Konfigurieren von Azure AD zum Bereitstellen von Benutzer*innen in LDAP-Verzeichnissen

Die folgende Dokumentation enthält Konfigurations- und Tutorialinformationen zum Bereitstellen von Benutzer*innen aus Azure AD in einem LDAP-Verzeichnis.

In diesem Dokument werden die Schritte beschrieben, die Sie ausführen müssen, um Benutzer aus Azure Active Directory (Azure AD) automatisch in einem LDAP-Verzeichnis bereitzustellen und deren Bereitstellungen wieder aufzuheben. In diesem Dokument wird an einem Beispiel gezeigt, wie Benutzer in AD LDS bereitgestellt werden. Sie können die Bereitstellung jedoch in jedem der unten genannten unterstützten LDAP-Verzeichnisse vornehmen. Über diese Lösung können keine Benutzer in Active Directory Domain Services bereitgestellt werden.

Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen mit Azure Active Directory und Azure AD-Architektur für die lokale Anwendungsbereitstellung. Das folgende Video enthält eine Übersicht über die lokale Benutzerbereitstellung.

Voraussetzungen für die Bereitstellung von Benutzern in einem LDAP-Verzeichnis

Lokale Voraussetzungen

  • Ein Zielverzeichnis wie Active Directory Lightweight Services (AD LDS), in dem Benutzer erstellt, aktualisiert und gelöscht werden können. Diese Verzeichnisinstanz sollte kein Verzeichnis sein, das auch zum Bereitstellen von Benutzern in Azure AD verwendet wird, da sonst bei Vorhandensein beider Szenarien möglicherweise eine Schleife mit Azure AD Connect entsteht.
  • Ein Computer mit mindestens 3 GB RAM zum Hosten eines Bereitstellungs-Agents. Der Computer sollte unter Windows Server 2016 oder einer höheren Version von Windows Server ausgeführt werden und über eine Verbindung mit dem Zielverzeichnis sowie über ausgehende Verbindungen mit „login.microsoftonline.com“, anderen Microsoft Online Services und Azzure-Domänen verfügen. Ein Beispiel ist eine Windows Server 2016-VM, die in Azure IaaS oder hinter einem Proxy gehostet wird.
  • .NET Framework 4.7.2 muss installiert sein.
  • Optional: Es empfiehlt sich, Microsoft Edge für Windows Server herunterzuladen und anstelle von Internet Explorer zu verwenden. Dies ist jedoch nicht zwingend erforderlich.

Je nachdem, welche Optionen Sie auswählen, sind einige Bildschirme des Assistenten möglicherweise nicht verfügbar, und die Informationen können sich geringfügig unterscheiden. Für die Zwecke dieser Konfiguration wird der Objekttyp „Benutzer“ verwendet. Die folgenden Informationen können Ihnen bei der Konfiguration nützlich sein.

Unterstützter LDAP-Verzeichnisserver

Der Connector greift zur Erkennung und Identifizierung des LDAP-Servers auf verschiedene Techniken zurück. Der Connector verwenden den Stamm-DSE und den Anbieternamen/die Version und durchsucht das Schema nach eindeutigen Objekten und Attributen, die für bestimmte LDAP-Server typisch sind.

  • OpenLDAP
  • Microsoft Active Directory Lightweight Directory Services
  • 389 Directory Server
  • Apache Directory Server
  • IBM Tivoli DS
  • Isode Directory
  • NetIQ eDirectory
  • Novell eDirectory
  • Open DJ
  • Open DS
  • Oracle (ehemals Sun ONE) Directory Server Enterprise Edition
  • RadiantOne Virtual Directory Server (VDS)

Weitere Informationen finden Sie in der Referenz zum generischen LDAP-Connector.

Cloudanforderungen

  • Ein Azure AD-Mandant mit Azure AD Premium P1 oder Premium P2 (oder EMS E3 oder E5).

    Für die Verwendung dieses Features sind Azure AD Premium P1-Lizenzen erforderlich. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Azure AD.

  • Die Rolle „Hybrididentitätsadministrator“ zum Konfigurieren des Bereitstellungs-Agenten und die Rolle „Anwendungsadministrator“ oder „Cloudanwendungsadministrator“ zum Konfigurieren der Bereitstellung im Azure-Portal.

Weitere Empfehlungen und Einschränkungen

Bei den folgenden Punkten handelt es sich um weitere Empfehlungen und Einschränkungen.

