Megosztás a következőn keresztül:

Microsoft Identity Manager Microsoft Graph-összekötő

  • Cikk

Összefoglalás

A Microsoft Graph Microsoft Identity Manager összekötője további integrációs forgatókönyveket tesz lehetővé Microsoft Entra ID P1 vagy P2 ügyfelek számára. A MIM szinkronizálási metaverzumában további objektumokat jelenít meg, amelyeket a Microsoft Graph API v1-ből és bétaverzióból szerezhet be.

Érintett forgatókönyvek

B2B-fiók életciklusának kezelése

A Microsoft Graph Microsoft Identity Manager összekötőjének kezdeti forgatókönyve összekötőként szolgál az AD DS-fiókok életciklus-felügyeletének automatizálásához a külső felhasználók számára. Ebben a forgatókönyvben egy szervezet szinkronizálja az alkalmazottakat az AD DS-ből Microsoft Entra ID a Microsoft Entra Connect használatával, és vendégeket is meghívott a Microsoft Entra könyvtárba. A vendég meghívása azt eredményezi, hogy egy külső felhasználói objektum a szervezet Microsoft Entra könyvtárában található, amely nem az adott szervezet AD DS-jében található. Ezután a szervezet hozzáférést szeretne biztosítani a vendégeknek a helyszíni Windows integrált hitelesítéshez vagy Kerberos-alapú alkalmazásokhoz az Microsoft Entra alkalmazásproxyn vagy más átjárómechanizmusokon keresztül. A Microsoft Entra alkalmazásproxyhoz minden felhasználónak saját AD DS-fiókkal kell rendelkeznie azonosítási és delegálási célokból.

Ha meg szeretné tudni, hogyan konfigurálhatja a MIM-szinkronizálást úgy, hogy automatikusan hozzon létre és tartson fenn AD DS-fiókokat a vendégek számára, a cikk utasításainak elolvasása után folytassa a cikk Microsoft Entra üzletközi (B2B) együttműködést a MIM 2016-tal és a Microsoft Entra alkalmazásproxyval. Ez a cikk az összekötőhöz szükséges szinkronizálási szabályokat mutatja be.

Egyéb identitáskezelési forgatókönyvek

Az összekötő más identitáskezelési forgatókönyvekhez is használható, beleértve a felhasználói, csoport- és partnerobjektumok létrehozását, olvasását, frissítését és törlését a Microsoft Entra ID, a felhasználói és csoportszinkronizáláson túl a Microsoft Entra ID. A lehetséges forgatókönyvek kiértékelésekor vegye figyelembe, hogy ez az összekötő nem működtethető olyan forgatókönyvben, amely adatfolyam-átfedést, tényleges vagy lehetséges szinkronizálási ütközést eredményezne egy Microsoft Entra Connect-üzembe helyezéssel. Microsoft Entra Connect a helyszíni címtárak és a Microsoft Entra ID integrálásának ajánlott módszere a felhasználók és csoportok szinkronizálásával a helyszíni címtárakból a Microsoft Entra ID. Microsoft Entra A Connect számos további szinkronizálási funkcióval rendelkezik, és olyan forgatókönyveket tesz lehetővé, mint a jelszó és az eszközvisszaíró, amelyek a MIM által létrehozott objektumok esetében nem lehetségesek. Ha például az adatok az AD DS-be kerülnek, győződjön meg arról, hogy azokat kizárja a Microsoft Entra Connect, és megpróbálja az objektumokat visszafedni a Microsoft Entra könyvtárba. Ez az összekötő nem használható Microsoft Entra objektumok módosítására sem, amelyeket a Microsoft Entra Connect hozott létre.

Felkészülés a Microsoft Graph-összekötő használatára

Az összekötő engedélyezése az Microsoft Entra könyvtárban lévő objektumok lekérésére vagy kezelésére

  1. Az összekötő használatához létre kell hozni egy webalkalmazást/API-alkalmazást Microsoft Entra ID, hogy megfelelő engedélyekkel engedélyezhető legyen Microsoft Entra objektumokon a Microsoft Graphon keresztül.

    Az új alkalmazásregisztráció gomb képe Az alkalmazásregisztráció képe

    1. kép. Új alkalmazásregisztráció

  2. A Azure Portal nyissa meg a létrehozott alkalmazást, és mentse az alkalmazásazonosítót ügyfél-azonosítóként a ma kapcsolati oldalán később használni:

    Az alkalmazásregisztráció részleteinek képe

    2. kép. Alkalmazásazonosító

  3. Hozzon létre új titkos ügyfélkulcsot a Tanúsítványok & titkos kódok megnyitásával. Adjon meg néhány kulcsleírást, és válassza ki a maximális időtartamot. Mentse a módosításokat, és kérje le az ügyfél titkos kódjának lekérését. Az ügyfél titkos kódjának értéke nem lesz újra megtekinthető a lap elhagyása után.

