Aprowizowanie użytkowników w aplikacjach przy użyciu programu PowerShell

  • Artykuł

Poniższa dokumentacja zawiera informacje o konfiguracji i samouczku pokazujące, w jaki sposób ogólny łącznik programu PowerShell i rozszerzalny host Połączenie ivity (ECMA) Połączenie or mogą służyć do integracji identyfikatora Entra firmy Microsoft z systemami zewnętrznymi, które oferują interfejsy API oparte na programie Windows PowerShell.

Aby uzyskać dodatkowe informacje, zobacz Dokumentacja techniczna programu Windows PowerShell Połączenie or

Wymagania wstępne dotyczące aprowizacji za pośrednictwem programu PowerShell

W poniższych sekcjach szczegółowo opisano wymagania wstępne dotyczące tego samouczka.

Pobieranie plików instalacyjnych programu PowerShell

Pobierz pliki instalacyjne programu PowerShell z naszego repozytorium GitHub. Pliki instalacyjne składają się z pliku konfiguracji, pliku wejściowego, pliku schematu i użytych skryptów.

Lokalne wymagania wstępne

Łącznik zapewnia most między możliwościami hosta Połączenie or ECMA i programu Windows PowerShell. Przed użyciem Połączenie or upewnij się, że na serwerze hostowym łącznika są następujące elementy

  • Windows Server 2016 lub nowsza wersja.
  • Co najmniej 3 GB pamięci RAM do hostowania agenta aprowizacji.
  • .NET Framework 4.7.2
  • Windows PowerShell 2.0, 3.0 lub 4.0
  • Połączenie ivity między serwerem hostingu, łącznikiem i systemem docelowym, z którymi współdziałają skrypty programu PowerShell.
  • Zasady wykonywania na serwerze muszą być skonfigurowane tak, aby umożliwić łącznikowi uruchamianie skryptów programu Windows PowerShell. Jeśli skrypty, które są uruchamiane przez łącznik, są podpisane cyfrowo, skonfiguruj zasady wykonywania, uruchamiając następujące polecenie:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • Wdrożenie tego łącznika wymaga co najmniej jednego skryptu programu PowerShell. Niektóre produkty firmy Microsoft mogą udostępniać skrypty do użycia z tym łącznikiem, a instrukcja pomocy technicznej dla tych skryptów będzie dostarczana przez ten produkt. Jeśli tworzysz własne skrypty do użycia z tym łącznikiem, musisz zapoznać się z interfejsem API agenta usługi Extensible Połączenie ivity Management, aby opracowywać i obsługiwać te skrypty. Jeśli integrujesz się z systemami innych firm przy użyciu własnych skryptów w środowisku produkcyjnym, zalecamy pracę z dostawcą lub partnerem wdrażania innej firmy, aby uzyskać pomoc, wskazówki i pomoc techniczną dotyczącą tej integracji.

Wymagania dotyczące chmury

  • Dzierżawa firmy Microsoft Entra z identyfikatorem Microsoft Entra ID P1 lub Premium P2 (lub EMS E3 lub E5). Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
  • Rola Administracja istrator tożsamości hybrydowej na potrzeby konfigurowania agenta aprowizacji i Administracja istratora aplikacji w chmurze lub ról Administracja istratora aplikacji w chmurze na potrzeby konfigurowania aprowizacji w witrynie Azure Portal.
  • Aby aprowizować użytkowników usługi Microsoft Entra, muszą być już wypełnieni wszystkimi atrybutami wymaganymi przez schemat.

Pobieranie, instalowanie i konfigurowanie pakietu microsoft Entra Połączenie Provisioning Agent

Jeśli agent aprowizacji został już pobrany i skonfigurowany dla innej aplikacji lokalnej, kontynuuj czytanie w następnej sekcji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator tożsamości hybrydowej.
  2. Przejdź do zarządzania hybrydowego>tożsamością>Firmy Microsoft Entra Połączenie> Agentów synchronizacji>w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Wybierz pozycję Pobierz agenta lokalnego, przejrzyj warunki świadczenia usługi, a następnie wybierz pozycję Akceptuj warunki i pobierz.