  • Für die Cloudsynchronisierung und die lokale App-Bereitstellung sollte nicht der gleiche Agent verwendet werden. Microsoft empfiehlt die Verwendung separater Agents für die Cloudsynchronisierung und die lokale App-Bereitstellung.
  • Für AD LDS können Benutzer derzeit nicht mit Kennwörtern bereitgestellt werden. Daher müssen Sie entweder die Kennwortrichtlinie für AD LDS deaktivieren oder die Benutzer im deaktivierten Zustand bereitstellen.
  • Die Bereitstellung von Benutzern aus Azure Active Directory in Active Directory Domain Services wird nicht unterstützt.
  • Die Bereitstellung von Benutzern aus LDAP in Azure AD wird nicht unterstützt.

Vorbereiten des LDAP-Verzeichnisses

Wenn Sie noch nicht über einen Verzeichnisserver verfügen, können Sie anhand der folgenden Informationen eine AD LDS-Testumgebung erstellen. In diesem Setup werden PowerShell und die Datei „ADAMInstall.exe“ mit einer Antwortdatei verwendet. Dieses Dokument enthält keine ausführlichen Informationen zu AD LDS. Weitere Informationen finden Sie in der Übersicht über Active Directory Lightweight Directory Services.

Wenn Sie bereits AD LDS oder einen anderen Verzeichnisserver in einer Testumgebung eingerichtet haben, können Sie die folgenden Abschnitte überspringen, um den ECMA-Connectorhost zu installieren und zu konfigurieren.

Erstellen eines SSL-Zertifikats und eines Testverzeichnisses und Installieren von AD LDS

Verwenden Sie das PowerShell-Skript aus Anhang A. Das Skript führt die folgenden Aktionen aus:

  • Es erstellt ein selbstsigniertes Zertifikat, das später vom LDAP-Connector verwendet wird.
  • Es erstellt ein Verzeichnis für das Featureinstallationsprotokoll.
  • Es exportiert das Zertifikat aus dem persönlichen Speicher in das Verzeichnis.
  • Es importiert das Zertifikat in den vertrauenswürdigen Stamm des lokalen Computers.
  • Es installiert die AD LDS-Rolle auf dem virtuellen Computer.

Passen Sie auf der Windows Server-VM, auf der Sie den LDAP-Connector testen, das Skript entsprechend dem Computernamen an, und führen Sie es dann in Windows PowerShell mit Administratorrechten aus.

Erstellen einer Instanz von AD LDS

Nach dem Installieren der Rolle muss eine Instanz von AD LDS erstellt werden. Für die Instanzerstellung können Sie die weiter unten bereitgestellte Antwortdatei verwenden. Mit dieser Datei wird die Instanz im Hintergrund ohne Verwendung der Benutzeroberfläche installiert.

Kopieren Sie den Inhalt aus Anhang B in den Editor, und speichern Sie das Ergebnis als answer.txt unter C:\Windows\ADAM.

Öffnen Sie als Nächstes eine Eingabeaufforderung mit Administratorrechten, und führen Sie die folgende ausführbare Datei aus:

C:\Windows\ADAM> ADAMInstall.exe /answer:answer.txt

Erstellen von Containern und einem Dienstkonto für AD LDS

Verwenden Sie nun das PowerShell-Skript aus Anhang C. Das Skript führt die folgenden Aktionen aus:

  • Es erstellt einen Container für das Dienstkonto, das mit dem LDAP-Connector verwendet wird.
  • Es erstellt einen Container für die Cloudbenutzer. In diesem Container werden Benutzer bereitgestellt.
  • Es erstellt das Dienstkonto in AD LDS.
  • Es aktiviert das Dienstkonto.
  • Es fügt das Dienstkonto der Rolle „AD LDS-Administratoren“ hinzu.

Führen Sie das Skript mithilfe von Windows PowerShell mit Administratorrechten auf dem virtuellen Windows Server-Computer aus, den Sie zum Testen des LDAP-Connectors verwenden.

Erteilen von Netzwerkdienst-Leseberechtigungen für das SSL-Zertifikat

Damit SSL funktioniert, müssen Sie dem Netzwerkdienst Leseberechtigungen für das neu erstellte Zertifikat erteilen. Gehen Sie zum Erteilen von Berechtigungen wie folgt vor.

