Konfigurieren von Microsoft Entra ID zur Bereitstellung von Benutzenden in einem LDAP-Verzeichnis für die Linux-Authentifizierung

Die folgende Dokumentation ist ein Lernprogramm, das veranschaulicht, wie der Zugriff auf ein Linux-System geregelt wird. Microsoft Entra stellt Benutzende in einem lokalen LDAP-Verzeichnis bereit, das von diesem Linux-System als vertrauenswürdig eingestuft wird. Auf diese Weise können sich Benutzer bei einem Linux-System anmelden, das auf diesem LDAP-Verzeichnis für die Benutzerauthentifizierung basiert. Wenn ein Benutzer aus der Microsoft Entra-ID entfernt wird, kann er sich nicht mehr bei einem Linux-System anmelden.

Anmerkung

Das in diesem Artikel beschriebene Szenario gilt nur für vorhandene Linux-Systeme, die bereits einen Name Services Switch (NSS) oder ein Pluggable Authentication Modules (PAM) LDAP-Modul für die Benutzeridentifikation und Authentifizierung verwenden. Linux-VMs in Azure oder Azure Arc-fähige Linux-Computer sollten stattdessen in die Microsoft Entra-Authentifizierung integriert werden. Sie können microsoft Entra ID jetzt als Kernauthentifizierungsplattform und eine Zertifizierungsstelle für SSH zu einer Linux-VM verwenden, indem Sie die zertifikatbasierte Authentifizierung von Microsoft Entra ID und OpenSSH verwenden, wie in "Anmelden bei einem virtuellen Linux-Computer in Azure" mithilfe von Microsoft Entra ID und OpenSSH beschrieben.

Weitere Szenarien, die die Bereitstellung von Benutzern in LDAP-Verzeichnissen umfassen, außer für die Linux-Authentifizierung, finden Sie unter Konfigurieren der Microsoft Entra-ID, um Benutzer in LDAP-Verzeichnissen bereitzustellen.

Voraussetzungen für die Bereitstellung von Benutzern in einem LDAP-Verzeichnis für die Linux-Authentifizierung

In diesem Artikel wird davon ausgegangen, dass der LDAP-Server bereits in der lokalen Umgebung vorhanden ist, der von einem oder mehreren Linux- oder anderen POSIX-Systemen für die Benutzerauthentifizierung verwendet wird.

Lokale Voraussetzungen

• Ein Linux- oder anderer POSIX-Server, der sich auf einen Verzeichnisserver mit einem PAM- oder NSS-Modul stützt.
• Ein LDAP-Verzeichnisserver, der das POSIX-Schema unterstützt, z. B. OpenLDAP, in dem Benutzer erstellt, aktualisiert und gelöscht werden können. Weitere Informationen zu unterstützten Verzeichnisservern finden Sie in der Generic LDAP Connector-Referenz.
• Ein Computer mit mindestens 3 GB RAM, um einen Bereitstellungs-Agent zu hosten. Der Computer sollte über Windows Server 2016 oder eine höhere Version von Windows Server verfügen. Außerdem sollten Verbindungen mit dem Zielverzeichnisserver und ausgehende Verbindungen mit login.microsoftonline.com, anderen Microsoft Online Services sowie Azure-Domänen hergestellt werden. Ein Beispiel ist ein virtueller Windows Server 2016-Computer, der in Azure IaaS oder hinter einem Proxy gehostet wird. .NET Framework 4.7.2 muss auf diesem Server installiert sein.
• Optional: Obwohl nicht erforderlich, wird empfohlen, Microsoft Edge für Windows Server herunterzuladen und anstelle von Internet Explorer zu verwenden.

Cloudanforderungen

• Ein Microsoft Entra-Mandant mit Microsoft Entra ID P1 oder Premium P2 (oder EMS E3 oder E5).

  Die Verwendung dieses Features erfordert Microsoft Entra ID P1-Lizenzen. Informationen zum Ermitteln der richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen allgemein verfügbarer Features von Microsoft Entra ID.

• Die Rolle des Hybrididentitätsadministrators zum Konfigurieren des Bereitstellungsagenten.

• Die Rollen „Anwendungsadministrator“ und „Cloudanwendungsadministrator“ werden für die Konfiguration der Bereitstellung im Azure-Portal oder im Microsoft Entra Admin Center verwendet.

• Das Schema des Verzeichnisservers erfordert spezifische Attribute für jeden Microsoft Entra-Benutzer, der im LDAP-Verzeichnis bereitgestellt werden soll, und diese Attribute müssen bereits vorhanden sein. Insbesondere ist jeder Benutzer verpflichtet, eine eindeutige Nummer als Benutzer-ID-Nummer zu haben. Bevor Sie den Bereitstellungs-Agent bereitstellen und Benutzer dem Verzeichnis zuweisen, müssen Sie diese Nummer entweder aus einem vorhandenen Attribut für den Benutzer generieren oder das Microsoft Entra-Schema erweitern. Anschließend können Sie dieses Attribut für die Benutzer im Geltungsbereich auffüllen. Informationen zum Erstellen zusätzlicher Verzeichniserweiterungen finden Sie unter Graph-Erweiterbarkeit .

Weitere Empfehlungen und Einschränkungen

Die folgenden Aufzählungszeichen sind weitere Empfehlungen und Einschränkungen.

• Es wird nicht empfohlen, denselben Agent für die Cloudsynchronisierung und lokale App-Bereitstellung zu verwenden. Microsoft empfiehlt die Verwendung eines separaten Agents für die Cloudsynchronisierung und einen für die lokale App-Bereitstellung.
• Für AD LDS können Benutzer derzeit nicht mit Passwörtern ausgestattet werden. Daher müssen Sie entweder die Kennwortrichtlinie für AD LDS deaktivieren oder die Benutzer in einem deaktivierten Zustand bereitstellen.
• Bei anderen Verzeichnisservern kann ein anfängliches zufälliges Kennwort festgelegt werden, aber es ist nicht möglich, das Kennwort eines Microsoft Entra-Benutzers auf einem Verzeichnisserver bereitzustellen.
• Die Bereitstellung von Benutzern aus LDAP in Microsoft Entra ID wird nicht unterstützt.
• Die Bereitstellung von Gruppen und Benutzermitgliedschaften auf einem Verzeichnisserver wird nicht unterstützt.

Bestimmen, wie der Microsoft Entra LDAP Connector mit dem Verzeichnisserver interagiert

Bevor Sie den Connector auf einem vorhandenen Verzeichnisserver bereitstellen, müssen Sie mit dem Verzeichnisserver-Operator in Ihrer Organisation besprechen, wie die Integration in deren Verzeichnisserver erfolgen soll. Die zu sammelnden Informationen umfassen:

• Die Netzwerkinformationen zum Herstellen einer Verbindung mit dem Verzeichnisserver.
• So soll sich der Connector selbst beim Verzeichnisserver authentifizieren.
• Welches Schema der Verzeichnisserver zum Modellieren von Benutzern ausgewählt hat.
• Der Base Distinguished Name und die Verzeichnishierarchieregeln des Namenskontexts.
• So ordnen Sie Benutzer auf dem Verzeichnisserver Benutzern in Microsoft Entra ID zu.
• Was sollte passieren, wenn Benutzende den Gültigkeitsbereich in Microsoft Entra ID verlassen?

Die Bereitstellung dieses Connectors erfordert möglicherweise Änderungen an der Konfiguration des Verzeichnisservers sowie Änderungen an der Konfiguration von Microsoft Entra ID. Für Bereitstellungen, die die Integration von Microsoft Entra-ID in einen Drittanbieterverzeichnisserver in einer Produktionsumgebung umfassen, empfehlen wir Kunden, mit ihrem Verzeichnisserveranbieter oder einem Bereitstellungspartner für Hilfe, Anleitungen und Support für diese Integration zu arbeiten. In diesem Artikel werden die folgenden Beispielwerte für OpenLDAP verwendet.

