A Microsoft Entra ID konfigurálása a felhasználók linuxos hitelesítéshez használt LDAP-címtárba való kiépítéséhez

Cikk
06/14/2024

Az alábbi dokumentáció egy oktatóanyag, amely bemutatja, hogyan szabályozhatja a Linux-rendszerekhez való hozzáférést. Ezt úgy valósítja meg a Microsoft Entra, hogy a felhasználókat egy olyan helyszíni LDAP-címtárba helyezi át, amelyet a Linux-rendszer megbízhatónak talál, így ezek a felhasználók később bejelentkezhetnek egy Olyan Linux-rendszerbe, amely az adott LDAP-címtárra támaszkodik a felhasználói hitelesítéshez. Amikor egy felhasználót eltávolítanak a Microsoft Entra-azonosítóból, később már nem tudnak bejelentkezni linuxos rendszerbe.

Feljegyzés

Az ebben a cikkben ismertetett forgatókönyv csak olyan meglévő Linux-rendszerekre vonatkozik, amelyek már egy névszolgáltatás-kapcsolóra (NSS) vagy a pam-beli LDAP-modulra támaszkodnak a felhasználóazonosításhoz és -hitelesítéshez. Az Azure-ban vagy az Azure Arc-kompatibilis Linux rendszerű virtuális gépeket ehelyett integrálni kell a Microsoft Entra-hitelesítéssel. Mostantól a Microsoft Entra ID-t használhatja alapszintű hitelesítési platformként, valamint egy hitelesítésszolgáltatót, a Microsoft Entra ID és az OpenSSH tanúsítványalapú hitelesítés használatával, amely a Microsoft Entra ID és az OpenSSH használatával történő Bejelentkezés linuxos virtuális gépre az Azure-ban.

A felhasználók LDAP-címtárakba való kiépítésével kapcsolatos egyéb forgatókönyvek esetén– a Linux-hitelesítés kivételével – tekintse meg a Microsoft Entra ID konfigurálását a felhasználók LDAP-címtárakba való kiépítéséhez.

A felhasználók Linux-hitelesítéshez szükséges LDAP-címtárba való kiépítésének előfeltételei

Ez a cikk feltételezi, hogy az LDAP-kiszolgáló már jelen van a helyszíni környezetben, amelyet egy vagy több Linux- vagy más POSIX-rendszer használ a felhasználói hitelesítéshez.

Diagram, amely a helyszíni kiépítés architektúráját mutatja be a Microsoft Entra ID-ból egy LDAP-címtárkiszolgálóra.

Helyszíni előfeltételek

Linux vagy más POSIX-kiszolgáló, amely PAM- vagy NSS-modullal válaszol egy címtárkiszolgálóra.
Olyan LDAP-címtárkiszolgáló, amely támogatja a POSIX-sémát, például az OpenLDAP-t, amelyben a felhasználók létrehozhatók, frissíthetők és törölhetők. A támogatott címtárkiszolgálókkal kapcsolatos további információkért tekintse meg az általános LDAP-összekötő referenciáit.
Olyan számítógép, amely legalább 3 GB RAM-mal rendelkezik egy kiépítési ügynök üzemeltetéséhez. A számítógépnek Windows Server 2016-os vagy újabb Windows Server-verzióval kell rendelkeznie, a célkönyvtár-kiszolgálóhoz való kapcsolódással, valamint a login.microsoftonline.com, más Microsoft Online Services - és Azure-tartományokkal való kimenő kapcsolattal. Ilyen például az Azure IaaS-ben vagy proxy mögött üzemeltetett Windows Server 2016 rendszerű virtuális gép. A .NET-keretrendszer 4.7.2-t telepíteni kell a kiszolgálón.
Nem kötelező: Bár nem kötelező, javasoljuk, hogy töltse le a Windows Serverhez készült Microsoft Edge-et, és használja azt az Internet Explorer helyett.

Felhőkövetelmények

Microsoft Entra-bérlő P1 vagy Prémium P2 azonosítóval (vagy EMS E3 vagy E5).

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.
A kiépítési ügynök konfigurálásához használt hibrid identitás-rendszergazdai szerepkör.
Az Azure Portalon vagy a Microsoft Entra felügyeleti központban történő üzembe helyezés konfigurálásához szükséges alkalmazásadminisztrátori vagy felhőalkalmazás-rendszergazdai szerepkörök.
Az LDAP-címtárba kiosztandó Microsoft Entra-felhasználókat már fel kell tölteni a címtárkiszolgáló sémája által megkövetelt és az egyes felhasználókra jellemző attribútumokkal. Minden felhasználónak egyedi számmal kell rendelkeznie felhasználói azonosítószámként. Mielőtt üzembe helyezné a kiépítési ügynököt, és felhasználókat rendelne hozzá a címtárhoz, létre kell hoznia ezt a számot egy meglévő attribútumból a felhasználón, vagy ki kell terjesztenie a Microsoft Entra sémát, és ki kell töltenie ezt az attribútumot a hatókörben lévő felhasználókon. További címtárbővítmények létrehozásához lásd a Graph bővíthetőségét .

További javaslatok és korlátozások

Az alábbi listajelek további javaslatokat és korlátozásokat jelentenek.

Nem ajánlott ugyanazt az ügynököt használni a felhőszinkronizáláshoz és a helyszíni alkalmazások kiépítéséhez. A Microsoft azt javasolja, hogy használjon külön ügynököt a felhőszinkronizáláshoz, egyet pedig a helyszíni alkalmazások kiépítéséhez.
Az AD LDS esetében jelenleg a felhasználók nem építhetők ki jelszavakkal. Ezért le kell tiltania az AD LDS jelszószabályzatát, vagy letiltott állapotban kell kiépítenie a felhasználókat.
Más címtárkiszolgálók esetében megadhat egy kezdeti véletlenszerű jelszót, de a Microsoft Entra-felhasználó jelszavát nem lehet kiépíteni egy címtárkiszolgálón.
A felhasználók LDAP-ból Microsoft Entra-azonosítóba történő kiépítése nem támogatott.
A csoportok és a felhasználói tagságok címtárkiszolgálóra történő kiépítése nem támogatott.

Annak meghatározása, hogy a Microsoft Entra LDAP-összekötő hogyan fogja használni a címtárkiszolgálót

Mielőtt üzembe helyeznénk az összekötőt egy meglévő címtárkiszolgálón, meg kell beszélnünk a szervezet címtárkiszolgáló-operátorával, hogyan integrálható a címtárkiszolgálóval. Az összegyűjtött információk közé tartoznak a címtárkiszolgálóhoz való csatlakozás hálózati információi, az összekötőnek a címtárkiszolgálóhoz való hitelesítése, a címtárkiszolgáló által a felhasználók modellezéséhez kiválasztott séma, az elnevezési környezet alap megkülönböztető neve és a címtárhierarchia szabályai, a címtárkiszolgáló felhasználóinak a Microsoft Entra ID-beli felhasználókhoz való társítása, és mi történjen, ha egy felhasználó kiesik a hatókörből a Microsoft Entra-azonosítóban. Az összekötő üzembe helyezéséhez szükség lehet a címtárkiszolgáló konfigurációjának módosítására, valamint a Microsoft Entra ID konfigurációjának módosítására. Ha a Microsoft Entra ID-t egy külső címtárkiszolgálóval integrálja éles környezetben, javasoljuk, hogy az ügyfelek a címtárkiszolgáló szállítójával vagy egy üzembe helyezési partnerrel együttműködve segítsenek, útmutatást és támogatást nyújthassanak az integrációhoz. Ez a cikk a következő mintaértékeket használja az OpenLDAP-hoz.

