Konfigurace ID Microsoft Entra pro zřizování uživatelů do adresářů LDAP

Následující dokumentace obsahuje informace o konfiguraci a kurzu, které ukazují, jak zřizovat uživatele z Microsoft Entra ID do adresáře LDAP.

Tento dokument popisuje kroky, které potřebujete k automatickému zřizování a rušení zřizování uživatelů z Microsoft Entra ID do adresáře LDAP. Dokument ukazuje, jak můžete zřídit uživatele ve službě AD LDS jako ukázkový adresář LDAP, ale můžete zřizovat libovolný z podporovaných adresářových serverů LDAP uvedených v následujících částech. Zřizování uživatelů do Doména služby Active Directory Services prostřednictvím tohoto řešení se nepodporuje.

Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID a místní architektury zřizování aplikací. Následující video obsahuje přehled místního zřizování.

Předpoklady pro zřízení uživatelů v adresáři LDAP

Místní požadavky

• Aplikace, která používá adresářový server k dotazování uživatelů.
• Cílový adresář kromě služby Doména služby Active Directory Services, ve kterém mohou být uživatelé vytvářeni, aktualizováni a odstraněni. Například služba Active Directory Lightweight Services (AD LDS). Tato instance adresáře by neměla být adresářem, který se také používá ke zřizování uživatelů do Microsoft Entra ID, protože oba scénáře mohou vytvořit smyčku s Microsoft Entra Připojení.
• Počítač s alespoň 3 GB paměti RAM pro hostování zřizovacího agenta. Počítač by měl mít Windows Server 2016 nebo novější verzi Windows Serveru s připojením k cílovému adresáři a odchozím připojením k login.microsoftonline.com, dalším službám Microsoft Online Services a doménám Azure . Příkladem je virtuální počítač s Windows Serverem 2016 hostovaným v Azure IaaS nebo za proxy serverem.
• Je potřeba nainstalovat rozhraní .NET Framework 4.7.2.
• Volitelné: I když se nevyžaduje, doporučuje se stáhnout Microsoft Edge pro Windows Server a použít ho místo Internet Exploreru.

Podporované adresářové servery LDAP

Konektor využívá různé techniky k detekci a identifikaci serveru LDAP. Konektor používá root DSE, název/verzi dodavatele a zkontroluje schéma a vyhledá jedinečné objekty a atributy, o kterých je známo, že existují na určitých serverech LDAP.

• OpenLDAP
• Microsoft Active Directory Lightweight Directory Services
• Adresářový server 389
• Apache Directory Server
• IBM Tivoli DS
• Adresář Isode
• NetIQ eDirectory
• Novell eDirectory
• Otevření DJ
• Otevřít DS
• Adresářový server Oracle (dříve Sun ONE) edice Enterprise
• RadiantOne Virtual Directory Server (VDS)

Další informace najdete v referenčních informacích obecného protokolu LDAP Připojení oru.

Požadavky na cloud

• Tenant Microsoft Entra s Microsoft Entra ID P1 nebo Premium P2 (nebo EMS E3 nebo E5).

  Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.

• Role hybridní identity Správa istrator pro konfiguraci zřizovacího agenta a aplikačního Správa istratoru nebo role cloudových aplikací Správa istrator pro konfiguraci zřizování na webu Azure Portal.

• Uživatelé Microsoft Entra, kteří mají být zřízeni v adresáři LDAP, musí být již naplněni atributy, které budou vyžadovány schématem adresářového serveru a jsou specifické pro každého uživatele. Pokud například adresářový server vyžaduje, aby každý uživatel měl jedinečné číslo v rozsahu 1 0000 až 30000, aby podporoval úlohu POSIX, museli byste buď vygenerovat toto číslo z existujícího atributu uživatele, nebo rozšířit schéma Microsoft Entra a naplnit tento atribut pro uživatele v oboru aplikace založené na protokolu LDAP. Informace o vytváření dalších rozšíření adresářů najdete v tématu Rozšiřitelnost graphu.

Další doporučení a omezení

Následující odrážky představují další doporučení a omezení.

• Nedoporučuje se používat stejného agenta pro synchronizaci cloudu a zřizování místních aplikací. Microsoft doporučuje použít samostatného agenta pro cloudovou synchronizaci a jeden pro zřizování místních aplikací.
• Pro službu AD LDS nelze v současné době uživatelům zřizovat hesla. Proto budete muset buď zakázat zásady hesel pro službu AD LDS, nebo zřídit uživatele v zakázaném stavu.
• U jiných adresářových serverů je možné nastavit počáteční náhodné heslo, ale pro adresářový server není možné zřídit heslo uživatele Microsoft Entra.
• Zřizování uživatelů z Microsoft Entra ID pro Doména služby Active Directory s Services se nepodporuje.
• Zřizování uživatelů z LDAP na MICROSOFT Entra ID se nepodporuje.
• Zřizování skupin a členství uživatelů na adresářovém serveru se nepodporuje.

Výběr profilů spuštění

Když vytvoříte konfiguraci konektoru pro interakci s adresářovým serverem, nakonfigurujete nejprve konektor ke čtení schématu vašeho adresáře, namapování tohoto schématu na ID Microsoft Entra a následnou konfiguraci přístupu, který by konektor měl používat průběžně prostřednictvím profilů spuštění. Každý profil spuštění, který nakonfigurujete, určuje, jak konektor vygeneruje požadavky LDAP pro import nebo export dat z adresářového serveru. Před nasazením konektoru na existující adresářový server budete muset diskutovat s operátorem adresářového serveru ve vaší organizaci o způsobu operací, které se budou provádět s jejich adresářovým serverem.

• Jakmile se služba zřizování spustí, po spuštění konfigurace automaticky provede interakce nakonfigurované v profilu úplného importu. V tomto profilu spuštění bude konektor číst ve všech záznamech pro uživatele z adresáře pomocí operace vyhledávání LDAP. Tento profil spuštění je nezbytný, aby později, pokud microsoft Entra ID potřebuje provést změnu pro uživatele, Microsoft Entra ID aktualizuje existující objekt pro tohoto uživatele v adresáři, a ne vytvoří pro tohoto uživatele nový objekt.

• Pokaždé, když dojde ke změnám v MICROSOFT Entra ID, například přiřazení nového uživatele k aplikaci nebo aktualizaci existujícího uživatele, služba zřizování provede interakce LDAP v profilu spuštění exportu. V profilu spuštění exportu vydá ID Microsoft Entra požadavky LDAP pro přidání, úpravu, odebrání nebo přejmenování objektů v adresáři, aby se obsah adresáře synchronizoval s Microsoft Entra ID.

• Pokud ho adresář podporuje, můžete také volitelně nakonfigurovat profil spuštění delta importu. V tomto profilu spuštění bude ID Microsoft Entra číst změny provedené v adresáři, kromě ID Microsoft Entra, od posledního úplného nebo rozdílového importu. Tento profil spuštění je nepovinný, protože adresář pravděpodobně nebyl nakonfigurován tak, aby podporoval rozdílový import. Pokud například vaše organizace používá OpenLDAP, musí být openLDAP nasazená s povolenou funkcí překrytí protokolu přístupu.

