Azure AD konfigurálása felhasználók LDAP-címtárakba való kiépítéséhez

Az alábbi dokumentáció konfigurációs és oktatóanyagi információkat tartalmaz, amely bemutatja, hogyan építhet ki felhasználókat Azure AD egy LDAP-címtárba.

Ez a dokumentum a felhasználók Azure Active Directoryból (Azure AD) LDAP-címtárba történő automatikus kiépítéséhez és megszüntetéséhez szükséges lépéseket ismerteti. A dokumentum bemutatja, hogyan építhet ki felhasználókat az AD LDS-be példa LDAP-címtárként, de a következő szakaszokban említett támogatott LDAP-címtárkiszolgálók bármelyikébe kiépítheti őket. A felhasználók Active Directory tartományi szolgáltatások ezen a megoldáson keresztül történő kiépítése nem támogatott.

A szolgáltatás működéséről, működéséről és a gyakori kérdésekről a Felhasználók átadásának és megszüntetésének automatizálása SaaS-alkalmazásokban az Azure Active Directoryval ésa helyszíni alkalmazáskiépítési architektúrával című témakörben olvashat. Az alábbi videó áttekintést nyújt a helyszíni kiépítésről.

A felhasználók LDAP-címtárba való kiépítésének előfeltételei

Helyszíni előfeltételek

  • Olyan alkalmazás, amely címtárkiszolgálót használ a felhasználók lekérdezéséhez.
  • A Active Directory tartományi szolgáltatások kivételével egy célkönyvtár, amelyben a felhasználók létrehozhatók, frissíthetők és törölhetők. Például: Active Directory Lightweight Services (AD LDS). Ez a címtárpéldány nem lehet olyan könyvtár, amely a felhasználók Azure AD való kiépítésére is használható, mivel mindkét forgatókönyv létrehozhat egy hurkot Azure AD Connect használatával.
  • Legalább 3 GB RAM-mal rendelkező számítógép kiépítési ügynök üzemeltetéséhez. A számítógépnek rendelkeznie kell a Windows Server Windows Server 2016 vagy újabb verziójával, a célkönyvtárral való kapcsolattal, valamint a login.microsoftonline.com, más Microsoft Online Services- és Azure-tartományokkal való kimenő kapcsolattal. Ilyen például az Azure IaaS-ben vagy proxy mögött üzemeltetett Windows Server 2016 virtuális gép.
  • A .NET-keretrendszer 4.7.2-t telepíteni kell.
  • Nem kötelező: Bár nem kötelező, javasoljuk, hogy töltse le a Windows Serverhez készült Microsoft Edge-et , és használja azt az Internet Explorer helyett.

Támogatott LDAP-címtárkiszolgálók

Az összekötő különböző technikákra támaszkodik az LDAP-kiszolgáló észleléséhez és azonosításához. Az összekötő a gyökérszintű DSE-t, a gyártó nevét/verzióját használja, és megvizsgálja a sémát, hogy megtalálja az egyes LDAP-kiszolgálókon ismert egyedi objektumokat és attribútumokat.

  • OpenLDAP
  • Microsoft Active Directory Lightweight Directory-szolgáltatások
  • 389 Címtárkiszolgáló
  • Apache Directory Server
  • IBM Tivoli DS
  • Isode-könyvtár
  • NetIQ eDirectory
  • Novell eDirectory
  • A DJ megnyitása
  • A DS megnyitása
  • Oracle (korábban Sun ONE) Directory Server Enterprise kiadás
  • RadiantOne virtuális címtárkiszolgáló (VDS)

További információ: Általános LDAP-összekötő referenciája.

Felhőkövetelmények

  • Egy Azure AD-bérlő Prémium P1 szintű Azure AD vagy Prémium P2 (vagy EMS E3 vagy E5) csomaggal.

    A funkció használatához Prémium P1 szintű Azure AD licenc szükséges. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

  • A kiépítési ügynök és az alkalmazásadminisztrátori vagy felhőalkalmazás-rendszergazdai szerepkörök konfigurálásához szükséges hibrid identitás-rendszergazdai szerepkör a Azure Portal.

  • Az LDAP-címtárba kiosztandó Azure AD felhasználókat már fel kell tölteni a címtárkiszolgáló-séma által igényelt és az egyes felhasználókra jellemző attribútumokkal. Ha például a címtárkiszolgáló megköveteli, hogy minden felhasználó egyedi számmal rendelkezzen 10000 és 30000 között a POSIX számítási feladatok támogatásához, akkor ki kell terjesztenie a Azure AD sémát, és fel kell töltenie ezt az attribútumot a felhasználókra az LDAP-alapú alkalmazás hatókörében.

További javaslatok és korlátozások

Az alábbi listajelek további javaslatokat és korlátozásokat jelentenek.

  • Nem ajánlott ugyanazt az ügynököt használni a felhőszinkronizáláshoz és a helyszíni alkalmazások kiépítéséhez. A Microsoft azt javasolja, hogy használjon külön ügynököt a felhőszinkronizáláshoz és egyet a helyszíni alkalmazások kiépítéséhez.
  • Az AD LDS esetében a felhasználók jelenleg nem építhetők ki jelszavakkal. Ezért le kell tiltania az AD LDS jelszószabályzatát, vagy letiltott állapotban kell üzembe helyeznie a felhasználókat.
  • Más címtárkiszolgálók esetében be lehet állítani egy kezdeti véletlenszerű jelszót, de nem lehet kiépíteni egy Azure AD felhasználó jelszavát egy címtárkiszolgálón.
  • A felhasználók Azure Active Directoryból az Active Directory Domains Servicesbe történő kiépítése nem támogatott.
  • A felhasználók LDAP-ből Azure AD való kiépítése nem támogatott.
  • A csoportok és felhasználói tagságok címtárkiszolgálóra történő kiépítése nem támogatott.

Futtatási profilok kiválasztása

Amikor létrehozza az összekötő konfigurálását egy címtárkiszolgálóval való interakcióhoz, először konfigurálja, hogy az összekötő beolvassa a címtár sémáját, leképezi a sémát a Azure AD, majd konfigurálja azt a módszert, amelyet az összekötőnek folyamatosan használnia kell, futtatási profilokon keresztül. Minden konfigurálni kívánt futtatási profil meghatározza, hogy az összekötő hogyan hoz létre LDAP-kéréseket az adatok címtárkiszolgálóról történő importálására vagy exportálására. Mielőtt üzembe helyezené az összekötőt egy meglévő címtárkiszolgálón, meg kell beszélnie a szervezet címtárkiszolgáló-operátorával a címtárkiszolgálóval végrehajtott műveletek mintáját.

  • A konfigurálás után, amikor a kiépítési szolgáltatás elindul, automatikusan végrehajtja a Teljes importálás futtatási profilban konfigurált interakciókat. Ebben a futtatási profilban az összekötő egy LDAP-keresési művelettel beolvassa a címtár felhasználóinak összes rekordját. Ez a futtatási profil azért szükséges, hogy később, ha Azure AD módosítania kell egy felhasználót, Azure AD tudni fogja, hogy frissítenie kell a felhasználó meglévő objektumát a címtárban ahelyett, hogy új objektumot hozna létre a felhasználó számára.

