Felhasználók üzembe helyezése SQL-alapú alkalmazásokba

  • Cikk

Az alábbi dokumentáció konfigurációs és oktatóanyagi információkat tartalmaz, amelyek bemutatják, hogyan használható az általános SQL-összekötő és az Extensible Csatlakozás ivity (ECMA) gazdagép az SQL Serverrel.

Ez a dokumentum ismerteti azokat a lépéseket, amelyekre szükség van ahhoz, hogy a felhasználók automatikusan kiépíthessenek és kiépíthessenek felhasználókat a Microsoft Entra-azonosítóból egy SQL-adatbázisba.

A szolgáltatás működéséről, működéséről és a gyakran ismételt kérdésekről a Microsoft Entra-azonosítóval és helyszíni alkalmazáskiépítési architektúracikkekkel rendelkező SaaS-alkalmazások felhasználói kiépítésének és leépítésének automatizálása című cikkben tájékozódhat.

Az alábbi videó áttekintést nyújt a helyszíni kiépítésről.

Az SQL Database-hez való kiépítés előfeltételei

Helyszíni előfeltételek

Az alkalmazás egy SQL-adatbázisra támaszkodik, amelyben a felhasználók rekordjai létrehozhatók, frissíthetők és törölhetők. A kiépítési ügynököt futtató számítógépnek a következőnek kell lennie:

  • Windows Server 2016 vagy újabb verzió.
  • Csatlakozás a céladatbázis-rendszerhez való Csatlakozás, valamint a login.microsoftonline.com, más Microsoft Online Services- és Azure-tartományokkal való kimenő kapcsolattal. Ilyen például az Azure IaaS-ben vagy proxy mögött üzemeltetett Windows Server 2016 rendszerű virtuális gép.
  • Legalább 3 GB RAM.
  • .NET-keretrendszer 4.7.2.
  • Az SQL-adatbázis ODBC-illesztője.

Az alkalmazás adatbázisához való kapcsolat konfigurációja varázslón keresztül történik. A kiválasztott beállításoktól függően előfordulhat, hogy a varázsló egyes képernyői nem érhetők el, és az információk kissé eltérőek lehetnek. Az alábbi információk segítségével útmutatást kaphat a konfigurációhoz.

Támogatott adatbázisok

  • Microsoft SQL Server és Azure SQL
  • IBM DB2 9.x
  • IBM DB2 10.x
  • IBM DB2 11.5
  • Oracle 10g és 11g
  • Oracle 12c és 18c
  • MySQL 5.x
  • MySQL 8.x
  • Postgres

Felhőkövetelmények

  • Microsoft Entra-bérlő P1 vagy Prémium P2 azonosítóval (vagy EMS E3 vagy E5).

    A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

  • A hibrid identitás Rendszergazda istrator szerepkör a kiépítési ügynök és az alkalmazás Rendszergazda istrator vagy felhőalkalmazási Rendszergazda istrator szerepkör konfigurálásához az Azure Portalon való üzembe helyezés konfigurálásához.

  • Az adatbázishoz kiépítendő Microsoft Entra-felhasználókat már fel kell tölteni az adatbázisséma által megkövetelt és az adatbázis által nem létrehozott attribútumokkal.

A mintaadatbázis előkészítése

Ebben a cikkben konfigurálja a Microsoft Entra SQL-összekötőt az alkalmazás relációs adatbázisának használatához. Az alkalmazások általában egy táblával kezelik a hozzáférést az SQL-adatbázisukban, és felhasználónként egy sor van a táblában. Ha már rendelkezik adatbázissal rendelkező alkalmazással, folytassa a következő szakaszban.

Ha még nem rendelkezik megfelelő táblával rendelkező adatbázissal, akkor bemutató célokra létre kell hoznia egy olyan adatbázist, amelyet a Microsoft Entra-azonosító használhat. Ha SQL Servert használ, futtassa az A függelékben található SQL-szkriptet. Ez a szkript létrehoz egy CONTOSO nevű mintaadatbázist, amely egyetlen táblát Employeestartalmaz. Ez az adatbázistábla, amelybe felhasználókat fog kiépíteni.

Táblaoszlop Forrás
ContosoLogin Microsoft Entra felhasználónév
FirstName Microsoft Entra utónév
LastName Microsoft Entra vezetéknév
E-mail Exchange Online e-mail-cím
InternalGUID Maga az adatbázis hozza létre
AzureID Microsoft Entra objektumazonosító
textID Microsoft Entra ID e-mail beceneve

Annak meghatározása, hogy a Microsoft Entra SQL Csatlakozás or hogyan fogja használni az adatbázist

Rendelkeznie kell egy felhasználói fiókkal az SQL-példányban, amely jogosult az adatbázis tábláiban lévő adatok frissítésére. Ha az SQL-adatbázist valaki más felügyeli, kérje meg a fiók nevét és jelszavát a Microsoft Entra-azonosítóhoz az adatbázis hitelesítéséhez. Ha az SQL-példány egy másik számítógépre van telepítve, akkor azt is meg kell győződnie arról, hogy az SQL-adatbázis engedélyezi a bejövő kapcsolatokat az ügynökszámítógép ODBC-illesztőprogramjából.

Ha már rendelkezik adatbázissal az alkalmazáshoz, akkor meg kell határoznia, hogy a Microsoft Entra ID hogyan kezelje az adatbázist: a táblákkal és nézetekkel való közvetlen interakciót, az adatbázisban már meglévő tárolt eljárásokon vagy a lekérdezésekhez és frissítésekhez megadott SQL-utasításokon keresztül. Ennek a beállításnak az az oka, hogy egy összetettebb alkalmazás az adatbázisában más kiegészítő táblákkal rendelkezik, több ezer felhasználót tartalmazó táblák lapozását igényli, vagy megkövetelheti, hogy a Microsoft Entra-azonosító meghívjon egy olyan tárolt eljárást, amely további adatfeldolgozást végez, például titkosítást, kivonatolást vagy érvényességi ellenőrzéseket.

