Microsoft Entra vállalatközi (B2B) együttműködés a Microsoft Identity Manager(MIM) 2016 SP1 szolgáltatással Azure-alkalmazás Proxyval

  • Cikk

A kezdeti forgatókönyv a külső felhasználói AD-fiók életciklusának kezelése. Ebben az esetben egy szervezet vendégeket hívott meg a Microsoft Entra könyvtárába, és hozzáférést szeretne biztosítani a vendégeknek a helyszíni Windows-Integrated-hitelesítéshez vagy Kerberos-alapú alkalmazásokhoz a Microsoft Entra alkalmazásproxyn vagy más átjárómechanizmusokon keresztül. A Microsoft Entra alkalmazásproxyhoz minden felhasználónak saját AD DS-fiókkal kell rendelkeznie azonosítási és delegálási célokból.

Scenario-Specific útmutató

A B2B MIM-et és Microsoft Entra azonosítót alkalmazásproxy konfigurálásának néhány feltételezése:

B2B– végpontok közötti üzembe helyezési példaforgatókönyv

Ez az útmutató a következő forgatókönyvre épül:

A Contoso Pharmaceuticals együttműködik a Trey Research Inc.-vel az R&D részleg részeként. A Trey Research alkalmazottainak hozzá kell férnie a Contoso Pharmaceuticals által biztosított kutatási jelentési alkalmazáshoz.

  • A Contoso Pharmaceuticals a saját bérlőjében van, hogy egyéni tartományt konfiguráljon.

  • Valaki meghívott egy külső felhasználót a Contoso Pharmaceuticals bérlőjéhez. Ez a felhasználó elfogadta a meghívást, és hozzáférhet a megosztott erőforrásokhoz.

  • A Contoso Pharmaceuticals közzétett egy alkalmazást alkalmazásproxyn keresztül. Ebben a forgatókönyvben a példaalkalmazás a MIM-portál. Ez lehetővé tenné a vendégfelhasználók számára, hogy részt vegyenek a MIM-folyamatokban, például ügyfélszolgálati forgatókönyvekben, vagy hozzáférést kérhetnek a MIM-csoportokhoz.

Az AD és a Microsoft Entra Connect konfigurálása a Microsoft Entra azonosítóból hozzáadott felhasználók kizárásához

Alapértelmezés szerint Microsoft Entra Connect feltételezi, hogy az Active Directory nem rendszergazdai felhasználóit szinkronizálni kell Microsoft Entra azonosítóval. Ha Microsoft Entra Connect Microsoft Entra azonosítójú meglévő felhasználót talál, amely megfelel a helyszíni AD-ből származó felhasználónak, Microsoft Entra Connect megfelel a két fióknak, és feltételezi, hogy ez a felhasználó korábbi szinkronizálása, és mérvadóvá teszi a helyszíni AD-t. Ez az alapértelmezett viselkedés azonban nem megfelelő a B2B-folyamathoz, ahol a felhasználói fiók Microsoft Entra azonosítóból származik.

Ezért a MIM által az AD DS-be Microsoft Entra azonosítóból behozott felhasználókat úgy kell tárolni, hogy Microsoft Entra azonosító ne kísérelje meg szinkronizálni ezeket a felhasználókat Microsoft Entra azonosítóval. Ennek egyik módja egy új szervezeti egység létrehozása az AD DS-ben, és a Microsoft Entra Connect konfigurálása a szervezeti egység kizárására.

További információ: Microsoft Entra Szinkronizálás csatlakoztatása: Szűrés konfigurálása.

Az Microsoft Entra alkalmazás létrehozása

Megjegyzés: A MIM-ben való létrehozás előtt szinkronizálja a gráfösszekötő felügyeleti ügynökét, győződjön meg arról, hogy áttekintette a Graph Connector üzembe helyezéséhez szükséges útmutatót, és létrehozott egy alkalmazást egy ügyfélazonosítóval és titkos kóddal. Győződjön meg arról, hogy az alkalmazás rendelkezik engedéllyel a következő engedélyek közül legalább egyre: User.Read.All, , User.ReadWrite.AllDirectory.Read.All vagy Directory.ReadWrite.All.