Konfigurációs beállítás	Ahol az érték be van állítva	Példaérték
a címtárkiszolgáló állomásneve	Konfigurációs varázsló Kapcsolat lapja	`APP3`
a címtárkiszolgáló portszáma	Konfigurációs varázsló Kapcsolat lapja	636. SSL-en vagy TLS-en (LDAPS) keresztüli LDAP esetén használja a 636-os portot. Ehhez `Start TLS`használja a 389-s portot.
fiók az összekötő számára, hogy azonosítsa magát a címtárkiszolgálón	Konfigurációs varázsló Kapcsolat lapja	`cn=admin,dc=contoso,dc=lab`
az összekötő jelszava a címtárkiszolgálón való hitelesítéshez	Konfigurációs varázsló Kapcsolat lapja
szerkezeti objektumosztály egy felhasználó számára a címtárkiszolgálón	Konfigurációs varázsló Objektumtípusok lapja	`inetOrgPerson`
segédobjektumosztályok egy felhasználó számára a címtárkiszolgálón	Az Azure Portal kiépítési oldalattribútum-leképezései	`posixAccount` és`shadowAccount`
új felhasználó által feltöltendő attribútumok	Konfigurációs varázsló – Attribútumok kiválasztása lap és Az Azure Portal kiépítési lapattribútum-leképezései	`cn`, `gidNumber`, `homeDirectory`, `mailobjectClass`, `sn`, `uid`, , `uidNumberuserPassword`
a címtárkiszolgáló által megkövetelt elnevezési hierarchia	Az Azure Portal kiépítési oldalattribútum-leképezései	Az újonnan létrehozott felhasználó DN-jének beállítása közvetlenül az alábbi értékre `DC=Contoso,DC=lab`
attribútumok a felhasználók Microsoft Entra-azonosítóval és címtárkiszolgálóval való korrelálásához	Az Azure Portal kiépítési oldalattribútum-leképezései	`mail`
deprovisioning behavior when a user goes out of scope in Microsoft Entra ID	Konfigurációs varázsló – Leépítés lap	A felhasználó törlése a címtárkiszolgálóról

A címtárkiszolgáló hálózati címe állomásnév és TCP-portszám, általában 389-es vagy 636-os port. Kivéve, ha a címtárkiszolgáló ugyanazon a Windows Serveren található az összekötővel együtt, vagy hálózati szintű biztonságot használ, az összekötő és a címtárkiszolgáló közötti hálózati kapcsolatokat SSL vagy TLS használatával kell védeni. Az összekötő támogatja a 389-s porton lévő címtárkiszolgálóhoz való csatlakozást, és a TLS indítása a TLS engedélyezéséhez a munkameneten belül. Az összekötő támogatja a címtárkiszolgálóhoz való csatlakozást a 636-os porton az LDAPS – LDAP TLS-en keresztül.

Az összekötőnek azonosított fiókkal kell rendelkeznie ahhoz, hogy a címtárkiszolgálón már konfigurált címtárkiszolgálón hitelesíthesse magát. Ez a fiók általában megkülönböztető névvel van azonosítva, és társított jelszóval vagy ügyféltanúsítvánnyal rendelkezik. A csatlakoztatott címtárban lévő objektumok importálási és exportálási műveleteinek elvégzéséhez az összekötőfióknak megfelelő engedélyekkel kell rendelkeznie a címtár hozzáférés-vezérlési modelljében. Az összekötőnek írási engedélyekkel kell rendelkeznie az exportáláshoz, és olvasási engedélyekkel kell rendelkeznie az importáláshoz. Az engedélykonfiguráció a célkönyvtár felügyeleti funkcióin belül történik.

A címtárséma azokat az objektumosztályokat és attribútumokat határozza meg, amelyek a címtárban egy valós entitást képviselnek. Az összekötő támogatja a szerkezeti objektumosztályokkal képviselt felhasználókat, például inetOrgPerson, és opcionálisan további kiegészítő objektumosztályokat is. Annak érdekében, hogy az összekötő kiépíthesse a felhasználókat a címtárkiszolgálón, az Azure Portal konfigurációja során a Microsoft Entra sémából az összes kötelező attribútumra leképezéseket fog meghatározni. Ide tartoznak a szerkezeti objektumosztály kötelező attribútumai, a szerkezeti objektumosztály bármely szuperosztálya, valamint a kiegészítő objektumosztályok kötelező attribútumai. Emellett valószínűleg az osztályok választható attribútumaihoz is konfigurálja a leképezéseket. A Linux-hitelesítést támogató POSIX-sémával rendelkező OpenLDAP-címtárkiszolgálók esetében előfordulhat, hogy egy új felhasználó objektuma olyan attribútumokkal rendelkezik, mint az alábbi példa.

dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password

A címtárkiszolgáló által implementált címtárhierarchiaszabályok azt írják le, hogy az egyes felhasználók objektumai hogyan kapcsolódnak egymáshoz és a címtárban lévő meglévő objektumokhoz. A legtöbb üzemelő példányban a szervezet úgy döntött, hogy egy lapos hierarchiával rendelkezik a címtárkiszolgálón, amelyben a felhasználó minden objektuma közvetlenül egy közös alapobjektum alatt található. Ha például az elnevezési környezet alap megkülönböztető neve egy címtárkiszolgálón, dc=contoso,dc=com akkor egy új felhasználónak megkülönböztető neve van, például cn=alice,dc=contoso,dc=com. Előfordulhat azonban, hogy egyes szervezetek összetettebb címtárhierarchiával rendelkeznek, ebben az esetben az összekötő megkülönböztető névleképezésének megadásakor végre kell hajtania a szabályokat. Előfordulhat például, hogy a címtárkiszolgálók részlegenként szervezeti egységekben fogják a felhasználókat, így egy új felhasználó neve olyan megkülönböztető, mint a cn=alice,ou=London,dc=contoso,dc=com. Mivel az összekötő nem hoz létre köztes objektumokat a szervezeti egységekhez, a címtárkiszolgálói szabályhierarchiában elvárt köztes objektumoknak már létezniük kell a címtárkiszolgálón.

Ezután meg kell határoznia, hogy az összekötő hogyan állapítsa meg, hogy van-e már felhasználó a Microsoft Entra-felhasználónak megfelelő címtárkiszolgálón. Minden LDAP-címtárnak van egy megkülönböztető neve, amely a címtárkiszolgáló minden objektumára egyedi, azonban ez a megkülönböztető név gyakran nem jelenik meg a Microsoft Entra-azonosítóban lévő felhasználók számára. Ehelyett előfordulhat, hogy egy szervezet más attribútummal rendelkezik, például mailemployeeIda címtárkiszolgáló sémájában, amely szintén megtalálható a felhasználókon a Microsoft Entra ID-ban. Ezután, amikor az összekötő új felhasználót helyez üzembe egy címtárkiszolgálón, az összekötő rákereshet arra, hogy van-e már olyan felhasználó a címtárban, aki rendelkezik az adott attribútum adott értékével, és csak akkor hozzon létre új felhasználót a címtárkiszolgálón, ha nincs jelen.

Ha a forgatókönyvben új felhasználókat kell létrehozni az LDAP-címtárban, és nem csak a meglévő felhasználókat kell frissíteni vagy törölni, akkor azt is meg kell határoznia, hogy az adott címtárkiszolgálót használó Linux-rendszerek hogyan fogják kezelni a hitelesítést. Egyes rendszerek lekérdezhetik a felhasználó SSH nyilvános kulcsát vagy tanúsítványát a címtárból, ami megfelelő lehet ahhoz, hogy a felhasználók már rendelkeznek az űrlapok hitelesítő adataival. Ha azonban a címtárkiszolgálóra támaszkodó alkalmazás nem támogatja a modern hitelesítési protokollokat vagy az erősebb hitelesítő adatokat, akkor új felhasználó létrehozásakor egy alkalmazásspecifikus jelszót kell beállítania a címtárban, mivel a Microsoft Entra-azonosító nem támogatja a felhasználó Microsoft Entra-jelszavának kiépítését.

Végül meg kell egyeznie a leépítési viselkedésről. Ha az összekötő konfigurálva van, és a Microsoft Entra ID kapcsolatot létesített a Microsoft Entra-azonosítóban szereplő felhasználó és a címtár egy felhasználója között, akár már a címtárban lévő, akár egy új felhasználó számára, a Microsoft Entra ID képes attribútummódosításokat kiépíteni a Microsoft Entra-felhasználótól a címtárba. Ha az alkalmazáshoz rendelt felhasználó törölve van a Microsoft Entra-azonosítóban, akkor a Microsoft Entra ID törlési műveletet küld a címtárkiszolgálónak. Azt is kérheti, hogy a Microsoft Entra ID frissítse az objektumot a címtárkiszolgálón, amikor egy felhasználó túllépi az alkalmazás használatának hatókörét. Ez a viselkedés a címtárkiszolgálót használó alkalmazástól függ, mivel előfordulhat, hogy számos címtár , például az OpenLDAP nem tudja alapértelmezetten jelezni, hogy a felhasználó fiókja inaktiválva van.

