Microsoft Entra-id configureren om gebruikers in te richten in een SQL-database

  • Artikel

In dit document worden de stappen beschreven die u moet uitvoeren om gebruikers van Microsoft Entra ID automatisch in te richten en de inrichting ervan ongedaan te maken in een SQL-database.

Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, bekijkt u de artikelen over het automatiseren van gebruikersinrichting en het ongedaan maken van de inrichting van SaaS-toepassingen met Microsoft Entra ID en on-premises artikelen over de inrichting van toepassingen.

De volgende video biedt een overzicht van on-premises inrichting.

Vereisten voor inrichten in een SQL-database

Vereisten voor on-premises

De toepassing is afhankelijk van een SQL-database, waarin records voor gebruikers kunnen worden gemaakt, bijgewerkt en verwijderd. De computer waarop de inrichtingsagent wordt uitgevoerd, moet het volgende hebben:

  • Windows Server 2016 of een nieuwere versie.
  • Verbinding maken iviteit van het doeldatabasesysteem en met uitgaande connectiviteit met login.microsoftonline.com, andere Microsoft Online Services en Azure-domeinen. Een voorbeeld is een Windows Server 2016-VM die wordt gehost in Azure IaaS of achter een proxy.
  • Ten minste 3 GB RAM-geheugen.
  • .NET Framework 4.7.2.
  • Het ODBC-stuurprogramma voor de SQL-database.

De configuratie van de verbinding met de toepassingsdatabase wordt uitgevoerd via een wizard. Afhankelijk van de opties die u selecteert, zijn sommige wizardschermen mogelijk niet beschikbaar en is de informatie mogelijk iets anders. Gebruik de volgende informatie om u te helpen bij uw configuratie.

Ondersteunde databases

  • Microsoft SQL Server en Azure SQL
  • IBM DB2 9.x
  • IBM DB2 10.x
  • IBM DB2 11.5
  • Oracle 10g en 11g
  • Oracle 12c en 18c
  • MySQL 5.x
  • MySQL 8.x
  • Postgres

Cloudvereisten

  • Een Microsoft Entra-tenant met Microsoft Entra ID P1 of Premium P2 (of EMS E3 of E5).

    Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

  • De rol Beheerder voor hybride identiteit voor het configureren van de inrichtingsagent en de rol Toepassingsbeheerder of Cloudtoepassingsbeheerder voor het configureren van inrichting in de Azure-portal.

  • De Microsoft Entra-gebruikers die moeten worden ingericht voor de database, moeten al worden ingevuld met alle kenmerken die vereist zijn voor het databaseschema en die niet door de database zelf worden gegenereerd.

De voorbeelddatabase voorbereiden

In dit artikel configureert u de Microsoft Entra SQL-connector om te communiceren met de relationele database van uw toepassing. Normaliter beheren toepassingen de toegang met een tabel in hun SQL-database, met één rij in de tabel per gebruiker. Als u al een toepassing met een database hebt, ga dan verder met de volgende sectie.

Als u nog geen database met een geschikte tabel hebt, moet u voor demonstratiedoeleinden een database maken die microsoft Entra-id mag gebruiken. Als u SQL Server gebruikt, voer dan het SQL-script uit dat te vinden is in bijlage A. Met dit script maakt u een voorbeelddatabase met de naam CONTOSO met één tabel Employees. In deze databasetabel richt u gebruikers in.

Tabelkolom Bron
ContosoLogin Microsoft Entra user principal name
FirstName Microsoft Entra opgegeven naam
LastName Microsoft Entra-achternaam
E-mailen Exchange Online-e-mailadres
InternalGUID Gegenereerd door de database zelf
AzureID Microsoft Entra-object-id
textID E-mailnaam voor Microsoft Entra-id

Bepalen hoe de Microsoft Entra SQL-Verbinding maken or communiceert met uw database

U moet een gebruikersaccount in het SQL-exemplaar hebben met de rechten om gegevens in de tabellen van de database bij te werken. Als uw SQL-database wordt beheerd door iemand anders, neemt u contact met hen op om de accountnaam en het wachtwoord voor Microsoft Entra-id te verkrijgen die moet worden gebruikt om te verifiëren bij de database. Als het SQL-exemplaar op een andere computer is geïnstalleerd, moet u er ook voor zorgen dat de SQL-database binnenkomende verbindingen vanaf het ODBC-stuurprogramma op de agentcomputer toestaat.

Als u een al bestaande database voor uw toepassing hebt, moet u bepalen hoe Microsoft Entra ID moet communiceren met die database: directe interactie met tabellen en weergaven, via opgeslagen procedures die al aanwezig zijn in de database, of via SQL-instructies die u opgeeft voor query's en updates. Deze instelling komt omdat een complexere toepassing mogelijk andere hulptabellen in de database heeft, paginering vereist voor tabellen met duizenden gebruikers of dat Microsoft Entra-id een opgeslagen procedure moet aanroepen die extra gegevensverwerking uitvoert, zoals versleuteling, hashing of geldigheidscontroles.

Wanneer u de configuratie voor de connector maakt om te communiceren met de database van een toepassing, configureert u eerst een benadering voor de manier waarop de connectorhost het schema van uw database leest en configureert u vervolgens de benadering die de connector doorlopend moet gebruiken, via uitvoeringsprofielen. Elk uitvoeringsprofiel geeft aan hoe de connector SQL-instructies moet genereren. De gekozen uitvoeringsprofielen en de methode binnen een uitvoeringsprofiel zijn afhankelijk van wat uw database-engine ondersteunt en van wat de toepassing vereist.

