Motimate：如何在 Azure 和 Motimate 之间设置 SCIM？

启用 Azure Active Directory (AD) 与 Motimate 之间的 SCIM 集成，以便在 Motimate 中自动同步用户。

Motimate 支持使用 SCIM API 从 Azure AD 自动导入/同步数据。您还可以查看 Microsoft 的教程：为 Azure Active Directory 中的 SCIM 端点开发和规划调配，以了解更多信息。

在启动此流程之前，您必须联系 Motimate 或support@motimateapp.com的客户成功经理，以索取完成以下步骤所需的以下数据：

SCIM 租户 URL
SCIM 保密令牌

应注意的局限性

虽然 SCIM 集成可让您在 Azure（现为 Entra ID）和 Motimate 之间导入并保持用户同步，但所有用户都将获得标准的 "普通用户 "用户角色和所有组中的 "成员 "角色。任何应具有其他角色的用户在导入后都需要手动更新。您可以在这里了解更多有关 Motimate 中各类角色的信息。

在 Microsoft Azure 和 Motimate 之间设置 SCIM

使用 Microsoft Azure 管理员帐户登录 Microsoft Azure门户。
首先在 Azure 门户顶部的搜索栏中搜索 "企业应用程序 "，出现后点击它。
出现新的企业应用程序 设置页面。在此，您应点击页面顶部的 "新申请 "。
然后点击页面顶部的创建自己的应用程序 。
在右侧出现的窗口中，您需要为应用程序命名：Motimate SCIM。
然后选择以下单选按钮：
集成图库中没有的任何其他应用程序（非图库）。
单击 "创建"，您将很快进入新应用程序的 "概览 "页面。
现在，您应该进入左侧菜单中的 "供应 "，然后单击 "开始 " 按钮。
现在您需要将 "供应模式 "设置为 "自动"。
输入从 Motimate 收到的租户 URL 和秘密令牌 。 如果您尚未联系 Motimate 以获得这些信息，您将无法继续。
单击 "测试连接 "确保连接成功。这可能需要几秒钟，但完成后你会在右上角看到一个通知。
- 如果测试失败，请仔细检查是否完全按照 Motimate 提供的方式输入了租户 URL 和秘密令牌 。
- 租户 URL 通常采用这种格式：
```
https://{identifier}.motimateapp.com/scim/v1
```
  记住将 {identifier} 替换为您的 Motimate 账户。
- 秘密令牌 由 32 个字符和数字组成，例如
```
5e188cf76084d08cde4b7d68083f27c4
```
  (此令牌示例不起作用，请勿使用）
测试成功后，必须单击 "保存 " 才能继续。
设置保存后，"测试连接 "按钮下方会出现一个新的 "映射 "部分。
请展开 "映射 "部分，然后单击 "提供 Azure Active Directory 用户"。
向下滚动，直到看到 "属性映射 "部分。
首先，你必须在第一列中找到名为mailNickname 的 Azure Active Directory 属性 。
单击mailNickname，将打开一个编辑属性的 新窗口。
您必须将源属性 从mailNickname 改为objectId。
然后在使用该属性匹配对象的下拉菜单中选择是。
单击 "确定"。
现在，您必须确保在第一列中保留以下所有Azure Active Directory 属性：
- objectId
- Switch([IsSoftDeleted], , "False", "True", "True", "False")
- 职位名称
- 邮政
- userPrincipalName
- 给定名称
- 姓氏
- mobile*
  