Konfigurationseinstellung	Wo der Wert festgelegt ist	Beispielwert
Hostname des Verzeichnisservers	Konfigurations-Assistent – Seite "Konnektivität"	APP3
Portnummer des Verzeichnisservers	Konfigurations-Assistent – Seite "Konnektivität"	636. Verwenden Sie für LDAP über SSL oder TLS (LDAPS) Port 636. Verwenden Sie für Start TLSPort 389.
Konto für den Connector, um sich beim Verzeichnisserver zu identifizieren	Konfigurations-Assistent – Seite "Konnektivität"	cn=admin,dc=contoso,dc=lab
Kennwort für den Connector, um sich beim Verzeichnisserver zu authentifizieren	Konfigurations-Assistent – Seite "Konnektivität"
Strukturelle Objektklasse für einen Benutzer auf dem Verzeichnisserver	Seite „Objekttypen“ des Konfigurationsassistenten	inetOrgPerson
Hilfsobjektklassen für einen Benutzer auf dem Verzeichnisserver	Attributzuordnungen zur Bereitstellungsseite im Azure-Portal	posixAccount undshadowAccount
Attribute, die für einen neuen Benutzer aufgefüllt werden sollen	Konfigurations-Assistent – Seite "Attribute auswählen" und Azure-Portal – Bereitstellungsseiten-Attributzuordnungen	cn, gidNumber, , mailhomeDirectory, objectClass, sn, uid, , uidNumberuserPassword
Für den Verzeichnisserver erforderliche Benennungshierarchie	Attributzuordnungen zur Bereitstellungsseite im Azure-Portal	Setzen Sie den DN eines neu erstellten Benutzers so, dass er unmittelbar unter DC=Contoso,DC=lab angezeigt wird.
Attribute zum Korrelieren von Benutzenden über Microsoft Entra ID und den Verzeichnisserver hinweg	Attributzuordnungen zur Bereitstellungsseite im Azure-Portal	mail
Verhalten beim Aufheben der Bereitstellung, wenn Benutzende in Microsoft Entra ID den Geltungsbereich verlassen	Konfigurationsassistent – Deprovisioning-Seite	Löschen des Benutzers vom Verzeichnisserver

Die Netzwerkadresse eines Verzeichnisservers ist ein Hostname und eine TCP-Portnummer, in der Regel Port 389 oder 636. Außer wenn sich der Verzeichnisserver mit dem Connector auf demselben Windows Server befindet oder Sie die Sicherheit auf Netzwerkebene verwenden, müssen die Netzwerkverbindungen vom Connector zu einem Verzeichnisserver mithilfe von SSL oder TLS geschützt werden. Der Connector unterstützt die Verbindung mit einem Verzeichnisserver auf Port 389 und die Verwendung von Start TLS zum Aktivieren von TLS innerhalb der Sitzung. Der Connector unterstützt auch die Verbindung mit einem Verzeichnisserver an Port 636 für LDAPS – LDAP über TLS.

Sie benötigen ein identifiziertes Konto für den Connector, damit dieser sich bei dem Verzeichnisserver authentifizieren kann, auf dem er bereits konfiguriert ist. Dieses Konto wird in der Regel mit einem Distinguished Name identifiziert und verfügt über ein zugehöriges Kennwort oder ein Clientzertifikat. Zum Ausführen von Import- und Exportvorgängen für die Objekte im verbundenen Verzeichnis muss das Connectorkonto über ausreichende Berechtigungen im Zugriffssteuerungsmodell des Verzeichnisses verfügen. Der Connector muss über Schreibberechtigungen verfügen, um in der Lage zu sein, zu exportieren und Leseberechtigungen zu lesen , um in der Lage zu sein, zu importieren. Die Berechtigungen werden in der Verwaltungsumgebung des Zielverzeichnisses konfiguriert.

Ein Verzeichnisschema gibt die Objektklassen und Attribute an, die eine reale Entität im Verzeichnis darstellen. Der Verbinder unterstützt einen Benutzer, der mit einer strukturellen Objektklasse dargestellt wird, z. B. inetOrgPerson, und optional zusätzliche Hilfsobjektklassen. Damit der Connector Benutzende auf dem Verzeichnisserver bereitstellen kann, müssen im Rahmen der Konfiguration über das Azure-Portal Zuordnungen vom Microsoft Entra-Schema zu allen obligatorischen Attributen definiert werden. Dazu gehören die obligatorischen Attribute der strukturellen Objektklasse, alle Superklassen dieser strukturellen Objektklasse und die obligatorischen Attribute aller Hilfsobjektklassen.

Sie konfigurieren wahrscheinlich auch Zuordnungen für einige optionale Attribute dieser Klassen. Ein OpenLDAP-Verzeichnisserver mit dem POSIX-Schema zur Unterstützung der Linux-Authentifizierung erfordert möglicherweise, dass ein Objekt für einen neuen Benutzer folgende Attribute aufweist, wie im folgenden Beispiel gezeigt.

dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password

Die von einem Verzeichnisserver implementierten Verzeichnishierarchieregeln beschreiben, wie die Objekte für jeden Benutzer miteinander und mit vorhandenen Objekten im Verzeichnis zusammenhängen. In den meisten Bereitstellungen hat sich die Organisation entschieden, eine flache Hierarchie auf ihrem Verzeichnisserver zu haben, in der sich jedes Objekt für einen Benutzer unmittelbar unter einem gemeinsamen Basisobjekt befindet. Wenn beispielsweise der Basis-DN (Base Distinguished Name) für den Namenskontext in einem Verzeichnisserver dc=contoso,dc=com lautet, erhält ein neuer Benutzer einen Distinguished Name in Form von cn=alice,dc=contoso,dc=com.

Manche Organisationen verwenden jedoch möglicherweise eine komplexere Verzeichnishierarchie. In diesem Fall müssen Sie bei der Angabe der Distinguished Name-Zuordnung für den Connector die Regeln implementieren. Ein Verzeichnisserver kann z. B. davon ausgehen, dass sich Benutzer in Organisationseinheiten nach Abteilung befinden, sodass ein neuer Benutzer einen differenzierten Namen wie cn=alice,ou=London,dc=contoso,dc=comhätte. Da der Connector keine Zwischenobjekte für Organisationseinheiten erstellt, müssen alle Zwischenobjekte, die die Verzeichnisserverregelhierarchie erwartet, bereits auf dem Verzeichnisserver vorhanden sein.

Als Nächstes müssen Sie die Regeln dafür definieren, wie der Connector bestimmen soll, ob bereits ein Benutzer auf dem Verzeichnisserver vorhanden ist, der einem Microsoft Entra-Benutzer entspricht. Jedes LDAP-Verzeichnis weist einen eindeutigen Namen auf, der für jedes Objekt auf dem Verzeichnisserver eindeutig ist, der jedoch häufig nicht für Benutzer in der Microsoft Entra-ID vorhanden ist. Stattdessen verfügt eine Organisation möglicherweise über ein anderes Attribut, z. B. mail oder employeeId, in ihrem Verzeichnisserverschema, das auch für ihre Benutzer in der Microsoft Entra-ID vorhanden ist. Wenn der Connector dann einen neuen Benutzer in einem Verzeichnisserver bereitstellt, kann der Connector suchen, ob bereits ein Benutzer in diesem Verzeichnis vorhanden ist, der einen bestimmten Wert dieses Attributs hat, und nur dann einen neuen Benutzer auf dem Verzeichnisserver erstellen, sofern keiner vorhanden ist.

Wenn Ihr Szenario das Erstellen neuer Benutzer im LDAP-Verzeichnis erfordert, nicht nur das Aktualisieren oder Löschen vorhandener Benutzer, müssen Sie auch bestimmen, wie die Linux-Systeme, die diesen Verzeichnisserver verwenden, die Authentifizierung verarbeitet. Einige Systeme können den öffentlichen SSH-Schlüssel oder das Zertifikat von Benutzenden aus dem Verzeichnis abfragen, was für Benutzende geeignet sein kann, die bereits über Anmeldeinformationen dieser Typen verfügen. Wenn Ihre Anwendung, die auf dem Verzeichnisserver basiert, jedoch keine modernen Authentifizierungsprotokolle oder stärkere Anmeldeinformationen unterstützt, müssen Sie beim Erstellen eines neuen Benutzers im Verzeichnis ein anwendungsspezifisches Kennwort festlegen, da die Microsoft Entra-ID die Bereitstellung des Microsoft Entra-Kennworts eines Benutzers nicht unterstützt.

Schließlich müssen Sie das Verhalten beim Aufheben der Bereitstellung festlegen. Wenn der Connector konfiguriert ist und Microsoft Entra ID eine Verknüpfung zwischen Benutzenden in Microsoft Entra ID und Benutzenden im Verzeichnis besteht, entweder für Benutzende, die sich bereits im Verzeichnis befinden, oder neue Benutzende, kann Microsoft Entra ID Attributänderungen von Microsoft Entra-Benutzenden im Verzeichnis bereitstellen.

Wenn ein Benutzer, der der Anwendung zugewiesen ist, in der Microsoft Entra-ID gelöscht wird, sendet die Microsoft Entra-ID einen Löschvorgang an den Verzeichnisserver. Vielleicht soll Microsoft Entra ID auch das Objekt auf dem Verzeichnisserver aktualisieren, wenn Benutzende nicht mehr in der Lage sind, die Anwendung zu nutzen. Dieses Verhalten hängt von der Anwendung ab, die den Verzeichnisserver verwendet, da viele Verzeichnisse, z. B. OpenLDAP, möglicherweise keine Standardweise haben, um anzugeben, dass das Konto eines Benutzers deaktiviert ist.