Amikor létrehozza az összekötő konfigurálását az alkalmazás adatbázisával való interakcióhoz, először konfigurálja, hogyan olvassa be az összekötő-gazdagép az adatbázis sémáját, majd konfigurálja azt a megközelítést, amelyet az összekötőnek folyamatosan használnia kell, futtatási profilokon keresztül. Minden futtatási profil meghatározza, hogy az összekötő hogyan hozzon létre SQL-utasításokat. A futtatási profilok kiválasztása és a futtatási profilon belüli módszer attól függ, hogy az adatbázismotor mit támogat, és milyen alkalmazásra van szükség.

  • A konfigurálás után a kiépítési szolgáltatás elindulásakor automatikusan végrehajtja a Teljes importálás futtatási profilban konfigurált interakciókat. Ebben a futtatási profilban az összekötő beolvassa az alkalmazás adatbázisából származó felhasználók összes rekordját, általában egy Standard kiadás LECT utasítás használatával. Erre a futtatási profilra azért van szükség, hogy később, ha a Microsoft Entra-azonosítónak módosítania kell egy felhasználót, a Microsoft Entra ID tudni fogja, hogy frissítenie kell a felhasználó meglévő rekordját az adatbázisban, és nem kell új rekordot létrehoznia a felhasználó számára.

  • Minden alkalommal, amikor módosításokat hajtanak végre a Microsoft Entra-azonosítóban, például új felhasználót rendelnek hozzá az alkalmazáshoz, vagy frissítenek egy meglévő felhasználót, a kiépítési szolgáltatás végrehajtja az SQL-adatbázis által konfigurált exportálási futtatási profilt. Az Exportálási profilban a Microsoft Entra ID SQL-utasításokat ad ki az adatbázis rekordjainak beszúrásához, frissítéséhez és törléséhez, hogy az adatbázis tartalma szinkronban legyen a Microsoft Entra-azonosítóval.

  • Ha az adatbázis támogatja azt, a Delta Import futtatási profilt is konfigurálhatja. Ebben a futtatási profilban a Microsoft Entra-azonosító az adatbázisban végrehajtott módosításokban jelenik meg, a Microsoft Entra-azonosítótól eltérően, az utolsó teljes vagy változásimportálás óta. Ez a futtatási profil nem kötelező, mivel a módosítások olvasásának lehetővé tétele érdekében strukturálni kell az adatbázist.

Az összekötő minden futtatási profiljának konfigurációjában meg kell adnia, hogy a Microsoft Entra-összekötő saját SQL-utasításokat hozzon létre egy táblához vagy nézethez, meghívja-e a tárolt eljárásokat, vagy használjon-e egyéni SQL-lekérdezéseket. Általában ugyanazt a módszert fogja használni az összekötő összes futtatási profiljához.

  • Ha egy futtatási profil tábla- vagy nézetmetódusát választja, a Microsoft Entra-összekötő létrehozza a szükséges SQL-utasításokat, Standard kiadás LECT, IN Standard kiadás RT, UPDATE és DELETE parancsot az adatbázis táblájával vagy nézetével való interakcióhoz. Ez a módszer a legegyszerűbb módszer, ha az adatbázis egyetlen táblával vagy frissíthető nézettel rendelkezik néhány meglévő sortal.
  • Ha a Tárolt eljárás metódust választja, akkor az adatbázisnak négy tárolt eljárással kell rendelkeznie: be kell olvasnia egy felhasználói lapot, fel kell vennie egy felhasználót, frissítenie kell egy felhasználót és törölnie kell egy felhasználót, konfigurálnia kell a Microsoft Entra-összekötőt a meghívandó tárolt eljárások nevével és paramétereivel. Ez a megközelítés több konfigurációt igényel az SQL Database-ben, és általában csak akkor lenne szükség, ha az alkalmazás több feldolgozást igényel a felhasználó minden egyes módosítása esetében, vagyis a nagy eredményhalmazokon keresztüli lapozáshoz.
  • Ha az SQL Query metódust választja, beírja azokat az SQL-utasításokat, amelyeket az összekötőnek futtatnia kell egy futtatási profil során. Konfigurálja az összekötőt azokkal a paraméterekkel, amelyeket az összekötőnek fel kell töltenie az SQL-utasításokban, például az importálás során az eredményhalmazokon keresztüli lapozáshoz, vagy egy exportálás során létrehozott új felhasználó attribútumainak beállításához.

Ez a cikk bemutatja, hogyan használhatja a táblametódust a mintaadatbázis-táblával Employeesvaló interakcióra az Exportálás és a Teljes importálás futtatási profilokban. A tárolt eljárás vagy az SQL Query metódusok konfigurálásával kapcsolatos további információkért tekintse meg az általános SQL-konfigurációs útmutatót , amely további részleteket és konkrét követelményeket tartalmaz.

Az alkalmazás adatbázissémája egyedi azonosítóinak kiválasztása

A legtöbb alkalmazás egyedi azonosítóval rendelkezik az alkalmazás minden felhasználója számára. Ha egy meglévő adatbázistáblába épít be, akkor azonosítsa a tábla azon oszlopát, amely minden felhasználó számára tartalmaz értéket, ahol ez az érték egyedi, és nem változik. Ez az oszlop a Horgony lesz, amelyet a Microsoft Entra-azonosító a meglévő sorok azonosítására használ, hogy frissíthesse vagy törölhesse őket. A horgonyokkal kapcsolatos további információkért lásd a horgonyattribútumokról és a megkülönböztető nevekről szóló témakört.