  • Wanneer de inrichtingsservice wordt gestart, worden na de configuratie automatisch de interacties uitgevoerd die zijn geconfigureerd in het uitvoeringsprofiel Volledig importeren. In dit uitvoeringsprofiel leest de connector alle gebruikersrecords uit de toepassingsdatabase, meestal met behulp van een SELECT-instructie. Dit uitvoeringsprofiel is nodig, zodat als Microsoft Entra-id later een wijziging moet aanbrengen voor een gebruiker, Microsoft Entra ID weet een bestaande record voor die gebruiker in de database bij te werken in plaats van een nieuwe record voor die gebruiker te maken.

  • Telkens wanneer er wijzigingen worden aangebracht in Microsoft Entra-id, zoals het toewijzen van een nieuwe gebruiker aan de toepassing of het bijwerken van een bestaande gebruiker, voert de inrichtingsservice het geconfigureerde Export-uitvoeringsprofiel uit. In het exportrunprofiel geeft Microsoft Entra ID SQL-instructies uit om records in de database in te voegen, bij te werken en te verwijderen, zodat de inhoud van de database gesynchroniseerd kan worden met Microsoft Entra-id.

  • Als uw database dit ondersteunt, kunt u eventueel ook een uitvoeringsprofiel Delta importeren configureren. In dit uitvoeringsprofiel leest Microsoft Entra-id wijzigingen in die zijn aangebracht in de database, behalve door Microsoft Entra-id, sinds de laatste volledige of delta-import. Dit uitvoeringsprofiel is optioneel omdat de database gestructureerd moet zijn om wijzigingen te kunnen lezen.

In de configuratie van elk uitvoeringsprofiel van de connector geeft u op of de Microsoft Entra-connector eigen SQL-instructies moet genereren voor een tabel of weergave, uw opgeslagen procedures aanroept of aangepaste SQL-query's gebruikt die u opgeeft. Normaal gesproken gebruikt u dezelfde methode voor alle uitvoeringsprofielen in een connector.

  • Als u de tabel- of weergavemethode voor een uitvoeringsprofiel selecteert, genereert de Microsoft Entra-connector de benodigde SQL-instructies, SELECT, INSERT, UPDATE en DELETE om te communiceren met de tabel of weergave in de database. Deze methode is de eenvoudigste methode als uw database één tabel of een updatable weergave heeft met enkele bestaande rijen.
  • Als u de methode Opgeslagen procedure selecteert, moet uw database vier opgeslagen procedures hebben: een pagina met gebruikers lezen, een gebruiker toevoegen, een gebruiker bijwerken en een gebruiker verwijderen, u configureert de Microsoft Entra-connector met de namen en parameters van die opgeslagen procedures die moeten worden aangeroepen. Deze benadering vereist meer configuratie in uw SQL-database en is doorgaans alleen nodig als uw toepassing meer verwerking vereist voor elke wijziging in een gebruiker, van voor paginering via grote resultatensets.
  • Als u de SQL-querymethode selecteert, typt u de specifieke SQL-instructies die de connector moet uitgeven tijdens een uitvoeringsprofiel. U configureert de connector met de parameters die de connector moet invullen in uw SQL-instructies, bijvoorbeeld door middel van resultatensets tijdens het importeren of om de kenmerken in te stellen van een nieuwe gebruiker die wordt gemaakt tijdens een export.

In dit artikel wordt uitgelegd hoe u de tabelmethode gebruikt om te werken met de voorbeelddatabasetabel Employees, in de uitvoeringsprofielen Exporteren en Volledig importeren. Voor meer informatie over het configureren van de opgeslagen procedure of SQL-querymethoden raadpleegt u de Algemene SQL-configuratiehandleiding, die meer details en specifieke vereisten geeft.

De unieke id's kiezen in het databaseschema van uw toepassing

De meeste toepassingen hebben een unieke id voor elke gebruiker van de toepassing. Als u inricht in een bestaande databasetabel, moet u een kolom van die tabel identificeren met een waarde voor elke gebruiker, waarbij deze waarde uniek is en niet verandert. Deze kolom is het anker dat door Microsoft Entra ID wordt gebruikt om bestaande rijen te identificeren om ze bij te werken of te verwijderen. Zie Over ankerkenmerken en DN-namen voor meer informatie over ankers.

Als de database van uw toepassing al bestaat, bevat deze gebruikers en wilt u microsoft Entra-id die gebruikers up-to-date houden, dan moet u een id hebben voor elke gebruiker die hetzelfde is tussen de database van de toepassing en het Microsoft Entra-schema. Als u bijvoorbeeld een gebruiker toewijst aan de toepassing in Microsoft Entra ID en die gebruiker zich al in die database bevindt, moet deze gebruiker in Microsoft Entra ID een bestaande rij voor die gebruiker bijwerken in plaats van een nieuwe rij toe te voegen. Aangezien de interne id van een toepassing waarschijnlijk niet wordt opgeslagen voor die gebruiker, moet u een andere kolom selecteren voor het uitvoeren van query's op de database. De waarde van deze kolom kan een user principal name of een e-mailadres, werknemer-id of andere id zijn die aanwezig is in Microsoft Entra ID voor elke gebruiker die binnen het bereik van de toepassing valt. Als de gebruikers-id die door de toepassing wordt gebruikt, geen kenmerk is dat is opgeslagen in de Microsoft Entra-weergave van de gebruiker, hoeft u het Microsoft Entra-gebruikersschema niet uit te breiden met een extensiekenmerk en dat kenmerk uit uw database te vullen. U kunt het Microsoft Entra-schema uitbreiden en extensiewaarden instellen met behulp van PowerShell.

