Freigeben über

Bereitstellung mit dem Webdiensteconnector

Die folgende Dokumentation enthält Informationen zum generischen Webdienstconnector. Microsoft Entra ID Governance unterstützt die Bereitstellung von Konten in verschiedenen Anwendungen wie SAP ECC, Oracle eBusiness Suite und Branchenanwendungen, die REST- oder SOAP-APIs verfügbar machen. Kundschaft, die zuvor MIM für die Verbindung mit diesen Anwendungen bereitgestellt hat, kann problemlos zum einfachen Microsoft Entra-Bereitstellungs-Agent wechseln und denselben Webdienstconnector, der für MIM entwickelt wurde, weiterverwenden.

Unterstützte Funktionen

  • Erstellen Sie Benutzer in Ihrer Anwendung.
  • Entfernen Sie Benutzern aus Ihrer Anwendung, wenn diese keinen Zugriff mehr benötigen.
  • Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und Ihrer Anwendung
  • Ermitteln Sie das Schema für Ihre Anwendung.

Der Webdienstconnector implementiert die folgenden Funktionen:

  • SOAP-Ermittlung: Ermöglicht dem Administrator die Eingabe des WSDL-Pfads, der vom Zielwebdienst verfügbar gemacht wird. Die Ermittlung erzeugt eine Baumstruktur der gehosteten Webdienste mit ihren inneren Endpunkten oder Vorgängen zusammen mit der Metadatenbeschreibung des Vorgangs. Die Anzahl der möglichen Ermittlungsvorgänge (Schritt für Schritt) ist unbegrenzt. Die ermittelten Vorgänge werden später verwendet, um den Ablauf von Vorgängen zu konfigurieren, die die Vorgänge des Connectors für die Datenquelle implementieren (als Import/Export).

  • REST-Ermittlung: Ermöglicht dem Administrator die Eingabe von REST-Dienstdetails, z. B. Dienstendpunkt, Ressourcenpfad, Methode und Parameterdetails. Die REST-Dienstinformationen werden in der discovery.xml Datei des wsconfig Projekts gespeichert. Sie werden später vom Administrator verwendet, um die Rest-Webdienstaktivität im Workflow zu konfigurieren.

  • Konfiguration des Connectorbereichsschemas: Ermöglicht dem Administrator das Konfigurieren des Schemas. Die Schemakonfiguration enthält eine Auflistung von Objekttypen und Attributen für eine bestimmte Anwendung. Der Administrator kann die Attribute auswählen, die Teil des Schemas sein sollen.

  • Vorgangsflusskonfiguration: Workflow-Designer-UI zum Konfigurieren der Implementierung von Import- und Exportvorgängen pro Objekttyp über verfügbar gemachte Webdienstvorgangsfunktionen einschließlich die Zuordnung von Parameters vom Benutzer, welche mit Webservicefunktionen ausgestattet sind.

Voraussetzungen für die Bereitstellung

Lokale Voraussetzungen

Der Computer, auf dem der Bereitstellungs-Agent ausgeführt wird, sollte über Folgendes verfügen:

  • Verbindung zur Anwendung REST oder SOAP Endpunkten sowie zu ausgehender Konnektivität zu login.microsoftonline.com, anderen Microsoft Online Services und Azure -Domänen. Ein Beispiel ist eine Windows Server 2016-VM, die in Azure IaaS oder hinter einem Proxy gehostet wird.
  • Mindestens 3 GB RAM zum Hosten eines Bereitstellungs-Agents.
  • .NET Framework 4.7.2
  • Windows Server 2016 oder höher.

Stellen Sie vor dem Konfigurieren der Bereitstellung Folgendes sicher:

  • Machen Sie die erforderlichen SOAP- oder REST-APIs in Ihrer Anwendung verfügbar, um Benutzer zu erstellen, zu aktualisieren und zu löschen.

Cloudanforderungen

  • Ein Microsoft Entra-Mandant mit Microsoft Entra ID P1 oder Premium P2 (oder EMS E3 oder E5).

    Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen der allgemein verfügbaren Features von Microsoft Entra ID.