Ha az alkalmazás adatbázisa már létezik, vannak benne felhasználók, és azt szeretné, hogy a Microsoft Entra-azonosító naprakészen tartsa ezeket a felhasználókat, akkor minden felhasználóhoz rendelkeznie kell egy azonosítóval, amely megegyezik az alkalmazás adatbázisa és a Microsoft Entra séma között. Ha például egy felhasználót rendel hozzá az alkalmazáshoz a Microsoft Entra-azonosítóban, és ez a felhasználó már szerepel az adatbázisban, akkor a Microsoft Entra ID-ban a felhasználó módosításainak frissítenie kell egy meglévő sort az adott felhasználóhoz, és nem kell új sort hozzáadnia. Mivel a Microsoft Entra-azonosító valószínűleg nem tárolja az alkalmazás belső azonosítóját az adott felhasználóhoz, ki kell választania egy másik oszlopot az adatbázis lekérdezéséhez. Ennek az oszlopnak az értéke lehet egyszerű felhasználónév, e-mail-cím, alkalmazotti azonosító vagy egyéb azonosító, amely megtalálható a Microsoft Entra-azonosítóban minden olyan felhasználónál, amely az alkalmazás hatókörében található. Ha az alkalmazás által használt felhasználói azonosító nem a felhasználó Microsoft Entra-reprezentációjában tárolt attribútum, akkor nem kell kibővítenie a Microsoft Entra felhasználói sémát egy bővítményattribútummal, és ki kell töltenie az attribútumot az adatbázisból. A Microsoft Entra-sémát kiterjesztheti, és a PowerShell használatával beállíthatja a bővítményértékeket.

A Microsoft Entra ID attribútumainak leképezése az adatbázissémára

Ha a Microsoft Entra ID kapcsolatot létesített a Microsoft Entra-azonosítóban szereplő felhasználó és az adatbázis egy rekordja között, akár az adatbázisban már szereplő felhasználó, akár egy új felhasználó számára, a Microsoft Entra-azonosító kiépítheti a Microsoft Entra-felhasználó attribútummódosításait az adatbázisba. Az egyedi azonosítókon kívül vizsgálja meg az adatbázist annak megállapításához, hogy vannak-e más szükséges tulajdonságok. Ha vannak ilyenek, győződjön meg arról, hogy az adatbázisba kiépítendő felhasználók attribútumai leképezhetők a szükséges tulajdonságokra.

Deprovisioning viselkedést is konfigurálhat. Ha az alkalmazáshoz rendelt felhasználó törölve van a Microsoft Entra-azonosítóban, akkor a Microsoft Entra ID törlési műveletet küld az adatbázisnak. Azt is kérheti, hogy a Microsoft Entra ID frissítse az adatbázist, ha egy felhasználó túllépi az alkalmazás használatának hatókörét. Ha egy felhasználó nincs hozzárendelve egy alkalmazásból, helyreállíthatóan törölve van a Microsoft Entra-azonosítóban, vagy letiltja a bejelentkezést, akkor konfigurálhatja a Microsoft Entra ID-t attribútummódosítás küldésére. Ha egy meglévő adatbázistáblába épít be, akkor a tábla egy oszlopával kell rendelkeznie, amely megfeleltethető az isSoftDeleted táblának. Amikor a felhasználó túllépi a hatókört, a Microsoft Entra-azonosító igaz értékre állítja a felhasználó értékét.

1. Az ODBC-illesztőprogram telepítése

Ahhoz a Windows Serverhez, ahová telepíteni fogja a kiépítési ügynököt, odBC-illesztőre van szükség a céladatbázishoz. Ha az SQL Serverhez vagy az Azure SQL Database-hez szeretne csatlakozni, töltse le az SQL Server ODBC-illesztőjét (x64), és telepítse azt a Windows Serverre. Más SQL-adatbázisok esetében tekintse meg a független szoftverszállító útmutatását az ODBC-illesztőprogram telepítésével kapcsolatban.

2. DSN-kapcsolatfájl létrehozása

Az általános SQL-összekötőhöz egy adatforrásnév-(DSN-) fájl szükséges az SQL-végponthoz való csatlakozáshoz. Először létre kell hoznia egy fájlt az ODBC kapcsolati adataival.

  1. Indítsa el az ODBC felügyeleti segédprogramot a kiszolgálón. Használja a 64 bites verziót.

    Screenshot that shows ODBC management.

  2. Válassza a Fájl DSN lapfülét , és válassza a Hozzáadás lehetőséget.

    Screenshot that shows the File DSN tab.

  3. Ha SQL Servert vagy Azure SQL-t használ, válassza az SQL Server natív 11.0-s ügyfelet, és válassza a Tovább lehetőséget. Ha másik adatbázist használ, válassza ki az ODBC-illesztőt.

    Screenshot that shows choosing a native client.

  4. Adjon nevet a fájlnak, például a GenericSQL-nek, és válassza a Tovább gombot. Screenshot that shows naming the connector.

  5. Válassza a Befejezés lehetőséget.

    Screenshot that shows Finish.

  6. Most konfigurálja a kapcsolatot. A következő lépések a használt ODBC-illesztőprogramtól függően eltérőek lesznek. Ez az ábra feltételezi, hogy az illesztőprogramot használja az SQL Serverhez való csatlakozáshoz. Ha az SQL Server egy másik kiszolgálószámítógépen található, adja meg a kiszolgáló nevét. Ezután válassza a Tovább gombot.

    Screenshot that shows entering a server name.

  7. Ha a lépést futtató felhasználó rendelkezik az adatbázishoz való csatlakozásra vonatkozó engedélyekkel, akkor a Windows-hitelesítés maradjon kiválasztva. Ha az SQL Server rendszergazdájának helyi SQL-fiókra van szüksége, adja meg inkább ezeket a hitelesítő adatokat. Ezután válassza a Tovább gombra.

    Screenshot that shows Windows authentication.

  8. Adja meg az adatbázis nevét, amely ebben a mintában CONTOSO.

    Screenshot that shows entering a database name.

  9. A képernyőn tartsa az alapértelmezett értéket, és válassza a Befejezés lehetőséget.

    Screenshot that shows selecting Finish.

