Aprowizowanie użytkowników w aplikacjach opartych na języku SQL

  • Artykuł

Poniższa dokumentacja zawiera informacje o konfiguracji i samouczku przedstawiające sposób użycia ogólnego łącznika SQL i hosta extensible Połączenie ivity (ECMA) z programem SQL Server.

W tym dokumencie opisano kroki, które należy wykonać w celu automatycznej aprowizacji i anulowania aprowizacji użytkowników z usługi Microsoft Entra ID w bazie danych SQL.

Aby uzyskać ważne informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zapoznaj się z artykułami Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji użytkowników w aplikacjach SaaS przy użyciu identyfikatora Entra firmy Microsoft i architektury aprowizacji aplikacji lokalnych.

Poniższy film wideo zawiera omówienie aprowizacji lokalnej.

Wymagania wstępne dotyczące aprowizacji w usłudze SQL Database

Lokalne wymagania wstępne

Aplikacja opiera się na bazie danych SQL, w której można tworzyć, aktualizować i usuwać rekordy dla użytkowników. Komputer z uruchomionym agentem aprowizacji powinien mieć:

  • Windows Server 2016 lub nowsza wersja.
  • Połączenie do docelowego systemu bazy danych oraz z łącznością wychodzącą z login.microsoftonline.com, innymi domenami usług Online Firmy Microsoft i platformy Azure. Przykładem jest maszyna wirtualna z systemem Windows Server 2016 hostowana w usłudze Azure IaaS lub za serwerem proxy.
  • Co najmniej 3 GB pamięci RAM.
  • .NET Framework 4.7.2.
  • Sterownik ODBC dla bazy danych SQL.

Konfiguracja połączenia z bazą danych aplikacji jest wykonywana za pośrednictwem kreatora. W zależności od wybranych opcji niektóre ekrany kreatora mogą być niedostępne, a informacje mogą się nieco różnić. Skorzystaj z poniższych informacji, aby przeprowadzić konfigurację.

Obsługiwane bazy danych

  • Microsoft SQL Server i Azure SQL
  • IBM DB2 9.x
  • IBM DB2 10.x
  • IBM DB2 11.5
  • Oracle 10g i 11g
  • Oracle 12c i 18c
  • MySQL 5.x
  • MySQL 8.x
  • Postgres

Wymagania dotyczące chmury

  • Dzierżawa firmy Microsoft Entra z identyfikatorem Microsoft Entra ID P1 lub Premium P2 (lub EMS E3 lub E5).

    Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

  • Rola Administracja istrator tożsamości hybrydowej na potrzeby konfigurowania agenta aprowizacji i Administracja istratora aplikacji w chmurze lub ról Administracja istratora aplikacji w chmurze na potrzeby konfigurowania aprowizacji w witrynie Azure Portal.

  • Użytkownicy firmy Microsoft Entra, którzy mają być aprowizowani w bazie danych, muszą być już wypełnieni wszystkimi atrybutami, które będą wymagane przez schemat bazy danych i które nie są generowane przez samą bazę danych.

Przygotowywanie przykładowej bazy danych

W tym artykule skonfigurujesz łącznik Microsoft Entra SQL w celu interakcji z relacyjną bazą danych aplikacji. Zazwyczaj aplikacje zarządzają dostępem za pomocą tabeli w bazie danych SQL z jednym wierszem w tabeli na użytkownika. Jeśli masz już aplikację z bazą danych, przejdź do następnej sekcji.

Jeśli nie masz jeszcze bazy danych z odpowiednią tabelą, w celach demonstracyjnych należy utworzyć bazę danych, której identyfikator Entra firmy Microsoft może być dozwolony do użycia. Jeśli używasz programu SQL Server, uruchom skrypt SQL znaleziony w dodatku A. Ten skrypt tworzy przykładową bazę danych o nazwie CONTOSO zawierającą jedną tabelę Employees. Ta tabela bazy danych, do której będą aprowizować użytkowników.

Kolumna tabeli Źródło
ContosoLogin Główna nazwa użytkownika firmy Microsoft Entra
FirstName Nazwa podana przez firmę Microsoft
LastName Nazwisko Microsoft Entra
Email Adres e-mail usługi Exchange Online
InternalGUID Generowane przez samą bazę danych
Identyfikator platformy Azure Identyfikator obiektu Entra firmy Microsoft
textID Pseudonim adresu e-mail identyfikatora entra firmy Microsoft

Określanie sposobu interakcji programu Microsoft Entra SQL Połączenie or z bazą danych

Musisz mieć konto użytkownika w wystąpieniu SQL z uprawnieniami do wprowadzania aktualizacji danych w tabelach bazy danych. Jeśli baza danych SQL jest zarządzana przez inną osobę, skontaktuj się z nimi, aby uzyskać nazwę konta i hasło dla identyfikatora Entra firmy Microsoft w celu uwierzytelnienia w bazie danych. Jeśli wystąpienie SQL jest zainstalowane na innym komputerze, należy również upewnić się, że baza danych SQL zezwala na połączenia przychodzące ze sterownika ODBC na komputerze agenta.

