Inrichten met de webserviceconnector
De volgende documentatie bevat informatie over de algemene webservicesconnector. Microsoft Entra ID-governance biedt ondersteuning voor het inrichten van accounts in verschillende toepassingen, zoals SAP ECC, Oracle eBusiness Suite en Line-Of-Business-toepassingen die REST- of SOAP-API's beschikbaar maken. Klanten die EERDER MIM hebben geïmplementeerd om verbinding te maken met deze toepassingen, kunnen eenvoudig overschakelen naar het gebruik van de lichtgewicht Microsoft Entra-inrichtingsagent, terwijl dezelfde webservicesconnector wordt hergebruikt die is gebouwd voor MIM.
Ondersteunde mogelijkheden
- Maak gebruikers in uw toepassing.
- Verwijder gebruikers in uw toepassing wanneer ze geen toegang meer nodig hebben.
- Gebruikerskenmerken gesynchroniseerd houden tussen Microsoft Entra ID en uw toepassing.
- Ontdek het schema voor uw toepassing.
De webserviceconnector implementeert de volgende functies:
SOAP Discovery: hiermee kan de beheerder het WSDL-pad invoeren dat beschikbaar wordt gesteld door de doelwebservice. Detectie produceert een structuur van de gehoste webservices van de toepassing met hun binnenste eindpunten of bewerkingen, samen met de beschrijving van de metagegevens van de bewerking. Er is geen limiet voor het aantal detectiebewerkingen dat kan worden uitgevoerd (stap voor stap). De gedetecteerde bewerkingen worden later gebruikt om de stroom van bewerkingen te configureren waarmee de bewerkingen van de connector worden geïmplementeerd op basis van de gegevensbron (als Import/Export).
REST-detectie: hiermee kan de beheerder REST-servicedetails invoeren, waaronder service-eindpunt, resourcepad, methode- en parameterdetails. De REST-servicesgegevens worden opgeslagen in het
discovery.xml
bestand van hetwsconfig
project. Ze worden later door de beheerder gebruikt om de rest-webserviceactiviteit in de werkstroom te configureren.Schemaconfiguratie: Hiermee kan de beheerder het schema configureren. De schemaconfiguratie bevat een lijst met objecttypen en kenmerken voor een specifieke toepassing. De beheerder kan de kenmerken kiezen die deel uitmaken van het schema.
Configuratie van de bewerkingsstroom: de gebruikersinterface van de werkstroomontwerper voor het configureren van de implementatie van import- en exportbewerkingen per objecttype via weergegeven webservicebewerkingsfuncties, met inbegrip van de toewijzing van parameters van de gebruiker die wordt ingericht voor webservicefuncties.
Vereisten voor inrichting
Vereisten voor on-premises
De computer waarop de inrichtingsagent wordt uitgevoerd, moet het volgende hebben:
- Verbinding maken iviteit van rest- of SOAP-eindpunten van de toepassing, evenals met uitgaande connectiviteit met login.microsoftonline.com, andere Microsoft Online Services en Azure-domeinen. Een voorbeeld is een Windows Server 2016-VM die wordt gehost in Azure IaaS of achter een proxy.
- Ten minste 3 GB RAM voor het hosten van een inrichtingsagent.
- .NET Framework 4.7.2
- Een Windows Server 2016 of een nieuwere versie.
Zorg ervoor dat u het volgende moet doen voordat u de inrichting configureert:
- Maak de benodigde SOAP- of REST API's beschikbaar in uw toepassing om gebruikers te maken, bij te werken en te verwijderen.
Cloudvereisten
Een Microsoft Entra-tenant met Microsoft Entra ID P1 of Premium P2 (of EMS E3 of E5).
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.
De rol Beheerder voor hybride identiteit voor het configureren van de inrichtingsagent en de rol Toepassingsbeheerder of Cloudtoepassingsbeheerder voor het configureren van inrichting in de Azure-portal.
