Konfigurowanie Microsoft Entra ID w celu tworzenia użytkowników w katalogach LDAP

Poniższa dokumentacja zawiera informacje o konfiguracji i samouczku przedstawiające sposób aprowizowania użytkowników z Microsoft Entra ID do katalogu LDAP.

W tym dokumencie opisano kroki, które należy wykonać, aby automatycznie aprowizować i deaprowizować użytkowników z Microsoft Entra ID do katalogu LDAP. W dokumencie pokazano, jak można udostępniać użytkowników w usługach AD LDS jako przykładowym serwerze katalogowym LDAP, ale można to robić na dowolnym z obsługiwanych serwerów katalogowych LDAP, które wymieniono w poniższych sekcjach. Aprowizowanie użytkowników w usługach domenowych Active Directory za pomocą tego rozwiązania nie jest obsługiwane.

Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji i anulowania aprowizacji użytkowników w aplikacjach SaaS przy użyciu identyfikatora Entra firmy Microsoft i architektury aprowizacji aplikacji lokalnych. Poniższy film wideo zawiera omówienie lokalnego wdrażania.

Wymagania wstępne dotyczące aprowizacji użytkowników w katalogu LDAP

Lokalne wymagania wstępne

• Aplikacja, która używa serwera katalogowego do wykonywania zapytań o użytkowników.
• Katalog docelowy, inny niż usługi domenowe Active Directory, w którym można tworzyć, aktualizować i usuwać użytkowników. Na przykład usługi Active Directory Lightweight Services (AD LDS). To instancja katalogu nie powinna być katalogiem, który jest także używany do aprowizacji użytkowników w Microsoft Entra ID, ponieważ jednoczesne zastosowanie obu scenariuszy może prowadzić do powstania pętli w Microsoft Entra Connect.
• Komputer z co najmniej 3 GB pamięci RAM do hostowania agenta aprowizacji. Komputer powinien mieć system Windows Server 2016 lub nowszą wersję systemu Windows Server z łącznością z katalogiem docelowym oraz łączność wychodzącą z login.microsoftonline.com, innymi usługami Online Services i domenami platformy Azure . Przykładem jest maszyna wirtualna z systemem Windows Server 2016 hostowana w usłudze Azure IaaS lub za serwerem proxy.
• Należy zainstalować program .NET Framework 4.7.2.
• Opcjonalnie: mimo że nie jest to wymagane, zaleca się pobranie przeglądarki Microsoft Edge dla systemu Windows Server i użycie jej zamiast programu Internet Explorer.

Obsługiwane serwery katalogów LDAP

Łącznik opiera się na różnych technikach wykrywania i identyfikowania serwera LDAP. Łącznik używa Root DSE, nazwy dostawcy/wersji i sprawdza schemat w celu znalezienia unikatowych obiektów i atrybutów, o których wiadomo, że istnieją w niektórych serwerach LDAP.

• OpenLDAP
• Usługi Microsoft Active Directory Lightweight Directory
• Serwer katalogowy 389
• Serwer katalogów Apache
• IBM Tivoli DS
• Katalog Isode
• NetIQ eDirectory
• Novell eDirectory
• Otwórz aplikację DJ
• Otwórz usługę DS
• Oracle (wcześniej Sun ONE) Directory Server Enterprise Edition
• RadiantOne Virtual Directory Server (VDS)

Aby uzyskać więcej informacji, zobacz ogólne informacje o łączniku LDAP.

Wymagania dotyczące chmury

• Dzierżawca usługi Microsoft Entra z Microsoft Entra ID P1 lub Premium P2 (lub EMS E3 lub E5).

  Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

• Rola administratora tożsamości hybrydowej do konfigurowania agenta aprowizacji oraz role administratora aplikacji lub administratora aplikacji w chmurze do konfigurowania aprowizacji w portalu Azure.

• Użytkownicy usługi Microsoft Entra, którzy mają być aprowizowani w katalogu LDAP, muszą być już wypełnieni atrybutami, które będą wymagane przez schemat serwera katalogów i są specyficzne dla każdego użytkownika. Jeśli na przykład serwer katalogów wymaga, aby każdy użytkownik miał unikatową liczbę z zakresu od 10000 do 30000 jako numer identyfikatora użytkownika do obsługi obciążenia POSIX, należy wygenerować ten numer z istniejącego atrybutu użytkownika lub rozszerzyć schemat Microsoft Entra i wypełnić ten atrybut dla użytkowników w zakresie aplikacji opartej na protokole LDAP. Zobacz Rozszerzalność programu Graph, aby dowiedzieć się, jak tworzyć dodatkowe rozszerzenia katalogu.

Więcej zaleceń i ograniczeń

Poniższe punkty punktowane to więcej zaleceń i ograniczeń.

• Nie zaleca się używania tego samego agenta do synchronizacji w chmurze i aprowizacji aplikacji lokalnych. Firma Microsoft zaleca używanie oddzielnego agenta do synchronizacji w chmurze i jednego na potrzeby aprowizacji aplikacji lokalnych.
• Obecnie w przypadku usług AD LDS nie można aprowizować użytkowników przy użyciu haseł. Dlatego należy wyłączyć zasady haseł dla AD LDS lub wprowadzić użytkowników w stanie wyłączonym.
• W przypadku innych serwerów katalogów można ustawić początkowe losowe hasło, ale nie można aprowizować hasła użytkownika firmy Microsoft Entra na serwerze katalogu.
• Aprowizowanie użytkowników z Microsoft Entra ID do usług Active Directory Domain Services nie jest obsługiwane.
• Aprowizowanie użytkowników z protokołu LDAP do identyfikatora Entra firmy Microsoft nie jest obsługiwane.
• Konfigurowanie grup i członkostwa użytkowników na serwerze katalogowym nie jest obsługiwane.

Wybieranie profilów uruchamiania

Podczas tworzenia konfiguracji łącznika w celu interakcji z serwerem katalogów należy najpierw skonfigurować łącznik w celu odczytania schematu katalogu, zamapowania tego schematu na schemat Microsoft Entra ID, oraz skonfigurowania sposobu, w jaki łącznik ma działać na bieżąco za pomocą profili uruchamiania. Każdy profil przebiegu, który skonfigurujesz, określa sposób generowania żądań LDAP przez łącznik w celu zaimportowania lub wyeksportowania danych z serwera katalogów. Przed wdrożeniem łącznika na istniejącym serwerze katalogów należy omówić z operatorem serwera katalogów w organizacji wzorzec operacji, które będą wykonywane z ich serwerem katalogów.

• Po skonfigurowaniu, gdy usługa aprowizacji zostanie uruchomiona, automatycznie wykona interakcje skonfigurowane w profilu uruchamiania pełnego importu . W ramach tego profilu uruchamiania łącznik będzie odczytywał wszystkie rekordy dla użytkowników z katalogu przy użyciu operacji wyszukiwania LDAP. Ten profil uruchamiania jest niezbędny, aby później, jeśli Microsoft Entra ID musi wprowadzić zmianę dla użytkownika, Microsoft Entra ID zaktualizuje istniejący obiekt dla tego użytkownika w katalogu, zamiast utworzyć nowy obiekt dla tego użytkownika.

• Za każdym razem, gdy zmiany są wprowadzane w identyfikatorze Entra firmy Microsoft, na przykład w celu przypisania nowego użytkownika do aplikacji lub zaktualizowania istniejącego użytkownika, usługa aprowizacji będzie wykonywać interakcje LDAP w profilu uruchamiania Eksportuj. W profilu eksportu przebiegu identyfikator Entra firmy Microsoft będzie wysyłać żądania LDAP do dodawania, modyfikowania, usuwania lub zmieniania nazw obiektów w katalogu w celu zsynchronizowania zawartości katalogu z identyfikatorem Entra firmy Microsoft.

• Jeśli katalog to obsługuje, możesz opcjonalnie również skonfigurować profil uruchamiania importu różnicowego. W tym profilu uruchamiania Microsoft Entra ID odczytuje zmiany wprowadzone w rejestrze przez inne źródła niż Microsoft Entra ID, od czasu ostatniego pełnego lub różnicowego importu. Ten profil uruchamiania jest opcjonalny, ponieważ katalog mógł nie zostać skonfigurowany do obsługi importu różnicowego. Jeśli na przykład organizacja korzysta z OpenLDAP, to OpenLDAP musi być wdrożony z włączoną funkcją rejestrowania dostępu.