  • Die Rolle „Hybrididentitätsadministrator“ zum Konfigurieren des Bereitstellungs-Agents und die Rolle „Anwendungsadministrator“ oder „Cloudanwendungsadministrator“ zum Konfigurieren der Bereitstellung im Azure-Portal.

  • Die Microsoft Entra-Benutzer, die für Ihre Anwendung bereitgestellt werden sollen, müssen bereits mit allen Attributen ausgefüllt werden, die von Ihrer Anwendung benötigt werden.

Installieren und Konfigurieren des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets

  1. Melden Sie sich beim Azure-Portal an.
  2. Navigieren Sie zu Unternehmensanwendungen, und wählen Sie Neue Anwendung aus.
  3. Suchen Sie nach der lokalen ECMA-App-Anwendung, benennen Sie die App, und wählen Sie Erstellen aus, um sie Ihrem Mandanten hinzuzufügen.
  4. Navigieren Sie über das Menü zur Bereitstellungsseite Ihrer Anwendung.
  5. Wählen Sie Erste Schritte aus.
  6. Ändern Sie auf der Seite Bereitstellung den Modus in Automatisch.

Screenshot: Auswahl von „Automatisch“

  1. Wählen Sie unter Lokale Konnektivität die Option Herunterladen und Installieren und dann Bedingungen akzeptieren & herunterladen aus.

  2. Verlassen Sie das Portal und führen Sie das Installationsprogramm für den Bereitstellungsagenten aus, stimmen Sie den Nutzungsbedingungen zu und wählen Sie Installieren aus.

  3. Warten Sie auf den Konfigurationsassistenten für den Microsoft Entra-Bereitstellungsagenten und wählen Sie dann Weiter aus.

  4. Wählen Sie im Schritt Erweiterung auswählen die Option Lokale Anwendungsbereitstellung und dann Weiter aus.

  5. Der Bereitstellungs-Agent verwendet den Webbrowser des Betriebssystems, um ein Pop-up-Fenster anzuzeigen, in dem Sie sich bei Microsoft Entra ID und gegebenenfalls auch beim Identitätsanbieter Ihrer Organisation anmelden können. Wenn Sie Internet Explorer als Browser auf Windows Server verwenden, müssen Sie möglicherweise Microsoft-Websites zur vertrauenswürdigen Websiteliste Ihres Browsers hinzufügen, damit JavaScript ordnungsgemäß ausgeführt werden kann.

  6. Geben Sie Anmeldeinformationen für einen Microsoft Entra-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Der Benutzende muss mindestens über die Rolle Administrierende Person für hybride Identität verfügen.

  7. Wählen Sie Bestätigen aus, um die Einstellung zu bestätigen. Nach erfolgreicher Installation können Sie Beenden auswählen und auch das Installationsprogramm für das Bereitstellungs-Agent-Paket schließen.

Konfigurieren der lokalen ECMA-App

  1. Wählen Sie im Portal im Abschnitt Lokale Konnektivität den von Ihnen bereitgestellten Agent und dann Agent(s) zuweisen aus.

    Screenshot: Auswahl und Zuweisung eines Agents.

  2. Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mit dem Konfigurations-Assistenten ausführen.

Konfigurieren des Zertifikats für den Microsoft Entra-ECMA-Connectorhost

  1. Wählen Sie auf dem Windows Server, auf dem der Bereitstellungs-Agent installiert ist, im Startmenü den Microsoft ECMA2Host-Konfigurations-Assistenten aus, und führen Sie ihn als Administrator aus. Die Ausführung als Windows-Administrator ist erforderlich, damit der Assistent die erforderlichen Windows-Ereignisprotokolle erstellen kann.

  2. Wenn Sie nach dem Starten der Konfiguration des ECMA-Connectorhosts den Assistenten zum ersten Mal ausführen, werden Sie zum Erstellen eines Zertifikats aufgefordert. Übernehmen Sie den Standardport 8585, und wählen Sie Zertifikat generieren aus, um ein Zertifikat zu generieren. Das automatisch generierte Zertifikat ist selbstsigniert als Teil des vertrauenswürdigen Stammzertifikats. Das Zertifikat-SAN stimmt mit dem Hostnamen überein.