  • Minden alkalommal, amikor módosításokat végez Azure AD, például új felhasználót rendel az alkalmazáshoz, vagy frissít egy meglévő felhasználót, a kiépítési szolgáltatás végrehajtja az LDAP-interakciókat az Exportálási futtatási profilban. Az Exportálási futtatási profilban a Azure AD LDAP-kéréseket ad ki a könyvtárban lévő objektumok hozzáadására, módosítására, eltávolítására vagy átnevezésére, hogy a könyvtár tartalma szinkronban legyen a Azure AD.

  • Ha a címtár támogatja, igény szerint deltaimportálási futtatási profilt is konfigurálhat. Ebben a futtatási profilban a Azure AD a címtárban végrehajtott módosításokat olvassa be, a legutóbbi teljes vagy különbözeti importálás óta nem Azure AD. Ez a futtatási profil nem kötelező, mivel előfordulhat, hogy a címtár nem lett konfigurálva a változásimportálás támogatására. Ha például a szervezete OpenLDAP-t használ, az OpenLDAP-t úgy kell üzembe helyezni, hogy engedélyezve van a hozzáférési napló átfedési funkciója.

Annak meghatározása, hogy a Azure AD LDAP-összekötő hogyan fogja használni a címtárkiszolgálót

Mielőtt üzembe helyezené az összekötőt egy meglévő címtárkiszolgálón, meg kell beszélnie a szervezet címtárkiszolgáló-operátorával, hogyan integrálható a címtárkiszolgálóval. A gyűjtött információk közé tartozik a címtárkiszolgálóhoz való csatlakozás hálózati információi, az összekötő hitelesítése a címtárkiszolgálón, milyen sémát választott ki a címtárkiszolgáló a felhasználók modellezéséhez, az elnevezési környezet alap megkülönböztető nevének és címtárhierarchiájának szabályai, a címtárkiszolgáló felhasználóinak társítása a felhasználókkal Azure AD, és mi történjen, ha egy felhasználó kiesik a hatókörből Azure AD. Az összekötő üzembe helyezéséhez szükség lehet a címtárkiszolgáló konfigurációjának módosítására, valamint a Azure AD konfigurálásának módosítására. A Azure AD egy külső címtárkiszolgálóval éles környezetben való integrálását magában foglaló üzemelő példányok esetében azt javasoljuk, hogy az ügyfelek a címtárkiszolgáló szállítójával vagy egy üzembe helyezési partnerrel együttműködve segítsenek, útmutatást és támogatást nyújthassanak az integrációhoz. Ez a cikk az alábbi mintaértékeket használja két könyvtárhoz, az AD LDS-hez és az OpenLDAP-hez.

Konfigurációs beállítás Ahol az érték be van állítva Példaérték
a címtárkiszolgáló állomásneve Konfigurációs varázsló Kapcsolat lapja APP3
a címtárkiszolgáló portszáma Konfigurációs varázsló Kapcsolat lapja 636. SSL vagy TLS (LDAPS) protokollon keresztüli LDAP esetén használja a 636-os portot. A esetében Start TLShasználja a 389-ös portot.
fiók az összekötő számára, hogy azonosítsa magát a címtárkiszolgálóval Konfigurációs varázsló Kapcsolat lapja AD LDS és CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab OpenLDAP esetén: cn=admin,dc=contoso,dc=lab
az összekötő jelszava a címtárkiszolgálón való hitelesítéshez Konfigurációs varázsló Kapcsolat lapja
structural object class for a user in the directory server Konfigurációs varázsló Objektumtípusok lapja AD LDS User és OpenLDAP esetén inetOrgPerson
a címtárkiszolgálón lévő felhasználó kiegészítő objektumosztályai Azure Portal Kiépítési oldal attribútumleképezései Ebben a példában nem használnak segédosztályokat
új felhasználó által kitöltendő attribútumok Konfigurációs varázsló : Attribútumok kiválasztása lap és Azure Portal Kiépítési lap attribútumleképezései AD LDSmsDS-UserAccountDisabled, , userPrincipalNamedisplayName és OpenLDAP cnesetén , , snmail
a címtárkiszolgáló által igényelt elnevezési hierarchia Azure Portal Kiépítési oldal attribútumleképezései Az újonnan létrehozott felhasználó DN-jének beállítása közvetlenül az CN=CloudUsers,CN=App,DC=Contoso,DC=lab AD LDS és DC=Contoso,DC=lab az OpenLDAP esetében
attribútumok a felhasználók Azure AD és a címtárkiszolgáló közötti korrelációhoz Azure Portal Kiépítési oldal attribútumleképezései nincs konfigurálva, mivel ez a példa egy kezdetben üres könyvtárra mutat
megszüntetési viselkedés, ha egy felhasználó kikerül a hatókörből Azure AD Konfigurációs varázsló Megszüntetés lapja A felhasználó törlése a címtárkiszolgálóról

A címtárkiszolgáló hálózati címe egy állomásnév és egy TCP-portszám, amely általában a 389-es vagy a 636-os port. Kivéve, ha a címtárkiszolgáló ugyanazon a Windows Serveren található az összekötővel együtt, vagy ön hálózati szintű biztonságot használ, az összekötő és a címtárkiszolgáló közötti hálózati kapcsolatokat SSL vagy TLS használatával kell védeni. Az összekötő támogatja a 389-ös porton lévő címtárkiszolgálóhoz való csatlakozást, és a TLS indítása funkcióval engedélyezi a TLS-t a munkameneten belül. Az összekötő támogatja a címtárkiszolgálóhoz való csatlakozást a 636-os porton az LDAPS – LDAP TLS-en keresztül.

Az összekötőnek rendelkeznie kell egy azonosított fiókkal ahhoz, hogy hitelesíteni tudja magát a címtárkiszolgálón már konfigurált címtárkiszolgálón. Ez a fiók általában megkülönböztető névvel van azonosítva, és rendelkezik egy társított jelszóval vagy ügyféltanúsítvánnyal. Ha importálási és exportálási műveleteket szeretne végrehajtani a csatlakoztatott címtárban lévő objektumokon, az összekötőfióknak megfelelő engedélyekkel kell rendelkeznie a címtár hozzáférés-vezérlési modelljén belül. Az összekötőnek írási engedélyekkel kell rendelkeznie az exportáláshoz és az olvasási engedélyekhez az importáláshoz. Az engedélykonfiguráció a célkönyvtár felügyeleti funkcióin belül történik.