Jeśli masz już istniejącą bazę danych dla aplikacji, musisz określić, w jaki sposób identyfikator Entra firmy Microsoft powinien wchodzić w interakcję z bazą danych: bezpośrednią interakcję z tabelami i widokami, za pośrednictwem procedur składowanych, które już znajdują się w bazie danych, lub za pośrednictwem instrukcji SQL, które udostępniasz dla zapytań i aktualizacji. To ustawienie jest spowodowane tym, że bardziej złożona aplikacja może mieć w bazie danych inne tabele pomocnicze, wymagają stronicowania tabel z tysiącami użytkowników lub mogą wymagać identyfikatora Entra firmy Microsoft wywołania procedury składowanej, która wykonuje dodatkowe przetwarzanie danych, takie jak szyfrowanie, wyznaczanie wartości skrótu lub sprawdzanie poprawności.

Podczas tworzenia konfiguracji łącznika w celu interakcji z bazą danych aplikacji skonfigurujesz najpierw podejście do sposobu odczytywania schematu bazy danych przez hosta łącznika, a następnie konfigurowania podejścia, którego łącznik powinien używać w sposób ciągły, za pośrednictwem profilów uruchamiania. Każdy profil uruchamiania określa sposób generowania instrukcji SQL przez łącznik. Wybór profilów uruchamiania i metody w profilu uruchamiania zależy od tego, co obsługuje aparat bazy danych, a aplikacja wymaga.

  • Po skonfigurowaniu, gdy usługa aprowizacji zostanie uruchomiona, automatycznie wykona interakcje skonfigurowane w profilu uruchamiania pełnego importu . W tym profilu uruchamiania łącznik odczytuje wszystkie rekordy dla użytkowników z bazy danych aplikacji, zazwyczaj przy użyciu instrukcji SELECT . Ten profil uruchamiania jest niezbędny, aby później, jeśli identyfikator Entra firmy Microsoft musi wprowadzić zmianę dla użytkownika, identyfikator Entra firmy Microsoft będzie wiedział o zaktualizowaniu istniejącego rekordu dla tego użytkownika w bazie danych, a nie utworzenia nowego rekordu dla tego użytkownika.

  • Za każdym razem, gdy zmiany są wprowadzane w identyfikatorze Entra firmy Microsoft, na przykład w celu przypisania nowego użytkownika do aplikacji lub zaktualizowania istniejącego użytkownika, usługa aprowizacji będzie wykonywać interakcje ze skonfigurowanym profilem uruchamiania eksportu bazy danych SQL. W profilu Eksportuj przebieg identyfikator entra firmy Microsoft wystawi instrukcje SQL w celu wstawiania, aktualizowania i usuwania rekordów w bazie danych w celu zsynchronizowania zawartości bazy danych z identyfikatorem Entra firmy Microsoft.

  • Jeśli baza danych ją obsługuje, możesz również opcjonalnie skonfigurować profil uruchamiania importu różnicowego. W tym profilu uruchamiania identyfikator Entra firmy Microsoft odczytuje zmiany wprowadzone w bazie danych, inne niż identyfikator Entra firmy Microsoft, od czasu ostatniego pełnego lub różnicowego importu. Ten profil uruchamiania jest opcjonalny, ponieważ wymaga struktury bazy danych, aby umożliwić odczytywanie zmian.

W konfiguracji każdego profilu uruchamiania łącznika określisz, czy łącznik Microsoft Entra powinien wygenerować własne instrukcje SQL dla tabeli lub widoku, wywołać procedury składowane lub użyć niestandardowych zapytań SQL, które podajesz. Zazwyczaj używasz tej samej metody dla wszystkich profilów uruchamiania w łączniku.