De Microsoft Entra-gebruikers die moeten worden ingericht voor uw toepassing, moeten al worden ingevuld met alle kenmerken die vereist zijn voor uw toepassing.
De Microsoft Entra Verbinding maken Inrichtingsagent installeren en configureren
- Meld u aan bij het Azure-portaal.
- Ga naar Bedrijfstoepassingen en selecteer Nieuwe toepassing.
- Zoek de on-premises ECMA-app-toepassing , geef de app een naam en selecteer Maken om deze toe te voegen aan uw tenant.
- Navigeer in het menu naar de pagina Inrichten van uw toepassing.
- Selecteer Aan de slag.
- Wijzig op de pagina Inrichting de modus in Automatisch.
Selecteer onder On-premises Verbinding maken iviteit de optie Downloaden en installeren en selecteer Voorwaarden accepteren en downloaden.
Laat de portal staan en voer het installatieprogramma van de inrichtingsagent uit, ga akkoord met de servicevoorwaarden en selecteer Installeren.
Wacht op de configuratiewizard van de Microsoft Entra-inrichtingsagent en selecteer vervolgens Volgende.
Selecteer in de stap Extensie selecteren de optie On-premises toepassing inrichten en selecteer vervolgens Volgende.
De inrichtingsagent gebruikt de webbrowser van het besturingssysteem om een pop-upvenster weer te geven waarmee u zich kunt verifiëren bij Microsoft Entra-id en mogelijk ook de id-provider van uw organisatie. Als u Internet Explorer als browser op Windows Server gebruikt, moet u mogelijk Microsoft-websites toevoegen aan de lijst met vertrouwde sites van uw browser om JavaScript correct te laten worden uitgevoerd.
Geef referenties op voor een Microsoft Entra-beheerder wanneer u wordt gevraagd om toestemming te geven. De gebruiker moet ten minste de rol Hybrid Identity Beheer istrator hebben.
Selecteer Bevestigen om de instelling te bevestigen. Zodra de installatie is voltooid, kunt u Afsluiten selecteren en ook het installatieprogramma voor het inrichtingsagentpakket sluiten.
De on-premises ECMA-app configureren
Selecteer in de portal in de sectie On-Premises Verbinding maken iviteit de agent die u hebt geïmplementeerd en selecteer Agent(en) toewijzen.
Houd dit browservenster geopend terwijl u de volgende stap van de configuratie voltooit met behulp van de configuratiewizard.
Het Microsoft Entra ECMA Verbinding maken or Hostcertificaat configureren
Klik op de Windows Server waarop de inrichtingsagent is geïnstalleerd, met de rechtermuisknop op de wizard Microsoft ECMA2Host-configuratie in het startmenu en voer deze uit als beheerder. Als Windows-beheerder moet de wizard de benodigde Windows-gebeurtenislogboeken maken.
Nadat de ECMA Verbinding maken or Hostconfiguratie is gestart, als dit de eerste keer is dat u de wizard hebt uitgevoerd, wordt u gevraagd een certificaat te maken. Laat de standaardpoort 8585 staan en selecteer Certificaat genereren om een certificaat te genereren. Het automatisch gegenereerde certificaat wordt zelfondertekend als onderdeel van de vertrouwde basis. Het certificaat-SAN komt overeen met de hostnaam.
Selecteer Opslaan.
Een sjabloon voor een webserviceconnector maken
Voordat u de configuratie van de webservicesconnector maakt, moet u een sjabloon voor webservicesconnector maken en de sjabloon aanpassen aan de behoeften van uw specifieke omgeving. Zorg ervoor dat de ServiceName, EndpointName en de OperationName juist zijn.
U vindt voorbeeldsjablonen en richtlijnen voor integratie met populaire toepassingen zoals SAP ECC 7.0 en Oracle eBusiness Suite in het downloadpakket voor connectors. U kunt leren hoe u een nieuw project voor uw gegevensbron maakt in het webserviceconfiguratieprogramma met behulp van de werkstroomhandleiding voor SOAP.