A címtárséma határozza meg azokat az objektumosztályokat és attribútumokat, amelyek egy valós entitást képviselnek a címtárban. Az összekötő támogatja, hogy a felhasználók egy szerkezeti objektumosztálysal (például inetOrgPerson) jelenjenek meg, és opcionálisan további kiegészítő objektumosztályokkal is. Annak érdekében, hogy az összekötő kiépíteni tudja a felhasználókat a címtárkiszolgálón, a Azure Portal konfigurációja során a Azure AD sémából az összes kötelező attribútumra leképezéseket fog definiálni. Ide tartoznak a szerkezeti objektumosztály kötelező attribútumai, a szerkezeti objektumosztály bármely szuperosztálya, valamint a kiegészítő objektumosztályok kötelező attribútumai. Emellett valószínűleg ezen osztályok néhány választható attribútumához is konfigurálja a leképezéseket. Előfordulhat például, hogy egy OpenLDAP címtárkiszolgálóhoz egy objektumra van szükség ahhoz, hogy egy új felhasználó olyan attribútumokkal rendelkezzen, mint az alábbi példa.

dn: cn=bsimon,cn=CloudUsers,cn=App,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com

A címtárkiszolgáló által implementált címtárhierarchiaszabályok azt írják le, hogy az egyes felhasználók objektumai hogyan kapcsolódnak egymáshoz és a címtárban lévő meglévő objektumokhoz. A legtöbb üzemelő példányban a szervezet úgy döntött, hogy egy egybesimított hierarchiával rendelkezik a címtárkiszolgálón, amelyben a felhasználó minden objektuma közvetlenül egy közös alapobjektum alatt található. Ha például az elnevezési környezet alap megkülönböztető neve egy címtárkiszolgálón, dc=contoso,dc=com akkor egy új felhasználónak olyan megkülönböztető neve lesz, mint a cn=alice,dc=contoso,dc=com. Előfordulhat azonban, hogy egyes szervezetek összetettebb címtárhierarchiával rendelkeznek, ebben az esetben az összekötő megkülönböztető névleképezésének megadásakor végre kell hajtania a szabályokat. Előfordulhat például, hogy a címtárkiszolgálók részlegenként szervezeti egységekbe sorolják a felhasználókat, így egy új felhasználó neve olyan megkülönböztető lesz, mint a cn=alice,ou=London,dc=contoso,dc=com. Mivel az összekötő nem hoz létre köztes objektumokat a szervezeti egységekhez, a címtárkiszolgáló szabályhierarchiája által elvárt köztes objektumoknak már létezniük kell a címtárkiszolgálón.

Ezután meg kell határoznia a szabályokat, hogy az összekötő hogyan állapítsa meg, hogy van-e már felhasználó a címtárkiszolgálón egy Azure AD felhasználónak. Minden LDAP-címtár rendelkezik egy megkülönböztető névvel, amely a címtárkiszolgáló minden egyes objektumához egyedi, azonban ez a megkülönböztető név gyakran nem jelenik meg a Azure AD felhasználói számára. Ehelyett előfordulhat, hogy egy szervezetnek más attribútuma van, például mail vagy employeeId, a címtárkiszolgáló sémájában, amely a felhasználókon is megtalálható a Azure AD. Ezután, amikor az összekötő új felhasználót helyez üzembe egy címtárkiszolgálón, az összekötő rákereshet arra, hogy van-e már olyan felhasználó a címtárban, amely rendelkezik az attribútum adott értékével, és csak akkor hozzon létre új felhasználót a címtárkiszolgálón, ha nincs ilyen.

Ha a forgatókönyvben új felhasználókat kell létrehozni az LDAP-címtárban, nem csak a meglévő felhasználókat kell frissíteni vagy törölni, akkor azt is meg kell határoznia, hogy az adott címtárkiszolgálót használó alkalmazások hogyan fogják kezelni a hitelesítést. Az ajánlott módszer az, hogy az alkalmazások összevonási vagy SSO protokollt (például SAML, OAuth vagy OpenID Connect) használnak a Azure AD hitelesítéséhez, és csak a címtárkiszolgálóra támaszkodjanak az attribútumok esetében. Az alkalmazások hagyományosan használhatják az LDAP-címtárakat a felhasználók jelszóellenőrzéssel történő hitelesítéséhez, de ez a használati eset nem lehetséges többtényezős hitelesítéshez, vagy ha a felhasználót már hitelesítették. Egyes alkalmazások lekérdezhetik a felhasználó SSH nyilvános kulcsát vagy tanúsítványát a címtárból, ami megfelelő lehet ahhoz, hogy a felhasználók már rendelkeznek az űrlapok hitelesítő adataival. Ha azonban a címtárkiszolgálóra támaszkodó alkalmazás nem támogatja a modern hitelesítési protokollokat vagy az erősebb hitelesítő adatokat, akkor új felhasználó létrehozásakor be kell állítania egy alkalmazásspecifikus jelszót, mivel Azure AD nem támogatja a felhasználó Azure AD jelszavának kiépítését.

Végül el kell fogadnia a megszüntetési viselkedést. Ha az összekötő konfigurálva van, és Azure AD kapcsolatot hozott létre a Azure AD egy felhasználója és a címtár egy felhasználója között, akár már a címtárban lévő, akár egy új felhasználó számára, akkor Azure AD kiépítheti a Azure AD felhasználó attribútummódosításait a címtárba. Ha az alkalmazáshoz rendelt felhasználót törlik Azure AD, akkor Azure AD törlési műveletet küld a címtárkiszolgálónak. Azt is kérheti, hogy Azure AD frissítse az objektumot a címtárkiszolgálón, amikor egy felhasználó túllép az alkalmazás használatának hatókörén. Ez a viselkedés attól az alkalmazástól függ, amely a címtárkiszolgálót fogja használni, mivel előfordulhat, hogy számos címtár, például az OpenLDAP nem jelzi alapértelmezetten, hogy a felhasználó fiókja inaktiválva van.

Az LDAP-címtár előkészítése

Ha még nem rendelkezik címtárkiszolgálóval, és ki szeretné próbálni ezt a funkciót, akkor az Active Directory Lightweight Directory-szolgáltatások előkészítése a kiépítéshez Azure AD bemutatja, hogyan hozhat létre teszt AD LDS-környezetet. Ha már üzembe helyezett egy másik címtárkiszolgálót, kihagyhatja ezt a cikket, és folytathatja az ECMA-összekötő gazdagépének telepítését és konfigurálását.

A Azure AD Connect Kiépítési ügynök csomag letöltése, telepítése és konfigurálása

Ha már letöltötte a kiépítési ügynököt, és konfigurálta egy másik helyszíni alkalmazáshoz, folytassa az olvasást a következő szakaszban.

  1. Töltse le a kiépítési ügynököt, és másolja arra a virtuális gépre vagy helyszíni Windows Serverre, amely rendelkezik kapcsolattal az LDAP-címtárkiszolgálóhoz.

    Megjegyzés

    Használjon különböző kiépítési ügynököket a helyszíni alkalmazások kiépítéséhez, és Azure AD Connect Cloud Sync/HR-alapú kiépítéshez. Ezen forgatókönyvek mindegyike nem kezelhető ugyanazon az ügynökön.