  10. Ha ellenőrizni szeretné, hogy minden a várt módon működik-e, válassza az Adatforrás tesztelése lehetőséget.

    Screenshot that shows Test Data Source.

  11. Győződjön meg arról, hogy a teszt sikeres.

    Screenshot that shows success.

  12. Kattintson kétszer az OK gombra . Zárja be az ODBC-adatforrás Rendszergazda istratort. A DSN-kapcsolatfájl alapértelmezés szerint a Dokumentumok mappába lesz mentve.

3. A Microsoft Entra Csatlakozás kiépítési ügynök telepítése és konfigurálása

Ha már letöltötte a kiépítési ügynököt, és konfigurálta egy másik helyszíni alkalmazáshoz, folytassa az olvasást a következő szakaszban.

  1. Jelentkezzen be az Azure Portalra.
  2. Nyissa meg az Enterprise-alkalmazásokat, és válassza az Új alkalmazás lehetőséget.
  3. Keresse meg a helyszíni ECMA alkalmazásalkalmazást, adjon nevet az alkalmazásnak, és válassza a Létrehozás lehetőségeta bérlőhöz való hozzáadásához.
  4. A menüben lépjen az alkalmazás kiépítési oldalára.
  5. Válassza az Első lépések lehetőséget.
  6. A Kiépítés lapon módosítsa a módot automatikusra.

Screenshot of selecting Automatic.

  1. A Helyszíni Csatlakozás ivity területen válassza a Letöltés és telepítés, majd a Feltételek elfogadása > letöltés lehetőséget.

Screenshot of download location for agent.

  1. Hagyja el a portált, és futtassa a kiépítési ügynök telepítőt, fogadja el a szolgáltatási feltételeket, és válassza a Telepítés lehetőséget.
  2. Várja meg a Microsoft Entra kiépítési ügynök konfigurációs varázslóját, majd válassza a Tovább gombot.
  3. A Bővítmény kiválasztása lépésben válassza a Helyszíni alkalmazás kiépítését, majd a Tovább lehetőséget.
  4. A kiépítési ügynök az operációs rendszer webböngészőjét használja egy előugró ablak megjelenítéséhez, amely lehetővé teszi a Microsoft Entra-azonosítóval való hitelesítést, valamint a szervezet identitásszolgáltatóját is. Ha Az Internet Explorer böngészőt használja a Windows Serveren, akkor előfordulhat, hogy a JavaScript megfelelő futtatásához hozzá kell adnia a Microsoft-webhelyeket a böngésző megbízható webhelylistájához.
  5. Adja meg a Microsoft Entra rendszergazdájának hitelesítő adatait, amikor a rendszer kéri az engedélyezést. A felhasználónak hibrid identitás Rendszergazda istrator vagy globális Rendszergazda istrator szerepkörre van szüksége.
  6. A beállítás megerősítéséhez válassza a Megerősítés lehetőséget. Miután a telepítés sikeres volt, kiválaszthatja a Kilépés lehetőséget, és bezárhatja a Kiépítési ügynökcsomag telepítőt is.

4. A helyszíni ECMA-alkalmazás konfigurálása

  1. A portál helyszíni Csatlakozás ivity szakaszában válassza ki az üzembe helyezett ügynököt, és válassza az Ügynök(ek) hozzárendelése lehetőséget.

    Screenshot that shows how to select and assign and agent.

  2. Tartsa nyitva ezt a böngészőablakot, miközben a konfiguráció következő lépését a konfigurációs varázslóval hajtja végre.

5. A Microsoft Entra ECMA Csatlakozás or gazdagéptanúsítvány konfigurálása

  1. Azon a Windows Serveren, amelyen a kiépítési ügynök telepítve van, kattintson a jobb gombbal a Microsoft ECMA2Host konfigurációs varázslóra a start menüből, és futtassa rendszergazdaként. A varázslónak Windows-rendszergazdaként kell futnia a szükséges Windows-eseménynaplók létrehozásához.

  2. Az ECMA Csatlakozás or gazdagépkonfigurációjának elindítása után, ha először futtatja a varázslót, a rendszer megkéri, hogy hozzon létre egy tanúsítványt. Hagyja meg az alapértelmezett 8585-ös portot, és válassza a Tanúsítvány létrehozása lehetőséget a tanúsítvány létrehozásához. Az automatikusan létrehozott tanúsítvány önaláírt lesz a megbízható gyökér részeként. A tanúsítvány SAN-értéke megegyezik a gazdagép nevével.

    Screenshot that shows configuring your settings.

  3. Válassza a Mentés parancsot.

Feljegyzés

Ha úgy döntött, hogy új tanúsítványt hoz létre, jegyezze fel a tanúsítvány lejárati dátumát, hogy biztosan visszatérjen a konfigurációs varázslóhoz, és a lejárat előtt hozza létre újra a tanúsítványt.

6. Általános SQL-összekötő létrehozása

Ebben a szakaszban az adatbázis összekötőkonfigurációját hozza létre.

6.1 Az SQL-kapcsolat konfigurálása

Általános SQL-összekötő létrehozásához kövesse az alábbi lépéseket:

  1. Hozzon létre egy titkos jogkivonatot, amely a Microsoft Entra-azonosítónak az összekötőhöz való hitelesítéséhez lesz használva. A karakternek legalább 12 karakternek kell lennie, és minden alkalmazáshoz egyedinek kell lennie.

  2. Ha még nem tette meg, indítsa el a Microsoft ECMA2Host konfigurációs varázslót a Windows Start menüből.

  3. Válassza az Új Csatlakozás or lehetőséget.

    Screenshot that shows choosing New Connector.

  4. A Tulajdonságok lapon töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot.

    Screenshot that shows entering properties.