  • Jeśli wybierzesz metodę Tabela lub Widok dla profilu uruchamiania, łącznik Microsoft Entra wygeneruje niezbędne instrukcje SQL, SELECT, INSERT, UPDATE i DELETE, aby wchodzić w interakcje z tabelą lub widokiem w bazie danych. Ta metoda jest najprostszym podejściem, jeśli baza danych ma jedną tabelę lub widok aktualizowalny z kilkoma istniejącymi wierszami.
  • Jeśli wybierzesz metodę Procedura składowana, baza danych będzie musiała mieć cztery procedury składowane: odczytać stronę użytkowników, dodać użytkownika, zaktualizować użytkownika i usunąć użytkownika, skonfigurujesz łącznik Microsoft Entra z nazwami i parametrami tych procedur składowanych w celu wywołania. Takie podejście wymaga większej konfiguracji w bazie danych SQL i zwykle jest wymagane tylko wtedy, gdy aplikacja wymaga większej liczby przetwarzania dla każdej zmiany użytkownika, z funkcji stronicowania za pośrednictwem dużych zestawów wyników.
  • Jeśli wybierzesz metodę SQL Query, wpiszesz określone instrukcje SQL, które mają być wystawiane przez łącznik podczas uruchamiania profilu. Skonfigurujesz łącznik przy użyciu parametrów, które łącznik powinien wypełnić w instrukcjach SQL, takich jak stronicowanie za pośrednictwem zestawów wyników podczas importowania lub ustawianie atrybutów nowego użytkownika tworzonego podczas eksportowania.

W tym artykule pokazano, jak używać metody tabeli do interakcji z przykładową tabelą Employeesbazy danych w profilach uruchamiania Eksportowanie i pełne importowanie . Aby dowiedzieć się więcej na temat konfigurowania procedury składowanej lub metod zapytań SQL, zobacz ogólny przewodnik konfiguracji SQL, który zawiera więcej szczegółów i konkretnych wymagań.

Wybieranie unikatowych identyfikatorów w schemacie bazy danych aplikacji

Większość aplikacji będzie mieć unikatowy identyfikator dla każdego użytkownika aplikacji. Jeśli aprowizujesz w istniejącej tabeli bazy danych, należy zidentyfikować kolumnę tej tabeli, która ma wartość dla każdego użytkownika, gdzie ta wartość jest unikatowa i nie zmienia się. Ta kolumna będzie kotwicą, której identyfikator Entra firmy Microsoft używa do identyfikowania istniejących wierszy w celu ich zaktualizowania lub usunięcia. Aby uzyskać więcej informacji na temat kotwic, zobacz About anchor attributes and distinguished names (Informacje o atrybutach kotwicy i nazwach wyróżniających).

Jeśli baza danych aplikacji już istnieje, ma w niej użytkowników i chcesz mieć identyfikator Entra firmy Microsoft, zachowaj aktualność tych użytkowników, musisz mieć identyfikator dla każdego użytkownika, który jest taki sam między bazą danych aplikacji a schematem Firmy Microsoft Entra. Jeśli na przykład przypiszesz użytkownika do aplikacji w usłudze Microsoft Entra ID, a ten użytkownik znajduje się już w tej bazie danych, zmiany w tym użytkowniku w usłudze Microsoft Entra ID powinny zaktualizować istniejący wiersz dla tego użytkownika, a nie dodać nowego wiersza. Ponieważ identyfikator Entra firmy Microsoft prawdopodobnie nie przechowuje wewnętrznego identyfikatora aplikacji dla tego użytkownika, należy wybrać inną kolumnę do wykonywania zapytań dotyczących bazy danych. Wartość tej kolumny może być główną nazwą użytkownika lub adresem e-mail, identyfikatorem pracownika lub innym identyfikatorem, który znajduje się w identyfikatorze Entra firmy Microsoft dla każdego użytkownika, który znajduje się w zakresie aplikacji. Jeśli identyfikator użytkownika używany przez aplikację nie jest atrybutem przechowywanym w reprezentacji microsoft Entra użytkownika, nie musisz rozszerzać schematu użytkownika Microsoft Entra za pomocą atrybutu rozszerzenia i wypełnić ten atrybut z bazy danych. Możesz rozszerzyć schemat Microsoft Entra i ustawić wartości rozszerzeń przy użyciu programu PowerShell.

Mapowanie atrybutów w identyfikatorze Entra firmy Microsoft do schematu bazy danych

Gdy identyfikator Entra firmy Microsoft nawiązał połączenie między użytkownikiem w usłudze Microsoft Entra ID i rekordem w bazie danych, dla użytkownika już w bazie danych lub nowego użytkownika, identyfikator Entra firmy Microsoft może aprowizować zmiany atrybutów od użytkownika Microsoft Entra do bazy danych. Oprócz unikatowych identyfikatorów sprawdź bazę danych, aby sprawdzić, czy istnieją inne wymagane właściwości. Jeśli istnieją, upewnij się, że użytkownicy, którzy zostaną zaaprowizowani w bazie danych, mają atrybuty, które można zamapować na wymagane właściwości.