  2. Nyissa meg a kiépítési ügynök telepítőt, fogadja el a szolgáltatási feltételeket, és válassza a Tovább lehetőséget.
  3. Amikor megnyílik a kiépítési ügynök varázslója, lépjen tovább a Bővítmény kiválasztása lapra, és válassza a Helyszíni alkalmazáskiépítés lehetőséget, amikor a rendszer kéri az engedélyezni kívánt bővítményt.
  4. A kiépítési ügynök az operációs rendszer webböngészőjét fogja használni egy előugró ablak megjelenítéséhez, a Azure AD való hitelesítéshez, valamint a szervezet identitásszolgáltatójához is. Ha Az Internet Explorert használja böngészőként a Windows Serveren, akkor előfordulhat, hogy hozzá kell adnia a Microsoft-webhelyeket a böngésző megbízható webhelylistájához, hogy a JavaScript megfelelően fusson.
  5. Adja meg a hitelesítő adatokat egy Azure AD rendszergazdának, amikor a rendszer az engedélyezésre kéri. A felhasználónak hibrid identitásadminisztrátori vagy globális rendszergazdai szerepkörrel kell rendelkeznie.
  6. A beállítás megerősítéséhez válassza a Megerősítés lehetőséget. Ha a telepítés sikeres volt, válassza a Kilépés lehetőséget, és zárja be a Kiépítési ügynökcsomag telepítőt is.

A helyszíni ECMA-alkalmazás konfigurálása

  1. Jelentkezzen be a Azure Portal rendszergazdaként.
  2. Lépjen a Vállalati alkalmazások lapra, és válassza az Új alkalmazás lehetőséget.
  3. Keresse meg a helyszíni ECMA alkalmazásalkalmazást , adjon nevet az alkalmazásnak, majd válassza a Létrehozás lehetőséget a bérlőhöz való hozzáadásához.
  4. Lépjen az alkalmazás Kiépítés lapjára.
  5. Válassza az Első lépések lehetőséget.
  6. A Kiépítés lapon módosítsa a módot Automatikus módra. Képernyőkép a mód Automatikus módra való módosításáról.
  7. A Helyszíni kapcsolat szakaszban válassza ki az imént üzembe helyezett ügynököt, majd válassza az Ügynök(ek) hozzárendelése lehetőséget.
  8. Tartsa nyitva ezt a böngészőablakot, miközben a konfiguráció következő lépését a konfigurációs varázslóval hajtja végre.

A Azure AD ECMA-összekötő gazdagéptanúsítványának konfigurálása

  1. Azon a Windows Serveren, amelyen a kiépítési ügynök telepítve van, kattintson a jobb gombbal a Microsoft ECMA2Host konfigurációs varázslóra a start menüben, és futtassa rendszergazdaként. A varázslónak Windows-rendszergazdaként kell futnia a szükséges Windows-eseménynaplók létrehozásához.
  2. Az ECMA-összekötő gazdagépének konfigurációja elindulása után, ha először futtatja a varázslót, a rendszer kérni fogja, hogy hozzon létre egy tanúsítványt. Hagyja meg az alapértelmezett 8585-ös portot, és válassza a Tanúsítvány létrehozása lehetőséget a tanúsítvány létrehozásához. Az automatikusan létrehozott tanúsítvány önaláírt lesz a megbízható gyökér részeként. A SAN megegyezik a gazdagép nevével. A beállítások konfigurálását bemutató képernyőkép.
  3. Válassza a Mentés lehetőséget.

Megjegyzés

Ha úgy döntött, hogy új tanúsítványt hoz létre, jegyezze fel a tanúsítvány lejárati dátumát, hogy biztosan visszatérjen a konfigurációs varázslóhoz, és a lejárata előtt hozza létre újra a tanúsítványt.

Általános LDAP-összekötő konfigurálása

A kiválasztott beállításoktól függően előfordulhat, hogy egyes varázslóképernyők nem érhetők el, és az információk kissé eltérőek lehetnek. Ebben a példakonfigurációban az AD LDS-hez megjelenik a Felhasználók objektumosztály és az OpenLDAP inetOrgPerson objektumosztálya. Az alábbi információk segítségével útmutatást adhat a konfigurációhoz.

  1. Hozzon létre egy titkos jogkivonatot, amely az összekötő Azure AD hitelesítésére szolgál. Minden alkalmazáshoz legalább 12 karakternek kell lennie, és egyedinek kell lennie. Ha még nem rendelkezik titkos kódgenerátorsal, az alábbihoz hasonló PowerShell-paranccsal létrehozhat egy példa véletlenszerű sztringet.

    -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
    
  2. Ha még nem tette meg, indítsa el a Microsoft ECMA2Host konfigurációs varázslót a start menüből.

  3. Válassza az Új összekötő lehetőséget. Képernyőkép az Új összekötő kiválasztásáról.

  4. A Tulajdonságok lapon töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot. Képernyőkép a tulajdonságok megadásáról.

    Tulajdonság Érték
    Név Az összekötőhöz választott névnek egyedinek kell lennie a környezet összes összekötőjében. Például: LDAP.
    Automatikus szinkronizálás időzítője (perc) 120
    Titkos jogkivonat Itt adhatja meg a titkos jogkivonatot. Legalább 12 karakter hosszúságúnak kell lennie.
    Bővítmény DLL-je Az általános LDAP-összekötőhöz válassza a Microsoft.IAM.Connector.GenericLdap.dlllehetőséget.
  5. A Kapcsolat lapon konfigurálja, hogy az ECMA-összekötő gazdagép hogyan kommunikáljon a címtárkiszolgálóval, és adja meg a konfigurációs beállítások egy részét. Töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot. A Tovább gombra kattintva az összekötő lekérdezi a címtárkiszolgáló konfigurációját. Képernyőkép a Kapcsolat oldalról.

    Tulajdonság Leírás
    Gazdagép A gazdagép neve, ahol az LDAP-kiszolgáló található. Ez a minta gazdanévként szolgál APP3 .
    Port A TCP-port száma. Ha a címtárkiszolgáló SSL-en keresztül van konfigurálva az LDAP-hoz, használja a 636-os portot. A vagy Start TLShálózati szintű biztonság esetén használja a 389-es portot.
    Kapcsolat időkorlátja 180
    Kötés Ez a tulajdonság határozza meg, hogy az összekötő hogyan hitelesítse magát a címtárkiszolgálón. Basic A beállítással vagy a SSL vagy TLS beállítással, és nincs konfigurálva ügyféltanúsítvány, az összekötő egy egyszerű LDAP-kötést küld a megkülönböztető névvel és jelszóval történő hitelesítéshez. A vagy TLS beállítás SSL és egy ügyféltanúsítvány megadásával az összekötő egy LDAP SASL-kötést EXTERNAL küld az ügyféltanúsítvánnyal való hitelesítéshez.
    Felhasználónév Hogyan hitelesíti magát az ECMA-összekötő a címtárkiszolgálón. Ebben az AD LDS-mintában a felhasználónév CN=svcAccount,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab és az OpenLDAP példa, cn=admin,dc=contoso,dc=lab
    Jelszó A megadott felhasználónév jelszava.
    Tartomány/tartomány Ez a beállítás csak akkor szükséges, ha a Kötés lehetőséget választotta Kerberos a felhasználó tartományának/tartományának megadásához.
    Tanúsítvány Az ebben a szakaszban szereplő beállításokat csak akkor használja a rendszer, ha a Kötés lehetőséget TLS választottaSSL.
    Attribútumaliasok Az attribútumaliasok szövegmezője a sémában RFC4522 szintaxissal definiált attribútumokhoz használható. Ezek az attribútumok nem észlelhetők a sémaészlelés során, és az összekötőnek segítségre van szüksége az attribútumok azonosításához. Ha például a címtárkiszolgáló nem teszi közzé userCertificate;binary , és ki szeretné kapcsolni ezt az attribútumot, a következő sztringet kell beírnia az attribútumaliasok mezőbe, hogy a userCertificate attribútumot bináris attribútumként megfelelően azonosíthassa: userCertificate;binary. Ha nincs szüksége a sémában nem szereplő speciális attribútumokra, ezt üresen hagyhatja.
    Működési attribútumok belefoglalása Jelölje be a Include operational attributes in schema jelölőnégyzetet a címtárkiszolgáló által létrehozott attribútumok hozzáadásához. Ezek közé tartoznak az attribútumok, például az objektum létrehozásának időpontja és a legutóbbi frissítés időpontja.
    Bővíthető attribútumok belefoglalása Jelölje be a Include extensible attributes in schema jelölőnégyzetet, ha a címtárkiszolgáló bővíthető objektumokat (RFC4512/4.3) használ. A beállítás engedélyezésével minden attribútum használható az összes objektumon. Ha ezt a beállítást választja, a séma nagyon nagy lesz, ezért ha a csatlakoztatott könyvtár nem használja ezt a funkciót, javasoljuk, hogy hagyja bejelöletlenül a beállítást.
    Kézi horgonyválasztás engedélyezése Hagyja üresen.

