Mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke dalam database SQL

  • Artikel

Dokumen ini menjelaskan langkah-langkah yang perlu Anda lakukan untuk memprovisikan dan mendeprovisi pengguna secara otomatis dari ID Microsoft Entra ke dalam database SQL.

Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat artikel Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra dan arsitektur provisi aplikasi lokal.

Video berikut berisi ringkasan tentang provisi lokal.

Prasyarat untuk provisi ke SQL Database

Prasyarat lokal

Aplikasi ini bergantung pada database SQL, di mana rekaman untuk pengguna dapat dibuat, diperbarui, dan dihapus. Komputer yang menjalankan agen provisi harus memiliki:

  • Windows Server 2016 atau versi yang lebih baru.
  • Koneksi ke sistem database target, dan dengan konektivitas keluar ke login.microsoftonline.com, Microsoft Online Services dan domain Azure lainnya. Contohnya adalah mesin virtual Windows Server 2016 yang dihosting di Azure IaaS atau di belakang proksi.
  • Setidaknya 3 GB RAM.
  • .NET Framework 4.7.2.
  • Driver ODBC untuk database SQL.

Konfigurasi koneksi ke database aplikasi dilakukan melalui wizard. Bergantung pada opsi yang Anda pilih, beberapa layar wizard mungkin tidak tersedia dan informasinya dapat sedikit berbeda. Gunakan informasi berikut untuk memandu dalam konfigurasi Anda.

Database yang didukung

  • Microsoft SQL Server dan Azure SQL
  • IBM DB2 9.x
  • IBM DB2 10.x
  • IBM DB2 11.5
  • Oracle 10g dan 11g
  • Oracle 12c dan 18c
  • MySQL 5.x
  • MySQL 8.x
  • Postgres

Persyaratan cloud

  • Penyewa Microsoft Entra dengan Microsoft Entra ID P1 atau Premium P2 (atau EMS E3 atau E5).

    Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.

  • Peran Administrator Aplikasi atau Administrator Aplikasi Cloud untuk mengonfigurasi penyediaan melalui portal Azure, serta peran Administrator Identitas Hibrid untuk mengonfigurasi agen provisi.

  • Pengguna Microsoft Entra yang akan disediakan ke database harus sudah diisi dengan atribut apa pun yang akan diperlukan oleh skema database dan yang tidak dihasilkan oleh database itu sendiri.

Menyiapkan database sampel

Dalam artikel ini, Anda akan mengonfigurasi konektor Microsoft Entra SQL untuk berinteraksi dengan database relasional aplikasi Anda. Biasanya, aplikasi mengelola akses menggunakan tabel dalam database SQL, satu baris untuk tiap pengguna. Jika Anda sudah memiliki aplikasi dengan database, lanjutkan ke bagian berikutnya.

Jika Anda belum memiliki database dengan tabel yang sesuai, maka untuk tujuan demonstrasi, Anda harus membuat database yang dapat diizinkan untuk digunakan oleh ID Microsoft Entra. Jika Anda menggunakan Microsoft SQL Server, jalankan skrip SQL yang ditemukan di Lampiran A. Skrip ini membuat database sampel dengan nama CONTOSO, yang berisi satu tabelEmployees. Tabel database yang akan Anda provisikan penggunanya.

Kolom Tabel Sumber
ContosoLogin Nama prinsipal pengguna Microsoft Entra
FirstName Nama yang diberikan Microsoft Entra
LastName Nama keluarga Microsoft Entra
Email Alamat email Exchange Online
InternalGUID Dihasilkan oleh database itu sendiri
AzureID ID objek Microsoft Entra
textID Nama panggilan email ID Microsoft Entra

Menentukan bagaimana microsoft Entra SQL Koneksi or akan berinteraksi dengan database Anda

Anda harus memiliki akun pengguna di instans SQL dengan hak untuk membuat pembaruan data dalam tabel database. Jika database SQL Anda dikelola oleh orang lain, hubungi mereka untuk mendapatkan nama akun, dan kata sandi untuk ID Microsoft Entra yang akan digunakan untuk mengautentikasi ke database. Jika instans SQL diinstal di komputer yang berbeda, Anda juga harus memastikan bahwa database SQL memungkinkan koneksi masuk dari driver ODBC di komputer agen.

Jika Anda memiliki database yang sudah ada untuk aplikasi Anda, maka Anda harus menentukan bagaimana MICROSOFT Entra ID harus berinteraksi dengan database tersebut: interaksi langsung dengan tabel dan tampilan, melalui prosedur tersimpan yang sudah ada di database, atau melalui pernyataan SQL yang Anda berikan untuk kueri dan pembaruan. Pengaturan ini karena aplikasi yang lebih kompleks mungkin memiliki dalam database tabel tambahan lainnya, memerlukan penomoran untuk tabel dengan ribuan pengguna, atau mungkin memerlukan ID Microsoft Entra untuk memanggil prosedur tersimpan yang melakukan pemrosesan data tambahan, seperti enkripsi, hashing, atau pemeriksaan validitas.

Saat Anda membuat konfigurasi untuk konektor untuk berinteraksi dengan database aplikasi, Anda akan mengonfigurasi pendekatan terlebih dahulu tentang bagaimana host konektor membaca skema database Anda, lalu mengonfigurasi pendekatan yang harus digunakan konektor secara berkelanjutan, melalui profil eksekusi. Setiap profil eksekusi menentukan bagaimana konektor harus menghasilkan pernyataan SQL. Pilihan profil eksekusi, dan metode di dalam profil eksekusi, bergantung pada apa yang didukung oleh mesin database Anda dan diperlukan oleh aplikasi.