Installieren und Konfigurieren des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets

1. Melden Sie sich beim Azure-Portal an.
2. Wechseln Sie zu Enterprise-Anwendungen , und wählen Sie "Neue Anwendung" aus.
3. Suchen Sie nach der lokalen ECMA-App-Anwendung , geben Sie der App einen Namen, und wählen Sie "Erstellen" aus, um sie Ihrem Mandanten hinzuzufügen.
4. Navigieren Sie im Menü zur Bereitstellungsseite Ihrer Anwendung.
5. Wählen Sie "Erste Schritte" aus.
6. Ändern Sie auf der Seite "Bereitstellung " den Modus in "Automatisch".

7. Wählen Sie unter "Lokale Konnektivität" die Option "Herunterladen und Installieren" und dann "Bedingungen und Download akzeptieren" aus.

8. Verlassen Sie das Portal, und führen Sie das Installationsprogramm des Bereitstellungs-Agents aus, stimmen Sie den Nutzungsbedingungen zu, und wählen Sie 'Installieren' aus.
9. Warten Sie auf den Konfigurations-Assistenten für den Microsoft Entra-Bereitstellungs-Agent, und wählen Sie dann "Weiter" aus.
10. Wählen Sie im Schritt " Erweiterung auswählen " die lokale Anwendungsbereitstellung und dann "Weiter" aus.
11. Der Bereitstellungsagent verwendet den Webbrowser des Betriebssystems, um ein Popupfenster anzuzeigen, in dem Sie sich bei Microsoft Entra ID und möglicherweise auch beim Identitätsanbieter Ihrer Organisation authentifizieren können. Wenn Sie Internet Explorer als Browser auf Windows Server verwenden, müssen Sie möglicherweise Microsoft-Websites zur vertrauenswürdigen Websiteliste Ihres Browsers hinzufügen, damit JavaScript ordnungsgemäß ausgeführt werden kann.
12. Geben Sie Anmeldeinformationen für einen Microsoft Entra-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Der Benutzer muss mindestens über die Rolle des Hybrididentitätsadministrators verfügen.
13. Wählen Sie "Bestätigen " aus, um die Einstellung zu bestätigen. Nachdem die Installation erfolgreich war, können Sie "Beenden" auswählen und auch das Installationsprogramm des Bereitstellungs-Agent-Pakets schließen.

Konfigurieren der lokalen ECMA-App

1. Wählen Sie im Portal im Abschnitt "Lokale Konnektivität" den von Ihnen bereitgestellten Agenten aus, und wählen Sie "Agent(en) zuweisen" aus.

   

2. Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mithilfe des Konfigurations-Assistenten ausführen.

Konfigurieren des Microsoft Entra ECMA Connector-Hostzertifikats

1. Wählen Sie auf dem Windows Server, auf dem der Bereitstellungs-Agent installiert ist, im Startmenü den Microsoft ECMA2Host-Konfigurations-Assistenten aus, und führen Sie ihn als Administrator aus. Die Ausführung als Windows-Administrator ist erforderlich, damit der Assistent die erforderlichen Windows-Ereignisprotokolle erstellen kann.
2. Wenn Sie den Assistenten zum ersten Mal ausführen, werden Sie nach dem Start der ECMA Connector-Hostkonfiguration aufgefordert, ein Zertifikat zu erstellen. Verlassen Sie den Standardport 8585 , und wählen Sie " Zertifikat generieren " aus, um ein Zertifikat zu generieren. Das automatisch generierte Zertifikat ist selbstsigniert als Teil des vertrauenswürdigen Stammzertifikats. Das SAN stimmt mit dem Hostnamen überein.
3. Wählen Sie "Speichern" aus.

Anmerkung

Wenn Sie sich dafür entschieden haben, ein neues Zertifikat zu generieren, notieren Sie das Ablaufdatum des Zertifikats, um sicherzustellen, dass Sie zum Konfigurations-Assistenten zurückkehren und das Zertifikat erneut generieren möchten, bevor es abläuft.

Konfigurieren des generischen LDAP-Connectors

Je nachdem, welche Optionen Sie auswählen, sind einige Bildschirme des Assistenten möglicherweise nicht verfügbar, und die Informationen können sich geringfügig unterscheiden. Verwenden Sie die folgenden Informationen, um Sie in Ihrer Konfiguration zu unterstützen.

1. Generieren Sie ein geheimes Token für die Authentifizierung von Microsoft Entra ID beim Connector. Es sollte mindestens 12 Zeichen lang sein und für jede Anwendung eindeutig sein. Wenn Sie noch nicht über einen geheimen Generator verfügen, können Sie einen PowerShell-Befehl wie den folgenden verwenden, um eine beispiellose Zeichenfolge zu generieren.

   -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
   

2. Wenn dies noch nicht geschehen ist, starten Sie den Microsoft ECMA2Host-Konfigurations-Assistenten über das Startmenü.

3. Wählen Sie "Neuer Connector" aus.
   

4. Füllen Sie auf der Seite "Eigenschaften " die Felder mit den in der Tabelle angegebenen Werten aus, die auf das Bild folgen, und wählen Sie "Weiter" aus.

   Eigentum	Wert
   Name	Der von Ihnen gewählte Name für den Connector sollte in Ihrer Umgebung für alle Connectoren eindeutig sein. Beispiel: LDAP.
   Zeitgeber für automatische Synchronisierung (Minuten)	120
   Geheimes Token	Geben Sie hier Ihr geheimes Token ein. Es sollte mindestens 12 Zeichen lang sein.
   Erweiterungs-DLL	Wählen Sie für den generischen LDAP-Connector Microsoft.IAM.Connector.GenericLdap.dllaus.

5. Auf der „Konnektivität“-Seite konfigurieren Sie, wie der ECMA-Connectorhost mit dem Verzeichnisserver kommuniziert, und legen Sie einige der Konfigurationsoptionen fest. Füllen Sie die Felder mit den in der Tabelle angegebenen Werten aus, die auf das Bild folgen, und wählen Sie "Weiter" aus. Wenn Sie "Weiter" auswählen, fragt der Connector den Verzeichnisserver nach seiner Konfiguration ab.
   

   Eigentum	Beschreibung
   Gastgeber	Der Hostname, unter dem sich der LDAP-Server befindet. In diesem Beispiel wird APP3 als Beispiel-Hostname verwendet.
   Hafen	Die TCP-Portnummer. Wenn der Verzeichnisserver für LDAP über SSL konfiguriert ist, verwenden Sie Port 636. Verwenden Sie den Port 389 für Start TLS oder wenn Sie Sicherheitsmaßnahmen auf Netzwerkebene einsetzen.
   Verbindungstimeout	180
   Bindung	Diese Eigenschaft gibt an, wie sich der Connector beim Verzeichnisserver authentifiziert. Bei der Einstellung Basic oder der Einstellung SSL oder TLS ohne konfiguriertes Clientzertifikat sendet der Connector eine einfache LDAP-Bindung, um sich mit einem Distinguished Name und einem Kennwort zu authentifizieren. Mit der Einstellung SSL oder TLS und einem angegebenen Clientzertifikat sendet der Connector eine LDAP-SASL-Bindung vom Typ EXTERNAL, um sich mit einem Clientzertifikat zu authentifizieren.
   Benutzername	Wie sich der ECMA-Connector selbst beim Verzeichnisserver authentifiziert. In diesem Beispiel ist dies cn=admin,dc=contoso,dc=lab
   Passwort	Das Benutzerkennwort, über das sich der ECMA-Connector beim Verzeichnisserver authentifiziert.
   Bereich/Domäne	Diese Einstellung ist nur erforderlich, wenn Sie Kerberos als Bindungsoption ausgewählt haben, und dient zum Angeben des Bereichs bzw. der Domäne des Benutzers.
   Zertifikat	Die Einstellungen in diesem Abschnitt werden nur verwendet, wenn Sie SSL oder TLS als Bindungsoption ausgewählt haben.
   Attributaliase	Das Textfeld für Attribut-Aliase wird für Attribute verwendet, die im Schema mit der RFC4522-Syntax definiert sind. Diese Attribute können während der Schemaerkennung nicht erkannt werden, und der Connector benötigt Hilfe bei der Identifizierung dieser Attribute. Wenn der Verzeichnisserver beispielsweise nicht userCertificate;binary veröffentlicht und Sie dieses Attribut bereitstellen möchten, muss die folgende Zeichenfolge in das Feld "Attributaliasen" eingegeben werden, um das Attribut "userCertificate" ordnungsgemäß als binäres Attribut zu identifizieren: userCertificate;binary. Wenn Sie keine speziellen Attribute benötigen, die nicht im Schema enthalten sind, können Sie diesen Wert leer lassen.
   Betriebsattribute einschließen	Aktivieren Sie das Kontrollkästchen Include operational attributes in schema, um auch vom Verzeichnisserver erstellte Attribute einzuschließen. Dazu gehören Attribute, z. B. wann das Objekt erstellt wurde und wann das Objekt zuletzt aktualisiert wurde.
   Erweiterbare Attribute einschließen	Aktivieren Sie das Kontrollkästchen Include extensible attributes in schema, wenn erweiterbare Objekte (RFC4512/4.3) auf dem Verzeichnisserver verwendet werden. Durch Aktivieren dieser Option kann jedes Attribut für alle Objekte verwendet werden. Wenn Sie diese Option auswählen, wird das Schema sehr groß, es sei denn, das verbundene Verzeichnis verwendet dieses Feature, empfiehlt es sich, die Option nicht ausgewählt zu lassen.
   Manuelle Anker-Auswahl zulassen	Lassen Sie die Option deaktiviert.