Można również skonfigurować zachowanie anulowania aprowizacji . Jeśli użytkownik przypisany do aplikacji zostanie usunięty w identyfikatorze Entra firmy Microsoft, identyfikator Entra firmy Microsoft wyśle operację usuwania do bazy danych. Może być również konieczne zaktualizowanie bazy danych przez identyfikator entra firmy Microsoft, gdy użytkownik wykracza poza zakres możliwości korzystania z aplikacji. Jeśli użytkownik jest nieprzypisany z aplikacji, usunięty nietrwale w identyfikatorze Entra firmy Microsoft lub zablokowany przed logowaniem, możesz skonfigurować identyfikator Entra firmy Microsoft, aby wysłać zmianę atrybutu. Jeśli aprowizujesz istniejącą tabelę bazy danych, musisz mieć kolumnę tej tabeli do mapowania na wartość isSoftDeleted. Gdy użytkownik wyjdzie z zakresu, identyfikator Entra firmy Microsoft ustawi wartość dla tego użytkownika na wartość True.

1. Zainstaluj sterownik ODBC

System Windows Server, w którym będzie instalowany agent aprowizacji, wymaga sterownika ODBC dla docelowej bazy danych. Jeśli planujesz nawiązać połączenie z programem SQL Server lub usługą Azure SQL Database, pobierz sterownik ODBC dla programu SQL Server (x64) i zainstaluj go w systemie Windows Server. W przypadku innych baz danych SQL zapoznaj się ze wskazówkami niezależnego dostawcy oprogramowania, aby dowiedzieć się, jak zainstalować sterownik ODBC.

2. Tworzenie pliku połączenia DSN

Ogólny łącznik SQL wymaga pliku nazwa źródła danych (DSN) w celu nawiązania połączenia z punktem końcowym SQL. Najpierw należy utworzyć plik z informacjami o połączeniu ODBC.

  1. Uruchom narzędzie do zarządzania ODBC na serwerze. Użyj wersji 64-bitowej.

    Screenshot that shows ODBC management.

  2. Wybierz kartę Plik DSN i wybierz pozycję Dodaj.

    Screenshot that shows the File DSN tab.

  3. Jeśli używasz programu SQL Server lub usługi Azure SQL, wybierz pozycję SQL Server Native Client 11.0 i wybierz przycisk Dalej. Jeśli używasz innej bazy danych, wybierz jego sterownik ODBC.

    Screenshot that shows choosing a native client.

  4. Nadaj plikowi nazwę, taką jak GenericSQL, i wybierz przycisk Dalej. Screenshot that shows naming the connector.

  5. Wybierz Zakończ.

    Screenshot that shows Finish.

  6. Teraz skonfiguruj połączenie. Poniższe kroki będą się różnić w zależności od używanego sterownika ODBC. Na tej ilustracji założono, że używasz sterownika do nawiązywania połączenia z programem SQL Server. Jeśli program SQL Server znajduje się na innym komputerze serwera, wprowadź nazwę serwera. Następnie wybierz Dalej.

    Screenshot that shows entering a server name.

  7. Jeśli użytkownik, którego używasz w tym kroku, ma uprawnienia do nawiązywania połączenia z bazą danych, zachowaj wybrane uwierzytelnianie systemu Windows. Jeśli administrator programu SQL Server wymaga konta lokalnego SQL, podaj te poświadczenia. Następnie kliknij przycisk Dalej.

    Screenshot that shows Windows authentication.

  8. Wprowadź nazwę bazy danych, która w tym przykładzie to CONTOSO.

    Screenshot that shows entering a database name.

  9. Zachowaj wartość domyślną na tym ekranie i wybierz pozycję Zakończ.

    Screenshot that shows selecting Finish.

  10. Aby sprawdzić, czy wszystko działa zgodnie z oczekiwaniami, wybierz pozycję Testowe źródło danych.

    Screenshot that shows Test Data Source.

  11. Upewnij się, że test zakończył się pomyślnie.

    Screenshot that shows success.

  12. Wybierz przycisk OK dwa razy. Zamknij Administracja istrator źródła danych ODBC. Plik połączenia DSN jest domyślnie zapisywany w folderze Documents .

3. Instalowanie i konfigurowanie agenta aprowizacji firmy Microsoft Połączenie

Jeśli agent aprowizacji został już pobrany i skonfigurowany dla innej aplikacji lokalnej, kontynuuj czytanie w następnej sekcji.