A Microsoft Entra Connect kiépítési ügynök telepítése és konfigurálása

Jelentkezzen be az Azure Portalra.
Nyissa meg az Enterprise-alkalmazásokat, és válassza az Új alkalmazás lehetőséget.
Keresse meg a helyszíni ECMA alkalmazásalkalmazást, adjon nevet az alkalmazásnak, és válassza a Létrehozás lehetőségeta bérlőhöz való hozzáadásához.
A menüben lépjen az alkalmazás kiépítési oldalára.
Válassza az Első lépések lehetőséget.
A Kiépítés lapon módosítsa a módot automatikusra.

A Helyszíni kapcsolat területen válassza a Letöltés és telepítés, majd a Feltételek elfogadása > letöltés lehetőséget.

Hagyja el a portált, és futtassa a kiépítési ügynök telepítőt, fogadja el a szolgáltatási feltételeket, és válassza a Telepítés lehetőséget.
Várja meg a Microsoft Entra kiépítési ügynök konfigurációs varázslóját, majd válassza a Tovább gombot.
A Bővítmény kiválasztása lépésben válassza a Helyszíni alkalmazás kiépítését, majd a Tovább lehetőséget.
A kiépítési ügynök az operációs rendszer webböngészőjét használja egy előugró ablak megjelenítéséhez, amely lehetővé teszi a Microsoft Entra-azonosítóval való hitelesítést, valamint a szervezet identitásszolgáltatóját is. Ha Az Internet Explorer böngészőt használja a Windows Serveren, akkor előfordulhat, hogy a JavaScript megfelelő futtatásához hozzá kell adnia a Microsoft-webhelyeket a böngésző megbízható webhelylistájához.
Adja meg a Microsoft Entra rendszergazdájának hitelesítő adatait, amikor a rendszer kéri az engedélyezést. A felhasználónak rendelkeznie kell legalább a hibrid identitáskezelési rendszergazdai szerepkörével.
A beállítás megerősítéséhez válassza a Megerősítés lehetőséget. Miután a telepítés sikeres volt, kiválaszthatja a Kilépés lehetőséget, és bezárhatja a Kiépítési ügynökcsomag telepítőt is.

A helyszíni ECMA-alkalmazás konfigurálása

A portál helyszíni kapcsolat szakaszában válassza ki az üzembe helyezett ügynököt, és válassza az Ügynök(ek) hozzárendelése lehetőséget.
Tartsa nyitva ezt a böngészőablakot, miközben a konfiguráció következő lépését a konfigurációs varázslóval hajtja végre.

A Microsoft Entra ECMA-összekötő gazdagéptanúsítványának konfigurálása

Azon a Windows Serveren, amelyen a kiépítési ügynök telepítve van, kattintson a jobb gombbal a Microsoft ECMA2Host konfigurációs varázslóra a start menüből, és futtassa rendszergazdaként. A varázslónak Windows-rendszergazdaként kell futnia a szükséges Windows-eseménynaplók létrehozásához.
Az ECMA-összekötő gazdagépkonfigurációjának elindítása után, ha ez az első alkalom, hogy futtatja a varázslót, a rendszer megkéri, hogy hozzon létre egy tanúsítványt. Hagyja meg az alapértelmezett 8585-ös portot, és válassza a Tanúsítvány létrehozása lehetőséget a tanúsítvány létrehozásához. Az automatikusan létrehozott tanúsítvány önaláírt lesz a megbízható gyökér részeként. A SAN megegyezik a gazdagép nevével.
Válassza a Mentés parancsot.

Feljegyzés

Ha úgy döntött, hogy új tanúsítványt hoz létre, jegyezze fel a tanúsítvány lejárati dátumát, hogy biztosan visszatérjen a konfigurációs varázslóhoz, és a lejárat előtt hozza létre újra a tanúsítványt.

Az általános LDAP-összekötő konfigurálása

A kiválasztott beállításoktól függően előfordulhat, hogy a varázsló egyes képernyői nem érhetők el, és az információk kissé eltérőek lehetnek. Az alábbi információk segítségével útmutatást kaphat a konfigurációhoz.

Hozzon létre egy titkos jogkivonatot, amely a Microsoft Entra-azonosítónak az összekötőhöz való hitelesítéséhez lesz használva. A karakternek legalább 12 karakternek kell lennie, és minden alkalmazáshoz egyedinek kell lennie. Ha még nem rendelkezik titkos kódgenerátorsal, használhat egy PowerShell-parancsot, például az alábbiakat egy véletlenszerű példasztring létrehozásához.
```
-join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
```
Ha még nem tette meg, indítsa el a Microsoft ECMA2Host konfigurációs varázslót a start menüből.
Válassza az Új összekötő lehetőséget.

A Tulajdonságok lapon töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot.

Tulajdonság	Érték
Név	Az összekötőhöz választott névnek egyedinek kell lennie a környezet összes összekötőjében. Például: `LDAP`.
Autoszinkron időzítő (perc)	120
Titkos jogkivonat	Itt adhatja meg a titkos jogkivonatot. Legalább 12 karakternek kell lennie.
Bővítmény DLL-je	Az általános LDAP-összekötőnél válassza a Microsoft.IAM.Connector.GenericLdap.dll.

A Kapcsolat lapon konfigurálja, hogy az ECMA-összekötő gazdagép hogyan kommunikáljon a címtárkiszolgálóval, és adja meg a konfigurációs beállítások egy részét. Töltse ki a mezőket a képet követő táblázatban megadott értékekkel, és válassza a Tovább gombot. A Tovább gombra kattintva az összekötő lekérdezi a címtárkiszolgáló konfigurációját.

Tulajdonság	Leírás
Gazdagép	A gazdagép neve, ahol az LDAP-kiszolgáló található. Ez a minta a példa gazdagépnévként szolgál `APP3` .
Kikötő	A TCP-port száma. Ha a címtárkiszolgáló SSL-en keresztül van konfigurálva az LDAP-hoz, használja a 636-os portot. Hálózati `Start TLS`szintű biztonság esetén vagy ha hálózati szintű biztonságot használ, használja a 389-es portot.
Kapcsolat időkorlátja	180
Kötés	Ez a tulajdonság határozza meg, hogy az összekötő hogyan hitelesítse magát a címtárkiszolgálón. `Basic` A beállítással vagy a beállítással, valamint `TLS` az `SSL` ügyféltanúsítvány konfigurálva nincs, az összekötő egyszerű LDAP-kötést küld a megkülönböztető névvel és jelszóval történő hitelesítéshez. `SSL` A beállítással `TLS` és az ügyféltanúsítvány megadásával az összekötő LDAP SASL-kötést `EXTERNAL` küld az ügyféltanúsítvánnyal való hitelesítéshez.
Felhasználónév	Hogyan hitelesíti magát az ECMA-összekötő a címtárkiszolgálón. Ebben a példában `cn=admin,dc=contoso,dc=lab`
Jelszó	Annak a felhasználónak a jelszava, amelyet az ECMA-összekötő hitelesít a címtárkiszolgálón.
Tartomány/tartomány	Ez a beállítás csak akkor szükséges, ha a Kötés lehetőséget választotta `Kerberos` a felhasználó tartományának/tartományának megadásához.
Tanúsítvány	Az ebben a szakaszban szereplő beállításokat csak akkor használja a rendszer, ha ön vagy a Kötés lehetőség van kiválasztva `SSLTLS` .
Attribútum aliasai	Az attribútum-aliasok szövegmezője a sémában RFC4522 szintaxissal definiált attribútumokhoz használható. Ezek az attribútumok nem észlelhetők a sémaészlelés során, és az összekötőnek segítségre van szüksége az attribútumok azonosításához. Ha például a címtárkiszolgáló nem teszi közzé `userCertificate;binary` , és ki szeretné építtetni ezt az attribútumot, az alábbi sztringet be kell írni az attribútum aliasai mezőbe, hogy a userCertificate attribútumot bináris attribútumként megfelelően azonosíthassa: `userCertificate;binary`. Ha nem igényel speciális attribútumokat a sémában, ezt üresen hagyhatja.
Működési attribútumok belefoglalása	Jelölje be a jelölőnégyzetet a `Include operational attributes in schema` címtárkiszolgáló által létrehozott attribútumok hozzáadásához. Ezek közé tartoznak az attribútumok, például az objektum létrehozása és a legutóbbi frissítés időpontja.
Bővíthető attribútumok belefoglalása	Jelölje be a `Include extensible attributes in schema` jelölőnégyzetet, ha bővíthető objektumokat (RFC4512/4.3) használnak a címtárkiszolgálón. A beállítás engedélyezésével minden attribútum használható az összes objektumon. Ha ezt a beállítást választja, a séma nagyon nagy lesz, ezért ha a csatlakoztatott könyvtár nem használja ezt a funkciót, a javaslat az, hogy ne jelölje ki a beállítást.
Manuális horgonyválasztás engedélyezése	Hagyja üresen.