   Anmerkung

   Wenn bei dem Versuch, eine Verbindung herzustellen, ein Problem aufgetreten ist und die Seite " Global " nicht fortgesetzt werden kann, stellen Sie sicher, dass das Dienstkonto auf dem Verzeichnisserver aktiviert ist.

6. Auf der Seite "Global" konfigurieren Sie bei Bedarf den Bezeichner des Delta-Änderungsprotokolls und zusätzliche LDAP-Funktionen. Die Seite wird vorab mit den vom LDAP-Server bereitgestellten Informationen ausgefüllt. Überprüfen Sie die angezeigten Werte, und wählen Sie dann "Weiter" aus.

   Eigentum	Beschreibung
   Unterstützte SASL-Mechanismen	Der obere Abschnitt enthält Informationen, die vom Server selbst bereitgestellt werden, einschließlich der Liste der SASL-Mechanismen.
   Details zum Serverzertifikat	Wenn SSL oder TLS angegeben wurde, zeigt der Assistent das Zertifikat an, das vom Verzeichnisserver zurückgegeben wurde. Stellen Sie sicher, dass Aussteller, Antragsteller und Fingerabdruck für den richtigen Verzeichnisserver gelten.
   Verpflichtende Funktionen gefunden	Der Connector überprüft außerdem, ob die erforderlichen Steuerelemente im Stamm-DSE vorhanden sind. Wenn diese Steuerelemente nicht aufgeführt sind, wird eine Warnung angezeigt. Einige LDAP-Verzeichnisse führen nicht alle Features im Stamm-DSE auf, und es ist möglich, dass der Connector ohne Probleme funktioniert, auch wenn eine Warnung vorhanden ist.
   Unterstützte Steuerelemente	Die Kontrollkästchen der unterstützten Steuerelemente bestimmen das Verhalten für bestimmte Vorgänge.
   Delta-Import	Das Änderungsprotokoll DN ist der Namenskontext, der vom Delta-Änderungsprotokoll verwendet wird, z. B. cn=changelog. Dieser Wert muss angegeben werden, um Deltaimporte ausführen zu können. Wenn Sie den Delta-Import nicht implementieren müssen, kann dieses Feld leer sein.
   Kennwortattribut	Wenn der Verzeichnisserver ein anderes Kennwortattribut oder Kennworthashing unterstützt, können Sie das Ziel für Kennwortänderungen angeben.
   Partitionsnamen	In der Liste der zusätzlichen Partitionen ist es möglich, zusätzliche Namespaces hinzuzufügen, die nicht automatisch erkannt werden. Diese Einstellung kann beispielsweise verwendet werden, wenn mehrere Server einen logischen Cluster bilden, der alle gleichzeitig importiert werden soll. Active Directory kann mehrere Domänen in einer einzelnen Gesamtstruktur enthalten, wobei alle Domänen das gleiche Schema verwenden. Dies kann durch Eingabe zusätzlicher Namespaces in das Feld simuliert werden. Jeder Namespace kann von verschiedenen Servern importiert werden und wird auf der Seite " Partitionen und Hierarchien konfigurieren" weiter konfiguriert.

7. Behalten Sie auf der Seite "Partitionen " den Standardwert bei, und wählen Sie "Weiter" aus.

8. Stellen Sie auf der Seite "Profile ausführen " sicher, dass das Kontrollkästchen "Exportieren " und das Kontrollkästchen " Vollständiger Import " beide aktiviert sind. Wählen Sie dann "Weiter" aus.
   

   Eigentum	Beschreibung
   Exportieren	Führen Sie Profil aus, das Daten in den LDAP-Verzeichnisserver exportiert. Dieses Ausführungsprofil ist erforderlich.
   Vollständiger Import	Führen Sie das Profil aus, das alle Daten aus zuvor angegebenen LDAP-Quellen importiert. Dieses Ausführungsprofil ist erforderlich.
   Deltaimport	Ausführungsprofil, das nur Änderungen aus LDAP seit dem letzten vollständigen Import oder Deltaimport importiert. Aktivieren Sie dieses Ausführungsprofil nur, wenn Sie bestätigt haben, dass der Verzeichnisserver die erforderlichen Anforderungen erfüllt. Weitere Informationen finden Sie in der Generischen LDAP-Connectorreferenz.

9. Lassen Sie auf der Seite " Exportieren " die Standardwerte unverändert, und wählen Sie "Weiter" aus.

10. Lassen Sie auf der Seite " Vollständiger Import " die Standardwerte unverändert, und wählen Sie "Weiter" aus.

11. Lassen Sie auf der Seite "DeltaImport " (sofern vorhanden) die Standardwerte unverändert, und wählen Sie "Weiter" aus.

12. Füllen Sie auf der Seite "Objekttypen " die Felder aus, und wählen Sie "Weiter" aus.

    Eigentum	Beschreibung
    Zielobjekt	Dieser Wert ist die strukturelle Objektklasse eines Benutzers auf dem LDAP-Verzeichnisserver. Verwenden Sie inetOrgPerson, und geben Sie keine Hilfsobjektklasse in diesem Feld an. Wenn der Verzeichnisserver zusätzliche Objektklassen erfordert, werden sie mit den Attributzuordnungen im Azure-Portal konfiguriert.
    Anker	Die Werte dieses Attributs sollten für jedes Objekt im Zielverzeichnis eindeutig sein. Der Microsoft Entra-Bereitstellungsdienst fragt den Ecma International-Connectorhost nach dem ersten Zyklus mit diesem Attribut ab. Verwenden Sie in der Regel den Distinguished Name, der als -dn- ausgewählt werden kann. Mehrwertige Attribute, z. B. das attribut uid im OpenLDAP-Schema, können nicht als Anker verwendet werden.
    Abfrageattribut	Dieses Attribut sollte mit dem Anker identisch sein.
    DN	Der Distinguished Name des Zielobjekts. Behalten Sie -dn- bei.
    Automatisch generiert	Deaktiviert

13. Der ECMA-Host ermittelt die vom Zielverzeichnis unterstützten Attribute. Sie können auswählen, welche dieser Attribute Sie microsoft Entra ID zur Verfügung stellen möchten. Diese Attribute können dann im Azure-Portal für die Bereitstellung konfiguriert werden. Fügen Sie auf der Seite "Attribute auswählen " alle Attribute in der Dropdownliste einzeln hinzu, die als obligatorische Attribute erforderlich sind oder die Sie aus der Microsoft Entra-ID bereitstellen möchten.
    In der Dropdownliste "Attribut" werden alle Attribute angezeigt, die im Zielverzeichnis ermittelt wurden und auf der vorherigen Verwendung des Konfigurations-Assistenten "Attribute auswählen" nicht ausgewählt wurden.

    Stellen Sie sicher, dass das Kontrollkästchen Treat as single value für das objectClass-Attribut deaktiviert ist. Falls userPassword festgelegt wurde, muss auch das Kontrollkästchen für das userPassword-Attribut nicht aktivierbar oder deaktiviert sein.

    Konfigurieren Sie die Sichtbarkeit für die folgenden Attribute.

    Attribut	Als einzelner Wert behandeln
    _distinguishedName
    -Dn-
    Passwort exportieren
    cn	Ja
    gidZahl
    Heimatverzeichnis
    E-Mail	Ja
    object-Klasse
    Sn	Ja
    uid	Ja
    Benutzeridentifikationsnummer
    Benutzerpasswort	Ja

    Nachdem alle relevanten Attribute hinzugefügt wurden, wählen Sie "Weiter" aus.

14. Auf der Seite " Bereitstellung aufheben" können Sie angeben, ob Die Microsoft Entra-ID Benutzer aus dem Verzeichnis entfernen soll, wenn sie den Gültigkeitsbereich der Anwendung nicht mehr erfüllen. Wenn ja, wählen Sie unter "Ablauf deaktivieren" die Option "Löschen" aus, und wählen Sie unter "Ablauf löschen" die Option "Löschen" aus. Wenn Set attribute value ausgewählt wird, können die auf der vorherigen Seite ausgewählten Attribute auf der Seite „Bereitstellung aufheben“ nicht ausgewählt werden.