Az új felügyeleti ügynök létrehozása

A Szinkronizálás Service Manager felhasználói felületén válassza az Összekötőkés létrehozás lehetőséget. Válassza a Graph (Microsoft) lehetőséget , és adjon neki egy leíró nevet.

Képernyőkép a Graph felügyeleti ügynökéről B 2 B Graph néven és egy O K gombbal.

Kapcsolatok

A Kapcsolat lapon meg kell adnia a Graph API verziót. A termelésre kész PAI v 1.0, a Nem éles verzió bétaverzió.

Képernyőkép a Kijelölt P I-verzió grafikonról és a Tovább gombról.

Globális paraméterek

Képernyőkép a globális paraméterek értékeiről és a Tovább gombról.

Kiépítési hierarchia konfigurálása

Ezen a lapon leképezhető a DN-összetevő( például szervezeti egység) a kiépíteni kívánt objektumtípusra, például a szervezeti egységre. Erre a forgatókönyvre nincs szükség, ezért hagyja ezt alapértelmezettként, és kattintson a tovább gombra.

Képernyőkép a Kiépítési hierarchia konfigurálása oldalról és a Tovább gombról.

Partíciók és hierarchiák konfigurálása

A partíciók és a hierarchiák lapon válassza ki az összes olyan névteret, amelybe importálni és exportálni kívánt objektumokat kíván létrehozni.

Képernyőkép a Partíciók és hierarchiák konfigurálása lapról, valamint egy O K gombról.

Objektumtípusok kiválasztása

Az objektumtípusok lapon válassza ki az importálni kívánt objektumtípusokat. Legalább a "Felhasználó" lehetőséget kell választania.

Képernyőkép az Objektumtípusok kiválasztása lapról, amelyen egy objektumtípus van kijelölve, és egy O K gomb.

Attribútumok kiválasztása

Az Attribútumok kiválasztása képernyőn válassza ki az Microsoft Entra azon attribútumait, amelyekre szükség lesz a B2B-felhasználók AD-ben való kezeléséhez. Az "ID" attribútum megadása kötelező. Az attribútumok userPrincipalName , amelyeket userType később fog használni ebben a konfigurációban. Más attribútumok nem kötelezőek, beleértve a

  • displayName

  • mail

  • givenName

  • surname

  • userPrincipalName

  • userType

Képernyőkép az Attribútumok kiválasztása képernyőről, amelyen néhány attribútum ki van jelölve, valamint egy O K gomb.

Horgonyok konfigurálása

A Horgony konfigurálása képernyőn a horgonyattribútum konfigurálása kötelező lépés. Alapértelmezés szerint használja az ID attribútumot a felhasználóleképezéshez.

Képernyőkép a Horgonyok konfigurálása képernyőről egy felhasználó objektumtípusával és az i d horgonyattribútumával és a Tovább gombbal.

Összekötőszűrő konfigurálása

Az Összekötőszűrő konfigurálása lapon a MIM lehetővé teszi az objektumok attribútumszűrő alapján történő szűrését. Ebben a B2B-forgatókönyvben a cél az, hogy Guesta felhasználókat csak az attribútum értékével userType hozza be, és ne a userType értékkel rendelkező memberfelhasználókat.

Képernyőkép az Összekötőszűrő konfigurálása lapról, amelyen a felhasználó által kiválasztott szűrők és egy O K gomb látható.

Csatlakozási és leképezési szabályok konfigurálása

Ez az útmutató feltételezi, hogy szinkronizálási szabályt fog létrehozni. Mivel az illesztési és leképezési szabályok konfigurálását szinkronizálási szabály kezeli, nem szükséges azonosítania magát az összekötőt és a vetítést. Hagyja meg az alapértelmezett értéket, és kattintson az OK gombra.

