Microsoft Entra-id configureren om gebruikers in te richten in een LDAP-directory voor Linux-verificatie

De volgende documentatie is een zelfstudie die laat zien hoe u de toegang tot een Linux-systeem kunt beheren. Dit wordt geïmplementeerd door Microsoft Entra waarmee gebruikers worden ingericht in een on-premises LDAP-adreslijst die wordt vertrouwd door dat Linux-systeem, zodat deze gebruikers zich vervolgens kunnen aanmelden bij een Linux-systeem dat afhankelijk is van die LDAP-adreslijst voor gebruikersverificatie. En wanneer een gebruiker wordt verwijderd uit Microsoft Entra ID, kunnen ze zich vervolgens niet meer aanmelden bij een Linux-systeem.

Notitie

Het scenario dat in dit artikel wordt beschreven, is alleen van toepassing op bestaande Linux-systemen die al afhankelijk zijn van een NSS-module (Name Services Switch) of PAM (Pluggable Authentication Modules) voor gebruikersidentificatie en -verificatie. Linux-VM's in Azure of waarvoor Azure Arc is ingeschakeld, moeten in plaats daarvan worden geïntegreerd met Microsoft Entra-verificatie. U kunt nu Microsoft Entra ID gebruiken als een basisverificatieplatform en een certificeringsinstantie voor SSH in een Linux-VM met behulp van Microsoft Entra ID en OpenSSH-verificatie op basis van certificaten, zoals beschreven in Aanmelden bij een virtuele Linux-machine in Azure met behulp van Microsoft Entra ID en OpenSSH.

Zie Microsoft Entra-id configureren voor het inrichten van gebruikers in LDAP-directory's, behalve voor Linux-verificatie, voor andere scenario's met betrekking tot het inrichten van gebruikers in LDAP-mappen.

Vereisten voor het inrichten van gebruikers in een LDAP-directory voor Linux-verificatie

In dit artikel wordt ervan uitgegaan dat de LDAP-server al aanwezig is in de on-premises omgeving, die wordt gebruikt door een of meer Linux- of andere POSIX-systemen voor gebruikersverificatie.

Vereisten voor on-premises

• Een Linux- of andere POSIX-server die reageert op een adreslijstserver met behulp van een PAM- of NSS-module.
• Een LDAP-adreslijstserver die ondersteuning biedt voor het POSIX-schema, zoals OpenLDAP, waarin gebruikers kunnen worden gemaakt, bijgewerkt en verwijderd. Zie de algemene LDAP-connectorreferentie voor meer informatie over ondersteunde adreslijstservers.
• Een computer met ten minste 3 GB RAM om een inrichtingsagent te hosten. De computer moet Windows Server 2016 of een latere versie van Windows Server hebben, met connectiviteit met de doelmapserver en met uitgaande connectiviteit met login.microsoftonline.com, andere Microsoft Online Services en Azure-domeinen . Een voorbeeld is een Windows Server 2016-VM die wordt gehost in Azure IaaS of achter een proxy. .NET Framework 4.7.2 moet op die server worden geïnstalleerd.
• Optioneel: hoewel dit niet vereist is, is het raadzaam om Microsoft Edge voor Windows Server te downloaden en deze in plaats van Internet Explorer te gebruiken.

Cloudvereisten

• Een Microsoft Entra-tenant met Microsoft Entra ID P1 of Premium P2 (of EMS E3 of E5).

  Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

• De rol Hybrid Identity Administrator voor het configureren van de inrichtingsagent.

• De rollen Toepassingsbeheerder of Cloudtoepassingsbeheerder voor het configureren van inrichting in Azure Portal of het Microsoft Entra-beheercentrum.

• De Microsoft Entra-gebruikers die moeten worden ingericht voor de LDAP-directory, moeten al worden ingevuld met de kenmerken die vereist zijn voor het directoryserverschema en die specifiek zijn voor elke gebruiker. In het bijzonder moet elke gebruiker een uniek nummer hebben als hun gebruikers-id-nummer. Voordat u de inrichtingsagent implementeert en gebruikers toewijst aan de directory, moet u dat nummer genereren op basis van een bestaand kenmerk voor de gebruiker, of het Microsoft Entra-schema uitbreiden en dat kenmerk vullen voor de gebruikers binnen het bereik. Zie Graph-uitbreidbaarheid voor het maken van extra directory-extensies.

Meer aanbevelingen en beperkingen

Hieronder volgen meer aanbevelingen en beperkingen.

• Het wordt niet aanbevolen om dezelfde agent te gebruiken voor cloudsynchronisatie en het inrichten van on-premises apps. Microsoft raadt aan een afzonderlijke agent te gebruiken voor cloudsynchronisatie en het inrichten van on-premises apps.
• Voor AD LDS kunnen gebruikers momenteel niet worden ingericht met wachtwoorden. U moet dus het wachtwoordbeleid voor AD LDS uitschakelen of de gebruikers in een uitgeschakelde status inrichten.
• Voor andere directoryservers kan een eerste willekeurig wachtwoord worden ingesteld, maar het is niet mogelijk om het wachtwoord van een Microsoft Entra-gebruiker in te richten op een adreslijstserver.
• Het inrichten van gebruikers van LDAP naar Microsoft Entra-id wordt niet ondersteund.
• Het inrichten van groepen en gebruikerslidmaatschappen voor een adreslijstserver wordt niet ondersteund.

Bepalen hoe de Microsoft Entra LDAP-connector communiceert met de adreslijstserver

Voordat u de connector implementeert op een bestaande adreslijstserver, moet u bespreken met de provider van de adreslijstserver in uw organisatie hoe u deze kunt integreren met hun adreslijstserver. De informatie die u verzamelt, bevat de netwerkinformatie over hoe u verbinding maakt met de adreslijstserver, hoe de connector zichzelf moet verifiëren bij de adreslijstserver, welk schema de directoryserver heeft geselecteerd om gebruikers te modelleren, de basisregels voor de naamgevingscontext en adreslijsthiërarchieregels, hoe u gebruikers in de adreslijstserver koppelt aan gebruikers in Microsoft Entra-id, en wat er moet gebeuren wanneer een gebruiker buiten het bereik komt in Microsoft Entra-id. Het implementeren van deze connector vereist mogelijk wijzigingen in de configuratie van de mapserver, evenals configuratiewijzigingen in Microsoft Entra-id. Voor implementaties met betrekking tot de integratie van Microsoft Entra ID met een directoryserver van derden in een productieomgeving raden we klanten aan om samen te werken met hun adreslijstserverleverancier of een implementatiepartner voor hulp, richtlijnen en ondersteuning voor deze integratie. In dit artikel worden de volgende voorbeeldwaarden voor OpenLDAP gebruikt.