Zie het overzicht van de algemene webserviceconnector in de MIM-documentatiebibliotheek voor meer informatie over het configureren van een sjabloon om verbinding te maken met de REST- of SOAP-API van uw eigen toepassing.
De algemene webservicesconnector configureren
In deze sectie maakt u de connectorconfiguratie voor uw toepassing.
Verbinding maken de inrichtingsagent voor uw toepassing
Voer de volgende stappen uit om de Microsoft Entra-inrichtingsagent te verbinden met uw toepassing:
Kopieer het sjabloonbestand
.wsconfig
van de webserviceconnector naar deC:\Program Files\Microsoft ECMA2Host\Service\ECMA
map.Genereer een geheim token dat wordt gebruikt voor het verifiëren van Microsoft Entra-id voor de connector. Het moet minimaal 12 tekens en uniek zijn voor elke toepassing.
Als u dit nog niet hebt gedaan, start u de microsoft ECMA2Host-configuratiewizard vanuit de Windows Startmenu.
Selecteer Nieuwe connector.
Vul op de pagina Eigenschappen de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.
Eigenschappen Waarde Naam De naam die u hebt gekozen voor de connector, die uniek moet zijn voor alle connectors in uw omgeving. Timer voor automatische synchronisatie (minuten) 120 Token voor geheim Voer het geheime token in dat u voor deze connector hebt gegenereerd. De sleutel moet minimaal 12 tekens bevatten. Extensie-DLL Selecteer Microsoft.IdentityManagement.MA.WebServices.dll voor de webserviceconnector. Vul op de pagina Connectiviteit de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.
Eigenschappen Beschrijving Webserviceproject De naam van de sjabloon voor webservices. Host De hostnaam van het SOAP-eindpunt van uw toepassing, zoals vhcalnplci.dummy.nodomain Poort De SOAP-eindpuntpoort van uw toepassing, zoals 8000 Vul op de pagina Mogelijkheden de vakken in met de waarden die zijn opgegeven in de onderstaande tabel en selecteer Volgende.
Eigenschappen Weergegeven als DN-naamstijl Algemeen Exporttype ObjectReplace Gegevensnormalisatie Geen Objectbevestiging Normaal Import inschakelen Geselecteerd Delta-import ingeschakeld Niet ingeschakeld Exporteren inschakelen Geselecteerd Volledige export inschakelen Niet ingeschakeld Exportwachtwoord inschakelen in first pass Geselecteerd Geen referentiewaarden in eerste exportpas Niet ingeschakeld Objectnaam inschakelen Niet ingeschakeld Delete-Add as Replace Niet ingeschakeld
Notitie
Als uw sjabloon voor de webserviceconnector is geopend voor bewerking in het hulpprogramma voor webserviceconfiguratie, krijgt u een foutmelding.
Vul op de pagina Algemeen de vakken in en selecteer Volgende.
Selecteer Volgende op de pagina Partities.
Houd op de pagina Profielen uitvoeren het selectievakje Exporteren ingeschakeld. Schakel het selectievakje Volledig importeren in en selecteer Volgende. Het exportuitvoeringsprofiel wordt gebruikt wanneer de ECMA-Verbinding maken orhost wijzigingen van Microsoft Entra-id naar uw toepassing moet verzenden om records in te voegen, bij te werken en te verwijderen. Het profiel voor de volledige importuitvoering wordt gebruikt wanneer de ECMA Verbinding maken or hostservice wordt gestart om de huidige inhoud van uw toepassing te lezen.