    Megjegyzés

    Ha problémát tapasztal a csatlakozáskor, és nem tud továbblépni a Globális lapra, győződjön meg arról, hogy az AD LDS szolgáltatásfiókja vagy a másik címtárkiszolgáló engedélyezve van.

  6. A Globális lapon szükség esetén konfigurálja a változásváltozási napló megkülönböztető nevét és további LDAP-funkciókat. A lap előre fel van töltve az LDAP-kiszolgáló által megadott információkkal. Tekintse át a megjelenített értékeket, majd válassza a Tovább gombot.

    Tulajdonság Leírás
    Támogatott SASL-mechanizmusok A felső szakasz maga a kiszolgáló által biztosított információkat jeleníti meg, beleértve az SASL-mechanizmusok listáját is.
    Kiszolgálótanúsítvány részletei Ha SSL vagy TLS meg lett adva, a varázsló megjeleníti a címtárkiszolgáló által visszaadott tanúsítványt. Győződjön meg arról, hogy a kiállító, a tárgy és az ujjlenyomat a megfelelő könyvtárkiszolgálóhoz tartozik.
    Kötelező funkciók találhatók Az összekötő azt is ellenőrzi, hogy a kötelező vezérlők megtalálhatók-e a gyökérszintű DSE-ben. Ha ezek a vezérlők nem szerepelnek a listában, figyelmeztetés jelenik meg. Egyes LDAP-címtárak nem sorolják fel a gyökérszintű DSE összes funkcióját, és előfordulhat, hogy az összekötő probléma nélkül működik, még akkor is, ha figyelmeztetés jelenik meg.
    Támogatott vezérlők A támogatott vezérlők jelölőnégyzetei bizonyos műveletek viselkedését szabályozzák
    Különbözeti importálás A változásnapló DN-je a változásnapló által használt elnevezési környezet, például cn=changelog. Ezt az értéket meg kell adni ahhoz, hogy elvégezhesse a különbözeti importálást.
    Jelszóattribútum Ha a címtárkiszolgáló más jelszóattribútumot vagy jelszókivonat-készítést támogat, megadhatja a jelszómódosítások célhelyét.
    Partíciónevek A további partíciók listájában olyan további névterek is hozzáadhatók, amely nem észlelhető automatikusan. Ez a beállítás például akkor használható, ha több kiszolgáló alkot logikai fürtöt, amelyet egyszerre kell importálni. Ahogyan az Active Directorynak több tartománya is lehet egy erdőben, de minden tartomány egy sémával rendelkezik, ugyanez szimulálható a további névterek beírásával ebben a mezőben. Minden névtér importálható különböző kiszolgálókról, és a Partíciók és hierarchiák konfigurálása lapon is konfigurálható.
  7. A Partíciók lapon tartsa meg az alapértelmezett értéket, és válassza a Tovább gombot.

  8. A Profilok futtatása lapon győződjön meg arról, hogy az Exportálás és a Teljes importálás jelölőnégyzet is be van jelölve. Ezután kattintson a Tovább gombra. Képernyőkép a Profilok futtatása lapról.

    Tulajdonság Leírás
    Exportálás Futtassa a profilt, amely adatokat exportál az LDAP-címtárkiszolgálóra. Erre a futtatási profilra van szükség.
    Teljes importálás Futtassa a profilt, amely a korábban megadott LDAP-forrásokból importálja az összes adatot. Erre a futtatási profilra van szükség.
    Különbözeti importálás Futtassa a profilt, amely csak az LDAP módosításait importálja a legutóbbi teljes vagy különbözeti importálás óta. Csak akkor engedélyezze ezt a futtatási profilt, ha meggyőződött arról, hogy a címtárkiszolgáló megfelel a szükséges követelményeknek. További információ: Általános LDAP-összekötő referenciája.
  9. Az Exportálás lapon hagyja változatlanul az alapértelmezett értékeket, és kattintson a Tovább gombra.

  10. A Teljes importálás lapon hagyja változatlanul az alapértelmezett értékeket, és kattintson a Tovább gombra.

  11. Ha jelen van, a DeltaImport lapon hagyja változatlanul az alapértelmezett értékeket, és kattintson a Tovább gombra.

  12. Az Objektumtípusok lapon töltse ki a mezőket, és válassza a Tovább gombot.

    Tulajdonság Leírás
    Célobjektum Ez az érték egy felhasználó szerkezeti objektumosztálya az LDAP-címtárkiszolgálón. Például inetOrgPerson OpenLDAP vagy User AD LDS esetén. Ebben a mezőben ne adjon meg segédobjektumosztályt. Ha a címtárkiszolgáló kiegészítő objektumosztályokat igényel, azokat a Azure Portal attribútumleképezéseivel konfigurálja.
    Horgony Az attribútum értékeinek egyedinek kell lenniük a célkönyvtár minden egyes objektumához. A Azure AD kiépítési szolgáltatás a kezdeti ciklus után ezzel az attribútummal kérdezi le az ECMA-összekötő gazdagépét. Az AD LDS esetében használja ObjectGUIDa és a parancsot más címtárkiszolgálókhoz, tekintse meg az alábbi táblázatot. A többértékű attribútumok, például az uid OpenLDAP-séma attribútumai nem használhatók horgonyként.
    Lekérdezési attribútum Ennek az attribútumnak meg kell egyeznie a Horgonyéval, például objectGUID ha az AD LDS a címtárkiszolgáló.
    DN A célobjektum distinguishedName tulajdonsága. Tartsa meg a elemet -dn-.
    Automatikusan létrehozott Ellenőrizetlen

    Az alábbi táblázat az LDAP-kiszolgálókat és a használt horgonyt sorolja fel:

