Freigeben über

Lokale Microsoft Entra-Anwendungsbereitstellung für SCIM-fähige Apps

Der Microsoft Entra-Bereitstellungsdienst unterstützt einen SCIM 2.0-Client , der verwendet werden kann, um Benutzer automatisch in Cloud- oder lokalen Anwendungen bereitzustellen. In diesem Artikel wird beschrieben, wie Sie den Microsoft Entra-Bereitstellungsdienst verwenden können, um Benutzer in einer lokalen, SCIM-fähigen Anwendung bereitzustellen. Wenn Sie Benutzer in nicht-SCIM-lokalen Anwendungen bereitstellen möchten, die SQL als Datenspeicher verwenden, lesen Sie das Lernprogramm zum Microsoft Entra ECMA Connector Host Generic SQL Connector. Wenn Sie Benutzer in Cloud-Apps wie DropBox und Atlassian bereitstellen möchten, lesen Sie die appspezifischen Lernprogramme.

Diagramm, das die SCIM-Architektur zeigt.

Voraussetzungen

  • Ein Microsoft Entra-Mandant mit Microsoft Entra ID P1 oder Premium P2 (oder EMS E3 oder E5). Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zum Ermitteln der richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen allgemein verfügbarer Features von Microsoft Entra ID.
  • Administratorrolle für die Installation des Agents Diese Aufgabe ist einmalig und sollte ein Azure-Konto sein, das mindestens Hybrididentitätsadministrator ist.
  • Administratoren müssen mindestens Anwendungsadministrator, Cloudanwendungsadministrator oder eine benutzerdefinierte Rolle mit Berechtigungen sein.
  • Ein Computer mit mindestens 3 GB RAM zum Hosten eines Bereitstellungs-Agents. Der Computer sollte über Windows Server 2016 oder eine höhere Version von Windows Server verfügen, mit Konnektivität mit der Zielanwendung und mit ausgehender Konnektivität zu login.microsoftonline.com, anderen Microsoft Online Services und Azure-Domänen. Ein Beispiel ist eine Windows Server 2016-VM, die in Azure IaaS oder hinter einem Proxy gehostet wird.
  • Stellen Sie sicher, dass Ihre SCIM-Implementierung die Microsoft Entra SCIM-Anforderungen erfüllt. Microsoft Entra ID bietet Open-Source-Referenzcode , mit dem Entwickler ihre SCIM-Implementierung bootstrapieren können, wie im Lernprogramm beschrieben: Entwickeln eines SCIM-Beispielendpunkts in Microsoft Entra ID.
  • Unterstützen Sie den /schemas-Endpunkt, um den im Azure-Portal erforderlichen Konfigurationsaufwand zu reduzieren.

Installieren und Konfigurieren des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets

  1. Melden Sie sich mindestens als Anwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps.
  3. Suchen Sie nach der lokalen SCIM-App-Anwendung , geben Sie der App einen Namen, und wählen Sie "Erstellen" aus, um sie Ihrem Mandanten hinzuzufügen.
  4. Navigieren Sie im Menü zur Bereitstellungsseite Ihrer Anwendung.
  5. Wählen Sie "Erste Schritte" aus.
  6. Ändern Sie auf der Seite "Bereitstellung " den Modus in "Automatisch".

Screenshot der Auswahl von

  1. Wählen Sie unter "Lokale Konnektivität" die Option "Herunterladen und Installieren" und dann "Bedingungen und Download akzeptieren" aus.

Screenshot des Download-Standorts für den Agenten.

