设置单点登录 (SSO) 后,您可以通过 Udemy Business 在 Entra ID( 以前称为 Azure AD)中为 Udemy 配置跨域身份管理 (SCIM 2.0) 预配。这将允许您在 Entra ID 中预配、取消预配、创建群组、管理群组成员和更改用户个人资料详细信息(如姓名和电子邮件地址),这会自动 更新 Udemy Business。您将不再需要使用这些操作分别更新 Entra ID 和 Udemy Business,因为它们都将在 Entra ID 中同步。
请注意:Entra ID 以前称为 Azure AD。
要为您的 Udemy Business 帐户启用 SCIM 配置,请先转到您的 Udemy Business 帐户,然后访问管理 > 设置 > 配置 (SCIM)。
单击开始设置,按照说明启用 SCIM 并生成密钥令牌(持有者令牌),然后您需要将其放置在 Entra ID 中。
请注意:
- 必须在激活 SCIM 之前启用 SSO
- 单点登录和预配适用于 Udemy Business Enterprise 方案客户。
- 通过 Entra ID 预配的用户在首次登录 Udemy Business 应用之前不会获得许可证。
- SCIM 预配更改只能从 Entra ID 同步到 Udemy Business,反之则不行。
- 在 Udemy Business 应用中,无法在 Entra ID 中更改由 SCIM 管理的用户和群组,SCIM 是用户和群组数据的唯一真实来源。
- 如果您有不需要或不想从 Entra ID 推送的用户(如承包商或临时员工),仍然可以在 Udemy Business 中手动创建群组。
使用 Entra ID 配置 SCIM 预配
1. 要为您的 Udemy Business 帐户启用 SCIM 配置,请先转到您的 Udemy Business 帐户,然后访问“管理”>“设置”>“配置 (SCIM)”。
2. 单击开始设置,选择您的身份提供程序,并按照说明生成密钥令牌(持有者令牌),然后您需要将其放置在 Entra ID 中。
3. 然后访问您的 Entra ID 帐户,转到您的 Udemy Business SSO 应用,并按照以下步骤进行设置。您还可以参考 Microsoft 自己的有关使用 Entra ID 进行 SCIM 预配的配置指南,以获取进一步的指导。
在您的 Azure 门户中,转到配置。
(请注意:在下面的屏幕截图中,udemyazure 是我们使用的测试名称,用于说明如何配置 SCIM;您应当找到在您自己的实例中进行配置时由您的团队命名的应用)
4. 选择自动作为配置模式。
5. 在管理员凭据部分:
租户 URL 为:https://yourdomain.udemy.com/scim/v2(yourdomain 是您的 Udemy Business 帐户的 URL)
密钥令牌:这是可以在您的 Udemy Business 帐户中生成或查看的“持有者”令牌。(转到“管理”>“设置”>“用户访问”以获取密钥令牌)。
6. 点击测试连接以检查是否正常运行。
可选:如果想要从 Azure 接收有关错误的警报,可以输入电子邮件地址。
7. 在映射中:
检查属性映射:
请确认以下必需的属性已添加到 customerappsso 属性中,因为 SCIM 预配在 Udemy 中运行需要这些字段。
支持的属性
| SCIM 属性 | 是否必填? | 描述 |
| emails[type eq "work"].value | 是 | 用户的电子邮件。必须唯一 |
| 用户名 | 是 | IdP 的用户名。必须唯一。 |
| 活跃 | 是 | 标记停用/重新激活用户 |
| 外部 ID | 是 | IdP 用户的外部 ID。必须唯一。 |
|
urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:employeeNumber |
是 | 从 EnterpriseSchema 返回 employeeNumber 字段并将其存储为 external_id 字段。应与您要发送到 externalId 的属性匹配。 |
| name.givenName | 否 | 用户的名字。虽然这不是必填属性,但我们建议始终指定这些属性,因为这样便于轻松识别用户。 |
| name.familyName | 否 | 用户的姓氏。虽然这不是必填属性,但我们建议始终指定这些属性,因为这样便于轻松识别用户。 |
| 姓名,{ givenName, familyName } | 否 | 用户的名字和姓氏。虽然这不是必填属性,但我们建议始终指定这些属性,因为这样便于轻松识别用户。 |
| title | 否 | 用户的职称,即“高级工程师” |
|
urn:ietf:params:scim:schemas:extension: udemy:2.0:User:licensePoolName |
否 | 许可证池名称 |
确认属性 Switch([IsSoftDeleted], , "False", "True", "True", "False") 已映射到 active,以允许停用传递用户。
8. 向下滚动到“用户属性映射”的底部,并启用显示高级选项。
选择编辑 customapsso 的属性列表,并为 id 和 userName 启用正确大小写
9. 返回主预配设置屏幕:
10. 选择您想要同步用户和群组的范围。
如果您需要限制某些员工或部门的访问权限,可以仅同步分配了 Udemy Business 应用的用户和群组。或者,如果每个员工都有访问权限,则可以同步所有用户和群组。
为了向更多用户和群组配置 Udemy Business 访问权限,可以执行以下操作:
11. 单击用户和群组
12. 单击添加用户(可用于选择添加用户和群组)
选择要添加到应用的所有用户或群组,然后单击选择。
故障排除
关于映射:
如果在预配时遇到以下错误:
{"schemas":["urn:ietf:params:scim:api:messages:2.0:Error"],"status":400,"detail":"{'emails': ['This field is required.']}"}
您应当更改该用户的映射。
emails[type eq "work"].value 需要映射到 userPrincipalName,即,如果 userPrincipalName 是电子邮件所在的位置。
如果您转到用户个人资料,您应当可以在其中看到包含电子邮件的字段。
对于预配用户时出现的任何错误,您可以通过查看预配日志来查看更多详细信息。
- 要获取此日志,请在 Azure 上转到 Udemy 应用 > 预配 > 预配日志 > 搜索受影响的用户 > 故障排除和建议。
- 如果需要,打开支持工单并提供 Azure 预配日志的屏幕截图,以便我们查看失败的原因。