Kenmerken in Microsoft Entra-id toewijzen aan het databaseschema

Wanneer Microsoft Entra ID een koppeling tot stand heeft gebracht tussen een gebruiker in Microsoft Entra ID en een record in de database, voor een gebruiker die al in de database staat of een nieuwe gebruiker, kan Microsoft Entra ID kenmerkwijzigingen van de Microsoft Entra-gebruiker inrichten in de database. Naast de unieke id's moet u uw database controleren om te bepalen of er andere vereiste eigenschappen zijn. Als die er zijn, moet u ervoor zorgen dat de gebruikers die in de database worden ingericht, kenmerken hebben die kunnen worden toegewezen aan de vereiste eigenschappen.

U kunt ook het gedrag voor het ongedaan maken van de inrichting configureren. Als een gebruiker die is toegewezen aan de toepassing wordt verwijderd in Microsoft Entra-id, verzendt Microsoft Entra-id een verwijderbewerking naar de database. Mogelijk wilt u ook dat microsoft Entra-id de database bijwerkt wanneer een gebruiker buiten het bereik valt van het gebruik van de toepassing. Als een gebruiker niet is toegewezen vanuit een app, voorlopig verwijderd in Microsoft Entra-id of wordt geblokkeerd voor aanmelding, kunt u Microsoft Entra-id configureren om een kenmerkwijziging te verzenden. Als u inricht in een bestaande databasetabel, moet u een kolom van die tabel hebben om toe te wijzen aan isSoftDeleted. Wanneer de gebruiker buiten het bereik komt, stelt Microsoft Entra-id de waarde voor die gebruiker in op Waar.

1. Het ODBC-stuurprogramma installeren

De Windows Server waarop u de inrichtingsagent installeert, vereist een ODBC-stuurprogramma voor uw doeldatabase. Als u van plan bent om verbinding te maken met SQL Server of een Azure SQL-database, moet u het ODBC-stuurprogramma voor SQL Server (x64) downloaden en installeren op de Windows Server. Raadpleeg voor andere SQL-databases de richtlijnen van de onafhankelijke softwareleverancier over het installeren van het ODBC-stuurprogramma.

2. Een DSN-verbindingsbestand maken

Voor de algemene SQL-connector is een DSN-bestand (Data Source Name) vereist om verbinding te maken met het SQL-eindpunt. Eerst moet u een bestand maken met de ODBC-verbindingsgegevens.

  1. Start het ODBC-beheerhulpprogramma op uw server. Gebruik de 64-bits versie.

    Schermopname van ODBC-beheer.

  2. Selecteer het tabblad Bestands-DSN en selecteer Toevoegen.

    Schermopname van het tabblad Bestands-DSN.

  3. Als u SQL Server of Azure SQL gebruikt, selecteer dan SQL Server Native Client 11.0 en selecteer Volgende. Als u een andere database gebruikt, selecteer dan het ODBC-stuurprogramma.

    Schermopname van het kiezen van een native client.

  4. Geef het bestand een naam, bijvoorbeeld GenericSQL, en selecteer Volgende. Schermopname van naamgeving van de connector.

  5. Selecteer Voltooien.

    Schermopname van Voltooien.

  6. Configureer nu de verbinding. De volgende stappen verschillen, afhankelijk van het ODBC-stuurprogramma dat u gebruikt. In deze afbeelding wordt ervan uitgegaan dat u het stuurprogramma gebruikt om verbinding te maken met SQL Server. Als de SQL Server zich op een andere servercomputer bevindt, voer dan de naam van de server in. Selecteer vervolgens Volgende.

    Schermopname van het invoeren van een servernaam.

  7. Als de gebruiker die u deze stap uitvoert, machtigingen heeft om verbinding te maken met de database, houdt u Windows-verificatie geselecteerd. Als de SQL Server-beheerder een lokaal SQL-account vereist, geef dan de aanmeldingsgegevens daarvan op. Selecteer Volgende.

    Schermopname van Windows-verificatie.

  8. Voer de naam van de database in, CONTOSO in dit voorbeeld.

    Schermopname van het invoeren van een databasenaam.

  9. Houd alles standaard in dit scherm en selecteer Voltooien.

    Schermopname van het selecteren van Voltooien.

  10. Selecteer Gegevensbron testen om te controleren of alles werkt zoals verwacht.

    Schermopname van Gegevensbron testen.

  11. Controleer of de test is geslaagd.

    Schermopname van geslaagde test.

  12. Selecteer twee keer OK. Sluit het ODBC-gegevensbronbeheer. Het DSN-verbindingsbestand wordt standaard opgeslagen in de map Documenten .

3. De Microsoft Entra Verbinding maken Inrichtingsagent installeren en configureren

Als u de inrichtingsagent al hebt gedownload en deze hebt geconfigureerd voor een andere on-premises toepassing, gaat u verder met lezen in de volgende sectie.