    Tulajdonság Érték
    Név Az összekötőhöz választott névnek egyedinek kell lennie a környezet összes összekötőjében. Ha például csak egy SQL-adatbázissal rendelkezik, SQLakkor.
    Autoszinkron időzítő (perc) 120
    Titkos jogkivonat Adja meg az összekötőhöz létrehozott titkos jogkivonatot. A kulcsnak legalább 12 karakternek kell lennie.
    Bővítmény DLL-je Az általános SQL-összekötőhöz válassza a Microsoft.IAM.CsatlakozásVagy. GenericSql.dll.

  5. A Csatlakozás tivitás lapon töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot.

    Screenshot that shows the Connectivity page.

    Tulajdonság Leírás
    DSN-fájl Az előző lépésben létrehozott adatforrásnévfájl, amely az SQL-példányhoz való csatlakozásra szolgál.
    Felhasználónév Az SQL-példány táblájának frissítésére jogosult fiók felhasználóneve. Ha a céladatbázis SQL Server, és Windows-hitelesítést használ, a felhasználónévnek gazdagépnév\sqladminaccount formában kell lennie önálló kiszolgálók esetében, vagy tartománynév\sqladminaccount for domain\sqladminaccount for domain member servers. Más adatbázisok esetén a felhasználónév egy helyi fiók lesz az adatbázisban.
    Jelszó A megadott felhasználónév jelszava.
    A DN horgony Hacsak nem ismert, hogy a környezet megköveteli ezeket a beállításokat, ne jelölje be a DN horgony és exportálás típusa:Objektum cseréje jelölőnégyzetet.

6.2 A séma lekérése az adatbázisból

Miután megadta a hitelesítő adatokat, az ECMA Csatlakozás or gazdagép készen áll az adatbázis sémájának lekérésére. Folytassa az SQL-kapcsolat konfigurációjával:

  1. A Séma 1 lapon meg kell adnia az objektumtípusok listáját. Ebben a mintában egyetlen objektumtípus található. User Töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot.

    Screenshot that shows the Schema 1 page.

    Tulajdonság Érték
    Objektumtípus-észlelési módszer Rögzített érték
    Rögzített értéklista/Tábla/Nézet/SP User

  2. A Tovább gombra kattintva a következő oldal automatikusan megjelenik az User objektumtípus konfigurálása érdekében. A Séma 2 lapon jelzi, hogy a felhasználók hogyan jelennek meg az adatbázisban. Ebben a mintában ez egy egyetlen SQL-tábla, neve Employees. Töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot.

    Screenshot that shows the Schema 2 page.

    Tulajdonság Érték
    Felhasználó:Attribútumészlelés Tábla
    Felhasználó:Table/View/SP Az adatbázisban lévő tábla neve, például Employees

    Feljegyzés

    Hiba esetén ellenőrizze az adatbázis konfigurációját, hogy a Csatlakozás ivity lapon megadott felhasználó olvasási hozzáféréssel rendelkezzen az adatbázis sémájához.

  3. A Tovább gombot választva a következő oldal automatikusan megjelenik, hogy kijelölje a korábban megadott táblázat oszlopait, például a Employees mintában szereplő táblázatot, amelyet a felhasználók és DN a Anchor felhasználók számára kell használni. Ezek az oszlopok egyedi azonosítókat tartalmaznak az adatbázisban. Használhatja ugyanazokat vagy különböző oszlopokat, de győződjön meg arról, hogy az adatbázisban már szereplő sorok egyedi értékekkel rendelkeznek ezekben az oszlopokban. A Séma 3 lapon töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot.

    Screenshot that shows the Schema 3 page.

    Tulajdonság Leírás
    Válassza a Horgony lehetőséget a következőhöz: Felhasználó A horgonyhoz használandó adatbázistábla oszlopa, például User:ContosoLogin
    A felhasználó DN attribútumának kiválasztása A DN attribútumhoz használandó adatbázis oszlopa, például AzureID

  4. A Tovább gombot választva a következő oldal automatikusan megjelenik, hogy megerősítse a táblázat egyes oszlopainak adattípusátEmployee, és hogy az összekötő importálja vagy exportálja-e őket. A Séma 4 lapon hagyja meg az alapértelmezett értékeket, és válassza a Tovább gombot.

    Screenshot that shows the Schema 4 page.

  5. A Globális lapon töltse ki a mezőket, és válassza a Tovább gombot. Az egyes mezőkre vonatkozó útmutatásért használja a képet követő táblázatot.

    Screenshot that shows the Global page.

    Tulajdonság Leírás
    Delta-stratégia IBM DB2 esetén válassza a None
    Vízjeles lekérdezés IBM DB2 esetén írja be a következőt: SELECT CURRENT TIMESTAMP FROM SYSIBM.SYSDUMMY1;
    Adatforrás dátumának időformátuma SQL Server yyyy-MM-dd HH:mm:ss és IBM DB2 esetén YYYY-MM-DD

  6. A Partíciók lapon válassza a Tovább gombot.

    Screenshot that shows the Partitions page.

6.3 A futtatási profilok konfigurálása

Ezután konfigurálja az exportálási és a teljes importálási futtatási profilokat. Az Exportálási futtatási profil akkor lesz használva, ha az ECMA Csatlakozás or-gazdagépnek módosításokat kell küldenie a Microsoft Entra-azonosítóból az adatbázisba a rekordok beszúrásához, frissítéséhez és törléséhez. A teljes importálási futtatási profil az ECMA Csatlakozás or gazdagépszolgáltatás indításakor lesz használva az adatbázis aktuális tartalmának olvasásához. Ebben a példában a Table metódust fogja használni mindkét futtatási profilban, hogy az ECMA Csatlakozás or gazdagép létrehozza a szükséges SQL-utasításokat.

Folytassa az SQL-kapcsolat konfigurációjával:

  1. A Profilok futtatása lapon tartsa bejelölve az Exportálás jelölőnégyzetet. Jelölje be a Teljes importálás jelölőnégyzetet, és válassza a Tovább gombot.