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do pozycji Aplikacje dla przedsiębiorstw i wybierz pozycję Nowa aplikacja.
  3. Wyszukaj lokalną aplikację ECMA, nadaj aplikacji nazwę i wybierz pozycję Utwórz , aby dodać ją do dzierżawy.
  4. Z menu przejdź do strony Aprowizowanie aplikacji.
  5. Wybierz Rozpocznij.
  6. Na stronie Aprowizowanie zmień tryb na Automatyczny.

Screenshot of selecting Automatic.

  1. W obszarze Lokalna Połączenie ivity wybierz pozycję Pobierz i zainstaluj, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Screenshot of download location for agent.

  1. Pozostaw portal i uruchom instalatora agenta aprowizacji, zaakceptuj warunki świadczenia usługi, a następnie wybierz pozycję Zainstaluj.
  2. Poczekaj na kreatora konfiguracji agenta aprowizacji firmy Microsoft, a następnie wybierz przycisk Dalej.
  3. W kroku Wybierz rozszerzenie wybierz pozycję Aprowizowanie aplikacji lokalnych, a następnie wybierz pozycję Dalej.
  4. Agent aprowizacji użyje przeglądarki internetowej systemu operacyjnego, aby wyświetlić okno podręczne służące do uwierzytelniania w usłudze Microsoft Entra ID, a potencjalnie także dostawcy tożsamości organizacji. Jeśli używasz przeglądarki Internet Explorer jako przeglądarki w systemie Windows Server, może być konieczne dodanie witryn internetowych firmy Microsoft do listy zaufanych witryn przeglądarki, aby umożliwić poprawne uruchamianie języka JavaScript.
  5. Po wyświetleniu monitu o autoryzację podaj poświadczenia administratora firmy Microsoft Entra. Użytkownik musi mieć rolę Administracja istratora tożsamości hybrydowej lub globalnego Administracja istratora.
  6. Wybierz pozycję Potwierdź , aby potwierdzić ustawienie. Po pomyślnym zakończeniu instalacji możesz wybrać pozycję Zakończ, a także zamknąć instalatora pakietu agenta aprowizacji.

4. Konfigurowanie lokalnej aplikacji ECMA

  1. W portalu w sekcji Lokalna Połączenie ivity wybierz wdrożonego agenta i wybierz pozycję Przypisz agentów.

    Screenshot that shows how to select and assign and agent.

  2. Pozostaw to okno przeglądarki otwarte po zakończeniu następnego kroku konfiguracji przy użyciu kreatora konfiguracji.

5. Konfigurowanie certyfikatu hosta usługi Microsoft Entra ECMA Połączenie or

  1. W systemie Windows Server, w którym jest zainstalowany agent aprowizacji, kliknij prawym przyciskiem myszy Kreatora konfiguracji Microsoft ECMA2Host z menu Start i uruchom jako administrator. Uruchomienie jako administrator systemu Windows jest niezbędne do utworzenia niezbędnych dzienników zdarzeń systemu Windows przez kreatora.

  2. Po uruchomieniu konfiguracji hosta usługi ECMA Połączenie or po pierwszym uruchomieniu kreatora zostanie wyświetlony monit o utworzenie certyfikatu. Pozostaw domyślny port 8585 i wybierz pozycję Generuj certyfikat , aby wygenerować certyfikat. Automatycznie wygenerowany certyfikat zostanie podpisany samodzielnie w ramach zaufanego katalogu głównego. Nazwa SAN certyfikatu jest zgodna z nazwą hosta.

    Screenshot that shows configuring your settings.

  3. Wybierz pozycję Zapisz.

Uwaga

Jeśli wybrano opcję wygenerowania nowego certyfikatu, zarejestruj datę wygaśnięcia certyfikatu, aby upewnić się, że planujesz powrót do kreatora konfiguracji i ponownie wygeneruj certyfikat przed jego wygaśnięciem.

6. Tworzenie ogólnego łącznika SQL

W tej sekcji utworzysz konfigurację łącznika dla bazy danych.

6.1 Konfigurowanie połączenia SQL

Aby utworzyć ogólny łącznik SQL, wykonaj następujące kroki:

  1. Wygeneruj token tajny, który będzie używany do uwierzytelniania identyfikatora Entra firmy Microsoft w łączniku. Minimalna liczba znaków i unikatowa dla każdej aplikacji powinna wynosić 12 znaków.

  2. Jeśli jeszcze tego nie zrobiono, uruchom Kreatora konfiguracji microsoft ECMA2Host z menu Start systemu Windows.

  3. Wybierz pozycję Nowy Połączenie or.

    Screenshot that shows choosing New Connector.