    Címtár Horgony
    Microsoft AD LDS és AD GC objectGUID. A horgonyként való használathoz ObjectGUID az ügynök 1.1.846.0-s vagy újabb verzióját kell használnia.
    389 Címtárkiszolgáló megkülönböztető név
    Apache Directory megkülönböztető név
    IBM Tivoli DS megkülönböztető név
    Isode-könyvtár megkülönböztető név
    Novell/NetIQ eDirectory GUID
    DJ/DS megnyitása megkülönböztető név
    Az LDAP megnyitása megkülönböztető név
    Oracle ODSEE megkülönböztető név
    RadiantOne virtuális merevlemezek megkülönböztető név
    Sun One Directory Server megkülönböztető név
  13. Az ECMA-gazdagép felderíti a célkönyvtár által támogatott attribútumokat. Kiválaszthatja, hogy mely attribútumokat szeretné elérhetővé tenni Azure AD. Ezek az attribútumok ezután konfigurálhatók a kiépítés Azure Portal. A Select Attributes (Attribútumok kiválasztása) lapon adja hozzá egyenként az összes kötelező attribútumként szükséges vagy Azure AD kiépíteni kívánt attribútumot a legördülő listában. Képernyőkép az Attribútumok kiválasztása lapról.
    Az Attribútum legördülő lista megjeleníti a célkönyvtárban felfedezett attribútumokat, és nem lett kiválasztva a konfigurációs varázsló Attribútumok kiválasztása lapján.

    Győződjön meg arról, hogy Treat as single value az objectClass attribútum jelölőnégyzete nincs bejelölve, és ha userPassword be van állítva, akkor nem jelölhető ki vagy be van jelölve az userPassword attribútum.

    Ha openLDAP-t használ az inetOrgPerson sémával, konfigurálja a láthatóságot az alábbi attribútumokhoz.

    Attribútum Kezelés egyetlen értékként
    Cn Y
    Levelezés Y
    objectClass
    sn Y
    userPassword

    Ha OpenLDAP-t használ a POSIX-sémával, konfigurálja a láthatóságot az alábbi attribútumokhoz.

    Attribútum Kezelés egyetlen értékként
    Cn Y
    gidNumber
    homeDirectory
    Levelezés Y
    objectClass
    sn Y
    Uid Y
    uidNumber
    userPassword

    Az összes releváns attribútum hozzáadása után válassza a Tovább gombot.

  14. A Megszüntetés lapon megadhatja, hogy szeretné-e Azure AD eltávolítani a felhasználókat a címtárból, amikor azok kikerülnek az alkalmazás hatóköréből. Ha igen, a Folyamat letiltása területen válassza a Törlés lehetőséget, majd a Folyamat törlése területen válassza a Törlés lehetőséget. Ha Set attribute value ezt választja, az előző oldalon kiválasztott attribútumok nem lesznek kiválaszthatók a Megszüntetés lapon.

Megjegyzés

Ha a Set attribútumértéket használja, vegye figyelembe, hogy csak logikai értékek engedélyezettek.

  1. Válassza a Befejezés gombot.

Győződjön meg arról, hogy az ECMA2Host szolgáltatás fut, és képes olvasni a címtárkiszolgálóról

Kövesse ezeket a lépéseket annak ellenőrzéséhez, hogy az összekötő gazdagép elindult-e, és azonosította-e a címtárkiszolgáló meglévő felhasználóit.

  1. A Azure AD ECMA-összekötő gazdagépét futtató kiszolgálón válassza a Start gombot.
  2. Ha szükséges, válassza a Futtatás lehetőséget, majd írja be a services.msc kifejezést a mezőbe.
  3. A Szolgáltatások listában győződjön meg arról, hogy a Microsoft ECMA2Host jelen van és fut. Ha nem fut, válassza a Start gombot. A szolgáltatás futását bemutató képernyőkép.
  4. Ha nemrég indította el a szolgáltatást, és sok felhasználói objektum található a címtárkiszolgálón, várjon néhány percet, amíg az összekötő kapcsolatot létesít a címtárkiszolgálóval.
  5. A Azure AD ECMA-összekötő gazdagépét futtató kiszolgálón indítsa el a PowerShellt.
  6. Váltson arra a mappára, ahová az ECMA-gazdagép telepítve volt, például C:\Program Files\Microsoft ECMA2Host: .
  7. Váltson az alkönyvtárra Troubleshooting.
  8. Futtassa a szkriptet TestECMA2HostConnection.ps1 a könyvtárban az alább látható módon, és adja meg argumentumként az összekötő nevét és értékét ObjectTypePathcache. Ha az összekötő gazdagépe nem figyeli a 8585-ös TCP-portot, akkor előfordulhat, hogy az -Port argumentumot is meg kell adnia. Amikor a rendszer kéri, írja be az összekötőhöz konfigurált titkos jogkivonatot.
    PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
    Supply values for the following parameters:
    SecretToken: ************
    
  9. Ha a szkript hibaüzenetet vagy figyelmeztető üzenetet jelenít meg, ellenőrizze, hogy fut-e a szolgáltatás, és az összekötő neve és titkos jogkivonata megegyezik a konfigurációs varázslóban konfigurált értékekkel.
  10. Ha a szkript megjeleníti a kimenetet False, akkor az összekötő nem látott bejegyzéseket a forráskönyvtár-kiszolgálón a meglévő felhasználók számára. Ha ez egy új címtárkiszolgáló-telepítés, akkor ez a viselkedés várható, és a következő szakaszban folytathatja.
  11. Ha azonban a címtárkiszolgáló már tartalmaz egy vagy több felhasználót False, de a szkript megjelent, akkor ez az állapot azt jelzi, hogy az összekötő nem tudott olvasni a címtárkiszolgálóról. Ha kiépítést kísérel meg, akkor előfordulhat, hogy Azure AD nem egyezik megfelelően a forráskönyvtárban lévő felhasználókkal a Azure AD felhasználóival. Várjon néhány percet, amíg az összekötő gazdagép befejezi az objektumok beolvasását a meglévő címtárkiszolgálóról, majd futtassa újra a szkriptet. Ha a kimenet továbbra is False, akkor ellenőrizze az összekötő konfigurációját, és a címtárkiszolgálón lévő engedélyek lehetővé teszik az összekötő számára a meglévő felhasználók olvasását.

A Azure AD és az összekötő gazdagépe közötti kapcsolat tesztelése

  1. Térjen vissza arra a böngészőablakra, ahol az alkalmazás kiépítését konfigurálta a portálon.

    Megjegyzés

    Ha az ablak túllépte az időkorlátot, újra ki kell választania az ügynököt.

    1. Jelentkezzen be az Azure Portalra.
    2. Lépjen a Nagyvállalati alkalmazások és a Helyszíni ECMA alkalmazásalkalmazásra .
    3. Kattintson a Kiépítés elemre.
    4. Ha megjelenik az Első lépések lehetőség, módosítsa a módot Automatikus módra, a Helyszíni kapcsolat szakaszban válassza ki az imént üzembe helyezett ügynököt, és válassza az Ügynök(ek) hozzárendelése lehetőséget, és várjon 10 percet. Ellenkező esetben lépjen a Kiépítés szerkesztése elemre.
  2. A Rendszergazda hitelesítő adatok szakaszban adja meg a következő URL-címet. Cserélje le a connectorName részt az ECMA-gazdagépen található összekötő nevére, például LDAP: . Ha tanúsítványt adott meg a hitelesítésszolgáltatótól az ECMA-gazdagéphez, cserélje le a elemet localhost annak a kiszolgálónak a gazdanevére, amelyen az ECMA-gazdagép telepítve van.