    Screenshot: Konfigurieren der Einstellungen

  3. Wählen Sie Speichern aus.

Erstellen Sie eine Webdienstconnector-Vorlage

Bevor Sie die Konfiguration des Webdienstkonnektors erstellen, müssen Sie eine Vorlage für den Webdienstkonnektor erstellen und die Vorlage an die Anforderungen Ihrer spezifischen Umgebung anpassen. Stellen Sie sicher, dass ServiceName, EndpointName und OperationName korrekt sind.

Sie finden Beispielvorlagen und Anleitungen zur Integration in beliebte Anwendungen wie SAP ECC 7.0 und Oracle eBusiness Suite im Connectors-Downloadpaket. Mithilfe des Workflowhandbuchs für SOAP erfahren Sie, wie Sie ein neues Projekt für Ihre Datenquelle im Webdienstkonfigurationstool erstellen.

Weitere Informationen zum Konfigurieren einer Vorlage zum Herstellen einer Verbindung mit der REST- oder SOAP-API Ihrer eigenen Anwendung finden Sie in der Übersicht über den generischen Webdienstconnector in der MIM-Dokumentationsbibliothek.

Konfigurieren des generischen Webdienstconnectors

In diesem Abschnitt erstellen Sie die Connectorkonfiguration für Ihre Anwendung.

Verbinden des Bereitstellungs-Agents mit Ihrer Anwendung

Führen Sie die folgenden Schritte aus, um den Microsoft Entra-Bereitstellungs-Agent mit Ihrer Anwendung zu verbinden:

  1. Kopieren Sie ihre .wsconfig Vorlage für C:\Program Files\Microsoft ECMA2Host\Service\ECMA den Webdienstconnector in den Ordner.

  2. Generieren Sie ein geheimes Token für die Authentifizierung von Microsoft Entra ID beim Connector. Es sollte mindestens 12 Zeichen umfassen und für jede Anwendung eindeutig sein.

  3. Wenn Sie dies noch nicht getan haben, starten Sie im Windows-Startmenü den Microsoft ECMA2Host-Konfigurations-Assistenten.

  4. Wählen Sie Neuer Connector aus.

    Screenshot der Auswahl von „Neuer Connector“

  5. Füllen Sie auf der Seite Eigenschaften die Felder mit den Werten aus, die in der Tabelle unter dem Bild angegeben sind, und wählen Sie Weiter aus.

    Screenshot der Eingabe von Eigenschaften

    Eigenschaft value
    Name Der Name für den Connector. Muss für alle Connectors in Ihrer Umgebung eindeutig sein.
    Zeitgeber für automatische Synchronisierung (Minuten) 120
    Geheimes Token Geben Sie das geheime Token ein, das Sie für diesen Connector generiert haben. Der Schlüssel sollte mindestens 12 Zeichen lang sein.
    Erweiterungs-DLL Wählen Sie für den Webdienstconnector Microsoft.IdentityManagement.MA.WebServices.dll aus.

  6. Füllen Sie auf der Seite Konnektivität die Felder mit den Werten aus, die in der Tabelle unter dem Bild angegeben sind, und wählen Sie Weiter aus.

    Screenshot der Seite „Konnektivität“.

    Eigenschaft Beschreibung
    Webdienstprojekt Name Ihrer Webdienstvorlage.
    Gastgeber Der SOAP-Endpunkthostname Ihrer Anwendung, z. B. vhcalnplci.dummy.nodomain
    Hafen SOAP-Endpunktport Ihrer Anwendung, z. B. 8000

  7. Füllen Sie auf der Seite Funktionen die Felder mit den Werten aus, die in der folgenden Tabelle angegeben sind, und wählen Sie Weiter aus.

