Microsoft Entra vállalatközi (B2B) együttműködés a Microsoft Identity Manager(MIM) 2016 SP1 szolgáltatással Azure-alkalmazás Proxyval
A kezdeti forgatókönyv a külső felhasználói AD-fiók életciklusának kezelése. Ebben az esetben egy szervezet vendégeket hívott meg a Microsoft Entra könyvtárába, és hozzáférést szeretne biztosítani a vendégeknek a helyszíni Windows-Integrated-hitelesítéshez vagy Kerberos-alapú alkalmazásokhoz a Microsoft Entra alkalmazásproxyn vagy más átjárómechanizmusokon keresztül. A Microsoft Entra alkalmazásproxyhoz minden felhasználónak saját AD DS-fiókkal kell rendelkeznie azonosítási és delegálási célokból.
Scenario-Specific útmutató
A B2B MIM-et és Microsoft Entra azonosítót alkalmazásproxy konfigurálásának néhány feltételezése:
Már üzembe helyezett egy helyszíni AD-t, és a Microsoft Identity Manager telepítve van, valamint a MIM-szolgáltatás, a MIM Portal, az Active Directory Management Agent (AD MA) és a FIM Management Agent (FIM MA) alapkonfigurációja. További információ: Üzembe helyezés Microsoft Identity Manager 2016 SP2.
Már követte a Graph-összekötő letöltéséről és telepítéséről szóló cikkben található utasításokat.
A Microsoft Entra Connect konfigurálva van a felhasználók és csoportok szinkronizálásához Microsoft Entra azonosítóhoz.
Már beállította alkalmazásproxy összekötőket és összekötőcsoportokat. Ha nem, a telepítéshez és konfiguráláshoz tekintse meg az oktatóanyagot: Helyszíni alkalmazás hozzáadása távoli hozzáféréshez alkalmazásproxy keresztül Microsoft Entra azonosítóban.
Már közzétett egy vagy több alkalmazást, amelyek windowsos integrált hitelesítésre vagy egyéni AD-fiókokra támaszkodnak Microsoft Entra alkalmazásproxyn keresztül.
Meghívott vagy meghívott egy vagy több vendéget, amely egy vagy több felhasználó létrehozását eredményezte Microsoft Entra azonosítóban. További információ: Önkiszolgáló Microsoft Entra B2B-együttműködésre való regisztráció.
B2B– végpontok közötti üzembe helyezési példaforgatókönyv
Ez az útmutató a következő forgatókönyvre épül:
A Contoso Pharmaceuticals együttműködik a Trey Research Inc.-vel az R&D részleg részeként. A Trey Research alkalmazottainak hozzá kell férnie a Contoso Pharmaceuticals által biztosított kutatási jelentési alkalmazáshoz.
A Contoso Pharmaceuticals a saját bérlőjében van, hogy egyéni tartományt konfiguráljon.
Valaki meghívott egy külső felhasználót a Contoso Pharmaceuticals bérlőjéhez. Ez a felhasználó elfogadta a meghívást, és hozzáférhet a megosztott erőforrásokhoz.
A Contoso Pharmaceuticals közzétett egy alkalmazást alkalmazásproxyn keresztül. Ebben a forgatókönyvben a példaalkalmazás a MIM-portál. Ez lehetővé tenné a vendégfelhasználók számára, hogy részt vegyenek a MIM-folyamatokban, például ügyfélszolgálati forgatókönyvekben, vagy hozzáférést kérhetnek a MIM-csoportokhoz.
Az AD és a Microsoft Entra Connect konfigurálása a Microsoft Entra azonosítóból hozzáadott felhasználók kizárásához
Alapértelmezés szerint Microsoft Entra Connect feltételezi, hogy az Active Directory nem rendszergazdai felhasználóit szinkronizálni kell Microsoft Entra azonosítóval. Ha Microsoft Entra Connect Microsoft Entra azonosítójú meglévő felhasználót talál, amely megfelel a helyszíni AD-ből származó felhasználónak, Microsoft Entra Connect megfelel a két fióknak, és feltételezi, hogy ez a felhasználó korábbi szinkronizálása, és mérvadóvá teszi a helyszíni AD-t. Ez az alapértelmezett viselkedés azonban nem megfelelő a B2B-folyamathoz, ahol a felhasználói fiók Microsoft Entra azonosítóból származik.