  1. Navigieren Sie zu C:\Program Data\Microsoft\Crypto\Keys.
  2. Klicken Sie mit der rechten Maustaste auf die dort befindliche Systemdatei. Sie ist mit einer GUID benannt. In diesem Container wird das Zertifikat gespeichert. a. Eigenschaften auswählen b. Wählen Sie oben die Registerkarte Sicherheit aus c. Wählen Sie Bearbeiten aus. d. Klicken Sie auf Hinzufügen. e. Geben Sie Netzwerkdienst in das Feld ein, und wählen Sie Namen überprüfen aus. f. Wählen Sie in der Liste den Eintrag NETZWERKDIENST aus, und klicken Sie auf OK. g. Klicken Sie auf OK. h. Vergewissern Sie sich, dass das Netzwerkdienstkonto über Berechtigungen zum Lesen sowie zum Lesen & Ausführen verfügt, und klicken Sie anschließend auf Übernehmen und dann auf OK.

Überprüfen der SSL-Konnektivität mit AD LDS

Testen Sie nach dem Konfigurieren des Zertifikats und dem Erteilen von Berechtigungen für das Netzwerkdienstkonto die Konnektivität, um sich zu vergewissern, dass sie funktioniert.

  1. Öffnen Sie den Server-Manager, und wählen Sie links „AD LDS“ aus.
  2. Klicken Sie mit der rechten Maustaste auf Ihre Instanz von AD LDS, und wählen Sie im Kontextmenü die Option „Ldp.exe“ aus. Position des LDP-Tools
  3. Wählen Sie im oberen Bereich der Datei „Ldp.exe“ die Option Verbindung und anschließend Verbinden aus.
  4. Geben Sie die folgenden Informationen ein, und klicken Sie anschließend auf OK:
    • Server: APP3
    • Port: 636
    • Aktivieren Sie das Kontrollkästchen „SSL“. [LDP-Verbindungskonfiguration
  5. Daraufhin sollten Sie eine Antwort wie die folgende erhalten: Erfolgreich konfigurierte LDP-Verbindung](media/active-directory-app-provisioning-ldap/ldp-3.png#lightbox)
  6. Wählen Sie im oberen Bereich unter Verbindung die Option Binden aus.
  7. Übernehmen Sie die Standardwerte, und klicken Sie auf OK. LDP-Bindung
  8. Nun sollte eine Bindung mit der Instanz bestehen. Erfolgreiche LDP-Bindung

Deaktivieren der lokalen Kennwortrichtlinie

Derzeit werden Benutzer vom LDAP-Connector mit einem leeren Kennwort bereitgestellt. Da diese Bereitstellung die lokale Kennwortrichtlinie auf dem Server nicht erfüllt, wird sie zu Testzwecken deaktiviert. Um die Kennwortkomplexität zu deaktivieren, gehen Sie auf einem Server, der nicht in die Domäne eingebunden ist, folgendermaßen vor.

Wichtig

Da die laufende Kennwortsynchronisierung kein Feature der lokalen LDAP-Bereitstellung ist, empfiehlt Microsoft, AD LDS speziell mit Verbundanwendungen, in Kombination mit AD DS oder beim Aktualisieren vorhandener Benutzer in einer Instanz von AD LDS zu verwenden.

  1. Klicken Sie auf dem Server auf Start > Ausführen, und führen Sie gpedit.msc aus.
  2. Navigieren Sie im Editor für lokale Gruppenrichtlinien zu „Computerkonfiguration“ > „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Kontorichtlinien“ > „Kennwortrichtlinien“.
  3. Doppelklicken Sie auf der rechten Seite auf Kennwort muss Komplexitätsvoraussetzungen entsprechen, und wählen Sie Deaktiviert aus. Screenshot: Komplexitätsvoraussetzungen
  4. Klicken Sie auf Übernehmen und anschließend auf OK.
  5. Schließen Sie den Editor für lokale Gruppenrichtlinien.

Herunterladen, Installieren und Konfigurieren des Azure AD Connect-Bereitstellungs-Agent-Pakets

  1. Laden Sie den Bereitstellungs-Agent herunter, und kopieren Sie ihn auf die VM oder den Server, die bzw. der mit Ihrem LDAP-Verzeichnis verbunden ist.

    Hinweis

    Verwenden Sie verschiedene Bereitstellungs-Agents für die lokale Anwendungsbereitstellung und die Azure AD Connect Cloudsynchronisierung/personengesteuerte Bereitstellung. Es sollten nicht alle drei Szenarien auf demselben Agent verwaltet werden.