  4. Na stronie Właściwości wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

    Screenshot that shows entering properties.

    Właściwości Wartość
    Nazwisko Nazwa wybrana dla łącznika, która powinna być unikatowa dla wszystkich łączników w danym środowisku. Jeśli na przykład masz tylko jedną bazę danych SQL, SQL.
    Czasomierz autosync (minuty) 120
    Token tajny Wprowadź token tajny wygenerowany dla tego łącznika. Klucz powinien mieć minimalną długość 12 znaków.
    Biblioteka DLL rozszerzenia W przypadku ogólnego łącznika SQL wybierz pozycję Microsoft.IAM.PołączenieLub. GenericSql.dll.

  5. Na stronie Połączenie ivity wypełnij pola wartościami określonymi w tabeli, które następują po obrazie, a następnie wybierz przycisk Dalej.

    Screenshot that shows the Connectivity page.

    Właściwości opis
    Plik DSN Plik nazwa źródła danych utworzony w poprzednim kroku, który jest używany do nawiązywania połączenia z wystąpieniem SQL.
    Nazwa użytkownika Nazwa użytkownika konta z uprawnieniami do aktualizowania tabeli w wystąpieniu SQL. Jeśli docelowa baza danych jest programem SQL Server i używasz uwierzytelniania systemu Windows, nazwa użytkownika musi być w postaci nazwy hosta\sqladminaccount dla autonomicznych serwerów lub domeny\sqladminaccount dla serwerów członkowskich domeny. W przypadku innych baz danych nazwa użytkownika będzie kontem lokalnym w bazie danych.
    Hasło Podane hasło nazwy użytkownika.
    Dn jest kotwicą O ile środowisko nie jest znane, aby wymagać tych ustawień, nie zaznaczaj nazwy wyróżniającej to Anchor i Export Type:Object Replace pola wyboru.

6.2 Pobieranie schematu z bazy danych

Po podaniu poświadczeń host Połączenie or ECMA będzie gotowy do pobrania schematu bazy danych. Kontynuuj konfigurację połączenia SQL:

  1. Na stronie Schemat 1 określisz listę typów obiektów. W tym przykładzie istnieje pojedynczy typ obiektu: User. Wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

    Screenshot that shows the Schema 1 page.

    Właściwości Wartość
    Metoda wykrywania typu obiektu Stała wartość
    Stała lista wartości/Tabela/Widok/SP User

  2. Po wybraniu pozycji Dalej zostanie automatycznie wyświetlona następna strona dla konfiguracji User typu obiektu. Na stronie Schemat 2 wskażesz, jak użytkownicy są reprezentowani w bazie danych. W tym przykładzie jest to pojedyncza tabela SQL o nazwie Employees. Wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

    Screenshot that shows the Schema 2 page.

    Właściwości Wartość
    User:Attribute Detection Table
    User:Table/View/SP Nazwa tabeli w bazie danych, na przykład Employees

    Uwaga

    Jeśli wystąpi błąd, sprawdź konfigurację bazy danych, aby upewnić się, że użytkownik określony na stronie Połączenie ivity ma dostęp do odczytu do schematu bazy danych.

  3. Po wybraniu pozycji Dalej zostanie automatycznie wyświetlona następna strona, aby wybrać kolumny określonej wcześniej tabeli, takie jak Employees tabela w tym przykładzie, które mają być używane jako Anchor użytkownicy iDN. Te kolumny zawierają unikatowe identyfikatory w bazie danych. Możesz użyć tych samych lub różnych kolumn, ale upewnij się, że wszystkie wiersze w tej bazie danych mają unikatowe wartości w tych kolumnach. Na stronie Schemat 3 wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

    Screenshot that shows the Schema 3 page.

    Właściwości opis
    Wybierz pozycję Kotwica dla: Użytkownik Kolumna tabeli bazy danych, która ma być używana dla kotwicy, na przykład User:ContosoLogin
    Wybieranie atrybutu DN dla użytkownika Kolumna bazy danych, która ma być używana dla atrybutu DN, na przykład AzureID

  4. Po wybraniu pozycji Dalej zostanie automatycznie wyświetlona następna strona, aby potwierdzić typ danych każdej kolumny Employee tabeli i określić, czy łącznik powinien je zaimportować, czy wyeksportować. Na stronie Schemat 4 pozostaw wartości domyślne i wybierz pozycję Dalej.

    Screenshot that shows the Schema 4 page.

  5. Na stronie Globalne wypełnij pola i wybierz przycisk Dalej. Użyj tabeli, która jest zgodna z obrazem, aby uzyskać wskazówki dotyczące poszczególnych pól.