Určení způsobu interakce Připojení oru Microsoft Entra LDAP s adresářovým serverem

Před nasazením konektoru na existující adresářový server budete muset probrat operátora adresářového serveru ve vaší organizaci, jak integrovat s jejich adresářovým serverem. Shromážděné informace zahrnují síťové informace o tom, jak se připojit k adresářovém serveru, jak se má konektor ověřit na adresářovém serveru, jaké schéma má adresářový server vybrat k modelování uživatelů, základní rozlišující název kontextu kontextu pojmenování a pravidla hierarchie adresářů, jak přidružit uživatele v adresářovém serveru k uživatelům v Microsoft Entra ID, a co by se mělo stát, když uživatel přejde mimo rozsah v Microsoft Entra ID. Nasazení tohoto konektoru může vyžadovat změny konfigurace adresářového serveru a také změny konfigurace v MICROSOFT Entra ID. Pro nasazení zahrnující integraci Microsoft Entra ID s adresářovým serverem třetí strany v produkčním prostředí doporučujeme zákazníkům spolupracovat se svým dodavatelem adresářového serveru nebo partnera pro nasazení, který vám poskytne pomoc, pokyny a podporu této integrace. Tento článek používá následující ukázkové hodnoty pro dva adresáře, pro službu AD LDS a pro OpenLDAP.

Nastavení konfigurace	Kde je nastavená hodnota	Příklad hodnoty
název hostitele adresářového serveru	Stránka Průvodce konfigurací Připojení ivity	APP3
číslo portu adresářového serveru	Stránka Průvodce konfigurací Připojení ivity	636. Pro LDAP přes SSL nebo TLS (LDAPS) použijte port 636. Pro Start TLSpoužití portu 389.
účet konektoru k identifikaci sebe sama na adresářovém serveru	Stránka Průvodce konfigurací Připojení ivity	Pro službu AD LDS CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab a pro OpenLDAP cn=admin,dc=contoso,dc=lab
heslo pro konektor k ověření na adresářovém serveru	Stránka Průvodce konfigurací Připojení ivity
třída strukturálního objektu pro uživatele na adresářovém serveru	Stránka Typy objektů průvodce konfigurací	Pro službu AD LDS User a pro OpenLDAP inetOrgPerson
pomocné třídy objektů pro uživatele na adresářovém serveru	Mapování atributů stránky zřizování na webu Azure Portal	Pro OpenLDAP se schématem posixAccount POSIX ashadowAccount
atributy, které se mají naplnit novým uživatelem	Průvodce konfigurací – Výběr stránky Atributy a mapování atributů stránky zřizování na webu Azure Portal	Pro službu AD LDS msDS-UserAccountDisabled, displayNameuserPrincipalNamea pro OpenLDAP cn, , homeDirectorygidNumber, mail, objectClass, , sn, , uid, , uidNumberuserPassword
Pojmenování hierarchie vyžadované adresářovými servery	Mapování atributů stránky zřizování na webu Azure Portal	Nastavte dn nově vytvořeného uživatele tak, aby byl bezprostředně níže CN=CloudUsers,CN=App,DC=Contoso,DC=lab pro službu AD LDS a DC=Contoso,DC=lab pro OpenLDAP.
atributy pro korelaci uživatelů přes Microsoft Entra ID a adresářový server	Mapování atributů stránky zřizování na webu Azure Portal	Pro službu AD LDS není nakonfigurovaný jako tento příklad pro počáteční prázdný adresář a pro OpenLDAP. mail
zrušení zřízení chování, když uživatel přejde mimo rozsah v Microsoft Entra ID	Stránka zrušení zřízení průvodce konfigurací	Odstranění uživatele z adresářového serveru

Síťová adresa adresářového serveru je název hostitele a číslo portu TCP, obvykle port 389 nebo 636. Pokud není adresářový server umístěný společně s konektorem na stejném Windows Serveru nebo používáte zabezpečení na úrovni sítě, musí být síťová připojení z konektoru k adresářovém serveru chráněná pomocí protokolu SSL nebo TLS. Konektor podporuje připojení k adresářovém serveru na portu 389 a použití protokolu Start TLS k povolení protokolu TLS v rámci relace. Konektor také podporuje připojení k adresářovém serveru na portu 636 pro LDAPS – LDAP přes PROTOKOL TLS.

Abyste mohli konektor ověřit na adresářovém serveru, musíte mít identifikovaný účet, který už je nakonfigurovaný na adresářovém serveru. Tento účet je obvykle identifikován rozlišujícím názvem a má přidružené heslo nebo klientský certifikát. Aby bylo možné provádět operace importu a exportu s objekty v připojeném adresáři, musí mít účet konektoru dostatečná oprávnění v rámci modelu řízení přístupu adresáře. Aby mohl konektor exportovat, musí mít oprávnění k zápisu a oprávnění ke čtení , aby mohl importovat. Konfigurace oprávnění se provádí v prostředí správy samotného cílového adresáře.

Schéma adresáře určuje třídy objektů a atributy, které představují skutečnou entitu v adresáři. Konektor podporuje uživatele reprezentovaný strukturální třídou objektu, například inetOrgPersona volitelně další pomocné třídy objektů. Aby konektor mohl zřizovat uživatele na adresářový server, budete během konfigurace na webu Azure Portal definovat mapování ze schématu Microsoft Entra na všechny povinné atributy. To zahrnuje povinné atributy třídy strukturálního objektu, všechny supertřídy této třídy strukturálního objektu a povinné atributy všech pomocných tříd objektů. Kromě toho pravděpodobně také nakonfigurujete mapování na některé volitelné atributy těchto tříd. Například adresářový server OpenLDAP může vyžadovat objekt pro nového uživatele, aby měl atributy jako v následujícím příkladu.

dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password

Pravidla hierarchie adresářů implementovaná adresářovým serverem popisují, jak spolu objekty pro každého uživatele souvisejí a k existujícím objektům v adresáři. Ve většině nasazení se organizace rozhodla mít na svém adresářovém serveru plochou hierarchii, ve které se každý objekt pro každého uživatele nachází bezprostředně pod společným základním objektem. Pokud je například základní rozlišující název pro kontext pojmenování v adresářovém serveru dc=contoso,dc=com , bude mít nový uživatel rozlišující název, například cn=alice,dc=contoso,dc=com. Některé organizace ale můžou mít složitější hierarchii adresářů, v takovém případě budete muset implementovat pravidla při zadávání mapování rozlišujících názvů pro konektor. Například adresářový server může očekávat, že uživatelé budou v organizačních jednotkách podle oddělení, takže nový uživatel bude mít rozlišující název, například cn=alice,ou=London,dc=contoso,dc=com. Vzhledem k tomu, že konektor nevytvoří zprostředkující objekty pro organizační jednotky, musí už v adresářovém serveru existovat žádné zprostředkující objekty, které očekává hierarchie pravidel adresářového serveru.

Dále budete muset definovat pravidla pro to, jak má konektor určit, jestli už je uživatel na adresářovém serveru odpovídající uživateli Microsoft Entra. Každý adresář LDAP má rozlišující název, který je jedinečný pro každý objekt na adresářovém serveru, ale tento rozlišující název není často k dispozici pro uživatele v Microsoft Entra ID. Místo toho může mít organizace jiný atribut, například mail nebo employeeId, ve schématu adresářového serveru, který se nachází také na svých uživatelích v Microsoft Entra ID. Když pak konektor zřizuje nového uživatele na adresářový server, může konektor vyhledat, jestli už v adresáři existuje uživatel, který má konkrétní hodnotu tohoto atributu, a vytvořit nového uživatele pouze v případě, že neexistuje.

Pokud váš scénář zahrnuje vytváření nových uživatelů v adresáři LDAP, nejen aktualizaci nebo odstraňování stávajících uživatelů, budete muset také určit, jak aplikace, které používají tento adresářový server, budou zpracovávat ověřování. Doporučeným přístupem je, aby aplikace používaly federační protokol nebo protokol jednotného přihlašování, jako je SAML, OAuth nebo OpenID, Připojení k ověření v Microsoft Entra ID a spoléhají pouze na adresářový server pro atributy. Tradičně adresáře LDAP můžou aplikace používat k ověřování uživatelů kontrolou hesla, ale tento případ použití není možný pro vícefaktorové ověřování nebo když už byl uživatel ověřený. Některé aplikace se můžou dotazovat na veřejný klíč nebo certifikát uživatele SSH z adresáře, což může být vhodné pro uživatele, kteří už mají přihlašovací údaje k těmto formulářům. Pokud ale vaše aplikace, která spoléhá na adresářový server, nepodporuje moderní ověřovací protokoly ani silnější přihlašovací údaje, budete muset při vytváření nového uživatele v adresáři nastavit heslo specifické pro aplikaci, protože Microsoft Entra ID nepodporuje zřizování hesla Microsoft Entra uživatele.