    Eigenschaft value
    Distinguished Name Style Allgemein
    Exporttyp ObjectReplace
    Datennormalisierung Keine
    Objektbestätigung Normal
    Import aktivieren Aktiviert
    Deltaimport aktiviert Deaktiviert
    Export aktivieren Aktiviert
    Vollständigen Export aktivieren Deaktiviert
    Enable Export Password in the First Pass Aktiviert
    No Reference Values in First Export Pass Deaktiviert
    Objektumbenennung aktivieren Deaktiviert
    Delete-Add as Replace Deaktiviert

Hinweis

Wenn die Vorlage für den Webdienstkonnektor zur Bearbeitung im Webdienst-Konfigurationstool geöffnet wird, wird eine Fehlermeldung angezeigt.

  1. Füllen Sie die Felder auf der Seite Global aus, und wählen Sie Weiter aus.

  2. Wählen Sie auf der Seite Partitionen die Schaltfläche Weiter aus.

  3. Behalten Sie auf der Seite Ausführungsprofile die Aktivierung des Kontrollkästchens Export bei. Aktivieren Sie das Kontrollkästchen Vollständiger Import, und wählen Sie Weiter aus. Das Ausführungsprofil Export wird verwendet, wenn der Ecma International-Connector-Host Änderungen von Microsoft Entra ID an Ihre Anwendung senden muss, um Datensätze einzufügen, zu aktualisieren und zu löschen. Das Ausführungsprofil Vollständiger Import wird verwendet, wenn der ECMA-Connector-Hostdienst gestartet wird, um den aktuellen Inhalt Ihrer Anwendung einzulesen.

    Eigenschaft value
    Exportieren Ausführungsprofil, das Daten in Ihre Anwendung exportiert. Dieses Ausführungsprofil ist erforderlich.
    Vollständiger Import Führen Sie das Profil aus, das alle Daten aus Ihrer Anwendung importiert.
    Deltaimport Ausführungsprofil, das nur Änderungen aus Ihrer Anwendung seit dem letzten vollständigen oder Deltaimport importiert.

  4. Füllen Sie die Felder auf der Seite Objekttypen aus, und wählen Sie Weiter aus. In der Tabelle unter der Abbildung finden Sie Anweisungen für die einzelnen Felder.

    • Anker: Die Werte dieses Attributs sollten für jedes Objekt im Zielsystem eindeutig sein. Der Microsoft Entra-Bereitstellungsdienst fragt den ECMA-Connectorhost nach dem ersten Zyklus mit diesem Attribut ab. Dieser Wert wird in der Vorlage für den Webdienstconnector definiert.

    • DN: In den meisten Fällen sollte die Option „Automatisch generiert“ aktiviert werden. Falls sie deaktiviert ist, stellen Sie sicher, dass das DN-Attribut einem Attribut in Microsoft Entra ID zugeordnet ist, das den DN in diesem Format speichert: CN = anchorValue, Object = objectType. Weitere Informationen zu Ankern und dem DN finden Sie unter Grundlegendes zu Ankerattributen und DNs (Distinguished Names).

      Eigenschaft value
      Zielobjekt Benutzer
      Anker Nutzername
      DN Nutzername
      Automatisch generiert Aktiviert

  5. Der ECMA-Connectorhost erkennt die von Ihrer Anwendung unterstützten Attribute. Sie können dann wählen, welches der erkannten Attribute Sie für Microsoft Entra ID verfügbar machen möchten. Diese Attribute können dann im Azure-Portal zur Bereitstellung konfiguriert werden. Fügen Sie auf der Seite Attribute auswählen alle Attribute aus der Dropdownliste jeweils einzeln hinzu. In der Dropdownliste Attribut werden alle Attribute angezeigt, die in Ihrer Anwendung erkannt wurden und nicht auf der vorherigen Seite Attribute auswählen ausgewählt wurden. Nachdem alle relevanten Attribute hinzugefügt wurden, wählen Sie Weiter aus.

    Screenshot der Seite „Attribute auswählen“.

  6. Wählen Sie auf der Seite Bereitstellung aufheben unter Flow deaktivieren die Option Löschen aus. Die auf der vorherigen Seite ausgewählten Attribute können auf der Seite „Bereitstellung aufheben“ nicht ausgewählt werden. Wählen Sie Fertig stellenaus.