  1. Meld u aan bij het Azure-portaal.
  2. Ga naar Bedrijfstoepassingen en selecteer Nieuwe toepassing.
  3. Zoek de on-premises ECMA-app-toepassing , geef de app een naam en selecteer Maken om deze toe te voegen aan uw tenant.
  4. Navigeer in het menu naar de pagina Inrichten van uw toepassing.
  5. Selecteer Aan de slag.
  6. Wijzig op de pagina Inrichting de modus in Automatisch.

Schermopname van het selecteren van Automatisch.

  1. Selecteer onder On-premises Verbinding maken iviteit de optie Downloaden en installeren en selecteer Voorwaarden accepteren en downloaden.

Schermopname van de downloadlocatie voor de agent.

  1. Laat de portal staan en voer het installatieprogramma van de inrichtingsagent uit, ga akkoord met de servicevoorwaarden en selecteer Installeren.
  2. Wacht op de configuratiewizard van de Microsoft Entra-inrichtingsagent en selecteer vervolgens Volgende.
  3. Selecteer in de stap Extensie selecteren de optie On-premises toepassing inrichten en selecteer vervolgens Volgende.
  4. De inrichtingsagent gebruikt de webbrowser van het besturingssysteem om een pop-upvenster weer te geven waarmee u zich kunt verifiëren bij Microsoft Entra-id en mogelijk ook de id-provider van uw organisatie. Als u Internet Explorer als browser op Windows Server gebruikt, moet u mogelijk Microsoft-websites toevoegen aan de lijst met vertrouwde sites van uw browser om JavaScript correct te laten worden uitgevoerd.
  5. Geef referenties op voor een Microsoft Entra-beheerder wanneer u wordt gevraagd om toestemming te geven. De gebruiker moet ten minste de rol Hybrid Identity Beheer istrator hebben.
  6. Selecteer Bevestigen om de instelling te bevestigen. Zodra de installatie is voltooid, kunt u Afsluiten selecteren en ook het installatieprogramma voor het inrichtingsagentpakket sluiten.

4. De on-premises ECMA-app configureren

  1. Selecteer in de portal in de sectie On-Premises Verbinding maken iviteit de agent die u hebt geïmplementeerd en selecteer Agent(en) toewijzen.

    Schermopname van het selecteren en toewijzen van agents.

  2. Houd dit browservenster geopend terwijl u de volgende stap van de configuratie voltooit met behulp van de configuratiewizard.

5. Het Microsoft Entra ECMA-Verbinding maken or-hostcertificaat configureren

  1. Klik op de Windows Server waarop de inrichtingsagent is geïnstalleerd, met de rechtermuisknop op de wizard Microsoft ECMA2Host-configuratie in het startmenu en voer deze uit als beheerder. Als Windows-beheerder moet de wizard de benodigde Windows-gebeurtenislogboeken maken.

  2. Nadat de ECMA Verbinding maken or Hostconfiguratie is gestart, als dit de eerste keer is dat u de wizard hebt uitgevoerd, wordt u gevraagd een certificaat te maken. Laat de standaardpoort 8585 staan en selecteer Certificaat genereren om een certificaat te genereren. Het automatisch gegenereerde certificaat wordt zelfondertekend als onderdeel van de vertrouwde basis. Het certificaat-SAN komt overeen met de hostnaam.

    Schermopname van het configureren van uw instellingen.

  3. Selecteer Opslaan.

Notitie

Als u ervoor hebt gekozen om een nieuw certificaat te genereren, moet u de vervaldatum van het certificaat vastleggen om ervoor te zorgen dat u wilt terugkeren naar de configuratiewizard en het certificaat opnieuw genereert voordat het verloopt.

6. Een algemene SQL-connector maken

In deze sectie maakt u de connectorconfiguratie voor uw database.

6.1 De SQL-verbinding configureren

Voer de volgende stappen uit om een algemene SQL-connector te maken:

  1. Genereer een geheim token dat wordt gebruikt voor het verifiëren van Microsoft Entra-id voor de connector. Het moet minimaal 12 tekens en uniek zijn voor elke toepassing.

  2. Als u dit nog niet hebt gedaan, start u de microsoft ECMA2Host-configuratiewizard vanuit de Windows Startmenu.

  3. Selecteer Nieuwe connector.

    Schermopname van het kiezen van de nieuwe connector.

  4. Vul op de pagina Eigenschappen de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.

    Schermopname van het invoeren van eigenschappen.

    Eigenschappen Waarde
    Naam De naam die u hebt gekozen voor de connector, die uniek moet zijn voor alle connectors in uw omgeving. Als u bijvoorbeeld slechts één SQL-database hebt, SQL
    Timer voor automatische synchronisatie (minuten) 120
    Token voor geheim Voer het geheime token in dat u voor deze connector hebt gegenereerd. De sleutel moet minimaal 12 tekens bevatten.
    Extensie-DLL Selecteer Microsoft.IAM.Connector.GenericSQl.dll voor de algemene SQL-connector.

  5. Vul op de pagina Connectiviteit de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.

    Schermopname van de pagina Connectiviteit.