  1. Verlassen Sie das Portal, öffnen Sie das Bereitstellungs-Agent-Installationsprogramm, stimmen Sie den Nutzungsbedingungen zu, und wählen Sie "Installieren" aus.
  2. Warten Sie auf den Konfigurations-Assistenten für den Microsoft Entra-Bereitstellungs-Agent, und wählen Sie dann "Weiter" aus.
  3. Wählen Sie im Schritt " Erweiterung auswählen " die lokale Anwendungsbereitstellung und dann "Weiter" aus.
  4. Der Bereitstellungsagent verwendet den Webbrowser des Betriebssystems, um ein Popupfenster anzuzeigen, in dem Sie sich bei Microsoft Entra ID und gegebenenfalls auch bei dem Identitätsanbieter Ihrer Organisation authentifizieren können. Wenn Sie Internet Explorer als Browser auf Windows Server verwenden, müssen Sie möglicherweise Microsoft-Websites zur vertrauenswürdigen Websiteliste Ihres Browsers hinzufügen, damit JavaScript ordnungsgemäß ausgeführt werden kann.
  5. Geben Sie Anmeldeinformationen für einen Microsoft Entra-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Der Benutzer muss mindestens über die Rolle des Hybrididentitätsadministrators verfügen.
  6. Wählen Sie "Bestätigen " aus, um die Einstellung zu bestätigen. Nachdem die Installation erfolgreich war, können Sie "Beenden" auswählen und auch das Installationsprogramm des Bereitstellungs-Agent-Pakets schließen.

Konfigurieren der Verbindung über den Bereitstellungs-Agenten

  1. Melden Sie sich mindestens als Anwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps.

  3. Suchen Sie nach der zuvor erstellten Anwendung.

  4. Navigieren Sie im Menü zur Bereitstellungsseite Ihrer Anwendung.

  5. Wählen Sie im Portal im Abschnitt " Lokale Konnektivität " den agent aus, den Sie bereitgestellt haben, und wählen Sie " Agent zuweisen" aus.

    Screenshot, der zeigt, wie Sie einen Agent auswählen und zuweisen.

  6. Starten Sie den Bereitstellungs-Agent-Dienst neu oder warten Sie 10 Minuten, bevor Sie die Verbindung testen.

  7. Geben Sie im Feld "Mandanten-URL " die URL des SCIM-Endpunkts der Anwendung ein. Beispiel: https://api.contoso.com/scim/

  8. Kopieren Sie das erforderliche OAuth-Bearertoken für den SCIM-Endpunkt in das Feld "Geheimes Token" .

  9. Wählen Sie "Verbindung testen" aus, damit microsoft Entra ID versucht, eine Verbindung mit dem SCIM-Endpunkt herzustellen. Wenn der Versuch nicht erfolgreich ist, werden Fehlerinformationen angezeigt.

  10. Nachdem der Versuch, eine Verbindung mit der Anwendung herzustellen, erfolgreich hergestellt wurde, wählen Sie " Speichern" aus, um die Administratoranmeldeinformationen zu speichern.

  11. Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mit dem Konfigurations-Assistenten ausführen.

Bereitstellen in einer SCIM-fähigen Anwendung

Sobald der Agent installiert ist, ist lokal keine weitere Konfiguration erforderlich, und alle Bereitstellungskonfigurationen werden über das Portal verwaltet. Wiederholen Sie die folgenden Schritte für jede lokale Anwendung, die über SCIM bereitgestellt wird.

  1. Konfigurieren Sie alle Attributzuordnungen oder Bereichsregeln , die für Ihre Anwendung erforderlich sind.
  2. Fügen Sie Benutzer zum Bereich hinzu, indem Sie der Anwendung Benutzer und Gruppen zuweisen .
  3. Testen Sie die Bereitstellung einiger Benutzer bei Bedarf.
  4. Fügen Sie weitere Benutzer zum Bereich hinzu, indem Sie sie Ihrer Anwendung zuweisen.
  5. Wechseln Sie zum Bereitstellungsbereich , und wählen Sie " Bereitstellung starten" aus.
  6. Die Überwachung erfolgt mithilfe der Bereitstellungsprotokolle.

Das folgende Video enthält eine Übersicht über die lokale Bereitstellung.

Nächste Schritte