Aprowizowanie użytkowników w aplikacjach przy użyciu programu PowerShell
Poniższa dokumentacja zawiera informacje o konfiguracji i samouczku pokazujące, jak ogólny łącznik programu PowerShell i host łącznika extensible Connectivity (ECMA) mogą służyć do integracji identyfikatora Entra firmy Microsoft z systemami zewnętrznymi, które oferują interfejsy API oparte na programie Windows PowerShell.
Aby uzyskać dodatkowe informacje, zobacz Dokumentacja techniczna łącznika programu Windows PowerShell
Wymagania wstępne dotyczące aprowizacji za pośrednictwem programu PowerShell
W poniższych sekcjach szczegółowo opisano wymagania wstępne dotyczące tego samouczka.
Pobieranie plików instalacyjnych programu PowerShell
Pobierz pliki instalacyjne programu PowerShell z naszego repozytorium GitHub. Pliki instalacyjne składają się z pliku konfiguracji, pliku wejściowego, pliku schematu i użytych skryptów.
Lokalne wymagania wstępne
Łącznik zapewnia most między możliwościami hosta łącznika ECMA i programu Windows PowerShell. Przed użyciem łącznika upewnij się, że na serwerze hostowym łącznika są następujące elementy
- Windows Server 2016 lub nowsza wersja.
- Co najmniej 3 GB pamięci RAM do hostowania agenta aprowizacji.
- .NET Framework 4.7.2
- Windows PowerShell 2.0, 3.0 lub 4.0
- Łączność między serwerem hostingu, łącznikiem i systemem docelowym, z którymi współdziałają skrypty programu PowerShell.
- Zasady wykonywania na serwerze muszą być skonfigurowane tak, aby umożliwić łącznikowi uruchamianie skryptów programu Windows PowerShell. Jeśli skrypty, które są uruchamiane przez łącznik, są podpisane cyfrowo, skonfiguruj zasady wykonywania, uruchamiając następujące polecenie:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- Wdrożenie tego łącznika wymaga co najmniej jednego skryptu programu PowerShell. Niektóre produkty firmy Microsoft mogą udostępniać skrypty do użycia z tym łącznikiem, a instrukcja pomocy technicznej dla tych skryptów będzie dostarczana przez ten produkt. Jeśli tworzysz własne skrypty do użycia z tym łącznikiem, musisz zapoznać się z interfejsem API extensible Connectivity Management Agent, aby opracowywać i obsługiwać te skrypty. Jeśli integrujesz się z systemami innych firm przy użyciu własnych skryptów w środowisku produkcyjnym, zalecamy pracę z dostawcą lub partnerem wdrażania innej firmy, aby uzyskać pomoc, wskazówki i pomoc techniczną dotyczącą tej integracji.
Wymagania dotyczące chmury
- Dzierżawa firmy Microsoft Entra z identyfikatorem Microsoft Entra ID P1 lub Premium P2 (lub EMS E3 lub E5). Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
- Rola administratora tożsamości hybrydowej do konfigurowania agenta aprowizacji oraz ról administratora aplikacji lub administratora aplikacji w chmurze na potrzeby konfigurowania aprowizacji w witrynie Azure Portal.
- Aby aprowizować użytkowników usługi Microsoft Entra, muszą być już wypełnieni wszystkimi atrybutami wymaganymi przez schemat.
Pobieranie, instalowanie i konfigurowanie pakietu agenta aprowizacji programu Microsoft Entra Connect
Jeśli agent aprowizacji został już pobrany i skonfigurowany dla innej aplikacji lokalnej, kontynuuj czytanie w następnej sekcji.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
- Przejdź do sekcji Identity>Hybrid Management Microsoft Entra Connect Cloud sync Agents (Zarządzanie tożsamościami hybrydowymi>) Microsoft Entra Connect Cloud sync Agents (Agenci synchronizacji chmury>programu Microsoft Entra Connect).>
Wybierz pozycję Pobierz agenta lokalnego, przejrzyj warunki świadczenia usługi, a następnie wybierz pozycję Akceptuj warunki i pobierz.
Uwaga
Użyj różnych agentów aprowizacji dla aprowizacji aplikacji lokalnych i synchronizacji chmury microsoft Entra Connect / aprowizacji opartej na hr. Wszystkie trzy scenariusze nie powinny być zarządzane na tym samym agencie.