    Tulajdonság Érték
    Bérlői URL-cím https://localhost:8585/ecma2host_connectorName/scim
  3. Adja meg az összekötő létrehozásakor megadott Titkos jogkivonat értéket.

    Megjegyzés

    Ha most rendelte hozzá az ügynököt az alkalmazáshoz, várjon 10 percet, amíg a regisztráció befejeződik. A kapcsolati teszt addig nem működik, amíg a regisztráció be nem fejeződik. Ha az ügynök regisztrációjának befejezésére kényszeríti a kiszolgáló kiépítési ügynökének újraindítását, felgyorsíthatja a regisztrációs folyamatot. Lépjen a kiszolgálóra, keressen szolgáltatásokat a Windows keresősávjában, azonosítsa a Azure AD Connect Provisioning Agent szolgáltatást, kattintson a jobb gombbal a szolgáltatásra, és indítsa újra.

  4. Válassza a Kapcsolat tesztelése lehetőséget, és várjon egy percet. Az ügynök hozzárendelését bemutató képernyőkép.

  5. Miután a kapcsolatteszt sikeres volt, és azt jelzi, hogy a megadott hitelesítő adatok engedélyezve vannak a kiépítés engedélyezéséhez, válassza a Mentés lehetőséget.
    Az ügynök tesztelését bemutató képernyőkép.

Attribútumleképezés konfigurálása

Ebben a szakaszban konfigurálja a megfeleltetést a Azure AD felhasználó attribútumai és az ECMA-gazdagép konfigurációs varázslójában korábban kiválasztott attribútumok között. Később, amikor az összekötő létrehoz egy objektumot egy címtárkiszolgálón, a Azure AD felhasználó attribútumai az összekötőn keresztül lesznek elküldve a címtárkiszolgálóra, hogy az az új objektum része legyen.

  1. Győződjön meg arról, hogy a Azure AD séma tartalmazza a címtárkiszolgáló által igényelt attribútumokat. Ha a címtárkiszolgáló megköveteli, hogy a felhasználók rendelkezzenek egy attribútummal( például uidNumber az OpenLDAP POSIX sémához), és ez az attribútum még nem része a felhasználó Azure AD sémájának, akkor az attribútum bővítményként való hozzáadásához a címtárbővítményi funkcióval kell rendelkeznie.

  2. A Azure AD portál Vállalati alkalmazások területén válassza a Helyszíni ECMA-alkalmazásalkalmazást, majd a Kiépítés lapot.

  3. Válassza a Kiépítés szerkesztése lehetőséget.

  4. Bontsa ki a Leképezések elemet, és válassza az Azure Active Directory-felhasználók kiépítése lehetőséget. Ha ez az első alkalom, hogy konfigurálta az alkalmazás attribútumleképezéseit, csak egy leképezés lesz jelen a helyőrzőhöz.

  5. Ha ellenőrizni szeretné, hogy a címtárkiszolgáló sémája elérhető-e az Azure AD, jelölje be a Speciális beállítások megjelenítése jelölőnégyzetet, és válassza a ScimOnPremises attribútumlistájának szerkesztése lehetőséget. Győződjön meg arról, hogy a konfigurációs varázslóban kiválasztott összes attribútum szerepel a listában. Ha nem, várjon néhány percet a séma frissítésére, majd válassza az Attribútumleképezés lehetőséget a navigációs sorban, majd válassza ismét a ScimOnPremises attribútumlistájának szerkesztése lehetőséget a lap újbóli betöltéséhez. Miután meglátja a felsorolt attribútumokat, szakítsa meg ezt a lapot a leképezési listához való visszatéréshez.

  6. A címtárban lévő összes felhasználónak egyedi megkülönböztető névvel kell rendelkeznie. Megadhatja, hogy az összekötő hogyan hozzon létre megkülönböztető nevet attribútumleképezés használatával. Válassza az Új leképezés hozzáadása lehetőséget. Az alábbi értékekkel létrehozhatja a leképezést, és a kifejezés megkülönböztető neveit úgy módosíthatja, hogy azok egyezzenek a szervezeti egység vagy a célkönyvtár más tárolóinak nevével.

    • Leképezés típusa: kifejezés
    • Kifejezés, ha kiépül az AD LDS-be: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",CN=CloudUsers,CN=App,DC=Contoso,DC=lab")
    • Kifejezés, ha az OpenLDAP-be épít: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
    • Célattribútum: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
    • A leképezés alkalmazása: csak az objektum létrehozásakor
  7. Ha a címtárkiszolgálóhoz több szerkezeti objektumosztály- vagy segédobjektumosztály-értéket kell megadni az objectClass attribútumban, adjon hozzá egy leképezést az attribútumhoz. Ebben a példában az AD LDS-be való üzembe helyezéshez a leképezés objectClass nem szükséges, de szükség lehet más címtárkiszolgálókhoz vagy más sémákhoz. A leképezés hozzáadásához válassza az objectClassÚj leképezés hozzáadása lehetőséget. Az alábbi értékekkel hozza létre a leképezést, és módosítsa a kifejezés objektumosztálynevét úgy, hogy az megfeleljen a célkönyvtár sémájának.

    • Leképezés típusa: kifejezés
    • Kifejezés, ha az inetOrgPerson sémát építi ki: Split("inetOrgPerson",",")
    • Kifejezés, ha a POSIX-sémát építi ki: Split("inetOrgPerson,posixAccount,shadowAccount",",")
    • Célattribútum: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
    • A leképezés alkalmazása: csak az objektum létrehozásakor
  8. Ha az AD LDS-be épít, és a userPrincipalName és a HELYŐRZŐ között van leképezés, kattintson a leképezésre, és szerkessze azt. A leképezés frissítéséhez használja az alábbi értékeket.

    • Leképezés típusa: közvetlen
    • Forrásattribútum: userPrincipalName
    • Célattribútum: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPrincipalName
    • Egyező prioritás: 1
    • A leképezés alkalmazása: csak az objektum létrehozásakor
  9. Ha az AD LDS-be épít, adja hozzá az isSoftDeleted leképezését. Válassza az Új leképezés hozzáadása lehetőséget. A leképezés létrehozásához használja az alábbi értékeket.

    • Leképezés típusa: közvetlen
    • Forrásattribútum: isSoftDeleted
    • Célattribútum: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:msDS-UserAccountDisabled
  10. A címtárkiszolgálóhoz tartozó alábbi táblázatban szereplő leképezések mindegyikéhez válassza az Új leképezés hozzáadása lehetőséget, és adja meg a forrás- és célattribútumokat. Ha meglévő felhasználókkal rendelkező meglévő címtárba épít be, szerkesztenie kell az attribútum leképezését, amely közös ahhoz, hogy az objektumok egyeztetése ezzel az attribútummal legyen beállítva az attribútumhoz. Az attribútumleképezésről itt talál további információt.

    AD LDS esetén:

    Leképezés típusa Forrásattribútum Célattribútum
    Direct displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:displayName

    OpenLDAP esetén:

    Leképezés típusa Forrásattribútum Célattribútum
    Direct displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn
    Direct surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:surname

    A POSIX-sémával rendelkező OpenLDAP esetén a , homeDirectoryuid és uidNumber attribútumokat gidNumberis meg kell adnia.