    Uwaga

    Użyj różnych agentów aprowizacji dla aprowizacji aplikacji lokalnych, a firma Microsoft Entra Połączenie synchronizacji chmury / aprowizacji opartej na hr. Wszystkie trzy scenariusze nie powinny być zarządzane na tym samym agencie.

  2. Otwórz instalatora agenta aprowizacji, zaakceptuj warunki świadczenia usługi i wybierz pozycję Zainstaluj.

  3. Po otwarciu kreatora konfiguracji agenta aprowizacji firmy Microsoft przejdź do karty Wybierz rozszerzenie i wybierz pozycję Aprowizowanie aplikacji lokalnych po wyświetleniu monitu o włączenie rozszerzenia.

  4. Agent aprowizacji używa przeglądarki internetowej systemu operacyjnego do wyświetlania okna podręcznego służącego do uwierzytelniania w identyfikatorze Entra firmy Microsoft, a potencjalnie także dostawcy tożsamości organizacji. Jeśli używasz przeglądarki Internet Explorer jako przeglądarki w systemie Windows Server, może być konieczne dodanie witryn internetowych firmy Microsoft do listy zaufanych witryn przeglądarki, aby umożliwić poprawne uruchamianie języka JavaScript.

  5. Po wyświetleniu monitu o autoryzację podaj poświadczenia administratora firmy Microsoft Entra. Użytkownik musi mieć co najmniej rolę Administracja istratora tożsamości hybrydowej.

  6. Wybierz pozycję Potwierdź , aby potwierdzić ustawienie. Po pomyślnym zakończeniu instalacji możesz wybrać pozycję Zakończ, a także zamknąć instalatora pakietu agenta aprowizacji.

Konfigurowanie lokalnej aplikacji ECMA

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.
  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  3. Wybierz pozycję Nowa aplikacja.
  4. Wyszukaj lokalną aplikację ECMA, nadaj aplikacji nazwę i wybierz pozycję Utwórz , aby dodać ją do dzierżawy.
  5. Przejdź do strony Aprowizacja aplikacji.
  6. Wybierz Rozpocznij.
  7. Na stronie Aprowizowanie zmień tryb na Automatyczny.
  8. W sekcji Lokalna Połączenie ivity wybierz właśnie wdrożonego agenta i wybierz pozycję Przypisz agentów.
  9. Pozostaw to okno przeglądarki otwarte po zakończeniu następnego kroku konfiguracji przy użyciu kreatora konfiguracji.

Umieść plik InputFile.txt i Schema.xml w lokalizacjach

Przed utworzeniem łącznika programu PowerShell na potrzeby tego samouczka należy skopiować InputFile.txt i Schema.xml plik do odpowiednich lokalizacji. Te pliki są wymagane do pobrania w sekcji Pobieranie plików instalacyjnych programu PowerShell.

Plik lokalizacja
InputFile.txt C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData
Schema.xml C:\Program Files\Microsoft ECMA2Host\Service\ECMA

Konfigurowanie certyfikatu hosta usługi Microsoft Entra ECMA Połączenie or

  1. W systemie Windows Server, w którym jest zainstalowany agent aprowizacji, kliknij prawym przyciskiem myszy Kreatora konfiguracji Microsoft ECMA2Host z menu Start i uruchom jako administrator. Uruchomienie jako administrator systemu Windows jest niezbędne do utworzenia niezbędnych dzienników zdarzeń systemu Windows przez kreatora.
  2. Po uruchomieniu konfiguracji hosta usługi ECMA Połączenie or po pierwszym uruchomieniu kreatora zostanie wyświetlony monit o utworzenie certyfikatu. Pozostaw domyślny port 8585 i wybierz pozycję Generuj certyfikat , aby wygenerować certyfikat. Automatycznie wygenerowany certyfikat zostanie podpisany samodzielnie w ramach zaufanego katalogu głównego. Nazwa SAN certyfikatu jest zgodna z nazwą hosta.
  3. Wybierz pozycję Zapisz.