Otwórz instalatora agenta aprowizacji, zaakceptuj warunki świadczenia usługi i wybierz pozycję Zainstaluj.
Po otwarciu kreatora konfiguracji agenta aprowizacji firmy Microsoft przejdź do karty Wybierz rozszerzenie i wybierz pozycję Aprowizowanie aplikacji lokalnych po wyświetleniu monitu o włączenie rozszerzenia.
Agent aprowizacji używa przeglądarki internetowej systemu operacyjnego do wyświetlania okna podręcznego służącego do uwierzytelniania w identyfikatorze Entra firmy Microsoft, a potencjalnie także dostawcy tożsamości organizacji. Jeśli używasz przeglądarki Internet Explorer jako przeglądarki w systemie Windows Server, może być konieczne dodanie witryn internetowych firmy Microsoft do listy zaufanych witryn przeglądarki, aby umożliwić poprawne uruchamianie języka JavaScript.
Po wyświetleniu monitu o autoryzację podaj poświadczenia administratora firmy Microsoft Entra. Użytkownik musi mieć co najmniej rolę administratora tożsamości hybrydowej.
Wybierz pozycję Potwierdź , aby potwierdzić ustawienie. Po pomyślnym zakończeniu instalacji możesz wybrać pozycję Zakończ, a także zamknąć instalatora pakietu agenta aprowizacji.
Konfigurowanie lokalnej aplikacji ECMA
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
- Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
- Wybierz pozycję Nowa aplikacja.
- Wyszukaj lokalną aplikację ECMA, nadaj aplikacji nazwę i wybierz pozycję Utwórz , aby dodać ją do dzierżawy.
- Przejdź do strony Aprowizacja aplikacji.
- Wybierz Rozpocznij.
- Na stronie Aprowizowanie zmień tryb na Automatyczny.
- W sekcji Łączność lokalna wybierz właśnie wdrożonego agenta i wybierz pozycję Przypisz agentów.
- Pozostaw to okno przeglądarki otwarte po zakończeniu następnego kroku konfiguracji przy użyciu kreatora konfiguracji.
Umieść plik InputFile.txt i Schema.xml w lokalizacjach
Przed utworzeniem łącznika programu PowerShell na potrzeby tego samouczka należy skopiować InputFile.txt i Schema.xml plik do odpowiednich lokalizacji. Te pliki są wymagane do pobrania w sekcji Pobieranie plików instalacyjnych programu PowerShell.
Plik | lokalizacja |
---|---|
InputFile.txt | C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData |
Schema.xml | C:\Program Files\Microsoft ECMA2Host\Service\ECMA |
Konfigurowanie certyfikatu hosta łącznika ECMA firmy Microsoft
- W systemie Windows Server, w którym jest zainstalowany agent aprowizacji, kliknij prawym przyciskiem myszy Kreatora konfiguracji Microsoft ECMA2Host z menu Start i uruchom jako administrator. Uruchomienie jako administrator systemu Windows jest niezbędne do utworzenia niezbędnych dzienników zdarzeń systemu Windows przez kreatora.
- Po uruchomieniu konfiguracji hosta łącznika ECMA po pierwszym uruchomieniu kreatora zostanie wyświetlony monit o utworzenie certyfikatu. Pozostaw domyślny port 8585 i wybierz pozycję Generuj certyfikat , aby wygenerować certyfikat. Automatycznie wygenerowany certyfikat zostanie podpisany samodzielnie w ramach zaufanego katalogu głównego. Nazwa SAN certyfikatu jest zgodna z nazwą hosta.
- Wybierz pozycję Zapisz.
Tworzenie łącznika programu PowerShell
Ekran ogólny
Uruchom Kreatora konfiguracji microsoft ECMA2Host z menu Start.
W górnej części wybierz pozycję Importuj i wybierz plik configuration.xml z kroku 1.
Nowy łącznik powinien zostać utworzony i wyświetlony na czerwono. Kliknij przycisk Edytuj.
Wygeneruj token tajny używany do uwierzytelniania identyfikatora entra firmy Microsoft w łączniku. Minimalna liczba znaków i unikatowa dla każdej aplikacji powinna wynosić 12 znaków. Jeśli nie masz jeszcze generatora wpisów tajnych, możesz użyć polecenia programu PowerShell, takiego jak poniżej, aby wygenerować przykładowy ciąg losowy.
-join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
Na stronie Właściwości należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.