Eigenschappen Weergegeven als Export Run profile that will export data to your application This run profile is required. Volledige import Voer een profiel uit waarmee alle gegevens uit uw toepassing worden geïmporteerd. Delta-import Voer een profiel uit dat alleen wijzigingen uit uw toepassing importeert sinds de laatste volledige of delta-import. Vul op de pagina Objecttypen de vakken in en selecteer Volgende. Gebruik de tabel die volgt op de afbeelding voor hulp bij de afzonderlijke vakken.
Anker : De waarden van dit kenmerk moeten uniek zijn voor elk object in het doelsysteem. De Microsoft Entra-inrichtingsservice voert na de eerste cyclus een query uit op de ECMA-connectorhost met behulp van dit kenmerk. Deze waarde wordt gedefinieerd in de connectorsjabloon voor webservices.
DN : De optie Automatisch gegenereerd moet in de meeste gevallen worden geselecteerd. Als dit niet is geselecteerd, controleert u of het DN-kenmerk is toegewezen aan een kenmerk in Microsoft Entra-id waarin de DN in deze indeling wordt opgeslagen: CN = anchorValue, Object = objectType. Zie Over ankerkenmerken en DN-namen voor meer informatie over ankers en de DN-namen.
Eigenschappen Weergegeven als Doelobject User Anker gebruikersnaam DN gebruikersnaam Automatisch gegenereerd Geselecteerd
De ECMA-connectorhost detecteert de kenmerken die door uw toepassing worden ondersteund. Vervolgens kunt u kiezen welke van de gedetecteerde kenmerken u beschikbaar wilt maken voor Microsoft Entra-id. Deze kenmerken kunnen vervolgens worden geconfigureerd in de Azure-portal voor inrichting. Voeg op de pagina Kenmerken selecteren alle kenmerken één voor één toe in de vervolgkeuzelijst. In de vervolgkeuzelijst Kenmerk ziet u een kenmerk dat in uw toepassing is gedetecteerd en die niet is gekozen op de vorige pagina Kenmerken selecteren. Selecteer Volgende nadat alle relevante kenmerken zijn toegevoegd.
Selecteer op de pagina Inrichting ongedaan maken onder Stroom uitschakelen de optie Verwijderen. De kenmerken die op de vorige pagina zijn geselecteerd, kunnen niet worden geselecteerd op de pagina Inrichting ongedaan maken. Klik op Voltooien.
Notitie
Als u de waarde van het kenmerk Instellen gebruikt, moet u er rekening mee houden dat alleen Booleaanse waarden zijn toegestaan.
Selecteer op de pagina Ongedaan maken , onder Stroom uitschakelen, Geen als u de status van het gebruikersaccount wilt beheren met een eigenschap zoals expirationTime. Selecteer onder Stroom Verwijderen geen als u gebruikers niet wilt verwijderen uit uw toepassing of Verwijderen als u dat wel doet. Selecteer Voltooien.
Controleren of de ECMA2Host-service actief is
Selecteer Start op de server waarop de Microsoft Entra ECMA Verbinding maken or Host wordt uitgevoerd.
Voer uitvoeren en vervolgens services.msc in het vak in.
Zorg ervoor dat Microsoft ECMA2Host aanwezig is in de lijst Services en wordt uitgevoerd. Als dat niet zo is, selecteert u Starten.
Als u de service onlangs hebt gestart en veel gebruikersobjecten in uw toepassing hebt, wacht u enkele minuten totdat de connector verbinding heeft gemaakt met uw toepassing en voert u de eerste volledige import uit.
De toepassingsconnectie configureren in de Azure-portal
Ga terug naar het browservenster waarin u de inrichting van de toepassing configureerde.
Notitie
Als er een time-out voor het venster is opgetreden, moet u de agent opnieuw selecteren.
- Meld u aan bij het Azure-portaal.
- Ga naar Ondernemingstoepassingen en de toepassing On-premises ECMA-app.
- Selecteer Inrichting.