Hinweis

Wenn Sie Attributwert festlegen verwenden, sollten Sie beachten, dass nur boolesche Werte zulässig sind.

Wählen Sie auf der Seite Aufheben der Bereitstellung unter „Fluss deaktivieren“ die Option „Keine“ aus, wenn Sie den Benutzerkontostatus mit einer Eigenschaft wie expirationTime steuern. Wählen Sie unter "Löschablauf" die Option "Keine" aus, wenn Sie keine Benutzer aus Ihrer Anwendung löschen möchten, oder "Löschen", wenn Sie dies tun möchten. Wählen Sie Fertig stellenaus.

Sicherstellen, dass der ECMA2Host-Dienst ausgeführt wird

  1. Wählen Sie auf dem Server, auf dem der Microsoft Entra-ECMA-Connectorhost ausgeführt wird, Starten aus.

  2. Geben Sie run (Ausführen) und services.msc in das Feld ein.

  3. Stellen Sie sicher, dass Microsoft ECMA2Host in der Liste Dienste enthalten ist und ausgeführt wird. Wählen Sie andernfalls Starten aus.

    Screenshot: Ausführung des Diensts

  4. Wenn Sie den Dienst kürzlich gestartet haben und viele Benutzerobjekte in Ihrer Anwendung haben, warten Sie mehrere Minuten, bis der Connector eine Verbindung mit Ihrer Anwendung hergestellt hat, und führen Sie den ersten vollständigen Import aus.

Konfigurieren der Anwendungsverbindung im Azure-Portal

  1. Kehren Sie zu dem Webbrowserfenster zurück, in dem Sie die Anwendungsbereitstellung konfiguriert haben.

    Hinweis

    Wenn für das Fenster ein Timeout aufgetreten ist, müssen Sie den Agent erneut auswählen.

    1. Melden Sie sich beim Azure-Portal an.
    2. Wechseln Sie zu Unternehmensanwendungen und der Anwendung Lokale ECMA-App.
    3. Wählen Sie Bereitstellung aus.
    4. Wählen Sie Erste Schritte aus, und ändern Sie dann den Modus in Automatisch. Wählen Sie im Abschnitt Lokale Konnektivität den von Ihnen bereitgestellten Agent und dann Agent(s) zuweisen aus. Wechseln Sie andernfalls zu Bereitstellung bearbeiten.

  2. Geben Sie im Abschnitt Administratoranmeldeinformationen die folgende URL ein. Ersetzen Sie den Teil {connectorName} durch den Namen des Connectors auf dem ECMA-Connectorhost. Beim Connectornamen muss die Groß-/Kleinschreibung beachtet werden, und sie sollte mit der im Assistenten konfigurierten identisch sein. Sie können localhost auch durch den Hostnamen Ihres Computers ersetzen.

    Eigenschaft value
    Mandanten-URL https://localhost:8585/ecma2host_APP1/scim

  3. Geben Sie den Wert des geheimen Tokens ein, das Sie beim Erstellen des Connectors definiert haben.

    Hinweis

    Wenn Sie den Agent gerade der Anwendung zugewiesen haben, warten Sie 10 Minuten, bis die Registrierung abgeschlossen ist. Der Konnektivitätstest funktioniert erst, wenn die Registrierung abgeschlossen ist. Sie können erzwingen, dass die Agent-Registrierung abgeschlossen wird, indem Sie den Bereitstellungs-Agent auf Ihrem Server neu starten, um den Registrierungsprozess zu beschleunigen. Wechseln Sie zu Ihrem Server, suchen Sie in der Windows-Suchleiste nach den Diensten, identifizieren Sie den Dienst Microsoft Entra Connect Bereitstellungs-Agent-Dienst, wählen Sie den Dienst mit der rechten Maustaste aus, und starten Sie ihn dann neu.

  4. Wählen Sie Verbindung testen aus, und warten Sie eine Minute.

  5. Wenn der Verbindungstest erfolgreich war und angezeigt wird, dass die angegebenen Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind, wählen Sie Speichern aus.

