从 Azure AD 导入用户
您可以将 PAM360 与环境中的 Azure 活动目录 (AD) 集成,并从那里导入用户和用户组。 集成后,用户可以使用其 Azure AD 凭据在 Windows 和Linux平台中登录到 PAM360。
前提
若要将 PAM360 与 Azure AD 集成并导入用户,首先应将 PAM360 添加为 Azure AD 门户中的本机客户端应用程序。 按照以下步骤注册 PAM360 作为应用程序:
- 登录到 Microsoft Azure 门户。 单击左侧菜单上的"活动目录"图标,然后单击所需的目录。
- 在顶部菜单上,单击应用程序。 如果未将应用添加到您的目录中,此页面将仅显示"添加应用"链接。 单击链接,或者单击底部命令栏上的"添加"按钮。
- 在"您要做什么"页上,单击链接添加我的组织正在开发的应用程序。
- 在"告诉我们有关您的应用程序"页面,输入名称PAM360,选择本机客户端应用程序。 单击下一步箭头图标。
- 在应用程序信息页面上,输入重定向 URL 作为 https ://< 主机名 >:p排序并单击页面右下角的复选框。 PAM360 将作为应用程序添加到 Azure AD 中。
- 下一页,单击配置其他应用程序中的 Web API 访问权限。 您将被带到应用程序属性。 在此页中,您可以找到为PAM360 应用程序生成的客户端 ID,在 PAM360GUI 中集成 Azure AD 时需要该 ID。 如果需要,可以添加 PAM360logo (可选)。
- 在"应用程序属性"页上,滚动到底部并找到权限到其他应用程序"部分。 默认情况下,将添加具有 2 个授权权限的 Windows Azure 活动目录。
- 单击添加应用程序。 在打开的页面中,选择"微软图形",然后单击页面右下角的复选框。
- 添加后,最后一步是委托Microsoft Graph的读取目录数据权限。
在 Azure AD 门户中注册 PAM360 后,转到 PAM360 中的管理 >> 身份验证 >> Azure AD。
在打开的屏幕中,有三个步骤,如下所示:
第 1 步:从 Azure AD 导入用户
第 2 步:指定用户角色
第 3 步:启用 Azure AD 身份验证
注意:或者,还可以执行"管理员-用户-添加用户-从 Azure AD 导入"的导入操作。但是,您必须转到Admin-Azure AD 才能执行步骤 3-启用 Azure AD 身份验证。
步骤 1:从 Azure AD 导入用户
要开始导入用户,您需要提供所需的凭据,如客户端 ID 和用户帐户详细信息。 要做到这一点,
- 转到 UI 屏幕中的步骤 1,然后单击立即导入。
- 在打开的对话框中,第一步是添加要从中导入用户和组的 Azure AD 域。 单击字段"选择域名"旁边的"新域名",然后添加您的域名。
- 接下来,在Azure AD 服务器中输入事先生成的客户端 ID,同时在 Azure 门户中将 PAM360 注册为本机客户端应用程序。
- 接下来,输入具有足够权限才能启用用户导入的有效用户凭据(用户名和密码)。 通常,用户名将是 > 用户名 <@@1gt2} 域<.onmicrosoft.com 的一部分,例如 -testuser@pam360demo.onmicrosoft.com 或自定义域的情况下,>usernamelt@> 域<.com ,例如 -testuser@pam360-zylker.com (L)(&L)。 输入客户端 ID 和域详细信息后,单击保存以自动填充它们以执行将来的导入操作。
- [可选步骤]如果只想从 Azure AD 目录导入特定用户和组,请在"用户导入"字段中输入所需的用户名(以逗号分隔形式),并在文本字段中输入"要导入的用户组。
- [可选步骤]若要使用户数据库与 Azure AD 保持持续同步,可以添加同步计划。 在字段同步间隔"中,输入 PAM360 必须查询 Azure AD 并保持用户数据库同步的时间间隔。
- 输入所需详细信息后,单击提取组。PAM360 将列出 Azure AD 域中可用的所有用户组,从中选择所需的组并导入用户。
- 单击"关闭",您将自动执行到步骤 2:指定用户角色。
注意:单击"查看同步计划",可以查看为 Azure AD 用户导入创建的同步计划,如下图所示:
步骤 2:指定用户角色
导入后,将从 Azure AD 导入的所有用户都将分配密码用户"角色,如导入用户后打开的对话框中所示。
- 选择要更改角色的用户,然后单击授予"按钮,从下拉列表中为其分配管理员/密码管理员/密码审核员的角色。
- 单击保存,为用户设置所需的角色。
注意:单击"现在分配角色",您可以随时更改分配的角色,如下图所示:
步骤 3:启用 Azure AD 身份验证
第三步是启用 Azure AD 身份验证。 这将允许用户使用其 Azure AD 域密码登录到 PAM360。 请注意,此方案仅适用于已经从 Azure AD 导入本地数据库的用户。 此外,请确保在启用 Azure AD 身份验证之前禁用 AD 身份验证。
注意:启用 Azure AD 身份验证后,如果要在"全局设置下禁用本地身份验证->用户管理,请确保从 Azure AD 导入的用户中至少有一个具有"管理员"角色的用户。 在 PAM360 中执行用户管理和其他系统操作需要管理员角色。