  • Setelah konfigurasi, ketika layanan provisi dimulai, layanan ini akan secara otomatis melakukan interaksi yang dikonfigurasi dalam profil eksekusi Impor Penuh. Dalam profil eksekusi ini, konektor akan membaca semua rekaman untuk pengguna dari database aplikasi, biasanya menggunakan pernyataan SELECT. Profil eksekusi ini diperlukan agar nantinya, jika MICROSOFT Entra ID perlu membuat perubahan untuk pengguna, ID Microsoft Entra akan tahu untuk memperbarui rekaman yang ada untuk pengguna tersebut dalam database, daripada membuat rekaman baru untuk pengguna tersebut.

  • Setiap kali perubahan dilakukan di ID Microsoft Entra, seperti untuk menetapkan pengguna baru ke aplikasi atau memperbarui pengguna yang sudah ada, layanan provisi akan melakukan interaksi database SQL yang dikonfigurasi Ekspor menjalankan profil. Di profil Ekspor eksekusi, ID Microsoft Entra akan mengeluarkan pernyataan SQL untuk menyisipkan, memperbarui, dan menghapus rekaman dalam database, untuk membawa konten database sinkron dengan ID Microsoft Entra.

  • Jika database Anda mendukungnya, Anda juga dapat mengonfigurasi profil eksekusi Impor Delta secara opsional. Dalam profil eksekusi ini, ID Microsoft Entra akan membaca perubahan yang dibuat dalam database, selain oleh ID Microsoft Entra, sejak impor penuh atau delta terakhir. Profil eksekusi ini bersifat opsional karena mengharuskan database disusun untuk memungkinkan perubahan dibaca.

Dalam konfigurasi setiap profil eksekusi konektor, Anda akan menentukan apakah konektor Microsoft Entra harus menghasilkan pernyataan SQL sendiri untuk tabel atau tampilan, memanggil prosedur tersimpan, atau menggunakan kueri SQL kustom yang Anda sediakan. Biasanya Anda akan menggunakan metode yang sama untuk semua profil yang dijalankan dalam konektor.

  • Jika Anda memilih metode Tabel atau Tampilan untuk profil eksekusi, konektor Microsoft Entra akan menghasilkan pernyataan SQL yang diperlukan, SELECT, INSERT, UPDATE, dan DELETE, untuk berinteraksi dengan tabel atau tampilan dalam database. Metode ini adalah pendekatan paling sederhana, jika database Anda memiliki satu tabel atau tampilan yang dapat diperbarui dengan beberapa baris yang ada.
  • Jika Anda memilih metode Prosedur Tersimpan, maka database Anda harus memiliki empat prosedur tersimpan: membaca halaman pengguna, menambahkan pengguna, memperbarui pengguna, dan menghapus pengguna, Anda akan mengonfigurasi konektor Microsoft Entra dengan nama dan parameter prosedur tersimpan tersebut untuk dipanggil. Pendekatan ini memerlukan lebih banyak konfigurasi dalam database SQL Anda dan biasanya hanya akan diperlukan jika aplikasi Anda memerlukan lebih banyak pemrosesan untuk setiap perubahan kepada pengguna, dari untuk penomor melalui tataan hasil besar.
  • Jika Anda memilih metode Kueri SQL, maka Anda akan mengetikkan pernyataan SQL tertentu yang Anda inginkan agar masalah konektor selama profil eksekusi. Anda akan mengonfigurasi konektor menggunakan parameter yang harus diisi oleh konektor dalam pernyataan SQL Anda, seperti menelusuri hasil selama impor, atau untuk mengatur atribut pengguna baru yang dibuat selama ekspor.

Artikel ini mengilustrasikan cara menggunakan metode tabel untuk berinteraksi dengan tabel sampel database Employees, di profil eksekusi Ekspordan Impor Penuh. Untuk mempelajari selengkapnya tentang konfigurasi metode Prosedur Tersimpan atau Kueri SQL, lihat Panduan konfigurasi SQL Generik yang menyajikan detail lebih lanjut dan persyaratan khusus.

Memilih pengidentifikasi unik dalam skema database aplikasi Anda

Sebagian besar aplikasi akan memiliki pengidentifikasi unik untuk setiap pengguna aplikasi. Jika Anda menyediakan ke dalam tabel database yang sudah ada, Anda harus mengidentifikasi kolom tabel yang memiliki nilai untuk setiap pengguna, di mana nilai tersebut unik dan tidak berubah. Kolom ini akan menjadi Jangkar, yang digunakan MICROSOFT Entra ID untuk mengidentifikasi baris yang ada agar dapat memperbarui atau menghapusnya. Untuk informasi selengkapnya tentang jangkar, lihat Tentang atribut jangkar dan nama khusus.

