从Azure AD导入用户

您可以将PAM360与Azure活动目录（AD）集成，导入用户和用户组。 集成后，用户可以使用Azure AD凭证在Windows和Linux平台登录到PAM360。

本章主要介绍以下几个内容:

1. 在 Azure AD 门户中注册 PAM360
2. 从 Azure AD 导入用户的步骤

   2.1从Azure AD导入用户

   2.2指定用户角色

   2.3启用 Azure AD 身份验证

1.在 Azure AD 门户中注册 PAM360

要集成PAM360和Azure AD并导入用户，首先应将PAM360添加为Azure AD门户中的本机客户端应用程序。 按照以下步骤操作：

1. 登录到Microsoft Azure门户。

2. 点击左侧菜单上的 Azure AD图标，在点击+应用程序注册。
3. 在顶部菜单中，点击新应用程序注册。

4. 在"创建"页上，“名称”字段输入"PAM360" ，在"应用程序类型"下，选择Native（本机），再输入PAM360的“登录 URL”，点击创建按钮，这样您就把PAM360添加到Azure AD应用程序中。

5. 在下一页中，点击PAM360应用程序，进入设置页面。

6. 点击属性，您可以看到Azure AD为PAM360生成的“Object ID”和“Application ID”，这两个ID在PAM360中集成 Azure AD 时需要用到。另外，您还可以根据需要，为PAM360添加logo图标。

7. 在设置页中，滚动到底部并找到“所需权限"部分，点击“添加”并选择API，这里默认会有2个授权的 Windows Azure 活动目录。

8. 在打开的页面中，选择Microsoft Graph，然后点击页面末尾的"选择"按钮。

9. 最后一步是为Microsoft Graph开启"Read directory data"和"Grant Permission"这两项权限，点击完成。

在Azure AD 门户中注册PAM360后，导航到 PAM360 中的管理 >> 验证 >>Azure AD。

2.在Azure AD导入用户的步骤

登录到 PAM360 并导航到管理 >> 验证 >> Azure AD。

PAM360将显示Azure AD 配置页面，参考下图：

2.1从 Azure AD 导入用户

您需提供所需的凭证以导入用户，如客户端ID，用户名和密码等。

1. 我们现在进行第一个步骤，导航到管理 >> 验证 >> Azure AD，点击立即导入。

2. 在弹出窗口中，先添加要导入用户的Azure AD域。请点击字段"选择域名"旁边的"新域名"，然后添加您的域名。
3. 输入之前在Azure门户中将PAM360注册为本地应用程序时生成的客户端ID。
4. 接下来，输入一个有效的用户凭据(用户名和密码)，它必须有足够的权限来启用用户导入。通常，用户名会是 “username@domain.onmicrosoft.com”中的一部分，例如在“testuser@pmpdemo.onmicrosoft.com”中，“testuser”是用户名。再输入客户端ID和域详细信息，点击“保存”，便于接下来的导入操作。
5. [可选步骤]如果您想从Azure AD目录导入某个用户或用户组，请在"导入用户"字段中输入所需的用户名（用户名逗号隔开），或在“要导入的用户组”输入要导入的组名。
6. [可选步骤]若要PAM360与Azure AD 保持持续同步，可以添加同步计划。请在"同步时间间隔"下，输入同步时间间隔。
7. 输入所需详细信息后，点击“获取组信息”，PAM360 将列出 Azure AD 域中可用的所有用户组，选择您要导入的组进行导入。
8. 单击"关闭"，您将自动进入步骤2，指定用户角色。

2.2指定用户角色

所有从 Azure AD 导入的用户都被将分配“密码用户”角色：

1. 点击要更改角色用户的更改角色按钮，然后从下拉菜单中选择角色。
2. 选择要更改角色的用户，然后单击"授予"按钮，从下拉列表中为其分配管理员/密码管理员/密码审核员的角色。
3. 点击保存完成设置。

注意：单击"现在分配角色"，您可以随时更改分配的角色，如下图所示:

2.3启用 Azure AD 身份验证

第三步是启用 Azure AD 身份验证。 这将允许用户使用其Azure AD域账户登录到PAM360。 请注意，这仅适用于已从Azure AD导入PAM360的用户。 此外，请确保在启用 Azure AD 验证前已经禁用AD验证。