0

使用 Azure AD Premium、企业应用程序和 SCIM 2.0 预配范围 - 仅分配的用户和组

我正在尝试解决以下用例:

  1. 分配给给定 AD 组的用户的 SCIM 配置
  2. 添加用户后,它会正确触发 POST /Users 以创建用户
  3. 当用户被删除时,它会跳过用户报告 - “详细信息:用户详细信息:跳过原因 = NotEffectivelyEntitled,活动 = True,分配 = 假,通过范围过滤器:真;” 但不会发送 PATCH 或 DELETE 通知 saas 应用用户不再有效。

因此,质疑使用 SCIM 配置仅将 AD 中的一部分用户作为系统的活动用户进行管理的正确机制是什么。

例如,公司中只有 1 个部门使用 saas 应用程序,因此用于分配票证等的用户列表应该只是那些,如果用户更改部门并且不再有权访问 saas 应用程序,他们不应被视为 saas 应用程序的有效用户目录。SaaS 许可将计算所有注册用户,因此无缘无故同步 20,000 个用户不是一种选择。

似乎 SCIM 通过 PATCH & DELETE 支持此用例,但 Azure AD 并未按预期传播来自企业应用程序中用户和组的更改。

任何建议表示赞赏。

谢谢

4

1 回答 1

0

经过多次试验和错误后,此问题与提供给 POST(创建)的响应对象有关 - 响应的 Username 属性需要与入站对象相同。

这在 AzureAD SCIM 的任何地方都没有真正记录,并且 SCIM 协议没有指定响应的属性值,只是模型。无论如何 - 大量的日志记录和摆弄导致正确的 GET、POST、PATCH 序列。

该文档是正确的,只是省略了有关虚线响应要求的任何信息。

https://docs.microsoft.com/en-gb/azure/active-directory/manage-apps/use-scim-to-provision-users-and-groups#user-provisioning-and-de-provisioning

于 2019-02-02T11:02:24.703 回答