Anmerkung

Wenn Sie den Wert des Set-Attributs verwenden, beachten Sie, dass nur boolesche Werte zulässig sind.

15. Wählen Sie "Fertig stellen" aus.

Stellen Sie sicher, dass der ECMA2Host-Dienst ausgeführt wird und auf den Verzeichnisserver zugreifen kann.

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass der Connectorhost gestartet wurde und alle vorhandenen Benutzer vom Verzeichnisserver identifiziert hat.

1. Wählen Sie auf dem Server, auf dem der Microsoft Entra ECMA Connector Host ausgeführt wird, die Option "Start" aus.
2. Wählen Sie bei Bedarf "run" aus, und geben Sie dann "services.msc " in das Feld ein.
3. Stellen Sie in der Liste "Dienste " sicher, dass Microsoft ECMA2Host vorhanden und ausgeführt wird. Wenn es nicht ausgeführt wird, wählen Sie Start aus.
4. Wenn Sie den Dienst kürzlich gestartet haben und viele Benutzerobjekte auf dem Verzeichnisserver haben, warten Sie mehrere Minuten, bis der Connector eine Verbindung mit dem Verzeichnisserver herstellt.
5. Starten Sie PowerShell auf dem Server, auf dem der Microsoft Entra ECMA Connector Host ausgeführt wird.
6. Wechseln Sie in den Ordner, in dem der ECMA-Host installiert wurde, z. B. C:\Program Files\Microsoft ECMA2Host.
7. Wechseln Sie zum Unterverzeichnis Troubleshooting.
8. Führen Sie das Skript TestECMA2HostConnection.ps1 in diesem Verzeichnis wie dargestellt aus, und geben Sie als Argumente den Konnektornamen und den ObjectTypePath Wert cache an. Wenn Ihr Connectorhost nicht am TCP-Port 8585 lauscht, muss ggf. auch das Argument -Port angegeben werden. Wenn Sie dazu aufgefordert werden, geben Sie das geheime Token ein, das für diesen Connector konfiguriert ist.

   PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
   Supply values for the following parameters:
   SecretToken: ************
   

9. Sollte eine Fehler- oder Warnmeldung angezeigt werden, stellen Sie sicher, dass der Dienst ausgeführt wird und dass der Connectorname und das geheime Token den Werten entsprechen, die Sie im Konfigurations-Assistenten konfiguriert haben.
10. Wenn das Skript False ausgibt, wurden auf dem Quellverzeichnisserver keine Einträge für vorhandene Benutzer gefunden. Wenn es sich um eine neue Verzeichnisserverinstallation handelt, ist dieses Verhalten zu erwarten, und Sie können im nächsten Abschnitt fortfahren.
11. Wenn der Verzeichnisserver jedoch bereits einen oder mehrere Benutzer enthält, das Skript jedoch Falseangezeigt hat, dann gibt dieser Status an, dass der Connector nicht vom Verzeichnisserver lesen konnte. Wenn Sie versuchen, bereitzustellen, stimmt Microsoft Entra ID möglicherweise nicht ordnungsgemäß mit Benutzern in diesem Quellverzeichnis mit Benutzenden in Microsoft Entra ID überein. Warten Sie mehrere Minuten, bis der Connectorhost das Lesen von Objekten vom vorhandenen Verzeichnisserver abgeschlossen hat, und führen Sie dann das Skript erneut aus. Sollte weiterhin False ausgegeben werden, stellen Sie sicher, dass die Konfiguration Ihres Connectors und die Berechtigungen auf dem Verzeichnisserver dem Connector das Lesen vorhandener Benutzender ermöglichen.

Testen der Verbindung von Microsoft Entra ID mit dem Connectorhost

1. Kehren Sie zum Webbrowserfenster zurück, in dem Sie die Anwendungsbereitstellung im Portal konfiguriert haben.

   Anmerkung

   Wenn für das Fenster ein Timeout aufgetreten ist, müssen Sie den Agent erneut auswählen.

   1. Melden Sie sich beim Azure-Portal an.
   2. Wechseln Sie zu Unternehmensanwendungen und zur lokalen ECMA-App-Anwendung .
   3. Wählen Sie die Option "Bereitstellung" aus.
   4. Wenn "Erste Schritte " angezeigt wird, ändern Sie den Modus in "Automatisch", wählen Sie im Abschnitt " Lokale Konnektivität " den soeben bereitgestellten Agent aus, und wählen Sie " Agent zuweisen" aus, und warten Sie 10 Minuten. Wechseln Sie andernfalls zu "Bereitstellung bearbeiten".

2. Geben Sie im Abschnitt " Administratoranmeldeinformationen " die folgende URL ein. Ersetzen Sie den Teil connectorName durch den Namen des Connectors auf dem ECMA-Host (beispielsweise LDAP). Wenn Sie ein Zertifikat von Ihrer Zertifizierungsstelle für den ECMA-Host angegeben haben, ersetzen Sie localhost durch den Hostnamen des Servers, auf dem der ECMA-Host installiert ist.

   Eigentum	Wert
   Mandanten-URL	https://localhost:8585/ecma2host_connectorName/scim

3. Geben Sie den Geheimtokenwert ein, den Sie beim Erstellen des Connectors definiert haben.

   Anmerkung

   Wenn Sie der Anwendung soeben den Agent zugewiesen haben, warten Sie bitte 10 Minuten, bis die Registrierung abgeschlossen ist. Der Konnektivitätstest funktioniert erst, wenn die Registrierung abgeschlossen ist. Das Erzwingen der Agentenregistrierung durch einen Neustart des Bereitstellungsagenten auf Ihrem Server kann den Registrierungsprozess beschleunigen. Wechseln Sie zu Ihrem Server, suchen Sie in der Windows-Suchleiste nach Diensten , identifizieren Sie den Microsoft Entra Connect-Bereitstellungs-Agent-Dienst , wählen Sie den Dienst mit der rechten Maustaste aus, und starten Sie den Dienst neu.

4. Wählen Sie "Verbindung testen" aus, und warten Sie eine Minute.

5. Nachdem der Verbindungstest erfolgreich war und angibt, dass die angegebenen Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind, wählen Sie "Speichern" aus.
   

Erweitern des Microsoft Entra-Schemas

Wenn Ihr Verzeichnisserver zusätzliche Attribute erfordert, die nicht Teil des Microsoft Entra-Standardschemas für Benutzer sind, können Sie bei der Bereitstellung konfigurieren, um Werte für diese Attribute aus einer Konstante bereitzustellen, durch einen aus anderen Microsoft Entra-Attributen transformierten Ausdruck, oder durch Erweitern des Microsoft Entra-Schemas.

Wenn der Verzeichnisserver erfordert, dass Benutzer über ein Attribut verfügen, z uidNumber . B. für das OpenLDAP POSIX-Schema, und dieses Attribut nicht bereits Teil Ihres Microsoft Entra-Schemas für einen Benutzer ist und für jeden Benutzer eindeutig sein muss, müssen Sie dieses Attribut entweder aus anderen Attributen des Benutzers über einen Ausdruck generieren oder das Verzeichniserweiterungsfeature verwenden, um dieses Attribut als Erweiterung hinzuzufügen.

Wenn Ihre Benutzer aus Active Directory Domain Services stammen und das Attribut in diesem Verzeichnis vorhanden ist, können Sie Microsoft Entra Connect oder Microsoft Entra Connect Cloudsync verwenden. Damit wird das Attribut so konfiguriert, dass es aus Active Directory Domain Services mit Microsoft Entra ID synchronisiert wird und für die Bereitstellung in anderen Systemen verfügbar ist.

Wenn Ihre Benutzer aus der Microsoft Entra-ID stammen, müssen Sie eine Verzeichniserweiterung für jedes neue Attribut definieren, das auf einem Benutzer gespeichert werden soll. Aktualisieren Sie dann die Microsoft Entra-Benutzer, die bereitgestellt werden sollen, um jedem Benutzer einen Wert dieser Attribute zu geben.

Attributezuordnungen konfigurieren

In diesem Abschnitt wird die Zuordnung zwischen den Attributen von Microsoft Entra-Benutzenden und den Attributen konfiguriert, die Sie zuvor im Assistenten für die ECMA-Hostkonfiguration ausgewählt haben. Wenn der Connector später ein Objekt auf einem Verzeichnisserver erstellt, werden die Microsoft Entra-Benutzerattribute über den Connector an den Verzeichnisserver gesendet, um Teil dieses neuen Objekts zu sein.

1. Wählen Sie im Microsoft Entra Admin Center unter Unternehmensanwendungen die lokale ECMA-App-Anwendung und dann die Bereitstellungsseite aus.