  2. Starten Sie das Installationsprogramm für den Bereitstellungs-Agent, akzeptieren Sie die Vertragsbedingungen, und wählen Sie Weiter aus.
  3. Öffnen Sie den Assistenten für den Bereitstellungs-Agent, und wählen Sie Lokale Bereitstellung aus, wenn Sie zur Eingabe der Erweiterung aufgefordert werden, die Sie aktivieren möchten.
  4. Geben Sie Anmeldeinformationen für einen Azure AD-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Die Rolle „Hybrididentitätsadministrator“ oder „Globaler Administrator“ ist erforderlich.
  5. Wählen Sie Bestätigen aus, um die erfolgreiche Installation zu bestätigen.
  6. Melden Sie sich beim Azure-Portal an.
  7. Navigieren Sie zu Unternehmensanwendungen>Neue Anwendung hinzufügen.
  8. Suchen Sie nach der Anwendung Lokale ECMA-App, und fügen Sie sie Ihrem Mandanten hinzu.
  9. Navigieren Sie zur Bereitstellungsseite Ihrer Anwendung.
  10. Wählen Sie Erste Schritte aus.
  11. Ändern Sie auf der Seite Bereitstellung den Modus in Automatisch. Screenshot: Ändern des Modus in „Automatisch“.
  12. Wählen Sie im Abschnitt Lokale Konnektivität den Agent aus, den Sie gerade bereitgestellt haben, und wählen Sie dann Agent(s) zuweisen aus.
  13. Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mit dem Konfigurations-Assistenten ausführen.

Konfigurieren des Azure AD-ECMA-Connectorhostzertifikats

  1. Starten Sie auf dem Windows Server-Computer, auf dem der Bereitstellungs-Agent installiert ist, den Microsoft ECMA2Host-Konfigurations-Assistenten über das Startmenü.
  2. Wenn dies das erste Mal ist, dass Sie den Assistenten ausführen, werden Sie nach dem Starten der Konfiguration des ECMA-Connectorhosts aufgefordert, ein Zertifikat zu erstellen. Übernehmen Sie den Standardport 8585, und wählen Sie Generieren aus, um ein Zertifikat zu generieren. Bei dem automatisch generierten Zertifikat handelt es sich um ein selbstsigniertes Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle. Das SAN stimmt mit dem Hostnamen überein. Screenshot: Konfigurieren der Einstellungen
  3. Wählen Sie Speichern aus.

Konfigurieren eines generischen LDAP-Connectors

  1. Wenn Sie dies noch nicht getan haben, starten Sie im Startmenü den Microsoft ECMA2Host-Konfigurations-Assistenten.

  2. Wählen Sie Neuer Connector aus. Screenshot: Auswählen von „Neuer Connector“

  3. Füllen Sie auf der Seite Eigenschaften die Felder mit den Werten aus, die in der Tabelle unter dem Bild angegeben sind, und wählen Sie Weiter aus. Screenshot: Eingeben von Eigenschaften

    Eigenschaft Wert
    Name LDAP
    Zeitgeber für automatische Synchronisierung (Minuten) 120
    Geheimes Token Geben Sie hier Ihren eigenen Schlüssel ein. Er sollte mindestens 12 Zeichen lang sein.
    Erweiterungs-DLL Wählen Sie für den generischen LDAP-Connector die Option Microsoft.IAM.Connector.GenericLdap.dll aus.
  4. Auf der Seite Konnektivität konfigurieren Sie, wie der ECMA-Connectorhost mit Ihrem Verzeichnisserver kommuniziert. Füllen Sie die Felder mit den Werten aus, die in der Tabelle unter dem Bild angegeben sind, und wählen Sie Weiter aus. Screenshot: Seite „Konnektivität“

    Eigenschaft BESCHREIBUNG
    Host Der Hostname, auf dem sich der LDAP-Server befindet. In diesem Beispiel wird APP3 als Beispielhostname verwendet.
    Port Die TCP-Portnummer. Verwenden Sie für LDAP über SSL Port 636. Verwenden Sie für Start TLS Port 389.
    Verbindungstimeout 180
    Bindung SSL
    Benutzername Der Name, über den sich der ECMA-Connector bei Ihrem Verzeichnisserver authentifiziert. In diesem Beispiel lautet der Beispielbenutzername CN=svcAccount,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab.
    Kennwort Kennwort des angegebenen Benutzernamens

    Hinweis

    Sollte bei der Verbindungsherstellung ein Problem auftreten, vergewissern Sie sich, dass das Dienstkonto in AD LDS oder Ihrem anderen Verzeichnisserver aktiviert ist.