  11. Ebben a példában nincs a userPassword leképezése.

  12. Válassza a Mentés lehetőséget.

Felhasználók hozzárendelése egy alkalmazáshoz

Most, hogy a Azure AD ECMA-összekötő gazdagépe beszélt a Azure AD, és konfigurálta az attribútumleképezést, továbbléphet a kiépítés hatókörébe tartozók konfigurálására.

Fontos

Ha hibrid identitásadminisztrátori szerepkörrel jelentkezett be, ehhez a szakaszhoz ki kell jelentkeznie és be kell jelentkeznie egy olyan fiókkal, amely rendelkezik alkalmazásadminisztrátori, felhőalkalmazás-rendszergazdai vagy globális rendszergazdai szerepkörrel. A hibrid identitáskezelő szerepkör nem rendelkezik jogosultságokkal a felhasználók alkalmazásokhoz való hozzárendeléséhez.

Ha vannak meglévő felhasználók az LDAP-címtárban, akkor alkalmazásszerepkezvény-hozzárendeléseket kell létrehoznia ezekhez a meglévő felhasználókhoz. Ha többet szeretne megtudni arról, hogyan hozhat létre alkalmazásszerepkezet-hozzárendeléseket tömegesen, tekintse meg az alkalmazás meglévő felhasználóinak szabályozását a Azure AD.

Ellenkező esetben, ha az LDAP-címtár üres, akkor válasszon ki egy tesztfelhasználót Azure AD, aki ki lesz építve az alkalmazás címtárkiszolgálójára.

  1. Győződjön meg arról, hogy a felhasználó kiválasztja az összes tulajdonságot, amely a címtárkiszolgáló-séma szükséges attribútumaihoz lesz leképezve.
  2. A Azure Portal válassza a Vállalati alkalmazások lehetőséget.
  3. Válassza ki a helyszíni ECMA alkalmazásalkalmazást .
  4. A bal oldali Kezelés területen válassza a Felhasználók és csoportok lehetőséget.
  5. Válassza a Felhasználó/csoport hozzáadása lehetőséget. A felhasználó hozzáadását bemutató képernyőkép.
  6. A Felhasználók területen válassza a Nincs kijelölve lehetőséget. Képernyőkép a Nincs kijelölve beállításról.
  7. Válassza ki a felhasználókat a jobb oldalon, és válassza a Kiválasztás gombot.
    Képernyőkép a Felhasználók kiválasztása lehetőségről.
  8. Most válassza a Hozzárendelés lehetőséget. A Felhasználók hozzárendelése lehetőséget bemutató képernyőkép.

Kiépítés tesztelése

Most, hogy az attribútumok le vannak képezve, és a felhasználók ki vannak rendelve, tesztelheti az igény szerinti kiépítést az egyik felhasználóval.

  1. A kiszolgálón a Azure AD ECMA-összekötő gazdagépét futtató kiszolgálón válassza a Start lehetőséget.

  2. Írja be a futtatás kifejezést, és írja be a services.msc kifejezést a mezőbe.

  3. A Szolgáltatások listában győződjön meg arról, hogy a Azure AD Connect Provisioning Agent szolgáltatás és a Microsoft ECMA2Host szolgáltatások is futnak. Ha nem, válassza a Start lehetőséget.

  4. A Azure Portal válassza a Vállalati alkalmazások lehetőséget.

  5. Válassza ki a helyszíni ECMA alkalmazásalkalmazást .

  6. A bal oldalon válassza a Kiépítés lehetőséget.

  7. Válassza az Igény szerinti kiépítés lehetőséget.

  8. Keressen rá az egyik tesztfelhasználóra, és válassza a Kiépítés lehetőséget. Képernyőkép az igény szerinti kiépítés teszteléséről.

  9. Néhány másodperc elteltével megjelenik a Sikeresen létrehozott felhasználó a célrendszerben üzenet a felhasználói attribútumok listájával.

Felhasználók üzembe helyezésének megkezdése

  1. Miután az igény szerinti kiépítés sikeres volt, térjen vissza a kiépítés konfigurációs oldalára. Győződjön meg arról, hogy a hatókör csak hozzárendelt felhasználókra és csoportokra van beállítva, kapcsolja be a kiépítési állapotot, és válassza a Mentés lehetőséget.

  2. Várjon néhány percet, amíg a kiépítés elindul. Akár 40 percet is igénybe vehet. Miután a kiépítési feladat befejeződött, a következő szakaszban leírtak szerint, ha végzett az alkalmazás tesztelésével, a kiépítési állapotot Ki értékre módosíthatja, és válassza a Mentés lehetőséget. Ez a művelet megakadályozza, hogy a kiépítési szolgáltatás a jövőben fusson.

Kiépítési hibák elhárítása

Ha hiba jelenik meg, válassza a Kiépítési naplók megtekintése lehetőséget. Keresse meg a naplóban azt a sort, amelyben az Állapot hiba, és kattintson erre a sorra.

Ha a hibaüzenet nem sikerült létrehozni a felhasználót, ellenőrizze a címtárséma követelményei szerint megjelenített attribútumokat.

További információ: Hibaelhárítási & javaslatok lap.

További hibákért lásd a helyszíni alkalmazások kiépítésének hibaelhárítását ismertető cikket.

Ellenőrizze, hogy a felhasználók sikeresen ki lettek-e építve

A várakozás után ellenőrizze a címtárkiszolgálót, hogy a felhasználók ki vannak-e építve. A címtárkiszolgálón végrehajtott lekérdezések attól függenek, hogy a címtárkiszolgáló milyen parancsokat biztosít. Az alábbi utasítások bemutatják, hogyan ellenőrizheti az AD LDS-t.

  1. Nyissa meg a Kiszolgálókezelő, és válassza az AD LDS lehetőséget a bal oldalon.
  2. Kattintson a jobb gombbal az AD LDS-példányra, és válassza ldp.exe az előugró ablakból. Képernyőkép az Ldp eszköz helyéről.
  3. A ldp.exe tetején válassza a Csatlakozás és csatlakozás lehetőséget.
  4. Adja meg a következő adatokat, és kattintson az OK gombra.
    • Kiszolgáló: APP3
    • Port: 636
    • Jelölje be az SSL-jelölőnégyzetet Képernyőkép a felhasználók ellenőrzéséhez használt LDP-kapcsolatról.
  5. A tetején, a Kapcsolat területen válassza a Kötés lehetőséget.
  6. Hagyja meg az alapértelmezett értékeket, és kattintson az OK gombra.
  7. A tetején válassza a Nézet és fa lehetőséget
  8. A BaseDN mezőben adja meg a CN=App,DC=contoso,DC=lab értéket, és kattintson az OK gombra.
  9. A bal oldalon bontsa ki a DN-t, és kattintson a CN=CloudUsers,CN=App,DC=contoso,DC=lab elemre. Látnia kell azokat a felhasználókat, akik Azure AD lettek kiépítve. A felhasználók ldp-kötését bemutató képernyőkép.

Következő lépések