    Screenshot des Tests eines Agents.

Konfigurieren von Attributzuordnungen

Jetzt ordnen Sie Attribute der Darstellung des Benutzers in Microsoft Entra ID der Darstellung des Benutzers in Ihrer Anwendung zu.

Sie verwenden das Azure-Portal, um die Zuordnung zwischen den Attributen von Microsoft Entra-Benutzenden und den Attributen zu konfigurieren, die Sie zuvor im Assistenten für die ECMA-Hostkonfiguration ausgewählt haben.

  1. Stellen Sie sicher, dass das Microsoft Entra-Schema die Attribute enthält, die für Ihre Anwendung erforderlich sind. Wenn Benutzer über ein Attribut verfügen müssen und dieses Attribut noch nicht Teil Ihres Microsoft Entra-Schemas für einen Benutzer ist, müssen Sie die -Verzeichniserweiterungsfunktion verwenden, um dieses Attribut als Erweiterung hinzuzufügen.

  2. Wählen Sie im Microsoft Entra-Admin Center unter Unternehmensanwendungen die Anwendung Lokale ECMA-App aus und wählen Sie dann die Seite Bereitstellung aus.

  3. Wählen Sie Bereitstellung bearbeiten aus, und warten Sie 10 Sekunden.

  4. Erweitern Sie Zuordnungen, und wählen Sie Microsoft Entra-Benutzer bereitstellen aus. Wenn Sie die Attributzuordnungen für diese Anwendung zum ersten Mal konfiguriert haben, ist nur eine Zuordnung für einen Platzhalter vorhanden.

    Screenshot: Bereitstellung eines Benutzers

  5. Um sicherzustellen, dass das Schema in Microsoft Entra ID verfügbar ist, aktivieren Sie das Kontrollkästchen Erweiterte Optionen anzeigen und wählen Sie Attributliste für ScimOnPremises bearbeiten aus. Stellen Sie sicher, dass alle im Konfigurations-Assistenten ausgewählten Attribute aufgelistet sind. Falls nicht, warten Sie einige Minuten, bis das Schema aktualisiert wurde, und laden Sie die Seite dann neu. Wenn die Attribute aufgelistet werden, wählen Sie „Abbrechen“ aus, um zur Zuordnungsliste zurückzukehren.

  6. Wählen Sie jetzt die Zuordnung userPrincipalName PLATZHALTER aus. Diese Zuordnung wird standardmäßig hinzugefügt, wenn Sie die lokale Bereitstellung zum ersten Mal konfigurieren.

Screenshot: Platzhalter

Ändern Sie den Wert folgendermaßen:

Zuordnungstyp Quellattribut Zielattribut
Direkt Benutzerprinzipalname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Wählen Sie nun Neue Zuordnung hinzufügen aus, und wiederholen Sie den nächsten Schritt für jede Zuordnung.

  2. Geben Sie die Quell- und Zielattribute für jedes der Attribute an, die Ihre Anwendung benötigt. Beispiel:

    Microsoft Entra-Attribute ScimOnPremises-Attribut Rangfolge für Abgleich Diese Zuordnung anwenden
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Nur beim Erstellen von Objekten
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Nur beim Erstellen von Objekten
    Stadt urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Always
    FirmenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Always
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Always
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Always
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Always
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Always
    Familienname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Always
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Always
    Berufsbezeichnung urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Always

  3. Nachdem alle Zuordnungen hinzugefügt wurden, wählen Sie Speichern aus.

Zuweisen von Benutzern zur Anwendung

Da der Microsoft Entra ECMA-Connectorhost und Microsoft Entra ID jetzt miteinander kommunizieren und die Attributzuordnungen konfiguriert sind, können Sie mit der Konfiguration der Benutzer für den Bereitstellungsbereich fortfahren.