Nakonec budete muset souhlasit s chováním zrušení zřízení. Když je konektor nakonfigurovaný a Microsoft Entra ID vytvořilo propojení mezi uživatelem v Microsoft Entra ID a uživatelem v adresáři, a to buď pro uživatele již v adresáři, nebo pro nového uživatele, může Microsoft Entra ID zřídit změny atributů od uživatele Microsoft Entra do adresáře. Pokud se uživatel, který je přiřazen k aplikaci, odstraní v Microsoft Entra ID, Microsoft Entra ID odešle operaci odstranění na adresářový server. Můžete také chtít, aby microsoft Entra ID aktualizovat objekt v adresářovém serveru, když uživatel přestane být schopen aplikaci používat. Toto chování závisí na aplikaci, která bude používat adresářový server, kolik adresářů, jako je OpenLDAP, nemusí mít výchozí způsob, jak inaktivovat účet uživatele.

Příprava adresáře LDAP

Pokud ještě nemáte adresářový server a chcete vyzkoušet tuto funkci, připravte službu Active Directory Lightweight Directory Services na zřízení z Microsoft Entra ID , jak vytvořit testovací prostředí služby AD LDS. Pokud už máte nasazený jiný adresářový server, můžete tento článek přeskočit a pokračovat v instalaci a konfiguraci hostitele konektoru ECMA.

Instalace a konfigurace agenta zřizování Microsoft Entra Připojení

Pokud jste už stáhli agenta zřizování a nakonfigurovali ho pro jinou místní aplikaci, pokračujte ve čtení v další části.

1. Přihlaste se k portálu Azure.
2. Přejděte do podnikových aplikací a vyberte Nová aplikace.
3. Vyhledejte místní aplikaci aplikace ECMA, pojmenujte ji a vyberte Vytvořit a přidejte ji do svého tenanta.
4. V nabídce přejděte na stránku Zřizování vaší aplikace.
5. Vyberte Začínáme.
6. Na stránce Zřizování změňte režim na Automatický.

7. V části Místní Připojení ivity vyberte Stáhnout a nainstalovat a vyberte Přijmout podmínky a stáhnout.

8. Nechte portál a otevřete instalační program agenta zřizování, přijměte podmínky služby a vyberte Nainstalovat.
9. Počkejte na průvodce konfigurací agenta zřizování Microsoft Entra a pak vyberte Další.
10. V kroku Vybrat rozšíření vyberte místní zřizování aplikací a pak vyberte Další.
11. Agent zřizování použije webový prohlížeč operačního systému k zobrazení automaticky otevíraného okna pro ověření v Microsoft Entra ID a potenciálně také zprostředkovatele identity vaší organizace. Pokud používáte Internet Explorer jako prohlížeč na Windows Serveru, možná budete muset přidat weby Microsoftu do seznamu důvěryhodných webů prohlížeče, aby mohl JavaScript běžet správně.
12. Po zobrazení výzvy k autorizaci zadejte přihlašovací údaje pro správce Microsoft Entra. Uživatel musí mít roli Hybrid Identity Správa istrator nebo Global Správa istrator.
13. Výběrem možnosti Potvrdit potvrďte nastavení. Po úspěšném dokončení instalace můžete vybrat možnost Ukončit a také zavřít instalační program balíčku agenta zřizování.

Konfigurace místní aplikace ECMA

1. Zpět na portálu v části Místní Připojení ivity vyberte agenta, kterého jste nasadili, a vyberte Přiřadit agenta.

   

2. Nechte toto okno prohlížeče otevřené, až dokončíte další krok konfigurace pomocí průvodce konfigurací.

Konfigurace certifikátu hostitele Microsoft Entra ECMA Připojení or

1. Na Windows Serveru, kde je nainstalován agent zřizování, klikněte pravým tlačítkem na Průvodce konfigurací Microsoft ECMA2Host z nabídky Start a spusťte ho jako správce. Spuštění jako správce Systému Windows je nezbytné k vytvoření potřebných protokolů událostí systému Windows průvodce.
2. Po spuštění konfigurace hostitele ecma Připojení or, pokud je to poprvé, co průvodce spustíte, vás vyzve k vytvoření certifikátu. Ponechte výchozí port 8585 a vyberte Vygenerovat certifikát a vygenerujte certifikát. Automaticky vygenerovaný certifikát bude podepsaný svým držitelem jako součást důvěryhodného kořenového adresáře. Síť SAN odpovídá názvu hostitele.
3. Zvolte Uložit.

Poznámka:

Pokud jste se rozhodli vygenerovat nový certifikát, poznamenejte si datum vypršení platnosti certifikátu, abyste měli jistotu, že se plánujete vrátit do průvodce konfigurací a znovu vygenerovat certifikát před vypršením jeho platnosti.

Konfigurace obecného konektoru LDAP

V závislosti na vybraných možnostech nemusí být některé obrazovky průvodce dostupné a informace se můžou mírně lišit. Pro účely této ukázkové konfigurace se pro službu AD LDS zobrazí zřizování uživatelů s třídou objektu User a třídy objektů inetOrgPerson pro OpenLDAP. Následující informace vám povedou v konfiguraci.

1. Vygenerujte tajný token, který se použije k ověřování ID Microsoft Entra pro konektor. Pro každou aplikaci by mělo být minimálně 12 znaků a jedinečné. Pokud ještě nemáte generátor tajných kódů, můžete k vygenerování ukázkového náhodného řetězce použít příkaz PowerShellu, například následující příkaz.

   -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
   

2. Pokud jste to ještě neudělali, spusťte Průvodce konfigurací Microsoft ECMA2Host z nabídky Start.

3. Vyberte Nový Připojení or.
   

4. Na stránce Vlastnosti vyplňte pole hodnotami uvedenými v tabulce, která následuje za obrázkem, a vyberte Další.

   Vlastnost	Hodnota
   Name	Název, který jste zvolili pro konektor, by měl být jedinečný pro všechny konektory ve vašem prostředí. Například LDAP.
   Časovač automatické synchronizace (minuty)	120
   Token tajného kódu	Sem zadejte tajný token. Mělo by to být minimálně 12 znaků.
   Rozšiřující knihovna DLL	Pro obecný konektor LDAP vyberte Microsoft.IAM.PřipojeníNebo. GenericLdap.dll.

5. Na stránce Připojení ivity nakonfigurujete, jak bude hostitel ECMA Připojení or komunikovat s adresářovým serverem a nastavit některé z možností konfigurace. Vyplňte pole hodnotami zadanými v tabulce, která následuje za obrázkem, a vyberte Další. Když vyberete Další, konektor se dotazuje na adresářový server s jeho konfigurací.
   