    Az új titkos kód hozzáadása gomb képe

    3. kép. Új titkos ügyfélkód

  4. Adjon megfelelő "Microsoft Graph" engedélyeket az alkalmazásnak az "API-engedélyek" megnyitásával

    Az Engedélyek hozzáadása gomb képe 4. kép. Új API hozzáadása

    Válassza a "Microsoft Graph" alkalmazásengedélyek lehetőséget. Alkalmazásengedélyek képe

    Vonja vissza az összes felesleges engedélyt.

    A nem megadott alkalmazásengedélyek képe

    A forgatókönyvtől függően a következő engedélyt kell hozzáadni az alkalmazáshoz, hogy lehetővé tegye a "Microsoft Graph API" használatát:

    Művelet objektummal Engedély szükséges Engedély típusa
    Sémaészlelés Application.Read.All Alkalmazás
    Csoport importálása Group.Read.All vagy Group.ReadWrite.All Alkalmazás
    Felhasználó importálása User.Read.All, , User.ReadWrite.AllDirectory.Read.All vagyDirectory.ReadWrite.All Alkalmazás

    A szükséges engedélyekkel kapcsolatos további részletek az engedélyekkel kapcsolatos referenciában találhatók.

Megjegyzés

Application.Read.Minden engedély kötelező a sémaészleléshez, és meg kell adni, függetlenül attól, hogy az objektumtípus-összekötő működik-e.

  1. Rendszergazdai hozzájárulás megadása a kiválasztott engedélyekhez. A megadott rendszergazdai hozzájárulás képe

Az összekötő telepítése

  1. Az összekötő telepítése előtt győződjön meg arról, hogy rendelkezik a következőkkel a szinkronizálási kiszolgálón:
  • Microsoft .NET 4.6.2-keretrendszer vagy újabb
  • Microsoft Identity Manager 2016 SP2-t, és a 4.4.1642.0-s KB4021562 vagy újabb gyorsjavítást kell használnia.

  1. A Microsoft Graph összekötője a Microsoft Identity Manager 2016 SP2 egyéb összekötői mellett letölthető a Microsoft letöltőközpontból.

  2. Indítsa újra a MIM szinkronizálási szolgáltatást.

Összekötő konfigurálása

  1. A Szinkronizálás Service Manager felhasználói felületén válassza az Összekötőkés létrehozás lehetőséget. Válassza a Graph (Microsoft) lehetőséget, hozzon létre egy összekötőt, és adjon neki egy leíró nevet.

Új összekötő képe

  1. A MIM szinkronizálási szolgáltatás felhasználói felületén adja meg az alkalmazásazonosítót és a létrehozott ügyfélkulcsot. A MIM Syncben konfigurált összes felügyeleti ügynöknek saját alkalmazással kell rendelkeznie Microsoft Entra ID, hogy ne futtassa párhuzamosan az importálást ugyanarra az alkalmazásra vonatkozóan.

Összekötő beállításainak képe a kapcsolat részleteivel

5. kép. Kapcsolat lap

A kapcsolati oldal (5. kép) tartalmazza a használt Graph API verziót és a bérlő nevét. Az ügyfélazonosító és az ügyfélkód a korábban Microsoft Entra ID létrehozott alkalmazás alkalmazásazonosítóját és kulcsértékét jelöli.

Az összekötő alapértelmezés szerint a 1.0-s verzióhoz, valamint a Microsoft Graph globális szolgáltatás bejelentkezési és gráfvégpontjaihoz tartozik. Ha a bérlő egy országos felhőben található, akkor módosítania kell a konfigurációt, hogy az országos felhő végpontjait használja. Vegye figyelembe, hogy a Graph egyes, a globális szolgáltatásban elérhető funkciói nem feltétlenül érhetők el az összes országos felhőben.

  1. Végezze el a szükséges módosításokat a Globális paraméterek lapon:

Globális paraméterek lapképe

6. kép. Globális paraméterek lap

A globális paraméterek lapja a következő beállításokat tartalmazza:

  • DateTime formátum – az Edm.DateTimeOffset típusú attribútumokhoz használt formátum. Az importálás során az összes dátum sztringgé lesz konvertálva ezzel a formátummal. A beállított formátumot a rendszer minden attribútumra alkalmazza, amely menti a dátumot.

  • HTTP-időtúllépés (másodperc) – időtúllépés másodpercben, amelyet a Graphnak adott HTTP-hívások során használunk.

  • A következő jelnél kényszerítse a létrehozott felhasználó jelszavának módosítását – ez a beállítás az exportálás során létrejövő új felhasználóhoz lesz használva. Ha a beállítás engedélyezve van, akkor a forceChangePasswordNextSignIn tulajdonság értéke igaz lesz, ellenkező esetben hamis lesz.