Jika database aplikasi Anda sudah ada, memiliki pengguna di dalamnya, dan Anda ingin agar ID Microsoft Entra selalu memperbarui pengguna tersebut, maka Anda harus memiliki pengidentifikasi untuk setiap pengguna yang sama antara database aplikasi dan skema Microsoft Entra. Misalnya, jika Anda menetapkan pengguna ke aplikasi di ID Microsoft Entra, dan pengguna tersebut sudah ada di database tersebut, maka perubahan pada pengguna tersebut di ID Microsoft Entra harus memperbarui baris yang sudah ada untuk pengguna tersebut, daripada menambahkan baris baru. Karena ID Microsoft Entra kemungkinan tidak menyimpan pengidentifikasi internal aplikasi untuk pengguna tersebut, Anda mungkin ingin memilih kolom lain untuk mengkueri database. Nilai kolom ini bisa berupa nama utama pengguna, atau alamat email, ID karyawan, atau pengidentifikasi lain yang ada di ID Microsoft Entra pada setiap pengguna yang berada dalam cakupan aplikasi. Jika pengidentifikasi pengguna yang digunakan aplikasi bukan atribut yang disimpan dalam representasi Microsoft Entra pengguna, maka Anda tidak perlu memperluas skema pengguna Microsoft Entra dengan atribut ekstensi, dan mengisi atribut tersebut dari database Anda. Anda dapat memperluas skema Microsoft Entra dan mengatur nilai ekstensi menggunakan PowerShell.

Atribut peta di ID Microsoft Entra ke skema database

Ketika MICROSOFT Entra ID telah membuat tautan antara pengguna di ID Microsoft Entra dan rekaman dalam database, baik untuk pengguna yang sudah ada di database atau pengguna baru, maka ID Microsoft Entra dapat menyediakan perubahan atribut dari pengguna Microsoft Entra ke dalam database. Selain pengidentifikasi unik, periksa database Anda untuk mengidentifikasi apakah ada properti lain yang diperlukan. Jika ada, pastikan pengguna yang akan diprovisikan ke dalam database memiliki atribut yang dapat dipetakan ke properti yang diperlukan.

Anda juga dapat mengonfigurasi perilaku pembatalan provisi. Jika pengguna yang ditetapkan ke aplikasi dihapus di ID Microsoft Entra, MAKA ID Microsoft Entra akan mengirim operasi penghapusan ke database. Anda mungkin juga ingin AGAR ID Microsoft Entra memperbarui database ketika pengguna keluar dari cakupan untuk dapat menggunakan aplikasi. Jika pengguna tidak ditetapkan dari aplikasi, dihapus sementara di ID Microsoft Entra, atau diblokir dari masuk, maka Anda dapat mengonfigurasi ID Microsoft Entra untuk mengirim perubahan atribut. Jika Anda menyediakan ke dalam tabel database yang sudah ada, maka Anda mungkin ingin memiliki kolom tabel tersebut untuk dipetakan ke isSoftDeleted. Ketika pengguna keluar dari cakupan, ID Microsoft Entra akan mengatur nilai untuk pengguna tersebut ke True.

1. Instal driver ODBC

Server Windows di mana Anda akan memasang agen provisi memerlukan pengandar ODBC untuk database target Anda. Jika Anda berencana untuk terhubung ke database SQL Server atau Azure SQL, maka Anda harus mengunduh pengandar ODBC untuk Microsoft SQL Server (x64) dan memasangnya di Server Windows. Untuk database SQL lainnya, silakan lihat panduan oleh vendor perangkat lunak independen tentang cara menginstal driver ODBC.

2. Buat file koneksi DSN

Konektor SQL generik memerlukan file Nama Sumber Data (DSN) untuk terhubung ke titik akhir SQL. Pertama, Anda perlu membuat file dengan informasi koneksi ODBC.

  1. Mulai utilitas manajemen ODBC di server Anda. Gunakan versi 64-bit.

    Screenshot that shows ODBC management.

  2. Pilih tab DSN File, dan pilih Tambahkan.

    Screenshot that shows the File DSN tab.

  3. Jika Anda menggunakan Microsoft SQL Server atau Azure SQL, pilih SQL Server Native Client 11.0 dan pilih Berikutnya. Jika Anda menggunakan database lain, pilih pengandar ODBC-nya.

    Screenshot that shows choosing a native client.

  4. Beri nama file, seperti GenericSQL, lalu pilih Berikutnya. Screenshot that shows naming the connector.

  5. Pilih Selesai.

    Screenshot that shows Finish.

  6. Kini konfigurasi koneksi. Langkah-langkah berikut akan berbeda tergantung driver ODBC mana yang Anda gunakan. Ilustrasi ini mengasumsikan Anda menggunakan driver untuk menyambungkan ke SQL Server. Jika SQL Server berada di komputer server yang berbeda, masukkan nama server. Kemudian, pilih Berikutnya.

    Screenshot that shows entering a server name.

  7. Jika pengguna yang Anda jalankan langkah ini memiliki izin untuk menyambungkan ke database, maka tetap pilih autentikasi Windows. Jika administrator SQL Server memerlukan akun lokal SQL, berikan info masuk tersebut. Kemudian pilih Berikutnya.

    Screenshot that shows Windows authentication.

  8. Masukkan nama database, yang dalam sampel ini adalah CONTOSO.

    Screenshot that shows entering a database name.

  9. Biarkan semuanya tetap default pada layar ini, lalu pilih Selesai.

    Screenshot that shows selecting Finish.

  10. Untuk memastikan semuanya berfungsi seperti yang diharapkan, pilih Uji Sumber Data.

    Screenshot that shows Test Data Source.

  11. Pastikan pengujian berhasil.

    Screenshot that shows success.