Ezért a MIM által az AD DS-be Microsoft Entra azonosítóból behozott felhasználókat úgy kell tárolni, hogy Microsoft Entra azonosító ne kísérelje meg szinkronizálni ezeket a felhasználókat Microsoft Entra azonosítóval. Ennek egyik módja egy új szervezeti egység létrehozása az AD DS-ben, és a Microsoft Entra Connect konfigurálása a szervezeti egység kizárására.
További információ: Microsoft Entra Szinkronizálás csatlakoztatása: Szűrés konfigurálása.
Az Microsoft Entra alkalmazás létrehozása
Megjegyzés: A MIM-ben való létrehozás előtt szinkronizálja a gráfösszekötő felügyeleti ügynökét, győződjön meg arról, hogy áttekintette a Graph Connector üzembe helyezéséhez szükséges útmutatót, és létrehozott egy alkalmazást egy ügyfélazonosítóval és titkos kóddal.
Győződjön meg arról, hogy az alkalmazás rendelkezik engedéllyel a következő engedélyek közül legalább egyre: User.Read.All
, , User.ReadWrite.All
Directory.Read.All
vagy Directory.ReadWrite.All
.
Az új felügyeleti ügynök létrehozása
A Szinkronizálás Service Manager felhasználói felületén válassza az Összekötőkés létrehozás lehetőséget. Válassza a Graph (Microsoft) lehetőséget , és adjon neki egy leíró nevet.
Kapcsolatok
A Kapcsolat lapon meg kell adnia a Graph API verziót. A termelésre kész PAI v 1.0, a Nem éles verzió bétaverzió.
Globális paraméterek
Kiépítési hierarchia konfigurálása
Ezen a lapon leképezhető a DN-összetevő( például szervezeti egység) a kiépíteni kívánt objektumtípusra, például a szervezeti egységre. Erre a forgatókönyvre nincs szükség, ezért hagyja ezt alapértelmezettként, és kattintson a tovább gombra.
Partíciók és hierarchiák konfigurálása
A partíciók és a hierarchiák lapon válassza ki az összes olyan névteret, amelybe importálni és exportálni kívánt objektumokat kíván létrehozni.
Objektumtípusok kiválasztása
Az objektumtípusok lapon válassza ki az importálni kívánt objektumtípusokat. Legalább a "Felhasználó" lehetőséget kell választania.
Attribútumok kiválasztása
Az Attribútumok kiválasztása képernyőn válassza ki az Microsoft Entra azon attribútumait, amelyekre szükség lesz a B2B-felhasználók AD-ben való kezeléséhez. Az "ID" attribútum megadása kötelező. Az attribútumok userPrincipalName
, amelyeket userType
később fog használni ebben a konfigurációban. Más attribútumok nem kötelezőek, beleértve a
displayName
mail
givenName
surname
userPrincipalName
userType
Horgonyok konfigurálása
A Horgony konfigurálása képernyőn a horgonyattribútum konfigurálása kötelező lépés. Alapértelmezés szerint használja az ID attribútumot a felhasználóleképezéshez.
Összekötőszűrő konfigurálása
Az Összekötőszűrő konfigurálása lapon a MIM lehetővé teszi az objektumok attribútumszűrő alapján történő szűrését. Ebben a B2B-forgatókönyvben a cél az, hogy Guest
a felhasználókat csak az attribútum értékével userType
hozza be, és ne a userType értékkel rendelkező member
felhasználókat.
Csatlakozási és leképezési szabályok konfigurálása
Ez az útmutató feltételezi, hogy szinkronizálási szabályt fog létrehozni. Mivel az illesztési és leképezési szabályok konfigurálását szinkronizálási szabály kezeli, nem szükséges azonosítania magát az összekötőt és a vetítést. Hagyja meg az alapértelmezett értéket, és kattintson az OK gombra.
Attribútumfolyam konfigurálása
Ez az útmutató feltételezi, hogy szinkronizálási szabályt fog létrehozni. A MIM Sync attribútumfolyamatának definiálásához nincs szükség vetítésre, mivel azt a később létrehozott szinkronizálási szabály kezeli. Hagyja meg az alapértelmezett értéket, és kattintson az OK gombra.
Deprovision konfigurálása
A deprovision konfigurálásának beállítása lehetővé teszi, hogy a MIM-szinkronizálást úgy konfigurálja, hogy törölje az objektumot, ha a metaverzum-objektum törölve van. Ebben a forgatókönyvben leválasztjuk őket, mivel a cél az, hogy Microsoft Entra azonosítóban hagyják őket. Ebben a forgatókönyvben nem exportálunk semmit Microsoft Entra azonosítóba, és az összekötő csak importálásra van konfigurálva.