2. Wählen Sie " Bereitstellung bearbeiten" aus.

3. Erweitern Sie Zuordnungen , und wählen Sie "Microsoft Entra-Benutzer bereitstellen" aus. Wenn Sie die Attributzuordnungen für diese Anwendung zum ersten Mal konfiguriert haben, ist nur eine Zuordnung als Platzhalter vorhanden.

4. Um zu bestätigen, dass das Schema des Verzeichnisservers in der Microsoft Entra-ID verfügbar ist, aktivieren Sie das Kontrollkästchen "Erweiterte Optionen anzeigen ", und wählen Sie " Attributliste bearbeiten" für ScimOnPremises aus. Stellen Sie sicher, dass alle im Konfigurations-Assistenten ausgewählten Attribute aufgelistet sind. Andernfalls warten Sie mehrere Minuten, bis das Schema aktualisiert wird, wählen Sie dann in der Navigationszeile "Attributzuordnung " aus, und wählen Sie dann erneut die Attributliste für ScimOnPremises bearbeiten aus, um die Seite erneut zu laden. Wenn die Attribute aufgelistet werden, wählen Sie „Abbrechen“ aus, um zur Zuordnungsliste zurückzukehren.

5. Jeder Benutzer in einem Verzeichnis muss über einen eindeutigen Distinguished Name verfügen. Sie können mithilfe einer Attributzuordnung angeben, wie der Connector einen Distinguished Name erstellen soll. Wählen Sie "Neue Zuordnung hinzufügen" aus. Verwenden Sie die folgenden Werte, um die Zuordnung zu erstellen. Ändern Sie dabei die Distinguished Names in dem Ausdruck so, dass sie denen der Organisationseinheit oder eines anderen Containers in Ihrem Zielverzeichnis entsprechen.

   • Zuordnungstyp: Ausdruck
   • Ausdruck: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
   • Zielattribut: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
   • Diese Zuordnung anwenden: Nur beim Erstellen von Objekten

6. Wenn für den Verzeichnisserver mehrere strukturelle Objektklassenwerte (oder Hilfsobjektklassenwerte) im Attribut objectClass angegeben werden müssen, fügen Sie diesem Attribut eine Zuordnung hinzu. Um eine Zuordnung für objectClass hinzuzufügen, wählen Sie "Neue Zuordnung hinzufügen" aus. Verwenden Sie die folgenden Werte, um die Zuordnung zu erstellen, und ändern Sie die Objektklassennamen im Ausdruck so, dass sie mit dem des Zielverzeichnisschemas übereinstimmen.

   • Zuordnungstyp: Ausdruck
   • Ausdruck bei der Bereitstellung des POSIX-Schemas: Split("inetOrgPerson,posixAccount,shadowAccount",",")
   • Zielattribut: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
   • Diese Zuordnung anwenden: Nur beim Erstellen von Objekten

7. Wählen Sie für jede der Zuordnungen in der folgenden Tabelle für Ihren Verzeichnisserver " Neue Zuordnung hinzufügen" aus, und geben Sie die Quell- und Zielattribute an. Wenn Sie eine Bereitstellung in einem vorhandenen Verzeichnis mit vorhandenen Benutzern ausführen, müssen Sie die Zuordnung für das Attribut bearbeiten, das gemeinsam ist, um die Match-Objekte mithilfe dieses Attributs für dieses Attribut festzulegen. Weitere Informationen zur Attributzuordnung finden Sie hier.

   Für OpenLDAP mit dem POSIX-Schema müssen Sie auch die Attribute gidNumber, homeDirectory, uid und uidNumber angeben. Jeder Benutzer benötigt eine eindeutige uid und eine eindeutige uidNumber. In der Regel wird homeDirectory durch einen Ausdruck festgelegt, der von der userID der Benutzenden abgeleitet wird. Wenn z. B. eine Benutzer-uid durch einen vom Benutzerprinzipalnamen abgeleiteten Ausdruck generiert wird, kann der Wert für das Basisverzeichnis der jeweiligen Benutzenden durch einen ähnlichen Ausdruck generiert werden, der ebenfalls von dem Benutzerprinzipalnamen abgeleitet wird. Je nach Anwendungsfall sollen sich möglicherweise alle Benutzenden in derselben Gruppe befinden, daher würden Sie die gidNumber aus einer Konstanten zuweisen.

   Zuordnungstyp	Quell-Attribut	Zielattribut
   Direkt	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn
   Direkt	surname	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn
   Direkt	userPrincipalName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail
   Ausdruck	ToLower(Word([userPrincipalName], 1, "@"), )	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid
   Direkt	(Attribut spezifisch für Ihr Verzeichnis)	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber
   Ausdruck	Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory
   Dauerhaft	10000	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber

8. Fügen Sie eine Zuordnung zu urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword hinzu, die ein anfängliches zufälliges Kennwort für den Benutzer festlegt.

9. Wählen Sie "Speichern" aus.

Stellen Sie sicher, dass Benutzer, die im Verzeichnis angelegt werden, über die erforderlichen Attribute verfügen.

Wenn es Personen gibt, die über vorhandene Benutzerkonten im LDAP-Verzeichnis verfügen, müssen Sie sicherstellen, dass die Microsoft Entra-Benutzerdarstellung über die erforderlichen Attribute für den Abgleich verfügt.

Wenn Sie planen, neue Benutzer im LDAP-Verzeichnis zu erstellen, müssen Sie sicherstellen, dass die Microsoft Entra-Darstellungen dieser Benutzer über die vom Benutzerschema des Zielverzeichnisses erforderlichen Quellattribute verfügen. Jeder Benutzer benötigt eine eindeutige uid und eine eindeutige uidNumber.

Wenn Ihre Benutzer aus Active Directory Domain Services stammen und über das Attribut in diesem Verzeichnis verfügen, können Sie Microsoft Entra Connect oder Microsoft Entra Connect Cloud Sync verwenden, um zu konfigurieren, dass das Attribut von Active Directory Domain Services mit Microsoft Entra ID synchronisiert werden soll, damit es für die Bereitstellung an andere Systeme verfügbar ist.

Wenn Ihre Benutzer aus der Microsoft Entra-ID stammen, definieren Sie für jedes neue Attribut, das Sie für einen Benutzer speichern müssen, eine Verzeichniserweiterung. Aktualisieren Sie dann die Microsoft Entra-Benutzer, die bereitgestellt werden sollen, um jedem Benutzer einen Wert dieser Attribute zu geben.

Bestätigen von Benutzern über PowerShell

Nachdem Sie die Benutzer in der Microsoft Entra-ID aktualisiert haben, können Sie die Microsoft Graph PowerShell-Cmdlets verwenden, um die Überprüfung von Benutzern mit allen erforderlichen Attributen zu automatisieren.

Angenommen, Ihre Bereitstellung erfordert, dass Benutzende über die drei Attribute DisplayName, surname und extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty verfügen. Dieses dritte Attribut wird so verwendet, dass es uidNumberenthält. Sie können das Cmdlet Get-MgUser verwenden, um jeden Benutzer abzurufen und zu überprüfen, ob die erforderlichen Attribute vorhanden sind. Beachten Sie, dass das Cmdlet Graph v1.0 Get-MgUser standardmäßig keines der Verzeichniserweiterungsattribute eines Benutzers zurückgibt, es sei denn, die Attribute werden in der Anforderung als eine der zurückzugebenden Eigenschaften angegeben.

In diesem Abschnitt wird gezeigt, wie Sie mit Microsoft Entra-ID mithilfe von Microsoft Graph PowerShell-Cmdlets interagieren.

Wenn Ihre Organisation diese Cmdlets zum ersten Mal für dieses Szenario verwendet, müssen Sie über die Rolle „Globaler Administrator“ verfügen, um die Verwendung von Microsoft Graph PowerShell in Ihrem Mandanten zuzulassen. Für nachfolgende Interaktionen können Rollen mit geringerem Berechtigungsumfang verwendet werden. Dazu zählen z. B.:

• Benutzeradministrator/in, wenn Sie vorhaben, neue Benutzer zu erstellen.
• Anwendungsadministrator oder Administrator für Identitätsgovernance, falls Sie nur Anwendungsrollenzuweisungen verwalten.

1. Öffnen Sie PowerShell.

2. Wenn Sie die Microsoft Graph PowerShell-Module noch nicht installiert haben, installieren Sie das Microsoft.Graph.Users Modul und andere mithilfe dieses Befehls:

   Install-Module Microsoft.Graph
   

   Wenn Sie die Module bereits installiert haben, stellen Sie sicher, dass Sie eine aktuelle Version verwenden:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Stellen Sie eine Verbindung mit Microsoft Entra ID her:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.Read.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Erstellen Sie die Liste der Benutzer und die zu überprüfenden Attribute.

