Lokale Microsoft Entra-Anwendungsbereitstellung für SCIM-fähige Apps

Der Microsoft Entra-Bereitstellungsdienst unterstützt einen SCIM 2.0-Client, mit dem Benutzer automatisch in Cloudanwendungen oder lokalen Anwendungen bereitgestellt werden können. In diesem Artikel wird beschrieben, wie Sie den Microsoft Entra-Bereitstellungsdienst verwenden können, um Benutzer in einer lokalen, SCIM-fähigen Anwendung bereitzustellen. Wenn Sie Benutzer in lokalen Anwendungen ohne SCIM-Fähigkeit bereitstellen möchten, die SQL als Datenspeicher verwenden, lesen Sie das Tutorial: Microsoft Entra ECMA Connectorhost – generischer SQL-Connector. Wenn Sie Benutzer in Cloud-Apps wie DropBox und Atlassian bereitstellen möchten, lesen Sie die Tutorials zu den jeweiligen Apps.

Abbildung: SCIM-Architektur

Voraussetzungen

  • Ein Microsoft Entra-Mandant mit Microsoft Entra ID P1 oder Premium P2 (oder EMS E3 oder E5). Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
  • Administratorrolle für die Installation des Agents Diese Aufgabe ist einmalig und sollte ein Azure-Konto sein, das mindestens Hybrididentitätsadministrator ist.
  • Administratoren müssen mindestens Anwendungsadministrator, Cloudanwendungsadministrator oder eine benutzerdefinierte Rolle mit Berechtigungen sein.
  • Ein Computer mit mindestens 3 GB RAM zum Hosten eines Bereitstellungs-Agents. Der Computer sollte unter Windows Server 2016 oder einer höheren Version von Windows Server ausgeführt werden und über eine Verbindung mit der Zielanwendung sowie über ausgehende Verbindungen mit „login.microsoftonline.com“, anderen Microsoft Online Services und Azure-Domänen verfügen. Ein Beispiel ist eine Windows Server 2016-VM, die in Azure IaaS oder hinter einem Proxy gehostet wird.
  • Achten Sie darauf, dass Ihre SCIM-Implementierung die Microsoft Entra SCIM-Anforderungen erfüllt. Microsoft Entra ID bietet Open-Source-Referenzcode, den Entwickler zum Bootstrapping ihrer SCIM-Implementierung verwenden können, wie im Tutorial: Entwickeln eines SCIM-Beispielendpunkts in Microsoft Entra ID beschrieben.
  • Unterstützen Sie den /schemas-Endpunkt, um den im Azure-Portal erforderlichen Konfigurationsaufwand zu reduzieren.

Installieren und Konfigurieren des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  3. Suchen Sie nach der lokalen SCIM-App, benennen Sie die App, und wählen Sie Erstellen aus, um sie Ihrem Mandanten hinzuzufügen.
  4. Navigieren Sie über das Menü zur Bereitstellungsseite Ihrer Anwendung.
  5. Wählen Sie Erste Schritte aus.
  6. Ändern Sie auf der Seite Bereitstellung den Modus in Automatisch.

Screenshot: Auswahl von „Automatisch“

  1. Wählen Sie unter Lokale Konnektivität die Option Herunterladen und Installieren und dann Bedingungen akzeptieren und herunterladen aus.

Screenshot des Download-Speicherorts für den Agent.

  1. Verlassen Sie das Portal und öffnen Sie das Installationsprogramm für den Bereitstellungsagenten, stimmen Sie den Nutzungsbedingungen zu und wählen Sie Installieren aus.
  2. Warten Sie auf den Konfigurationsassistenten für den Microsoft Entra-Bereitstellungsagenten und wählen Sie dann Weiter aus.
  3. Wählen Sie im Schritt Erweiterung auswählen die Option Lokale Anwendungsbereitstellung und dann Weiter aus.
  4. Der Bereitstellungs-Agent verwendet den Webbrowser des Betriebssystems, um ein Popupfenster anzuzeigen, in dem Sie sich bei Microsoft Entra ID und ggf. auch beim Identitätsanbieter Ihrer Organisation authentifizieren können. Wenn Sie Internet Explorer als Browser unter Windows Server verwenden, müssen Sie möglicherweise Microsoft-Websites der Liste der vertrauenswürdigen Websites Ihres Browsers hinzufügen, damit JavaScript ordnungsgemäß ausgeführt werden kann.
  5. Geben Sie Anmeldeinformationen für einen Microsoft Entra-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Das Benutzerkonto muss mindestens über die Rolle Hybrididentitätsadministrator verfügen.
  6. Wählen Sie Bestätigen aus, um die Einstellung zu bestätigen. Nach erfolgreicher Installation können Sie Beenden auswählen und auch das Installationsprogramm für das Bereitstellungs-Agent-Paket schließen.

Konfigurieren der Verbindung über den Bereitstellungs-Agenten

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  3. Suchen Sie nach der zuvor erstellten Anwendung.

  4. Navigieren Sie über das Menü zur Bereitstellungsseite Ihrer Anwendung.

  5. Wählen Sie im Portal im Abschnitt Lokale Konnektivität den von Ihnen bereitgestellten Agent und dann Agent(s) zuweisen aus.

    Screenshot: Auswahl und Zuweisung eines Agents.

  6. Starten Sie den Bereitstellungs-Agent-Dienst neu oder warten Sie 10 Minuten, bevor Sie die Verbindung testen.

  7. Geben Sie im Feld Mandanten-URL die URL des SCIM-Endpunkts der Anwendung ein. Beispiel: https://api.contoso.com/scim/

  8. Kopieren Sie das erforderliche OAuth-Bearertoken für den SCIM-Endpunkt in das Feld Geheimes Token.

  9. Wählen Sie die Option Verbindung testen aus, damit Microsoft Entra ID versucht, eine Verbindung mit dem SCIM-Endpunkt herzustellen. Wenn der Versuch nicht erfolgreich ist, werden Fehlerinformationen angezeigt.

  10. Wählen Sie bei erfolgreichem Versuch der Verbindungsherstellung mit der Anwendung die Option Speichern, um die Administratoranmeldedaten zu speichern.

  11. Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mit dem Konfigurations-Assistenten ausführen.

Bereitstellung in einer SCIM-fähigen Anwendung

Sobald der Agent installiert ist, ist lokal keine weitere Konfiguration erforderlich, und alle Bereitstellungskonfigurationen werden über das Portal verwaltet. Wiederholen Sie die folgenden Schritte für jede lokale Anwendung, die über SCIM bereitgestellt wird.

  1. Konfigurieren Sie alle Attributzuordnungen oder Bereichsregeln, die für Ihre Anwendung erforderlich sind.
  2. Fügen Sie Benutzer zum Bereich hinzu, indem Sie der Anwendung Benutzer und Gruppen zuweisen.
  3. Testen Sie die bedarfsorientierte Bereitstellung einiger Benutzer.
  4. Fügen Sie weitere Benutzer zum Bereich hinzu, indem Sie sie Ihrer Anwendung zuweisen.
  5. Wechseln Sie zum Bereich Bereitstellung, und klicken Sie auf Bereitstellung beginnen.
  6. Die Überwachung erfolgt mithilfe der Bereitstellungsprotokolle.

Das folgende Video enthält eine Übersicht über die lokale Benutzerbereitstellung.

Nächste Schritte