Настройка сегмента для автоматической подготовки пользователей

В этой статье описаны шаги, которые необходимо выполнить как в системе Segment, так и в системе Microsoft Entra ID для настройки автоматического предоставления пользователей. При настройке Microsoft Entra ID автоматически проводит и отменяет размещение пользователей и групп в сегменте с использованием сервиса подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.

Поддерживаемые возможности

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • владелец приложения.

• Учетная запись пользователя в сегменте с разрешениями владельца.
• В вашей рабочей области должен быть включён SSO (требуется подписка уровня Business).

Шаг 1. Планирование развертывания снабжения

1. Узнайте, как работает служба предоставления.
2. Определите, кто будет входить в область для обеспечения.
3. Определите, какие данные сопоставлять между идентификатором Microsoft Entra и сегментом.

Шаг 2. Настройте Segment для поддержки провизии с использованием Microsoft Entra ID

1. URL-адрес тенанта — https://scim.segmentapis.com/scim/v2. Это значение будет введено в поле URL-адрес клиента на вкладке "Предоставление" вашего приложения "Сегмент".

2. Войдите в приложение Сегмент.

3. На левой панели перейдите к разделу "Параметры " ">Аутентификация>Дополнительные настройки".

   

4. Прокрутите вниз до SSO (единого входа) синхронизации и щелкните Создать токен SSO (единого входа).

   

5. Скопируйте и сохраните маркер носителя. Это значение будет введено в поле секретного токена на вкладке "Провизирование" вашего приложения Segment.

   

Шаг 3. Добавление сегмента из коллекции приложений Microsoft Entra

Добавьте сегмент из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Segment. Если вы ранее настроили Segment для SSO, вы можете использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте больше о добавлении приложения из галереи по ссылке.

Шаг 4. Определите, кто входит в область обеспечения ресурсами.

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

• Начните с малого. Протестируйте с небольшим набором пользователей и групп перед развертыванием для всех пользователей. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если область задана для всех пользователей и групп, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматического предоставления пользователей в Segment

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическое предоставление пользователей для Segment в Microsoft Entra ID, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

2. Перейти к Идентификация>Приложения>Корпоративные приложения

   

3. В списке приложений выберите Сегмент.

   

4. Выберите вкладку Подготовка.

   

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

   

6. В разделе Учетные данные администратора введите URL-адрес клиента сегмента и секретный маркер, полученный ранее на шаге 2. Щелкните "Проверить подключение", чтобы убедиться, что Microsoft Entra ID может подключиться к сегменту. Если подключение завершается ошибкой, убедитесь, что у учетной записи сегмента есть разрешения администратора и повторите попытку.

   

7. В поле Адрес электронной почты для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках при предоставлении ресурсов, и установите флажок Отправить уведомление по электронной почте при возникновении сбоя.

   

8. Выберите Сохранить.

9. В разделе сопоставления выберите Синхронизировать пользователей Microsoft Entra с Сегментированием.

10. Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID в Segment, в разделе сопоставления атрибутов. Атрибуты, выбранные как соответствующие свойства , используются для сопоставления учетных записей пользователей в Сегменте при операциях обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API сегмента поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации
    userName	Струна	✓
    emails[type eq "рабочий"].value	Струна
    отображаемое имя	Струна

11. В разделе сопоставления выберите Синхронизировать группы Microsoft Entra с Segment.

12. Просмотрите атрибуты группы, синхронизированные из Microsoft Entra ID в Segment, в разделе сопоставления атрибутов. Атрибуты, выбранные в качестве соответствующих свойств, служат для сопоставления групп в Сегменте при выполнении операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации
    отображаемое имя	Струна	✓
    члены	Ссылка

13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.

14. Чтобы включить службу подготовки Microsoft Entra для сегмента, измените состояния подготовки на On в разделе "Параметры".

    

15. Определите пользователей и/или группы, которых вы хотите предоставить для Segment, выбрав нужные значения в области в разделе "Параметры".

    

16. Когда будете готовы настроить, нажмите Сохранить.

    

Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в разделе "Область" в разделе "Параметры". Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, при условии, что служба подготовки Microsoft Entra работает.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
2. Проверьте индикатор хода выполнения , чтобы увидеть состояние цикла подготовки и насколько он близок к завершению.
3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты об активности по предоставлению ресурсов