Lokale Microsoft Entra-Anwendungsbereitstellung für SCIM-fähige Apps
Der Microsoft Entra-Bereitstellungsdienst unterstützt einen SCIM 2.0-Client, mit dem Benutzer automatisch in Cloudanwendungen oder lokalen Anwendungen bereitgestellt werden können. In diesem Artikel wird beschrieben, wie Sie den Microsoft Entra-Bereitstellungsdienst verwenden können, um Benutzer in einer lokalen, SCIM-fähigen Anwendung bereitzustellen. Wenn Sie Benutzer in lokalen Anwendungen ohne SCIM-Fähigkeit bereitstellen möchten, die SQL als Datenspeicher verwenden, lesen Sie das Tutorial: Microsoft Entra ECMA Connectorhost – generischer SQL-Connector. Wenn Sie Benutzer in Cloud-Apps wie DropBox und Atlassian bereitstellen möchten, lesen Sie die Tutorials zu den jeweiligen Apps.
Voraussetzungen
- Ein Microsoft Entra-Mandant mit Microsoft Entra ID P1 oder Premium P2 (oder EMS E3 oder E5). Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
- Administratorrolle für die Installation des Agents Diese Aufgabe ist einmalig und sollte ein Azure-Konto sein, das mindestens Hybrididentitätsadministrator ist.
- Administratoren müssen mindestens Anwendungsadministrator, Cloudanwendungsadministrator oder eine benutzerdefinierte Rolle mit Berechtigungen sein.
- Ein Computer mit mindestens 3 GB RAM zum Hosten eines Bereitstellungs-Agents. Der Computer sollte über Windows Server 2016 oder eine höhere Version von Windows Server verfügen, mit Konnektivität mit der Zielanwendung und mit ausgehender Konnektivität zu login.microsoftonline.com, anderen Microsoft Online Services und Azure-Domänen. Ein Beispiel ist eine Windows Server 2016-VM, die in Azure IaaS oder hinter einem Proxy gehostet wird.
- Achten Sie darauf, dass Ihre SCIM-Implementierung die Microsoft Entra SCIM-Anforderungen erfüllt. Microsoft Entra ID bietet Open-Source-Referenzcode, den Entwickler zum Bootstrapping ihrer SCIM-Implementierung verwenden können, wie im Tutorial: Entwickeln eines SCIM-Beispielendpunkts in Microsoft Entra ID beschrieben.
- Unterstützen Sie den /schemas-Endpunkt, um den im Azure-Portal erforderlichen Konfigurationsaufwand zu reduzieren.
Installieren und Konfigurieren des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
- Suchen Sie nach der lokalen SCIM-App, benennen Sie die App, und wählen Sie Erstellen aus, um sie Ihrem Mandanten hinzuzufügen.
- Navigieren Sie über das Menü zur Bereitstellungsseite Ihrer Anwendung.
- Wählen Sie Erste Schritte aus.
- Ändern Sie auf der Seite Bereitstellung den Modus in Automatisch.
- Wählen Sie unter Lokale Konnektivität die Option Herunterladen und Installieren und dann Bedingungen akzeptieren und herunterladen aus.
- Verlassen Sie das Portal und öffnen Sie das Installationsprogramm für den Bereitstellungsagenten, stimmen Sie den Nutzungsbedingungen zu und wählen Sie Installieren aus.
- Warten Sie auf den Konfigurationsassistenten für den Microsoft Entra-Bereitstellungsagenten und wählen Sie dann Weiter aus.
- Wählen Sie im Schritt Erweiterung auswählen die Option Lokale Anwendungsbereitstellung und dann Weiter aus.
- Der Bereitstellungsagent verwendet den Webbrowser des Betriebssystems, um ein Popupfenster anzuzeigen, in dem Sie sich bei Microsoft Entra ID und gegebenenfalls auch bei dem Identitätsanbieter Ihrer Organisation authentifizieren können. Wenn Sie Internet Explorer als Browser auf Windows Server verwenden, müssen Sie möglicherweise Microsoft-Websites zur vertrauenswürdigen Websiteliste Ihres Browsers hinzufügen, damit JavaScript ordnungsgemäß ausgeführt werden kann.
- Geben Sie Anmeldeinformationen für einen Microsoft Entra-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Das Benutzerkonto muss mindestens über die Rolle Hybrididentitätsadministrator verfügen.
- Wählen Sie Bestätigen aus, um die Einstellung zu bestätigen. Nach erfolgreicher Installation können Sie Beenden auswählen und auch das Installationsprogramm für das Bereitstellungs-Agent-Paket schließen.
Konfigurieren der Verbindung über den Bereitstellungs-Agenten
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Suchen Sie nach der zuvor erstellten Anwendung.
Navigieren Sie über das Menü zur Bereitstellungsseite Ihrer Anwendung.
Wählen Sie im Portal im Abschnitt Lokale Konnektivität den von Ihnen bereitgestellten Agent und dann Agent(s) zuweisen aus.
Starten Sie den Bereitstellungs-Agent-Dienst neu oder warten Sie 10 Minuten, bevor Sie die Verbindung testen.
Geben Sie im Feld Mandanten-URL die URL des SCIM-Endpunkts der Anwendung ein. Beispiel:
https://api.contoso.com/scim/
Kopieren Sie das erforderliche OAuth-Bearertoken für den SCIM-Endpunkt in das Feld Geheimes Token.
Wählen Sie die Option Verbindung testen aus, damit Microsoft Entra ID versucht, eine Verbindung mit dem SCIM-Endpunkt herzustellen. Wenn der Versuch nicht erfolgreich ist, werden Fehlerinformationen angezeigt.
Wählen Sie bei erfolgreichem Versuch der Verbindungsherstellung mit der Anwendung die Option Speichern, um die Administratoranmeldedaten zu speichern.
Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mit dem Konfigurations-Assistenten ausführen.
Bereitstellung in einer SCIM-fähigen Anwendung
Sobald der Agent installiert ist, ist lokal keine weitere Konfiguration erforderlich, und alle Bereitstellungskonfigurationen werden über das Portal verwaltet. Wiederholen Sie die folgenden Schritte für jede lokale Anwendung, die über SCIM bereitgestellt wird.
- Konfigurieren Sie alle Attributzuordnungen oder Bereichsregeln, die für Ihre Anwendung erforderlich sind.
- Fügen Sie Benutzer zum Bereich hinzu, indem Sie der Anwendung Benutzer und Gruppen zuweisen.
- Testen Sie die bedarfsorientierte Bereitstellung einiger Benutzer.
- Fügen Sie weitere Benutzer zum Bereich hinzu, indem Sie sie Ihrer Anwendung zuweisen.
- Wechseln Sie zum Bereich Bereitstellung, und klicken Sie auf Bereitstellung beginnen.
- Die Überwachung erfolgt mithilfe der Bereitstellungsprotokolle.
Das folgende Video enthält eine Übersicht über die lokale Benutzerbereitstellung.