Feljegyzés

Ha problémát tapasztal a csatlakozás során, és nem tud továbblépni a globális lapra, győződjön meg arról, hogy a címtárkiszolgáló szolgáltatásfiókja engedélyezve van.

A Globális lapon szükség esetén konfigurálja a változásváltozási napló megkülönböztető nevét és további LDAP-funkciókat. A lap előre ki van töltve az LDAP-kiszolgáló által megadott információkkal. Tekintse át a megjelenített értékeket, majd válassza a Tovább gombot.

Tulajdonság	Leírás
Támogatott SASL-mechanizmusok	A felső szakaszban a kiszolgáló által biztosított információk láthatók, beleértve a SASL-mechanizmusok listáját is.
Kiszolgálótanúsítvány részletei	Ha `SSL` meg van adva, `TLS` a varázsló megjeleníti a címtárkiszolgáló által visszaadott tanúsítványt. Győződjön meg arról, hogy a kiállító, a tárgy és az ujjlenyomat a megfelelő címtárkiszolgálóhoz tartozik.
Kötelező funkciók találhatók	Az összekötő azt is ellenőrzi, hogy a kötelező vezérlők megtalálhatók-e a gyökérszintű DSE-ben. Ha ezek a vezérlők nincsenek felsorolva, figyelmeztetés jelenik meg. Egyes LDAP-címtárak nem sorolják fel a gyökérszintű DSE összes funkcióját, és előfordulhat, hogy az összekötő probléma nélkül működik, még akkor is, ha figyelmeztetés jelenik meg.
Támogatott vezérlők	A támogatott vezérlők jelölőnégyzetei bizonyos műveletek viselkedését szabályozzák
Különbözeti importálás	A változásnapló DN-jének elnevezési környezetét használja a változásnapló, például cn=changelog. Ezt az értéket meg kell adni ahhoz, hogy képes legyen a változásimportálásra. Ha nem kell deltaimportálást implementálnia, akkor ez a mező üres lehet.
Jelszóattribútum	Ha a címtárkiszolgáló más jelszóattribútumot vagy jelszókivonatot támogat, megadhatja a jelszómódosítások célját.
Partíciónevek	A további partíciók listájában olyan további névterek is hozzáadhatók, amely nem észlelhető automatikusan. Ez a beállítás például akkor használható, ha több kiszolgáló alkot logikai fürtöt, amelyet egyszerre kell importálni. Ahogyan az Active Directorynak több tartománya is lehet egy erdőben, de minden tartomány egy sémával rendelkezik, ugyanez szimulálható a mezőben szereplő további névterek beírásával. Minden névtér különböző kiszolgálókról importálható, és a Partíciók és hierarchiák konfigurálása lapon is konfigurálható.

A Partíciók lapon tartsa meg az alapértelmezett értéket, és válassza a Tovább gombot.

A Profilok futtatása lapon győződjön meg arról, hogy az Exportálás és a Teljes importálás jelölőnégyzet be van jelölve. Ezután válassza a Tovább gombra.

Tulajdonság	Leírás
Exportálás	Futtassa a profilt, amely adatokat exportál az LDAP címtárkiszolgálóra. Ez a futtatási profil szükséges.
Teljes importálás	Futtassa a profilt, amely a korábban megadott LDAP-forrásokból importálja az összes adatot. Ez a futtatási profil szükséges.
Delta importálása	Futtassa a profilt, amely csak az LDAP módosításait importálja az utolsó teljes vagy változásimportálás óta. Csak akkor engedélyezze ezt a futtatási profilt, ha megerősítette, hogy a címtárkiszolgáló megfelel a szükséges követelményeknek. További információkért lásd az általános LDAP-összekötő referenciát.

Az Exportálás lapon hagyja változatlanul az alapértelmezett értékeket, és kattintson a Tovább gombra.
A Teljes importálás lapon hagyja változatlanul az alapértelmezett értékeket, és kattintson a Tovább gombra.
A DeltaImport lapon , ha van ilyen, hagyja változatlanul az alapértelmezett értékeket, és kattintson a Tovább gombra.

Az Objektumtípusok lapon töltse ki a mezőket, és válassza a Tovább gombot.

Tulajdonság	Leírás
Célobjektum	Ez az érték egy felhasználó szerkezeti objektumosztálya az LDAP-címtárkiszolgálón. Használja `inetOrgPerson`, és ne adjon meg segédobjektumosztályt ebben a mezőben. Ha a címtárkiszolgáló kiegészítő objektumosztályokat igényel, azokat az Azure Portal attribútumleképezéseivel konfigurálja.
Horgony	Az attribútum értékeinek egyedinek kell lenniük a célkönyvtár minden objektumához. A Microsoft Entra kiépítési szolgáltatás a kezdeti ciklus után ezt az attribútumot használva kérdezi le az ECMA-összekötő gazdagépét. Általában az elnevezett megkülönböztető nevet használja, amely kijelölhető a következőként `-dn-`: . A többértékű attribútumok, például az `uid` OpenLDAP-séma attribútumai nem használhatók horgonyként.
Lekérdezési attribútum	Ennek az attribútumnak meg kell egyeznie a Horgony attribútummal.
DN	A célobjektum megkülönböztető neve. Tartsa meg `-dn-`.
Automatikusan létrehozott	ellenőrizetlen

Az ECMA-gazdagép felderíti a célkönyvtár által támogatott attribútumokat. Kiválaszthatja, hogy mely attribútumokat szeretné elérhetővé tenni a Microsoft Entra ID-nak. Ezek az attribútumok ezután konfigurálhatók az Azure Portalon a kiépítéshez. Az Attribútumok kiválasztása lapon adja hozzá egyenként a legördülő listához azokat az attribútumokat, amelyek kötelező attribútumként szükségesek, vagy amelyeket a Microsoft Entra-azonosítóból szeretne kiépíteni.
Az Attribútum legördülő lista a célkönyvtárban felderített attribútumokat jeleníti meg, és nem a konfigurációs varázsló Attribútumok kiválasztása lapjának előző használata során lett kiválasztva.

Győződjön meg arról, hogy Treat as single value nincs bejelölve az objectClass attribútum jelölőnégyzete, és ha userPassword be van állítva, jelölje be vagy jelölje be az userPassword attribútumot.

Konfigurálja a láthatóságot az alábbi attribútumokhoz.

Attribútum	Kezelés egyetlen értékként
_distinguishedName
-Dn-
export_password
Cn	I
gidNumber
homeDirectory
levélküldés	I
objectClass
sn	I
Uid	I
uidNumber
userPassword	I

Az összes releváns attribútum hozzáadása után válassza a Tovább gombot.

A Deprovisioning lapon megadhatja, hogy a Microsoft Entra-azonosító eltávolítsa-e a felhasználókat a címtárból, amikor azok kimennek az alkalmazás hatóköréből. Ha igen, a Folyamat letiltása területen válassza a Törlés, majd a Folyamat törlése területen a Törlés lehetőséget. Ha Set attribute value ezt választja, az előző lapon kijelölt attribútumok nem lesznek elérhetők a leépítési lapon való kiválasztáshoz.

Feljegyzés

Ha az Attribútum beállítása értéket használja, vegye figyelembe, hogy csak logikai értékek engedélyezettek.

Válassza a Befejezés lehetőséget.

Győződjön meg arról, hogy az ECMA2Host szolgáltatás fut, és a címtárkiszolgálóról tud olvasni

Kövesse az alábbi lépéseket annak ellenőrzéséhez, hogy az összekötő-gazdagép elindult-e, és azonosította-e a címtárkiszolgáló meglévő felhasználóit.