Określanie sposobu interakcji łącznika Microsoft Entra LDAP z serwerem katalogów

Przed wdrożeniem łącznika na istniejącym serwerze katalogowym należy omówić z operatorem serwera katalogów w organizacji, jak zintegrować go z serwerem katalogu. Zebrane informacje obejmują informacje o sieci dotyczące sposobu nawiązywania połączenia z serwerem katalogów, sposobu uwierzytelniania łącznika na serwerze katalogów, schematu wybranego przez serwer katalogów do modelowania użytkowników, podstawowych reguł wyróżniających kontekstu nazewnictwa i hierarchii katalogów, sposobu kojarzenia użytkowników na serwerze katalogów z użytkownikami w usłudze Microsoft Entra ID, i co powinno się zdarzyć, gdy użytkownik wykracza poza zakres w identyfikatorze Entra firmy Microsoft. Wdrożenie tego łącznika może wymagać zmian w konfiguracji serwera katalogów, a także zmian konfiguracji w identyfikatorze Firmy Microsoft Entra. W przypadku wdrożeń obejmujących integrowanie identyfikatora Entra firmy Microsoft z serwerem katalogów innej firmy w środowisku produkcyjnym zalecamy klientom pracę z dostawcą serwera katalogów lub partnerem wdrażania, aby uzyskać pomoc, wskazówki i obsługę tej integracji. W tym artykule użyto następujących przykładowych wartości dla dwóch katalogów dla usług AD LDS i OpenLDAP.

Ustawienie konfiguracji	Gdzie jest ustawiona wartość	Przykładowa wartość
nazwa hosta serwera katalogów	Strona kreatora konfiguracji Łączności	APP3
numer portu serwera katalogów	Strona kreatora konfiguracji Łączności	636. W przypadku protokołu LDAP za pośrednictwem protokołu SSL lub TLS (LDAPS) użyj portu 636. W przypadku Start TLSprogramu użyj portu 389.
konto używane przez łącznik do identyfikacji na serwerze katalogu	Strona kreatora konfiguracji Łączności	W przypadku usług AD LDS CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab i OpenLDAP, cn=admin,dc=contoso,dc=lab
hasło łącznika do uwierzytelniania się na serwerze katalogów	Strona kreatora konfiguracji Łączności
strukturalna klasa obiektów dla użytkownika na serwerze katalogu	Strona kreatora konfiguracji Typy obiektów	W przypadku usług AD LDS User i OpenLDAP inetOrgPerson
pomocnicze klasy obiektów dla użytkownika na serwerze katalogów	Mapowania atrybutów strony aprowizacji w Azure Portal	W przypadku programu OpenLDAP ze schematem posixAccount POSIX ishadowAccount
atrybuty do wypełnienia dla nowego użytkownika	Kreator konfiguracji, strona Wybór Atrybutów, oraz strona Aprowizacja w portalu Azure z mapowaniem atrybutów.	W przypadku usług AD LDS msDS-UserAccountDisabled, userPrincipalName, displayName i dla OpenLDAP cn, gidNumber, homeDirectory, mail, objectClass, sn, uid, uidNumber, userPassword
hierarchia nazewnictwa wymagana przez serwer katalogów	Mapowania atrybutów strony aprowizacji w Azure Portal	Ustaw nazwę wyróżniającą nowo utworzonego użytkownika, aby był bezpośrednio poniżej CN=CloudUsers,CN=App,DC=Contoso,DC=lab dla usług AD LDS i DC=Contoso,DC=lab dla OpenLDAP
atrybuty korelowania użytkowników z identyfikatorem Entra firmy Microsoft i serwerem katalogów	Mapowania atrybutów strony aprowizacji w Azure Portal	W przypadku usług AD LDS, nieskonfigurowanych, jak w tym przykładzie dla początkowo pustego katalogu, oraz dla OpenLDAP, mail
Zachowanie anulowania aprowizacji, gdy użytkownik wykracza poza zakres w identyfikatorze Entra firmy Microsoft	Strona 'Deprovisioning' kreatora konfiguracji	Usuwanie użytkownika z serwera katalogów

Adres sieciowy serwera katalogowego to nazwa hosta i numer portu TCP, zazwyczaj port 389 lub 636. Z wyjątkiem sytuacji, w których serwer katalogu znajduje się ze łącznikiem w tym samym systemie Windows Server lub używasz zabezpieczeń na poziomie sieci, połączenia sieciowe z łącznika do serwera katalogów muszą być chronione przy użyciu protokołu SSL lub TLS. Łącznik obsługuje nawiązywanie połączenia z serwerem katalogów na porcie 389 i włączanie protokołu TLS w ramach sesji przy użyciu polecenia Uruchom protokół TLS. Łącznik obsługuje również nawiązywanie połączenia z serwerem katalogów na porcie 636 dla protokołu LDAPS — LDAP przez protokół TLS.

Aby łącznik mógł się uwierzytelnić na serwerze katalogów, musisz mieć konto z przypisanym identyfikatorem już skonfigurowane w serwerze katalogów. To konto jest zwykle identyfikowane z nazwą wyróżniającą i ma skojarzone hasło lub certyfikat klienta. Aby wykonać operacje importowania i eksportowania obiektów w połączonym katalogu, konto łącznika musi mieć wystarczające uprawnienia w modelu kontroli dostępu katalogu. Łącznik musi mieć uprawnienia do zapisu , aby móc eksportować i mieć uprawnienia do odczytu , aby móc importować. Konfiguracja uprawnień jest wykonywana w środowiskach zarządzania samego katalogu docelowego.

Schemat katalogu określa klasy obiektów i atrybuty, które reprezentują rzeczywistą jednostkę w katalogu. Łącznik obsługuje użytkownika reprezentowanego przy użyciu klasy obiektów strukturalnych, takich jak inetOrgPerson, i opcjonalnie dodatkowe klasy obiektów pomocniczych. Aby łącznik mógł wdrażać użytkowników na serwerze katalogów, podczas konfiguracji w Azure Portal zdefiniujesz odwzorowania ze schematu Microsoft Entra na wszystkie obowiązkowe atrybuty. Obejmuje to obowiązkowe atrybuty klasy obiektów strukturalnych, wszelkie superklasy tej klasy obiektu strukturalnego i obowiązkowe atrybuty wszystkich pomocniczych klas obiektów. Ponadto prawdopodobnie skonfigurujesz również mapowania do niektórych opcjonalnych atrybutów tych klas. Na przykład serwer katalogów OpenLDAP może wymagać, aby dla nowego użytkownika utworzono obiekt z atrybutami podobnymi do poniższego przykładu.

dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password

Reguły hierarchii katalogów implementowane przez serwer katalogów opisują, jak obiekty dla każdego użytkownika odnoszą się do siebie nawzajem i do istniejących obiektów w katalogu. W większości wdrożeń organizacja zdecydowała się mieć płaską hierarchię na serwerze katalogów, w którym każdy obiekt dla każdego użytkownika znajduje się natychmiast pod wspólnym obiektem podstawowym. Jeśli na przykład podstawowa nazwa wyróżniająca kontekstu nazewnictwa na serwerze katalogów brzmi dc=contoso,dc=com, nowy użytkownik będzie miał nazwę wyróżniającą, taką jak cn=alice,dc=contoso,dc=com. Jednak niektóre organizacje mogą mieć bardziej złożoną hierarchię katalogów, w takim przypadku należy zaimplementować odpowiednie reguły podczas określania mapowania nazw wyróżniających dla łącznika. Na przykład serwer katalogów może oczekiwać, że użytkownicy będą w jednostkach organizacyjnych według działu, więc nowy użytkownik będzie miał nazwę rozróżniającą, taką jak cn=alice,ou=London,dc=contoso,dc=com. Ponieważ łącznik nie tworzy obiektów pośrednich dla jednostek organizacyjnych, wszystkie obiekty pośrednie, których oczekuje hierarchia reguł serwera katalogów, musi już istnieć na serwerze katalogów.

Następnie należy zdefiniować reguły dotyczące sposobu, w jaki łącznik powinien określić, czy na serwerze katalogów znajduje się już użytkownik odpowiadający użytkownikowi firmy Microsoft Entra. Każdy katalog LDAP ma unikatową nazwę wyróżniającą dla każdego obiektu na serwerze katalogów, jednak ta nazwa wyróżniająca nie jest często obecna dla użytkowników w usłudze Microsoft Entra ID. Zamiast tego organizacja może mieć inny atrybut, taki jak mail lub employeeId, w schemacie serwera katalogów, który jest również obecny dla użytkowników w identyfikatorze Microsoft Entra. Następnie, gdy łącznik konfiguruje nowego użytkownika w serwerze katalogów, może sprawdzić, czy w tym katalogu istnieje już użytkownik z określoną wartością tego atrybutu, i utworzyć nowego użytkownika tylko wtedy, gdy go tam nie ma.