    Screenshot that shows the Run Profiles page.

    Tulajdonság Leírás
    Exportálás Olyan profil futtatása, amely adatokat exportál az SQL-be. Ez a futtatási profil szükséges.
    Teljes importálás Futtassa a profilt, amely a korábban megadott SQL-forrásokból importálja az összes adatot.
    Delta importálása Futtassa a profilt, amely csak az SQL módosításait importálja az utolsó teljes vagy változásimportálás óta.

  2. A Tovább gombot választva a következő oldal automatikusan megjelenik, hogy konfigurálja az Exportálási futtatási profil metódusát. Az Exportálás lapon töltse ki a mezőket, és válassza a Tovább gombot. Az egyes mezőkre vonatkozó útmutatásért használja a képet követő táblázatot.

    Screenshot that shows the Export page.

    Tulajdonság Leírás
    Műveletmetódus Tábla
    Table/View/SP Ugyanaz a tábla, mint a Séma 2 lapon konfigurálva, például Employees

  3. A Teljes importálás lapon töltse ki a mezőket, és válassza a Tovább gombot. Az egyes mezőkre vonatkozó útmutatásért használja a képet követő táblázatot.

    Screenshot that shows the Full Import page.

    Tulajdonság Leírás
    Műveletmetódus Tábla
    Table/View/SP Ugyanaz a tábla, mint a Séma 2 lapon konfigurálva, például Employees

6.4 Az attribútumok felületének konfigurálása a Microsoft Entra-azonosítóban

Az SQL-kapcsolat beállításainak utolsó lépésében konfigurálja az attribútumok felületét a Microsoft Entra-azonosítóban:

  1. Az Objektumtípusok lapon töltse ki a mezőket, és válassza a Tovább gombot. Az egyes mezőkre vonatkozó útmutatásért használja a képet követő táblázatot.

    • Horgony: Az attribútum értékeinek egyedinek kell lenniük a céladatbázis minden objektumához. A Microsoft Entra kiépítési szolgáltatás a kezdeti ciklus után ezt az attribútumot használva kérdezi le az ECMA-összekötő gazdagépét. Ennek a horgonyértéknek meg kell egyeznie a Séma 3 oldalon korábban konfigurált horgonyoszloppal.
    • Lekérdezési attribútum: Ennek az attribútumnak meg kell egyeznie a Horgony attribútummal.
    • DN: Az automatikusan létrehozott beállítást a legtöbb esetben ki kell választani. Ha nincs kiválasztva, győződjön meg arról, hogy a DN attribútum a Microsoft Entra ID egyik attribútumához van rendelve, amely a következő formátumban tárolja a DN-t: CN = anchorValue, Object = objectType. A horgonyokról és a DN-ről további információt a horgonyattribútumokról és a megkülönböztető nevekről szóló cikkben talál.
    Tulajdonság Leírás
    Célobjektum User
    Horgony A Séma 3 lapon konfigurált oszlop, például ContosoLogin
    Lekérdezési attribútum Ugyanaz az oszlop, mint a Horgony, például ContosoLogin
    DN Ugyanaz az oszlop, mint a Séma 3 lapon konfigurálva, például ContosoLogin
    Automatikusan létrehozott Jelölje be

  2. Az ECMA-összekötő gazdagépe felderíti a céladatbázis által támogatott attribútumokat. Kiválaszthatja, hogy mely attribútumokat szeretné elérhetővé tenni a Microsoft Entra ID-nak. Ezek az attribútumok ezután konfigurálhatók az Azure Portalon a kiépítéshez. Az Attribútumok kiválasztása lapon egyenként adja hozzá az összes attribútumot a legördülő listában.

Az Attribútum legördülő lista megjeleníti a céladatbázisban felderített és az előző Attribútumok kiválasztása lapon nem kiválasztott attribútumokat. Az összes releváns attribútum hozzáadása után válassza a Tovább gombot.

Screenshot of attribute dropdown list.

  1. A Leépítés lap Folyamat letiltása területén válassza a Törlés lehetőséget. Az előző lapon kijelölt attribútumok nem lesznek kiválaszthatók a Deprovisioning lapon. Válassza a Befejezéslehetőséget.

Feljegyzés

Ha az Attribútum beállítása értéket használja, vegye figyelembe, hogy csak logikai értékek engedélyezettek.

Screenshot that shows the Deprovisioning page.

7. Győződjön meg arról, hogy az ECMA2Host szolgáltatás fut

  1. A Microsoft Entra ECMA Csatlakozás or gazdagépet futtató kiszolgálón válassza a Start lehetőséget.

  2. Írja be a futtatás kifejezést, és írja be a services.msc kifejezést a mezőbe.

  3. A Szolgáltatások listában győződjön meg arról, hogy a Microsoft ECMA2Host jelen van és fut. Ha nem, válassza a Start lehetőséget.

    Screenshot that shows the service is running.

Ha új adatbázishoz vagy üres adatbázishoz csatlakozik, és nincs felhasználója, folytassa a következő szakaszban. Ellenkező esetben kövesse az alábbi lépéseket annak ellenőrzéséhez, hogy az összekötő azonosította-e az adatbázis meglévő felhasználóit.

  1. Ha nemrég indította el a szolgáltatást, és sok felhasználói objektum található az adatbázisban, várjon néhány percet, amíg az összekötő kapcsolatot létesít az adatbázissal.

8. Az alkalmazáskapcsolat konfigurálása az Azure Portalon

  1. Térjen vissza arra a böngészőablakra, ahol az alkalmazás kiépítését konfigurálta.

    Feljegyzés

    Ha az ablak túllépte az időkorlátot, újra ki kell választania az ügynököt.