Właściwości Wartość Nazwisko Nazwa wybrana dla łącznika, która powinna być unikatowa dla wszystkich łączników w danym środowisku. Na przykład PowerShell
.Czasomierz autosync (minuty) 120 Token tajny Tutaj wprowadź swój token tajny. Minimalna liczba znaków powinna wynosić 12 znaków. Biblioteka DLL rozszerzenia Dla łącznika programu PowerShell wybierz pozycję Microsoft.IAM.Connector.PowerShell.dll.
Łączność
Karta łączność umożliwia podanie parametrów konfiguracji na potrzeby nawiązywania połączenia z systemem zdalnym. Skonfiguruj kartę łączność z informacjami podanymi w tabeli.
- Na stronie Łączność należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.
Parametr | Wartość | Purpose |
---|---|---|
Serwer | <Blank> | Nazwa serwera, z którą łącznik powinien się połączyć. |
Domain | <Blank> | Domena poświadczeń do przechowywania do użycia podczas uruchamiania łącznika. |
User | <Blank> | Nazwa użytkownika poświadczeń do przechowywania do użycia podczas uruchamiania łącznika. |
Hasło | <Blank> | Hasło poświadczenia do przechowywania do użycia podczas uruchamiania łącznika. |
Personifikuj konto łącznika | Niezaznaczone | W przypadku wartości true usługa synchronizacji uruchamia skrypty programu Windows PowerShell w kontekście podanych poświadczeń. Jeśli to możliwe, zaleca się przekazanie parametru $Credentials do każdego skryptu zamiast personifikacji. |
Ładowanie profilu użytkownika podczas personifikacji | Niezaznaczone | Nakazuje systemowi Windows załadowanie profilu użytkownika poświadczeń łącznika podczas personifikacji. Jeśli personifikowany użytkownik ma profil mobilny, łącznik nie ładuje profilu mobilnego. |
Typ logowania podczas personifikacji | Brak | Typ logowania podczas personifikacji. Aby uzyskać więcej informacji, zobacz dokumentację dwLogonType . |
Tylko podpisane skrypty | Niezaznaczone | Jeśli to prawda, łącznik programu Windows PowerShell sprawdza, czy każdy skrypt ma prawidłowy podpis cyfrowy. Jeśli wartość false, upewnij się, że zasady wykonywania programu Windows PowerShell serwera usługi synchronizacji są remoteSigned lub Unrestricted. |
Nazwa skryptu wspólnego modułu (z rozszerzeniem) | xADSyncPSConnectorModule.psm1 | Łącznik umożliwia przechowywanie udostępnionego modułu programu Windows PowerShell w konfiguracji. Gdy łącznik uruchamia skrypt, moduł programu Windows PowerShell jest wyodrębniany do systemu plików, aby można go było zaimportować za pomocą każdego skryptu. |
Wspólny skrypt modułu | Kod modułu łącznika programu PowerShell synchronizacji usługi AD jako wartość. Ten moduł zostanie automatycznie utworzony przez ecMA2Host po uruchomieniu łącznika. | |
Skrypt weryfikacji | <Blank> | Skrypt weryfikacji jest opcjonalnym skryptem programu Windows PowerShell, który może służyć do zapewnienia, że parametry konfiguracji łącznika dostarczone przez administratora są prawidłowe. |
Skrypt schematu | GetSchema kod jako wartość. | |
Dodatkowe nazwy parametrów konfiguracji | FileName,Ogranicznik,Kodowanie | Oprócz standardowych ustawień konfiguracji można zdefiniować dodatkowe niestandardowe ustawienia konfiguracji specyficzne dla wystąpienia łącznika. Te parametry można określić na poziomie łącznika, partycji lub kroku uruchamiania i uzyskiwać do nich dostęp za pomocą odpowiedniego skryptu programu Windows PowerShell. |
Dodatkowe nazwy parametrów konfiguracji zaszyfrowanej | <Blank> |
Możliwości
Karta możliwości definiuje zachowanie i funkcjonalność łącznika. Nie można zmodyfikować wybranych opcji na tej karcie po utworzeniu łącznika. Skonfiguruj kartę możliwości z informacjami podanymi w tabeli.
- Na stronie Możliwości należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.