  12. Pilih OK dua kali. Tutup Administrator Sumber Data ODBC. File koneksi DSN disimpan secara default ke folder Dokumen Anda.

3. Menginstal dan mengonfigurasi Microsoft Entra Koneksi Provisioning Agent

Jika Anda telah mengunduh agen provisi dan mengonfigurasinya untuk aplikasi lokal lain, lanjutkan membaca di bagian berikutnya.

  1. Masuk ke portal Azure.
  2. Buka Aplikasi perusahaan dan pilih Aplikasi baru.
  3. Cari aplikasi aplikasi ECMA lokal, beri nama aplikasi, dan pilih Buat untuk menambahkannya ke penyewa Anda.
  4. Dari menu, buka halaman Provisi aplikasi Anda.
  5. Pilih Mulai.
  6. Di halaman Provisi, ubah mode menjadi Otomatis.

Screenshot of selecting Automatic.

  1. Di bawah Koneksi ivity lokal, pilih Unduh dan instal, dan pilih Terima istilah &unduh.

Screenshot of download location for agent.

  1. Tinggalkan portal dan jalankan alat penginstal agen provisi, setujui ketentuan layanan, dan pilih Instal.
  2. Tunggu wizard konfigurasi agen provisi Microsoft Entra lalu pilih Berikutnya.
  3. Di langkah Pilih Ekstensi, pilih Provisi aplikasi lokal lalu pilih Berikutnya.
  4. Agen provisi akan menggunakan browser web sistem operasi untuk menampilkan jendela popup bagi Anda untuk mengautentikasi ke ID Microsoft Entra, dan berpotensi juga penyedia identitas organisasi Anda. Jika Anda menggunakan Internet Explorer sebagai browser di Windows Server, maka Anda mungkin perlu menambahkan situs web Microsoft ke daftar situs tepercaya browser Anda untuk memperbolehkan JavaScript berjalan dengan benar.
  5. Berikan kredensial untuk administrator Microsoft Entra saat Anda diminta untuk mengotorisasi. Pengguna diharuskan memiliki peran Administrator Identitas Hibrid atau Administrator Global.
  6. Pilih Konfirmasi untuk mengonfirmasi pengaturan. Setelah penginstalan berhasil, Anda dapat memilih Keluar, dan juga menutup alat penginstal Paket Agen Provisi.

4. Mengonfigurasi aplikasi ECMA lokal

  1. Kembali ke portal, di bagian Koneksi ivitas Lokal, pilih agen yang Anda sebarkan dan pilih Tetapkan Agen.

    Screenshot that shows how to select and assign and agent.

  2. Biarkan jendela browser ini tetap terbuka, saat Anda menyelesaikan langkah konfigurasi berikutnya menggunakan wizard konfigurasi.

5. Mengonfigurasi sertifikat Host Koneksi or Microsoft Entra ECMA

  1. Pada Windows Server tempat agen provisi diinstal, klik kanan Wizard Konfigurasi Microsoft ECMA2Host dari menu mulai, dan jalankan sebagai administrator. Berjalan sebagai administrator Windows diperlukan agar wizard membuat log peristiwa Windows yang diperlukan.

  2. Setelah Konfigurasi Host ecma Koneksi atau dimulai, jika ini pertama kalinya Anda menjalankan wizard, itu akan meminta Anda untuk membuat sertifikat. Biarkan port default 8585 dan pilih Buat sertifikat untuk membuat sertifikat. Sertifikat yang dibuat otomatis akan ditandatangani sendiri sebagai bagian dari akar tepercaya. SAN sertifikat cocok dengan nama host.

    Screenshot that shows configuring your settings.

  3. Pilih Simpan.

Catatan

Jika Anda telah memilih untuk membuat sertifikat baru, harap catat tanggal kedaluwarsa sertifikat, untuk memastikan bahwa Anda menjadwalkan untuk kembali ke wizard konfigurasi dan membuat ulang sertifikat sebelum kedaluwarsa.

6. Buat konektor SQL generik

Di bagian ini, Anda membuat konfigurasi konektor untuk database Anda.

6.1 Mengonfigurasi koneksi SQL

Untuk membuat konektor SQL generik, ikuti langkah-langkah berikut:

  1. Buat token rahasia yang akan digunakan untuk mengautentikasi ID Microsoft Entra ke konektor. Harus minimal 12 karakter dan unik untuk setiap aplikasi.

  2. Jika Anda belum melakukannya, luncurkan Wizard Konfigurasi Microsoft ECMA2Host dari Windows menu Mulai.

  3. Select Konektor Baru.

    Screenshot that shows choosing New Connector.

  4. Di halaman Properti, isi kotak dengan nilai yang ditentukan di tabel yang mengikuti gambar dan pilih Berikutnya.

    Screenshot that shows entering properties.

    Properti Nilai
    Nama Nama yang Anda pilih untuk konektor, yang harus unik di semua konektor di lingkungan Anda. Misalnya, jika Anda hanya memiliki satu database SQL, SQL.
    Timer sinkronisasi otomatis (menit) 120
    Token Rahasia Masukkan token rahasia yang Anda buat untuk konektor ini. Kunci harus minimal 12 karakter.
    DLL Ekstensi Untuk konektor SQL generik, pilih Microsoft.IAM.Connector.GenericSql.dll.

