设置单点登录 (SSO) 后, 您可以通过 Udemy Business 在 Entra ID( 以前称为 Azure AD)中为 Udemy 配置跨域身份管理 (SCIM 2.0) 预配。
SCIM 预配允许您在 Entra ID 中预配、取消预配、创建群组、管理群组成员、管理许可证和更改用户个人资料详细信息(如姓名和电子邮件地址),这会自动更新 Udemy Business。您将不再需要使用这些操作分别更新 Entra ID 和 Udemy Business,因为它们都将在 Entra ID 中同步。
请注意:
- 必须在激活 SCIM 之前启用 SSO
- 单点登录和预配适用于 Udemy Business Enterprise 方案客户。
- 通过 Entra ID 预配的用户在首次登录 Udemy Business 应用之前不会获得许可证。
- SCIM 预配更改只能从 Entra ID 同步到 Udemy Business,反之则不行。
- 在 Udemy Business 应用中,无法在 Entra ID 中更改由 SCIM 管理的用户和群组,SCIM 是用户和群组数据的唯一真实来源。
- 如果您有不需要或不想从 Entra ID 推送的用户(如承包商或临时员工),仍然可以在 Udemy Business 中手动创建群组。
- 注意:Udemy Business 的 SCIM API 令牌有效期约为两年。管理员将收一则通知,告知他们:
- 令牌到期前 30 天
- 令牌到期后
目录
使用 Entra ID 配置 SCIM 预配
1. 在 Udemy Business 帐户中,转至管理 > 设置 > 预配 (SCIM)。
2. 单击开始设置,选择您的身份提供程序,并按照说明生成密钥令牌(持有者令牌),然后您需要将其放置在 Entra ID 中。
3. 访问您的 Entra ID 帐户,转到您的 Udemy Business SSO 应用,并按照以下步骤进行设置。您还可以参考 Microsoft 自己的有关使用 Entra ID 进行 SCIM 预配的配置指南,以获取进一步的指导。
在您的 Azure 门户中,转到预配选项卡。
注意:udemyazure 是我们在下面的屏幕截图中使用的测试名称,目的是说明如何配置 SCIM。配置您自己的实例时,请使用您的团队指名的应用。
4. 在预配模式字段中,选择自动。
5. 在管理员凭据部分:
租户 URL 为:https://yourdomain.udemy.com/scim/v2(yourdomain 是您的 Udemy Business 帐户的 URL)
Secret 令牌:这是可以在您的 Udemy Business 帐户中生成或查看的“持有者”令牌。
- 转到管理 > 设置 > 用户访问以获取 Secret 令牌。
6. 点击测试连接以检查是否正常运行。
7. (可选)如果想要从 Azure 接收有关错误的警报,请输入电子邮件地址。
8. 在映射中:
转到“预配 Microsoft Entra ID 用户”:
进入后,您应能看到属性映射列表
支持的属性
请确认以下必需的属性已添加到 customerappsso 属性中,因为 SCIM 预配在 Udemy 中运行需要这些字段。
| SCIM 属性 | 是否必填? | 描述 |
emails[type eq "work"].value |
是 | 用户的电子邮件。必须唯一 |
userName |
是 | 来自 IdP 的用户名。必须唯一。 |
active |
是 | 标记停用/重新激活用户 |
externalId |
是 | IdP 用户的外部 ID。必须唯一。 |
urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:employeeNumber |
是 | 从 EnterpriseSchema 返回 employeeNumber 字段并将其存储为 external_id 字段。应与您要发送到 externalId 的属性匹配。 |
name.givenName |
否 | 用户的名字。虽然这不是必填属性,但我们建议始终指定这些属性,因为这样便于轻松识别用户。 |
name.familyName |
否 | 用户的姓氏。虽然这不是必填属性,但我们建议始终指定这些属性,因为这样便于轻松识别用户。 |
name, { givenName, familyName } |
否 | 用户的名字和姓氏。虽然这不是必填属性,但我们建议始终指定这些属性,因为这样便于轻松识别用户。 |
title |
否 | 用户的职称,例如“高级工程师”。 |
urn:ietf:params:scim:schemas:extension: udemy:2.0:User:licensePoolName |
否 | 许可证池名称。 |
urn:ietf:params:scim:schemas:extension: udemy:2.0:User:licenseTypes |
否 |
许可证类型的逗号分隔列表。 可接受的值:
|
确保 emails[type eq "work"].value 的 Microsoft Entra ID 属性与您在 SSO 电子邮件属性和声明中配置的值一致。(例如 mail 或 userPrincipalName)
确认属性 Switch([IsSoftDeleted], , "False", "True", "True", "False") 已映射到 active,以允许停用传递用户。
您添加属性后,请更新匹配优先级,使 emails[type eq "work"].value 设置为 1。
您可能需要将 userName 更新为 2 或 3。
9. 向下滚动到用户属性映射的底部,并启用显示高级选项。选择编辑 customapsso 的属性列表,并为 id 和 userName 启用正确大小写。
10. 返回主预配设置屏幕:
11. 在范围字段中,选择您想要同步用户和群组的方式。
如果您需要限制某些员工或部门的访问权限,可以仅同步分配了 Udemy Business 应用的用户和群组。或者,如果每个员工都有访问权限,则可以同步所有用户和群组。
为了向更多用户和群组预配 Udemy Business 访问权限,可以执行以下操作:
12. 单击用户和群组
13. 单击添加用户,可用于选择添加用户和群组。
选择要添加到应用的所有用户或群组,然后单击选择。
故障排除
关于映射:
如果在预配时遇到以下错误:
{"schemas":["urn:ietf:params:scim:api:messages:2.0:Error"],"status":400,"detail":"{'emails': ['This field is required.']}"}
您应当更改该用户的映射。
emails[type eq "work"].value 需要映射到 userPrincipalName,即,如果 userPrincipalName 是电子邮件所在的位置。
如果您转到用户个人资料,您应当可以在其中看到包含电子邮件的字段。
对于预配用户时出现的任何错误,您可以通过查看预配日志来查看更多详细信息。
- 要获取此日志,请在 Azure 上转到 Udemy 应用 > 预配 > 预配日志 > 搜索受影响的用户 > 故障排除和建议。
- 如果需要,打开支持工单并提供 Azure 预配日志的屏幕截图,以便我们查看失败的原因。