    Screenshot that shows the Global page.

    Właściwości opis
    Strategia delty W polu IBM DB2 wybierz pozycję None
    Zapytanie znaku wodnego W przypadku ibm DB2 wpisz SELECT CURRENT TIMESTAMP FROM SYSIBM.SYSDUMMY1;
    Format daty i godziny źródła danych W przypadku programu SQL Server yyyy-MM-dd HH:mm:ss i dla ibm DB2, YYYY-MM-DD

  6. Na stronie Partycje wybierz pozycję Dalej.

    Screenshot that shows the Partitions page.

6.3. Konfigurowanie profilów uruchamiania

Następnie skonfigurujesz profile uruchamiania Eksportuj i Pełne importowanie. Profil uruchamiania eksportu będzie używany, gdy host ecMA Połączenie or musi wysyłać zmiany z identyfikatora Entra firmy Microsoft do bazy danych, wstawiać, aktualizować i usuwać rekordy. Podczas uruchamiania usługi hosta ECMA Połączenie or zostanie użyty profil uruchomienia pełnego importu, aby odczytać bieżącą zawartość bazy danych. W tym przykładzie użyjesz metody Table w obu profilach uruchamiania, aby host ecMA Połączenie or wygenerował niezbędne instrukcje SQL.

Kontynuuj konfigurację połączenia SQL:

  1. Na stronie Profile uruchamiania zaznacz pole wyboru Eksportuj. Zaznacz pole wyboru Pełny import i wybierz przycisk Dalej.

    Screenshot that shows the Run Profiles page.

    Właściwości opis
    Export Uruchom profil, który będzie eksportować dane do bazy danych SQL. Ten profil uruchamiania jest wymagany.
    Pełny import Uruchom profil, który zaimportuje wszystkie dane ze źródeł SQL określonych wcześniej.
    Importowanie różnicowe Uruchom profil, który importuje tylko zmiany z bazy danych SQL od ostatniego pełnego lub różnicowego importu.

  2. Po wybraniu pozycji Dalej zostanie automatycznie wyświetlona następna strona, aby skonfigurować metodę profilu uruchamiania Eksportuj. Na stronie Eksportuj wypełnij pola i wybierz pozycję Dalej. Użyj tabeli, która jest zgodna z obrazem, aby uzyskać wskazówki dotyczące poszczególnych pól.

    Screenshot that shows the Export page.

    Właściwości opis
    Operation, metoda Table
    Tabela/widok/SP Ta sama tabela, która została skonfigurowana na karcie Schemat 2, na przykład Employees

  3. Na stronie Pełny import wypełnij pola i wybierz przycisk Dalej. Użyj tabeli, która jest zgodna z obrazem, aby uzyskać wskazówki dotyczące poszczególnych pól.

    Screenshot that shows the Full Import page.

    Właściwości opis
    Operation, metoda Table
    Tabela/widok/SP Ta sama tabela, która została skonfigurowana na karcie Schemat 2, na przykład Employees

6.4. Konfigurowanie sposobu, w jaki atrybuty są wyświetlane w identyfikatorze Entra firmy Microsoft

W ostatnim kroku ustawień połączenia SQL skonfiguruj sposób, w jaki atrybuty są wyświetlane w identyfikatorze Entra firmy Microsoft:

  1. Na stronie Typy obiektów wypełnij pola i wybierz przycisk Dalej. Użyj tabeli, która jest zgodna z obrazem, aby uzyskać wskazówki dotyczące poszczególnych pól.

    • Kotwica: wartości tego atrybutu powinny być unikatowe dla każdego obiektu w docelowej bazie danych. Usługa aprowizacji firmy Microsoft wyśle zapytanie do hosta łącznika ECMA przy użyciu tego atrybutu po cyklu początkowym. Ta wartość kotwicy powinna być taka sama jak kolumna kotwicy skonfigurowana wcześniej na stronie Schemat 3 .
    • Atrybut zapytania: ten atrybut powinien być taki sam jak kotwica.
    • DN: W większości przypadków należy wybrać opcję Automatycznie wygenerowane . Jeśli nie jest zaznaczona, upewnij się, że atrybut DN jest mapowany na atrybut w identyfikatorze Entra firmy Microsoft, który przechowuje nazwę wyróżniającą w tym formacie: CN = anchorValue, Object = objectType. Aby uzyskać więcej informacji na temat kotwic i dn, zobacz About anchor attributes and distinguished names (Informacje o atrybutach kotwicy i nazwach wyróżniających).
    Właściwości opis
    Obiekt docelowy User
    Kotwica Kolumna skonfigurowana na karcie Schemat 3, na przykład ContosoLogin
    Atrybut zapytania Ta sama kolumna co kotwica, na przykład ContosoLogin
    DN Ta sama kolumna, która została skonfigurowana na karcie Schemat 3, na przykład ContosoLogin
    Wygenerowany automatycznie Zaznaczone

