步驟一：在云SSO創建SCIM密鑰

1. 登錄云SSO控制臺。
2. 在左側導航欄，單擊設置。
3. 在用戶同步配置區域，單擊生成密鑰。
4. 在SCIM密鑰生成成功對話框，復制SCIM密鑰，然后單擊關閉。
5. 可選：在用戶同步配置區域，單擊生成新的SCIM密鑰，可以創建第二個SCIM密鑰。

步驟二：在云SSO啟用SCIM同步

1. 登錄云SSO控制臺。

2. 在左側導航欄，單擊設置。

3. 在SCIM用戶同步配置區域，打開SCIM同步開關，啟用SCIM同步。

步驟三：在Azure AD中創建應用程序

1. 管理員用戶登錄Azure門戶。

2. 在主頁左上角，單擊圖標。

3. 在左側導航欄，選擇Azure Active Directory > 企業應用程序 > 所有應用程序。

4. 單擊新建應用程序。

5. 在瀏覽Azure AD庫頁面，單擊創建你自己的應用程序。

6. 在創建你自己的應用程序頁面，輸入應用程序名稱（例如：CloudSSODemo），并選擇集成未在庫中找到的任何其他應用程序（非庫），然后單擊創建。

步驟四：在Azure AD中分配用戶或用戶組到應用程序

1. 在Azure AD主頁左上角，單擊圖標。

2. 在左側導航欄，選擇Azure Active Directory > 企業應用程序 > 所有應用程序。

3. 在名稱列，單擊應用程序CloudSSODemo。

4. 在左側導航欄，單擊用戶和組。

5. 單擊左上角的添加用戶/組。

6. 選擇用戶或用戶組。

7. 單擊分配。

步驟五：在Azure AD中配置SCIM同步

1. 在CloudSSODemo頁面，單擊左側導航欄的預配。

2. 在預配頁面，單擊開始。

3. 設置預配模式為自動。

4. 在管理員憑據區域，配置管理員憑據。

   1. 在租戶URL區域，輸入SCIM服務端地址。

      該地址請從云SSO SCIM配置頁面的SCIM服務端地址處獲取。

   2. 在密鑰標記區域，輸入SCIM密鑰。

      該SCIM密鑰請通過步驟一：在云SSO創建SCIM密鑰獲取。

   3. 單擊測試連接。

      等待測試成功后，您可以繼續進行下一步操作。

5. 在映射區域，配置屬性映射。

   • 單擊Provision Azure Active Directory Users，配置用戶屬性映射。

     1. 在customappsso屬性列找到externalId的映射，將其Source attribute屬性值修改為objectId。

     2. 刪除不相關的屬性映射，僅保留下圖所示的屬性映射。

   • 單擊Provision Azure Active Directory Groups，配置用戶組屬性映射。刪除不相關的屬性映射，僅保留下圖所示的屬性映射。

   說明

   因為云SSO的用戶名稱和用戶組名稱有字符限制，如果Azure AD中的用戶名稱或用戶組名稱包含了云SSO不允許的字符，則會映射失敗。此時，您需要將Azure AD屬性映射的方式修改為Expression，然后為displayName設置一個Replace規則，把不允許的字符去掉或者替換成支持的字符。具體操作，請參見Azure AD文檔。

6. 在設置區域，選擇范圍為僅同步已分配的用戶和組。

7. 在預配狀態區域，打開預配開關。

8. 單擊保存。

9. 在預配頁面，刷新頁面，查看同步結果。

結果驗證

1. 登錄云SSO控制臺。

2. 在用戶或用戶組列表中，查看同步成功的用戶或用戶組。

   同步的用戶或用戶組的來源會自動標識為SCIM同步。

   具體操作，請參見查看用戶信息和查看用戶組信息。

相關文檔

Azure AD與云SSO進行單點登錄的示例