   $userPrincipalNames = (
    "alice@contoso.com",
    "bob@contoso.com",
    "carol@contoso.com" )
   
   $requiredBaseAttributes = ("DisplayName","surname")
   $requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")
   

5. Fragen Sie das Verzeichnis für jeden Benutzer ab.

   $select = "id"
   foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;}
   foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;}
   
   foreach ($un in $userPrincipalNames) {
      $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop
      foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} }
      foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } }
   }
   

Vorhandene Benutzer aus dem LDAP-Verzeichnis abrufen

1. Ermitteln Sie, welche Benutzer in diesem Verzeichnis für die Linux-Authentifizierung infrage kommen. Diese Auswahl hängt von der Konfiguration Ihres Linux-Systems ab. Bei einigen Konfigurationen ist jeder Benutzer, der in einem LDAP-Verzeichnis vorhanden ist, ein gültiger Benutzer. Andere Konfigurationen erfordern möglicherweise, dass der Benutzer über ein bestimmtes Attribut verfügt oder Mitglied einer Gruppe in diesem Verzeichnis ist.

2. Führen Sie einen Befehl aus, der diese Teilmenge von Benutzern aus Ihrem LDAP-Verzeichnis in eine CSV-Datei abruft. Stellen Sie sicher, dass die Ausgabe die Attribute von Benutzern enthält, die für den Abgleich mit der Microsoft Entra-ID verwendet werden. Beispiele für diese Attribute sind Mitarbeiter-ID, Kontoname oder uidund E-Mail-Adresse.

3. Übertragen Sie bei Bedarf die CSV-Datei, die die Liste der Benutzer enthält, in ein System mit den installierten Microsoft Graph PowerShell-Cmdlets .

4. Nachdem Sie nun eine Liste aller Benutzer aus dem Verzeichnis erhalten haben, gleichen Sie diese Benutzer aus dem Verzeichnis mit Benutzern in Microsoft Entra ID ab. Bevor Sie fortfahren, überprüfen Sie die Informationen zu übereinstimmenden Benutzern in den Quell- und Zielsystemen.

Rufen Sie die IDs der Benutzer in Microsoft Entra ID ab.

In diesem Abschnitt wird gezeigt, wie Sie mit Microsoft Entra-ID mithilfe von Microsoft Graph PowerShell-Cmdlets interagieren.

Wenn Ihre Organisation diese Cmdlets zum ersten Mal für dieses Szenario verwendet, müssen Sie über die Rolle „Globaler Administrator“ verfügen, um die Verwendung von Microsoft Graph PowerShell in Ihrem Mandanten zuzulassen. Für nachfolgende Interaktionen können Rollen mit geringerem Berechtigungsumfang verwendet werden. Dazu zählen z. B.:

• Benutzeradministrator/in, wenn Sie vorhaben, neue Benutzer zu erstellen.
• Anwendungsadministrator oder Administrator für Identitätsgovernance, falls Sie nur Anwendungsrollenzuweisungen verwalten.

1. Öffnen Sie PowerShell.

2. Wenn Sie die Microsoft Graph PowerShell-Module noch nicht installiert haben, installieren Sie das Microsoft.Graph.Users Modul und andere mithilfe dieses Befehls:

   Install-Module Microsoft.Graph
   

   Wenn Sie die Module bereits installiert haben, stellen Sie sicher, dass Sie eine aktuelle Version verwenden:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Stellen Sie eine Verbindung mit Microsoft Entra ID her:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Wenn Sie diesen Befehl zum ersten Mal verwendet haben, müssen Sie möglicherweise zustimmen, damit die Microsoft Graph-Befehlszeilentools über diese Berechtigungen verfügen.

5. Lesen Sie die Liste der Benutzer, die aus dem Datenspeicher der Anwendung in die PowerShell-Sitzung abgerufen wurden. Wenn sich die Liste der Benutzer in einer CSV-Datei befindet, können Sie das PowerShell-Cmdlet Import-Csv verwenden und den Namen der Datei aus dem vorherigen Abschnitt als Argument angeben.

   Wenn die aus SAP Cloud Identity Services abgerufene Datei z. B. Users-exported-from-sap.csv heißt und sich im aktuellen Verzeichnis befindet, geben Sie diesen Befehl ein.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Ein weiteres Beispiel: Wenn Sie eine Datenbank oder ein Verzeichnis verwenden und die Datei users.csv im aktuellen Verzeichnis benannt ist, geben Sie diesen Befehl ein:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Wählen Sie die Spalte der users.csv Datei aus, die mit einem Attribut eines Benutzers in microsoft Entra ID übereinstimmt.

   Wenn Sie SAP Cloud Identity Services verwenden, ist die Standardzuordnung zwischen dem SAP SCIM-Attribut userName und dem Microsoft Entra ID-Attribut userPrincipalName:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Wenn Sie beispielsweise eine Datenbank oder ein Verzeichnis verwenden, haben Sie möglicherweise Benutzer in einer Datenbank, in der der Wert in der Spalte mit dem Namen EMail derselbe Wert wie im Microsoft Entra-Attribut userPrincipalNameist:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Rufen Sie die IDs dieser Benutzer in der Microsoft Entra-ID ab.

   Das folgende PowerShell-Skript verwendet die zuvor angegebenen werte $dbusers, $db_match_column_nameund $azuread_match_attr_name. Sie fragt die Microsoft Entra-ID ab, um einen Benutzer zu suchen, der ein Attribut mit einem übereinstimmenden Wert für jeden Datensatz in der Quelldatei aufweist. Wenn viele Benutzer in der Datei enthalten sind, die von den Quellen SAP Cloud Identity Services, einer Datenbank oder einem Verzeichnis abgerufen wurde, kann die Ausführung dieses Skripts mehrere Minuten dauern. Wenn in Microsoft Entra ID kein Attribut mit dem Wert vorhanden ist und Sie contains oder einen anderen Filterausdruck verwenden müssen, müssen Sie dieses Skript und das Skript in Schritt 11 unten so anpassen, dass ein anderer Filterausdruck verwendet wird.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Zeigen Sie die Ergebnisse der vorherigen Abfragen an. Sehen Sie nach, ob Benutzende in SAP Cloud Identity Services, in der Datenbank oder im Verzeichnis aufgrund von Fehlern oder fehlenden Übereinstimmungen nicht in Microsoft Entra ID gefunden wurden.

   Das folgende PowerShell-Skript zeigt die Anzahl der Datensätze an, die nicht gefunden wurden.

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Nach Abschluss des Skripts wird ein Fehler angezeigt, wenn Datensätze aus der Datenquelle nicht in Microsoft Entra ID gefunden wurden. Sollten nicht alle Datensätze für Benutzende aus dem Datenspeicher der Anwendung als Benutzende in Microsoft Entra ID gefunden werden, müssen Sie untersuchen, welche Datensätze nicht übereinstimmen und warum.

   Möglicherweise wurden z. B. die E-Mail-Adresse und der Benutzerprinzipalname einer Person in Microsoft Entra ID geändert, ohne dass die entsprechende mail-Eigenschaft in der Datenquelle der Anwendung aktualisiert wurde. Oder der Benutzer hat die Organisation möglicherweise bereits verlassen, befindet sich aber noch in der Datenquelle der Anwendung. Oder es gibt möglicherweise ein Anbieter- oder Superadministratorkonto in der Datenquelle der Anwendung, das keiner bestimmten Person in der Microsoft Entra-ID entspricht.

10. Wenn Benutzer nicht in der Microsoft Entra-ID gefunden wurden oder nicht aktiv waren oder sich nicht anmelden konnten, Sie aber deren Zugriff überprüfen oder ihre Attribute in den SAP Cloud Identity Services, der Datenbank oder dem Verzeichnis aktualisieren lassen möchten, müssen Sie die Anwendung oder die übereinstimmende Regel aktualisieren oder Microsoft Entra-Benutzer für sie erstellen oder aktualisieren. Weitere Informationen dazu, welche Änderung vorgenommen werden soll, finden Sie unter Verwalten von Zuordnungen und Benutzerkonten in Anwendungen, die nicht mit Benutzern in Microsoft Entra-ID übereinstimmen.

    Wenn Sie die Option zum Erstellen von Benutzern in der Microsoft Entra-ID auswählen, können Sie Benutzer mithilfe einer der folgenden Aktionen massenweise erstellen:

    • Eine CSV-Datei, wie in "Massenerstellung von Benutzern im Microsoft Entra Admin Center" beschrieben.
    • Das Cmdlet New-MgUser

    Stellen Sie sicher, dass diese neuen Benutzer mit den Attributen ausgestattet werden, die für Microsoft Entra ID erforderlich sind, um sie später mit den vorhandenen Benutzern in der Anwendung abzugleichen, sowie mit den Attributen, die von Microsoft Entra ID benötigt werden, einschließlich userPrincipalName, mailNickname und displayName. userPrincipalName muss im Vergleich zu allen anderen Benutzenden im Verzeichnis eindeutig sein.