A Microsoft Entra ECMA-összekötő gazdagépét futtató kiszolgálón válassza a Start lehetőséget.
Válassza a futtatás lehetőséget, ha szükséges, majd írja be a services.msc kifejezést a mezőbe.
A Szolgáltatások listában győződjön meg arról, hogy a Microsoft ECMA2Host jelen van és fut. Ha nem fut, válassza a Start lehetőséget.
Ha nemrég indította el a szolgáltatást, és sok felhasználói objektum található a címtárkiszolgálón, várjon néhány percet, amíg az összekötő kapcsolatot létesít a címtárkiszolgálóval.
A Microsoft Entra ECMA-összekötő gazdagépét futtató kiszolgálón indítsa el a PowerShellt.
Váltson arra a mappára, amelyben az ECMA-gazdagép telepítve volt, például C:\Program Files\Microsoft ECMA2Host.
Váltson az alkönyvtárra Troubleshooting.
Futtassa a szkriptet TestECMA2HostConnection.ps1 a könyvtárban az alább látható módon, és adja meg argumentumként az összekötő nevét és az ObjectTypePath értéket cache. Ha az összekötő gazdagépe nem figyeli a 8585-ös TCP-portot, akkor előfordulhat, hogy az -Port argumentumot is meg kell adnia. Amikor a rendszer kéri, írja be az összekötőhöz konfigurált titkos jogkivonatot.
```
PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
Supply values for the following parameters:
SecretToken: ************
```
Ha a szkript hibaüzenetet vagy figyelmeztető üzenetet jelenít meg, ellenőrizze, hogy fut-e a szolgáltatás, és az összekötő neve és titkos jogkivonata megegyezik a konfigurációs varázslóban konfigurált értékekkel.
Ha a szkript megjeleníti a kimenetet False, akkor az összekötő nem látott bejegyzéseket a forráskönyvtár-kiszolgálón meglévő felhasználók számára. Ha ez egy új címtárkiszolgáló-telepítés, akkor ez a viselkedés várható, és a következő szakaszban folytathatja.
Ha azonban a címtárkiszolgáló már tartalmaz egy vagy több felhasználót False, de a szkript megjelenik, akkor ez az állapot azt jelzi, hogy az összekötő nem tudott olvasni a címtárkiszolgálóról. Ha kiépítést kísérel meg, akkor előfordulhat, hogy a Microsoft Entra-azonosító nem felel meg megfelelően a forráskönyvtár felhasználóinak a Microsoft Entra ID-beli felhasználókkal. Várjon néhány percet, amíg az összekötő gazdagép befejezi az objektumok olvasását a meglévő címtárkiszolgálóról, majd futtassa újra a szkriptet. Ha a kimenet továbbra is az lesz False, ellenőrizze az összekötő konfigurációját, és a címtárkiszolgálón lévő engedélyek lehetővé teszik az összekötő számára a meglévő felhasználók olvasását.

A Microsoft Entra-azonosító és az összekötő gazdagép közötti kapcsolat tesztelése

Térjen vissza arra a böngészőablakra, ahol konfigurálta az alkalmazás kiépítését a portálon.

Feljegyzés

Ha az ablak túllépte az időkorlátot, újra ki kell választania az ügynököt.
1. Jelentkezzen be az Azure Portalra.
2. Nyissa meg a Nagyvállalati alkalmazásokat és a helyszíni ECMA-alkalmazásalkalmazást .
3. Kattintson a Kiépítés elemre.
4. Ha megjelenik az Első lépések funkció, módosítsa a módot Automatikus módra, a Helyszíni kapcsolat szakaszban válassza ki az imént üzembe helyezett ügynököt, és válassza az Ügynök(ek) hozzárendelése lehetőséget, és várjon 10 percet. Ellenkező esetben nyissa meg a Kiépítés szerkesztése elemet.
A Rendszergazdai hitelesítő adatok szakaszban adja meg a következő URL-címet. Cserélje le a connectorName részt az ECMA-gazdagépen található összekötő nevére, például LDAP. Ha tanúsítványt adott meg a hitelesítésszolgáltatótól az ECMA-gazdagéphez, cserélje le localhost annak a kiszolgálónak a gazdanevére, ahol az ECMA-gazdagép telepítve van.

Tulajdonság Érték

Bérlő URL-címe https://localhost:8585/ecma2host_connectorName/scim
Adja meg az összekötő létrehozásakor definiált titkos jogkivonat értékét.

Feljegyzés

Ha most rendelte hozzá az ügynököt az alkalmazáshoz, várjon 10 percet, amíg a regisztráció befejeződik. A kapcsolati teszt csak a regisztráció befejezéséig működik. Ha arra kényszeríti az ügynök regisztrációját, hogy befejezze a kiépítési ügynök újraindítását a kiszolgálón, felgyorsíthatja a regisztrációs folyamatot. Lépjen a kiszolgálóra, keressen szolgáltatásokat a Windows keresősávjában, azonosítsa a Microsoft Entra Connect kiépítési ügynök szolgáltatást, kattintson a jobb gombbal a szolgáltatásra, és indítsa újra.
Válassza a Kapcsolat tesztelése lehetőséget, és várjon egy percet.
Miután a kapcsolati teszt sikeres volt, és azt jelzi, hogy a megadott hitelesítő adatok jogosultak a kiépítés engedélyezésére, válassza a Mentés lehetőséget.

Tulajdonság	Érték
Bérlő URL-címe	https://localhost:8585/ecma2host_connectorName/scim

A Microsoft Entra séma kiterjesztése

Ha a címtárkiszolgáló olyan további attribútumokat igényel, amelyek nem részei a felhasználók alapértelmezett Microsoft Entra-sémájának, akkor a kiépítéskor konfigurálhatja, hogy az attribútumok értékeit állandóból, más Microsoft Entra attribútumokból átalakított kifejezésből vagy a Microsoft Entra-séma kiterjesztésével adja meg.

Ha a címtárkiszolgáló megköveteli, hogy a felhasználók rendelkezzenek egy attribútummal( például uidNumber az OpenLDAP POSIX sémához), és ez az attribútum még nem része egy felhasználó Microsoft Entra-sémájának, és minden felhasználó esetében egyedinek kell lennie, akkor vagy létre kell hoznia ezt az attribútumot a felhasználó más attribútumaiból egy kifejezésen keresztül. vagy használja a címtárkiterjesztési funkciót az attribútum bővítményként való hozzáadásához.

Ha a felhasználók Active Directory tartományi szolgáltatások származnak, és a címtárban található az attribútum, akkor a Microsoft Entra Connect vagy a Microsoft Entra Connect felhőszinkronizálás használatával konfigurálhatja, hogy az attribútumot szinkronizálni kell Active Directory tartományi szolgáltatások a Microsoft Entra ID-ra, hogy elérhető legyen más rendszereken való üzembe helyezéshez.

Ha a felhasználók Microsoft Entra-azonosítóból származnak, akkor minden új attribútumhoz, amit egy felhasználón kell tárolnia, meg kell határoznia egy címtárbővítményt. Ezután frissítse a kiépíteni kívánt Microsoft Entra-felhasználókat, hogy minden felhasználónak értéket adjon ezeknek az attribútumoknak.

Attribútumleképezés konfigurálása

Ebben a szakaszban konfigurálja a Microsoft Entra-felhasználó attribútumai és az ECMA-gazdagép konfigurációs varázslójában korábban kiválasztott attribútumok közötti megfeleltetést. Később, amikor az összekötő létrehoz egy objektumot egy címtárkiszolgálón, a Microsoft Entra-felhasználó attribútumai az összekötőn keresztül lesznek elküldve a címtárkiszolgálóra, hogy az az új objektum része legyen.