Configuratie-instelling	Waar de waarde is ingesteld	Voorbeeldwaarde
hostnaam van de directoryserver	Pagina Connectiviteit van configuratiewizard	APP3
poortnummer van de adreslijstserver	Pagina Connectiviteit van configuratiewizard	636. Voor LDAP via SSL of TLS (LDAPS) gebruikt u poort 636. Gebruik poort 389 voor Start TLS.
account voor de connector om zichzelf te identificeren bij de mapserver	Pagina Connectiviteit van configuratiewizard	cn=admin,dc=contoso,dc=lab
wachtwoord voor de connector om zichzelf te verifiëren bij de adreslijstserver	Pagina Connectiviteit van configuratiewizard
structurele objectklasse voor een gebruiker in de mapserver	Pagina Objecttypen van configuratiewizard	inetOrgPerson
hulpobjectklassen voor een gebruiker op de directoryserver	Kenmerktoewijzingen voor paginakenmerken in Azure Portal inrichten	posixAccount enshadowAccount
kenmerken die moeten worden ingevuld voor een nieuwe gebruiker	Configuratiewizard Paginakenmerken en kenmerktoewijzingen inrichten in Azure Portal selecteren	cn, , homeDirectorygidNumber, mail, , objectClass, sn, uidNumberuiduserPassword
Naamgevingshiërarchie vereist voor de directoryserver	Kenmerktoewijzingen voor paginakenmerken in Azure Portal inrichten	De DN van een zojuist gemaakte gebruiker instellen op direct hieronder DC=Contoso,DC=lab
kenmerken voor het correleren van gebruikers in Microsoft Entra ID en de adreslijstserver	Kenmerktoewijzingen voor paginakenmerken in Azure Portal inrichten	mail
inrichtingsgedrag ongedaan maken wanneer een gebruiker buiten het bereik komt in Microsoft Entra-id	De inrichtingspagina van de configuratiewizard ongedaan maken	De gebruiker verwijderen van de mapserver

Het netwerkadres van een adreslijstserver is een hostnaam en een TCP-poortnummer, meestal poort 389 of 636. Behalve wanneer de adreslijstserver zich samen met de connector op dezelfde Windows Server bevindt, of als u beveiliging op netwerkniveau gebruikt, moeten de netwerkverbindingen van de connector naar een adreslijstserver worden beveiligd met SSL of TLS. De connector ondersteunt het maken van verbinding met een adreslijstserver op poort 389 en het gebruik van TLS starten om TLS in te schakelen binnen de sessie. De connector biedt ook ondersteuning voor het maken van verbinding met een adreslijstserver op poort 636 voor LDAPS - LDAP via TLS.

U moet een geïdentificeerd account voor de connector hebben om te verifiëren bij de adreslijstserver die al is geconfigureerd op de adreslijstserver. Dit account wordt meestal aangeduid met een DN-naam en heeft een gekoppeld wachtwoord of clientcertificaat. Als u import- en exportbewerkingen wilt uitvoeren op de objecten in de verbonden map, moet het connectoraccount over voldoende machtigingen beschikken binnen het toegangsbeheermodel van de map. De connector moet schrijfmachtigingen hebben om te kunnen exporteren en leesmachtigingen om te kunnen importeren. De machtigingsconfiguratie wordt uitgevoerd binnen de beheerervaringen van de doelmap zelf.

Een mapschema geeft de objectklassen en kenmerken op die een echte entiteit in de map vertegenwoordigen. De connector ondersteunt een gebruiker die wordt weergegeven met een structurele objectklasse, zoals inetOrgPerson, en optioneel aanvullende hulpobjectklassen. Om ervoor te zorgen dat de connector gebruikers in de directoryserver kan inrichten, definieert u tijdens de configuratie in Azure Portal toewijzingen van het Microsoft Entra-schema aan alle verplichte kenmerken. Dit omvat de verplichte kenmerken van de structurele objectklasse, eventuele superklassen van die structurele objectklasse en de verplichte kenmerken van eventuele hulpobjectklassen. Daarnaast configureert u waarschijnlijk ook toewijzingen aan enkele van de optionele kenmerken van deze klassen. Voor een OpenLDAP-directoryserver met het POSIX-schema ter ondersteuning van Linux-verificatie is mogelijk een object vereist dat een nieuwe gebruiker kenmerken heeft, zoals in het volgende voorbeeld.

dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password

De regels voor de adreslijsthiërarchie die door een directoryserver zijn geïmplementeerd, beschrijven hoe de objecten voor elke gebruiker zich met elkaar en met bestaande objecten in de map verhouden. In de meeste implementaties heeft de organisatie ervoor gekozen om een platte hiërarchie in hun adreslijstserver te hebben, waarin elk object voor een gebruiker zich direct onder een gemeenschappelijk basisobject bevindt. Als de DN-basisnaam voor de naamgevingscontext in een adreslijstserver bijvoorbeeld is dc=contoso,dc=com , zou een nieuwe gebruiker een DN-naam hebben, zoals cn=alice,dc=contoso,dc=com. Sommige organisaties hebben echter mogelijk een complexere adreslijsthiërarchie. In dat geval moet u de regels implementeren bij het opgeven van de DN-naamtoewijzing voor de connector. Een adreslijstserver kan bijvoorbeeld verwachten dat gebruikers zich in organisatie-eenheden per afdeling bevinden, zodat een nieuwe gebruiker een DN-naam heeft, zoals cn=alice,ou=London,dc=contoso,dc=com. Omdat de connector geen tussenliggende objecten voor organisatie-eenheden maakt, moeten tussenliggende objecten die de hiërarchie van de adreslijstserverregel verwacht, al aanwezig zijn op de adreslijstserver.

Vervolgens moet u de regels definiëren voor de wijze waarop de connector moet bepalen of er al een gebruiker in de adreslijstserver is die overeenkomt met een Microsoft Entra-gebruiker. Elke LDAP-directory heeft een DN-naam die uniek is voor elk object in de adreslijstserver, maar die DN-naam is vaak niet aanwezig voor gebruikers in Microsoft Entra ID. In plaats daarvan kan een organisatie een ander kenmerk hebben, zoals mail of employeeId, in hun directoryserverschema dat ook aanwezig is op hun gebruikers in Microsoft Entra-id. Wanneer de connector vervolgens een nieuwe gebruiker inricht in een adreslijstserver, kan de connector zoeken of er al een gebruiker in die map is die een specifieke waarde van dat kenmerk heeft en alleen een nieuwe gebruiker op de adreslijstserver maakt als deze niet aanwezig is.

Als uw scenario betrekking heeft op het maken van nieuwe gebruikers in de LDAP-adreslijst, niet alleen het bijwerken of verwijderen van bestaande gebruikers, moet u ook bepalen hoe de Linux-systemen die gebruikmaken van die adreslijstserver verificatie afhandelt. Sommige systemen kunnen een query uitvoeren op de openbare SSH-sleutel of het certificaat van een gebruiker vanuit de map, wat mogelijk geschikt is voor de gebruikers die al referenties van deze formulieren bevatten. Als uw toepassing die afhankelijk is van de adreslijstserver echter geen ondersteuning biedt voor moderne verificatieprotocollen of sterkere referenties, moet u een toepassingsspecifiek wachtwoord instellen bij het maken van een nieuwe gebruiker in de directory, omdat Microsoft Entra-id het inrichten van het Microsoft Entra-wachtwoord van een gebruiker niet ondersteunt.

Ten slotte moet u akkoord gaan met het gedrag van het ongedaan maken van de inrichting. Wanneer de connector is geconfigureerd en Microsoft Entra ID een koppeling tot stand heeft gebracht tussen een gebruiker in Microsoft Entra ID en een gebruiker in de directory, voor een gebruiker die al in de directory of een nieuwe gebruiker staat, kan Microsoft Entra ID kenmerkwijzigingen van de Microsoft Entra-gebruiker inrichten in de directory. Als een gebruiker die aan de toepassing is toegewezen, wordt verwijderd in Microsoft Entra ID, stuurt Microsoft Entra ID een verwijderbewerking naar de mapserver. Mogelijk wilt u ook dat microsoft Entra ID het object op de directoryserver bijwerkt wanneer een gebruiker buiten het bereik van het gebruik van de toepassing valt. Dit gedrag is afhankelijk van de toepassing die gebruikmaakt van de directoryserver, omdat veel mappen, zoals OpenLDAP, mogelijk geen standaardwijze hebben om aan te geven dat het account van een gebruiker is geïnactiveerd.