Jeśli twój scenariusz obejmuje tworzenie nowych użytkowników w katalogu LDAP, a nie tylko aktualizowanie lub usuwanie istniejących użytkowników, należy również określić, w jaki sposób aplikacje korzystające z tego serwera katalogowego będą obsługiwać uwierzytelnianie. Zalecaną metodą jest użycie federacji lub protokołu logowania jednokrotnego, takiego jak SAML, OAuth lub OpenID Connect w celu uwierzytelniania w usłudze Microsoft Entra ID, i poleganie tylko na serwerze katalogów dla atrybutów. Tradycyjnie katalogi LDAP mogą być używane przez aplikacje do uwierzytelniania użytkowników, sprawdzając hasło, ale ten przypadek użycia nie jest możliwy w przypadku uwierzytelniania wieloskładnikowego lub gdy użytkownik został już uwierzytelniony. Niektóre aplikacje mogą pobierać klucz publiczny lub certyfikat SSH użytkownika z katalogu, co może być odpowiednie dla użytkowników, którzy już posiadają poświadczenia tego rodzaju. Jeśli jednak aplikacja, która opiera się na serwerze katalogów, nie obsługuje nowoczesnych protokołów uwierzytelniania ani silniejszych poświadczeń, musisz ustawić hasło specyficzne dla aplikacji podczas tworzenia nowego użytkownika w katalogu, ponieważ identyfikator Entra firmy Microsoft nie obsługuje aprowizowania hasła użytkownika Microsoft Entra.

Na koniec należy uzgodnić zachowanie usuwania zasobów. Po skonfigurowaniu łącznika i gdy Microsoft Entra ID nawiąże połączenie między użytkownikiem w Microsoft Entra ID a użytkownikiem w katalogu, zarówno dla istniejącego użytkownika, jak i nowego użytkownika, Microsoft Entra ID może wprowadzać zmiany atrybutów użytkownika Microsoft Entra do katalogu. Jeśli użytkownik przypisany do aplikacji zostanie usunięty w identyfikatorze Entra firmy Microsoft, identyfikator Entra firmy Microsoft wyśle operację usuwania na serwer katalogu. Możesz również chcieć, aby Microsoft Entra ID zaktualizował obiekt na serwerze katalogów, gdy użytkownik traci uprawnienia do korzystania z aplikacji. To zachowanie zależy od aplikacji, która będzie używać serwera katalogów, jak wiele katalogów, takich jak OpenLDAP, może nie mieć domyślnego sposobu wskazywania, że konto użytkownika jest nieaktywne.

Przygotowywanie katalogu LDAP

Jeśli nie masz jeszcze serwera katalogów i chcesz wypróbować tę funkcję, przygotowanie usług Active Directory Lightweight Directory Services do aprowizacji z Microsoft Entra ID pokazuje, jak stworzyć testowe środowisko AD LDS. Jeśli masz już wdrożony inny serwer katalogów, możesz pominąć ten artykuł i kontynuować instalowanie i konfigurowanie hosta łącznika ECMA.

Instalowanie i konfigurowanie agenta aprowizacji programu Microsoft Entra Connect

Jeśli agent aprowizacji został już pobrany i skonfigurowany dla innej aplikacji lokalnej, kontynuuj czytanie w następnej sekcji.

1. Zaloguj się w witrynie Azure Portal.
2. Przejdź do pozycji Aplikacje dla przedsiębiorstw i wybierz pozycję Nowa aplikacja.
3. Wyszukaj aplikację On-premises ECMA, nadaj aplikacji nazwę i wybierz Utwórz, aby dodać ją do dzierżawcy.
4. Z menu nawigacyjnego przejdź do strony Provisioningu aplikacji.
5. Wybierz Rozpocznij.
6. Na stronie Aprowizowanie zmień tryb na Automatyczny.

7. W obszarze Łączność lokalna wybierz pozycję Pobierz i zainstaluj, a następnie wybierz pozycję Akceptuj warunki i pobierz.

8. Pozostaw portal i otwórz instalatora agenta aprowizacji, zaakceptuj warunki świadczenia usługi, a następnie wybierz pozycję Zainstaluj.
9. Poczekaj na uruchomienie kreatora konfiguracji agenta aprowizacji Microsoft Entra, a następnie wybierz Dalej.
10. W kroku Wybierz rozszerzenie wybierz pozycję Aprowizowanie aplikacji lokalnych, a następnie wybierz pozycję Dalej.
11. Agent aprowizacji użyje przeglądarki internetowej systemu operacyjnego, aby wyświetlić wyskakujące okno pozwalające uwierzytelnić się w usłudze Microsoft Entra ID, a potencjalnie także dostawcy tożsamości organizacji. Jeśli używasz programu Internet Explorer jako przeglądarki w systemie Windows Server, może być konieczne dodanie witryn internetowych firmy Microsoft do listy zaufanych witryn przeglądarki, aby umożliwić poprawne uruchamianie języka JavaScript.
12. Po wyświetleniu monitu o autoryzację podaj poświadczenia administratora firmy Microsoft Entra. Użytkownik musi mieć co najmniej rolę administratora tożsamości hybrydowej.
13. Wybierz pozycję Potwierdź , aby potwierdzić ustawienie. Po pomyślnej instalacji możesz wybrać pozycję Zakończ i zamknąć instalatora pakietu agenta Provisioning.

Konfigurowanie lokalnej aplikacji ECMA

1. W portalu, w sekcji Łączność lokalna, wybierz agenta, którego wdrożyłeś, i wybierz Przypisz agentów.

   

2. Pozostaw to okno przeglądarki otwarte po zakończeniu następnego kroku konfiguracji przy użyciu kreatora konfiguracji.

Konfigurowanie certyfikatu hosta łącznika ECMA firmy Microsoft

1. W systemie Windows Server, w którym jest zainstalowany agent aprowizacji, kliknij prawym przyciskiem myszy Kreatora konfiguracji Microsoft ECMA2Host z menu Start i uruchom jako administrator. Uruchomienie kreatora z uprawnieniami administratora jest niezbędne do utworzenia niezbędnych dzienników zdarzeń przez kreatora systemu Windows.
2. Po uruchomieniu konfiguracji hosta łącznika ECMA po pierwszym uruchomieniu kreatora zostanie wyświetlony monit o utworzenie certyfikatu. Pozostaw domyślny port 8585 i wybierz pozycję Generuj certyfikat , aby wygenerować certyfikat. Automatycznie wygenerowany certyfikat zostanie podpisany samodzielnie w ramach zaufanego katalogu głównego. Sieć SAN jest zgodna z nazwą hosta.
3. Wybierz pozycję Zapisz.

Uwaga

Jeśli wybrano opcję wygenerowania nowego certyfikatu, zarejestruj datę wygaśnięcia certyfikatu, aby upewnić się, że planujesz powrót do kreatora konfiguracji i ponownie wygeneruj certyfikat przed jego wygaśnięciem.

Konfigurowanie ogólnego łącznika LDAP

W zależności od wybranych opcji niektóre ekrany kreatora mogą być niedostępne, a informacje mogą się nieco różnić. Na potrzeby tej przykładowej konfiguracji pokazano aprowizowanie użytkowników z wykorzystaniem klasy obiektu User dla AD LDS oraz klasy obiektu inetOrgPerson dla OpenLDAP. Skorzystaj z poniższych informacji, aby przeprowadzić konfigurację.

1. Wygeneruj token tajny, który będzie używany do uwierzytelniania identyfikatora Entra firmy Microsoft w łączniku. Minimalna liczba znaków i unikatowa dla każdej aplikacji powinna wynosić 12 znaków. Jeśli nie masz jeszcze generatora wpisów tajnych, możesz użyć polecenia programu PowerShell, takiego jak poniżej, aby wygenerować przykładowy ciąg losowy.

   -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
   

2. Jeśli jeszcze tego nie zrobiłeś/a, uruchom Kreatora konfiguracji Microsoft ECMA2Host z Menu Start.

3. Wybierz pozycję Nowy łącznik.
   

4. Na stronie Właściwości wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

   Właściwości	Wartość
   Nazwisko	Nazwa wybrana dla łącznika, która powinna być unikatowa dla wszystkich łączników w danym środowisku. Na przykład LDAP.
   Czasomierz autosync (minuty)	120
   Token tajny	Tutaj wprowadź swój token tajny. Minimalna liczba znaków powinna wynosić 12 znaków.
   DLL rozszerzenia	W przypadku ogólnego łącznika LDAP wybierz pozycję Microsoft.IAM.Connector.GenericLdap.dll.

5. Na stronie Łączność skonfigurujesz sposób komunikacji hosta łącznika ECMA z serwerem katalogów i ustawisz niektóre opcje konfiguracji. Wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej. Po wybraniu pozycji Dalej łącznik będzie wysyłał zapytanie do serwera katalogów pod kątem jego konfiguracji.
   