  5. Di halaman Konektivitas, isi kotak dengan nilai yang ditentukan di tabel yang mengikuti gambar dan pilih Berikutnya.

    Screenshot that shows the Connectivity page.

    Properti Deskripsi
    File DSN File Nama Sumber Data yang Anda buat di langkah sebelumnya, yang digunakan untuk menyambungkan ke instans SQL Server.
    Nama Pengguna Nama pengguna akun dengan hak untuk melakukan pembaruan pada tabel dalam instans SQL Server. Jika database target adalah SQL Server dan Anda menggunakan autentikasi Windows, nama pengguna harus dalam bentuk hostname\sqladminaccount untuk server mandiri atau domain\sqladminaccount untuk server anggota domain. Untuk database lain, nama pengguna akan menjadi akun lokal dalam database.
    Kata sandi Kata sandi nama pengguna yang disediakan.
    DN adalah Jangkar Kecuali lingkungan Anda diketahui memerlukan pengaturan ini, jangan pilih kotak centang DN adalah Jangkar dan Tipe Ekspor:Ganti Objek.

6.2 Mengambil skema dari database

Setelah memberikan informasi masuk, Host Konektor ECMA siap untuk mengambil skema database Anda. Lanjutkan dengan konfigurasi koneksi SQL:

  1. Pada halaman Skema 1, Anda akan menentukan daftar jenis objek. Dalam sampel ini, ada satu jenis objek, User. Isi kotak dengan nilai yang ditentukan dalam tabel yang mengikuti gambar dan pilih Berikutnya.

    Screenshot that shows the Schema 1 page.

    Properti Nilai
    Metode deteksi jenis objek Nilai Tetap
    Daftar nilai tetap/Tabel/Tampilan/SP Pengguna

  2. Setelah Anda memilih Berikutnya, halaman berikutnya akan muncul secara otomatis, untuk konfigurasi User jenis objek. Pada halaman Skema 2, Anda akan menunjukkan bagaimana pengguna diwakili dalam database Anda. Dalam sampel ini, ini adalah tabel SQL tunggal, bernama Employees. Isi kotak dengan nilai yang ditentukan dalam tabel yang mengikuti gambar dan pilih Berikutnya.

    Screenshot that shows the Schema 2 page.

    Properti Nilai
    Pengguna:Deteksi Atribut Tabel
    Pengguna:Tabel/Tampilan/SP Nama tabel dalam database Anda, seperti Employees

    Catatan

    Jika terjadi kesalahan, periksa konfigurasi database Anda untuk memastikan bahwa pengguna yang Anda tentukan di halaman Konektivitas telah membaca akses ke skema database.

  3. Setelah Anda memilih Berikutnya, halaman berikutnya akan muncul secara otomatis, bagi Anda untuk memilih kolom tabel yang Anda tentukan sebelumnya, seperti Employees tabel dalam sampel ini, yang akan digunakan sebagai Anchor dan DN pengguna. Kolom ini berisi pengidentifikasi unik dalam database Anda. Anda bisa menggunakan kolom yang sama atau berbeda, tetapi pastikan bahwa baris apa pun yang sudah ada dalam database ini memiliki nilai unik dalam kolom ini. Di halaman Skema 3, isi kotak dengan nilai yang ditentukan di tabel yang mengikuti gambar dan pilih Berikutnya.

    Screenshot that shows the Schema 3 page.

    Properti Deskripsi
    Pilih Jangkar untuk: Pengguna Kolom tabel database yang akan digunakan untuk jangkar, seperti User:ContosoLogin
    Pilih atribut DN untuk Pengguna Kolom database yang akan digunakan untuk atribut DN, seperti AzureID

  4. Setelah Anda memilih Berikutnya, halaman berikutnya akan muncul secara otomatis, bagi Anda untuk mengonfirmasi jenis data setiap kolom Employee tabel, dan apakah konektor harus mengimpor atau mengekspornya. Di halaman Skema 4, biarkan tetap default dan pilih Berikutnya.

    Screenshot that shows the Schema 4 page.

  5. Pada halaman Global, isi kotak dan klik Berikutnya. Gunakan tabel yang mengikuti gambar untuk panduan pada kotak individual.

    Screenshot that shows the Global page.

    Properti Deskripsi
    Strategi Delta Untuk IBM DB2, pilih None
    Kueri Tanda Air Untuk IBM DB2, ketik SELECT CURRENT TIMESTAMP FROM SYSIBM.SYSDUMMY1;
    Format Waktu Tanggal Sumber Data Untuk SQL Server, yyyy-MM-dd HH:mm:ss dan untuk IBM DB2, YYYY-MM-DD

  6. Di halaman Partisi, pilih Berikutnya.

    Screenshot that shows the Partitions page.

6.3 Mengonfigurasi profil eksekusi

Selanjutnya, Anda akan melakukan konfigurasi profil eksekusi Ekspor danImpor Penuh. Profil Ekspor eksekusi akan digunakan ketika host ECMA Koneksi or perlu mengirim perubahan dari ID Microsoft Entra ke database, untuk menyisipkan, memperbarui, dan menghapus rekaman. Profil eksekusi Impor Penuh akan digunakan saat layanan host Konektor ECMA dimulai, untuk dibaca dalam konten database saat ini. Dalam sampel ini, Anda akan menggunakan metode Tabel di kedua profil yang dijalankan, sehingga Host Konektor ECMA akan menghasilkan pernyataan SQL yang diperlukan.