    1. Jelentkezzen be az Azure Portalra.
    2. Nyissa meg a Nagyvállalati alkalmazásokat és a helyszíni ECMA-alkalmazásalkalmazást .
    3. Válassza a Kiépítés lehetőséget.
    4. Ha megjelenik az Első lépések funkció, módosítsa a módot Automatikus módra, a Helyszíni Csatlakozás ivity szakaszban válassza ki az üzembe helyezett ügynököt, és válassza az Ügynök(ek) hozzárendelése lehetőséget. Ellenkező esetben nyissa meg a Kiépítés szerkesztése elemet.

  2. A Rendszergazda hitelesítő adatok szakaszban adja meg a következő URL-címet. Cserélje le a {connectorName} részt az ECMA-összekötő gazdagépén található összekötő nevére, például az SQL-re. Az összekötő neve megkülönbözteti a kis- és nagybetűk nevét, és a varázslóban konfigurált esetnek is meg kell egyeznie. A gép gazdagépneve is lecserélhető localhost .

    Tulajdonság Érték
    Bérlő URL-címe https://localhost:8585/ecma2host_{connectorName}/scim

  3. Adja meg az összekötő létrehozásakor definiált titkos jogkivonat értékét.

    Feljegyzés

    Ha most rendelte hozzá az ügynököt az alkalmazáshoz, várjon 10 percet, amíg a regisztráció befejeződik. A kapcsolati teszt csak a regisztráció befejezéséig működik. Ha arra kényszeríti az ügynök regisztrációját, hogy befejezze a kiépítési ügynök újraindítását a kiszolgálón, felgyorsíthatja a regisztrációs folyamatot. Lépjen a kiszolgálóra, keressen szolgáltatásokat a Windows keresősávjában, azonosítsa a Microsoft Entra Csatlakozás Kiépítési ügynök szolgáltatást, kattintson a jobb gombbal a szolgáltatásra, és indítsa újra.

  4. Válassza a Csatlakozás ion tesztelése lehetőséget, és várjon egy percet.

    Screenshot that shows assigning an agent.

  5. Miután a kapcsolati teszt sikeres volt, és azt jelzi, hogy a megadott hitelesítő adatok jogosultak a kiépítés engedélyezésére, válassza a Mentés lehetőséget.

    Screenshot that shows testing an agent.

9. Attribútumleképezések konfigurálása

Most le kell képeznie az attribútumokat a felhasználó Microsoft Entra-azonosítóban való megjelenítése és a felhasználónak a helyszíni alkalmazás SQL-adatbázisában való megjelenítése között.

Az Azure Portal használatával konfigurálhatja a Microsoft Entra-felhasználó attribútumai és az ECMA-gazdagép konfigurációs varázslójában korábban kiválasztott attribútumok közötti megfeleltetést.

  1. Győződjön meg arról, hogy a Microsoft Entra séma tartalmazza az adatbázis által igényelt attribútumokat. Ha az adatbázis megköveteli, hogy a felhasználók rendelkezzenek egy attribútummal( például uidNumber, és ez az attribútum még nem része egy felhasználó Microsoft Entra-sémájának), akkor a címtárkiterjesztési funkcióval bővítményként kell hozzáadnia ezt az attribútumot.

  2. A Microsoft Entra Felügyeleti központban a Nagyvállalati alkalmazások területen válassza ki a helyszíni ECMA alkalmazásalkalmazást, majd a Kiépítés lapot.

  3. Válassza a Kiépítés szerkesztése lehetőséget, és várjon 10 másodpercet.

  4. Bontsa ki a Leképezések elemet, és válassza ki a Microsoft Entra ID Users leképezését. Ha ez az első alkalom, hogy konfigurálta az alkalmazás attribútumleképezéseit, ez lesz a helyőrzők egyetlen leképezése.

    Screenshot that shows provisioning a user.

  5. Ha ellenőrizni szeretné, hogy az adatbázis sémája elérhető-e a Microsoft Entra-azonosítóban, jelölje be a Speciális beállítások megjelenítése jelölőnégyzetet, és válassza a ScimOnPremises attribútumlistájának szerkesztése lehetőséget. Győződjön meg arról, hogy a konfigurációs varázslóban kiválasztott összes attribútum szerepel a listában. Ha nem, várjon néhány percet a séma frissítésére, majd töltse be újra a lapot. Miután látta a felsorolt attribútumokat, zárja be a lapot a leképezési listához való visszatéréshez.

  6. Most kattintson a userPrincipalName PLACEHOLDER leképezésre. Ez a leképezés alapértelmezés szerint hozzáadódik, amikor először konfigurálja a helyszíni kiépítést.

Screenshot of placeholder. Módosítsa az attribútum értékeit az alábbiaknak megfelelően:

Leképezés típusa Forrásattribútum Célattribútum
Közvetlen userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin

Screenshot of changing value.

  1. Most válassza az Új leképezés hozzáadása lehetőséget, és ismételje meg a következő lépést az egyes leképezésekhez.

    Screenshot that shows Add New Mapping.

  2. Az alábbi táblázatban adja meg az egyes leképezések forrás- és célattribútumait.

    Screenshot that shows saving the mapping.

    Leképezés típusa Forrásattribútum Célattribútum
    Közvetlen userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin
    Közvetlen objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureID
    Közvetlen levélküldés urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Közvetlen givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:FirstName
    Közvetlen surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:LastName
    Közvetlen mailNickname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:textID

  3. Miután az összes leképezést hozzáadta, válassza a Mentés lehetőséget.

10. Felhasználók hozzárendelése egy alkalmazáshoz

Most, hogy a Microsoft Entra ECMA Csatlakozás or gazdagép a Microsoft Entra-azonosítóval és az attribútumleképezés konfigurálva van, továbbléphet a kiépítés hatókörében lévő felhasználók konfigurálására.