  *)电话号码必须以加号开头，后跟国家代码和数字：
  
  正确：+4798765432
  错误：98765432
  
  允许使用空字段。格式不正确将导致无法同步。如果您不确定格式或不需要同步数字，建议删除此属性。
您可以删除以下内容：
- 显示名称
- 首选语言
- Join(" ", [givenName], [surname])
- 物理送货办公室名称
- 街道地址
- 城市
- 国
- 邮政编码
- 国家
- 电话号码
- 传真号码
- employeeId
- 部门
- 经理
现在必须单击属性userPrincipalName 打开 "编辑属性 "窗口。
将 "匹配使用此属性的对象 "下拉菜单更改为 "否"，然后单击 "确定"。
然后单击属性objectId ，再次打开 "编辑属性 "窗口。
这次将匹配优先级的 值改为1，然后单击 "确定"。
属性映射列表现在应该如下所示：
如果一切看起来正确无误，就可以点击顶部的 "保存" ，然后点击 "是"。
非常重要： 不幸的是，由于 Azure 中的一个错误，您现在需要返回到 Motimate SCIM 应用程序的 "概述" ，并按照这些说明进行操作：
1. 再次单击左侧菜单中的 "调配" 。
2. 单击 "管理供应 "部分下的 "编辑属性映射 "。
3. 展开 "映射 "部分，再次单击 "提供 Azure Active Directory 用户 "。
4. 现在，第一个 Azure Active Directory Attribute 的名称很可能已经不幸改回了mailNickname。
5. 请单击mailNickname ，然后在 "编辑属性 "窗口中将源属性 改回objectId。
6. 单击 "确定"，然后单击顶部的 "保存 "，再单击 "是"。
7. 这一步必须正确，否则所有用户都无法与 Motimate 同步。
修复上述错误后，您可以返回 "供应 " 设置。您可以点击> Provisioning > ，进入最上方的路径：
这次你应该单击 "提供 Azure Active Directory 组"。
在 "属性映射 "部分，单击名为objectID 的Azure Active Directory 属性 。
在"编辑属性 "窗口中，将 "匹配使用此属性的对象 "更改为 "是"，然后单击 "确定"。
然后点击属性displayName。
在 "编辑属性 "窗口中，将 "匹配使用此属性的对象 "更改为 "否"，然后单击 "确定"。
现在再次单击属性objectID ，将 "匹配优先级 "改为1，然后单击 "确定"。
现在，您的属性映射列表应该是这样的：
如果一切看起来正确无误，就可以点击顶部的 "保存" ，然后点击 "是"。
现在您可以点击用户名和个人照片下方右上角的X 。点击两次，返回应用程序设置。
应用程序的配置现已完成，我们需要测试几个测试用户的同步情况。
单击左侧菜单中的用户和组 。通常情况下，您会在此处添加要与 Motimate 同步的组，但在测试时，您只需添加一两个用户即可。
单击屏幕顶部的添加用户/组 。
单击 "用户"下的 "无选择 "。
搜索并找到要测试的用户。我们建议您测试自己的用户，也可以测试贵组织的 Motimate org 管理员（如果不是您的话）。如果您已在 Motimate 中为联系人创建了测试用户帐户，请同时添加此帐户。
您选择的所有用户都将显示在 "已选项目"下。完成后，只需点击它们下方的 "选择 "按钮。
现在点击 "分配 "按钮。
现在您可以打开调配功能，测试一切是否正常。但在此之前，您必须向您的 Motimate 联系人或support@motimateapp.com发送电子邮件，通知我们您计划开启供应。通过此电子邮件，您必须让我们知道您计划测试的每个用户的对象 ID、用户主名称 (UPN) 和电子邮件。此外，您还必须附上以下属性映射的截图：
- 配置 Azure Active Directory 用户
- 提供 Azure Active Directory 组
我们会给您回复，并确认如果一切正常，您就可以开启供应。
要打开供应，请单击左侧菜单中的供应。
然后单击屏幕顶部的 "开始调配 "。
自动配置用户可能需要几个小时。开始配置后，您可以点击 "按需配置"，以便更快地配置几个用户（用户在 Motimate 中出现的时间取决于当时传输的数据量）。
搜索您添加用于测试的其中一个用户。选择用户，然后单击底部的 "提供 "按钮。每次只能按需配置一个用户，而且只能配置已添加到用户和组下应用程序的用户。它们必须是直接添加的，或者是已添加组的直接成员。
如果调配成功，所有复选标记都会变成绿色，如下所示：