- Selecteer Aan de slag en wijzig vervolgens de modus in Automatisch in de sectie On-Premises Verbinding maken iviteit, selecteer de agent die u hebt geïmplementeerd en selecteer Agent(s) toewijzen. Ga anders naar Inrichting bewerken.
Voer in de sectie Beheerdersreferenties de volgende URL in. Vervang het
{connectorName}
gedeelte door de naam van de connector op de ECMA-connectorhost. De naam van de connector is hoofdlettergevoelig en moet hetzelfde hoofdlettergebruik hebben als is geconfigureerd in de wizard. U kunt ook vervangen doorlocalhost
de hostnaam van uw computer.Eigenschappen Weergegeven als Tenant-URL https://localhost:8585/ecma2host_APP1/scim
Voer de waarde voor Geheim token in die u hebt gedefinieerd toen u de connector maakte.
Notitie
Als u de agent zojuist aan de toepassing hebt toegewezen, wacht u tien minuten totdat de registratie is voltooid. De connectiviteitstest werkt pas als de registratie is voltooid. Door de registratie van de agent af te dwingen door de inrichtingsagent op uw server opnieuw op te starten, kan het registratieproces worden versneld. Ga naar uw server, zoek naar services in de Zoekbalk van Windows, identificeer de Microsoft Entra Verbinding maken Provisioning Agent Service, klik met de rechtermuisknop op de service en start opnieuw.
Selecteer Verbinding testen en wacht één minuut.
Nadat de verbindingstest is geslaagd en wordt aangegeven dat de opgegeven referenties zijn gemachtigd om inrichting in te schakelen, selecteert u Opslaan.
Kenmerktoewijzingen configureren
Nu wijst u kenmerken toe tussen de weergave van de gebruiker in Microsoft Entra-id en de weergave van de gebruiker in uw toepassing.
U gebruikt Azure Portal om de toewijzing te configureren tussen de kenmerken van de Microsoft Entra-gebruiker en de kenmerken die u eerder hebt geselecteerd in de wizard ECMA-hostconfiguratie.
Zorg ervoor dat het Microsoft Entra-schema de kenmerken bevat die vereist zijn voor uw toepassing. Als gebruikers een kenmerk moeten hebben en dat kenmerk nog niet deel uitmaakt van uw Microsoft Entra-schema voor een gebruiker, moet u de functie directory-extensie gebruiken om dat kenmerk toe te voegen als een extensie.
Selecteer in het Microsoft Entra-beheercentrum onder Bedrijfstoepassingen de toepassing on-premises ECMA-app en vervolgens de pagina Inrichten .
Selecteer Inrichting bewerken en wacht 10 seconden.
Vouw toewijzingen uit en selecteer Microsoft Entra-gebruikers inrichten. Als dit de eerste keer is dat u de kenmerktoewijzingen voor deze toepassing hebt geconfigureerd, is er slechts één toewijzing aanwezig voor een tijdelijke aanduiding.
Als u wilt controleren of het schema van uw toepassing beschikbaar is in Microsoft Entra ID, schakelt u het selectievakje Geavanceerde opties weergeven in en selecteert u De lijst Kenmerken bewerken voor ScimOnPremises. Zorg ervoor dat alle kenmerken die in de configuratiewizard zijn geselecteerd, worden vermeld. Zo niet, wacht u enkele minuten totdat het schema is vernieuwd en laadt u de pagina opnieuw. Zodra u de vermelde kenmerken ziet, annuleert u deze pagina om terug te keren naar de lijst met toewijzingen.
Klik nu op de tijdelijke aanduiding userPrincipalName . Deze toewijzing wordt standaard toegevoegd wanneer u voor het eerst on-premises inrichting configureert.
Wijzig de waarde zodat deze overeenkomt met het volgende:
Toewijzingstype | Bronkenmerk | Doelkenmerk |
---|---|---|
Direct | userPrincipalName | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
Selecteer Nu Nieuwe toewijzing toevoegen en herhaal de volgende stap voor elke toewijzing.