Képernyőkép az Illesztés és leképezési szabályok konfigurálása lapról egy O K gombbal.

Attribútumfolyam konfigurálása

Ez az útmutató feltételezi, hogy szinkronizálási szabályt fog létrehozni. A MIM Sync attribútumfolyamatának definiálásához nincs szükség vetítésre, mivel azt a később létrehozott szinkronizálási szabály kezeli. Hagyja meg az alapértelmezett értéket, és kattintson az OK gombra.

Képernyőkép az Attribútumfolyamat konfigurálása lapról egy O K gombbal.

Deprovision konfigurálása

A deprovision konfigurálásának beállítása lehetővé teszi, hogy a MIM-szinkronizálást úgy konfigurálja, hogy törölje az objektumot, ha a metaverzum-objektum törölve van. Ebben a forgatókönyvben leválasztjuk őket, mivel a cél az, hogy Microsoft Entra azonosítóban hagyják őket. Ebben a forgatókönyvben nem exportálunk semmit Microsoft Entra azonosítóba, és az összekötő csak importálásra van konfigurálva.

Képernyőkép a Deprovisioning konfigurálása lapról egy O K gombbal.

Bővítmények konfigurálása

A bővítmények konfigurálása ezen a felügyeleti ügynökön egy lehetőség, de nem szükséges, mert szinkronizálási szabályt használunk. Ha korábban úgy döntöttünk, hogy egy speciális szabályt használunk az attribútumfolyamatban, akkor lehetőség van a szabálybővítmény meghatározására.

Képernyőkép a Bővítmények konfigurálása lapról egy O K gombbal.

A metaverzumséma kiterjesztése

A szinkronizálási szabály létrehozása előtt létre kell hoznunk egy userPrincipalName nevű attribútumot, amely a személyobjektumhoz van kötve az MV Tervező használatával.

A Szinkronizálási ügyfélalkalmazásban válassza a Metaverzum Tervező

Képernyőkép a Metaverzum Tervező lehetőségről a Szinkronizálás Service Manager menüszalag menüjében.

Ezután válassza ki a Személy objektumtípust

Képernyőkép a Metaverse Tervező objektumtípusokról, amelyen a személy objektumtípusa van kijelölve.

A műveletek alatt kattintson az Attribútum hozzáadása elemre.

Képernyőkép a Műveletek menü Attribútum hozzáadása eleméről.

Ezután töltse ki az alábbi adatokat

Attribútum neve: userPrincipalName

Attribútum típusa: Sztring (indexelhető)

Indexelt = Igaz

Képernyőkép az Attribútumnév, az Attribútumtípus és az Indexelt értékek megadására szolgáló párbeszédpanelről.

MIM szolgáltatásszinkronizálási szabályok létrehozása

Az alábbi lépésekben megkezdjük a B2B-vendégfiók és az attribútumfolyamat leképezését. Itt talál néhány feltételezést: hogy már konfigurálta az Active Directory MA-t, és a FIM MA-t úgy konfigurálta, hogy felhasználókat hozzon létre a MIM szolgáltatásba és portálra.

Képernyőkép a Szinkronizálási szabályok képernyőről.

A következő lépésekhez minimális konfigurációt kell hozzáadni a FIM MA-hoz és az AD MA-hoz.

További részleteket itt talál a konfigurációról https://technet.microsoft.com/library/ff686263(v=ws.10).aspx – Hogyan építhetek ki felhasználókat az AD DS-be?

Szinkronizálási szabály: Vendégfelhasználó importálása MV-be a Szinkronizálási szolgáltatás metaverzumára Microsoft Entra azonosítóból

Lépjen a MIM-portálra, válassza a Szinkronizálási szabályok lehetőséget, és kattintson az új elemre. Hozzon létre egy bejövő szinkronizálási szabályt a B2B-folyamathoz a gráfösszekötőn keresztül. Képernyőkép a Szinkronizálási szabály létrehozása képernyő Általános lapjával, amelyen a szinkronizálási szabály neve be van írva.