    Eigenschappen Beschrijving
    DSN-bestand Het DSN-bestand (Data Source Name) dat u in de vorige stap hebt gemaakt, wordt gebruikt om verbinding te maken met het SQL-exemplaar.
    Gebruikersnaam De gebruikersnaam van een account met rechten om de tabel in het SQL-exemplaar bij te werken. Als de doeldatabase SQL Server is en u Windows-verificatie gebruikt, moet de gebruikersnaam de vorm hebben van hostnaam\sqladminaccount voor zelfstandige servers of domein\sqladminaccount voor domeinlidservers. Voor andere databases is de gebruikersnaam een lokaal account in de database.
    Wachtwoord Het wachtwoord van de opgegeven gebruikersnaam.
    DN is anker Schakel, tenzij uw omgeving deze instellingen vereist, niet de selectievakjes DN is anker en Exporttype: Object vervangen in.

6.2 Haal het schema op uit de database

Nadat u aanmeldingsgegevens hebt opgegeven, is de ECMA-connectorhost gereed om het schema van uw database op te halen. Ga verder met de configuratie van de SQL-verbinding:

  1. Geef op de pagina Schema 1 de lijst van objecttypen op. In dit voorbeeld is er één objecttype, User. Vul de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.

    Schermopname van de pagina Schema 1.

    Eigenschappen Weergegeven als
    Detectiemethode voor objecttypen Vaste waarde
    Lijst van vaste waarden/tabel/weergave/SP User

  2. Zodra u Volgende hebt geselecteerd, wordt de volgende pagina automatisch weergegeven voor de configuratie van het User objecttype. Geef op de pagina Schema 2 aan hoe gebruikers worden gerepresenteerd in uw database. In dit voorbeeld is het één SQL-tabel met de naam Employees. Vul de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.

    Schermopname van de pagina Schema 2.

    Eigenschappen Weergegeven als
    Gebruiker: Kenmerkdetectie Tabel
    Gebruiker: Tabel/weergave/SP De naam van de tabel in uw database, zoals Employees

    Notitie

    Als er een fout optreedt, controleer dan de databaseconfiguratie om ervoor te zorgen dat de gebruiker die u hebt opgegeven op de pagina Connectiviteit leestoegang heeft tot het databaseschema.

  3. Zodra u Volgende hebt geselecteerd, wordt de volgende pagina automatisch weergegeven, zodat u de kolommen van de eerder opgegeven tabel, zoals de Employees tabel in dit voorbeeld, selecteert die moeten worden gebruikt als en AnchorDN van gebruikers. Deze kolommen bevatten unieke id's in uw database. U kunt dezelfde of verschillende kolommen gebruiken, maar zorg ervoor dat rijen die al in deze database aanwezig zijn, unieke waarden hebben in deze kolommen. Vul op de pagina Schema 3 de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.

    Schermopname van de pagina Schema 3.

    Eigenschappen Beschrijving
    Anker selecteren voor: Gebruiker De kolom van de databasetabel die moet worden gebruikt voor het anker, zoals User:ContosoLogin
    DN-kenmerk selecteren voor gebruiker De kolom van de database die moet worden gebruikt voor het DN-kenmerk, zoals AzureID

  4. Zodra u Volgende hebt geselecteerd, wordt de volgende pagina automatisch weergegeven, zodat u het gegevenstype van elk van de kolommen van de Employee tabel kunt bevestigen en of de connector deze moet importeren of exporteren. Laat op de pagina Schema 4 de standaardwaarden staan en selecteer Volgende.

    Schermopname van de pagina Schema 4.

  5. Vul op de pagina Algemeen de vakken in en selecteer Volgende. Gebruik de tabel die volgt op de afbeelding voor hulp bij de afzonderlijke vakken.

    Schermopname van de pagina Algemeen.

    Eigenschappen Beschrijving
    Deltastrategie Voor IBM DB2 selecteert u None
    Watermarkeringsquery Voor IBM DB2 typt u SELECT CURRENT TIMESTAMP FROM SYSIBM.SYSDUMMY1;
    Datum-/tijdnotatie van de gegevensbron Voor SQL Server yyyy-MM-dd HH:mm:ss en voor IBM DB2, YYYY-MM-DD

  6. Selecteer Volgende op de pagina Partities.

    Schermopname van de pagina Partities.

6.3 De uitvoeringsprofielen configureren

Vervolgens configureert u de uitvoeringsprofielen Exporteren en Volledig importeren. Het exportuitvoeringsprofiel wordt gebruikt wanneer de ECMA-Verbinding maken orhost wijzigingen van Microsoft Entra-id naar de database moet verzenden, om records in te voegen, bij te werken en te verwijderen. Het uitvoeringsprofiel Volledig importeren wordt gebruikt wanneer de ECMA-connectorhostservice wordt gestart om de huidige inhoud van de database te lezen. In dit voorbeeld gebruikt u de tabelmethode in beide uitvoeringsprofielen, zodat de ECMA-connectorhost de benodigde SQL-instructies genereert.

Ga verder met de configuratie van de SQL-verbinding:

  1. Houd op de pagina Profielen uitvoeren het selectievakje Exporteren ingeschakeld. Schakel het selectievakje Volledig importeren in en selecteer Volgende.

    Schermopname van de pagina Uitvoeringsprofielen.

    Eigenschappen Beschrijving
    Export Uitvoeringsprofiel dat gegevens exporteert naar SQL. Dit uitvoeringsprofiel is vereist.
    Volledige import Uitvoeringsprofiel waarmee alle gegevens uit eerder opgegeven LDAP-bronnen worden geïmporteerd.
    Delta-import Uitvoeringsprofiel dat alleen wijzigingen uit SQL importeert sinds de laatste volledige of delta-import.