Parametr | Wartość | Purpose |
---|---|---|
Styl nazwy wyróżniającej | Brak | Wskazuje, czy łącznik obsługuje nazwy wyróżniające, a jeśli tak, jaki jest styl. |
Typ eksportu | ObjectReplace | Określa typ obiektów, które są prezentowane do skryptu Eksportuj. |
Normalizacja danych | Brak | Nakazuje usłudze synchronizacji normalizację atrybutów kotwicy przed ich udostępnieniem skryptom. |
Potwierdzenie obiektu | Normalna | Jest to ignorowane. |
Używanie nazwy DN jako kotwicy | Niezaznaczone | Jeśli styl wyróżniającej nazwy jest ustawiony na LDAP, atrybut kotwicy dla przestrzeni łącznika jest również nazwą wyróżniającą. |
Współbieżne operacje kilku łączników | Zaznaczone | Po zaznaczeniu wielu łączników programu Windows PowerShell można uruchomić jednocześnie. |
Partycje | Niezaznaczone | Po zaznaczeniu łącznik obsługuje wiele partycji i odnajdywania partycji. |
Hierarchia | Niezaznaczone | Po zaznaczeniu łącznik obsługuje hierarchiczną strukturę stylu LDAP. |
Włącz importowanie | Zaznaczone | Po zaznaczeniu tego ustawienia łącznik importuje dane za pośrednictwem skryptów importu. |
Włącz importowanie różnicowe | Niezaznaczone | Po sprawdzeniu łącznik może żądać różnic z skryptów importu. |
Włącz eksportowanie | Zaznaczone | Po zaznaczeniu łącznik eksportuje dane za pośrednictwem skryptów eksportu. |
Włączanie pełnego eksportu | Zaznaczone | Nieobsługiwane. Zostanie to zignorowane. |
Brak wartości odwołania w pierwszym przebiegu eksportu | Niezaznaczone | Po zaznaczeniu atrybuty odwołania są eksportowane w drugim przebiegu eksportu. |
Włączanie zmiany nazwy obiektu | Niezaznaczone | Po zaznaczeniu można modyfikować nazwy wyróżniające. |
Usuń dodaj jako zamień | Zaznaczone | Nieobsługiwane. Zostanie to zignorowane. |
Włącz hasło eksportu w pierwszym przebiegu | Niezaznaczone | Nieobsługiwane. Zostanie to zignorowane. |
Parametry globalne
Karta Parametry globalne umożliwia skonfigurowanie skryptów programu Windows PowerShell uruchamianych przez łącznik. Można również skonfigurować wartości globalne dla niestandardowych ustawień konfiguracji zdefiniowanych na karcie Łączność. Skonfiguruj kartę parametry globalne z informacjami podanymi w tabeli.
- Na stronie Parametry globalne należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.
Parametr | Wartość |
---|---|
Skrypt partycji | <Blank> |
Skrypt hierarchii | <Blank> |
Rozpocznij importowanie skryptu | <Blank> |
Importowanie skryptu | Wklej skrypt importu jako wartość |
Zakończ importowanie skryptu | <Blank> |
Rozpocznij eksportowanie skryptu | <Blank> |
Eksportowanie skryptu | Wklej skrypt importu jako wartość |
Zakończ eksportowanie skryptu | <Blank> |
Rozpoczynanie skryptu hasła | <Blank> |
Skrypt rozszerzenia hasła | <Blank> |
Zakończ skrypt hasła | <Blank> |
FileName_Global | InputFile.txt |
Delimiter_Global | ; |
Encoding_Global | <Puste> (domyślnie utF8) |
Partycje, profile uruchamiania, eksportowanie, pełneImportowanie
Zachowaj wartości domyślne i kliknij przycisk Dalej.
Typy obiektów
Skonfiguruj kartę typy obiektów z informacjami podanymi w tabeli.
- Na stronie Typy obiektów należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.
Parametr | Wartość |
---|---|
Obiekt docelowy | Osoba |
Kotwica | AzureObjectID |
Atrybut zapytania | AzureObjectID |
DN | AzureObjectID |
Wybierz atrybuty
Upewnij się, że wybrano następujące atrybuty:
Na stronie Wybierz atrybuty należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.