De Microsoft Entra Connect-inrichtingsagent installeren en configureren

1. Meld u aan bij het Azure-portaal.
2. Ga naar Bedrijfstoepassingen en selecteer Nieuwe toepassing.
3. Zoek de on-premises ECMA-app-toepassing , geef de app een naam en selecteer Maken om deze toe te voegen aan uw tenant.
4. Navigeer in het menu naar de pagina Inrichten van uw toepassing.
5. Selecteer Aan de slag.
6. Wijzig op de pagina Inrichting de modus in Automatisch.

7. Selecteer onder On-premises Connectiviteit de optie Downloaden en installeren en selecteer Voorwaarden accepteren en downloaden.

8. Laat de portal staan en voer het installatieprogramma van de inrichtingsagent uit, ga akkoord met de servicevoorwaarden en selecteer Installeren.
9. Wacht op de configuratiewizard van de Microsoft Entra-inrichtingsagent en selecteer vervolgens Volgende.
10. Selecteer in de stap Extensie selecteren de optie On-premises toepassing inrichten en selecteer vervolgens Volgende.
11. De inrichtingsagent gebruikt de webbrowser van het besturingssysteem om een pop-upvenster weer te geven waarmee u zich kunt verifiëren bij Microsoft Entra-id en mogelijk ook de id-provider van uw organisatie. Als u Internet Explorer als browser op Windows Server gebruikt, moet u mogelijk Microsoft-websites toevoegen aan de lijst met vertrouwde sites van uw browser om JavaScript correct te laten worden uitgevoerd.
12. Geef referenties op voor een Microsoft Entra-beheerder wanneer u wordt gevraagd om toestemming te geven. De gebruiker moet ten minste de rol Hybrid Identity Administrator hebben.
13. Selecteer Bevestigen om de instelling te bevestigen. Zodra de installatie is voltooid, kunt u Afsluiten selecteren en ook het installatieprogramma voor het inrichtingsagentpakket sluiten.

De on-premises ECMA-app configureren

1. In de portal selecteert u in de sectie On-Premises Connectiviteit de agent die u hebt geïmplementeerd en selecteert u Agent(en) toewijzen.

   

2. Houd dit browservenster geopend terwijl u de volgende stap van de configuratie voltooit met behulp van de configuratiewizard.

Het Microsoft Entra ECMA Connector Host-certificaat configureren

1. Klik op de Windows Server waarop de inrichtingsagent is geïnstalleerd, met de rechtermuisknop op de wizard Microsoft ECMA2Host-configuratie in het startmenu en voer deze uit als beheerder. Als Windows-beheerder moet de wizard de benodigde Windows-gebeurtenislogboeken maken.
2. Nadat de configuratie van de ECMA-connectorhost is gestart, wordt u gevraagd een certificaat te maken wanneer het de eerste keer is dat u de wizard uitvoert. Laat de standaardpoort 8585 staan en selecteer Certificaat genereren om een certificaat te genereren. Het automatisch gegenereerde certificaat wordt zelfondertekend als onderdeel van de vertrouwde basis. Het SAN komt overeen met de hostnaam.
3. Selecteer Opslaan.

Notitie

Als u ervoor hebt gekozen om een nieuw certificaat te genereren, moet u de vervaldatum van het certificaat vastleggen om ervoor te zorgen dat u wilt terugkeren naar de configuratiewizard en het certificaat opnieuw genereert voordat het verloopt.

De algemene LDAP-connector configureren

Afhankelijk van de opties die u selecteert, zijn sommige wizardschermen mogelijk niet beschikbaar en is de informatie mogelijk iets anders. Gebruik de volgende informatie om u te helpen bij uw configuratie.

1. Genereer een geheim token dat wordt gebruikt voor het verifiëren van Microsoft Entra-id voor de connector. Het moet minimaal 12 tekens en uniek zijn voor elke toepassing. Als u nog geen geheime generator hebt, kunt u een PowerShell-opdracht zoals hieronder gebruiken om een voorbeeld van een willekeurige tekenreeks te genereren.

   -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
   

2. Als u dit nog niet hebt gedaan, start u de wizard Microsoft ECMA2Host-configuratie vanuit het startmenu.

3. Selecteer Nieuwe connector.
   

4. Vul op de pagina Eigenschappen de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende.

   Eigenschappen	Waarde
   Naam	De naam die u hebt gekozen voor de connector, die uniek moet zijn voor alle connectors in uw omgeving. Bijvoorbeeld: LDAP.
   Timer voor automatische synchronisatie (minuten)	120
   Token voor geheim	Voer hier uw geheime token in. Deze moet minimaal 12 tekens bevatten.
   Extensie-DLL	Selecteer Microsoft.IAM.Connector.GenericLdap.dll voor de algemene LDAP-connector.

5. Op de pagina Connectiviteit configureert u hoe de ECMA Connector Host communiceert met de adreslijstserver en stelt u enkele configuratieopties in. Vul de vakken in met de waarden die worden vermeld in de tabel die op de afbeelding volgt, en selecteer Volgende. Wanneer u Volgende selecteert, voert de connector een query uit op de mapserver voor de configuratie.
   

   Eigenschappen	Beschrijving
   Host	De hostnaam waar de LDAP-server zich bevindt. In dit voorbeeld wordt APP3 als voorbeeldhostnaam gebruikt.
   Poort	Het TCP-poortnummer. Als de adreslijstserver is geconfigureerd voor LDAP via SSL, gebruikt u poort 636. Gebruik Start TLSpoort 389 voor of als u beveiliging op netwerkniveau gebruikt.
   Time-out van de verbinding	180
   Binding	Met deze eigenschap geeft u op hoe de connector wordt geverifieerd bij de adreslijstserver. Met de Basic instelling of met de SSL instelling TLS en geen clientcertificaat geconfigureerd, verzendt de connector een eenvoudige LDAP-binding om te verifiëren met een DN-naam en een wachtwoord. Met de of TLS instelling SSL en een clientcertificaat opgegeven, verzendt de connector een LDAP SASL-binding EXTERNAL om te verifiëren met een clientcertificaat.
   Gebruikersnaam	Hoe de ECMA-connector zichzelf verifieert bij de adreslijstserver. In dit voorbeeld: cn=admin,dc=contoso,dc=lab
   Wachtwoord	Het wachtwoord van de gebruiker die door de ECMA-connector wordt geverifieerd bij de adreslijstserver.
   Realm/domein	Deze instelling is alleen vereist als u de optie Binding hebt geselecteerd Kerberos om het realm/domein van de gebruiker op te geven.
   Certificaat	De instellingen in deze sectie worden alleen gebruikt als u de optie Binding hebt geselecteerd SSL of TLS als bindingsoptie.
   Kenmerkaliassen	Het tekstvak kenmerkaliassen wordt gebruikt voor kenmerken die in het schema zijn gedefinieerd met RFC4522 syntaxis. Deze kenmerken kunnen niet worden gedetecteerd tijdens de schemadetectie en de connector heeft hulp nodig bij het identificeren van deze kenmerken. Als de adreslijstserver bijvoorbeeld niet publiceert userCertificate;binary en u dat kenmerk wilt inrichten, moet de volgende tekenreeks worden ingevoerd in het vak kenmerkaliassen om het kenmerk userCertificate correct te identificeren als een binair kenmerk: userCertificate;binary Als u geen speciale kenmerken in het schema nodig hebt, kunt u dit leeg laten.
   Operationele kenmerken opnemen	Schakel het Include operational attributes in schema selectievakje in om ook kenmerken op te nemen die door de mapserver zijn gemaakt. Dit zijn onder andere kenmerken, zoals wanneer het object is gemaakt en de laatste updatetijd.
   Uitbreidbare kenmerken opnemen	Schakel het Include extensible attributes in schema selectievakje in als uitbreidbare objecten (RFC4512/4.3) worden gebruikt in de mapserver. Als u deze optie inschakelt, kan elk kenmerk worden gebruikt voor alle objecten. Als u deze optie selecteert, is het schema erg groot, dus tenzij de verbonden map deze functie gebruikt, is het raadzaam om de optie niet geselecteerd te houden.
   Handmatige ankerselectie toestaan	Schakel dit selectievakje niet in.