Tworzenie Połączenie programu PowerShell

Ekran ogólny

  1. Uruchom Kreatora konfiguracji microsoft ECMA2Host z menu Start.

  2. W górnej części wybierz pozycję Importuj i wybierz plik configuration.xml z kroku 1.

  3. Nowy łącznik powinien zostać utworzony i wyświetlony na czerwono. Kliknij przycisk Edytuj.

  4. Wygeneruj token tajny używany do uwierzytelniania identyfikatora entra firmy Microsoft w łączniku. Minimalna liczba znaków i unikatowa dla każdej aplikacji powinna wynosić 12 znaków. Jeśli nie masz jeszcze generatora wpisów tajnych, możesz użyć polecenia programu PowerShell, takiego jak poniżej, aby wygenerować przykładowy ciąg losowy.

    -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})

  5. Na stronie Właściwości należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.

    Właściwości Wartość
    Nazwisko Nazwa wybrana dla łącznika, która powinna być unikatowa dla wszystkich łączników w danym środowisku. Na przykład PowerShell.
    Czasomierz autosync (minuty) 120
    Token tajny Tutaj wprowadź swój token tajny. Minimalna liczba znaków powinna wynosić 12 znaków.
    Biblioteka DLL rozszerzenia W przypadku łącznika programu PowerShell wybierz pozycję Microsoft.IAM.PołączenieLub. PowerShell.dll.

Zrzut ekranu przedstawiający ekran ogólny.

Łączność

Karta łączność umożliwia podanie parametrów konfiguracji na potrzeby nawiązywania połączenia z systemem zdalnym. Skonfiguruj kartę łączność z informacjami podanymi w tabeli.

  • Na stronie Połączenie ivity należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran łączności.

Parametr Wartość Purpose
Serwer <Blank> Nazwa serwera, z którą łącznik powinien się połączyć.
Domain <Blank> Domena poświadczeń do przechowywania do użycia podczas uruchamiania łącznika.
User <Blank> Nazwa użytkownika poświadczeń do przechowywania do użycia podczas uruchamiania łącznika.
Hasło <Blank> Hasło poświadczenia do przechowywania do użycia podczas uruchamiania łącznika.
Personifikuj konto Połączenie or Niezaznaczone W przypadku wartości true usługa synchronizacji uruchamia skrypty programu Windows PowerShell w kontekście podanych poświadczeń. Jeśli to możliwe, zaleca się przekazanie parametru $Credentials do każdego skryptu zamiast personifikacji.
Ładowanie profilu użytkownika podczas personifikacji Niezaznaczone Nakazuje systemowi Windows załadowanie profilu użytkownika poświadczeń łącznika podczas personifikacji. Jeśli personifikowany użytkownik ma profil mobilny, łącznik nie ładuje profilu mobilnego.
Typ logowania podczas personifikacji Brak Typ logowania podczas personifikacji. Aby uzyskać więcej informacji, zobacz dokumentację dwLogonType .
Tylko podpisane skrypty Niezaznaczone Jeśli to prawda, łącznik programu Windows PowerShell sprawdza, czy każdy skrypt ma prawidłowy podpis cyfrowy. Jeśli wartość false, upewnij się, że zasady wykonywania programu Windows PowerShell serwera usługi synchronizacji są remoteSigned lub Unrestricted.
Nazwa skryptu wspólnego modułu (z rozszerzeniem) xADSyncPS Połączenie orModule.psm1 Łącznik umożliwia przechowywanie udostępnionego modułu programu Windows PowerShell w konfiguracji. Gdy łącznik uruchamia skrypt, moduł programu Windows PowerShell jest wyodrębniany do systemu plików, aby można go było zaimportować za pomocą każdego skryptu.
Wspólny skrypt modułu Ad Sync PowerShell Połączenie or Module code as value (Kod modułu Połączenie or w usłudze AD Sync). Ten moduł zostanie automatycznie utworzony przez ecMA2Host po uruchomieniu łącznika.
Skrypt weryfikacji <Blank> Skrypt weryfikacji jest opcjonalnym skryptem programu Windows PowerShell, który może służyć do zapewnienia, że parametry konfiguracji łącznika dostarczone przez administratora są prawidłowe.
Skrypt schematu GetSchema kod jako wartość.
Dodatkowe nazwy parametrów konfiguracji FileName,Ogranicznik,Kodowanie Oprócz standardowych ustawień konfiguracji można zdefiniować dodatkowe niestandardowe ustawienia konfiguracji specyficzne dla wystąpienia Połączenie or. Te parametry można określić na poziomie łącznika, partycji lub kroku uruchamiania i uzyskiwać do nich dostęp za pomocą odpowiedniego skryptu programu Windows PowerShell.
Dodatkowe nazwy parametrów konfiguracji zaszyfrowanej <Blank>