  2. Zodra u Volgende hebt geselecteerd, wordt de volgende pagina automatisch weergegeven, zodat u de methode voor het exportuitvoeringsprofiel kunt configureren. Vul op de pagina Exporteren de vakken in en selecteer Volgende. Gebruik de tabel die volgt op de afbeelding voor hulp bij de afzonderlijke vakken.

    Schermopname van de pagina Exporteren.

    Eigenschappen Beschrijving
    Bewerkingsmethode Tabel
    Tabel/weergave/SP Dezelfde tabel als geconfigureerd op het tabblad Schema 2, zoals Employees

  3. Vul op de pagina Volledig importeren de vakken in en selecteer Volgende. Gebruik de tabel die volgt op de afbeelding voor hulp bij de afzonderlijke vakken.

    Schermopname van de pagina Volledig importeren.

    Eigenschappen Beschrijving
    Bewerkingsmethode Tabel
    Tabel/weergave/SP Dezelfde tabel als geconfigureerd op het tabblad Schema 2, zoals Employees

6.4 Configureren hoe kenmerken worden weergegeven in Microsoft Entra-id

In de laatste stap van de SQL-verbindingsinstellingen configureert u hoe kenmerken worden weergegeven in Microsoft Entra-id:

  1. Vul op de pagina Objecttypen de vakken in en selecteer Volgende. Gebruik de tabel die volgt op de afbeelding voor hulp bij de afzonderlijke vakken.

    • Anker: De waarden van dit kenmerk moeten uniek zijn voor elk object in de doeldatabase. De Microsoft Entra-inrichtingsservice voert na de eerste cyclus een query uit op de ECMA-connectorhost met behulp van dit kenmerk. Deze ankerwaarde moet hetzelfde zijn als de ankerkolom die u eerder hebt geconfigureerd op de pagina Schema 3 .
    • Querykenmerk: dit kenmerk moet hetzelfde zijn als het anker.
    • DN: de optie Automatisch gegenereerd moet in de meeste gevallen worden geselecteerd. Als dit niet is geselecteerd, controleert u of het DN-kenmerk is toegewezen aan een kenmerk in Microsoft Entra-id waarin de DN in deze indeling wordt opgeslagen: CN = anchorValue, Object = objectType. Zie Over ankerkenmerken en DN-namen voor meer informatie over ankers en de DN-namen.
    Eigenschappen Beschrijving
    Doelobject User
    Anker De kolom die is geconfigureerd op het tabblad Schema 3, zoals ContosoLogin
    Querykenmerk Dezelfde kolom als het anker, zoals ContosoLogin
    DN Dezelfde kolom als die is geconfigureerd op het tabblad Schema 3, zoals ContosoLogin
    Automatisch gegenereerd Geselecteerd

  2. De ECMA-connectorhost detecteert de kenmerken die worden ondersteund door de doeldatabase. U kunt kiezen welke van deze kenmerken u beschikbaar wilt maken voor Microsoft Entra-id. Deze kenmerken kunnen vervolgens worden geconfigureerd in de Azure-portal voor inrichting. Voeg op de pagina Kenmerken selecteren alle kenmerken één voor één toe in de vervolgkeuzelijst.

In de vervolgkeuzelijst Kenmerk ziet u een kenmerk dat is gedetecteerd in de doeldatabase en die niet is gekozen op de vorige pagina Kenmerken selecteren. Selecteer Volgende nadat alle relevante kenmerken zijn toegevoegd.

Schermopname van de vervolgkeuzelijst kenmerk.

  1. Selecteer op de pagina Inrichting ongedaan maken onder Stroom uitschakelen de optie Verwijderen. De kenmerken die op de vorige pagina zijn geselecteerd, kunnen niet worden geselecteerd op de pagina Inrichting ongedaan maken. Klik op Voltooien.

Notitie

Als u de waarde van het kenmerk Instellen gebruikt, moet u er rekening mee houden dat alleen Booleaanse waarden zijn toegestaan.

Schermopname van de pagina Inrichting ongedaan maken.

7. Zorg ervoor dat de ECMA2Host-service wordt uitgevoerd

  1. Selecteer Start op de server waarop de Microsoft Entra ECMA Verbinding maken or Host wordt uitgevoerd.

  2. Voer uitvoeren en vervolgens services.msc in het vak in.

  3. Zorg ervoor dat Microsoft ECMA2Host aanwezig is in de lijst Services en wordt uitgevoerd. Als dat niet zo is, selecteert u Starten.

    Schermopname waarop te zien is dat de service actief is.

Als u verbinding maakt met een nieuwe database of een database die leeg is en geen gebruikers heeft, gaat u verder in de volgende sectie. Volg anders deze stappen om te bevestigen dat de connector bestaande gebruikers uit de database heeft geïdentificeerd.

  1. Als u de service onlangs hebt gestart en veel gebruikersobjecten in de database hebt, wacht u enkele minuten totdat de connector verbinding heeft gemaakt met de database.

8. De toepassingsverbinding configureren in Azure Portal

  1. Ga terug naar het browservenster waarin u de inrichting van de toepassing configureerde.

    Notitie

    Als er een time-out voor het venster is opgetreden, moet u de agent opnieuw selecteren.