   Właściwości	Opis
   Gospodarz	Nazwa hosta, na którym znajduje się serwer LDAP. W tym przykładzie użyto APP3 jako przykładowej nazwy hosta.
   Port	Numer portu TCP. Jeśli serwer katalogów jest skonfigurowany dla protokołu LDAP za pośrednictwem protokołu SSL, użyj portu 636. W przypadku Start TLS, lub jeśli używasz zabezpieczeń sieciowych, użyj portu 389.
   Przekroczenie limitu czasu połączenia	180
   Wiązanie	Ta właściwość określa sposób uwierzytelniania łącznika na serwerze katalogów. Przy ustawieniu Basic, lub przy ustawieniu SSL lub TLS bez skonfigurowanego certyfikatu klienta, łącznik wyśle proste powiązanie LDAP, aby uwierzytelnić się za pomocą nazwy wyróżniającej i hasła. Po określeniu ustawienia SSL lub TLS oraz certyfikatu klienta, łącznik wyśle powiązanie LDAP SASL EXTERNAL w celu uwierzytelnienia przy użyciu tego certyfikatu.
   Nazwa użytkownika	Sposób uwierzytelniania łącznika ECMA na serwerze katalogu. W tym przykładzie dla usług AD LDS przykładowa nazwa użytkownika to CN=svcAccount,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab i dla openLDAP, cn=admin,dc=contoso,dc=lab
   Hasło	Hasło użytkownika, którym łącznik ECMA będzie uwierzytelniał się na serwerze katalogowym.
   Sfera/domena	To ustawienie jest wymagane tylko w przypadku wybrania Kerberos opcji Wiązanie, aby podać obszar/domenę użytkownika.
   Certyfikat	Ustawienia w tej sekcji są używane tylko w przypadku wybrania SSL lub TLS jako opcji Wiązanie.
   Aliasy atrybutów	Pole tekstowe aliasów atrybutów służy do atrybutów zdefiniowanych w schemacie z użyciem składni RFC4522. Nie można wykryć tych atrybutów podczas wykrywania schematu, a łącznik potrzebuje pomocy przy identyfikowaniu tych atrybutów. Jeśli na przykład serwer katalogu nie publikuje userCertificate;binary i chcesz aprowizować ten atrybut, w polu aliasów atrybutów należy wprowadzić następujący ciąg, aby poprawnie zidentyfikować atrybut userCertificate jako atrybut binarny: userCertificate;binary. Jeśli nie potrzebujesz żadnych atrybutów specjalnych, które nie są w schemacie, możesz pozostawić to pole puste.
   Uwzględnij atrybuty operacyjne	Zaznacz pole wyboru, Include operational attributes in schema aby uwzględnić również atrybuty utworzone przez serwer katalogów. Obejmują one atrybuty, takie jak czas utworzenia obiektu i czas ostatniej aktualizacji.
   Dołączanie rozszerzalnych atrybutów	Zaznacz pole wyboru, Include extensible attributes in schema jeśli na serwerze katalogów są używane rozszerzalne obiekty (RFC4512/4.3). Włączenie tej opcji umożliwia używanie każdego atrybutu na wszystkich obiektach. Wybranie tej opcji sprawia, że schemat jest bardzo duży, chyba że połączony katalog korzysta z tej funkcji, zaleca się pozostawienie opcji niezaznaczonej.
   Zezwalaj na ręczne zaznaczanie zakotwiczenia	Pozostaw niezaznaczone.

   Uwaga

   Jeśli wystąpi problem podczas próby nawiązania połączenia i nie można przejść do strony Global, upewnij się, że w usługach AD LDS lub na innym serwerze katalogowym konto usługi jest włączone.

6. Na stronie Global skonfigurujesz nazwę wyróżniającą dla dziennika zmian różnicowych, jeśli potrzebne, oraz dodatkowe funkcje LDAP. Strona jest wstępnie wypełniana informacjami dostarczonymi przez serwer LDAP. Przejrzyj wyświetlone wartości, a następnie wybierz pozycję Dalej.

   Właściwości	Opis
   Obsługiwane mechanizmy SASL	W górnej sekcji przedstawiono informacje udostępniane przez sam serwer, w tym listę mechanizmów SASL.
   Szczegóły certyfikatu serwera	Jeśli SSL lub TLS zostały określone, kreator wyświetli certyfikat zwrócony przez serwer katalogów. Upewnij się, że wystawca, podmiot i odcisk palca są odpowiednie dla poprawnego serwera katalogów.
   Znaleziono obowiązkowe funkcje	Łącznik sprawdza również, czy obowiązkowe kontrole znajdują się w Root DSE. Jeśli te kontrolki nie są wyświetlane, zostanie wyświetlone ostrzeżenie. Niektóre katalogi LDAP nie zawierają listy wszystkich funkcji w katalogu głównym DSE i możliwe, że łącznik działa bez problemów, nawet jeśli jest obecne ostrzeżenie.
   Obsługiwane kontrolki	Pola wyboru obsługiwanych kontrolek kontrolują zachowanie niektórych operacji
   Import zmian	DN dziennika zmian to kontekst nazewnictwa używany przez dziennik zmian różnicowych, na przykład cn=changelog. Ten wartość należy określić, aby móc wykonać import delta.
   Atrybut hasła	Jeśli serwer katalogów obsługuje inny atrybut hasła lub skróty haseł, możesz określić miejsce docelowe zmian haseł.
   Nazwy partycji	Na liście dodatkowych partycji można dodać dodatkowe przestrzenie nazw, które nie są wykrywane automatycznie. Na przykład to ustawienie może być używane, jeśli kilka serwerów składa się z klastra logicznego, co powinno być importowane w tym samym czasie. Podobnie jak usługa Active Directory może mieć wiele domen w jednym lesie, w którym wszystkie domeny współużytkują jeden schemat, podobne rozwiązanie można osiągnąć, wprowadzając dodatkowe przestrzenie nazw w tym polu. Każda przestrzeń nazw może importować z różnych serwerów i jest dodatkowo skonfigurowana na stronie Konfigurowanie partycji i hierarchii .

7. Na stronie Partycje zachowaj wartość domyślną i wybierz pozycję Dalej.

8. Na stronie Profile uruchamiania upewnij się, że pole wyboru Eksportuj i Pełne importowanie jest zaznaczone. Następnie kliknij przycisk Dalej.
   

   Właściwości	Opis
   Eksport	Uruchom profil, który będzie eksportować dane do serwera katalogów LDAP. Ten profil uruchamiania jest wymagany.
   Pełny import	Uruchom profil, który zaimportuje wszystkie dane ze źródeł LDAP określonych wcześniej. Ten profil uruchamiania jest wymagany.
   Importowanie różnicowe	Uruchom profil, który zaimportuje tylko zmiany z LDAP od ostatniego pełnego lub różnicowego importu. Włącz ten profil uruchamiania tylko wtedy, gdy potwierdzono, że serwer katalogowy spełnia niezbędne wymagania. Aby uzyskać więcej informacji, zobacz ogólne informacje o łączniku LDAP.

9. Na stronie Eksportuj pozostaw wartości domyślne bez zmian, a następnie kliknij przycisk Dalej.

10. Na stronie Pełny import pozostaw wartości domyślne bez zmian, a następnie kliknij przycisk Dalej.

11. Na stronie DeltaImport, jeśli jest obecna, pozostaw wartości domyślne bez zmian, a następnie kliknij Dalej.

12. Na stronie Typy obiektów wypełnij pola i wybierz przycisk Dalej.

    Właściwości	Opis
    Obiekt docelowy	Ta wartość to strukturalna klasa obiektów użytkownika na serwerze katalogu LDAP. Na przykład w inetOrgPerson przypadku protokołu OpenLDAP lub User usługi AD LDS. Nie należy określać pomocniczej klasy obiektu w tym polu. Jeśli serwer katalogów wymaga pomocniczych klas obiektów, zostaną one skonfigurowane przy użyciu mapowań atrybutów w witrynie Azure Portal.
    Kotwica	Wartości tego atrybutu powinny być unikatowe dla każdego obiektu w katalogu docelowym. Usługa aprowizacji Microsoft Entra wyśle zapytanie do hosta łącznika ECMA przy użyciu tego atrybutu po cyklu początkowym. W przypadku AD LDS użyj ObjectGUID, a dla innych serwerów katalogów zobacz poniższą tabelę. Należy pamiętać, że można wybrać nazwę wyróżniającą jako -dn-. Atrybuty wielowarte, takie jak uid atrybut w schemacie OpenLDAP, nie mogą być używane jako kotwice.
    Atrybut zapytania	Ten atrybut powinien być taki sam jak Anchor, na przykład objectGUID, jeśli usługa AD LDS jest serwerem katalogu, lub _distinguishedName, jeśli OpenLDAP.
    DN	Nazwa wyróżniająca obiektu docelowego. Zachowaj -dn-.
    Automatycznie wygenerowane	niesprawdzony

    W poniższej tabeli wymieniono serwery LDAP i używaną kotwicę:

    Katalog	Kotwica
    Microsoft AD LDS i AD GC	objectGUID. Aby używać ObjectGUID jako kotwicy, musisz używać agenta w wersji 1.1.846.0 lub nowszej.
    Serwer katalogowy 389	Dn
    Katalog Apache	Dn
    IBM Tivoli DS	Dn
    Katalog Isode	Dn
    Novell/NetIQ eDirectory	Identyfikator GUID
    Otwórz DJ/DS	Dn
    Otwórz protokół LDAP	Dn
    Oracle ODSEE	Dn
    RadiantOne VDS	Dn
    Serwer Katalogowy Sun One	Dn

13. Host ECMA odnajduje atrybuty obsługiwane przez katalog docelowy. Możesz wybrać, które z tych atrybutów chcesz uwidocznić w identyfikatorze Entra firmy Microsoft. Te atrybuty można następnie skonfigurować w witrynie Azure Portal na potrzeby aprowizacji. Na stronie Wybierz atrybuty dodaj wszystkie atrybuty z listy rozwijanej pojedynczo, które są wymagane jako obowiązkowe atrybuty lub które chcesz aprowizować z identyfikatora Entra firmy Microsoft.
    Lista rozwijana Atrybut zawiera wszystkie atrybuty, które zostały odnalezione w katalogu docelowym, a które nie zostały wybrane przy poprzednim użyciu kreatora konfiguracji strony Wybierz atrybuty.