AzureObjectID
IsActive
DisplayName
IdPracownika
Tytuł
UserName
Email
Anulowanie aprowizacji
Na stronie Anulowanie aprowizacji możesz określić, czy chcesz, aby identyfikator Entra firmy Microsoft usuwał użytkowników z katalogu, gdy wyjdą poza zakres aplikacji. Jeśli tak, w obszarze Wyłącz przepływ wybierz pozycję Usuń, a następnie w obszarze Usuń przepływ wybierz pozycję Usuń. Jeśli zostanie wybrana opcja Ustaw wartość atrybutu, atrybuty wybrane na poprzedniej stronie nie będą dostępne do wybrania na stronie Anulowanie aprowizacji.
- Na stronie Anulowanie aprowizacji należy wypełnić wszystkie informacje. Tabela jest dostarczana jako odwołanie. Kliknij przycisk Dalej.
Upewnij się, że usługa ECMA2Host jest uruchomiona i może odczytywać z pliku za pomocą programu PowerShell
Wykonaj następujące kroki, aby potwierdzić, że host łącznika został uruchomiony i zidentyfikował wszystkich istniejących użytkowników z systemu docelowego.
- Na serwerze z uruchomionym hostem łącznika Microsoft Entra ECMA wybierz pozycję Uruchom.
- W razie potrzeby wybierz pozycję Uruchom , a następnie wprowadź ciąg services.msc w polu .
- Na liście Usługi upewnij się, że host Microsoft ECMA2Host jest obecny i uruchomiony. Jeśli nie jest uruchomiony, wybierz pozycję Uruchom.
- Na serwerze z uruchomionym hostem łącznika Microsoft Entra ECMA uruchom program PowerShell.
- Przejdź do folderu, w którym zainstalowano hosta ECMA, na przykład
C:\Program Files\Microsoft ECMA2Host
. - Przejdź do podkatalogu
Troubleshooting
. - Uruchom skrypt
TestECMA2HostConnection.ps1
w katalogu, jak pokazano, i podaj jako argumenty nazwę łącznikaObjectTypePath
i wartośćcache
. Jeśli host łącznika nie nasłuchuje na porcie TCP 8585, może być również konieczne podanie argumentu-Port
. Po wyświetleniu monitu wpisz token tajny skonfigurowany dla tego łącznika.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9 Supply values for the following parameters: SecretToken: ************
- Jeśli skrypt wyświetli komunikat o błędzie lub ostrzeżeniu, sprawdź, czy usługa jest uruchomiona, a nazwa łącznika i token tajny są zgodne z tymi wartościami skonfigurowanymi w kreatorze konfiguracji.
- Jeśli skrypt wyświetli dane wyjściowe
False
, łącznik nie widział żadnych wpisów w źródłowym systemie docelowym dla istniejących użytkowników. Jeśli jest to nowa instalacja systemu docelowego, to zachowanie jest oczekiwane i można kontynuować w następnej sekcji. - Jeśli jednak system docelowy zawiera już co najmniej jednego użytkownika, ale wyświetlany
False
skrypt oznacza, że ten stan wskazuje, że łącznik nie może odczytać z systemu docelowego. Jeśli spróbujesz aprowizować, identyfikator Entra firmy Microsoft może nie być poprawnie zgodny z użytkownikami w tym katalogu źródłowym z użytkownikami w identyfikatorze Entra firmy Microsoft. Poczekaj kilka minut, aż host łącznika zakończy odczytywanie obiektów z istniejącego systemu docelowego, a następnie uruchom ponownie skrypt. Jeśli dane wyjściowe będą nadal miećFalse
wartość , sprawdź konfigurację łącznika i uprawnienia w systemie docelowym zezwalają łącznikowi na odczytywanie istniejących użytkowników.
Testowanie połączenia z identyfikatora Entra firmy Microsoft do hosta łącznika
Wróć do okna przeglądarki internetowej, w którym skonfigurowano aprowizację aplikacji w portalu.
Uwaga
Jeśli upłynął limit czasu okna, musisz ponownie wybrać agenta.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
- Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
- Wybierz lokalną aplikację ECMA.
- Wybierz pozycję Aprowizowanie.
- Jeśli pojawi się okno Wprowadzenie , zmień tryb na Automatyczny w sekcji Łączność lokalna wybierz właśnie wdrożonego agenta, a następnie wybierz pozycję Przypisz agentów i odczekaj 10 minut. W przeciwnym razie przejdź do pozycji Edytuj aprowizację.