  5. Klicken Sie auf der Seite Global auf Weiter.

  6. Lassen Sie die Seite Partitionen unverändert, und wählen Sie Weiter aus.

  7. Behalten Sie auf der Seite Ausführungsprofile die Aktivierung des Kontrollkästchens Export bei. Aktivieren Sie das Kontrollkästchen Vollständiger Import, und wählen Sie Weiter aus. Screenshot: Seite „Ausführungsprofile“

    Eigenschaft BESCHREIBUNG
    Exportieren Ausführungsprofil zum Exportieren von Daten in Ihr LDAP-Verzeichnis. Dieses Ausführungsprofil ist erforderlich.
    Vollständiger Import Ausführungsprofil zum Importieren aller Daten aus den zuvor angegebenen LDAP-Quellen.
    Deltaimport Ausführungsprofil, das nur Änderungen aus LDAP seit dem letzten vollständigen Import oder Deltaimport importiert.
  8. Übernehmen Sie auf der Seite Export die Standardwerte, und klicken Sie auf Weiter.

  9. Übernehmen Sie auf der Seite Vollständiger Import die Standardwerte, und klicken Sie auf Weiter.

  10. Füllen Sie die Felder auf der Seite Objekttypen aus, und wählen Sie Weiter aus.

    • Zielobjekt: Das Zielobjekt im LDAP-Verzeichnis.
    • Anker: Diese Werte des Attributs sollten für jedes Objekt im Zielverzeichnis eindeutig sein. Der Azure AD-Bereitstellungsdienst fragt den ECMA-Connectorhost nach dem ersten Zyklus mit diesem Attribut ab. Sie müssen die Agent-Version 1.1.846.0 oder höher für ObjectGUID verwenden, damit sie als Anker funktioniert.
    • Abfrageattribut: Dieses Attribut sollte mit dem Anker identisch sein.
    • DN: Der Distinguished Name des Zielobjekts.
    Eigenschaft Beschreibung
    Zielobjekt Benutzer
    Anchor ObjectGUID
    Abfrageattribut objectGUID
    DN -dn-
    Automatisch generiert unchecked
  11. Der ECMA-Host erkennt die vom Zielverzeichnis unterstützten Attribute. Sie können wählen, welches dieser Attribute Sie für Azure AD verfügbar machen möchten. Diese Attribute können dann im Azure-Portal zur Bereitstellung konfiguriert werden. Fügen Sie auf der Seite Attribute auswählen alle Attribute einzeln in der Dropdownliste hinzu. Screenshot: Seite „Attribute auswählen“.
    In der Dropdownliste Attribut werden alle Attribute angezeigt, die im Zielverzeichnis gefunden wurden und nicht auf der vorherigen Seite Attribute auswählen ausgewählt wurden. Nachdem alle relevanten Attribute hinzugefügt wurden, wählen Sie Weiter aus.

  12. Wählen Sie auf der Seite Bereitstellung aufheben unter Flow deaktivieren die Option Löschen aus. Die auf der vorherigen Seite ausgewählten Attribute können auf der Seite „Bereitstellung aufheben“ nicht ausgewählt werden. Wählen Sie Fertig stellen aus.

Sicherstellen, dass der ECMA2Host-Dienst ausgeführt wird

  1. Wählen Sie auf dem Server, auf dem der Azure AD-ECMA-Connectorhost ausgeführt wird, Starten aus.
  2. Geben Sie run (Ausführen) und services.msc in das Feld ein.
  3. Stellen Sie sicher, dass Microsoft ECMA2Host in der in der Liste Dienste enthalten ist und ausgeführt wird. Wählen Sie andernfalls Starten aus. Screenshot: Ausgeführter Dienst

Testen der Verbindung zur Anwendung

  1. Kehren Sie zu dem Webbrowserfenster zurück, in dem Sie die Anwendungsbereitstellung konfiguriert haben.

    Hinweis

    Wenn das Zeitlimit für das Fenster überschritten wurde, müssen Sie den Agent erneut auswählen.

    1. Melden Sie sich beim Azure-Portal an.
    2. Wechseln Sie zu Unternehmensanwendungen und der Anwendung Lokale ECMA-App.
    3. Klicken Sie auf Bereitstellung.
    4. Wenn Erste Schritte angezeigt wird, ändern Sie den Modus in Automatisch. Wählen Sie im Abschnitt Lokale Konnektivität den Agent aus, den Sie gerade bereitgestellt haben, wählen Sie dann Agent(s) zuweisen aus, und warten Sie 10 Minuten. Wechseln Sie andernfalls zu Bereitstellung bearbeiten.
  2. Geben Sie im Abschnitt Administratoranmeldeinformationen die folgende URL ein. Ersetzen Sie den Teil connectorName durch den Namen des Connectors auf dem ECMA-Host. Sie können auch localhost durch den Hostnamen ersetzen.