Możliwości

Karta możliwości definiuje zachowanie i funkcjonalność łącznika. Nie można zmodyfikować wybranych opcji na tej karcie po utworzeniu łącznika. Skonfiguruj kartę możliwości z informacjami podanymi w tabeli.

  • Na stronie Możliwości należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran możliwości.

Parametr Wartość Purpose
Styl nazwy wyróżniającej Brak Wskazuje, czy łącznik obsługuje nazwy wyróżniające, a jeśli tak, jaki jest styl.
Typ eksportu ObjectReplace Określa typ obiektów, które są prezentowane do skryptu Eksportuj.
Normalizacja danych Brak Nakazuje usłudze synchronizacji normalizację atrybutów kotwicy przed ich udostępnieniem skryptom.
Potwierdzenie obiektu Normalna Jest to ignorowane.
Używanie nazwy DN jako kotwicy Niezaznaczone Jeśli styl wyróżniającej nazwy jest ustawiony na LDAP, atrybut kotwicy dla przestrzeni łącznika jest również nazwą wyróżniającą.
Współbieżne operacje kilku Połączenie or Zaznaczone Po zaznaczeniu wielu łączników programu Windows PowerShell można uruchomić jednocześnie.
Partycje Niezaznaczone Po zaznaczeniu łącznik obsługuje wiele partycji i odnajdywania partycji.
Hierarchia Niezaznaczone Po zaznaczeniu łącznik obsługuje hierarchiczną strukturę stylu LDAP.
Włącz importowanie Zaznaczone Po zaznaczeniu tego ustawienia łącznik importuje dane za pośrednictwem skryptów importu.
Włącz importowanie różnicowe Niezaznaczone Po sprawdzeniu łącznik może żądać różnic z skryptów importu.
Włącz eksportowanie Zaznaczone Po zaznaczeniu łącznik eksportuje dane za pośrednictwem skryptów eksportu.
Włączanie pełnego eksportu Zaznaczone Nieobsługiwane. Zostanie to zignorowane.
Brak wartości odwołania w pierwszym przebiegu eksportu Niezaznaczone Po zaznaczeniu atrybuty odwołania są eksportowane w drugim przebiegu eksportu.
Włączanie zmiany nazwy obiektu Niezaznaczone Po zaznaczeniu można modyfikować nazwy wyróżniające.
Usuń dodaj jako zamień Zaznaczone Nieobsługiwane. Zostanie to zignorowane.
Włącz hasło eksportu w pierwszym przebiegu Niezaznaczone Nieobsługiwane. Zostanie to zignorowane.

