功能介绍

本文档将为您介绍SASE用户源的AzureAD认证功能。前身为Azure Active Directory (Azure AD) 的Microsoft Entra ID 是Microsoft 提供的一项身分识别和存取权管理解决方案，可协助组织保护和管理混合和多云端环境的身分识别。

前置条件

1、已开通SASE平台

2、已有Azure AD账号（如无则创建，见下文1.1）

配置步骤

1、AzureAD相关前置设置

1.1创建Azure账号（如有，则忽略）：

https://azure.microsoft.com/zh-cn/free/search/?ef_id=_k_EAIaIQobChMIqsvRqYzcggMVJGsPAh3EoA5sEAAYAiAAEgK2-vD_BwE_k_&OCID=AIDcmmiqezz3h5_SEM__k_EAIaIQobChMIqsvRqYzcggMVJGsPAh3EoA5sEAAYAiAAEgK2-vD_BwE_k_&gad_source=1&gclid=EAIaIQobChMIqsvRqYzcggMVJGsPAh3EoA5sEAAYAiAAEgK2-vD_BwE

1.2创建SASE同步的应用程序：AzureAD首页>点击“管理 Microsoft Entra ID”查看>添加>企业应用程序>创建你自己的应用程序>填写名称，并选择“集成未在库中找到的任何其他应用程序(非库)”

随后可以在应用注册>所有应用程序看到刚注册用来idaas配置的应用程序。

1.3将该应用程序的API权限，读取用户和组的权限授予。

AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，找到对应的应用程序>API权限>添加权限>Microsoft Graph。

先选择“应用程序权限”

搜索“user”并选择“User.Read.All”，添加权限。

搜索“group”并选择“Group.Create、Group.Read.All、Group.ReadWrite.All”，添加权限。

再回去选择“委托的权限”，选择“User.Read.All”，添加权限。

1.4最后检查是有5个API权限的，全部都需要被授予权限。

2、SASE用户源

2.1在[身份管理/用户管理/组织架构/用户源管理]页面中添加[微软Aruze AD用户源]，然后进入到详情页面进行配置：

2.2基础配置的三个参数，分别到AzureAD找到并填入。

【参数说明】

•  租户ID：AzureAD首页>点击“管理 Microsoft Entra ID”查看，租户ID。

•  应用程序(客户端) ID：AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，找到对应的应用程序>复制应用程序ID。

•  客户端密码：AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，点击对应的应用程序>证书和密码（如果没有，就新建客户端密码，注意，新建之后只有唯一一次看到完整密码的机会，记得复制粘贴下来！！！）。

2.3进行匹配设置，即在属性映射配置中勾选对应的映射规则。如下图：

2.4进行同步设置:

①同步至部门: 指定用户源的用户和部门同步到本地哪个部门下

②定时同步: 指定同步周期, SASE的同步引擎将会触发周期性的定时同步任务，将Aruze AD域中的数据同步至SASE的统一目录中。

效果展示 

至此全部配置完成, 同步触发: 管理员可以通过点击[同步]按钮手动触发，或者等待SASE同步引擎定时触发。