   Notitie

   Als u een probleem ondervindt bij het maken van verbinding en u kunt niet doorgaan naar de pagina Algemeen , controleert u of het serviceaccount op de adreslijstserver is ingeschakeld.

6. Op de pagina Algemeen configureert u indien nodig de DN-naam van het deltawijzigingslogboek en aanvullende LDAP-functies. De pagina wordt vooraf ingevuld met de informatie van de LDAP-server. Controleer de weergegeven waarden en selecteer vervolgens Volgende.

   Eigenschappen	Beschrijving
   Ondersteunde SASL-mechanismen	In de bovenste sectie ziet u informatie van de server zelf, inclusief de lijst met SASL-mechanismen.
   Servercertificaatdetails	Als SSL of TLS is opgegeven, geeft de wizard het certificaat weer dat door de directoryserver wordt geretourneerd. Controleer of de verlener, het onderwerp en de vingerafdruk voor de juiste adreslijstserver zijn.
   Verplichte functies gevonden	De connector controleert ook of de verplichte besturingselementen aanwezig zijn in de basis-DSE. Als deze besturingselementen niet worden weergegeven, wordt er een waarschuwing weergegeven. Sommige LDAP-directory's vermelden niet alle functies in de basis-DSE en het is mogelijk dat de connector zonder problemen werkt, zelfs als er een waarschuwing aanwezig is.
   Ondersteunde besturingselementen	De ondersteunde besturingselementen bepalen het gedrag voor bepaalde bewerkingen
   Delta-Import	De DN van het wijzigingslogboek is de naamgevingscontext die wordt gebruikt door het deltawijzigingslogboek, bijvoorbeeld cn=changelog. Deze waarde moet worden opgegeven om deltaimport uit te voeren. Als u geen deltaimport hoeft te implementeren, kan dit veld leeg zijn.
   Wachtwoordkenmerk	Als de adreslijstserver een ander wachtwoordkenmerk of wachtwoord-hashing ondersteunt, kunt u de bestemming voor wachtwoordwijzigingen opgeven.
   Partitienamen	In de lijst met extra partities is het mogelijk om extra naamruimten toe te voegen die niet automatisch worden gedetecteerd. Deze instelling kan bijvoorbeeld worden gebruikt als meerdere servers een logisch cluster vormen, dat allemaal tegelijkertijd moet worden geïmporteerd. Net zoals Active Directory meerdere domeinen in één forest kan hebben, maar alle domeinen één schema delen, kan hetzelfde worden gesimuleerd door de extra naamruimten in dit vak in te voeren. Elke naamruimte kan worden geïmporteerd van verschillende servers en wordt verder geconfigureerd op de pagina Partities en hiërarchieën configureren.

7. Op de pagina Partities behoudt u de standaardinstelling en selecteert u Volgende.

8. Controleer op de pagina Profielen uitvoeren of het selectievakje Exporteren en het selectievakje Volledig importeren beide zijn ingeschakeld. Selecteer Volgende.
   

   Eigenschappen	Beschrijving
   Export	Voer een profiel uit waarmee gegevens worden geëxporteerd naar de LDAP-adreslijstserver. Dit uitvoeringsprofiel is vereist.
   Volledige import	Uitvoeringsprofiel waarmee alle gegevens uit eerder opgegeven LDAP-bronnen worden geïmporteerd. Dit uitvoeringsprofiel is vereist.
   Delta-import	Voer een profiel uit dat alleen wijzigingen uit LDAP importeert sinds de laatste volledige import of delta-import. Schakel dit uitvoeringsprofiel alleen in als u hebt bevestigd dat de adreslijstserver voldoet aan de vereiste vereisten. Zie de naslaginformatie over de algemene LDAP-connector voor meer informatie.

9. Laat op de pagina Exporteren de standaardwaarden ongewijzigd en klik op Volgende.

10. Laat op de pagina Volledig importeren de standaardwaarden ongewijzigd en klik op Volgende.

11. Laat op de deltaimportpagina , indien aanwezig, de standaardwaarden ongewijzigd en klik op Volgende.

12. Vul op de pagina Objecttypen de vakken in en selecteer Volgende.

    Eigenschappen	Beschrijving
    Doelobject	Deze waarde is de structurele objectklasse van een gebruiker in de LDAP-adreslijstserver. Gebruik inetOrgPersonen geef geen hulpobjectklasse op in dit veld. Als voor de directoryserver hulpobjectklassen zijn vereist, worden deze geconfigureerd met de kenmerktoewijzingen in Azure Portal.
    Anker	De waarden van dit kenmerk moeten uniek zijn voor elk object in de doelmap. De Microsoft Entra-inrichtingsservice voert na de eerste cyclus een query uit op de ECMA-connectorhost met behulp van dit kenmerk. Gebruik doorgaans de DN-naam, die kan worden geselecteerd als -dn-. Kenmerken met meerdere waarden, zoals het uid kenmerk in het OpenLDAP-schema, kunnen niet worden gebruikt als ankers.
    Querykenmerk	Dit kenmerk moet hetzelfde zijn als het anker.
    DN	De distinguishedName van het doelobject. Houd -dn-.
    Automatisch gegenereerd	niet ingeschakeld

13. De ECMA-host detecteert de kenmerken die worden ondersteund door de doeldirectory. U kunt kiezen welke van deze kenmerken u beschikbaar wilt maken voor Microsoft Entra-id. Deze kenmerken kunnen vervolgens worden geconfigureerd in de Azure-portal voor inrichting. Voeg op de pagina Kenmerken selecteren alle kenmerken toe in de vervolgkeuzelijst, één voor één, die vereist zijn als verplichte kenmerken of die u wilt inrichten vanuit Microsoft Entra-id.
    In de vervolgkeuzelijst Kenmerk wordt een kenmerk weergegeven dat is gedetecteerd in de doelmap en niet is gekozen voor het vorige gebruik van de pagina Kenmerken van de configuratiewizard selecteren.

    Zorg ervoor dat Treat as single value het selectievakje is uitgeschakeld voor het objectClass kenmerk en of userPassword het is ingesteld, niet kan worden geselecteerd of gecontroleerd op het userPassword kenmerk.

    Zichtbaarheid configureren voor de volgende kenmerken.

    Kenmerk	Behandelen als één waarde
    _distinguishedName
    -dn-
    export_password
    cn	J
    gidNumber
    homeDirectory
    e-mail	J
    objectClass
    sn	J
    uid	J
    uidNumber
    userPassword	J

    Selecteer Volgende nadat alle relevante kenmerken zijn toegevoegd.