Parametry globalne

Karta Parametry globalne umożliwia skonfigurowanie skryptów programu Windows PowerShell uruchamianych przez łącznik. Można również skonfigurować wartości globalne dla niestandardowych ustawień konfiguracji zdefiniowanych na karcie Połączenie ivity. Skonfiguruj kartę parametry globalne z informacjami podanymi w tabeli.

  • Na stronie Parametry globalne należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran globalny.

Parametr Wartość
Skrypt partycji <Blank>
Skrypt hierarchii <Blank>
Rozpocznij importowanie skryptu <Blank>
Importowanie skryptu Wklej skrypt importu jako wartość
Zakończ importowanie skryptu <Blank>
Rozpocznij eksportowanie skryptu <Blank>
Eksportowanie skryptu Wklej skrypt importu jako wartość
Zakończ eksportowanie skryptu <Blank>
Rozpoczynanie skryptu hasła <Blank>
Skrypt rozszerzenia hasła <Blank>
Zakończ skrypt hasła <Blank>
FileName_Global InputFile.txt
Delimiter_Global ;
Encoding_Global <Puste> (domyślnie utF8)

Partycje, profile uruchamiania, eksportowanie, pełneImportowanie

Zachowaj wartości domyślne i kliknij przycisk Dalej.

Typy obiektów

Skonfiguruj kartę typy obiektów z informacjami podanymi w tabeli.

  • Na stronie Typy obiektów należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran typów obiektów.

Parametr Wartość
Obiekt docelowy Osoba
Kotwica AzureObjectID
Atrybut zapytania AzureObjectID
DN AzureObjectID

Wybierz atrybuty

Upewnij się, że wybrano następujące atrybuty:

  • Na stronie Wybierz atrybuty należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.

  • AzureObjectID

  • Isactive

  • DisplayName

  • IdPracownika

  • Tytuł

  • UserName

  • Email

Zrzut ekranu przedstawiający ekran wybierania atrybutów.

Anulowanie aprowizacji

Na stronie Anulowanie aprowizacji możesz określić, czy chcesz, aby identyfikator Entra firmy Microsoft usuwał użytkowników z katalogu, gdy wyjdą poza zakres aplikacji. Jeśli tak, w obszarze Wyłącz przepływ wybierz pozycję Usuń, a następnie w obszarze Usuń przepływ wybierz pozycję Usuń. Jeśli zostanie wybrana opcja Ustaw wartość atrybutu, atrybuty wybrane na poprzedniej stronie nie będą dostępne do wybrania na stronie Anulowanie aprowizacji.

  • Na stronie Anulowanie aprowizacji należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran anulowania aprowizacji.

Upewnij się, że usługa ECMA2Host jest uruchomiona i może odczytywać z pliku za pomocą programu PowerShell

Wykonaj następujące kroki, aby potwierdzić, że host łącznika został uruchomiony i zidentyfikował wszystkich istniejących użytkowników z systemu docelowego.