如果调配因任何原因失败，则必须截图整个屏幕，并在查看失败步骤的详细信息 下截图。请将此信息发送给 Motimate 联系人，以便排除故障。
如果配置成功，您可以单击 "提供另一个用户"按钮，添加要测试的其他用户。
完成所有测试用户的 "按需供应 "后，请发送电子邮件至 Motimate 确认您已完成 "供应"。
我们会确认我们这边是否一切正常，然后您也可以添加组进行配置。
在开始配置组之前，您应与 Motimate 联系人讨论 Motimate 组结构。

祝贺你 现在，您已在 Azure 和 Motimate 之间成功设置了 SCIM。

如果计划从 Azure AD 同步用户，我们强烈建议尽快激活 SCIM。如果上面的说明看起来很复杂，您可以与我们预约一个小时，我们会指导您完成步骤，确保一切正常。通常不到 30 分钟就能完成，但一个小时可以确保我们有足够的时间应对突发情况。

其他技术说明

默认映射

默认情况下，我们按以下方式映射 SCIM 属性：

Azure AD 属性	自定义应用程序属性	基本属性
userPrincipalName	用户名	员工编号
给定名称	name.givenName	名
姓氏	name.familyName	姓氏
邮政	电子邮件[类型等于 "工作"].值	电子邮件
手机	phoneNumbers[type eq "mobile"].value	电话号码
职位名称	标题	位置

例如，这个有效载荷：

{
  "name":{
  "formatted": "John Doe",
"givenName": "John",
"familyName": "Doe"
  },
"title": "CTO",
  "active":true,
"emails":[
    {
      "type": "work",
"value": "john.doe@example.com",
      "primary":true
    }.
  ],
"userName": "john.doe@example.onmicrosoft.com",
  "externalId": "cc5c3f1b-e046-40e8-a317-5e71b2b73286",
  "displayName": "John Mark Doe",
"phoneNumbers"：[
    {
      "type": "mobile",
"value": "+4700000000",
      "primary":false
    },
    {
      "type": "work",
      "value": "+48999999",
      "primary":true
    }
  ],
  "preferredLanguage": "en-US",
  "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User":{
    "department": "DevOps"
  }
}

... 将创建一个具有以下属性的 Motimate 用户：

基本属性	价值
员工编号	john.doe@example.onmicrosoft.com
名	约翰
姓氏	无名氏
电子邮件	john.doe@example.com
电话号码	+4700000000（不是 +4899999999）
位置	首席技术官

该映射可以更改，但必须与 Motimate 合作。

将标题映射到位置时，Motimate 会尝试查找与标题匹配的已有位置。如果没有这样的职位，就会设立。使用 SCIM 无法同步每个用户的多个位置。

电子邮件格式要求

电子邮件地址必须遵循标准电子邮件格式规则，例如

本地部分或域中都没有 @ 符号或空格。
本地部分和域之间必须有一个 @ 符号分隔。

员工编号要求

最重要的要求是，员工编号必须是唯一的。我们的默认映射会根据 SCIM 用户名属性设置员工编号，这意味着您这边的用户名也必须是唯一的。

员工编号的另一个要求是不能包含任何空白字符。

电话号码要求

电话号码必须以 "+"和国家代码开头，例如 "+4799999999"。它也不应包含任何空白字符。以下是一些无效电话号码的例子：

99999999
004799999999
4799999999
@4799999999

关于 external_id

SCIM 发送的 externalId 通常等于用户或组的 Active Directory 对象 ID。该外部 ID 可通过 SCIM API 获取。它也显示在 Motimate 管理面板中的Imports>SCIM Users>View User>EXTERNAL 属性下。

注意：SCIMexternalId 与 Motimate 用户和组external_id 属性之间没有关联，后者可通过我们的 OpenAPI 获取。

如有任何疑问，请联系support@motimateapp.com。

0 条评论

请登录写评论。