Lanjutkan dengan konfigurasi koneksi SQL:

  1. Di halaman Jalankan Profil, biarkan kotak Ekspor tetap dipilih. Pilih kotak centang Impor lengkap, lalu pilih Berikutnya.

    Screenshot that shows the Run Profiles page.

    Properti Deskripsi
    Ekspor Profil jalankan yang akan mengekspor data ke SQL. Jalankan profil ini diperlukan.
    Impor penuh Profil jalankan yang akan mengimpor semua data dari sumber SQL yang ditentukan sebelumnya.
    Impor delta Profil jalankan yang hanya akan mengimpor perubahan dari SQL sejak impor penuh atau delta terakhir.

  2. Setelah Anda memilih Berikutnya, halaman berikutnya akan muncul secara otomatis, bagi Anda untuk mengonfigurasi metode untuk ekspor profil eksekusi. Di halaman Ekspor, isi kotak lalu klik Berikutnya. Gunakan tabel yang mengikuti gambar untuk panduan pada kotak individual.

    Screenshot that shows the Export page.

    Properti Deskripsi
    Metode Operasi Tabel
    Tabel/Tampilan/SP Tabel yang sama seperti yang dikonfigurasi pada tab Skema 2, seperti Employees

  3. Di halaman Impor Penuh page, isi kotak lalu pilih Berikutnya. Gunakan tabel yang mengikuti gambar untuk panduan pada kotak individual.

    Screenshot that shows the Full Import page.

    Properti Deskripsi
    Metode Operasi Tabel
    Tabel/Tampilan/SP Tabel yang sama seperti yang dikonfigurasi pada tab Skema 2, seperti Employees

6.4 Mengonfigurasi bagaimana atribut muncul di ID Microsoft Entra

Pada langkah terakhir pengaturan koneksi SQL, konfigurasikan bagaimana atribut muncul di ID Microsoft Entra:

  1. Di halaman Jenis Objek, isi kotak lalu klik Berikutnya. Gunakan tabel yang mengikuti gambar untuk panduan pada kotak individual.

    • Jangkar: Nilai atribut ini harus unik untuk setiap objek dalam database target. Layanan provisi Microsoft Entra akan mengkueri host konektor ECMA dengan menggunakan atribut ini setelah siklus awal. Nilai jangkar ini harus sama dengan kolom jangkar yang Anda konfigurasi sebelumnya di halaman Skema 3 .
    • Atribut Kueri: Atribut ini harus sama dengan jangkar.
    • DN: Opsi Pembuatan otomatis harus dipilih dalam kebanyakan kasus. Jika tidak dipilih, pastikan bahwa atribut DN dipetakan ke atribut di ID Microsoft Entra yang menyimpan DN dalam format ini: CN = anchorValue, Object = objectType. Untuk informasi selengkapnya tentang jangkar dan DN lihat Tentang atribut jangkar dan nama khusus.
    Properti Deskripsi
    Objek target Pengguna
    Jangkar Kolom yang dikonfigurasi di tab Skema 3, seperti ContosoLogin
    Atribut Kueri Kolom yang sama dengan Jangkar, seperti ContosoLogin
    DN Kolom yang sama seperti yang dikonfigurasi di tab Skema 3, seperti ContosoLogin
    Beregenerasi otomatis Dicentang

  2. Host konektor ECMA menemukan atribut yang didukung oleh target database. Anda dapat memilih atribut mana yang ingin Anda ekspos ke ID Microsoft Entra. Atribut ini kemudian dapat dikonfigurasi di portal Microsoft Azure untuk penyediaan. Di halaman Pilih Atribut, tambahkan semua atribut di menu drop-down satu per satu.

Daftar dropdown Atribut menunjukkan atribut apa pun yang ditemukan di database target dan tidak dipilih di halaman Pilih Atribut sebelumnya. Setelah semua atribut yang relevan ditambahkan, pilih Berikutnya.

Screenshot of attribute dropdown list.

  1. Di halaman Membatalkan penyediaan, di bawah Nonaktifkan alur, pilih Hapus. Atribut yang dipilih pada halaman sebelumnya tidak akan tersedia untuk dipilih pada halaman Pembatalan provisi. Pilih Selesai.

Catatan

Jika Anda menggunakan nilai Set atribut perlu diketahui bahwa hanya nilai boolean yang diizinkan.

Screenshot that shows the Deprovisioning page.

7. Pastikan layanan ECMA2Host berjalan

  1. Di server yang menjalankan Host Koneksi or Microsoft Entra ECMA, pilih Mulai.

  2. Masukkan run dan masukkan services.msc di kotak.

  3. Dalam daftar Layanan, pastikan bahwa Microsoft ECMA2Host ada dan berjalan. Jika tidak, pilih Mulai.

    Screenshot that shows the service is running.

Jika Anda menyambungkan ke database baru atau database yang kosong dan tidak memiliki pengguna, lanjutkan di bagian berikutnya. Jika tidak, ikuti langkah-langkah ini untuk mengonfirmasi bahwa konektor telah mengidentifikasi pengguna yang ada dari database.

  1. Jika Anda baru saja memulai layanan, dan memiliki banyak objek pengguna dalam database, maka tunggu beberapa menit agar konektor membuat koneksi dengan database.