W sekcji Poświadczenia administratora wprowadź następujący adres URL. Zastąp
connectorName
część nazwą łącznika na hoście ECMA, na przykładPowerShell
. Jeśli podano certyfikat z urzędu certyfikacji dla hosta ECMA, zastąp ciąglocalhost
nazwą hosta serwera, na którym jest zainstalowany host ECMA.Właściwości Wartość Adres URL dzierżawy https://localhost:8585/ecma2host_connectorName/scim Wprowadź wartość tokenu wpisu tajnego zdefiniowaną podczas tworzenia łącznika.
Uwaga
Jeśli właśnie przypisano agenta do aplikacji, zaczekaj 10 minut na ukończenie rejestracji. Test łączności nie będzie działać, dopóki rejestracja nie zostanie ukończona. Wymuszanie ukończenia rejestracji agenta przez ponowne uruchomienie agenta aprowizacji na serwerze może przyspieszyć proces rejestracji. Przejdź do serwera, wyszukaj usługi na pasku wyszukiwania systemu Windows, zidentyfikuj usługę Microsoft Entra Connect Provisioning Agent , kliknij prawym przyciskiem myszy usługę i uruchom ponownie.
Wybierz pozycję Testuj połączenie i zaczekaj minutę.
Po pomyślnym przetestowaniu połączenia i wskazaniu, że podane poświadczenia są autoryzowane do włączenia aprowizacji, wybierz pozycję Zapisz.
Konfigurowanie połączenia aplikacji
Wróć do okna przeglądarki internetowej, w którym skonfigurowano aprowizację aplikacji.
Uwaga
Jeśli upłynął limit czasu okna, musisz ponownie wybrać agenta.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
Wybierz lokalną aplikację ECMA.
Wybierz pozycję Aprowizowanie.
Jeśli pojawi się okno Wprowadzenie , zmień tryb na Automatyczny w sekcji Łączność lokalna wybierz wdrożonego agenta i wybierz pozycję Przypisz agentów. W przeciwnym razie przejdź do pozycji Edytuj aprowizację.
W sekcji Poświadczenia administratora wprowadź następujący adres URL. Zastąp
{connectorName}
część nazwą łącznika na hoście łącznika ECMA, takim jak CSV. W nazwie łącznika jest rozróżniana wielkość liter i powinna mieć taki sam przypadek, jak skonfigurowano w kreatorze. Możesz również zastąpićlocalhost
ciąg nazwą hosta maszyny.Właściwości Wartość Adres URL dzierżawy https://localhost:8585/ecma2host_CSV/scim
Wprowadź wartość tokenu wpisu tajnego zdefiniowaną podczas tworzenia łącznika.
Uwaga
Jeśli właśnie przypisano agenta do aplikacji, zaczekaj 10 minut na ukończenie rejestracji. Test łączności nie będzie działać, dopóki rejestracja nie zostanie ukończona. Wymuszanie ukończenia rejestracji agenta przez ponowne uruchomienie agenta aprowizacji na serwerze może przyspieszyć proces rejestracji. Przejdź do serwera, wyszukaj usługi na pasku wyszukiwania systemu Windows, zidentyfikuj usługę Microsoft Entra Connect Provisioning Agent, kliknij prawym przyciskiem myszy usługę i uruchom ponownie.
Wybierz pozycję Testuj połączenie i zaczekaj minutę.
Po pomyślnym przetestowaniu połączenia i wskazaniu, że podane poświadczenia są autoryzowane do włączenia aprowizacji, wybierz pozycję Zapisz.
Konfigurowanie mapowań atrybutów
Teraz musisz mapować atrybuty między reprezentacją użytkownika w identyfikatorze Entra firmy Microsoft i reprezentacją użytkownika w InputFile.txt lokalnym.
Użyjesz witryny Azure Portal, aby skonfigurować mapowanie między atrybutami użytkownika firmy Microsoft Entra i atrybutami wybranymi wcześniej w kreatorze konfiguracji hosta ECMA.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
Wybierz lokalną aplikację ECMA.
Wybierz pozycję Aprowizowanie.
Wybierz pozycję Edytuj aprowizację i poczekaj 10 sekund.
Rozwiń węzeł Mapowania i wybierz pozycję Aprowizuj użytkowników firmy Microsoft Entra. Jeśli po raz pierwszy skonfigurowano mapowania atrybutów dla tej aplikacji, dla symbolu zastępczego będzie istnieć tylko jedno mapowanie.