   Vlastnost	Popis
   Host	Název hostitele, kde se nachází server LDAP. Tato ukázka se používá APP3 jako příklad názvu hostitele.
   Port	Číslo portu TCP. Pokud je adresářový server nakonfigurovaný pro LDAP přes SSL, použijte port 636. Pokud Start TLSpoužíváte zabezpečení na úrovni sítě nebo pokud používáte zabezpečení na úrovni sítě, použijte port 389.
   Časový limit připojení	180
   Vazba	Tato vlastnost určuje, jak se konektor ověří na adresářovém serveru. Basic S nastavením nebo nastavením a TLS bez nakonfigurovaného klientského SSL certifikátu odešle konektor jednoduchou vazbu protokolu LDAP pro ověření pomocí rozlišujícího názvu a hesla. Se zadaným SSL nebo TLS nastaveným klientským certifikátem odešle konektor vazbu LDAP SASL EXTERNAL k ověření pomocí klientského certifikátu.
   Uživatelské jméno	Jak se ECMA Připojení or ověří na adresářovém serveru. V této ukázce pro službu AD LDS je CN=svcAccount,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab ukázkové uživatelské jméno a pro OpenLDAP. cn=admin,dc=contoso,dc=lab
   Heslo	Heslo uživatele, který Připojení or ECMA ověří na adresářovém serveru.
   Sféra nebo doména	Toto nastavení se vyžaduje jenom v případě, že jste jako možnost Vazba vybrali Kerberos , aby se poskytla sféra nebo doména uživatele.
   Certifikát	Nastavení v této části se používá pouze v případě, že jste vybrali SSL nebo TLS jako možnost Vazba.
   Aliasy atributů	Textové pole aliasů atributů se používá pro atributy definované ve schématu se syntaxí RFC4522. Tyto atributy nelze rozpoznat během detekce schématu a konektor potřebuje pomoc s identifikací těchto atributů. Pokud například adresářový server nepublikuje userCertificate;binary a chcete tento atribut zřídit, musí být do pole aliasů atributů zadán následující řetězec, aby správně identifikoval atribut userCertificate jako binární atribut: userCertificate;binary. Pokud ve schématu nevyžadujete žádné speciální atributy, můžete toto pole ponechat prázdné.
   Zahrnutí provozních atributů	Zaškrtnutím Include operational attributes in schema políčka zahrňte také atributy vytvořené adresářového serveru. Patří mezi ně atributy, jako je například čas vytvoření objektu a čas poslední aktualizace.
   Zahrnutí rozšiřitelných atributů	Include extensible attributes in schema Zaškrtněte políčko, pokud se na adresářovém serveru používají rozšiřitelné objekty (RFC4512/4.3). Povolení této možnosti umožňuje použití každého atributu pro všechny objekty. Když tuto možnost vyberete, schéma je velmi velké, takže pokud připojený adresář nepoužívá tuto funkci, doporučujeme ponechat tuto možnost nevybranou.
   Povolit ruční výběr ukotvení	Tuto možnost nechte nezaškrtnutou.

   Poznámka:

   Pokud dojde k problému při pokusu o připojení a nemůžete přejít na stránku Globální , ujistěte se, že je účet služby ve službě AD LDS nebo jiný adresářový server povolený.

6. Na stránce Globální nakonfigurujete rozlišující název rozdílového protokolu změn v případě potřeby a další funkce LDAP. Stránka je předem vyplněna informacemi poskytnutými serverem LDAP. Zkontrolujte zobrazené hodnoty a pak vyberte Další.

   Vlastnost	Popis
   Podporované mechanismy SASL	V horní části se zobrazují informace poskytované samotným serverem, včetně seznamu mechanismů SASL.
   Podrobnosti o certifikátu serveru	Pokud SSL nebo TLS byl zadán, průvodce zobrazí certifikát vrácený adresářový server. Ověřte, že vystavitel, předmět a kryptografický otisk jsou pro správný adresářový server.
   Byly nalezeny povinné funkce.	Konektor také ověří, že jsou v kořenovém dsE přítomny povinné ovládací prvky. Pokud tyto ovládací prvky nejsou uvedené, zobrazí se upozornění. Některé adresáře LDAP nevypisují všechny funkce kořenového DSE a je možné, že konektor funguje bez problémů, i když je k dispozici upozornění.
   Podporované ovládací prvky	Zaškrtávací políčka podporovaných ovládacích prvků řídí chování určitých operací.
   Rozdílový import	DN protokolu změn je kontext pojmenování používaný protokolem rozdílových změn, například cn=changelog. Tato hodnota musí být určena, aby bylo možné provést rozdílový import.
   Atribut hesla	Pokud adresářový server podporuje jiný atribut hesla nebo hash hesel, můžete zadat cíl pro změny hesla.
   Názvy oddílů	V seznamu dalších oddílů je možné přidat další obory názvů, které se automaticky nezjistí. Toto nastavení se dá použít například v případě, že několik serverů tvoří logický cluster, který by se měl importovat ve stejnou dobu. Stejně jako služba Active Directory může mít v jedné doménové struktuře více domén, ale všechny domény sdílejí jedno schéma, totéž lze simulovat zadáním dalších oborů názvů do tohoto pole. Každý obor názvů může importovat z různých serverů a je dále nakonfigurovaný na stránce Konfigurovat oddíly a hierarchie.

7. Na stránce Oddíly ponechte výchozí hodnotu a vyberte Další.

8. Na stránce Spustit profily se ujistěte, že je zaškrtnuté políčko Exportovat a políčko Úplný import. Pak vyberte Další.
   

   Vlastnost	Popis
   Export	Spusťte profil, který exportuje data do adresářového serveru LDAP. Tento profil spuštění je povinný.
   Úplný import	Spustit profil, který bude importovat všechna data ze zdrojů LDAP zadaných dříve. Tento profil spuštění je povinný.
   Rozdílový import	Spustit profil, který bude importovat pouze změny z LDAP od posledního úplného nebo rozdílového importu. Tento profil spuštění povolte pouze v případě, že jste potvrdili, že adresářový server splňuje nezbytné požadavky. Další informace najdete v referenčních informacích obecného protokolu LDAP Připojení oru.

9. Na stránce Exportovat ponechte výchozí hodnoty beze změny a klikněte na Tlačítko Další.

10. Na stránce Úplný import ponechte výchozí hodnoty beze změny a klikněte na Tlačítko Další.

11. Na stránce DeltaImport ponechte výchozí hodnoty beze změny a klikněte na Tlačítko Další.

12. Na stránce Typy objektů vyplňte pole a vyberte Další.

    Vlastnost	Popis
    Cílový objekt	Tato hodnota je třída strukturálního objektu uživatele na adresářovém serveru LDAP. Například inetOrgPerson pro OpenLDAP nebo User pro službu AD LDS. Do tohoto pole nezadávejte pomocnou třídu objektu. Pokud adresářový server vyžaduje pomocné třídy objektů, nakonfigurují se pomocí mapování atributů na webu Azure Portal.
    Záložka	Hodnoty tohoto atributu by měly být jedinečné pro každý objekt v cílovém adresáři. Služba zřizování Microsoft Entra provede dotaz na hostitele konektoru ECMA pomocí tohoto atributu po počátečním cyklu. Informace o službě AD LDS, použití ObjectGUIDa pro jiné adresářové servery naleznete v následující tabulce. Všimněte si, že rozlišující název může být vybrán jako -dn-. Atributy s více hodnotami, jako uid je například atribut ve schématu OpenLDAP, nelze použít jako ukotvení.
    Atribut dotazu	Tento atribut by měl být stejný jako ukotvení, například objectGUID pokud je služba AD LDS adresářový server nebo _distinguishedName pokud je OpenLDAP.
    DN	RozlišujícíName cílového objektu. Zachovat -dn-.
    Automaticky vygenerováno	unchecked

    Následující tabulka uvádí servery LDAP a použité ukotvení:

    Adresář	Záložka
    Microsoft AD LDS a AD GC	objectGUID. Musíte používat agenta verze 1.1.846.0 nebo vyšší, ObjectGUID abyste ho mohli použít jako ukotvení.
    Adresářový server 389	Dn
    Apache Directory	Dn
    IBM Tivoli DS	Dn
    Adresář Isode	Dn
    Novell/NetIQ eDirectory	Identifikátor GUID
    Otevření DJ/DS	Dn
    Otevřít PROTOKOL LDAP	Dn
    Oracle ODSEE	Dn
    RadiantOne VDS	Dn
    Sun One Directory Server	Dn

13. Hostitel ECMA zjistí atributy podporované cílovým adresářem. Můžete zvolit, které z těchto atributů chcete zveřejnit pro ID Microsoft Entra. Tyto atributy je pak možné nakonfigurovat na webu Azure Portal pro zřizování. Na stránce Vybrat atributy přidejte všechny atributy v rozevíracím seznamu po jednom, které jsou povinné jako povinné atributy nebo které chcete zřídit z Microsoft Entra ID.
    Rozevírací seznam Atribut zobrazuje všechny atributy, které byly zjištěny v cílovém adresáři a nebyly vybrány na předchozí stránce průvodce konfigurací Vybrat atributy.

