从 Azure AD 导入用户

您可以将 PAM360 与环境中的 Azure 活动目录 （AD） 集成，并从那里导入用户和用户组。 集成后，用户可以使用其 Azure AD 凭据在 Windows 和Linux平台中登录到 PAM360。

前提

若要将 PAM360 与 Azure AD 集成并导入用户，首先应将 PAM360 添加为 Azure AD 门户中的本机客户端应用程序。 按照以下步骤注册 PAM360 作为应用程序:

• 登录到 Microsoft Azure 门户。 单击左侧菜单上的"活动目录"图标，然后单击所需的目录。
• 在顶部菜单上，单击应用程序。 如果未将应用添加到您的目录中，此页面将仅显示"添加应用"链接。 单击链接，或者单击底部命令栏上的"添加"按钮。

• 在"您要做什么"页上，单击链接添加我的组织正在开发的应用程序。

• 在"告诉我们有关您的应用程序"页面，输入名称PAM360，选择本机客户端应用程序。 单击下一步箭头图标。

• 在应用程序信息页面上，输入重定向 URL 作为 https ：//< 主机名 >:p排序并单击页面右下角的复选框。 PAM360 将作为应用程序添加到 Azure AD 中。

• 下一页，单击配置其他应用程序中的 Web API 访问权限。 您将被带到应用程序属性。 在此页中，您可以找到为PAM360 应用程序生成的客户端 ID，在 PAM360GUI 中集成 Azure AD 时需要该 ID。 如果需要，可以添加 PAM360logo （可选）。

• 在"应用程序属性"页上，滚动到底部并找到权限到其他应用程序"部分。 默认情况下，将添加具有 2 个授权权限的 Windows Azure 活动目录。
• 单击添加应用程序。 在打开的页面中，选择"微软图形"，然后单击页面右下角的复选框。

• 添加后，最后一步是委托Microsoft Graph的读取目录数据权限。

在 Azure AD 门户中注册 PAM360 后，转到 PAM360 中的管理 >> 身份验证 >> Azure AD。

在打开的屏幕中，有三个步骤，如下所示：
第 1 步：从 Azure AD 导入用户
第 2 步：指定用户角色
第 3 步：启用 Azure AD 身份验证

步骤 1：从 Azure AD 导入用户

要开始导入用户，您需要提供所需的凭据，如客户端 ID 和用户帐户详细信息。 要做到这一点，

• 转到 UI 屏幕中的步骤 1，然后单击立即导入。

• 在打开的对话框中，第一步是添加要从中导入用户和组的 Azure AD 域。 单击字段"选择域名"旁边的"新域名"，然后添加您的域名。
• 接下来，在Azure AD 服务器中输入事先生成的客户端 ID，同时在 Azure 门户中将 PAM360 注册为本机客户端应用程序。
• 接下来，输入具有足够权限才能启用用户导入的有效用户凭据（用户名和密码）。 通常，用户名将是 > 用户名 <@@1gt2} 域<.onmicrosoft.com 的一部分，例如 -testuser@pam360demo.onmicrosoft.com 或自定义域的情况下，>usernamelt@> 域<.com ，例如 -testuser@pam360-zylker.com （L）(&L)。 输入客户端 ID 和域详细信息后，单击保存以自动填充它们以执行将来的导入操作。
• [可选步骤]如果只想从 Azure AD 目录导入特定用户和组，请在"用户导入"字段中输入所需的用户名（以逗号分隔形式），并在文本字段中输入"要导入的用户组。
• [可选步骤]若要使用户数据库与 Azure AD 保持持续同步，可以添加同步计划。 在字段同步间隔"中，输入 PAM360 必须查询 Azure AD 并保持用户数据库同步的时间间隔。
• 输入所需详细信息后，单击提取组。PAM360 将列出 Azure AD 域中可用的所有用户组，从中选择所需的组并导入用户。
• 单击"关闭"，您将自动执行到步骤 2：指定用户角色。

步骤 2：指定用户角色

导入后，将从 Azure AD 导入的所有用户都将分配密码用户"角色，如导入用户后打开的对话框中所示。

• 选择要更改角色的用户，然后单击授予"按钮，从下拉列表中为其分配管理员/密码管理员/密码审核员的角色。
• 单击保存，为用户设置所需的角色。

注意：单击"现在分配角色"，您可以随时更改分配的角色，如下图所示:

步骤 3：启用 Azure AD 身份验证

第三步是启用 Azure AD 身份验证。 这将允许用户使用其 Azure AD 域密码登录到 PAM360。 请注意，此方案仅适用于已经从 Azure AD 导入本地数据库的用户。 此外，请确保在启用 Azure AD 身份验证之前禁用 AD 身份验证。