Geef de bron- en doelkenmerken op voor elk van de kenmerken die uw toepassing nodig heeft. Voorbeeld:
Microsoft Entra-kenmerk ScimOnPremises-kenmerk Prioriteit bij koppelen Deze toewijzing toepassen ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Alleen tijdens het maken van objecten Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Alleen tijdens het maken van objecten plaats urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Altijd companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Altijd afdeling urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Altijd e-mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Altijd Switch([IsSoftDeleted], "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Altijd givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Altijd surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Altijd telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Altijd jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Altijd Selecteer Opslaan nadat alle toewijzingen zijn toegevoegd.
Gebruikers toewijzen aan een toepassing
Nu u de Microsoft Entra ECMA Verbinding maken or Host hebt die met Microsoft Entra-id praat en de kenmerktoewijzing is geconfigureerd, kunt u verder gaan met het configureren van wie het bereik voor inrichting heeft.
Belangrijk
Als u bent aangemeld met de rol Hybride identiteit Beheer istrator, moet u zich afmelden en aanmelden met een account met ten minste de rol Toepassing Beheer istrator voor deze sectie. De rol Hybrid Identity Beheer istrator heeft geen machtigingen om gebruikers toe te wijzen aan toepassingen.
Als er bestaande gebruikers in uw toepassing zijn, moet u toepassingsroltoewijzingen maken voor die bestaande gebruikers. Zie voor meer informatie over het bulksgewijs maken van toepassingsroltoewijzingen voor bestaande gebruikers van een toepassing in Microsoft Entra ID.
Als er geen huidige gebruikers van de toepassing zijn, selecteert u een testgebruiker van Microsoft Entra die wordt ingericht voor de toepassing.
Zorg ervoor dat de gebruiker die u selecteert alle eigenschappen bevat die worden toegewezen aan de vereiste kenmerken van uw toepassing.
Selecteer Ondernemingstoepassingen in de Azure-portal.
Selecteer de toepassing On-premises ECMA-app.
Selecteer aan de linkerkant onder Beheren de optie Gebruikers en groepen.
Selecteer Gebruiker/groep toevoegen.
Selecteer Geen geselecteerd onder Gebruikers.
Selecteer gebruikers aan de rechterkant en selecteer de knop Selecteren .
Selecteer nu Toewijzen.
Testinrichting
Nu uw kenmerken en gebruikers zijn toegewezen, kunt u inrichting op aanvraag testen met een van uw gebruikers.
Selecteer Ondernemingstoepassingen in de Azure-portal.
Selecteer de toepassing On-premises ECMA-app.
Selecteer aan de linkerkant Inrichting.
Selecteer Op aanvraag inrichten.
Zoek een van uw testgebruikers en selecteer Inrichten.
Na enkele seconden wordt het bericht De gebruiker is gemaakt in het doelsysteem weergegeven, samen met een lijst met de gebruikerskenmerken.
Inrichten van gebruikers starten
Nadat het inrichten op aanvraag is voltooid, gaat u terug naar de configuratiepagina van de inrichting. Zorg dat het bereik is ingesteld op alleen toegewezen gebruikers en groepen, schakel inrichting in en selecteer Opslaan.
Wacht maximaal 40 minuten totdat de inrichtingsservice is gestart. Nadat de inrichtingstaak is voltooid, zoals beschreven in de volgende sectie, kunt u de inrichtingsstatus wijzigen in Uit als u klaar bent met testen en Opslaan selecteren. Met deze actie wordt de inrichtingsservice niet meer uitgevoerd in de toekomst.
Problemen met het inrichten oplossen
Als er een fout wordt weergegeven, selecteert u Inrichtingslogboeken weergeven. Zoek in het logboek naar een rij waarin de status mislukt is en selecteer deze rij.
Ga naar het tabblad Probleemoplossing en Aanbevelingen voor meer informatie.