Az összekötő sémájának és műveleteinek konfigurálása

  1. Konfigurálja a sémát. Az összekötő a Graph v1.0 végponttal való használat esetén a következő objektumtípusok listáját támogatja:

  • Felhasználó

    • Teljes/különbözeti importálás

    • Exportálás (hozzáadás, frissítés, törlés)

  • Group

    • Teljes/különbözeti importálás

    • Exportálás (hozzáadás, frissítés, törlés)

További objektumtípusok is megjelenhetnek, ha úgy konfigurálja az összekötőt, hogy a Graph bétavégpontot használja.

A támogatott attribútumtípusok listája:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (sztring az összekötőtérben)

  • microsoft.graph.directoryObject (hivatkozás az összekötőtérben bármely támogatott objektumra)

  • microsoft.graph.contact

A többértékű attribútumok (Gyűjtemény) a fenti lista bármely típusához támogatottak.

Az összekötő a horgonyid és a DN attribútumot használja az összes objektumhoz. Ezért az átnevezésre nincs szükség, mert Graph API nem teszi lehetővé, hogy egy objektum módosítsa az attribútumátid.

Hozzáférési jogkivonat élettartama

A Graph-alkalmazásoknak hozzáférési jogkivonatra van szükségük a Graph API eléréséhez. Az összekötők minden importálási iterációhoz új hozzáférési jogkivonatot igényelnek (az importálási iteráció az oldal méretétől függ). Például:

  • Microsoft Entra ID 10000 objektumot tartalmaz

  • Az összekötőben konfigurált oldalméret 5000

Ebben az esetben két iteráció lesz az importálás során, és mindegyik 5000 objektumot ad vissza a szinkronizáláshoz. Így egy új hozzáférési jogkivonat kétszer lesz kérve.

Az exportálás során minden egyes hozzáadandó/frissítendő/törölt objektumhoz új hozzáférési jogkivonatot kér a rendszer.

Szűrők lekérdezése

Graph API végpontok lehetővé teszi a GET-lekérdezések által visszaadott objektumok mennyiségének korlátozását $filter paraméter bevezetésével.

Ha engedélyezni szeretné a lekérdezésszűrők használatát a teljes importálási teljesítményciklus javításához, az összekötő tulajdonságainak Séma 1 lapján engedélyezze az Objektumszűrő hozzáadása jelölőnégyzetet.

Összekötő beállításai – első kép, amelyen be van jelölve az Objektumok hozzáadása szűrő jelölőnégyzet

Ezután a Schema 2 lapon írjon be egy kifejezést, amellyel szűrheti a felhasználókat, csoportokat, névjegyeket vagy szolgáltatásneveket.

Összekötő beállításai oldal, második kép egy mintaszűrővelWith(displayName,'J')

A fenti képernyőképen a startsWith(displayName,'J' szűrő) úgy van beállítva, hogy csak azokat a felhasználókat olvassa be, akiknek a displayName attribútum értéke "J" karakterrel kezdődik.

Győződjön meg arról, hogy a szűrőkifejezésben használt attribútum ki van jelölve az összekötő tulajdonságai között.

Összekötő beállításai lap képe, amelyen ki van jelölve egy displayName attribútum

A $filter lekérdezési paraméterek használatáról további információt a következő cikkben talál: Lekérdezési paraméterek használata a válaszok testreszabásához.

Megjegyzés

A Delta-lekérdezési végpont jelenleg nem kínál szűrési képességeket, ezért a szűrők használata csak teljes importálásra korlátozódik. hibaüzenet jelenik meg a változásimportálási futtatás elindításához, ha a lekérdezésszűrők engedélyezve van.

Hibaelhárítás

Naplók engedélyezése

Ha bármilyen probléma merül fel a Graphban, akkor a naplók segítségével honosíthatja a problémát. Így a nyomkövetések ugyanúgy engedélyezhetők, mint az általános összekötők esetében. Vagy egyszerűen adja hozzá a következőt a (belső system.diagnostics/sources szakaszhoz miiserver.exe.config ):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Megjegyzés

Ha a "Felügyeleti ügynök futtatása külön folyamatban" beállítás engedélyezve van, akkor dllhost.exe.config a helyett a következőt kell használni: miiserver.exe.config.

Hozzáférési jogkivonat lejárt hiba

Az összekötő 401-ben a "Hozzáférési jogkivonat lejárt" üzenet 401-ben nem engedélyezett HTTP-hibát adhat vissza:

Hiba részleteinek képe

7. kép. "A hozzáférési jogkivonat lejárt." Hiba

A probléma oka lehet a hozzáférési jogkivonat élettartamának konfigurálása az Azure-oldalról. Alapértelmezés szerint a hozzáférési jogkivonat 1 óra elteltével lejár. A lejárati idő növeléséhez tekintse meg ezt a cikket.

Példa erre Azure AD PowerShell-modul nyilvános előzetes verziójának használatával

Jogkivonat élettartamának képe

New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}") -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Következő lépések