    Upewnij się, że Treat as single value pole wyboru jest niezaznaczone dla atrybutu objectClass , a jeśli userPassword jest ustawione, jest nie do wyboru lub zaznaczone dla atrybutu userPassword .

    Jeśli używasz biblioteki OpenLDAP ze schematem inetOrgPerson, skonfiguruj widoczność następujących atrybutów.

    Atrybut	Traktuj jako pojedynczą wartość
    Cn	Y
    poczta	Y
    objectClass (klasa obiektu)
    Sn	Y
    hasło użytkownika	Y

    Jeśli używasz biblioteki OpenLDAP ze schematem POSIX, skonfiguruj widoczność następujących atrybutów.

    Atrybut	Traktuj jako pojedynczą wartość
    _wyróżnionaNazwa
    -Dn-
    eksportuj_hasło
    Cn	Y
    gidNumber (numer_gid)
    katalog domowy
    poczta	Y
    objectClass (klasa obiektu)
    Sn	Y
    Identyfikator UID	Y
    numer użytkownika
    hasło użytkownika	Y

    Po dodaniu wszystkich odpowiednich atrybutów wybierz pozycję Dalej.

14. Na stronie Anulowanie aprowizacji możesz określić, czy chcesz, aby identyfikator Entra firmy Microsoft usuwał użytkowników z katalogu, gdy wyjdą poza zakres aplikacji. Jeśli tak, w obszarze Wyłącz przepływ wybierz pozycję Usuń, a następnie w obszarze Usuń przepływ wybierz pozycję Usuń. Jeśli Set attribute value zostanie wybrany, atrybuty wybrane na poprzedniej stronie nie będą dostępne do wyboru na stronie Anulowanie aprowizacji.

Uwaga

Jeśli używasz Ustaw wartość atrybutu, należy pamiętać, że dozwolone są tylko wartości boolean.

15. Wybierz Zakończ.

Upewnij się, że usługa ECMA2Host jest uruchomiona i może odczytywać z serwera katalogów

Wykonaj następujące kroki, aby potwierdzić, że host łącznika został uruchomiony i odczytał wszystkich istniejących użytkowników z serwera katalogów na hoście łącznika.

1. Na serwerze z uruchomionym hostem łącznika Microsoft Entra ECMA wybierz pozycję Uruchom.
2. W razie potrzeby wybierz pozycję Uruchom , a następnie wprowadź ciąg services.msc w polu .
3. Na liście Usługi upewnij się, że host Microsoft ECMA2Host jest obecny i uruchomiony. Jeśli nie jest uruchomiony, wybierz pozycję Uruchom.
4. Jeśli niedawno uruchomiono usługę i masz wiele obiektów użytkownika na serwerze katalogów, zaczekaj kilka minut na nawiązanie połączenia z serwerem katalogu.
5. Na serwerze z uruchomionym hostem łącznika Microsoft Entra ECMA uruchom program PowerShell.
6. Przejdź do folderu, w którym zainstalowano hosta ECMA, na przykład C:\Program Files\Microsoft ECMA2Host.
7. Przejdź do podkatalogu Troubleshooting.
8. Uruchom skrypt TestECMA2HostConnection.ps1 w tym katalogu, jak pokazano w poniższym przykładzie, i podaj jako argumenty nazwę łącznika ObjectTypePath i wartość cache. Jeśli host łącznika nie nasłuchuje na porcie TCP 8585, może być również konieczne podanie argumentu -Port . Po wyświetleniu monitu wpisz token tajny skonfigurowany dla tego łącznika.

   PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
   Supply values for the following parameters:
   SecretToken: ************
   

9. Jeśli skrypt wyświetli komunikat o błędzie lub ostrzeżeniu, sprawdź, czy usługa jest uruchomiona, a nazwa łącznika i token tajny są zgodne z tymi wartościami skonfigurowanymi w kreatorze konfiguracji.
10. Jeśli skrypt wyświetli wynik False, oznacza to, że łącznik nie znalazł żadnych wpisów na serwerze katalogu źródłowego dla istniejących użytkowników. Jeśli jest to nowa instalacja serwera katalogów, to zachowanie powinno być oczekiwane i można kontynuować w następnej sekcji.
11. Jeśli jednak serwer katalogu zawiera już co najmniej jednego użytkownika, ale wyświetlany Falseskrypt oznacza, że ten stan wskazuje, że łącznik nie może odczytać z serwera katalogów. Jeśli spróbujesz aprowizować, identyfikator Entra firmy Microsoft może nie być poprawnie zgodny z użytkownikami w tym katalogu źródłowym z użytkownikami w identyfikatorze Entra firmy Microsoft. Poczekaj kilka minut, aż host łącznika zakończy odczytywanie obiektów z istniejącego serwera katalogów, a następnie uruchom ponownie skrypt. Jeśli dane wyjściowe będą nadal mieć Falsewartość , sprawdź konfigurację łącznika i uprawnienia na serwerze katalogów zezwalają łącznikowi na odczytywanie istniejących użytkowników.

Testowanie połączenia z identyfikatora Entra firmy Microsoft do hosta łącznika

1. Wróć do okna przeglądarki internetowej, w którym skonfigurowano aprowizację aplikacji w portalu.

   Uwaga

   Jeśli upłynął limit czasu okna, musisz ponownie wybrać agenta.

   1. Zaloguj się w witrynie Azure Portal.
   2. Przejdź do Aplikacje dla przedsiębiorstw i aplikacji lokalnej ECMA.
   3. Kliknij pozycję Konfiguracja.
   4. Jeśli pojawia się Początek, zmień tryb na Automatyczny, w sekcji Łączność lokalna (On-Premises Connectivity) wybierz właśnie wdrożonego agenta, a następnie wybierz pozycję Przypisz agenta i odczekaj 10 minut. W przeciwnym razie przejdź do pozycji Edytuj aprowizację.

2. W sekcji Poświadczenia administratora wprowadź następujący adres URL. Zastąp connectorName część nazwą łącznika na hoście ECMA, na przykład LDAP. Jeśli podano certyfikat z urzędu certyfikacji dla hosta ECMA, zastąp ciąg localhost nazwą hosta serwera, na którym jest zainstalowany host ECMA.

   Właściwości	Wartość
   Adres URL dzierżawy	https://localhost:8585/ecma2host_connectorName/scim

3. Wprowadź wartość tokenu tajnego, którą zdefiniowałeś podczas tworzenia łącznika.

   Uwaga

   Jeśli właśnie przypisano agenta do aplikacji, zaczekaj 10 minut na ukończenie rejestracji. Test łączności nie będzie działać, dopóki rejestracja nie zostanie ukończona. Wymuszanie ukończenia rejestracji agenta przez ponowne uruchomienie agenta aprowizacji na serwerze może przyspieszyć proces rejestracji. Przejdź do serwera, wyszukaj usługi na pasku wyszukiwania systemu Windows, zidentyfikuj usługę Microsoft Entra Connect Provisioning Agent , kliknij prawym przyciskiem myszy usługę i uruchom ponownie.

4. Wybierz pozycję Testuj połączenie i zaczekaj minutę.

5. Po pomyślnym przetestowaniu połączenia i wskazaniu, że podane poświadczenia są autoryzowane do włączenia aprowizacji, wybierz pozycję Zapisz.
   

Rozszerzanie schematu Entra firmy Microsoft (opcjonalnie)

Jeśli serwer katalogów wymaga dodatkowych atrybutów, które nie są częścią domyślnego schematu Microsoft Entra dla użytkowników, podczas aprowizacji można skonfigurować w celu dostarczania wartości tych atrybutów z stałej, z wyrażenia przekształconego z innych atrybutów firmy Microsoft Entra lub przez rozszerzenie schematu Microsoft Entra.