8. Konfigurasikan koneksi aplikasi di portal Azure

  1. Kembali ke jendela browser web tempat Anda mengonfigurasi provisi aplikasi.

    Catatan

    Jika waktu jendela telah habis, Anda harus memilih ulang agen.

    1. Masuk ke portal Azure.
    2. Buka Aplikasi perusahaan, lalu pilih aplikasi aplikasi ECMA lokal.
    3. Pilih Provisi.
    4. Jika Mulai muncul, ubah mode menjadi Otomatis, pada bagian Koneksi ivitas Lokal, pilih agen yang Anda sebarkan dan pilih Tetapkan Agen. Atau buka Edit Provisi.

  2. Di bagian Informasi masuk Admin, masukkan URL berikut. {connectorName} Ganti bagian dengan nama konektor pada host konektor ECMA, seperti SQL. Nama konektor peka huruf besar/kecil dan harus sama seperti yang dikonfigurasi dalam wizard. Anda juga dapat mengganti localhost dengan nama host komputer Anda.

    Properti Nilai
    URL Penyewa https://localhost:8585/ecma2host_{connectorName}/scim

  3. Masukkan nilai Token Rahasia yang Anda tentukan saat membuat konektor.

    Catatan

    Jika Anda baru saja menetapkan agen ke aplikasi, harap tunggu 10 menit hingga pendaftaran selesai. Pengujian konektivitas tidak akan dapat dilakukan sampai pendaftaran selesai. Memaksa pendaftaran agen selesai dengan menghidupkan ulang agen provisi di server Anda dapat mempercepat proses pendaftaran. Buka server Anda, cari layanan di bilah pencarian Windows, identifikasi Microsoft Entra Koneksi Provisioning Agent Service, klik kanan layanan, dan mulai ulang.

  4. Pilih Uji Koneksi, lalu tunggu satu menit.

    Screenshot that shows assigning an agent.

  5. Setelah pengujian koneksi berhasil dan menunjukkan bahwa kredensial yang disediakan diizinkan untuk mengaktifkan provisi, pilih Simpan.

    Screenshot that shows testing an agent.

9. Mengonfigurasi pemetaan atribut

Sekarang Anda perlu memetakan atribut antara representasi pengguna di ID Microsoft Entra dan representasi pengguna dalam database SQL aplikasi lokal.

Anda akan menggunakan portal Azure untuk mengonfigurasi pemetaan antara atribut pengguna Microsoft Entra dan atribut yang sebelumnya Anda pilih di wizard konfigurasi Host ECMA.

  1. Pastikan bahwa skema Microsoft Entra menyertakan atribut yang diperlukan oleh database. Jika database mengharuskan pengguna memiliki atribut, seperti uidNumber, dan atribut tersebut belum menjadi bagian dari skema Microsoft Entra Anda untuk pengguna, maka Anda harus menggunakan fitur ekstensi direktori untuk menambahkan atribut tersebut sebagai ekstensi.

  2. Di pusat admin Microsoft Entra, di bawah Aplikasi perusahaan, pilih aplikasi aplikasi ECMA lokal, lalu halaman Provisi .

  3. Pilih Edit provisi, dan tunggu 10 detik.

  4. Perluas Pemetaan dan pilih pemetaan Provisi Pengguna ID Microsoft Entra. Jika ini pertama kalinya Anda mengonfigurasi pemetaan atribut untuk aplikasi ini, ini akan menjadi satu-satunya pemetaan yang ada, untuk tempat penampung.

    Screenshot that shows provisioning a user.

  5. Untuk mengonfirmasi bahwa skema database tersedia di ID Microsoft Entra, pilih kotak centang Perlihatkan opsi tingkat lanjut dan pilih Edit daftar atribut untuk ScimOnPremises. Pastikan bahwa semua atribut yang dipilih dalam wizard konfigurasi dicantumkan. Jika tidak, tunggu beberapa menit hingga skema di-refresh, lalu muat ulang halaman. Setelah Anda melihat atribut yang tercantum, tutup halaman untuk kembali ke daftar pemetaan.

  6. Sekarang, klik pemetaan userPrincipalName PLACEHOLDER. Pemetaan ini ditambahkan secara default saat Anda pertama kali mengonfigurasi provisi lokal.

Screenshot of placeholder. Ubah nilai atribut agar sesuai dengan yang berikut ini:

Jenis Pemetaan Atribut sumber Atribut Target
Langsung userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin

Screenshot of changing value.

  1. Sekarang pilih Tambahkan Pemetaan Baru, dan ulangi langkah berikutnya untuk setiap pemetaan.

    Screenshot that shows Add New Mapping.

  2. Tentukan atribut sumber dan target untuk setiap pemetaan dalam tabel berikut.

    Screenshot that shows saving the mapping.

    Jenis Pemetaan Atribut sumber Atribut Target
    Langsung userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin
    Langsung objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureID
    Langsung mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Langsung givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:FirstName
    Langsung surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:LastName
    Langsung mailNickname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:textID

  3. Setelah semua pemetaan ditambahkan, pilih Simpan.

10. Menetapkan pengguna ke aplikasi

Sekarang setelah Anda memiliki Microsoft Entra ECMA Koneksi or Host yang berbicara dengan MICROSOFT Entra ID, dan pemetaan atribut dikonfigurasi, Anda dapat melanjutkan untuk mengonfigurasi siapa yang berada dalam cakupan provisi.