  1. Na serwerze z uruchomionym hostem usługi Microsoft Entra ECMA Połączenie or wybierz pozycję Uruchom.
  2. W razie potrzeby wybierz pozycję Uruchom , a następnie wprowadź ciąg services.msc w polu .
  3. Na liście Usługi upewnij się, że host Microsoft ECMA2Host jest obecny i uruchomiony. Jeśli nie jest uruchomiony, wybierz pozycję Uruchom.
  4. Na serwerze z uruchomionym hostem microsoft Entra ECMA Połączenie or uruchom program PowerShell.
  5. Przejdź do folderu, w którym zainstalowano hosta ECMA, na przykład C:\Program Files\Microsoft ECMA2Host.
  6. Przejdź do podkatalogu Troubleshooting.
  7. Uruchom skrypt TestECMA2HostConnection.ps1 w katalogu, jak pokazano, i podaj jako argumenty nazwę łącznika ObjectTypePath i wartość cache. Jeśli host łącznika nie nasłuchuje na porcie TCP 8585, może być również konieczne podanie argumentu -Port . Po wyświetleniu monitu wpisz token tajny skonfigurowany dla tego łącznika. 
    PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9
Supply values for the following parameters:
SecretToken: ************
  8. Jeśli skrypt wyświetli komunikat o błędzie lub ostrzeżeniu, sprawdź, czy usługa jest uruchomiona, a nazwa łącznika i token tajny są zgodne z tymi wartościami skonfigurowanymi w kreatorze konfiguracji.
  9. Jeśli skrypt wyświetli dane wyjściowe False, łącznik nie widział żadnych wpisów w źródłowym systemie docelowym dla istniejących użytkowników. Jeśli jest to nowa instalacja systemu docelowego, to zachowanie jest oczekiwane i można kontynuować w następnej sekcji.
  10. Jeśli jednak system docelowy zawiera już co najmniej jednego użytkownika, ale wyświetlany Falseskrypt oznacza, że ten stan wskazuje, że łącznik nie może odczytać z systemu docelowego. Jeśli spróbujesz aprowizować, identyfikator Entra firmy Microsoft może nie być poprawnie zgodny z użytkownikami w tym katalogu źródłowym z użytkownikami w identyfikatorze Entra firmy Microsoft. Poczekaj kilka minut, aż host łącznika zakończy odczytywanie obiektów z istniejącego systemu docelowego, a następnie uruchom ponownie skrypt. Jeśli dane wyjściowe będą nadal mieć Falsewartość , sprawdź konfigurację łącznika i uprawnienia w systemie docelowym zezwalają łącznikowi na odczytywanie istniejących użytkowników.

Testowanie połączenia z identyfikatora Entra firmy Microsoft do hosta łącznika

  1. Wróć do okna przeglądarki internetowej, w którym skonfigurowano aprowizację aplikacji w portalu.

    Uwaga

    Jeśli upłynął limit czasu okna, musisz ponownie wybrać agenta.

    1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.
    2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
    3. Wybierz lokalną aplikację ECMA.
    4. Wybierz pozycję Aprowizowanie.
    5. Jeśli pojawi się okno Wprowadzenie, zmień tryb na Automatyczny w sekcji Lokalna Połączenie ivity wybierz właśnie wdrożonego agenta, a następnie wybierz pozycję Przypisz agentów i poczekaj 10 minut. W przeciwnym razie przejdź do pozycji Edytuj aprowizację.

  2. W sekcji Administracja credentials (Poświadczenia Administracja) wprowadź następujący adres URL. Zastąp connectorName część nazwą łącznika na hoście ECMA, na przykład PowerShell. Jeśli podano certyfikat z urzędu certyfikacji dla hosta ECMA, zastąp ciąg localhost nazwą hosta serwera, na którym jest zainstalowany host ECMA.

    Właściwości Wartość
    Adres URL dzierżawy https://localhost:8585/ecma2host_connectorName/scim

  3. Wprowadź wartość tokenu wpisu tajnego zdefiniowaną podczas tworzenia łącznika.

    Uwaga

    Jeśli właśnie przypisano agenta do aplikacji, zaczekaj 10 minut na ukończenie rejestracji. Test łączności nie będzie działać, dopóki rejestracja nie zostanie ukończona. Wymuszanie ukończenia rejestracji agenta przez ponowne uruchomienie agenta aprowizacji na serwerze może przyspieszyć proces rejestracji. Przejdź do serwera, wyszukaj usługi na pasku wyszukiwania systemu Windows, zidentyfikuj usługę Microsoft Entra Połączenie Provisioning Agent, kliknij prawym przyciskiem myszy usługę i uruchom ponownie.

  4. Wybierz pozycję Test Połączenie ion i zaczekaj minutę.

  5. Po pomyślnym przetestowaniu połączenia i wskazaniu, że podane poświadczenia są autoryzowane do włączenia aprowizacji, wybierz pozycję Zapisz.

Konfigurowanie połączenia aplikacji

Wróć do okna przeglądarki internetowej, w którym skonfigurowano aprowizację aplikacji.