    Ujistěte se, že Treat as single value u atributu objectClass není zaškrtnuté políčko a pokud userPassword je nastavený, není možné ho vybrat nebo zaškrtnout userPassword .

    Pokud používáte OpenLDAP se schématem inetOrgPerson, nakonfigurujte viditelnost pro následující atributy.

    Atribut	Považovat za jednu hodnotu
    Kn	Y
    pošta	Y
    objectClass
    sn	Y
    Userpassword	Y

    Pokud používáte OpenLDAP se schématem POSIX, nakonfigurujte viditelnost pro následující atributy.

    Atribut	Považovat za jednu hodnotu
    _Distinguishedname
    -Dn-
    export_password
    Kn	Y
    gidNumber
    homeDirectory
    pošta	Y
    objectClass
    sn	Y
    Uid	Y
    uidNumber
    Userpassword	Y

    Po přidání všech relevantních atributů vyberte Další.

14. Na stránce Zrušení zřízení můžete určit, jestli chcete, aby id Microsoft Entra odebralo uživatele z adresáře, když vyjdou mimo rozsah aplikace. Pokud ano, v části Zakázat tok vyberte Odstranit a v části Odstranit tok vyberte Odstranit. Pokud Set attribute value je zvoleno, nebudou atributy vybrané na předchozí stránce dostupné pro výběr na stránce Zrušení zřízení.

Poznámka:

Pokud použijete hodnotu atributu Set, mějte na paměti, že jsou povoleny pouze logické hodnoty.

15. Vyberte Dokončit.

Ujistěte se, že je služba ECMA2Host spuštěná a může číst z adresářového serveru.

Podle těchto kroků potvrďte, že se hostitel konektoru spustil a přečetl všechny stávající uživatele z adresářového serveru do hostitele konektoru.

1. Na serveru se spuštěným hostitelem Microsoft Entra ECMA Připojení or vyberte Spustit.
2. V případě potřeby vyberte spustit a do pole zadejte services.msc .
3. V seznamu Služby se ujistěte, že je microsoft ECMA2Host přítomný a spuštěný. Pokud není spuštěný, vyberte Spustit.
4. Pokud jste službu nedávno spustili a máte na adresářovém serveru mnoho uživatelských objektů, počkejte několik minut, než konektor naváže připojení k adresářovém serveru.
5. Na serveru, na kterém běží Microsoft Entra ECMA Připojení or Host, spusťte PowerShell.
6. Přejděte do složky, ve které byl nainstalován hostitel ECMA, například C:\Program Files\Microsoft ECMA2Host.
7. Přejděte do podadresáře Troubleshooting.
8. Spusťte skript TestECMA2HostConnection.ps1 v tomto adresáři, jak je znázorněno v následujícím příkladu, a zadejte jako argumenty název konektoru ObjectTypePath a hodnotu cache. Pokud hostitel konektoru naslouchá na portu TCP 8585, možná budete muset také zadat -Port argument. Po zobrazení výzvy zadejte tajný token nakonfigurovaný pro tento konektor.

   PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
   Supply values for the following parameters:
   SecretToken: ************
   

9. Pokud skript zobrazí chybovou nebo varovnou zprávu, zkontrolujte, jestli je služba spuštěná, a název konektoru a tajný token odpovídají hodnotám, které jste nakonfigurovali v průvodci konfigurací.
10. Pokud skript zobrazí výstup False, konektor neviděl žádné položky na zdrojovém adresářovém serveru pro stávající uživatele. Pokud se jedná o novou instalaci adresářového serveru, je toto chování očekávané a můžete pokračovat v další části.
11. Pokud však adresářový server již obsahuje jednoho nebo více uživatelů, ale zobrazený Falseskript, znamená to, že konektor nemohl číst z adresářového serveru. Pokud se pokusíte zřídit, nemusí se ID Microsoft Entra správně shodovat s uživateli v daném zdrojovém adresáři s uživateli v Microsoft Entra ID. Počkejte několik minut, než hostitel konektoru dokončí čtení objektů z existujícího adresářového serveru, a pak skript spusťte znovu. Pokud výstup bude i nadále False, zkontrolujte konfiguraci konektoru a oprávnění na adresářovém serveru umožňují konektoru číst stávající uživatele.

Otestování připojení z Microsoft Entra ID k hostiteli konektoru

1. Vraťte se do okna webového prohlížeče, ve kterém jste na portálu konfigurovali zřizování aplikací.

   Poznámka:

   Pokud časový limit okna vypršel, budete muset agenta znovu vybrat.

   1. Přihlaste se k portálu Azure.
   2. Přejděte do podnikových aplikací a místní aplikace ECMA.
   3. Klikněte na Zřizování.
   4. Pokud se zobrazí začínáme, změňte režim na Automatický, v části Místní Připojení ivity vyberte agenta, kterého jste právě nasadili, a vyberte Přiřadit agenty a počkejte 10 minut. V opačném případě přejděte ke zřizování pro úpravy.

2. V části Správa přihlašovacích údajů zadejte následující adresu URL. connectorName Část nahraďte názvem konektoru na hostiteli ECMA, například LDAP. Pokud jste pro hostitele ECMA zadali certifikát od vaší certifikační autority, nahraďte localhost ho názvem hostitele serveru, na kterém je hostitel ECMA nainstalovaný.

   Vlastnost	Hodnota
   Adresa URL tenanta	https://localhost:8585/ecma2host_connectorName/scim

3. Zadejte hodnotu tajného tokenu, kterou jste definovali při vytváření konektoru.

   Poznámka:

   Pokud jste agentovi právě přiřadili aplikaci, počkejte 10 minut, než se registrace dokončí. Test připojení nebude fungovat, dokud se registrace nedokončí. Vynucení registrace agenta k dokončení restartováním zřizovacího agenta na vašem serveru může proces registrace urychlit. Přejděte na server, vyhledejte služby na panelu hledání systému Windows, identifikujte službu Microsoft Entra Připojení Provisioning Agent, klikněte pravým tlačítkem myši na službu a restartujte ji.

4. Vyberte testovací Připojení ion a počkejte jednu minutu.

5. Po úspěšném testu připojení a indikuje, že zadané přihlašovací údaje mají oprávnění k povolení zřizování, vyberte Uložit.
   

Rozšíření schématu Microsoft Entra (volitelné)

Pokud váš adresářový server vyžaduje další atributy, které nejsou součástí výchozího schématu Microsoft Entra pro uživatele, můžete při zřizování nakonfigurovat zadávání hodnot těchto atributů z konstanty, z výrazu transformovaného z jiných atributů Microsoft Entra nebo rozšířením schématu Microsoft Entra.