    Eigenschaft Wert
    Mandanten-URL https://localhost:8585/ecma2host_connectorName/scim
  3. Geben Sie den Wert des geheimen Tokens ein, das Sie beim Erstellen des Connectors definiert haben.

    Hinweis

    Wenn Sie den Agent gerade der Anwendung zugewiesen haben, warten Sie 10 Minuten, bis die Registrierung abgeschlossen ist. Der Konnektivitätstest funktioniert erst, wenn die Registrierung abgeschlossen ist. Sie können erzwingen, dass die Agent-Registrierung abgeschlossen wird, indem Sie den Bereitstellungs-Agent auf Ihrem Server neu starten, um den Registrierungsprozess zu beschleunigen. Navigieren Sie zu Ihrem Server, suchen Sie in der Windows-Suchleiste nach Dienste und dem Bereitstellungs-Agent-Dienst von Azure AD Connect, klicken Sie mit der rechten Maustaste auf den Dienst, und starten Sie ihn neu.

  4. Wählen Sie Verbindung testen aus, und warten Sie eine Minute. Screenshot: Zuweisen eines Agents

  5. Wenn der Verbindungstest erfolgreich war und angezeigt wird, dass die angegebenen Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind, wählen Sie Speichern aus.
    Screenshot eines Agent-Tests.

Konfigurieren von Attributzuordnungen

  1. Wählen Sie im Azure AD-Portal unter Unternehmensanwendungen die Anwendung Lokale ECMA-App aus, und wählen Sie dann die Seite Bereitstellung aus.

  2. Wählen Sie Bereitstellung bearbeiten aus.

  3. Erweitern Sie Zuordnungen, und wählen Sie Azure Active Directory-Benutzer bereitstellen aus.

  4. Wählen Sie Neue Zuordnung hinzufügen aus.

  5. Geben Sie die Quell- und Zielattribute an, und fügen Sie alle Zuordnungen in der folgenden Tabelle hinzu. Ändern Sie die Distinguished Names in der zweiten Zeile, sodass sie mit denen der Organisationseinheit oder eines anderen Containers in Ihrem Zielverzeichnis übereinstimmen. Wenn Sie AD LDS nicht verwenden, lassen Sie die Bereitstellung des Attributs msDS-UserAccountDisabled aus. Weitere Informationen zur Attributzuordnung finden Sie hier.

    Zuordnungstyp Quellattribut Zielattribut Rangfolge für Abgleich
    Direkt userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPrincipalName 1
    Ausdruck Join("", "CN=", Word([userPrincipalName], 1, "@"), ",CN=CloudUsers,CN=App,DC=Contoso,DC=lab") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
    Direkt isSoftDeleted urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:msDS-UserAccountDisabled
    Direkt displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:displayName
  6. Wählen Sie Speichern aus.

Zuweisen von Benutzern zu einer Anwendung

Da der Azure AD-ECMA-Connectorhost und Azure AD nun miteinander kommunizieren und die Attributzuordnungen konfiguriert sind, können Sie mit der Konfiguration der Benutzer für den Bereitstellungsbereich fortfahren.

Wichtig

Wenn Sie mit der Rolle „Hybrididentitätsadministrator“ angemeldet wurden, müssen Sie sich zum Ausführen der Schritte in diesem Abschnitt zuerst abmelden und dann mit einem Konto anmelden, das über die Rolle „Anwendungsadministrator“, „Cloudanwendungsadministrator“ oder „Globaler Administrator“ verfügt. Die Rolle „Hybrididentitätsadministrator“ verfügt nicht über Berechtigungen zum Zuweisen von Benutzern zu Anwendungen.

Wenn vorhandene Benutzer in der LDAP-Verzeichnis vorhanden sind, sollten Sie Anwendungsrollenzuweisungen für diese vorhandenen Benutzer erstellen. Weitere Informationen zum Erstellen von Anwendungsrollenzuweisungen in Massen finden Sie unter Verwalten der vorhandenen Benutzer einer Anwendung in Azure AD.

Andernfalls wählen Sie, wenn das LDAP-Verzeichnis leer ist, einen Testbenutzer aus Azure AD aus, der für die Anwendung bereitgestellt wird.