Fontos

Ha hibrid identitás Rendszergazda istrator szerepkörrel jelentkezett be, akkor ehhez a szakaszhoz ki kell jelentkeznie és be kell jelentkeznie egy olyan fiókkal, amely rendelkezik az Alkalmazás Rendszergazda istrator, a Felhőalkalmazás Rendszergazda istrator vagy a Globális Rendszergazda istrator szerepkörrel. A Hibrid identitás Rendszergazda istrator szerepkör nem rendelkezik jogosultságokkal a felhasználók alkalmazásokhoz való hozzárendeléséhez.

Ha vannak meglévő felhasználók az SQL-adatbázisban, akkor alkalmazásszerepkör-hozzárendeléseket kell létrehoznia a meglévő felhasználók számára. Ha többet szeretne megtudni az alkalmazásszerepkör-hozzárendelések tömeges létrehozásáról, tekintse meg az alkalmazás meglévő felhasználóinak szabályozását a Microsoft Entra-azonosítóban.

Ellenkező esetben, ha az alkalmazásnak nincsenek aktuális felhasználói, válasszon ki egy tesztfelhasználót a Microsoft Entra-ból, aki ki lesz építve az alkalmazás számára.

  1. Győződjön meg arról, hogy a felhasználó rendelkezik az adatbázisséma szükséges attribútumaihoz leképezett összes tulajdonsággal.

  2. Az Azure Portalon válassza ki a Nagyvállalati alkalmazásokat.

  3. Válassza ki a helyszíni ECMA alkalmazásalkalmazást .

  4. A bal oldalon, a Kezelés csoportban válassza a Felhasználók és csoportok lehetőséget.

  5. Válassza a Felhasználó/csoport hozzáadása lehetőséget.

    Screenshot that shows adding a user.

  6. A Felhasználók csoportban válassza a Nincs kijelölve lehetőséget.

    Screenshot that shows None Selected.

  7. Válassza ki a felhasználókat a jobb oldalon, és válassza a Kiválasztás gombot.

    Screenshot that shows Select users.

  8. Most válassza a Hozzárendelés lehetőséget.

    Screenshot that shows Assign users.

11. Kiépítés tesztelése

Most, hogy az attribútumok le vannak képezve, és a felhasználók ki vannak rendelve, tesztelheti az igény szerinti kiépítést az egyik felhasználóval.

  1. Az Azure Portalon válassza ki a Nagyvállalati alkalmazásokat.

  2. Válassza ki a helyszíni ECMA alkalmazásalkalmazást .

  3. A bal oldalon válassza a Kiépítés lehetőséget.

  4. Válassza az Igény szerinti kiépítés lehetőséget.

  5. Keressen rá az egyik tesztfelhasználóra, és válassza a Kiépítés lehetőséget.

    Screenshot that shows testing provisioning.

  6. Néhány másodperc elteltével megjelenik a célrendszerben sikeresen létrehozott felhasználót tartalmazó üzenet a felhasználói attribútumok listájával.

12. Felhasználók üzembe helyezésének megkezdése

  1. Az igény szerinti kiépítés sikeres elvégzése után térjen vissza a kiépítés konfigurációs oldalára. Győződjön meg arról, hogy a hatókör csak a hozzárendelt felhasználókra és csoportokra van beállítva, kapcsolja be a kiépítést, és válassza a Mentés lehetőséget.

    Screenshot that shows Start provisioning.

  2. Várjon néhány percet a kiépítés elindításához. Akár 40 percet is igénybe vehet. Miután a kiépítési feladat befejeződött, a következő szakaszban leírtak szerint, ha végzett a tesztelésével, a kiépítési állapotot Ki értékre állíthatja, és kiválaszthatja a Mentés lehetőséget. Ez a művelet megakadályozza, hogy a kiépítési szolgáltatás a jövőben fusson.

Kiépítési hibák elhárítása

Ha hiba jelenik meg, válassza a Kiépítési naplók megtekintése lehetőséget. Keresse meg a naplóban azt a sort, amelyben az állapot hiba, és válassza ki az adott sort.

Ha a hibaüzenet nem sikerült létrehozni a felhasználót, ellenőrizze az adatbázisséma követelményeinek megfelelő attribútumokat.

További információ: Hibaelhárítás &Javaslatok lap. Ha az ODBC-illesztő egy üzenetet adott vissza, az itt is megjeleníthető. Az üzenet ERROR [23000] [Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert the value NULL into column 'FirstName', table 'CONTOSO.dbo.Employees'; column does not allow nulls. például az ODBC-illesztő hibája. Ebben az esetben előfordulhat, hogy az column does not allow nullsFirstName adatbázis oszlopa kötelező, de a kiépített felhasználó nem rendelkezik givenName attribútummal, így a felhasználó nem építhető ki.

Ellenőrizze, hogy a felhasználók sikeresen ki lettek-e építve

Várakozás után ellenőrizze az SQL-adatbázist, hogy a felhasználók ki vannak-e építve.

Screenshot checking that users are provisioned.

„A” függelék

Ha SQL Servert használ, az alábbi SQL-szkripttel hozhatja létre a mintaadatbázist.

---Creating the Database---------
Create Database CONTOSO
Go
-------Using the Database-----------
Use [CONTOSO]
Go
-------------------------------------

/****** Object:  Table [dbo].[Employees]    Script Date: 1/6/2020 7:18:19 PM ******/
SET ANSI_NULLS ON
GO

SET QUOTED_IDENTIFIER ON
GO

CREATE TABLE [dbo].[Employees](
	[ContosoLogin] [nvarchar](128) NULL,
	[FirstName] [nvarchar](50) NOT NULL,
	[LastName] [nvarchar](50) NOT NULL,
	[Email] [nvarchar](128) NULL,
	[InternalGUID] [uniqueidentifier] NULL,
	[AzureID] [uniqueidentifier] NULL,
	[textID] [nvarchar](128) NULL
) ON [PRIMARY]
GO

ALTER TABLE [dbo].[Employees] ADD  CONSTRAINT [DF_Employees_InternalGUID]  DEFAULT (newid()) FOR [InternalGUID]
GO

Következő lépések