    1. Meld u aan bij het Azure-portaal.
    2. Ga naar Ondernemingstoepassingen en de toepassing On-premises ECMA-app.
    3. Selecteer inrichten.
    4. Als Aan de slag wordt weergegeven, wijzigt u de modus in Automatisch in de sectie On-Premises Verbinding maken iviteit, selecteert u de agent die u hebt geïmplementeerd en selecteert u Agent(en) toewijzen. Ga anders naar Inrichting bewerken.

  2. Voer in de sectie Beheerdersreferenties de volgende URL in. Vervang het {connectorName} gedeelte door de naam van de connector op de ECMA-connectorhost, zoals SQL. De naam van de connector is hoofdlettergevoelig en moet hetzelfde hoofdlettergebruik hebben als is geconfigureerd in de wizard. U kunt ook vervangen door localhost de hostnaam van uw computer.

    Eigenschappen Weergegeven als
    Tenant-URL https://localhost:8585/ecma2host_{connectorName}/scim

  3. Voer de waarde voor Geheim token in die u hebt gedefinieerd toen u de connector maakte.

    Notitie

    Als u de agent zojuist aan de toepassing hebt toegewezen, wacht u tien minuten totdat de registratie is voltooid. De connectiviteitstest werkt pas als de registratie is voltooid. Door de registratie van de agent af te dwingen door de inrichtingsagent op uw server opnieuw op te starten, kan het registratieproces worden versneld. Ga naar uw server, zoek naar services in de Zoekbalk van Windows, identificeer de Microsoft Entra Verbinding maken Provisioning Agent Service, klik met de rechtermuisknop op de service en start opnieuw.

  4. Selecteer Verbinding testen en wacht één minuut.

    Schermopname van het toewijzen van een agent.

  5. Nadat de verbindingstest is geslaagd en wordt aangegeven dat de opgegeven referenties zijn gemachtigd om inrichting in te schakelen, selecteert u Opslaan.

    Schermopname van het testen van een agent.

9. Kenmerktoewijzingen configureren

U moet nu kenmerken toewijzen tussen de weergave van de gebruiker in Microsoft Entra-id en de weergave van een gebruiker in de SQL-database van de on-premises toepassing.

U gebruikt Azure Portal om de toewijzing te configureren tussen de kenmerken van de Microsoft Entra-gebruiker en de kenmerken die u eerder hebt geselecteerd in de wizard ECMA-hostconfiguratie.

  1. Zorg ervoor dat het Microsoft Entra-schema de kenmerken bevat die vereist zijn voor de database. Als voor de database gebruikers een kenmerk moeten hebben, zoals uidNumberen dat kenmerk nog geen deel uitmaakt van uw Microsoft Entra-schema voor een gebruiker, moet u de functie directory-extensie gebruiken om dat kenmerk toe te voegen als een extensie.

  2. Selecteer in het Microsoft Entra-beheercentrum onder Bedrijfstoepassingen de toepassing on-premises ECMA-app en vervolgens de pagina Inrichten .

  3. Selecteer Inrichting bewerken en wacht 10 seconden.

  4. Vouw toewijzingen uit en selecteer de toewijzing van Microsoft Entra-id-gebruikers inrichten. Als dit de eerste keer is dat u de kenmerktoewijzingen voor deze toepassing hebt geconfigureerd, is dit de enige toewijzing die aanwezig is voor een tijdelijke aanduiding.

    Schermopname van het inrichten van een gebruiker.

  5. Als u wilt controleren of het schema van de database beschikbaar is in Microsoft Entra ID, schakelt u het selectievakje Geavanceerde opties weergeven in en selecteert u De lijst Kenmerken bewerken voor ScimOnPremises. Zorg ervoor dat alle kenmerken die in de configuratiewizard zijn geselecteerd, worden vermeld. Zo niet, wacht u enkele minuten totdat het schema is vernieuwd en laadt u de pagina opnieuw. Wanneer u de kenmerken ziet die worden vermeld, sluit u de pagina om terug te keren naar de lijst met toewijzingen.

  6. Klik nu op de tijdelijke aanduiding userPrincipalName . Deze toewijzing wordt standaard toegevoegd wanneer u voor het eerst on-premises inrichting configureert.

Schermopname van tijdelijke aanduiding. Wijzig de waarden van het kenmerk zodat deze overeenkomen met het volgende:

Toewijzingstype Bronkenmerk Doelkenmerk
Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin

Schermopname van het wijzigen van de waarde.

  1. Selecteer Nu Nieuwe toewijzing toevoegen en herhaal de volgende stap voor elke toewijzing.

    Schermopname van Nieuwe toewijzing toevoegen.

  2. Geef de bron- en doelkenmerken op voor elk van de toewijzingen in de volgende tabel.

    Schermopname van het opslaan van de toewijzingen.

    Toewijzingstype Bronkenmerk Doelkenmerk
    Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin
    Direct objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureID
    Direct e-mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Direct givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:FirstName
    Direct surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:LastName
    Direct mailNickname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:textID

  3. Selecteer Opslaan nadat alle toewijzingen zijn toegevoegd.

10. Gebruikers toewijzen aan een toepassing

Nu u de Microsoft Entra ECMA Verbinding maken or Host hebt die met Microsoft Entra-id praat en de kenmerktoewijzing is geconfigureerd, kunt u verder gaan met het configureren van wie het bereik voor inrichting heeft.