Pokud adresářový server vyžaduje, aby uživatelé měli atribut, například uidNumber pro schéma OpenLDAP POSIX, a tento atribut ještě není součástí vašeho schématu Microsoft Entra pro uživatele a musí být jedinečný pro každého uživatele, budete muset buď tento atribut vygenerovat z jiných atributů uživatele pomocí výrazu, nebo použít funkci rozšíření adresáře k přidání tohoto atributu jako rozšíření.

Pokud vaši uživatelé pocházejí ze služby Doména služby Active Directory Services a mají v daném adresáři atribut, můžete ke konfiguraci synchronizace atributu použít Microsoft Entra Připojení nebo Microsoft Entra Připojení cloudovou synchronizaci, aby se atribut synchronizoval z Doména služby Active Directory Služby pro ID Microsoft Entra, aby bylo možné ho zřídit pro jiné systémy.

Pokud uživatelé pocházejí z Microsoft Entra ID, pak pro každý nový atribut, který budete muset uložit na uživatele, budete muset definovat rozšíření adresáře. Potom aktualizujte uživatele Microsoft Entra, kteří mají být zřízeni, aby každý uživatel získal hodnotu těchto atributů.

Konfigurace mapování atributů

V této části nakonfigurujete mapování mezi atributy uživatele Microsoft Entra a atributy, které jste dříve vybrali v průvodci konfigurací hostitele ECMA. Později, když konektor vytvoří objekt na adresářovém serveru, atributy uživatele Microsoft Entra se pak odešlou prostřednictvím konektoru na adresářový server, který bude součástí tohoto nového objektu.

1. V Centru pro správu Microsoft Entra v části Podnikové aplikace vyberte místní aplikaci aplikace ECMA a pak vyberte stránku Zřizování .

2. Vyberte Upravit zřizování.

3. Rozbalte mapování a vyberte Zřídit uživatele Microsoft Entra. Pokud jste mapování atributů pro tuto aplikaci nakonfigurovali poprvé, bude pro zástupný symbol k dispozici pouze jedno mapování.

4. Chcete-li ověřit, že schéma adresářového serveru je k dispozici v Microsoft Entra ID, zaškrtněte políčko Zobrazit upřesňující možnosti a vyberte Upravit seznam atributů pro ScimOnPremises. Ujistěte se, že jsou uvedené všechny atributy vybrané v průvodci konfigurací. Pokud ne, počkejte několik minut, než se schéma aktualizuje, pak na navigačním řádku vyberte Mapování atributů a pak znovu vyberte Upravit seznam atributů pro ScimOnPremises , aby se stránka znovu načetla. Jakmile se zobrazí uvedené atributy, zrušte z této stránky, abyste se vrátili do seznamu mapování.

5. Každý uživatel v adresáři musí mít jedinečný rozlišující název. Způsob vytvoření rozlišujícího názvu konektoru můžete určit pomocí mapování atributů. Vyberte Přidat nové mapování. Pomocí hodnot v následujícím příkladu vytvořte mapování a změňte rozlišující názvy ve výrazu tak, aby odpovídaly názvům organizační jednotky nebo jiného kontejneru v cílovém adresáři.

   • Typ mapování: výraz
   • Výraz, pokud se zřizuje ve službě AD LDS: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",CN=CloudUsers,CN=App,DC=Contoso,DC=lab")
   • Výraz, pokud se zřizuje v OpenLDAP: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
   • Cílový atribut: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
   • Použít toto mapování: pouze během vytváření objektu

6. Pokud adresářový server vyžaduje více hodnot třídy strukturálního objektu nebo pomocné hodnoty třídy objektů, které mají být zadány v atributu objectClass , pak přidejte mapování na tento atribut. V tomto příkladu zřizování ve službě AD LDS objectClass není mapování povinné, ale může být nezbytné pro jiné adresářové servery nebo jiná schémata. Pokud chcete přidat mapování, objectClassvyberte Přidat nové mapování. Pomocí hodnot v následujícím příkladu vytvořte mapování a změňte názvy tříd objektů ve výrazu tak, aby odpovídaly schématu cílového adresáře.

   • Typ mapování: výraz
   • Výraz, pokud zřizování schématu inetOrgPerson: Split("inetOrgPerson",",")
   • Výraz, pokud zřizování schématu POSIX: Split("inetOrgPerson,posixAccount,shadowAccount",",")
   • Cílový atribut: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
   • Použít toto mapování: pouze během vytváření objektu

7. Pokud zřizujete službu AD LDS a existuje mapování z userPrincipalName na zástupný symbol, klikněte na toto mapování a upravte ho. Pomocí následujících hodnot aktualizujte mapování.

   • Typ mapování: přímý
   • Atribut zdroje: userPrincipalName
   • Cílový atribut: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPrincipalName
   • Odpovídající priorita: 1
   • Použít toto mapování: pouze během vytváření objektu

8. Pokud zřizujete službu AD LDS, přidejte mapování pro isSoftDeleted. Vyberte Přidat nové mapování. K vytvoření mapování použijte následující hodnoty.

   • Typ mapování: přímý
   • Atribut zdroje: isSoftDeleted
   • Cílový atribut: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:msDS-UserAccountDisabled

9. Pro každé mapování v následující tabulce pro adresářový server vyberte Přidat nové mapování a zadejte zdrojové a cílové atributy. Pokud zřizujete existující adresář s existujícími uživateli, budete muset upravit mapování atributu, který je běžně nastavený tak, aby objekty Match používaly tento atribut pro tento atribut . Další informace o mapování atributů najdete tady.

   Pro službu AD LDS:

   Typ mapování	Zdrojový atribut	Cílový atribut
   Direct	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:displayName

   Pro OpenLDAP:

   Typ mapování	Zdrojový atribut	Cílový atribut
   Přímo	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn
   Přímo	surname	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn
   Přímo	userPrincipalName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail

   Pro OpenLDAP se schématem POSIX budete také muset zadat gidNumber, homeDirectoryuid a uidNumber atributy. Každý uživatel vyžaduje jedinečný uid a jedinečný uidNumber. Obvykle homeDirectory se nastavuje výrazem odvozeným z ID uživatele. Pokud uid je například uživatel generován výrazem odvozeným z hlavního názvu uživatele, může být hodnota domovského adresáře tohoto uživatele vygenerována podobným výrazem odvozeným z hlavního názvu uživatele. A v závislosti na vašem případu použití můžete chtít, aby všichni uživatelé byli ve stejné skupině, takže byste přiřadili konstantu gidNumber .

   Typ mapování	Zdrojový atribut	Cílový atribut
   Výraz	ToLower(Word([userPrincipalName], 1, "@"), )	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid
   Direct	(atribut specifický pro váš adresář)	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber
   Výraz	Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory
   Konstanta	10000	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber

10. Pokud je zřizování v jiném adresáři než služba AD LDS, přidejte mapování, urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword které nastaví počáteční náhodné heslo pro uživatele. Pro službu AD LDS neexistuje žádné mapování pro userPassword.

11. Zvolte Uložit.

Ujistěte se, že uživatelé, kteří mají být pro aplikaci zřízeni, mají v Microsoft Entra ID požadované atributy.

Pokud existují uživatelé, kteří mají v adresáři LDAP existující uživatelské účty, budete muset zajistit, aby reprezentace uživatele Microsoft Entra měla atributy potřebné ke shodě.

Pokud plánujete vytvářet nové uživatele v adresáři LDAP, budete muset zajistit, aby reprezentace Microsoft Entra těchto uživatelů měla zdrojové atributy vyžadované schématem uživatele cílového adresáře.

Pomocí rutin Prostředí Microsoft Graph PowerShell můžete automatizovat kontrolu uživatelů požadovaných atributů.

