配置 API 驱动的入站预配应用

介绍

本教程介绍如何配置 API 驱动的入站用户预配。

只有在配置以下企业图库应用时，此功能才可用。

• MICROSOFT Entra ID 的 API 驱动的入站用户预配
• API 驱动的入站用户预配到本地 AD

先决条件

若要完成本教程中的步骤，需要使用以下角色访问 Microsoft Entra 管理中心：

• 应用程序管理员 （如果要将入站用户预配配置为Microsoft Entra ID） 或
• 应用程序管理员 + 混合标识管理员 （如果要配置到本地 Active Directory 的入站用户预配）

如果要配置到本地 Active Directory 的入站用户预配，则需要访问 Windows Server，可在其中安装预配代理以连接到 Active Directory 域控制器。

创建 API 驱动的预配应用

1. 以至少应用程序管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>企业应用。

3. 单击“ 新建应用程序 ”创建新的预配应用程序。

4. 在搜索字段中输入 API 驱动 ，然后选择设置的应用程序：

   • API 驱动的预配到本地 Active Directory：如果要从记录系统预配混合标识（需要本地 AD 和 Microsoft Entra 帐户的标识），请选择此应用。 在本地 AD 中预配这些帐户后，它们会自动使用 Microsoft Entra Connect Sync 或 Microsoft Entra Connect 云同步自动同步到 Microsoft Entra 租户。
   • API 驱动的预配到 Microsoft Entra ID：如果要从您记录系统预配仅在云中的身份（这些身份不需要本地 AD 帐户，仅需 Microsoft Entra 帐户），请选择此应用。

   

5. 在 “名称 ”字段中，重命名应用程序以满足命名要求，然后单击“ 创建”。

   

   注释

   如果计划从多个源引入数据，每个源都有自己的同步规则，则可以创建多个应用并为每个应用提供描述性名称，例如 Provision-Employees-From-CSV-to-AD 或 Provision-Contractors-From-SQL-to-AD。

6. 成功创建应用程序后，转到“预配”页面，然后单击“ 开始”。

7. 将预配模式从手动切换到 自动。

根据所选应用，使用以下部分之一来完成设置：

• 配置 API 驱动的本地 AD 入站预配
• 将 API 驱动的入站预配配置为Microsoft Entra ID

配置 API 驱动的 Active Directory 入站预配

1. 将预配模式设置为 “自动”后，单击“ 保存 ”以创建预配作业的初始配置。
2. 单击有关Microsoft Entra 预配代理的信息横幅。
3. 单击 “接受条款”并下载 以下载Microsoft Entra 预配代理。
4. 请参阅此处所述的 安装和配置预配代理的步骤。 此步骤向 Microsoft Entra 租户注册本地 Active Directory 域。
5. 代理注册成功后，在下拉列表 Active Directory 域中选择您的域，并指定新用户帐户默认创建位置的 OU 的可分辨名称。

   注释

   如果 AD 域在 Active Directory 域 下拉列表中不可见，请在浏览器中重新加载预配应用。 单击“ 查看域的本地代理 ”，确保代理状态正常。

6. 单击 “测试”连接 ，确保Microsoft Entra ID 可以连接到预配代理。
7. 单击“ 保存” 保存所做的更改。
8. 保存操作成功后，你将看到另外两个扩展面板-一个用于 映射 ，另一个用于 设置。 在继续下一步之前，请提供有效的通知电子邮件 ID 并再次保存配置。

   注释

   在“设置”中提供通知电子邮件是必需的。 如果通知电子邮件留空，则在启动执行时，配置将进入隔离状态。

9. 单击 “映射 ”扩展面板中的超链接以查看默认属性映射。

   注释

   “属性映射”页中的默认配置将 SCIM 核心用户和企业用户属性映射到本地 AD 属性。 建议先使用默认映射来开始，然后随着你对整体数据流的了解加深，再进行自定义调整。

10. 按照“ 开始接受预配请求”部分中的步骤完成配置。

将 API 驱动的入站预配配置为Microsoft Entra ID

1. 将预配模式设置为 “自动”后，单击“ 保存 ”以创建预配作业的初始配置。

2. 保存操作成功后，你将看到另外两个扩展面板-一个用于 映射 ，另一个用于 设置。 在继续下一步之前，请确保提供有效的通知电子邮件 ID 并再次保存配置。

   注释

   在“设置”中提供通知电子邮件是必需的。 如果通知电子邮件留空，则在启动执行时，配置将进入隔离状态。

3. 单击 “映射 ”扩展面板中的超链接以查看默认属性映射。

   注释

   “属性映射”页中的默认配置将 SCIM 核心用户和企业用户属性映射到本地 AD 属性。 建议先使用默认映射来开始，然后随着你对整体数据流的了解加深，再进行自定义调整。

4. 按照“ 开始接受预配请求”部分中的步骤完成配置。

开始接受预配请求

1. 打开预配应用程序的 “预配>概述 ”页。
2. 在此页上，可以执行以下操作：
   • 启动预配 控制按钮 - 单击此按钮可将预配作业置于 侦听模式 ，以处理入站批量上传请求有效负载。
   • 停止预配 控制按钮 - 使用此选项暂停/停止预配作业。
   • 重新配置 控制按钮 - 使用该选项可以清除所有待处理的现有请求负载，并启动新的配置周期。
   • 编辑预配 控制按钮 - 使用此选项可编辑作业设置、属性映射和自定义预配架构。
   • 按需预配 控制按钮 - API 驱动的入站预配不支持此功能。
   • 预配 API 终结点 URL 文本 - 复制显示的 HTTPS URL 值，并将其保存在记事本或 OneNote 中，以便稍后与 API 客户端一起使用。
3. 展开 “截至目前的统计信息”>技术信息查看面板并复制 “预配 API 端点” URL。 授予调用 API 的访问权限 后，请与 API 开发人员共享此 URL。

后续步骤

• 授予对入站预配 API 的访问权限
• 有关 API 驱动的入站预配的常见问题
• 使用 Microsoft Entra ID 自动对 SaaS 应用程序进行用户预配和取消预配