Microsoft Identity Manager Microsoft Graph-összekötő
Összefoglalás
A Microsoft Graph Microsoft Identity Manager összekötője további integrációs forgatókönyveket tesz lehetővé Microsoft Entra ID P1 vagy P2 ügyfelek számára. A MIM szinkronizálási metaverzumában további objektumokat jelenít meg, amelyeket a Microsoft Graph API v1-ből és bétaverzióból szerezhet be.
Érintett forgatókönyvek
B2B-fiók életciklusának kezelése
A Microsoft Graph Microsoft Identity Manager összekötőjének kezdeti forgatókönyve összekötőként szolgál az AD DS-fiókok életciklus-felügyeletének automatizálásához a külső felhasználók számára. Ebben a forgatókönyvben egy szervezet szinkronizálja az alkalmazottakat az AD DS-ből Microsoft Entra ID a Microsoft Entra Connect használatával, és vendégeket is meghívott a Microsoft Entra könyvtárba. A vendég meghívása azt eredményezi, hogy egy külső felhasználói objektum a szervezet Microsoft Entra könyvtárában található, amely nem az adott szervezet AD DS-jében található. Ezután a szervezet hozzáférést szeretne biztosítani a vendégeknek a helyszíni Windows integrált hitelesítéshez vagy Kerberos-alapú alkalmazásokhoz az Microsoft Entra alkalmazásproxyn vagy más átjárómechanizmusokon keresztül. A Microsoft Entra alkalmazásproxyhoz minden felhasználónak saját AD DS-fiókkal kell rendelkeznie azonosítási és delegálási célokból.
Ha meg szeretné tudni, hogyan konfigurálhatja a MIM-szinkronizálást úgy, hogy automatikusan hozzon létre és tartson fenn AD DS-fiókokat a vendégek számára, a cikk utasításainak elolvasása után folytassa a cikk Microsoft Entra üzletközi (B2B) együttműködést a MIM 2016-tal és a Microsoft Entra alkalmazásproxyval. Ez a cikk az összekötőhöz szükséges szinkronizálási szabályokat mutatja be.
Egyéb identitáskezelési forgatókönyvek
Az összekötő más identitáskezelési forgatókönyvekhez is használható, beleértve a felhasználói, csoport- és partnerobjektumok létrehozását, olvasását, frissítését és törlését a Microsoft Entra ID, a felhasználói és csoportszinkronizáláson túl a Microsoft Entra ID. A lehetséges forgatókönyvek kiértékelésekor vegye figyelembe, hogy ez az összekötő nem működtethető olyan forgatókönyvben, amely adatfolyam-átfedést, tényleges vagy lehetséges szinkronizálási ütközést eredményezne egy Microsoft Entra Connect-üzembe helyezéssel. Microsoft Entra Connect a helyszíni címtárak és a Microsoft Entra ID integrálásának ajánlott módszere a felhasználók és csoportok szinkronizálásával a helyszíni címtárakból a Microsoft Entra ID. Microsoft Entra A Connect számos további szinkronizálási funkcióval rendelkezik, és olyan forgatókönyveket tesz lehetővé, mint a jelszó és az eszközvisszaíró, amelyek a MIM által létrehozott objektumok esetében nem lehetségesek. Ha például az adatok az AD DS-be kerülnek, győződjön meg arról, hogy azokat kizárja a Microsoft Entra Connect, és megpróbálja az objektumokat visszafedni a Microsoft Entra könyvtárba. Ez az összekötő nem használható Microsoft Entra objektumok módosítására sem, amelyeket a Microsoft Entra Connect hozott létre.
Felkészülés a Microsoft Graph-összekötő használatára
Az összekötő engedélyezése az Microsoft Entra könyvtárban lévő objektumok lekérésére vagy kezelésére
Az összekötő használatához létre kell hozni egy webalkalmazást/API-alkalmazást Microsoft Entra ID, hogy megfelelő engedélyekkel engedélyezhető legyen Microsoft Entra objektumokon a Microsoft Graphon keresztül.
1. kép. Új alkalmazásregisztráció
A Azure Portal nyissa meg a létrehozott alkalmazást, és mentse az alkalmazásazonosítót ügyfél-azonosítóként a ma kapcsolati oldalán később használni:
2. kép. Alkalmazásazonosító
Hozzon létre új titkos ügyfélkulcsot a Tanúsítványok & titkos kódok megnyitásával. Adjon meg néhány kulcsleírást, és válassza ki a maximális időtartamot. Mentse a módosításokat, és kérje le az ügyfél titkos kódjának lekérését. Az ügyfél titkos kódjának értéke nem lesz újra megtekinthető a lap elhagyása után.