Uwaga

Jeśli upłynął limit czasu okna, musisz ponownie wybrać agenta.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

  3. Wybierz lokalną aplikację ECMA.

  4. Wybierz pozycję Aprowizowanie.

  5. Jeśli pojawi się okno Wprowadzenie, zmień tryb na Automatyczny w sekcji Lokalna Połączenie ivity wybierz wdrożonego agenta i wybierz pozycję Przypisz agentów. W przeciwnym razie przejdź do pozycji Edytuj aprowizację.

  6. W sekcji Administracja credentials (Poświadczenia Administracja) wprowadź następujący adres URL. Zastąp {connectorName} część nazwą łącznika na hoście łącznika ECMA, takim jak CSV. W nazwie łącznika jest rozróżniana wielkość liter i powinna mieć taki sam przypadek, jak skonfigurowano w kreatorze. Możesz również zastąpić localhost ciąg nazwą hosta maszyny.

    Właściwości Wartość
    Adres URL dzierżawy https://localhost:8585/ecma2host_CSV/scim

  7. Wprowadź wartość tokenu wpisu tajnego zdefiniowaną podczas tworzenia łącznika.

    Uwaga

    Jeśli właśnie przypisano agenta do aplikacji, zaczekaj 10 minut na ukończenie rejestracji. Test łączności nie będzie działać, dopóki rejestracja nie zostanie ukończona. Wymuszanie ukończenia rejestracji agenta przez ponowne uruchomienie agenta aprowizacji na serwerze może przyspieszyć proces rejestracji. Przejdź do serwera, wyszukaj usługi na pasku wyszukiwania systemu Windows, zidentyfikuj usługę Microsoft Entra Połączenie Provisioning Agent, kliknij prawym przyciskiem myszy usługę i uruchom ponownie.

  8. Wybierz pozycję Test Połączenie ion i zaczekaj minutę.

  9. Po pomyślnym przetestowaniu połączenia i wskazaniu, że podane poświadczenia są autoryzowane do włączenia aprowizacji, wybierz pozycję Zapisz.

Konfigurowanie mapowań atrybutów

Teraz musisz mapować atrybuty między reprezentacją użytkownika w identyfikatorze Entra firmy Microsoft i reprezentacją użytkownika w InputFile.txt lokalnym.

Użyjesz witryny Azure Portal, aby skonfigurować mapowanie między atrybutami użytkownika firmy Microsoft Entra i atrybutami wybranymi wcześniej w kreatorze konfiguracji hosta ECMA.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

  3. Wybierz lokalną aplikację ECMA.

  4. Wybierz pozycję Aprowizowanie.

  5. Wybierz pozycję Edytuj aprowizację i poczekaj 10 sekund.

  6. Rozwiń węzeł Mapowania i wybierz pozycję Aprowizuj użytkowników firmy Microsoft Entra. Jeśli po raz pierwszy skonfigurowano mapowania atrybutów dla tej aplikacji, dla symbolu zastępczego będzie istnieć tylko jedno mapowanie.

  7. Aby potwierdzić, że schemat jest dostępny w identyfikatorze Entra firmy Microsoft, zaznacz pole wyboru Pokaż opcje zaawansowane i wybierz pozycję Edytuj listę atrybutów dla pozycji ScimOnPremises. Upewnij się, że wszystkie atrybuty wybrane w kreatorze konfiguracji są wyświetlane. Jeśli tak nie jest, zaczekaj kilka minut na odświeżenie schematu, a następnie załaduj ponownie stronę. Po wyświetleniu atrybutów na liście anuluj z tej strony, aby powrócić do listy mapowań.