Jeśli serwer katalogów wymaga, aby użytkownicy mieli atrybut, taki jak uidNumber w schemacie OpenLDAP POSIX, i ten atrybut nie jest jeszcze częścią schematu Microsoft Entra dla użytkownika, a musi być unikatowy dla każdego użytkownika, wtedy musisz wygenerować ten atrybut z innych atrybutów użytkownika za pomocą wyrażenia lub użyć funkcji rozszerzenia katalogu, aby dodać ten atrybut jako rozszerzenie.

Jeśli użytkownicy pochodzą z usługi domenowych Active Directory i mają atrybut w tym katalogu, możesz użyć programu Microsoft Entra Connect lub synchronizacji z chmurą Microsoft Entra Connect, aby skonfigurować synchronizację atrybutu z usługi domenowych Active Directory do Microsoft Entra ID, dzięki czemu jest dostępny do udostępniania w innych systemach.

Jeśli użytkownicy pochodzą z identyfikatora Entra firmy Microsoft, dla każdego nowego atrybutu musisz przechowywać użytkownika, musisz zdefiniować rozszerzenie katalogu. Następnie zaktualizuj użytkowników usługi Microsoft Entra, którzy mają zostać aprowizowani, aby dać każdemu użytkownikowi wartość tych atrybutów.

Konfigurowanie mapowania atrybutów

W tej sekcji skonfigurujesz mapowanie między atrybutami użytkownika Microsoft Entra a atrybutami, które wcześniej wybrałeś w kreatorze konfiguracji hosta ECMA. Później, gdy łącznik utworzy obiekt na serwerze katalogów, atrybuty użytkownika Microsoft Entra zostaną następnie wysłane za pośrednictwem łącznika do serwera katalogów, aby być częścią tego nowego obiektu.

1. W centrum administracyjnym firmy Microsoft Entra w sekcji Aplikacje dla przedsiębiorstw wybierz aplikację On-premises ECMA app, a następnie wybierz stronę Udostępnianie.

2. Wybierz pozycję Edytuj udostępnianie.

3. Rozwiń Mapowania i wybierz Aprowizuj użytkowników Microsoft Entra. Jeśli to jest pierwszy raz, gdy konfigurujesz mapowania atrybutów dla tej aplikacji, będzie istnieć tylko jedno mapowanie jako symbol zastępczy.

4. Aby upewnić się, że schemat serwera katalogów jest dostępny w Microsoft Entra ID, zaznacz pole wyboru Pokaż opcje zaawansowane i wybierz Edytuj listę atrybutów dla ScimOnPremises. Upewnij się, że wszystkie atrybuty wybrane w kreatorze konfiguracji zostały wymienione. Jeśli tak nie jest, zaczekaj kilka minut na odświeżenie schematu, a następnie wybierz pozycję Mapowanie atrybutów w wierszu nawigacji, a następnie ponownie wybierz pozycję Edytuj listę atrybutów dla elementu ScimOnPremises , aby ponownie załadować stronę. Po wyświetleniu atrybutów na liście, anuluj na tej stronie, aby wrócić do listy mapowań.

5. Każdy użytkownik w katalogu musi mieć unikatową nazwę wyróżniającą. Możesz określić, w jaki sposób łącznik powinien konstruować nazwę wyróżniającą, korzystając z mapowania atrybutów. Wybierz pozycję Dodaj nowe mapowanie. Użyj wartości w poniższym przykładzie, aby utworzyć mapowanie, zmieniając nazwy wyróżniające w wyrażeniu, aby dopasować je do jednostki organizacyjnej lub innego kontenera w katalogu docelowym.

   • Typ mapowania: wyrażenie
   • Wyrażenie, jeśli wdrażanie do usługi AD LDS: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",CN=CloudUsers,CN=App,DC=Contoso,DC=lab")
   • Wyrażenie, jeśli udostępnianie w OpenLDAP: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
   • Atrybut docelowy: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
   • Zastosuj to mapowanie: tylko podczas tworzenia obiektu

6. Jeśli serwer katalogów wymaga wielu wartości klas obiektów strukturalnych lub pomocniczych wartości klas obiektów, które mają być podane w atrybucie objectClass , dodaj mapowanie do tego atrybutu. W tym przykładzie udostępniania w AD LDS, mapowanie objectClass nie jest wymagane, ale może być konieczne w przypadku innych serwerów katalogowych lub innych schematów. Aby dodać mapowanie dla objectClasselementu , wybierz pozycję Dodaj nowe mapowanie. Użyj wartości w poniższym przykładzie, aby utworzyć mapowanie, zmieniając nazwy klas obiektów w wyrażeniu, aby dopasować je do schematu katalogu docelowego.

   • Typ mapowania: wyrażenie
   • Wyrażenie, przy udostępnianiu schematu inetOrgPerson: Split("inetOrgPerson",",")
   • Wyrażenie, jeśli aprowizacja schematu POSIX: Split("inetOrgPerson,posixAccount,shadowAccount",",")
   • Atrybut docelowy: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
   • Zastosuj to mapowanie: tylko podczas tworzenia obiektu

7. Jeśli aprowizujesz usługę AD LDS i istnieje mapowanie z userPrincipalName na SYMBOL ZASTĘPCZY, a następnie kliknij to mapowanie i edytuj. Użyj poniższych wartości, aby zaktualizować mapowanie.

   • Typ mapowania: bezpośredni
   • Atrybut źródłowy: userPrincipalName
   • Atrybut docelowy: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPrincipalName
   • Pierwszeństwo dopasowywania: 1
   • Zastosuj to mapowanie: tylko podczas tworzenia obiektu

8. Jeśli konfigurujesz w AD LDS, dodaj mapowanie dla elementu isSoftDeleted. Wybierz pozycję Dodaj nowe mapowanie. Użyj poniższych wartości, aby utworzyć mapowanie.

   • Typ mapowania: bezpośredni
   • Atrybut źródłowy: isSoftDeleted
   • Atrybut docelowy: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:msDS-UserAccountDisabled

9. Dla każdego mapowania w poniższej tabeli dla serwera katalogów wybierz pozycję Dodaj nowe mapowanie i określ atrybuty źródłowe i docelowe. Jeśli aprowizujesz istniejący katalog z istniejącymi użytkownikami, musisz edytować mapowanie atrybutu, który jest wspólny, aby ustawić obiekty Dopasowania przy użyciu tego atrybutu . Dowiedz się więcej o mapowaniu atrybutów tutaj.

   W przypadku usług AD LDS:

   Typ mapowania	Atrybut źródłowy	Atrybut docelowy
   Bezpośredni	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:displayName

   Dla openLDAP:

   Typ mapowania	Atrybut źródłowy	Atrybut docelowy
   Bezpośredni	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn
   Bezpośredni	surname	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn
   Bezpośredni	userPrincipalName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail

   W przypadku programu OpenLDAP ze schematem POSIX należy również podać atrybuty gidNumber, homeDirectory, uid i uidNumber. Każdy użytkownik wymaga unikalnego uid oraz unikalnego uidNumber. Zazwyczaj element homeDirectory jest ustawiany przez wyrażenie pochodzące z identyfikatora userID użytkownika. Jeśli na przykład element uid użytkownika jest generowany przez wyrażenie pochodzące z głównej nazwy użytkownika, wartość katalogu macierzystego tego użytkownika może zostać wygenerowana przez podobne wyrażenie również pochodzące z głównej nazwy użytkownika. W zależności od przypadku użycia możesz chcieć, aby wszyscy użytkownicy znajdowali się w tej samej grupie, więc przypiszeliby element gidNumber ze stałej.

   Typ mapowania	Atrybut źródłowy	Atrybut docelowy
   Wyrażenie	ToLower(Word([userPrincipalName], 1, "@"), )	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid
   Bezpośredni	(atrybut specyficzny dla katalogu)	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber
   Wyrażenie	Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory
   Stała	10000	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber

10. Jeśli aprowizacja odbywa się do katalogu innego niż AD LDS, to dodaj mapowanie do urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword, które ustawia początkowe losowe hasło dla użytkownika. W przypadku usług AD LDS nie ma mapowania dla userPassword.

11. Wybierz pozycję Zapisz.

Upewnij się, że użytkownicy, którzy mają być aprowizowani w aplikacji, mają wymagane atrybuty w identyfikatorze Entra firmy Microsoft

Jeśli istnieją osoby, które mają istniejące konta użytkowników w katalogu LDAP, musisz upewnić się, że reprezentacja użytkownika Microsoft Entra ma atrybuty wymagane do dopasowania.

Jeśli planujesz tworzenie nowych użytkowników w katalogu LDAP, musisz upewnić się, że reprezentacje Microsoft Entra dla tych użytkowników zawierają atrybuty źródłowe wymagane przez schemat użytkownika katalogu docelowego.