Képernyőkép a Hatókör lapról metaverzum típusú erőforrástípussal, külső rendszerrel, külső rendszererőforrás-típussal és szűrőkkel.

A kapcsolati feltételek lépésében válassza az "Erőforrás létrehozása a FIM-ben" lehetőséget. Képernyőkép a Kapcsolat lapról és a Kapcsolat feltételeiről.

Képernyőkép a Bejövő attribútumfolyam lapról a Szinkronizálási szabály IN képernyőjén.

Konfigurálja a következő bejövő attribútumfolyamat-szabályokat. Mindenképpen töltse ki a és userPrincipalNameuid az accountNameattribútumokat, mivel azokat a forgatókönyv későbbi részében is használni fogjuk:

Csak kezdeti folyamat Használat létezési tesztként Folyamat (forrásérték ⇒ FIM-attribútum)
[displayName⇒displayName](javascript:void(0);)
[Left(id,20)⇒accountName](javascript:void(0);)
[id⇒uid](javascript:void(0);)
[userType⇒employeeType](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[surname⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
[id⇒cn](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[mobilePhone⇒mobilePhone](javascript:void(0);)

Szinkronizálási szabály: Vendégfelhasználói fiók létrehozása az Active Directoryban

Ez a szinkronizálási szabály létrehozza a felhasználót az Active Directoryban. Győződjön meg arról, hogy a folyamatnak a felhasználót dn a Microsoft Entra Connectből kizárt szervezeti egységbe kell helyeznie. Emellett frissítse a folyamatot unicodePwd , hogy megfeleljen az AD-jelszóházirendnek – a felhasználónak nem kell tudnia a jelszót. Jegyezze fel a és a jelzők SMARTCARD_REQUIREDNORMAL_ACCOUNTkódolásának 262656userAccountControl értékét.

Képernyőkép a Szinkronizálási szabály OUT képernyőJének Általános lapjára.

Képernyőkép a Hatókör lapról, amelyen a Metaverzum erőforrástípusa, a Külső rendszer, a Külső rendszer erőforrástípusa és a Kimenő rendszer hatókörszűrője látható.

Képernyőkép a Kimenő attribútumfolyam lapról.

Folyamatszabályok:

Csak kezdeti folyamat Használat létezési tesztként Folyamat (FIM-érték ⇒ célattribútum)
[accountName⇒sAMAccountName](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[sn⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
Y ["CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn](javascript:void(0);)
Y [RandomNum(0,999)+userPrincipalName⇒unicodePwd](javascript:void(0);)
Y [262656⇒userAccountControl](javascript:void(0);)

Nem kötelező szinkronizálási szabály: Importálja a B2B vendégfelhasználói objektumok SID-ét a MIM-be való bejelentkezés engedélyezéséhez

Ez a bejövő szinkronizálási szabály visszaviszi a felhasználó Sid attribútumát az Active Directoryból a MIM-be, így a felhasználó hozzáférhet a MIM-portálhoz. A MIM-portál használatához a felhasználónak rendelkeznie kell a attribútumokkal samAccountName, domain és objectSid fel kell töltenie a MIM-szolgáltatás adatbázisába.

Konfigurálja a külső forrásrendszert a ADMA-ként, mivel az attribútumot az objectSid AD automatikusan beállítja, amikor a MIM létrehozza a felhasználót.

Vegye figyelembe, hogy ha úgy konfigurálja a felhasználókat, hogy a MIM szolgáltatásban legyenek létrehozva, győződjön meg arról, hogy nem tartoznak az alkalmazottak SSPR felügyeleti szabályzatának szabályaihoz szánt készletek hatókörébe. Előfordulhat, hogy módosítania kell a készletdefiníciókat, hogy kizárja a B2B-folyamat által létrehozott felhasználókat.