Předpokládejme například, že vaše zřizování vyžaduje, aby uživatelé měli tři atributy DisplayNameasurnameextension_656b1c479a814b1789844e76b2f459c3_MyNewProperty. Pomocí rutiny Get-MgUser můžete načíst každého uživatele a zkontrolovat, jestli jsou k dispozici požadované atributy. Všimněte si, že rutina Graph v1.0 Get-MgUser ve výchozím nastavení nevrací žádné atributy rozšíření adresáře uživatele, pokud nejsou atributy zadané v požadavku jako jedna z vlastností, které se mají vrátit.

$userPrincipalNames = (
 "alice@contoso.com",
 "bob@contoso.com",
 "carol@contoso.com" )

$requiredBaseAttributes = ("DisplayName","surname")
$requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")

$select = "id"
foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;}
foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;}

foreach ($un in $userPrincipalNames) {
   $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop
   foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} }
   foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } }
}

Shromažďování existujících uživatelů z adresáře LDAP

Mnoho adresářů LDAP, například Active Directory, obsahuje příkaz, který vypíše seznam uživatelů.

1. Určete, kteří uživatelé v daném adresáři jsou v oboru pro uživatele aplikace. Tato volba bude záviset na konfiguraci vaší aplikace. U některých aplikací je platným uživatelem, který existuje v adresáři LDAP. Jiné aplikace mohou vyžadovat, aby uživatel měl konkrétní atribut nebo byl členem skupiny v daném adresáři.

2. Spusťte příkaz, který načte podmnožinu uživatelů z adresáře LDAP. Ujistěte se, že výstup obsahuje atributy uživatelů, které se použijí pro porovnávání s ID Microsoft Entra. Příklady těchto atributů jsou ID zaměstnance, název účtu a e-mailová adresa.

   Tento příkaz ve Windows pomocí programu AD LDS csvde by například vytvořil soubor CSV v aktuálním adresáři systému souborů s userPrincipalName atributem každé osoby v adresáři:

   $out_filename = ".\users.csv"
   csvde -f $out_filename -l userPrincipalName,cn -r "(objectclass=person)"
   

3. V případě potřeby přeneste soubor CSV, který obsahuje seznam uživatelů, do systému s nainstalovanými rutinami Microsoft Graph PowerShellu.

4. Teď, když máte seznam všech uživatelů získaných z aplikace, budete odpovídat těmto uživatelům z úložiště dat aplikace s uživateli v Microsoft Entra ID. Než budete pokračovat, projděte si informace o odpovídajících uživatelích ve zdrojovém a cílovém systému.

Načtení ID uživatelů v Microsoft Entra ID

Tato část ukazuje, jak pracovat s ID Microsoft Entra pomocí rutin Prostředí Microsoft Graph PowerShell .

Při prvním použití těchto rutin pro tento scénář musíte být v roli globálního Správa istratoru, aby bylo možné používat Prostředí Microsoft Graph PowerShell ve vašem tenantovi. Následné interakce můžou používat roli s nižšími oprávněními, například:

• Uživatel Správa istrator, pokud očekáváte vytváření nových uživatelů.
• Pokud právě spravujete přiřazení rolí aplikací, Správa istrator nebo zásady správného řízení identit Správa istratoru.

1. Otevřete PowerShell.

2. Pokud ještě nemáte nainstalované moduly Microsoft Graph PowerShellu, nainstalujte modul Microsoft.Graph.Users a další pomocí tohoto příkazu:

   Install-Module Microsoft.Graph
   

   Pokud už máte nainstalované moduly, ujistěte se, že používáte nejnovější verzi:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Připojení do Microsoft Entra ID:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Pokud jste tento příkaz použili poprvé, možná budete muset udělit souhlas s povolením, aby tyto oprávnění měly nástroje příkazového řádku Microsoft Graphu.

5. Přečtěte si seznam uživatelů získaných z úložiště dat aplikace do relace PowerShellu. Pokud byl seznam uživatelů v souboru CSV, můžete použít rutinu Import-Csv PowerShellu a jako argument zadat název souboru z předchozí části.

   Pokud je například soubor získaný ze služby SAP Cloud Identity Services pojmenovaný Users-exported-from-sap.csv a nachází se v aktuálním adresáři, zadejte tento příkaz.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Pokud používáte databázi nebo adresář, použijte jiný příklad, pokud se soubor jmenuje users.csv a nachází se v aktuálním adresáři, zadejte tento příkaz:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Zvolte sloupec souboru users.csv , který bude odpovídat atributu uživatele v Microsoft Entra ID.

   Pokud používáte SAP Cloud Identity Services, výchozí mapování je atribut userName SAP SCIM s atributem userPrincipalNameMicrosoft Entra ID:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Jiný příklad, pokud používáte databázi nebo adresář, můžete mít uživatele v databázi, kde hodnota ve sloupci s názvem EMail je stejná hodnota jako v atributu userPrincipalNameMicrosoft Entra:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Načtěte ID těchto uživatelů v Microsoft Entra ID.

   Následující skript PowerShellu $dbuserspoužívá hodnotu , $db_match_column_namea $azuread_match_attr_name hodnoty zadané dříve. Bude dotazovat Microsoft Entra ID najít uživatele, který má atribut s odpovídající hodnotou pro každý záznam ve zdrojovém souboru. Pokud soubor získaný ze zdrojové služby SAP Cloud Identity Services, databáze nebo adresáře obsahuje mnoho uživatelů, může dokončení tohoto skriptu trvat několik minut. Pokud nemáte atribut v MICROSOFT Entra ID, který má hodnotu, a potřebujete použít contains nebo jiný filtr výraz, budete muset přizpůsobit tento skript a v kroku 11 níže použít jiný výraz filtru.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Prohlédněte si výsledky předchozích dotazů. Podívejte se, jestli se některým uživatelům ve službě SAP Cloud Identity Services, databázi nebo adresáři nepodařilo najít v MICROSOFT Entra ID kvůli chybám nebo chybějícím shodám.

   Následující skript PowerShellu zobrazí počty záznamů, které nebyly nalezeny:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Po dokončení skriptu se zobrazí chyba, pokud se některé záznamy ze zdroje dat nenachází v ID Microsoft Entra. Pokud nejsou všechny záznamy pro uživatele z úložiště dat aplikace umístěné jako uživatelé v Microsoft Entra ID, budete muset zjistit, které záznamy se neshodovaly a proč.

   Například e-mailová adresa a userPrincipalName můžou být změněny v MICROSOFT Entra ID bez aktualizace odpovídající mail vlastnosti ve zdroji dat aplikace. Nebo uživatel už možná organizaci opustil, ale stále je ve zdroji dat aplikace. Nebo může existovat účet dodavatele nebo supersprávce ve zdroji dat aplikace, který neodpovídá žádné konkrétní osobě v Microsoft Entra ID.

10. Pokud byli uživatelé, kteří nemohli být umístěni v Microsoft Entra ID nebo nebyli aktivní a nemohli se přihlásit, ale chcete, aby byl jejich přístup zkontrolován nebo jejich atributy aktualizovány ve službě SAP Cloud Identity Services, databázi nebo adresáři, budete muset aktualizovat aplikaci, odpovídající pravidlo nebo aktualizovat nebo pro ně vytvořit uživatele Microsoft Entra. Další informace o tom, kterou změnu provést, naleznete v tématu správa mapování a uživatelských účtů v aplikacích, které se neshodovaly s uživateli v Microsoft Entra ID.

    Pokud zvolíte možnost vytváření uživatelů v Microsoft Entra ID, můžete uživatele vytvářet hromadně pomocí těchto možností:

    • Soubor CSV, jak je popsáno v hromadném vytváření uživatelů v Centru pro správu Microsoft Entra
    • Rutina New-MgUser

    Ujistěte se, že jsou tito noví uživatelé naplněni atributy vyžadovanými pro Microsoft Entra ID, aby se později shodovaly se stávajícími uživateli v aplikaci, a atributy vyžadované ID Microsoft Entra, včetně userPrincipalNamemailNickname a displayName. Musí userPrincipalName být jedinečný mezi všemi uživateli v adresáři.