Za pomocą poleceń cmdlet programu PowerShell programu Microsoft Graph można zautomatyzować sprawdzanie użytkowników pod kątem wymaganych atrybutów.

Załóżmy na przykład, że aprowizacja wymaga od użytkowników posiadania trzech atrybutów DisplayNameisurnameextension_656b1c479a814b1789844e76b2f459c3_MyNewProperty. Możesz użyć Get-MgUser polecenia cmdlet, aby odzyskać każdego użytkownika i sprawdzić, czy istnieją wymagane atrybuty. Należy pamiętać, że polecenie cmdlet programu Graph w wersji 1.0 Get-MgUser nie zwraca domyślnie żadnych atrybutów rozszerzenia katalogu użytkownika, chyba że atrybuty są określone w żądaniu jako jedna z właściwości do zwrócenia.

$userPrincipalNames = (
 "alice@contoso.com",
 "bob@contoso.com",
 "carol@contoso.com" )

$requiredBaseAttributes = ("DisplayName","surname")
$requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")

$select = "id"
foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;}
foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;}

foreach ($un in $userPrincipalNames) {
   $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop
   foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} }
   foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } }
}

Zbieranie istniejących użytkowników z katalogu LDAP

Wiele katalogów LDAP, takich jak usługa Active Directory, zawiera polecenie, które generuje listę użytkowników.

1. Zidentyfikuj, którzy z użytkowników w tym katalogu mogą być użytkownikami aplikacji. Ten wybór będzie zależeć od konfiguracji aplikacji. W przypadku niektórych aplikacji każdy użytkownik, który istnieje w katalogu LDAP, jest prawidłowym użytkownikiem. Inne aplikacje mogą wymagać od użytkownika posiadania określonego atrybutu lub być członkiem grupy w tym katalogu.

2. Uruchom polecenie, które pobiera ten podzbiór użytkowników z katalogu LDAP. Upewnij się, że dane wyjściowe zawierają atrybuty użytkowników, które będą używane do dopasowywania do identyfikatora Entra firmy Microsoft. Przykłady tych atrybutów to identyfikator pracownika, nazwa konta i adres e-mail.

   Na przykład to polecenie w systemie Windows przy użyciu programu AD LDS csvde tworzy plik CSV w bieżącym katalogu systemu plików z atrybutem userPrincipalName każdej osoby w katalogu:

   $out_filename = ".\users.csv"
   csvde -f $out_filename -l userPrincipalName,cn -r "(objectclass=person)"
   

3. W razie potrzeby przenieś plik CSV zawierający listę użytkowników do systemu przy użyciu zainstalowanych poleceń cmdlet programu PowerShell programu Microsoft Graph.

4. Teraz, gdy masz listę wszystkich użytkowników uzyskanych z aplikacji, dopasujesz tych użytkowników z magazynu danych aplikacji z użytkownikami w usłudze Microsoft Entra ID. Przed kontynuowaniem przejrzyj informacje dotyczące pasujących użytkowników w systemach źródłowych i docelowych.

Pobierz identyfikatory użytkowników w Microsoft Entra ID

W tej sekcji przedstawiono sposób interakcji z Microsoft Entra ID przy użyciu poleceń cmdlet programu Microsoft Graph PowerShell.

Przy pierwszym użyciu tych poleceń cmdlet przez organizację w tym scenariuszu musisz mieć rolę administratora globalnego, aby zezwolić na używanie Microsoft Graph PowerShell w dzierżawie. Kolejne interakcje mogą używać roli o niższych uprawnieniach, takiej jak:

• Administrator użytkowników, jeśli przewidujesz tworzenie nowych użytkowników.
• Administrator aplikacji lub Administrator zarządzania tożsamościami, jeśli zarządzasz przypisaniami ról aplikacji.

1. Otwórz program PowerShell.

2. Jeśli nie masz już zainstalowanych modułów programu PowerShell programu Microsoft Graph, zainstaluj Microsoft.Graph.Users moduł i inne za pomocą tego polecenia:

   Install-Module Microsoft.Graph
   

   Jeśli masz już zainstalowane moduły, upewnij się, że używasz najnowszej wersji:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Połącz się z identyfikatorem Entra firmy Microsoft:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Jeśli używasz tego polecenia po raz pierwszy, może być konieczne wyrażenie zgody na zezwolenie narzędziom wiersza polecenia programu Microsoft Graph na te uprawnienia.

5. Przeczytaj listę użytkowników uzyskanych z magazynu danych aplikacji do sesji programu PowerShell. Jeśli lista użytkowników znajdowała się w pliku CSV, możesz użyć polecenia cmdlet Import-Csv programu PowerShell i podać nazwę pliku z poprzedniej sekcji jako argument.

   Jeśli na przykład plik uzyskany z usług SAP Cloud Identity Services nosi nazwę Users-exported-from-sap.csv i znajduje się w bieżącym katalogu, wprowadź to polecenie.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   W innym przykładzie, jeśli używasz bazy danych lub katalogu, jeśli plik ma nazwę users.csv i znajduje się w bieżącym katalogu, wprowadź następujące polecenie:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Wybierz kolumnę pliku users.csv, która będzie zgodna z atrybutem użytkownika w usłudze Microsoft Entra ID.

   Jeśli używasz usług SAP Cloud Identity Services, domyślne mapowanie to atrybut SAP SCIM userName z atrybutem Microsoft Entra ID userPrincipalName.

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   W innym przykładzie, jeśli używasz bazy danych lub katalogu, mogą istnieć użytkownicy w bazie danych, w której wartość w kolumnie o nazwie EMail jest taka sama jak w atrybucie userPrincipalName Microsoft Entra:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Pobierz identyfikatory tych użytkowników w identyfikatorze Entra firmy Microsoft.

   Poniższy skrypt programu PowerShell używa $dbusersokreślonych wcześniej wartości , $db_match_column_namei $azuread_match_attr_name . Spowoduje to wysłanie zapytania do identyfikatora Entra firmy Microsoft w celu zlokalizowania użytkownika, który ma atrybut z pasującą wartością dla każdego rekordu w pliku źródłowym. Jeśli w pliku uzyskanym ze źródłowej usługi SAP Cloud Identity Services, bazy danych lub katalogu istnieje wiele użytkowników, ten skrypt może potrwać kilka minut. Jeśli nie masz atrybutu w identyfikatorze Entra firmy Microsoft, który ma określoną wartość i musisz użyć contains lub innego wyrażenia filtru, musisz dostosować ten skrypt oraz ten w kroku 11 poniżej, aby użyć innego wyrażenia filtru.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Wyświetl wyniki poprzednich zapytań. Sprawdź, czy którykolwiek z użytkowników w usługach SAP Cloud Identity Services, bazie danych lub katalogu nie może znajdować się w identyfikatorze Entra firmy Microsoft z powodu błędów lub brakujących dopasowań.

   Poniższy skrypt programu PowerShell wyświetli liczbę rekordów, które nie zostały zlokalizowane:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Po zakończeniu działania skryptu będzie on wskazywać błąd, jeśli jakiekolwiek rekordy ze źródła danych nie znajdowały się w identyfikatorze Entra firmy Microsoft. Jeśli nie można było znaleźć wszystkich rekordów użytkowników z magazynu danych aplikacji jako użytkowników w usłudze Microsoft Entra ID, należy zbadać, które rekordy nie pasują i dlaczego.

   Na przykład adres e-mail użytkownika i userPrincipalName mogły zostać zmienione w usłudze Microsoft Entra ID bez aktualizowania odpowiadającej właściwości mail w źródle danych aplikacji. Lub użytkownik mógł już opuścił organizację, ale nadal znajduje się w źródle danych aplikacji. Może też istnieć konto dostawcy lub administratora w źródle danych aplikacji, które nie odpowiada żadnej konkretnej osobie w identyfikatorze Entra firmy Microsoft.

10. Jeśli byłyby użytkownicy, których nie można znaleźć w Microsoft Entra ID albo którzy nie są aktywni i nie mogą się zalogować, ale chcesz, by ich dostęp został przejrzany lub atrybuty zaktualizowane w SAP Cloud Identity Services, bazie danych lub katalogu, musisz zaktualizować aplikację, regułę dopasowania lub zaktualizować bądź utworzyć dla nich użytkowników w Microsoft Entra. Aby uzyskać więcej informacji na temat wprowadzania zmian, zobacz Zarządzanie mapowaniami i kontami użytkowników w aplikacjach, które nie są zgodne z użytkownikami w identyfikatorze Entra firmy Microsoft.