14. Op de pagina Ongedaan maken kunt u opgeven of u wilt dat microsoft Entra-id gebruikers uit de directory verwijdert wanneer ze buiten het bereik van de toepassing vallen. Als dat het zo is, selecteert u onder Stroom uitschakelen de optie Verwijderen en selecteert u Onder Stroom verwijderen de optie Verwijderen. Als Set attribute value u deze optie kiest, zijn de kenmerken die op de vorige pagina zijn geselecteerd, niet beschikbaar om de inrichtingspagina te selecteren.

Notitie

Als u de waarde van het kenmerk Instellen gebruikt, moet u er rekening mee houden dat alleen Booleaanse waarden zijn toegestaan.

15. Selecteer Voltooien.

Zorg ervoor dat de ECMA2Host-service wordt uitgevoerd en kan worden gelezen vanaf de adreslijstserver

Volg deze stappen om te bevestigen dat de connectorhost is gestart en eventuele bestaande gebruikers van de adreslijstserver heeft geïdentificeerd.

1. Selecteer Start op de server waarop de Microsoft Entra ECMA Connector Host wordt uitgevoerd.
2. Selecteer indien nodig uitvoeren en voer vervolgens services.msc in het vak in.
3. Zorg ervoor dat Microsoft ECMA2Host aanwezig is in de lijst Services en wordt uitgevoerd. Als deze niet wordt uitgevoerd, selecteert u Start.
4. Als u de service onlangs hebt gestart en veel gebruikersobjecten op de adreslijstserver hebt, wacht u enkele minuten totdat de connector verbinding heeft gemaakt met de adreslijstserver.
5. Start PowerShell op de server waarop de Microsoft Entra ECMA Connector Host wordt uitgevoerd.
6. Ga naar de map waarin de ECMA-host is geïnstalleerd, zoals C:\Program Files\Microsoft ECMA2Host.
7. Ga naar de submap Troubleshooting.
8. Voer het script TestECMA2HostConnection.ps1 in die map uit zoals hieronder wordt weergegeven en geef de naam van de connector en de ObjectTypePath waarde cacheop als argumenten. Als uw connectorhost niet luistert op TCP-poort 8585, moet u mogelijk ook het -Port argument opgeven. Wanneer u hierom wordt gevraagd, typt u het geheime token dat is geconfigureerd voor die connector.

   PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
   Supply values for the following parameters:
   SecretToken: ************
   

9. Als in het script een foutbericht of waarschuwingsbericht wordt weergegeven, controleert u of de service wordt uitgevoerd en of de naam en het geheime token van de connector overeenkomen met de waarden die u in de configuratiewizard hebt geconfigureerd.
10. Als het script de uitvoer Falseweergeeft, heeft de connector geen vermeldingen in de bronmapserver voor bestaande gebruikers gezien. Als dit een nieuwe installatie van de adreslijstserver is, wordt dit gedrag verwacht en kunt u doorgaan in de volgende sectie.
11. Als de mapserver echter al een of meer gebruikers bevat, maar het script wordt weergegeven False, geeft deze status aan dat de connector niet kan worden gelezen van de mapserver. Als u probeert in te richten, komt De Microsoft Entra-id mogelijk niet correct overeen met gebruikers in die bronmap met gebruikers in Microsoft Entra-id. Wacht enkele minuten totdat de connectorhost leesobjecten van de bestaande mapserver heeft voltooid en voer het script vervolgens opnieuw uit. Als de uitvoer blijft, Falsecontroleert u de configuratie van uw connector en de machtigingen op de directoryserver zodat de connector bestaande gebruikers kan lezen.

De verbinding van Microsoft Entra-id testen met de connectorhost

1. Ga terug naar het browservenster waarin u de inrichting van de toepassing in de portal hebt geconfigureerd.

   Notitie

   Als er een time-out voor het venster is opgetreden, moet u de agent opnieuw selecteren.

   1. Meld u aan bij het Azure-portaal.
   2. Ga naar Ondernemingstoepassingen en de toepassing On-premises ECMA-app.
   3. Klik op Inrichting.
   4. Als Aan de slag wordt weergegeven, wijzigt u de modus in Automatisch, selecteert u in de sectie On-premises connectiviteit de agent die u zojuist hebt geïmplementeerd, en selecteert u Agent(s) toewijzen. Wacht vervolgens tien minuten. Ga anders naar Inrichting bewerken.

2. Voer in de sectie Beheerdersreferenties de volgende URL in. Vervang het connectorName gedeelte door de naam van de connector op de ECMA-host, zoals LDAP. Als u een certificaat hebt opgegeven van uw certificeringsinstantie voor de ECMA-host, vervangt u localhost de hostnaam van de server waarop de ECMA-host is geïnstalleerd.

   Eigenschappen	Weergegeven als
   Tenant-URL	https://localhost:8585/ecma2host_connectorName/scim

3. Voer de waarde voor Geheim token in die u hebt gedefinieerd toen u de connector maakte.

   Notitie

   Als u de agent zojuist aan de toepassing hebt toegewezen, wacht u tien minuten totdat de registratie is voltooid. De connectiviteitstest werkt pas als de registratie is voltooid. Door de registratie van de agent af te dwingen door de inrichtingsagent op uw server opnieuw op te starten, kan het registratieproces worden versneld. Ga naar uw server, zoek naar services in de Windows-zoekbalk, identificeer de Service Microsoft Entra Connect Provisioning Agent , klik met de rechtermuisknop op de service en start opnieuw.

4. Selecteer Verbinding testen en wacht één minuut.

5. Nadat de verbindingstest is geslaagd en wordt aangegeven dat de opgegeven referenties zijn gemachtigd om inrichting in te schakelen, selecteert u Opslaan.
   

Het Microsoft Entra-schema uitbreiden

Als uw adreslijstserver aanvullende kenmerken vereist die geen deel uitmaken van het standaard Microsoft Entra-schema voor gebruikers, kunt u bij het inrichten configureren dat u waarden van deze kenmerken opgeeft van een constante, van een expressie die is getransformeerd vanuit andere Microsoft Entra-kenmerken of door het Microsoft Entra-schema uit te breiden.

Als de directoryserver vereist dat gebruikers een kenmerk hebben, zoals uidNumber voor het OpenLDAP POSIX-schema en dat kenmerk nog niet deel uitmaakt van uw Microsoft Entra-schema voor een gebruiker, en moet uniek zijn voor elke gebruiker, moet u dat kenmerk genereren op basis van andere kenmerken van de gebruiker via een expressie, of gebruik de functie directory-extensie om dat kenmerk toe te voegen als een extensie.

Als uw gebruikers afkomstig zijn uit Active Directory-domein Services en het kenmerk in die map hebben, kunt u Microsoft Entra Connect of Microsoft Entra Connect-cloudsynchronisatie gebruiken om te configureren dat het kenmerk moet worden gesynchroniseerd van Active Directory-domein Services naar Microsoft Entra-id, zodat het beschikbaar is voor inrichting naar andere systemen.

Als uw gebruikers afkomstig zijn uit Microsoft Entra-id, moet u voor elk nieuw kenmerk dat u moet opslaan op een gebruiker, een directory-extensie definiëren. Werk vervolgens de Microsoft Entra-gebruikers bij die zijn gepland om te worden ingericht, zodat elke gebruiker een waarde van deze kenmerken krijgt.