Képernyőkép a Szinkronizálási szabály IN képernyőJének Általános lapjára.

Képernyőkép a Szinkronizálási szabály IN képernyőJének Kapcsolat lapjára.

Képernyőkép a Szinkronizálási szabály IN képernyőJének Hatókör lapjára.

Képernyőkép a Bejövő attribútumfolyam lapról.

Csak kezdeti folyamat Használat létezési tesztként Folyamat (forrásérték ⇒ FIM-attribútum)
[sAMAccountName⇒accountName](javascript:void(0);)
["CONTOSO"⇒domain](javascript:void(0);)
[objectSid⇒objectSid](javascript:void(0);)

A szinkronizálási szabályok futtatása

Ezután meghívjuk a felhasználót, majd a következő sorrendben futtatjuk a felügyeleti ügynök szinkronizálási szabályait:

  • Teljes importálás és szinkronizálás a MIMMA felügyeleti ügynökön. Ez biztosítja, hogy a MIM Sync a legújabb szinkronizálási szabályokat konfigurálja.

  • Teljes importálás és szinkronizálás a ADMA felügyeleti ügynökön. Ez biztosítja, hogy a MIM és az Active Directory konzisztens legyen. Ezen a ponton még nem lesznek függőben lévő exportálások a vendégek számára.

  • Teljes importálás és szinkronizálás a B2B Graph Management Agenten. Ezzel a vendégfelhasználók bekerülnek a metaverzumba. Ezen a ponton egy vagy több fiók exportálása függőben lesz a következőhöz: ADMA. Ha nincsenek függőben lévő exportálások, ellenőrizze, hogy a vendégfelhasználók importálva lettek-e az összekötőtérbe, és hogy a szabályok úgy lettek-e konfigurálva, hogy AD-fiókokat kapjanak.

  • Exportálás, különbözeti importálás és szinkronizálás a ADMA felügyeleti ügynökön. Ha az exportálás sikertelen volt, ellenőrizze a szabálykonfigurációt, és állapítsa meg, hogy voltak-e hiányzó sémakövetelmények.

  • Exportálás, különbözeti importálás és szinkronizálás a MIMMA felügyeleti ügynökön. Ha ez befejeződik, nem lesznek függőben lévő exportálások.

A felügyeleti ügynököket név, típus, leírás és állapot szerint felsoroló táblázat.

Nem kötelező: alkalmazásproxy a B2B-vendégek számára, akik bejelentkeznek a MIM-portálra

Most, hogy létrehoztuk a szinkronizálási szabályokat a MIM-ben. Az alkalmazásproxy konfigurációjában adja meg, hogy a felhőbeli egyszerű használatával engedélyezze a KCD-t az alkalmazásproxyn. Ezután manuálisan hozzáadta a felhasználót a felhasználók és csoportok kezeléséhez. A mim-ben történő létrehozásig nem jeleníthető meg a felhasználó megjelenítése a vendég office-csoporthoz való hozzáadásához, ha a kiépítés után egy kicsit több konfigurációra van szükség, amely nem szerepel ebben a dokumentumban.

Képernyőkép a MIM B 2 B felhasználók és csoportok kezelése képernyőről.

Képernyőkép a MIM B 2 B manage single sign-on képernyőről.

Képernyőkép a MIM B 2 B alkalmazásproxy-kezelés képernyőről.

Miután minden konfigurálva lett, jelentkezzen be B2B-felhasználóval, és tekintse meg az alkalmazást.

Képernyőkép a bemutató bejelentkezésről és az alkalmazásokról.

Képernyőkép a Microsoft Identity Manager kezdőlapjáról.

Következő lépések

Felhasználók kiépítése az Active Directory tartományi szolgáltatásokban

FIM 2010-funkciók dokumentációja

Helyszíni alkalmazások biztonságos távoli elérése

Microsoft Identity Manager-összekötő letöltése a Microsoft Graphhoz