    Jeśli wybierzesz opcję tworzenia użytkowników w usłudze Microsoft Entra ID, możesz utworzyć użytkowników zbiorczo przy użyciu jednego z następujących elementów:

    • Plik CSV, zgodnie z opisem w artykule Zbiorcze tworzenie użytkowników w centrum administracyjnym firmy Microsoft Entra
    • Polecenie cmdlet New-MgUser

    Upewnij się, że nowym użytkownikom przypisane są atrybuty wymagane przez Microsoft Entra ID, aby później można było je dopasować do istniejących użytkowników w aplikacji. Uwzględnij również atrybuty wymagane przez Microsoft Entra ID, w tym userPrincipalName, mailNickname i displayName. Element userPrincipalName musi być unikatowy dla wszystkich użytkowników w katalogu.

    Możesz na przykład mieć użytkowników w bazie danych, w której wartość w kolumnie o nazwie EMail jest wartością, której chcesz użyć jako głównej nazwy użytkownika Microsoft Entra, wartość w kolumnie Alias zawiera pseudonim poczty Microsoft Entra ID, a wartość w kolumnie Full name zawiera nazwę wyświetlaną użytkownika:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Następnie możesz użyć tego skryptu, aby utworzyć użytkowników Microsoft Entra dla tych w SAP Cloud Identity Services, bazie danych lub katalogu, którzy nie pasowali do użytkowników w Microsoft Entra ID. Należy pamiętać, że może być konieczne zmodyfikowanie tego skryptu w celu dodania dodatkowych atrybutów Microsoft Entra wymaganych w organizacji lub jeśli $azuread_match_attr_name nie jest ani mailNickname ani userPrincipalName, aby zapewnić ten atrybut Microsoft Entra.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Po dodaniu wszystkich brakujących użytkowników do identyfikatora Entra firmy Microsoft ponownie uruchom skrypt z kroku 7. Następnie uruchom skrypt z kroku 8. Sprawdź, czy nie zgłoszono żadnych błędów.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Przypisywanie użytkowników do aplikacji

Teraz, gdy host łącznika Microsoft Entra ECMA komunikuje się z Microsoft Entra ID i skonfigurowano mapowanie atrybutów, możesz przejść do konfigurowania, kto jest objęty zakresem aprowizacji.

Ważne

Jeśli zalogowano się przy użyciu roli administratora tożsamości hybrydowej, musisz wylogować się i zalogować się przy użyciu konta z co najmniej rolą Administratora aplikacji dla tej sekcji. Rola administratora tożsamości hybrydowej nie ma uprawnień do przypisywania użytkowników do aplikacji.

Jeśli w katalogu LDAP istnieją użytkownicy, należy utworzyć przypisania ról aplikacji dla istniejących użytkowników w identyfikatorze Entra firmy Microsoft. Aby dowiedzieć się więcej o tworzeniu przypisań ról aplikacji na dużą skalę za pomocą New-MgServicePrincipalAppRoleAssignedTo, zobacz zarządzanie istniejącymi użytkownikami aplikacji w Microsoft Entra ID.

W przeciwnym razie, jeśli katalog LDAP jest pusty, wybierz użytkownika testowego z identyfikatora Entra firmy Microsoft, który ma wymagane atrybuty i zostanie aprowizowany na serwerze katalogu aplikacji.

1. Upewnij się, że wybrany użytkownik ma wszystkie właściwości, które zostaną zamapowane na wymagane atrybuty schematu serwera katalogów.
2. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw.
3. Wybierz lokalną aplikację ECMA.
4. Po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy i grupy.
5. Wybierz pozycję Dodaj użytkownika/grupę.
6. W obszarze Użytkownicy wybierz pozycję Brak zaznaczone.
7. Wybierz użytkownika po prawej stronie i wybierz przycisk Wybierz.
   
8. Teraz wybierz pozycję Przypisz.

Testowanie aprowizacji

Po zamapowaniu atrybutów i przypisaniu początkowego użytkownika możesz przetestować aprowizację na żądanie przy użyciu jednego z użytkowników.

1. Na serwerze, na którym działa Microsoft Entra ECMA Connector Host, wybierz pozycję Uruchom.

2. Wprowadź uruchom i wprowadź services.msc w polu.

3. Na liście Usługi upewnij się, że uruchomiono zarówno usługę Microsoft Entra Connect Provisioning Agent, jak i usługi Microsoft ECMA2Host. W przeciwnym razie wybierz pozycję Uruchom.

4. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw.

5. Wybierz lokalną aplikację ECMA.

6. Po lewej stronie wybierz pozycję Konfiguracja.

7. Wybierz pozycję Dostarcz na żądanie.

8. Wyszukaj jednego z użytkowników testowych i wybierz opcję Provisioning.
   

9. Po kilku sekundach zostanie wyświetlony komunikat Pomyślnie utworzony użytkownik w systemie docelowym z listą atrybutów użytkownika. Jeśli zamiast tego pojawi się błąd, zobacz rozwiązywanie problemów z błędami aprowizacji.

Rozpocznij konfigurowanie użytkowników

Po pomyślnym przetestowaniu aprowizacji na żądanie dodaj pozostałych użytkowników.

1. W witrynie Azure Portal wybierz aplikację.
2. Po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy i grupy.
3. Upewnij się, że wszyscy użytkownicy są przypisani do roli aplikacji.
4. Wróć do strony konfiguracji aprowizacji.
5. Upewnij się, że zakres jest ustawiony na tylko przypisanych użytkowników i grupy, włącz stan aprowizacji na Wł., a następnie wybierz pozycję Zapisz.
6. Poczekaj kilka minut, aż rozpocznie się udostępnianie. Może upłynąć do 40 minut. Po zakończeniu zadania prowizjonowania, zgodnie z opisem w następnej sekcji,

Rozwiązywanie problemów z błędami wdrażania

Jeśli zostanie wyświetlony błąd, wybierz pozycję Wyświetl dzienniki aprowizacji. Wyszukaj w dzienniku wiersz, w którym stan to Niepowodzenie, a następnie kliknij ten wiersz.

Jeśli komunikat brzmi Nie udało się utworzyć użytkownika, to sprawdź atrybuty, które są wyświetlane w odniesieniu do wymagań schematu katalogu.

Aby uzyskać więcej informacji, przejdź na kartę Rozwiązywanie problemów i zalecenia .

Jeśli komunikat o błędzie usuwania usterek zawiera informację, że wartość objectClass to invalid per syntax, upewnij się, że mapowanie atrybutu aprowizacji z atrybutem objectClass zawiera tylko nazwy klas obiektów rozpoznawanych przez serwer katalogów.

Aby uzyskać informacje o innych błędach, zobacz Rozwiązywanie problemów z aprowizowaniem aplikacji lokalnych.

Jeśli chcesz wstrzymać aprowizowanie do tej aplikacji, na stronie konfiguracji aprowizacji możesz zmienić stan aprowizacji na Wyłączone, a następnie wybrać pozycję Zapisz. Ta akcja uniemożliwia uruchomienie usługi aprowizacji w przyszłości.

Sprawdź, czy użytkownicy zostali pomyślnie aprowizowani

Po oczekiwaniu sprawdź serwer katalogów, aby upewnić się, że użytkownicy są aprowizowani. Zapytanie wykonywane na serwerze katalogów będzie zależeć od tego, jakie polecenia udostępnia serwer katalogów.

Poniższe instrukcje ilustrują sposób sprawdzania usług AD LDS.

1. Otwórz Menedżer serwera i wybierz pozycję AD LDS po lewej stronie.
2. Kliknij prawym przyciskiem myszy wystąpienie usługi AD LDS i wybierz ldp.exe z wyskakującego okienka.
   
3. W górnej części ldp.exe wybierz pozycję Połączenie i połącz.
4. Wprowadź następujące informacje i kliknij przycisk OK.
   • Serwer: APP3
   • Port: 636
   • Umieść zaznaczenie w polu SSL
     
5. U góry w obszarze Połączenie wybierz pozycję Powiąż.
6. Pozostaw wartości domyślne i kliknij przycisk OK.
7. W górnej części wybierz pozycję Widok i Drzewo
8. Dla nazwy BaseDN wprowadź CN=App,DC=contoso,DC=lab i kliknij OK.
9. Po lewej stronie rozwiń nazwę wyróżniającą (DN) i kliknij pozycję CN=CloudUsers,CN=App,DC=contoso,DC=lab. Powinni być widoczni twoi użytkownicy, którzy zostali aprowizowani z identyfikatora Entra firmy Microsoft.
   

Poniższe instrukcje ilustrują sposób sprawdzania biblioteki OpenLDAP.

1. Otwórz okno terminalu z powłoką poleceń na systemie z zainstalowanym OpenLDAP.
2. Wpisz polecenie ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson)
3. Sprawdź, czy wynikowy program LDIF zawiera użytkowników aprowidowanych z identyfikatora Entra firmy Microsoft.

Następne kroki

• Aprowizowanie aplikacji
• Samouczek: łącznik ECMA Connector — uniwersalny łącznik SQL