Kenmerktoewijzingen configureren

In deze sectie configureert u de toewijzing tussen de kenmerken van de Microsoft Entra-gebruiker en de kenmerken die u eerder hebt geselecteerd in de wizard ECMA-hostconfiguratie. Later wanneer de connector een object maakt op een mapserver, worden de kenmerken van een Microsoft Entra-gebruiker vervolgens via de connector naar de mapserver verzonden om deel uit te maken van dat nieuwe object.

1. Selecteer in het Microsoft Entra-beheercentrum onder Bedrijfstoepassingen de toepassing on-premises ECMA-app en selecteer vervolgens de pagina Inrichten .

2. Selecteer Inrichting bewerken.

3. Vouw toewijzingen uit en selecteer Microsoft Entra-gebruikers inrichten. Als dit de eerste keer is dat u de kenmerktoewijzingen voor deze toepassing hebt geconfigureerd, is er slechts één toewijzing aanwezig voor een tijdelijke aanduiding.

4. Als u wilt controleren of het schema van de mapserver beschikbaar is in Microsoft Entra ID, schakelt u het selectievakje Geavanceerde opties weergeven in en selecteert u de lijst Kenmerken bewerken voor ScimOnPremises. Zorg ervoor dat alle kenmerken die in de configuratiewizard zijn geselecteerd, worden vermeld. Als dat niet het is, wacht u enkele minuten totdat het schema is vernieuwd, selecteert u Kenmerktoewijzing in de navigatieregel en selecteert u vervolgens de lijst Met kenmerken bewerken voor ScimOnPremises opnieuw om de pagina opnieuw te laden. Zodra u de vermelde kenmerken ziet, annuleert u deze pagina om terug te keren naar de lijst met toewijzingen.

5. Elke gebruiker in een directory moet een unieke DN-naam hebben. U kunt opgeven hoe de connector een DN-naam moet maken met behulp van een kenmerktoewijzing. Selecteer Nieuwe toewijzing toevoegen. Gebruik de onderstaande waarden om de toewijzing te maken, waarbij u de DN-namen in de expressie wijzigt zodat deze overeenkomt met die van de organisatie-eenheid of een andere container in uw doelmap.

   • Toewijzingstype: expressie
   • Uitdrukking: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
   • Doelkenmerk: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
   • Pas deze toewijzing toe: alleen tijdens het maken van objecten

6. Als voor de directoryserver meerdere structurele objectklassewaarden of hulpobjectklassewaarden zijn vereist, moet u in het objectClass kenmerk worden opgegeven en vervolgens een toewijzing toevoegen aan dat kenmerk. Als u een toewijzing wilt objectClasstoevoegen, selecteert u Nieuwe toewijzing toevoegen. Gebruik de onderstaande waarden om de toewijzing te maken en wijzig de namen van de objectklassen in de expressie zodat deze overeenkomen met die van het doelmapschema.

   • Toewijzingstype: expressie
   • Expressie, als het POSIX-schema wordt ingericht: Split("inetOrgPerson,posixAccount,shadowAccount",",")
   • Doelkenmerk: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
   • Pas deze toewijzing toe: alleen tijdens het maken van objecten

7. Voor elk van de toewijzingen in de volgende tabel voor uw adreslijstserver selecteert u Nieuwe toewijzing toevoegen en geeft u de bron- en doelkenmerken op. Als u inricht in een bestaande map met bestaande gebruikers, moet u de toewijzing bewerken voor het kenmerk dat gebruikelijk is om de overeenkomende objecten in te stellen met behulp van dit kenmerk voor dat kenmerk . Meer informatie over kenmerktoewijzing vindt u hier.

   Voor OpenLDAP met het POSIX-schema moet u ook de gidNumber, homeDirectoryuid en uidNumber kenmerken opgeven. Elke gebruiker vereist een unieke uid en een unieke uidNumber. Meestal wordt de homeDirectory expressie ingesteld door een expressie die is afgeleid van de gebruikers-id van de gebruiker. Als de uid gebruiker bijvoorbeeld wordt gegenereerd door een expressie die is afgeleid van de principal-naam van de gebruiker, kan de waarde voor de basismap van die gebruiker worden gegenereerd door een vergelijkbare expressie die ook is afgeleid van de principal-naam van de gebruiker. En afhankelijk van uw use-case wilt u mogelijk dat alle gebruikers zich in dezelfde groep bevinden, dus zou u de gidNumber van een constante toewijzen.

   Toewijzingstype	Bronkenmerk	Doelkenmerk
   Direct	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn
   Direct	surname	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn
   Direct	userPrincipalName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail
   Expression	ToLower(Word([userPrincipalName], 1, "@"), )	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid
   Direct	(kenmerk specifiek voor uw directory)	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber
   Expression	Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory
   Constante	10000	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber

8. Voeg een toewijzing toe waaraan urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword een eerste willekeurig wachtwoord voor de gebruiker wordt ingesteld.

9. Selecteer Opslaan.

Zorg ervoor dat gebruikers moeten worden ingericht voor de directory over vereiste kenmerken

Als er personen zijn die bestaande gebruikersaccounts hebben in de LDAP-adreslijst, moet u ervoor zorgen dat de Microsoft Entra-gebruikersweergave beschikt over de kenmerken die vereist zijn voor overeenkomende waarden.

Als u van plan bent om nieuwe gebruikers te maken in de LDAP-directory, moet u ervoor zorgen dat de Microsoft Entra-weergaven van deze gebruikers de bronkenmerken hebben die vereist zijn voor het gebruikersschema van de doelmap. Elke gebruiker vereist een unieke uid en een unieke uidNumber.

Als uw gebruikers afkomstig zijn uit Active Directory-domein Services en het kenmerk in die map hebben, kunt u Microsoft Entra Connect of Microsoft Entra Connect-cloudsynchronisatie gebruiken om te configureren dat het kenmerk moet worden gesynchroniseerd van Active Directory-domein Services naar Microsoft Entra-id, zodat het beschikbaar is voor inrichting naar andere systemen.

Als uw gebruikers afkomstig zijn uit Microsoft Entra-id, moet u voor elk nieuw kenmerk dat u moet opslaan op een gebruiker, een directory-extensie definiëren. Werk vervolgens de Microsoft Entra-gebruikers bij die zijn gepland om te worden ingericht, zodat elke gebruiker een waarde van deze kenmerken krijgt.

Gebruikers bevestigen via PowerShell

Zodra u de gebruikers hebt bijgewerkt in Microsoft Entra ID, kunt u de Microsoft Graph PowerShell-cmdlets gebruiken om te automatiseren of gebruikers over alle vereiste kenmerken beschikken.

Stel dat uw inrichting vereist dat gebruikers drie kenmerken DisplayNamehebben,surname en extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty. Dit derde kenmerk wordt gebruikt om de uidNumber. U kunt de Get-MgUser cmdlet gebruiken om elke gebruiker op te halen en te controleren of de vereiste kenmerken aanwezig zijn. Houd er rekening mee dat de Graph v1.0-cmdlet Get-MgUser standaard geen directory-extensiekenmerken van een gebruiker retourneert, tenzij de kenmerken zijn opgegeven in de aanvraag als een van de eigenschappen die moeten worden geretourneerd.

In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID met behulp van Microsoft Graph PowerShell-cmdlets .

De eerste keer dat uw organisatie deze cmdlets gebruikt voor dit scenario, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell te kunnen gebruiken in uw tenant. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals:

• Gebruikersbeheerder, als u verwacht nieuwe gebruikers te maken.
• Toepassingsbeheerder of identiteitsbeheerbeheerder, als u alleen toepassingsroltoewijzingen beheert.