  1. Wählen Sie im Azure-Portal die Option Unternehmensanwendungen aus.
  2. Wählen Sie die Anwendung Lokale ECMA-App aus.
  3. Wählen Sie links unter Verwalten die Option Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen aus. Screenshot: Hinzufügen eines Benutzers
  5. Wählen Sie unter Benutzer die Option Keine Elemente ausgewählt aus. Screenshot „Keine Elemente ausgewählt“
  6. Wählen Sie auf der rechten Seite Benutzer und dann die Schaltfläche Auswählen aus.
    Screenshot: Auswählen von Benutzern.
  7. Wählen Sie nun Zuweisen aus. Screenshot: Zuweisen von Benutzern

Testen der Bereitstellung

Nachdem nun Ihre Attribute zugeordnet und die Benutzer zugewiesen sind, können Sie die bedarfsorientierte Bereitstellung mit einem Ihrer Benutzer testen.

  1. Wählen Sie im Azure-Portal die Option Unternehmensanwendungen aus.
  2. Wählen Sie die Anwendung Lokale ECMA-App aus.
  3. Wählen Sie links Bereitstellung aus.
  4. Klicken Sie auf Bei Bedarf bereitstellen.
  5. Suchen Sie nach einem Ihrer Testbenutzer, und wählen Sie Bereitstellen aus. Screenshot: Testen der bedarfsorientierten Bereitstellung
  6. Nach einigen Sekunden wird die Meldung Der Benutzer wurde erfolgreich im Zielsystem erstellt mit einer Liste der Benutzerattribute angezeigt.

Benutzerbereitstellung starten

  1. Nachdem die bedarfsorientierte Bereitstellung erfolgreich war, wechseln Sie zurück zur Konfigurationsseite der Bereitstellung. Stellen Sie sicher, dass der Bereich nur auf zugewiesene Benutzer und Gruppen festgelegt ist, aktivieren Sie die Bereitstellung (On), und wählen Sie Speichern aus.

  2. Warten Sie einige Minuten, bis die Bereitstellung gestartet wurde. Dies kann bis zu 40 Minuten dauern. Wenn Sie nach Abschluss des Bereitstellungsauftrags (wie im nächsten Abschnitt beschrieben) Ihre Tests dieser Anwendung abgeschlossen haben, können Sie den Bereitstellungsstatus in Aus ändern und Speichern auswählen. Durch diese Aktion wird der Bereitstellungsdienst in Zukunft nicht mehr ausgeführt.

Beheben von Fehlern bei der Bereitstellung

Wenn ein Fehler angezeigt wird, wählen Sie Bereitstellungsprotokolle anzeigen aus. Suchen Sie im Protokoll nach einer Zeile mit dem Status Fehler, und klicken Sie auf diese Zeile.

Wenn die Fehlermeldung Fehler beim Erstellen des Benutzers lautet, überprüfen Sie die angezeigten Attribute anhand der Anforderungen des Verzeichnisschemas.

Weitere Informationen finden Sie auf der Registerkarte Problembehandlung & Empfehlungen.

Überprüfen der erfolgreichen Bereitstellung von Benutzern

Überprüfen Sie im Anschluss an die Wartezeit Ihr Verzeichnis, um sicherzustellen, dass neue Benutzer bereitgestellt werden. Die folgenden Anweisungen veranschaulichen die Überprüfung von AD LDS.

  1. Öffnen Sie den Server-Manager, und wählen Sie links „AD LDS“ aus.
  2. Klicken Sie mit der rechten Maustaste auf Ihre Instanz von AD LDS, und wählen Sie im Kontextmenü die Option „Ldp.exe“ aus. Position des LDP-Tools
  3. Wählen Sie im oberen Bereich der Datei „Ldp.exe“ die Option Verbindung und anschließend Verbinden aus.
  4. Geben Sie die folgenden Informationen ein, und klicken Sie anschließend auf OK:
  • Server: APP3
  • Port: 636
  • Aktivieren Sie das Kontrollkästchen „SSL“. LDP-Verbindung zum Überprüfen von Benutzern
  1. Wählen Sie im oberen Bereich unter Verbindung die Option Binden aus.
  2. Übernehmen Sie die Standardwerte, und klicken Sie auf OK.
  3. Wählen Sie im oberen Bereich die Option Ansicht und anschließend Baum aus.
  4. Geben Sie für den Basis-DN die Zeichenfolge CN=App,DC=contoso,DC=lab ein, und klicken Sie auf OK.
  5. Erweitern Sie auf der linken Seite den Distinguished Name, und klicken Sie auf CN=CloudUsers,CN=App,DC=contoso,DC=lab. Ihre Benutzer sollten angezeigt werden, die über Azure AD bereitgestellt wurden. LDP-Bindung für Benutzer

Anhang A: PowerShell-Skript zum Installieren von AD LDS

Das folgende PowerShell-Skript kann zum Automatisieren der Installation von Active Directory Lightweight Directory Services verwendet werden. Sie müssen das Skript bearbeiten, um es an Ihre Umgebung anzupassen. Ändern Sie insbesondere APP3 in den Hostnamen Ihres Computers.