A Microsoft Entra Felügyeleti központban a Nagyvállalati alkalmazások területen válassza ki a helyszíni ECMA alkalmazásalkalmazást, majd válassza a Kiépítés lapot.
Válassza a Kiépítés szerkesztése lehetőséget.
Bontsa ki a leképezéseket , és válassza a Microsoft Entra-felhasználók kiosztása lehetőséget. Ha most először konfigurálta az alkalmazás attribútumleképezéseit, csak egy leképezés lesz jelen egy helyőrzőhöz.
Ha ellenőrizni szeretné, hogy a címtárkiszolgáló sémája elérhető-e a Microsoft Entra-azonosítóban, jelölje be a Speciális beállítások megjelenítése jelölőnégyzetet, és válassza a ScimOnPremises attribútumlistájának szerkesztése lehetőséget. Győződjön meg arról, hogy a konfigurációs varázslóban kiválasztott összes attribútum szerepel a listában. Ha nem, várjon néhány percet, amíg a séma frissül, majd válassza az Attribútumleképezés lehetőséget a navigációs sorban, majd a ScimOnPremises attribútumlistájának szerkesztése lehetőséget ismét a lap újbóli betöltéséhez. Miután meglátja a felsorolt attribútumokat, szakítsa meg ezt a lapot a leképezési listához való visszatéréshez.
A címtárban minden felhasználónak egyedi megkülönböztető névvel kell rendelkeznie. Attribútumleképezéssel megadhatja, hogy az összekötő hogyan hozzon létre megkülönböztető nevet. Válassza az Új leképezés hozzáadása lehetőséget. Az alábbi értékekkel létrehozhatja a leképezést, és a kifejezés megkülönböztető neveit úgy módosíthatja, hogy azok egyezzenek a szervezeti egység vagy a célkönyvtár más tárolóinak nevével.
- Leképezés típusa: kifejezés
- Kifejezés: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
- Célattribútum: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
- A leképezés alkalmazása: csak az objektum létrehozása során
Ha a címtárkiszolgáló több szerkezeti objektumosztály-értéket vagy segédobjektumosztály-értéket igényel az objectClass attribútumban, adjon hozzá egy leképezést az attribútumhoz. Ha hozzá szeretne adni egy leképezést, objectClassválassza az Új leképezés hozzáadása lehetőséget. Az alábbi értékekkel hozza létre a leképezést, és módosítsa a kifejezés objektumosztálynevét úgy, hogy az megfeleljen a célkönyvtár sémájának.
- Leképezés típusa: kifejezés
- Kifejezés, ha a POSIX-sémát építi ki: Split("inetOrgPerson,posixAccount,shadowAccount",",")
- Célattribútum: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
- A leképezés alkalmazása: csak az objektum létrehozása során

A címtárkiszolgáló alábbi táblázatában szereplő leképezések mindegyikéhez válassza az Új leképezés hozzáadása lehetőséget, és adja meg a forrás- és célattribútumokat. Ha meglévő címtárba épít be meglévő felhasználókkal, akkor szerkesztenie kell az attribútum leképezését, amely közös ahhoz, hogy az objektumokat ezzel az attribútummal állítsa be az adott attribútumhoz . Az attribútumleképezésről itt olvashat bővebben.

A POSIX-sémával rendelkező OpenLDAP esetében a , homeDirectoryuid és uidNumber attribútumokat gidNumberis meg kell adnia. Minden felhasználónak egyedi uid és egyedi uidNumberkell. Általában a homeDirectory felhasználó userID azonosítójából származó kifejezés állítja be. Ha például egy uid felhasználó nevét a felhasználónévből származtatott kifejezés hozza létre, akkor a felhasználó kezdőkönyvtárának értékét létrehozhatja egy, a felhasználónévből is származtatott hasonló kifejezés. A használati esettől függően előfordulhat, hogy azt szeretné, hogy az összes felhasználó ugyanabban a csoportban legyen, ezért egy állandóból rendelné hozzá a gidNumber felhasználót.

Leképezés típusa	Forrásattribútum	Célattribútum
Közvetlen	`displayName`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn`
Közvetlen	`surname`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn`
Közvetlen	`userPrincipalName`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail`
Expression	`ToLower(Word([userPrincipalName], 1, "@"), )`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid`
Közvetlen	(a címtárra jellemző attribútum)	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber`
Expression	`Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory`
Állandó	`10000`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber`

Adjon hozzá egy leképezést urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword , amely beállít egy kezdeti véletlenszerű jelszót a felhasználó számára.
Válassza a Mentés lehetőséget.

Győződjön meg arról, hogy a címtárba kiosztandó felhasználók rendelkeznek a szükséges attribútumokkal

Ha vannak olyan személyek, akik már rendelkeznek felhasználói fiókkal az LDAP-címtárban, akkor meg kell győződnie arról, hogy a Microsoft Entra felhasználói reprezentációja rendelkezik az egyezéshez szükséges attribútumokkal.

Ha új felhasználókat szeretne létrehozni az LDAP-címtárban, akkor gondoskodnia kell arról, hogy a felhasználók Microsoft Entra-reprezentációi rendelkezzenek a célkönyvtár felhasználói sémája által megkövetelt forrásattribútumokkal. Minden felhasználónak egyedi uid és egyedi uidNumberkell.

Felhasználók megerősítése a PowerShell-lel

Miután frissítette a felhasználókat a Microsoft Entra-azonosítóban, a Microsoft Graph PowerShell-parancsmagok segítségével automatizálhatja, hogy a felhasználók minden szükséges attribútummal rendelkezzenek.

Tegyük fel például, hogy a kiépítéshez három attribútumra DisplayNamevolt szükség a felhasználóknak,surname és extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty. Ez a uidNumberharmadik attribútum a . A parancsmaggal lekérheti az Get-MgUser egyes felhasználókat, és ellenőrizheti, hogy vannak-e a szükséges attribútumok. Vegye figyelembe, hogy a Graph 1.0-s Get-MgUser parancsmag alapértelmezés szerint nem ad vissza egy felhasználó címtárbővítmény-attribútumait, kivéve, ha az attribútumok a kérésben a visszaadandó tulajdonságok egyikeként vannak megadva.

Ez a szakasz bemutatja, hogyan használhatja a Microsoft Entra ID-t Microsoft Graph PowerShell-parancsmagok használatával.

Amikor a szervezet először használja ezeket a parancsmagokat ehhez a forgatókönyvhöz, globális rendszergazdai szerepkörrel kell rendelkeznie ahhoz, hogy lehetővé tegye a Microsoft Graph PowerShell használatát a bérlőben. A későbbi interakciók alacsonyabb jogosultságú szerepkört is használhatnak, például:

Felhasználóadminisztrátor, ha új felhasználókat szeretne létrehozni.
Alkalmazásadminisztrátor vagy identitásirányítási rendszergazda, ha csak az alkalmazásszerepkör-hozzárendeléseket kezeli.

Nyissa meg a PowerShellt.
Ha még nem telepítette a Microsoft Graph PowerShell-modulokat , telepítse a modult és másokat a Microsoft.Graph.Users következő paranccsal:
```
Install-Module Microsoft.Graph
```
Ha már telepítve vannak a modulok, győződjön meg arról, hogy a legújabb verziót használja:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Csatlakozás a Microsoft Entra-azonosítóhoz:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.Read.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"

Hozza létre a felhasználók listáját és az ellenőrizendő attribútumokat.

$userPrincipalNames = (
 "alice@contoso.com",
 "bob@contoso.com",
 "carol@contoso.com" )

$requiredBaseAttributes = ("DisplayName","surname")
$requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")

Az egyes felhasználók címtárának lekérdezése.

$select = "id"
foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;}
foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;}

foreach ($un in $userPrincipalNames) {
   $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop
   foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} }
   foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } }
}

Meglévő felhasználók gyűjtése az LDAP-címtárból

Azonosítsa, hogy a címtárban lévő felhasználók közül mely felhasználók tartoznak a Linux-hitelesítéssel rendelkező felhasználók hatókörébe. Ez a választás a Linux-rendszer konfigurációjától függ. Bizonyos konfigurációk esetén az LDAP-címtárban található összes felhasználó érvényes felhasználó. Más konfigurációk esetén előfordulhat, hogy a felhasználónak rendelkeznie kell egy adott attribútummal, vagy tagja egy csoportnak a címtárban.
Futtasson egy parancsot, amely lekéri a felhasználók egy részét az LDAP-címtárból egy CSV-fájlba. Győződjön meg arról, hogy a kimenet tartalmazza a Microsoft Entra-azonosítóval való egyeztetéshez használt felhasználók attribútumait. Ilyen attribútumok például az alkalmazottak azonosítója, a fiók neve vagy uidaz e-mail-cím.
Szükség esetén vigye át a felhasználók listáját tartalmazó CSV-fájlt egy rendszerbe a Telepített Microsoft Graph PowerShell-parancsmagokkal .
Most, hogy rendelkezik a címtárból beszerzett összes felhasználó listájával, a címtárból származó felhasználókat a Microsoft Entra ID-beli felhasználókkal fogja egyeztetni. A folytatás előtt tekintse át a forrás- és célrendszerek megfelelő felhasználóival kapcsolatos információkat.