Wichtig

Wenn Sie mit der Rolle „Hybrididentitätsadministrator“ angemeldet wurden, müssen Sie sich zum Ausführen der Schritte in diesem Abschnitt zuerst abmelden und dann mit einem Konto anmelden, das mindestens über die Rolle „Anwendungsadministrator“ verfügt. Die Rolle „Hybrididentitätsadministrator“ verfügt nicht über Berechtigungen zum Zuweisen von Benutzern zu Anwendungen.

Wenn Benutzer in Ihrer Anwendung vorhanden sind, sollten Sie Anwendungsrollenzuweisungen für diese vorhandenen Benutzer erstellen. Weitere Informationen zum Erstellen von großen Mengen von Anwendungsrollenzuweisungen finden Sie unter Verwalten der vorhandenen Benutzer einer Anwendung in Microsoft Entra ID.

Andernfalls, wenn keine aktuellen Benutzer der Anwendung vorhanden sind, wählen Sie einen Testbenutzer aus Microsoft Entra aus, der für die Anwendung bereitgestellt wird.

  1. Stellen Sie sicher, dass der ausgewählte Benutzer alle Eigenschaften aufweist, die den erforderlichen Attributen Ihrer Anwendung zugeordnet werden sollen.

  2. Wählen Sie im Azure-Portal die Option Unternehmensanwendungen aus.

  3. Wählen Sie die Anwendung Lokale ECMA-App aus.

  4. Wählen Sie links unter Verwalten die Option Benutzer und Gruppen aus.

  5. Wählen Sie Benutzer/Gruppe hinzufügen aus.

    Screenshot: Hinzufügen eines Benutzers

  6. Wählen Sie unter Benutzer die Option Keine Elemente ausgewählt aus.

    Screenshot: „Keine Elemente ausgewählt“

  7. Wählen Sie auf der rechten Seite Benutzer und dann die Schaltfläche Auswählen aus.

    Screenshot der Benutzendenauswahl.

  8. Wählen Sie nun Zuweisen aus.

    Screenshot: Benutzerzuweisung

Testen der Bereitstellung

Nachdem nun Ihre Attribute zugeordnet und die Benutzer zugewiesen sind, können Sie die bedarfsorientierte Bereitstellung mit einem Ihrer Benutzer testen.

  1. Wählen Sie im Azure-Portal die Option Unternehmensanwendungen aus.

  2. Wählen Sie die Anwendung Lokale ECMA-App aus.

  3. Wählen Sie links Bereitstellung aus.

  4. Klicken Sie auf Bei Bedarf bereitstellen.

  5. Suchen Sie nach einem Ihrer Testbenutzer, und wählen Sie Bereitstellen aus.

    Screenshot eines Bereitstellungstests

  6. Nach einigen Sekunden wird die Meldung Benutzer wurde erfolgreich im Zielsystem erstellt mit einer Liste der Benutzerattribute angezeigt.

Benutzerbereitstellung starten

  1. Nachdem die bedarfsorientierte Bereitstellung erfolgreich war, kehren Sie zur Konfigurationsseite der Bereitstellung zurück. Stellen Sie sicher, dass der Bereich nur auf zugewiesene Benutzer und Gruppen festgelegt ist, aktivieren Sie die Bereitstellung (On), und wählen Sie Speichern aus.

    Screenshot des Starts der Bereitstellung.

  2. Warten Sie bis zu 40 Minuten, bis der Bereitstellungsdienst startet. Wenn Sie nach Abschluss des Bereitstellungsauftrags (wie im nächsten Abschnitt beschrieben) auch Ihre Tests abgeschlossen haben, können Sie den Bereitstellungsstatus in Aus ändern und Speichern auswählen. Durch diese Aktion wird der Bereitstellungsdienst in Zukunft nicht mehr ausgeführt.

Beheben von Fehlern bei der Bereitstellung

Wenn ein Fehler angezeigt wird, wählen Sie Bereitstellungsprotokolle anzeigen aus. Suchen Sie im Protokoll nach einer Zeile mit dem Status Fehler und wählen Sie diese Zeile aus.

Weitere Informationen finden Sie auf der Registerkarte Problembehandlung & Empfehlungen.

Nächste Schritte