  8. Teraz kliknij mapowanie symbolu ZASTĘPCZEgo userPrincipalName . To mapowanie jest domyślnie dodawane podczas pierwszej konfiguracji aprowizacji lokalnej. Zmień wartość tak, aby odpowiadała następującej wartości:

    Typ mapowania Atrybut źródłowy Atrybut docelowy
    Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName

  9. Teraz wybierz pozycję Dodaj nowe mapowanie i powtórz następny krok dla każdego mapowania.

  10. Określ atrybuty źródłowe i docelowe dla każdego mapowania w poniższej tabeli.

    Typ mapowania Atrybut źródłowy Atrybut docelowy
    Direct objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID
    Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName
    Direct displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName
    Direct Idpracownika urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId
    Direct jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title
    Direct poczta urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Wyrażenie Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive

    Zrzut ekranu przedstawiający mapowania atrybutów.

  11. Po dodaniu wszystkich mapowań wybierz pozycję Zapisz.

Przypisywanie użytkowników do aplikacji

Teraz, gdy masz skonfigurowaną usługę Microsoft Entra ECMA Połączenie or host z identyfikatorem Entra firmy Microsoft i skonfigurowanym mapowaniem atrybutów, możesz przejść do konfigurowania osób w zakresie aprowizacji.

Ważne

Jeśli zalogowano się przy użyciu roli Administracja istratora tożsamości hybrydowej, musisz wylogować się i zalogować się przy użyciu konta z co najmniej rolą application Administracja istrator w tej sekcji. Rola Administracja istrator tożsamości hybrydowej nie ma uprawnień do przypisywania użytkowników do aplikacji.

Jeśli w InputFile.txt istnieją użytkownicy, należy utworzyć przypisania ról aplikacji dla tych istniejących użytkowników. Aby dowiedzieć się więcej na temat zbiorczego tworzenia przypisań ról aplikacji, zobacz Zarządzanie istniejącymi użytkownikami aplikacji w identyfikatorze Entra firmy Microsoft.

W przeciwnym razie, jeśli nie ma bieżących użytkowników aplikacji, wybierz użytkownika testowego z firmy Microsoft Entra, który zostanie aprowizacji w aplikacji.

  1. Upewnij się, że wybrany użytkownik ma wszystkie właściwości zamapowane na wymagane atrybuty schematu.
  2. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.
  3. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  4. Wybierz lokalną aplikację ECMA.
  5. Po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy i grupy.
  6. Wybierz pozycję Dodaj użytkownika/grupę.
  7. W obszarze Użytkownicy wybierz pozycję Brak zaznaczone.
  8. Wybierz użytkowników z prawej strony i wybierz przycisk Wybierz .
  9. Teraz wybierz pozycję Przypisz.

Testowanie aprowizacji

Po zamapowaniu atrybutów i przypisaniu użytkowników możesz przetestować aprowizację na żądanie przy użyciu jednego z użytkowników.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.
  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  3. Wybierz lokalną aplikację ECMA.
  4. Wybierz pozycję Aprowizowanie.
  5. Wybierz pozycję Aprowizuj na żądanie.
  6. Wyszukaj jednego z użytkowników testowych i wybierz pozycję Aprowizuj.
  7. Po kilku sekundach zostanie wyświetlony komunikat Pomyślnie utworzono użytkownika w systemie docelowym z listą atrybutów użytkownika.

Rozpoczynanie aprowizacji użytkowników

  1. Po pomyślnym zainicjowaniu aprowizacji na żądanie wróć do strony konfiguracji aprowizacji. Upewnij się, że zakres jest ustawiony na tylko przypisanych użytkowników i grupy, włącz aprowizację i wybierz pozycję Zapisz.
  2. Poczekaj kilka minut na rozpoczęcie aprowizacji. Może upłynąć do 40 minut. Po zakończeniu zadania aprowizacji, zgodnie z opisem w następnej sekcji, jeśli skończysz testowanie, możesz zmienić stan aprowizacji na Wyłączone, a następnie wybrać pozycję Zapisz. Ta akcja uniemożliwia uruchomienie usługi aprowizacji w przyszłości.

Następne kroki