Bővítmények konfigurálása
A bővítmények konfigurálása ezen a felügyeleti ügynökön egy lehetőség, de nem szükséges, mert szinkronizálási szabályt használunk. Ha korábban úgy döntöttünk, hogy egy speciális szabályt használunk az attribútumfolyamatban, akkor lehetőség van a szabálybővítmény meghatározására.
A metaverzumséma kiterjesztése
A szinkronizálási szabály létrehozása előtt létre kell hoznunk egy userPrincipalName nevű attribútumot, amely a személyobjektumhoz van kötve az MV Tervező használatával.
A Szinkronizálási ügyfélalkalmazásban válassza a Metaverzum Tervező
Ezután válassza ki a Személy objektumtípust
A műveletek alatt kattintson az Attribútum hozzáadása elemre.
Ezután töltse ki az alábbi adatokat
Attribútum neve: userPrincipalName
Attribútum típusa: Sztring (indexelhető)
Indexelt = Igaz
MIM szolgáltatásszinkronizálási szabályok létrehozása
Az alábbi lépésekben megkezdjük a B2B-vendégfiók és az attribútumfolyamat leképezését. Itt talál néhány feltételezést: hogy már konfigurálta az Active Directory MA-t, és a FIM MA-t úgy konfigurálta, hogy felhasználókat hozzon létre a MIM szolgáltatásba és portálra.
A következő lépésekhez minimális konfigurációt kell hozzáadni a FIM MA-hoz és az AD MA-hoz.
További részleteket itt talál a konfigurációról https://technet.microsoft.com/library/ff686263(v=ws.10).aspx – Hogyan építhetek ki felhasználókat az AD DS-be?
Szinkronizálási szabály: Vendégfelhasználó importálása MV-be a Szinkronizálási szolgáltatás metaverzumára Microsoft Entra azonosítóból
Lépjen a MIM-portálra, válassza a Szinkronizálási szabályok lehetőséget, és kattintson az új elemre. Hozzon létre egy bejövő szinkronizálási szabályt a B2B-folyamathoz a gráfösszekötőn keresztül.
A kapcsolati feltételek lépésében válassza az "Erőforrás létrehozása a FIM-ben" lehetőséget.
Konfigurálja a következő bejövő attribútumfolyamat-szabályokat. Mindenképpen töltse ki a és userPrincipalName
uid
az accountName
attribútumokat, mivel azokat a forgatókönyv későbbi részében is használni fogjuk:
Csak kezdeti folyamat | Használat létezési tesztként | Folyamat (forrásérték ⇒ FIM-attribútum) |
---|---|---|
[displayName⇒displayName](javascript:void(0);) |
||
[Left(id,20)⇒accountName](javascript:void(0);) |
||
[id⇒uid](javascript:void(0);) |
||
[userType⇒employeeType](javascript:void(0);) |
||
[givenName⇒givenName](javascript:void(0);) |
||
[surname⇒sn](javascript:void(0);) |
||
[userPrincipalName⇒userPrincipalName](javascript:void(0);) |
||
[id⇒cn](javascript:void(0);) |
||
[mail⇒mail](javascript:void(0);) |
||
[mobilePhone⇒mobilePhone](javascript:void(0);) |
Szinkronizálási szabály: Vendégfelhasználói fiók létrehozása az Active Directoryban
Ez a szinkronizálási szabály létrehozza a felhasználót az Active Directoryban. Győződjön meg arról, hogy a folyamatnak a felhasználót dn
a Microsoft Entra Connectből kizárt szervezeti egységbe kell helyeznie. Emellett frissítse a folyamatot unicodePwd
, hogy megfeleljen az AD-jelszóházirendnek – a felhasználónak nem kell tudnia a jelszót. Jegyezze fel a és a jelzők SMARTCARD_REQUIRED
NORMAL_ACCOUNT
kódolásának 262656
userAccountControl
értékét.