    Beispielsweise können Sie Benutzer in einer Datenbank haben, in der der Wert in der Spalte mit dem Namen EMail der Wert ist, den Sie als Microsoft Entra-Benutzerprinzipalnamen verwenden möchten, der Wert in der Spalte Alias den E-Mail-Spitznamen der Microsoft Entra-ID enthält, und der Wert in der Spalte Full name den Anzeigenamen des Benutzers enthält:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Anschließend können Sie dieses Skript verwenden, um Microsoft Entra-Benutzer für Benutzer in SAP Cloud Identity Services, der Datenbank oder dem Verzeichnis zu erstellen, die nicht mit Benutzern in Microsoft Entra ID übereinstimmen. Beachten Sie, dass Sie dieses Skript möglicherweise ändern müssen, um zusätzliche Microsoft Entra-Attribute hinzuzufügen, die in Ihrer Organisation erforderlich sind, oder wenn die $azuread_match_attr_name weder mailNickname noch userPrincipalNameist, um dieses Microsoft Entra-Attribut bereitzustellen.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Nachdem Sie fehlende Benutzer zur Microsoft Entra-ID hinzugefügt haben, führen Sie das Skript aus Schritt 7 erneut aus. Führen Sie dann das Skript aus Schritt 8 aus. Überprüfen Sie, ob keine Fehler gemeldet werden.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Zuweisen von Benutzenden zur Anwendung in Microsoft Entra ID

Nachdem der Microsoft Entra ECMA Connector Host nun mit Microsoft Entra ID kommuniziert und die Attributzuordnung konfiguriert ist, können Sie mit der Konfiguration der Personen fortfahren, die für die Bereitstellung im Fokus stehen.

Wichtig

Wenn Sie mit der Rolle „Hybrididentitätsadministrator“ angemeldet wurden, müssen Sie sich zum Ausführen der Schritte in diesem Abschnitt zuerst abmelden und dann mit einem Konto anmelden, das mindestens über die Rolle „Anwendungsadministrator“ verfügt. Die Rolle "Hybrididentitätsadministrator" verfügt nicht über Berechtigungen zum Zuweisen von Benutzern zu Anwendungen.

Wenn im LDAP-Verzeichnis vorhandene Benutzer vorhanden sind, sollten Sie Anwendungsrollenzuweisungen für diese vorhandenen Benutzer erstellen. Weitere Informationen zum massiven Erstellen von Anwendungsrollenzuweisungen mithilfe von New-MgServicePrincipalAppRoleAssignedTo finden Sie unter Verwaltung der vorhandenen Benutzer einer Anwendung in Microsoft Entra ID.

Wenn Sie vorhandene Benutzer im LDAP-Verzeichnis noch nicht aktualisieren möchten, wählen Sie einen Testbenutzer aus der Microsoft Entra-ID aus, der über die erforderlichen Attribute verfügt und auf dem Verzeichnisserver bereitgestellt wird.

1. Stellen Sie sicher, dass der Benutzer, den Sie auswählen werden, alle Eigenschaften aufweist, die den erforderlichen Attributen des Verzeichnisserverschemas zugeordnet werden können.
2. Wählen Sie im Azure-Portal Enterprise-Anwendungen aus.
3. Wählen Sie die lokale ECMA-App-Anwendung aus.
4. Wählen Sie auf der linken Seite unter "Verwalten"die Option "Benutzer und Gruppen" aus.
5. Wählen Sie "Benutzer/Gruppe hinzufügen" aus.
6. Wählen Sie unter "Benutzer" "Keine ausgewählt" aus.
7. Wählen Sie einen Benutzer rechts aus, und wählen Sie die Schaltfläche "Auswählen" aus.
   
8. Wählen Sie jetzt Zuweisen aus.

Testen der Bereitstellung

Nachdem nun Ihre Attribute zugeordnet und erste Benutzende zugewiesen sind, können Sie die bedarfsorientierte Bereitstellung mit Ihren Benutzenden testen.

1. Wählen Sie auf dem Server, auf dem der Microsoft Entra ECMA Connector Host ausgeführt wird, "Start" aus.

2. Geben Sie "run" ein , und geben Sie " services.msc " in das Feld ein.

3. Stellen Sie in der Liste "Dienste " sicher, dass sowohl der Microsoft Entra Connect-Bereitstellungs-Agent-Dienst als auch die Microsoft ECMA2Host-Dienste ausgeführt werden. Wenn nicht, wählen Sie "Start" aus.

4. Wählen Sie im Azure-Portal Enterprise-Anwendungen aus.

5. Wählen Sie die lokale ECMA-App-Anwendung aus.

6. Wählen Sie auf der linken Seite "Bereitstellung" aus.

7. Wählen Sie "Bei Bedarf bereitstellen" aus.

8. Suchen Sie nach einem Ihrer Testbenutzer und wählen Sie Bereitstellen aus.
   

9. Nach mehreren Sekunden wird die Nachricht "Benutzer erfolgreich erstellt" im Zielsystem mit einer Liste der Benutzerattribute angezeigt. Wenn stattdessen ein Fehler angezeigt wird, lesen Sie die Problembehandlung bei Bereitstellungsfehlern.

Benutzerbereitstellung starten

Nachdem der Test der On-Demand-Bereitstellung erfolgreich war, fügen Sie die verbleibenden Benutzer hinzu. Weitere Informationen zum massiven Erstellen von Anwendungsrollenzuweisungen mithilfe von New-MgServicePrincipalAppRoleAssignedTo finden Sie unter Verwaltung der vorhandenen Benutzer einer Anwendung in Microsoft Entra ID.

1. Wählen Sie im Azure-Portal die Anwendung aus.
2. Wählen Sie auf der linken Seite unter "Verwalten"die Option "Benutzer und Gruppen" aus.
3. Stellen Sie sicher, dass allen Benutzern die Anwendungsrolle zugewiesen ist.
4. Wechseln Sie zurück zur Bereitstellungskonfigurationsseite.
5. Stellen Sie sicher, dass der Bereich nur auf zugewiesene Benutzer und Gruppen festgelegt ist, aktivieren Sie den Bereitstellungsstatus auf "Ein", und wählen Sie " Speichern" aus.
6. Warten Sie mehrere Minuten, bis die Bereitstellung gestartet wird. Es kann bis zu 40 Minuten dauern. Gehen Sie nach Abschluss des Bereitstellungsauftrags wie im folgenden Abschnitt beschrieben vor.

Behebung von Bereitstellungsfehlern

Wenn ein Fehler angezeigt wird, wählen Sie " Bereitstellungsprotokolle anzeigen" aus. Suchen Sie im Protokoll nach einer Zeile, in der der Status "Fehler" lautet, und wählen Sie in dieser Zeile aus.

Wenn die Fehlermeldung Fehler beim Erstellen des Benutzers ist, überprüfen Sie die Attribute, die gegen die Anforderungen des Verzeichnisschemas überprüft werden.

Wechseln Sie zur Registerkarte "Problembehandlung & Empfehlungen" für weitere Informationen.

Wenn die Fehlermeldung enthält, dass ein objectClass-Wert invalid per syntaxist, stellen Sie sicher, dass das Bereitstellungsattribut, das dem objectClass-Attribut zugeordnet ist, nur Namen von Objektklassen enthält, die vom Verzeichnisserver erkannt werden.

Weitere Fehler finden Sie unter Problembehandlung bei der lokalen Anwendungsbereitstellung.

Wenn Sie die Bereitstellung für diese Anwendung anhalten möchten, können Sie auf der Seite "Bereitstellungskonfiguration" den Bereitstellungsstatus in "Aus" ändern und " Speichern" auswählen. Durch diese Aktion wird der Bereitstellungsdienst in Zukunft nicht mehr ausgeführt.

Überprüfen, ob Benutzer erfolgreich bereitgestellt wurden

Überprüfen Sie nach dem Warten den Verzeichnisserver, um sich zu vergewissern, dass Benutzer bereitgestellt werden. Die Abfrage, die Sie an den Verzeichnisserver ausführen, hängt davon ab, welche Befehle der Verzeichnisserver bereitstellt.

Die folgenden Anweisungen veranschaulichen, wie OpenLDAP unter Linux überprüft wird.

1. Öffnen Sie ein Terminalfenster mit einer Befehlsshell auf dem System mit OpenLDAP.
2. Geben Sie den Befehl ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson) ein.
3. Überprüfen Sie, ob die resultierende LDIF die von Microsoft Entra ID bereitgestellten Benutzer enthält.

Nächste Schritte

• Weitere Informationen darüber, was der Bereitstellungsdienst macht, wie er funktioniert und Antworten auf häufig gestellte Fragen finden Sie unter Automatisieren der Benutzerbereitstellung und -deprovisionierung für SaaS-Anwendungen mit Microsoft Entra ID und Architektur der lokalen Anwendungsbereitstellung.