# Filename:    1_SetupADLDS.ps1
# Description: Creates a certificate that will be used for SSL and installs Active Directory Lighetweight Directory Services.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DNSName = 'APP3'
$CertLocation = 'cert:\LocalMachine\MY'
$logpath = "c:\" 
$dirname = "test"
$dirtype = "directory"
$featureLogPath = "c:\test\featurelog.txt" 

#Create a new self-signed certificate
New-SelfSignedCertificate -DnsName $DNSName -CertStoreLocation $CertLocation

#Create directory
New-Item -Path $logpath -Name $dirname -ItemType $dirtype

#Export the certifcate from the local machine personal store
Get-ChildItem -Path cert:\LocalMachine\my | Export-Certificate -FilePath c:\test\allcerts.sst -Type SST

#Import the certificate in to the trusted root
Import-Certificate -FilePath "C:\test\allcerts.sst" -CertStoreLocation cert:\LocalMachine\Root


#Install AD LDS
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ADLDS" -IncludeAllSubFeature -IncludeManagementTools 
 } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath


Anhang B: Antwortdatei

Diese Datei dient zum Automatisieren und Erstellen einer Instanz von AD LDS. Sie bearbeiten diese Datei, um sie an Ihre Umgebung anzupassen. Ändern Sie insbesondere APP3 in den Hostnamen Ihres Servers.

Wichtig

Dieses Skript verwendet den lokalen Administrator für das AD LDS-Dienstkonto, und das Kennwort ist in den Antworten hartcodiert. Diese Aktion ist ausschließlich zum Testen vorgesehen und sollte niemals in einer Produktionsumgebung verwendet werden.

Wenn Sie AD LDS auf einem Domänencontroller und nicht auf einem Mitgliedsserver oder eigenständigen Server installieren, müssen Sie LocalLDAPPortToListenOn und LocalSSLPortToListonOn in einen anderen Wert als die bekannten Ports für LDAP und LDAP über SSL ändern. Beispiel: LocalLDAPPortToListenOn=51300 und LocalSSLPortToListenOn=51301.

 [ADAMInstall]
 InstallType=Unique
 InstanceName=AD-APP-LDAP
 LocalLDAPPortToListenOn=389
 LocalSSLPortToListenOn=636
 NewApplicationPartitionToCreate=CN=App,DC=contoso,DC=lab
 DataFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 LogFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 ServiceAccount=APP3\Administrator
 ServicePassword=Pa$$Word1
 AddPermissionsToServiceAccount=Yes
 Administrator=APP3\Administrator
 ImportLDIFFiles="MS-User.LDF"
 SourceUserName=APP3\Administrator
 SourcePassword=Pa$$Word1

Anhang C: PowerShell-Skript zum Auffüllen von AD LDS

PowerShell-Skript zum Auffüllen von AD LDS mit Containern und einem Dienstkonto.

# Filename:    2_PopulateADLDS.ps1
# Description: Populates our AD LDS environment with 2 containers and a service account

# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Create service accounts container
New-ADObject -Name "ServiceAccounts" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating ServiceAccounts container"

# Create cloud users container
New-ADObject -Name "CloudUsers" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating CloudUsers container"

# Create a new service account
New-ADUser -name "svcAccountLDAP" -accountpassword  (ConvertTo-SecureString -AsPlainText 'Pa$$1Word' -Force) -Displayname "LDAP Service Account" -server 'APP3:389' -path "CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Creating service account"

# Enable the new service account
Enable-ADAccount -Identity "CN=svcAccount,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Enabling service account"

# Add the service account to the Administrators role
Get-ADGroup -Server "APP3:389" -SearchBase "CN=Administrators,CN=Roles,CN=App,DC=contoso,DC=lab" -Filter "name -like 'Administrators'" | Add-ADGroupMember -Members "CN=svcAccount,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Adding service accounnt to Administrators role"


Nächste Schritte