A felhasználók azonosítóinak lekérése a Microsoft Entra-azonosítóban

Ez a szakasz bemutatja, hogyan használhatja a Microsoft Entra ID-t Microsoft Graph PowerShell-parancsmagok használatával.

Felhasználóadminisztrátor, ha új felhasználókat szeretne létrehozni.
Alkalmazásadminisztrátor vagy identitásirányítási rendszergazda, ha csak az alkalmazásszerepkör-hozzárendeléseket kezeli.

Nyissa meg a PowerShellt.
Ha még nem telepítette a Microsoft Graph PowerShell-modulokat , telepítse a modult és másokat a Microsoft.Graph.Users következő paranccsal:
```
Install-Module Microsoft.Graph
```
Ha már telepítve vannak a modulok, győződjön meg arról, hogy a legújabb verziót használja:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Csatlakozás a Microsoft Entra-azonosítóhoz:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"

Ha ez az első alkalom, hogy használja ezt a parancsot, előfordulhat, hogy hozzá kell adnia ahhoz, hogy a Microsoft Graph parancssori eszközei rendelkezzenek ezekkel az engedélyekkel.
Olvassa el az alkalmazás adattárából a PowerShell-munkamenetbe beolvasott felhasználók listáját. Ha a felhasználók listája CSV-fájlban volt, használhatja a PowerShell-parancsmagot Import-Csv , és argumentumként megadhatja az előző szakaszból származó fájl nevét.

Ha például az SAP Cloud Identity Services szolgáltatásból beszerzett fájl neve Users-exported-from-sap.csv , és az aktuális könyvtárban található, írja be ezt a parancsot.
```
$filename = ".\Users-exported-from-sap.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8
```
Egy másik példa, ha adatbázist vagy könyvtárat használ, ha a fájl neve users.csv , és az aktuális könyvtárban található, adja meg ezt a parancsot:
```
$filename = ".\users.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8
```
Válassza ki annak a users.csv fájlnak az oszlopát, amely megfelel a Microsoft Entra ID-ban egy felhasználó attribútumának.

Ha SAP Cloud Identity Servicest használ, akkor az alapértelmezett leképezés az SAP SCIM attribútum userName a Microsoft Entra ID attribútummal userPrincipalName:
```
$db_match_column_name = "userName"
$azuread_match_attr_name = "userPrincipalName"
```
Egy másik példa, ha adatbázist vagy könyvtárat használ, előfordulhat, hogy vannak olyan felhasználói az adatbázisban, ahol a névvel ellátott EMail oszlop értéke ugyanaz, mint a Microsoft Entra attribútumban userPrincipalName:
```
$db_match_column_name = "EMail"
$azuread_match_attr_name = "userPrincipalName"
```

Kérje le a felhasználók azonosítóit a Microsoft Entra-azonosítóban.

Az alábbi PowerShell-szkript a $dbuserskorábban megadott , $db_match_column_nameés $azuread_match_attr_name értékeket használja. Lekérdezi a Microsoft Entra azonosítóját, és megkeres egy olyan felhasználót, akinek attribútuma megegyezik a forrásfájl minden rekordjának megfelelő értékével. Ha a forrás SAP Cloud Identity Servicesből, adatbázisból vagy könyvtárból beszerzett fájlban sok felhasználó található, ez a szkript több percet is igénybe vehet. Ha nem rendelkezik olyan attribútummal a Microsoft Entra-azonosítóban, amely rendelkezik az értékkel, és egy contains vagy más szűrőkifejezést kell használnia, akkor testre kell szabnia ezt a szkriptet, és az alábbi 11. lépésben egy másik szűrőkifejezést kell használnia.

$dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

Az előző lekérdezések eredményeinek megtekintése. Ellenőrizze, hogy az SAP Cloud Identity Services egyik felhasználója, az adatbázis vagy a könyvtár nem található-e a Microsoft Entra-azonosítóban hibák vagy hiányzó egyezések miatt.

A következő PowerShell-szkript megjeleníti a nem található rekordok számát:

$dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

Ha a szkript befejeződött, hibát jelez, ha az adatforrásból származó rekordok nem a Microsoft Entra-azonosítóban találhatók. Ha az alkalmazás adattárában lévő felhasználók összes rekordja nem szerepelhet felhasználókként a Microsoft Entra-azonosítóban, meg kell vizsgálnia, hogy mely rekordok nem egyeztek meg és miért.

Előfordulhat például, hogy valaki e-mail-címe és userPrincipalName-címe módosult a Microsoft Entra-azonosítóban anélkül, hogy a megfelelő mail tulajdonsága frissült volna az alkalmazás adatforrásában. Vagy előfordulhat, hogy a felhasználó már elhagyta a szervezetet, de továbbra is az alkalmazás adatforrásában van. Vagy előfordulhat, hogy az alkalmazás adatforrásában olyan szállítói vagy felügyelői fiók található, amely nem felel meg a Microsoft Entra-azonosító egyik konkrét személyének sem.
Ha voltak olyan felhasználók, akik nem találhatók a Microsoft Entra-azonosítóban, vagy nem voltak aktívak, és nem tudtak bejelentkezni, de ellenőrizni szeretné a hozzáférésüket vagy az attribútumaikat az SAP Cloud Identity Servicesben, az adatbázisban vagy a címtárban, frissítenie kell az alkalmazást, a megfelelő szabályt, vagy frissítenie kell vagy létre kell hoznia a Microsoft Entra-felhasználókat számukra. A módosítással kapcsolatos további információkért tekintse meg a Microsoft Entra-azonosítóban szereplő felhasználókkal nem egyező alkalmazások leképezéseinek és felhasználói fiókjainak kezelését.

Ha a Microsoft Entra ID-ban a felhasználók létrehozásának lehetőségét választja, tömegesen hozhat létre felhasználókat az alábbi lehetőségek valamelyikével:
- CsV-fájl a Felhasználók tömeges létrehozása a Microsoft Entra felügyeleti központban című cikkben leírtak szerint
- A New-MgUser parancsmag
Győződjön meg arról, hogy ezek az új felhasználók fel vannak töltve a Microsoft Entra-azonosítóhoz szükséges attribútumokkal, hogy később megegyezhessenek az alkalmazás meglévő felhasználóival, valamint a Microsoft Entra ID által megkövetelt attribútumokkal, köztük az userPrincipalName, mailNickname és displayName. Ennek userPrincipalName egyedinek kell lennie a címtár összes felhasználója között.

Előfordulhat például, hogy vannak olyan felhasználói az adatbázisban, ahol a névvel ellátott EMail oszlop értéke a Microsoft Entra felhasználónévként használni kívánt érték, az oszlopban Alias lévő érték a Microsoft Entra ID e-mail becenevet, az oszlopban Full name pedig a felhasználó megjelenítendő nevét tartalmazza:
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```
Ezután ezzel a szkripttel Microsoft Entra-felhasználókat hozhat létre az SAP Cloud Identity Servicesben, az adatbázisban vagy könyvtárban lévő felhasználók számára, amelyek nem egyeztek meg a Microsoft Entra-azonosítóban szereplő felhasználókkal. Vegye figyelembe, hogy előfordulhat, hogy módosítania kell ezt a szkriptet, hogy további Microsoft Entra-attribútumokat adjon hozzá a szervezetéhez, vagy ha nem $azuread_match_attr_namemailNicknameuserPrincipalNameis, akkor a Microsoft Entra attribútum megadásához.
```
$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}
```

Miután hozzáadta a hiányzó felhasználókat a Microsoft Entra-azonosítóhoz, futtassa újra a szkriptet a 7. lépésben. Ezután futtassa a szkriptet a 8. lépésben. Ellenőrizze, hogy nincsenek-e hibajelentések.

$dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

$dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

Felhasználók hozzárendelése az alkalmazáshoz a Microsoft Entra-azonosítóban

Most, hogy a Microsoft Entra ECMA-összekötő gazdagépe beszélt a Microsoft Entra-azonosítóval, és konfigurálta az attribútumleképezést, továbbléphet a kiépítés hatókörében lévő felhasználók konfigurálására.