3. kép. Új titkos ügyfélkód
Adjon megfelelő "Microsoft Graph" engedélyeket az alkalmazásnak az "API-engedélyek" megnyitásával
4. kép. Új API hozzáadása
Válassza a "Microsoft Graph" alkalmazásengedélyek lehetőséget.
Vonja vissza az összes felesleges engedélyt.
A forgatókönyvtől függően a következő engedélyt kell hozzáadni az alkalmazáshoz, hogy lehetővé tegye a "Microsoft Graph API" használatát:
Művelet objektummal Engedély szükséges Engedély típusa Sémaészlelés Application.Read.All
Alkalmazás Csoport importálása Group.Read.All
vagyGroup.ReadWrite.All
Alkalmazás Felhasználó importálása User.Read.All
, ,User.ReadWrite.All
Directory.Read.All
vagyDirectory.ReadWrite.All
Alkalmazás A szükséges engedélyekkel kapcsolatos további részletek az engedélyekkel kapcsolatos referenciában találhatók.
Megjegyzés
Application.Read.Minden engedély kötelező a sémaészleléshez, és meg kell adni, függetlenül attól, hogy az objektumtípus-összekötő működik-e.
- Rendszergazdai hozzájárulás megadása a kiválasztott engedélyekhez.
Az összekötő telepítése
- Az összekötő telepítése előtt győződjön meg arról, hogy rendelkezik a következőkkel a szinkronizálási kiszolgálón:
- Microsoft .NET 4.6.2-keretrendszer vagy újabb
- Microsoft Identity Manager 2016 SP2-t, és a 4.4.1642.0-s KB4021562 vagy újabb gyorsjavítást kell használnia.
A Microsoft Graph összekötője a Microsoft Identity Manager 2016 SP2 egyéb összekötői mellett letölthető a Microsoft letöltőközpontból.
Indítsa újra a MIM szinkronizálási szolgáltatást.
Összekötő konfigurálása
- A Szinkronizálás Service Manager felhasználói felületén válassza az Összekötőkés létrehozás lehetőséget. Válassza a Graph (Microsoft) lehetőséget, hozzon létre egy összekötőt, és adjon neki egy leíró nevet.
- A MIM szinkronizálási szolgáltatás felhasználói felületén adja meg az alkalmazásazonosítót és a létrehozott ügyfélkulcsot. A MIM Syncben konfigurált összes felügyeleti ügynöknek saját alkalmazással kell rendelkeznie Microsoft Entra ID, hogy ne futtassa párhuzamosan az importálást ugyanarra az alkalmazásra vonatkozóan.
5. kép. Kapcsolat lap
A kapcsolati oldal (5. kép) tartalmazza a használt Graph API verziót és a bérlő nevét. Az ügyfélazonosító és az ügyfélkód a korábban Microsoft Entra ID létrehozott alkalmazás alkalmazásazonosítóját és kulcsértékét jelöli.
Az összekötő alapértelmezés szerint a 1.0-s verzióhoz, valamint a Microsoft Graph globális szolgáltatás bejelentkezési és gráfvégpontjaihoz tartozik. Ha a bérlő egy országos felhőben található, akkor módosítania kell a konfigurációt, hogy az országos felhő végpontjait használja. Vegye figyelembe, hogy a Graph egyes, a globális szolgáltatásban elérhető funkciói nem feltétlenül érhetők el az összes országos felhőben.
- Végezze el a szükséges módosításokat a Globális paraméterek lapon:
6. kép. Globális paraméterek lap
A globális paraméterek lapja a következő beállításokat tartalmazza:
DateTime formátum – az Edm.DateTimeOffset típusú attribútumokhoz használt formátum. Az importálás során az összes dátum sztringgé lesz konvertálva ezzel a formátummal. A beállított formátumot a rendszer minden attribútumra alkalmazza, amely menti a dátumot.
HTTP-időtúllépés (másodperc) – időtúllépés másodpercben, amelyet a Graphnak adott HTTP-hívások során használunk.
A következő jelnél kényszerítse a létrehozott felhasználó jelszavának módosítását – ez a beállítás az exportálás során létrejövő új felhasználóhoz lesz használva. Ha a beállítás engedélyezve van, akkor a forceChangePasswordNextSignIn tulajdonság értéke igaz lesz, ellenkező esetben hamis lesz.
Az összekötő sémájának és műveleteinek konfigurálása
- Konfigurálja a sémát. Az összekötő a Graph v1.0 végponttal való használat esetén a következő objektumtípusok listáját támogatja:
Felhasználó
Teljes/különbözeti importálás
Exportálás (hozzáadás, frissítés, törlés)
Group
Teljes/különbözeti importálás
Exportálás (hozzáadás, frissítés, törlés)
További objektumtípusok is megjelenhetnek, ha úgy konfigurálja az összekötőt, hogy a Graph bétavégpontot használja.