Belangrijk

Als u bent aangemeld met de rol Hybrid Identity Beheer istrator, moet u zich afmelden en aanmelden met een account met ten minste de rol Toepassings-Beheer istrator voor deze sectie. De rol Hybrid Identity Beheer istrator heeft geen machtigingen om gebruikers toe te wijzen aan toepassingen.

Als er bestaande gebruikers in de SQL-database zijn, moet u toepassingsroltoewijzingen maken voor die bestaande gebruikers. Zie voor meer informatie over het bulksgewijs maken van toepassingsroltoewijzingen voor bestaande gebruikers van een toepassing in Microsoft Entra ID.

Als er geen huidige gebruikers van de toepassing zijn, selecteert u een testgebruiker van Microsoft Entra die wordt ingericht voor de toepassing.

  1. Zorg ervoor dat de gebruiker alle eigenschappen heeft die worden toegewezen aan de vereiste kenmerken van het databaseschema.

  2. Selecteer Ondernemingstoepassingen in de Azure-portal.

  3. Selecteer de toepassing On-premises ECMA-app.

  4. Selecteer aan de linkerkant onder Beheren de optie Gebruikers en groepen.

  5. Selecteer Gebruiker/groep toevoegen.

    Schermopname van het toevoegen van een nieuwe gebruiker.

  6. Selecteer Geen geselecteerd onder Gebruikers.

    Schermopname van Geen geselecteerd.

  7. Selecteer gebruikers aan de rechterkant en selecteer de knop Selecteren .

    Schermopname van Gebruikers selecteren.

  8. Selecteer nu Toewijzen.

    Schermopname van Gebruikers toewijzen.

11. Inrichting testen

Nu uw kenmerken en gebruikers zijn toegewezen, kunt u inrichting op aanvraag testen met een van uw gebruikers.

  1. Selecteer Ondernemingstoepassingen in de Azure-portal.

  2. Selecteer de toepassing On-premises ECMA-app.

  3. Selecteer aan de linkerkant Inrichting.

  4. Selecteer Op aanvraag inrichten.

  5. Zoek een van uw testgebruikers en selecteer Inrichten.

    Schermopname van testinrichting.

  6. Na enkele seconden wordt het bericht De gebruiker is gemaakt in het doelsysteem weergegeven, samen met een lijst met de gebruikerskenmerken.

12. Beginnen met het inrichten van gebruikers

  1. Nadat het inrichten op aanvraag is voltooid, gaat u terug naar de configuratiepagina van het inrichten. Zorg dat het bereik is ingesteld op alleen toegewezen gebruikers en groepen, schakel inrichting in en selecteer Opslaan.

    Schermopname van Inrichten starten.

  2. Wacht enkele minuten totdat het inrichten is gestart. Dit kan maximaal 40 minuten duren. Nadat de inrichtingstaak is voltooid, zoals beschreven in de volgende sectie, kunt u de inrichtingsstatus wijzigen in Uit als u klaar bent met testen en Opslaan selecteren. Met deze actie wordt de inrichtingsservice niet meer uitgevoerd in de toekomst.

Problemen met het inrichten oplossen

Als er een fout wordt weergegeven, selecteert u Inrichtingslogboeken weergeven. Zoek in het logboek naar een rij waarin de status mislukt is en selecteer deze rij.

Als het foutbericht Kan gebruiker niet maken, controleer dan de kenmerken die worden weergegeven tegenover de vereisten van het databaseschema.

Ga naar het tabblad Probleemoplossing en Aanbevelingen voor meer informatie. Als het ODBC-stuurprogramma een bericht heeft geretourneerd, kan dit hier worden weergegeven. Het bericht ERROR [23000] [Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert the value NULL into column 'FirstName', table 'CONTOSO.dbo.Employees'; column does not allow nulls. is bijvoorbeeld een fout van het ODBC-stuurprogramma. In dit geval kan het column does not allow nulls erop wijzen dat de FirstName kolom in de database verplicht is, maar dat de gebruiker die wordt ingericht geen kenmerk heeft givenName , zodat de gebruiker niet kon worden ingericht.

Controleer of de gebruikers zijn ingericht

Controleer de SQL-database nadat u hebt gewacht om zeker te zijn dat gebruikers worden ingericht.

Schermopname van controleren dat gebruikers worden ingericht.

Bijlage A

Als u SQL Server gebruikt, kunt u het volgende SQL-script gebruiken om de voorbeelddatabase te maken.

---Creating the Database---------
Create Database CONTOSO
Go
-------Using the Database-----------
Use [CONTOSO]
Go
-------------------------------------

/****** Object:  Table [dbo].[Employees]    Script Date: 1/6/2020 7:18:19 PM ******/
SET ANSI_NULLS ON
GO

SET QUOTED_IDENTIFIER ON
GO

CREATE TABLE [dbo].[Employees](
	[ContosoLogin] [nvarchar](128) NULL,
	[FirstName] [nvarchar](50) NOT NULL,
	[LastName] [nvarchar](50) NOT NULL,
	[Email] [nvarchar](128) NULL,
	[InternalGUID] [uniqueidentifier] NULL,
	[AzureID] [uniqueidentifier] NULL,
	[textID] [nvarchar](128) NULL
) ON [PRIMARY]
GO

ALTER TABLE [dbo].[Employees] ADD  CONSTRAINT [DF_Employees_InternalGUID]  DEFAULT (newid()) FOR [InternalGUID]
GO

Volgende stappen