1. Open PowerShell.

2. Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeer dan de module Microsoft.Graph.Users en andere met behulp van deze opdracht:

   Install-Module Microsoft.Graph
   

   Als u de modules al hebt geïnstalleerd, controleer dan of u een recente versie gebruikt:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Verbinding maken met Microsoft Entra-id:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.Read.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Maak de lijst met gebruikers en de kenmerken die u wilt controleren.

   $userPrincipalNames = (
    "alice@contoso.com",
    "bob@contoso.com",
    "carol@contoso.com" )
   
   $requiredBaseAttributes = ("DisplayName","surname")
   $requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")
   

5. Voer een query uit op de map voor elk van de gebruikers.

   $select = "id"
   foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;}
   foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;}
   
   foreach ($un in $userPrincipalNames) {
      $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop
      foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} }
      foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } }
   }
   

Bestaande gebruikers verzamelen uit de LDAP-directory

1. Bepaal welke van de gebruikers in die directory binnen het bereik vallen voor gebruikers met Linux-verificatie. Deze keuze is afhankelijk van de configuratie van uw Linux-systeem. Voor sommige configuraties is elke gebruiker die in een LDAP-directory bestaat een geldige gebruiker. Voor andere configuraties moet de gebruiker mogelijk een bepaald kenmerk hebben of lid zijn van een groep in die map.

2. Voer een opdracht uit waarmee die subset van gebruikers uit uw LDAP-directory wordt opgehaald in een CSV-bestand. Zorg ervoor dat de uitvoer de kenmerken bevat van gebruikers die worden gebruikt voor overeenkomende Microsoft Entra-id. Voorbeelden van deze kenmerken zijn werknemers-id, accountnaam of uide-mailadres.

3. Breng indien nodig het CSV-bestand met de lijst met van gebruikers over naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.

4. Nu u een lijst hebt met alle gebruikers die zijn verkregen uit de directory, komt u overeen met die gebruikers uit de directory met gebruikers in Microsoft Entra ID. Voordat u verder gaat, moet u de informatie bekijken over Overeenkomende gebruikers in het bron- en doelsysteem.

De id's van de gebruikers in Microsoft Entra-id ophalen

In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID met behulp van Microsoft Graph PowerShell-cmdlets .

De eerste keer dat uw organisatie deze cmdlets gebruikt voor dit scenario, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell te kunnen gebruiken in uw tenant. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals:

• Gebruikersbeheerder, als u verwacht nieuwe gebruikers te maken.
• Toepassingsbeheerder of identiteitsbeheerbeheerder, als u alleen toepassingsroltoewijzingen beheert.

1. Open PowerShell.

2. Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeer dan de module Microsoft.Graph.Users en andere met behulp van deze opdracht:

   Install-Module Microsoft.Graph
   

   Als u de modules al hebt geïnstalleerd, controleer dan of u een recente versie gebruikt:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Verbinding maken met Microsoft Entra-id:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Als dit de eerste keer is dat u deze opdracht hebt gebruikt, moet u mogelijk toestemming geven voor de Microsoft Graph-opdrachtregelprogramma's om deze machtigingen te hebben.

5. Lees de lijst van gebruikers verkregen uit het gegevensarchief van de toepassing in de PowerShell-sessie. Als de lijst van gebruikers zich in een CSV-bestand bevindt, kunt u de PowerShell-cmdlet Import-Csv gebruiken en de naam van het bestand uit de vorige sectie opgeven als argument.

   Als het bestand dat is verkregen uit SAP Cloud Identity Services bijvoorbeeld de naam Users-exported-from-sap.csv heeft en zich in de huidige map bevindt, voert u deze opdracht in.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Als u een database of map gebruikt, voert u de volgende opdracht in als het bestand de naam users.csv heeft en zich in de huidige map bevindt:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Kies de kolom van het users.csv-bestand dat overeenkomt met een kenmerk van een gebruiker in Microsoft Entra-id.

   Als u SAP Cloud Identity Services gebruikt, is de standaardtoewijzing het SAP SCIM-kenmerk userName met het kenmerk userPrincipalNameMicrosoft Entra-id:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Als u bijvoorbeeld een database of map gebruikt, hebt u mogelijk gebruikers in een database waarin de waarde in de kolom met de naam EMail dezelfde waarde heeft als in het kenmerk userPrincipalNameMicrosoft Entra:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Haal de id's van die gebruikers op in Microsoft Entra ID.

   Het volgende PowerShell-script gebruikt de eerder aangegeven waarden $dbusers, $db_match_column_name en $azuread_match_attr_name. Er wordt een query uitgevoerd op De Microsoft Entra-id om een gebruiker te zoeken die een kenmerk heeft met een overeenkomende waarde voor elke record in het bronbestand. Als er veel gebruikers zijn in het bestand dat is verkregen uit de bron-SAP Cloud Identity Services, -database of -map, kan het enkele minuten duren voordat dit script is voltooid. Als u geen kenmerk hebt in Microsoft Entra ID met de waarde en een contains of andere filterexpressie moet gebruiken, moet u dit script aanpassen en dat in stap 11 hieronder om een andere filterexpressie te gebruiken.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Bekijk de resultaten van de voorgaande query's. Kijk of een van de gebruikers in SAP Cloud Identity Services, de database of map zich niet in Microsoft Entra ID kan bevinden vanwege fouten of ontbrekende overeenkomsten.

   Het volgende PowerShell-script geeft de aantallen records weer die niet zijn gevonden:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Wanneer het script is voltooid, wordt er een fout weergegeven als records uit de gegevensbron zich niet in Microsoft Entra-id bevinden. Als niet alle records voor gebruikers uit het gegevensarchief van de toepassing zich kunnen bevinden als gebruikers in Microsoft Entra ID, moet u onderzoeken welke records niet overeenkomen en waarom.

   Iemands e-mailadres en userPrincipalName zijn bijvoorbeeld gewijzigd in Microsoft Entra-id zonder dat de bijbehorende mail eigenschap wordt bijgewerkt in de gegevensbron van de toepassing. Of de gebruiker heeft de organisatie misschien al verlaten, maar is nog aanwezig in de gegevensbron van de toepassing. Of er is mogelijk een leverancier- of superbeheerdersaccount in de gegevensbron van de toepassing die niet overeenkomt met een specifieke persoon in Microsoft Entra-id.

10. Als er gebruikers zijn die zich niet konden bevinden in Microsoft Entra-id of niet actief waren en zich konden aanmelden, maar u hun toegang wilt laten controleren of hun kenmerken bijgewerkt in SAP Cloud Identity Services, de database of map, moet u de toepassing, de overeenkomende regel bijwerken of Microsoft Entra-gebruikers voor hen maken. Zie toewijzingen en gebruikersaccounts beheren in toepassingen die niet overeenkomen met gebruikers in Microsoft Entra-id voor meer informatie over welke wijziging moet worden aangebracht.

    Als u de optie kiest om gebruikers te maken in Microsoft Entra ID, kunt u gebruikers bulksgewijs maken met behulp van:

    • Een CSV-bestand, zoals beschreven in gebruikers bulksgewijs maken in het Microsoft Entra-beheercentrum
    • De cmdlet New-MgUser

    Zorg ervoor dat deze nieuwe gebruikers worden gevuld met de kenmerken die vereist zijn voor Microsoft Entra-id, zodat deze later overeenkomen met de bestaande gebruikers in de toepassing, en de kenmerken die zijn vereist voor Microsoft Entra-id, inclusief userPrincipalName, mailNickname en displayName. Deze userPrincipalName moet uniek zijn voor alle gebruikers in de directory.

