 中创建用户及授权为管理员的操作,请参见 Microsoft Entra 文档。
在身份中心配置
步骤一:开启 SCIM 同步
1. 登录集团账号管理 > 身份中心。
2. 在左侧导航栏,单击用户管理 > 设置。
3. 在 SCIM 用户同步配置区域,单击
4. 启用后,在 SCIM 用户同步配置区域,查看或复制 SCIM 服务端地址,在外部 IdP 中配置 SCIM 同步时会使用该地址。
中国站:https://scim.tencentcloudsso.com/scim/v2
国际站:https://scim.tencentcloudssointl.com/scim/v2
步骤二:创建 SCIM 密钥
1. 在 SCIM 用户同步配置区域,单击生成新的 SCIM 密钥。
2. 在创建 CredentialSecret 对话框中,您可以通过下载 CSV 文件或复制来保存 SCIM 密钥。保存好密钥后,单击确定。
在 Azure 配置
步骤一:在 Microsoft Entra ID 中创建应用程序
1. 管理员登录 Azure 门户,单击左上角菜单图标。
2. 在左侧导航栏,选择 Microsoft Entra ID。
3. 在左侧导航栏,选择管理 > 企业应用程序后,进入所有应用程序。
4. 单击新建应用程序。
5. 在浏览 Microsoft Entra 库页面,单击创建你自己的应用程序,在右侧窗口中,输入应用名称,并选择集成未在库中找到的任何其他应用程序(非库),然后单击创建。
步骤二:在 Microsoft Entra ID 中配置 SCIM 同步
1. 在应用程序页面,单击左侧导航栏的预配。
2. 在预配页面,单击开始。
3. 设置预配模式为自动。在管理员凭据区域,配置管理员凭据。
在租户 URL 区域,输入 SCIM 服务端地址。
在密钥标记区域,输入 SCIM 密钥。
单击测试连接。
等待测试成功后,您可以继续进行下一步操作。
4. 在映射区域,可以使用默认配置,也可以按需修改属性映射。用户名默认使用 Microsoft Entra ID 的 userPrincipalName。
5. 在设置区域,范围模块默认选择仅同步已分配的用户和组,同步时需要先将用户和组分配到应用程序。
说明:
如果选择同步所有用户和组,会自动同步 Microsoft Entra ID 中的所有用户和组。
6. 单击预配状态区域的打开,单击保存,配置完成。
步骤三:分配用户/组
1. 在预配页面的左侧菜单,选择用户和组,单击添加用户/组。
2. 在添加分配页面,选择用户或用户组,单击选择。
3. 单击分配。分配成功的用户/组在列表中展示。
步骤四:同步用户/组
自动同步用户/组(非实时)
已分配的用户/组,会按照预配间隔时间自动同步到身份中心,非实时同步。
在 Microsoft Entra ID 中默认20~40分钟同步一次,时间不可修改。
已分配的用户组在同步时,会自动同步组内用户;组内的增量用户也会按预配间隔时间同步(非实时)。
手动同步用户/组(实时)
如果需要立即同步用户/组,可按如下步骤操作。
1. 在按需预配页面,选择需要同步的用户,单击配置。
2. 配置成功。
1. 在按需预配页面,选择需要同步的用户组,并同时勾选组内的用户,单击配置。
说明:
如果没有同时勾选用户,则当次同步,只会同步用户组,不会同步组内用户。
2. 配置成功。
结果验证
在左侧导航栏,在用户管理 > 用户,查看列表。来源会自动标识为外部导入。
在左侧导航栏,在用户管理 > 用户组,查看列表。来源会自动标识为外部导入。
单击用户组名称,进入用户组详情页,可以查看组内用户。