Penting

Untuk bagian ini, Anda harus keluar dan masuk menggunakan akun yang memiliki peran Administrator Aplikasi, Administrator Aplikasi Cloud, atau Administrator Global jika sebelumnya Anda masuk sebagai Administrator Identitas Hibrid. Pengguna tidak dapat ditetapkan ke aplikasi melalui peran Administrator Identitas Hibrid.

Jika ada pengguna yang ada di database SQL, maka Anda harus membuat penetapan peran aplikasi untuk pengguna yang ada. Untuk mempelajari selengkapnya tentang cara membuat penetapan peran aplikasi secara massal, lihat mengatur pengguna aplikasi yang sudah ada di ID Microsoft Entra.

Jika tidak, jika tidak ada pengguna aplikasi saat ini, pilih pengguna uji dari Microsoft Entra yang akan diprovisikan ke aplikasi.

  1. Pastikan bahwa pengguna memiliki semua properti yang akan dipetakan ke atribut skema database yang diperlukan.

  2. Di portal Microsoft Azure, pilih Aplikasi Enterprise.

  3. Pilih aplikasi apl ECMA lokal.

  4. Di sebelah kiri, di bawah Kelola, pilih Pengguna dan grup.

  5. Pilih Tambahkan pengguna/grup.

    Screenshot that shows adding a user.

  6. Di bawah Pengguna, pilih Didak Ada yang Dipilih.

    Screenshot that shows None Selected.

  7. Pilih pengguna dari kanan dan pilih tombol Pilih.

    Screenshot that shows Select users.

  8. Kini pili Tetapkan.

    Screenshot that shows Assign users.

11. Provisi pengujian

Setelah atribut Anda dipetakan dan pengguna ditetapkan, Anda dapat menguji provisi sesuai permintaan dengan salah satu pengguna Anda.

  1. Di portal Microsoft Azure, pilih Aplikasi Enterprise.

  2. Pilih aplikasi apl ECMA lokal.

  3. Di sebelah kiri, pilih Provisi.

  4. Pilih Provisikan sesuai permintaan.

  5. Cari salah satu pengguna uji Anda, lalu pilih Provisi.

    Screenshot that shows testing provisioning.

  6. Setelah beberapa detik, pesan Pengguna berhasil dibuat dalam sistem target akan muncul, disertai daftar atribut pengguna.

12. Mulai provisi pengguna

  1. Setelah provisi sesuai permintaan berhasil, ubah kembali ke halaman konfigurasi provisi. Pastikan cakupan diatur ke hanya pengguna dan grup yang ditetapkan, aktifkan provisi, lalu pilih Simpan.

    Screenshot that shows Start provisioning.

  2. Tunggu beberapa menit hingga provisi dimulai. Mungkin perlu waktu hingga 40 menit. Setelah pekerjaan provisi selesai, seperti yang dijelaskan di bagian berikutnya, jika Anda selesai menguji, Anda dapat mengubah status provisi menjadi Nonaktif, dan pilih Simpan. Tindakan ini membuat layanan provisi tidak berjalan di masa yang akan datang.

Memecahkan masalah kesalahan provisi

Jika kesalahan muncul, pilih Lihat log provisi. Cari di log untuk baris di mana Status adalah Kegagalan, dan pilih pada baris tersebut.

Jika pesan kesalahannya Gagal membuat Pengguna, kemudian periksa atribut yang ditampilkan pada persyaratan skema database.

Untuk informasi selengkapnya, ubah ke tab Pemecahan Masalah &Rekomendasi. Jika driver ODBC mengembalikan pesan, itu bisa ditampilkan di sini. Misalnya, pesan ERROR [23000] [Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert the value NULL into column 'FirstName', table 'CONTOSO.dbo.Employees'; column does not allow nulls. adalah kesalahan dari pengandar ODBC. Dalam hal ini, column does not allow nulls mungkin menunjukkan bahwa FirstName kolom dalam database wajib tetapi pengguna yang disediakan tidak memiliki givenName atribut, sehingga pengguna tidak dapat disediakan.

Cek apakah pengguna berhasil disediakan

Setelah menunggu, cek database SQL untuk memastikan pengguna sedang disediakan.

Screenshot checking that users are provisioned.

Lampiran A

Jika menggunakan Microsoft SQL Server, Anda dapat menggunakan skrip SQL berikut untuk membuat database sampel.

---Creating the Database---------
Create Database CONTOSO
Go
-------Using the Database-----------
Use [CONTOSO]
Go
-------------------------------------

/****** Object:  Table [dbo].[Employees]    Script Date: 1/6/2020 7:18:19 PM ******/
SET ANSI_NULLS ON
GO

SET QUOTED_IDENTIFIER ON
GO

CREATE TABLE [dbo].[Employees](
	[ContosoLogin] [nvarchar](128) NULL,
	[FirstName] [nvarchar](50) NOT NULL,
	[LastName] [nvarchar](50) NOT NULL,
	[Email] [nvarchar](128) NULL,
	[InternalGUID] [uniqueidentifier] NULL,
	[AzureID] [uniqueidentifier] NULL,
	[textID] [nvarchar](128) NULL
) ON [PRIMARY]
GO

ALTER TABLE [dbo].[Employees] ADD  CONSTRAINT [DF_Employees_InternalGUID]  DEFAULT (newid()) FOR [InternalGUID]
GO

Langkah berikutnya