    U hebt bijvoorbeeld gebruikers in een database waarin de waarde in de kolom met de naam EMail de waarde is die u wilt gebruiken als microsoft Entra user principal Name, de waarde in de kolom Alias bevat de e-mailnaam van Microsoft Entra ID en de waarde in de kolom Full name bevat de weergavenaam van de gebruiker:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Vervolgens kunt u dit script gebruiken om Microsoft Entra-gebruikers te maken voor gebruikers in SAP Cloud Identity Services, de database of directory die niet overeenkomen met gebruikers in Microsoft Entra ID. Houd er rekening mee dat u dit script mogelijk moet wijzigen om extra Microsoft Entra-kenmerken toe te voegen die nodig zijn in uw organisatie, of als dat niet mailNicknameuserPrincipalNamehet $azuread_match_attr_name enige is, om dat Microsoft Entra-kenmerk op te geven.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Nadat u ontbrekende gebruikers aan Microsoft Entra ID hebt toegevoegd, voert u het script opnieuw uit vanaf stap 7. Voer vervolgens het script uit vanaf stap 8. Controleer dat er geen fouten worden gerapporteerd.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Gebruikers toewijzen aan de toepassing in Microsoft Entra-id

Nu u de Microsoft Entra ECMA Connector-host hebt die met Microsoft Entra-id praat en de kenmerktoewijzing is geconfigureerd, kunt u doorgaan met het configureren van wie het bereik voor inrichting heeft.

Belangrijk

Als u bent aangemeld met de rol Hybrid Identity Administrator, moet u zich afmelden en aanmelden met een account met ten minste de rol Toepassingsbeheerder voor deze sectie. De rol Hybrid Identity Administrator heeft geen machtigingen om gebruikers toe te wijzen aan toepassingen.

Als er bestaande gebruikers in de LDAP-directory zijn, moet u toepassingsroltoewijzingen maken voor die bestaande gebruikers. Zie voor meer informatie over het bulksgewijs maken van toepassingsroltoewijzingen, voor meer informatie over het bulksgewijs maken New-MgServicePrincipalAppRoleAssignedTovan bestaande gebruikers van een toepassing in Microsoft Entra ID.

Als u bestaande gebruikers in de LDAP-directory nog niet wilt bijwerken, selecteert u een testgebruiker van Microsoft Entra-id die de vereiste kenmerken heeft en wordt ingericht voor de adreslijstserver.

1. Zorg ervoor dat de gebruiker alle eigenschappen heeft die worden toegewezen aan de vereiste kenmerken van het directoryserverschema.
2. Selecteer Ondernemingstoepassingen in de Azure-portal.
3. Selecteer de toepassing On-premises ECMA-app.
4. Selecteer aan de linkerkant onder Beheren de optie Gebruikers en groepen.
5. Selecteer Gebruiker/groep toevoegen.
6. Selecteer Geen geselecteerd onder Gebruikers.
7. Selecteer een gebruiker aan de rechterkant en selecteer de knop Selecteren .
   
8. Selecteer nu Toewijzen.

Testinrichting

Nu uw kenmerken zijn toegewezen en er een eerste gebruiker is toegewezen, kunt u inrichting op aanvraag testen met een van uw gebruikers.

1. Selecteer Start op de server waarop de Microsoft Entra ECMA Connector Host wordt uitgevoerd.

2. Voer uitvoeren en vervolgens services.msc in het vak in.

3. Zorg ervoor dat zowel de Microsoft Entra Connect Provisioning Agent-service als de Microsoft ECMA2Host-services worden uitgevoerd in de lijst Services. Als dat niet zo is, selecteert u Starten.

4. Selecteer Ondernemingstoepassingen in de Azure-portal.

5. Selecteer de toepassing On-premises ECMA-app.

6. Selecteer aan de linkerkant Inrichting.

7. Selecteer Op aanvraag inrichten.

8. Zoek een van uw testgebruikers en selecteer Inrichten.
   

9. Na enkele seconden wordt het bericht De gebruiker is gemaakt in het doelsysteem weergegeven, samen met een lijst met de gebruikerskenmerken. Als er in plaats daarvan een fout wordt weergegeven, raadpleegt u het oplossen van inrichtingsfouten.

Inrichten van gebruikers starten

Nadat de test van inrichting op aanvraag is geslaagd, voegt u de resterende gebruikers toe. Zie voor meer informatie over het bulksgewijs maken van toepassingsroltoewijzingen, voor meer informatie over het bulksgewijs maken New-MgServicePrincipalAppRoleAssignedTovan bestaande gebruikers van een toepassing in Microsoft Entra ID.

1. Selecteer de toepassing in Azure Portal.
2. Selecteer aan de linkerkant onder Beheren de optie Gebruikers en groepen.
3. Zorg ervoor dat alle gebruikers zijn toegewezen aan de toepassingsrol.
4. Ga terug naar de configuratiepagina van de inrichting.
5. Zorg ervoor dat het bereik is ingesteld op alleen toegewezen gebruikers en groepen, schakel de inrichtingsstatus in op Aan en selecteer Opslaan.
6. Wacht enkele minuten totdat het inrichten is gestart. Dit kan maximaal 40 minuten duren. Nadat de inrichtingstaak is voltooid, zoals beschreven in de volgende sectie,

Problemen met het inrichten oplossen

Als er een fout wordt weergegeven, selecteert u Inrichtingslogboeken weergeven. Zoek in het logboek naar een rij met de status Fout en klik op die rij.

Als het foutbericht Kan gebruiker niet maken is, controleert u de kenmerken die worden weergegeven aan de hand van de vereisten van het directoryschema.

Ga naar het tabblad Probleemoplossing en aanbevelingen voor meer informatie.

Als het foutbericht over het oplossen van problemen bevat dat een objectClass-waarde is invalid per syntax, moet u ervoor zorgen dat de toewijzing van het inrichtingskenmerk aan het objectClass kenmerk alleen namen bevat van objectklassen die worden herkend door de mapserver.

Zie problemen met het inrichten van on-premises toepassingen oplossen voor andere fouten.

Als u de inrichting voor deze toepassing wilt onderbreken, kunt u op de configuratiepagina van de inrichting de inrichtingsstatus wijzigen in Uit en Opslaan selecteren. Met deze actie wordt de inrichtingsservice niet meer uitgevoerd in de toekomst.

Controleer of de gebruikers zijn ingericht

Nadat u hebt gewacht, controleert u de adreslijstserver om ervoor te zorgen dat gebruikers worden ingericht. De query die u op de directoryserver uitvoert, is afhankelijk van de opdrachten die uw directoryserver biedt.

De volgende instructies laten zien hoe u OpenLDAP controleert op Linux.

1. Open een terminalvenster met een opdrachtshell op het systeem met OpenLDAP.
2. Typ de opdracht ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson)
3. Controleer of de resulterende LDIF de gebruikers bevat die zijn ingericht vanuit Microsoft Entra-id.

Volgende stappen

• Zie Voor meer informatie over wat de inrichtingsservice doet, hoe deze werkt en veelgestelde vragen het automatiseren van gebruikersinrichting en het ongedaan maken van de inrichting van SaaS-toepassingen met Microsoft Entra ID en on-premises architectuur voor het inrichten van toepassingen.