Folyamatszabályok:
Csak kezdeti folyamat | Használat létezési tesztként | Folyamat (FIM-érték ⇒ célattribútum) |
---|---|---|
[accountName⇒sAMAccountName](javascript:void(0);) |
||
[givenName⇒givenName](javascript:void(0);) |
||
[mail⇒mail](javascript:void(0);) |
||
[sn⇒sn](javascript:void(0);) |
||
[userPrincipalName⇒userPrincipalName](javascript:void(0);) |
||
Y | ["CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn](javascript:void(0);) |
|
Y | [RandomNum(0,999)+userPrincipalName⇒unicodePwd](javascript:void(0);) |
|
Y | [262656⇒userAccountControl](javascript:void(0);) |
Nem kötelező szinkronizálási szabály: Importálja a B2B vendégfelhasználói objektumok SID-ét a MIM-be való bejelentkezés engedélyezéséhez
Ez a bejövő szinkronizálási szabály visszaviszi a felhasználó Sid attribútumát az Active Directoryból a MIM-be, így a felhasználó hozzáférhet a MIM-portálhoz. A MIM-portál használatához a felhasználónak rendelkeznie kell a attribútumokkal samAccountName
, domain
és objectSid
fel kell töltenie a MIM-szolgáltatás adatbázisába.
Konfigurálja a külső forrásrendszert a ADMA
-ként, mivel az attribútumot az objectSid
AD automatikusan beállítja, amikor a MIM létrehozza a felhasználót.
Vegye figyelembe, hogy ha úgy konfigurálja a felhasználókat, hogy a MIM szolgáltatásban legyenek létrehozva, győződjön meg arról, hogy nem tartoznak az alkalmazottak SSPR felügyeleti szabályzatának szabályaihoz szánt készletek hatókörébe. Előfordulhat, hogy módosítania kell a készletdefiníciókat, hogy kizárja a B2B-folyamat által létrehozott felhasználókat.
Csak kezdeti folyamat | Használat létezési tesztként | Folyamat (forrásérték ⇒ FIM-attribútum) |
---|---|---|
[sAMAccountName⇒accountName](javascript:void(0);) |
||
["CONTOSO"⇒domain](javascript:void(0);) |
||
[objectSid⇒objectSid](javascript:void(0);) |
A szinkronizálási szabályok futtatása
Ezután meghívjuk a felhasználót, majd a következő sorrendben futtatjuk a felügyeleti ügynök szinkronizálási szabályait:
Teljes importálás és szinkronizálás a
MIMMA
felügyeleti ügynökön. Ez biztosítja, hogy a MIM Sync a legújabb szinkronizálási szabályokat konfigurálja.Teljes importálás és szinkronizálás a
ADMA
felügyeleti ügynökön. Ez biztosítja, hogy a MIM és az Active Directory konzisztens legyen. Ezen a ponton még nem lesznek függőben lévő exportálások a vendégek számára.Teljes importálás és szinkronizálás a B2B Graph Management Agenten. Ezzel a vendégfelhasználók bekerülnek a metaverzumba. Ezen a ponton egy vagy több fiók exportálása függőben lesz a következőhöz:
ADMA
. Ha nincsenek függőben lévő exportálások, ellenőrizze, hogy a vendégfelhasználók importálva lettek-e az összekötőtérbe, és hogy a szabályok úgy lettek-e konfigurálva, hogy AD-fiókokat kapjanak.Exportálás, különbözeti importálás és szinkronizálás a
ADMA
felügyeleti ügynökön. Ha az exportálás sikertelen volt, ellenőrizze a szabálykonfigurációt, és állapítsa meg, hogy voltak-e hiányzó sémakövetelmények.Exportálás, különbözeti importálás és szinkronizálás a
MIMMA
felügyeleti ügynökön. Ha ez befejeződik, nem lesznek függőben lévő exportálások.
Nem kötelező: alkalmazásproxy a B2B-vendégek számára, akik bejelentkeznek a MIM-portálra
Most, hogy létrehoztuk a szinkronizálási szabályokat a MIM-ben. Az alkalmazásproxy konfigurációjában adja meg, hogy a felhőbeli egyszerű használatával engedélyezze a KCD-t az alkalmazásproxyn. Ezután manuálisan hozzáadta a felhasználót a felhasználók és csoportok kezeléséhez. A mim-ben történő létrehozásig nem jeleníthető meg a felhasználó megjelenítése a vendég office-csoporthoz való hozzáadásához, ha a kiépítés után egy kicsit több konfigurációra van szükség, amely nem szerepel ebben a dokumentumban.
Miután minden konfigurálva lett, jelentkezzen be B2B-felhasználóval, és tekintse meg az alkalmazást.
Következő lépések
Felhasználók kiépítése az Active Directory tartományi szolgáltatásokban
FIM 2010-funkciók dokumentációja
Helyszíni alkalmazások biztonságos távoli elérése
Microsoft Identity Manager-összekötő letöltése a Microsoft Graphhoz