A támogatott attribútumtípusok listája:
Edm.Boolean
Edm.String
Edm.DateTimeOffset
(sztring az összekötőtérben)microsoft.graph.directoryObject
(hivatkozás az összekötőtérben bármely támogatott objektumra)microsoft.graph.contact
A többértékű attribútumok (Gyűjtemény) a fenti lista bármely típusához támogatottak.
Az összekötő a horgonyid
és a DN attribútumot használja az összes objektumhoz. Ezért az átnevezésre nincs szükség, mert Graph API nem teszi lehetővé, hogy egy objektum módosítsa az attribútumátid
.
Hozzáférési jogkivonat élettartama
A Graph-alkalmazásoknak hozzáférési jogkivonatra van szükségük a Graph API eléréséhez. Az összekötők minden importálási iterációhoz új hozzáférési jogkivonatot igényelnek (az importálási iteráció az oldal méretétől függ). Például:
Microsoft Entra ID 10000 objektumot tartalmaz
Az összekötőben konfigurált oldalméret 5000
Ebben az esetben két iteráció lesz az importálás során, és mindegyik 5000 objektumot ad vissza a szinkronizáláshoz. Így egy új hozzáférési jogkivonat kétszer lesz kérve.
Az exportálás során minden egyes hozzáadandó/frissítendő/törölt objektumhoz új hozzáférési jogkivonatot kér a rendszer.
Szűrők lekérdezése
Graph API végpontok lehetővé teszi a GET-lekérdezések által visszaadott objektumok mennyiségének korlátozását $filter paraméter bevezetésével.
Ha engedélyezni szeretné a lekérdezésszűrők használatát a teljes importálási teljesítményciklus javításához, az összekötő tulajdonságainak Séma 1 lapján engedélyezze az Objektumszűrő hozzáadása jelölőnégyzetet.
Ezután a Schema 2 lapon írjon be egy kifejezést, amellyel szűrheti a felhasználókat, csoportokat, névjegyeket vagy szolgáltatásneveket.
A fenti képernyőképen a startsWith(displayName,'J' szűrő) úgy van beállítva, hogy csak azokat a felhasználókat olvassa be, akiknek a displayName attribútum értéke "J" karakterrel kezdődik.
Győződjön meg arról, hogy a szűrőkifejezésben használt attribútum ki van jelölve az összekötő tulajdonságai között.
A $filter lekérdezési paraméterek használatáról további információt a következő cikkben talál: Lekérdezési paraméterek használata a válaszok testreszabásához.
Megjegyzés
A Delta-lekérdezési végpont jelenleg nem kínál szűrési képességeket, ezért a szűrők használata csak teljes importálásra korlátozódik. hibaüzenet jelenik meg a változásimportálási futtatás elindításához, ha a lekérdezésszűrők engedélyezve van.
Hibaelhárítás
Naplók engedélyezése
Ha bármilyen probléma merül fel a Graphban, akkor a naplók segítségével honosíthatja a problémát. Így a nyomkövetések ugyanúgy engedélyezhetők, mint az általános összekötők esetében. Vagy egyszerűen adja hozzá a következőt a (belső system.diagnostics/sources
szakaszhoz miiserver.exe.config
):
<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>
Megjegyzés
Ha a "Felügyeleti ügynök futtatása külön folyamatban" beállítás engedélyezve van, akkor dllhost.exe.config
a helyett a következőt kell használni: miiserver.exe.config
.
Hozzáférési jogkivonat lejárt hiba
Az összekötő 401-ben a "Hozzáférési jogkivonat lejárt" üzenet 401-ben nem engedélyezett HTTP-hibát adhat vissza:
7. kép. "A hozzáférési jogkivonat lejárt." Hiba
A probléma oka lehet a hozzáférési jogkivonat élettartamának konfigurálása az Azure-oldalról. Alapértelmezés szerint a hozzáférési jogkivonat 1 óra elteltével lejár. A lejárati idő növeléséhez tekintse meg ezt a cikket.
Példa erre Azure AD PowerShell-modul nyilvános előzetes verziójának használatával
New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}") -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
Következő lépések
- Graph Explorer, kiválóan alkalmas HTTP-hívásokkal kapcsolatos problémák elhárítására
- Verziószámozási, támogatási és kompatibilitástörő változási szabályzatok a Microsoft Graphhoz
- A Microsoft Graph országos felhőbeli üzemelő példányai
- Microsoft Identity Manager-összekötő letöltése a Microsoft GraphMIM B2B végpontok közötti üzembe helyezéséhez