Fontos

Ha hibrid identitásadminisztrátori szerepkörrel jelentkezett be, ki kell jelentkeznie és be kell jelentkeznie egy olyan fiókkal, amely legalább az alkalmazásadminisztrátori szerepkörrel rendelkezik ehhez a szakaszhoz. A hibrid identitáskezelő szerepkör nem rendelkezik jogosultságokkal a felhasználók alkalmazásokhoz való hozzárendeléséhez.

Ha vannak meglévő felhasználók az LDAP-címtárban, akkor alkalmazásszerepkör-hozzárendeléseket kell létrehoznia a meglévő felhasználók számára. Ha többet szeretne megtudni arról, hogyan hozhat létre tömegesen New-MgServicePrincipalAppRoleAssignedToalkalmazásszerepkör-hozzárendeléseket, tekintse meg az alkalmazás meglévő felhasználóinak szabályozását a Microsoft Entra-azonosítóban.

Ha még nem szeretné frissíteni a meglévő felhasználókat az LDAP-címtárban, akkor válasszon ki egy tesztfelhasználót a Microsoft Entra-azonosítóból, aki rendelkezik a szükséges attribútumokkal, és ki lesz építve a címtárkiszolgálón.

Győződjön meg arról, hogy a felhasználó kiválasztja az összes tulajdonságot, amely a címtárkiszolgáló-séma szükséges attribútumaihoz lesz megfeleltetve.
Az Azure Portalon válassza ki a Nagyvállalati alkalmazásokat.
Válassza ki a helyszíni ECMA alkalmazásalkalmazást .
A bal oldalon, a Kezelés csoportban válassza a Felhasználók és csoportok lehetőséget.
Válassza a Felhasználó/csoport hozzáadása lehetőséget.
A Felhasználók csoportban válassza a Nincs kijelölve lehetőséget.
Válasszon ki egy felhasználót a jobb oldalon, és válassza a Kiválasztás gombot.
Most válassza a Hozzárendelés lehetőséget.

Kiépítés tesztelése

Most, hogy az attribútumok le vannak képezve, és egy kezdeti felhasználó van hozzárendelve, tesztelheti az igény szerinti kiépítést az egyik felhasználóval.

A Microsoft Entra ECMA-összekötő gazdagépét futtató kiszolgálón válassza a Start lehetőséget.
Írja be a futtatás kifejezést, és írja be a services.msc kifejezést a mezőbe.
A Szolgáltatások listában győződjön meg arról, hogy a Microsoft Entra Connect Provisioning Agent szolgáltatás és a Microsoft ECMA2Host szolgáltatások is futnak. Ha nem, válassza a Start lehetőséget.
Az Azure Portalon válassza ki a Nagyvállalati alkalmazásokat.
Válassza ki a helyszíni ECMA alkalmazásalkalmazást .
A bal oldalon válassza a Kiépítés lehetőséget.
Válassza az Igény szerinti kiépítés lehetőséget.
Keressen rá az egyik tesztfelhasználóra, és válassza a Kiépítés lehetőséget.
Néhány másodperc elteltével megjelenik a célrendszerben sikeresen létrehozott felhasználót tartalmazó üzenet a felhasználói attribútumok listájával. Ha ehelyett hiba jelenik meg, tekintse meg a kiépítési hibák hibaelhárítását.

Felhasználók üzembe helyezésének megkezdése

Az igény szerinti kiépítés sikeres tesztelése után adja hozzá a többi felhasználót. Ha többet szeretne megtudni arról, hogyan hozhat létre tömegesen New-MgServicePrincipalAppRoleAssignedToalkalmazásszerepkör-hozzárendeléseket, tekintse meg az alkalmazás meglévő felhasználóinak szabályozását a Microsoft Entra-azonosítóban.

Az Azure Portalon válassza ki az alkalmazást.
A bal oldalon, a Kezelés csoportban válassza a Felhasználók és csoportok lehetőséget.
Győződjön meg arról, hogy minden felhasználó hozzá van rendelve az alkalmazásszerepkörhöz.
Térjen vissza a kiépítés konfigurációs oldalára.
Győződjön meg arról, hogy a hatókör csak a hozzárendelt felhasználókra és csoportokra van beállítva, kapcsolja be a kiépítés állapotát, és válassza a Mentés lehetőséget.
Várjon néhány percet a kiépítés elindításához. Akár 40 percet is igénybe vehet. A kiépítési feladat befejezése után, a következő szakaszban leírtak szerint,

Kiépítési hibák elhárítása

Ha hiba jelenik meg, válassza a Kiépítési naplók megtekintése lehetőséget. Keresse meg a naplóban azt a sort, amelyben az állapot hiba, és kattintson erre a sorra.

Ha a hibaüzenet nem sikerült létrehozni a felhasználót, ellenőrizze a címtárséma követelményeinek megfelelő attribútumokat.

További információkért lépjen a Hibaelhárítás és javaslatok lapra.

Ha a hibaelhárítási hibaüzenetben szerepel az objectClass érték invalid per syntax, győződjön meg arról, hogy az attribútum kiépítési objectClass attribútuma csak a címtárkiszolgáló által felismert objektumosztályok nevét tartalmazza.

További hibákért tekintse meg a helyszíni alkalmazások kiépítésének hibaelhárítását.

Ha fel szeretné függeszteni az alkalmazás üzembe helyezését, a kiépítés konfigurációs lapján a kiépítés állapotát Ki gombra állíthatja, és válassza a Mentés lehetőséget. Ez a művelet megakadályozza, hogy a kiépítési szolgáltatás a jövőben fusson.

Ellenőrizze, hogy a felhasználók sikeresen ki lettek-e építve

Várakozás után ellenőrizze a címtárkiszolgálót, hogy a felhasználók ki vannak-e építve. A címtárkiszolgálón végrehajtott lekérdezés attól függ, hogy a címtárkiszolgáló milyen parancsokat biztosít.

Az alábbi utasítások bemutatják, hogyan ellenőrizheti az OpenLDAP-t Linuxon.

Nyisson meg egy terminálablakot egy parancshéjjal a rendszeren az OpenLDAP használatával.
Írja be a parancsot ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson)
Ellenőrizze, hogy az eredményként kapott LDIF tartalmazza-e a Microsoft Entra-azonosítóból kiépített felhasználókat.

Következő lépések

A kiépítési szolgáltatás működéséről és a gyakori kérdésekről további információt az SaaS-alkalmazások felhasználók kiépítésének és leépítésének automatizálása a Microsoft Entra-azonosítóval és a helyszíni alkalmazáskiépítési architektúrával című témakörben talál .

Megosztás a következőn keresztül:

A Microsoft Entra ID konfigurálása a felhasználók linuxos hitelesítéshez használt LDAP-címtárba való kiépítéséhez

A felhasználók Linux-hitelesítéshez szükséges LDAP-címtárba való kiépítésének előfeltételei

Helyszíni előfeltételek

Felhőkövetelmények

További javaslatok és korlátozások

Annak meghatározása, hogy a Microsoft Entra LDAP-összekötő hogyan fogja használni a címtárkiszolgálót

A Microsoft Entra Connect kiépítési ügynök telepítése és konfigurálása

A helyszíni ECMA-alkalmazás konfigurálása

A Microsoft Entra ECMA-összekötő gazdagéptanúsítványának konfigurálása

Az általános LDAP-összekötő konfigurálása

Győződjön meg arról, hogy az ECMA2Host szolgáltatás fut, és a címtárkiszolgálóról tud olvasni

A Microsoft Entra-azonosító és az összekötő gazdagép közötti kapcsolat tesztelése

A Microsoft Entra séma kiterjesztése

Attribútumleképezés konfigurálása

Győződjön meg arról, hogy a címtárba kiosztandó felhasználók rendelkeznek a szükséges attribútumokkal

Felhasználók megerősítése a PowerShell-lel

Meglévő felhasználók gyűjtése az LDAP-címtárból

A felhasználók azonosítóinak lekérése a Microsoft Entra-azonosítóban

Felhasználók hozzárendelése az alkalmazáshoz a Microsoft Entra-azonosítóban

Kiépítés tesztelése

Felhasználók üzembe helyezésének megkezdése

Kiépítési hibák elhárítása

Ellenőrizze, hogy a felhasználók sikeresen ki lettek-e építve

Következő lépések

Visszajelzés

Visszajelzés

További források