Aby potwierdzić, że schemat jest dostępny w identyfikatorze Entra firmy Microsoft, zaznacz pole wyboru Pokaż opcje zaawansowane i wybierz pozycję Edytuj listę atrybutów dla pozycji ScimOnPremises. Upewnij się, że wszystkie atrybuty wybrane w kreatorze konfiguracji są wyświetlane. Jeśli tak nie jest, zaczekaj kilka minut na odświeżenie schematu, a następnie załaduj ponownie stronę. Po wyświetleniu atrybutów na liście anuluj z tej strony, aby powrócić do listy mapowań.
Teraz kliknij mapowanie symbolu ZASTĘPCZEgo userPrincipalName . To mapowanie jest domyślnie dodawane podczas pierwszej konfiguracji aprowizacji lokalnej. Zmień wartość tak, aby odpowiadała następującej wartości:
Typ mapowania Atrybut źródłowy Atrybut docelowy Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Teraz wybierz pozycję Dodaj nowe mapowanie i powtórz następny krok dla każdego mapowania.
Określ atrybuty źródłowe i docelowe dla każdego mapowania w poniższej tabeli.
Typ mapowania Atrybut źródłowy Atrybut docelowy Direct objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Direct displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName Direct employeeId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId Direct jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title Direct poczta urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email Wyrażenie Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive Po dodaniu wszystkich mapowań wybierz pozycję Zapisz.
Przypisywanie użytkowników do aplikacji
Teraz, gdy masz hosta łącznika Entra ECMA firmy Microsoft, rozmawiając z identyfikatorem Entra firmy Microsoft i skonfigurowanym mapowaniem atrybutów, możesz przejść do konfigurowania osób w zakresie aprowizacji.
Ważne
Jeśli zalogowano się przy użyciu roli administratora tożsamości hybrydowej, musisz wylogować się i zalogować się przy użyciu konta, które ma co najmniej rolę Administratora aplikacji dla tej sekcji. Rola administratora tożsamości hybrydowej nie ma uprawnień do przypisywania użytkowników do aplikacji.
Jeśli w InputFile.txt istnieją użytkownicy, należy utworzyć przypisania ról aplikacji dla tych istniejących użytkowników. Aby dowiedzieć się więcej na temat zbiorczego tworzenia przypisań ról aplikacji, zobacz Zarządzanie istniejącymi użytkownikami aplikacji w identyfikatorze Entra firmy Microsoft.
W przeciwnym razie, jeśli nie ma bieżących użytkowników aplikacji, wybierz użytkownika testowego z firmy Microsoft Entra, który zostanie aprowizacji w aplikacji.
- Upewnij się, że wybrany użytkownik ma wszystkie właściwości zamapowane na wymagane atrybuty schematu.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
- Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
- Wybierz lokalną aplikację ECMA.
- Po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy i grupy.
- Wybierz pozycję Dodaj użytkownika/grupę.
- W obszarze Użytkownicy wybierz pozycję Brak zaznaczone.
- Wybierz użytkowników z prawej strony i wybierz przycisk Wybierz .
- Teraz wybierz pozycję Przypisz.
Testowanie aprowizacji
Po zamapowaniu atrybutów i przypisaniu użytkowników możesz przetestować aprowizację na żądanie przy użyciu jednego z użytkowników.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
- Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
- Wybierz lokalną aplikację ECMA.
- Wybierz pozycję Aprowizowanie.
- Wybierz pozycję Aprowizuj na żądanie.
- Wyszukaj jednego z użytkowników testowych i wybierz pozycję Aprowizuj.
- Po kilku sekundach zostanie wyświetlony komunikat Pomyślnie utworzono użytkownika w systemie docelowym z listą atrybutów użytkownika.
Rozpoczynanie aprowizacji użytkowników
- Po pomyślnym zainicjowaniu aprowizacji na żądanie wróć do strony konfiguracji aprowizacji. Upewnij się, że zakres jest ustawiony na tylko przypisanych użytkowników i grupy, włącz aprowizację i wybierz pozycję Zapisz.
- Poczekaj kilka minut na rozpoczęcie aprowizacji. Może upłynąć do 40 minut. Po zakończeniu zadania aprowizacji, zgodnie z opisem w następnej sekcji, jeśli skończysz testowanie, możesz zmienić stan aprowizacji na Wyłączone, a następnie wybrać pozycję Zapisz. Ta akcja uniemożliwia uruchomienie usługi aprowizacji w przyszłości.