    Můžete mít například uživatele v databázi, kde hodnota ve sloupci s názvem EMail je hodnota, kterou chcete použít jako hlavní název uživatele Microsoft Entra, hodnota ve sloupci Alias obsahuje přezdívku e-mailu Microsoft Entra ID a hodnota ve sloupci Full name obsahuje zobrazované jméno uživatele:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Tento skript pak můžete použít k vytvoření uživatelů Microsoft Entra pro uživatele ve službách SAP Cloud Identity Services, databázi nebo adresáři, které se neshodovaly s uživateli v Microsoft Entra ID. Všimněte si, že možná budete muset tento skript upravit tak, aby přidal další atributy Microsoft Entra potřebné ve vaší organizaci, nebo pokud $azuread_match_attr_name není mailNickname ani userPrincipalName, za účelem poskytnutí tohoto atributu Microsoft Entra.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Po přidání všech chybějících uživatelů do Microsoft Entra ID spusťte skript z kroku 7 znovu. Pak spusťte skript z kroku 8. Zkontrolujte, jestli nejsou hlášeny žádné chyby.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Přiřazování uživatelů k aplikaci

Teď, když máte Microsoft Entra ECMA Připojení or Host hovoří s Microsoft Entra ID a nakonfigurované mapování atributů, můžete přejít na konfiguraci, kdo je v oboru zřizování.

Důležité

Pokud jste byli přihlášení pomocí role hybridní identity Správa istrator, musíte se odhlásit a přihlásit pomocí účtu, který má roli application Správa istrator, cloudovou aplikaci Správa istrator nebo globální Správa istrator pro tuto část. Role Správa istrator hybridní identity nemá oprávnění k přiřazování uživatelů k aplikacím.

Pokud jsou v adresáři LDAP existující uživatelé, měli byste vytvořit přiřazení rolí aplikace pro tyto stávající uživatele v Microsoft Entra ID. Další informace o hromadném New-MgServicePrincipalAppRoleAssignedTovytváření přiřazení rolí aplikace najdete v tématu Řízení stávajících uživatelů aplikace v Microsoft Entra ID.

V opačném případě, pokud je adresář LDAP prázdný, vyberte testovacího uživatele z Microsoft Entra ID, který má požadované atributy a bude zřízen pro adresářový server aplikace.

1. Ujistěte se, že uživatel vybere všechny vlastnosti, které budou mapovány na požadované atributy schématu adresářového serveru.
2. Na webu Azure Portal vyberte Podnikové aplikace.
3. Vyberte místní aplikaci aplikace ECMA.
4. Na levé straně v části Spravovat vyberte Uživatelé a skupiny.
5. Vyberte Přidat uživatele nebo skupinu.
6. V části Uživatelé vyberte Možnost Žádná vybrána.
7. Vyberte uživatele zprava a vyberte tlačítko Vybrat .
   
8. Teď vyberte Přiřadit.

Testování zřizování

Teď, když jsou atributy namapované a přiřadí se počáteční uživatel, můžete otestovat zřizování na vyžádání u jednoho z vašich uživatelů.

1. Na serveru se spuštěným hostitelem Microsoft Entra ECMA Připojení or vyberte Spustit.

2. Do pole zadejte spuštění a zadejte services.msc.

3. V seznamu Služeb se ujistěte, že jsou spuštěné jak služby Microsoft Entra Připojení Provisioning Agent, tak služby Microsoft ECMA2Host. Pokud ne, vyberte Spustit.

4. Na webu Azure Portal vyberte Podnikové aplikace.

5. Vyberte místní aplikaci aplikace ECMA.

6. Na levé straně vyberte Zřizování.

7. Vyberte Zřídit na vyžádání.

8. Vyhledejte jednoho z testovacích uživatelů a vyberte Zřídit.
   

9. Po několika sekundách se zobrazí zpráva Úspěšně vytvořený uživatel v cílovém systému se seznamem atributů uživatele. Pokud se místo toho zobrazí chyba, podívejte se na řešení potíží s chybami zřizování.

Zahájení zřizování uživatelů

Po úspěšném testu zřizování na vyžádání přidejte zbývající uživatele.

1. Na webu Azure Portal vyberte aplikaci.
2. Na levé straně v části Spravovat vyberte Uživatelé a skupiny.
3. Ujistěte se, že jsou všichni uživatelé přiřazeni k roli aplikace.
4. Vraťte se na stránku konfigurace zřizování.
5. Ujistěte se, že je obor nastavený jenom na přiřazené uživatele a skupiny, zapněte stav zřizování na Zapnuto a vyberte Uložit.
6. Počkejte několik minut, než se zřizování spustí. Může to trvat až 40 minut. Po dokončení úlohy zřizování, jak je popsáno v další části,

Řešení chyb zřizování

Pokud se zobrazí chyba, vyberte Zobrazit protokoly zřizování. Vyhledejte v protokolu řádek, ve kterém je Stav selhání, a klikněte na tento řádek.

Pokud se chybová zpráva nepovedla vytvořit uživatele, zkontrolujte atributy, které jsou zobrazeny podle požadavků schématu adresáře.

Další informace najdete na kartě Poradce při potížích a doporučení .

Pokud chybová zpráva pro řešení potíží obsahuje hodnotu invalid per syntaxobjectClass , ujistěte se, že mapování atributu zřizování na objectClass atribut obsahuje pouze názvy tříd objektů rozpoznané adresářový server.

Další chyby najdete v tématu řešení potíží se zřizováním místních aplikací.

Pokud chcete pozastavit zřizování pro tuto aplikaci, můžete na stránce konfigurace zřizování změnit stav zřizování na Vypnuto a vybrat Uložit. Tato akce zastaví spuštění služby zřizování v budoucnu.

Kontrola úspěšného zřízení uživatelů

Po čekání zkontrolujte adresářový server a ujistěte se, že jsou uživatelé zřízeni. Dotaz, který provedete na adresářovém serveru, bude záviset na tom, jaké příkazy váš adresářový server poskytuje.

Následující pokyny ukazují, jak zkontrolovat službu AD LDS.

1. Otevřete Správce serveru a vlevo vyberte službu AD LDS.
2. Klikněte pravým tlačítkem na instanci služby AD LDS a v místním okně vyberte ldp.exe.
   
3. V horní části ldp.exe vyberte Připojení ion a Připojení.
4. Zadejte následující informace a klikněte na tlačítko OK.
   • Server: APP3
   • Port: 636
   • Umístění zaškrtávacího políčka SSL
     
5. Nahoře v části Připojení ion vyberte Vytvořit vazbu.
6. Ponechte výchozí hodnoty a klikněte na OK.
7. Nahoře vyberte Zobrazení a strom.
8. Do pole BaseDN zadejte CN=App,DC=contoso,DC=lab a klikněte na OK.
9. Na levé straně rozbalte dn a klikněte na CN=CloudUsers,CN=App,DC=contoso,DC=lab. Měli byste vidět uživatele, kteří byli zřízeni z ID Microsoft Entra.
   

Následující pokyny ukazují, jak zkontrolovat OpenLDAP.

1. Otevřete okno terminálu s příkazovým prostředím v systému pomocí OpenLDAP.
2. Zadejte příkaz. ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson)
3. Zkontrolujte, jestli výsledný LDIF obsahuje uživatele zřízené z Microsoft Entra ID.

Další kroky

• Zřizování aplikací
• Kurz: ECMA Připojení or hostování obecného konektoru SQL