  2. Host łącznika ECMA odnajduje atrybuty obsługiwane przez docelową bazę danych. Możesz wybrać, które z tych atrybutów chcesz uwidocznić w identyfikatorze Entra firmy Microsoft. Te atrybuty można następnie skonfigurować w witrynie Azure Portal na potrzeby aprowizacji. Na stronie Wybierz atrybuty dodaj wszystkie atrybuty na liście rozwijanej pojedynczo.

Lista rozwijana Atrybut zawiera dowolny atrybut odnaleziony w docelowej bazie danych i nie został wybrany na poprzedniej stronie Wybierz atrybuty . Po dodaniu wszystkich odpowiednich atrybutów wybierz pozycję Dalej.

Screenshot of attribute dropdown list.

  1. Na stronie Anulowanie aprowizacji w obszarze Wyłącz przepływ wybierz pozycję Usuń. Atrybuty wybrane na poprzedniej stronie nie będą dostępne do wybrania na stronie Anulowanie aprowizacji. Wybierz Zakończ.

Uwaga

Jeśli używasz wartości ustaw atrybut należy pamiętać, że dozwolone są tylko wartości logiczne.

Screenshot that shows the Deprovisioning page.

7. Upewnij się, że usługa ECMA2Host jest uruchomiona

  1. Na serwerze z uruchomionym hostem usługi Microsoft Entra ECMA Połączenie or wybierz pozycję Uruchom.

  2. Wprowadź polecenie run i wprowadź ciąg services.msc w polu .

  3. Na liście Usługi upewnij się, że host Microsoft ECMA2Host jest obecny i uruchomiony. W przeciwnym razie wybierz pozycję Uruchom.

    Screenshot that shows the service is running.

Jeśli łączysz się z nową bazą danych lub bazą danych, która jest pusta i nie ma użytkowników, przejdź do następnej sekcji. W przeciwnym razie wykonaj następujące kroki, aby potwierdzić, że łącznik zidentyfikował istniejących użytkowników z bazy danych.

  1. Jeśli niedawno uruchomiono usługę i masz wiele obiektów użytkownika w bazie danych, zaczekaj kilka minut na nawiązanie połączenia z bazą danych przez łącznik.

8. Konfigurowanie połączenia aplikacji w witrynie Azure Portal

  1. Wróć do okna przeglądarki internetowej, w którym skonfigurowano aprowizację aplikacji.

    Uwaga

    Jeśli upłynął limit czasu okna, musisz ponownie wybrać agenta.

    1. Zaloguj się w witrynie Azure Portal.
    2. Przejdź do pozycji Aplikacje dla przedsiębiorstw i lokalna aplikacja ECMA.
    3. Wybierz pozycję Aprowizacja.
    4. Jeśli pojawi się okno Wprowadzenie, zmień tryb na Automatyczny w sekcji Lokalna Połączenie ivity wybierz wdrożonego agenta i wybierz pozycję Przypisz agentów. W przeciwnym razie przejdź do pozycji Edytuj aprowizację.

  2. W sekcji Administracja credentials (Poświadczenia Administracja) wprowadź następujący adres URL. {connectorName} Zastąp część nazwą łącznika na hoście łącznika ECMA, takim jak SQL. W nazwie łącznika jest rozróżniana wielkość liter i powinna mieć taki sam przypadek, jak skonfigurowano w kreatorze. Możesz również zastąpić localhost ciąg nazwą hosta maszyny.

    Właściwości Wartość
    Adres URL dzierżawy https://localhost:8585/ecma2host_{connectorName}/scim

  3. Wprowadź wartość tokenu wpisu tajnego zdefiniowaną podczas tworzenia łącznika.

    Uwaga

    Jeśli właśnie przypisano agenta do aplikacji, zaczekaj 10 minut na ukończenie rejestracji. Test łączności nie będzie działać, dopóki rejestracja nie zostanie ukończona. Wymuszanie ukończenia rejestracji agenta przez ponowne uruchomienie agenta aprowizacji na serwerze może przyspieszyć proces rejestracji. Przejdź do serwera, wyszukaj usługi na pasku wyszukiwania systemu Windows, zidentyfikuj usługę Microsoft Entra Połączenie Provisioning Agent, kliknij prawym przyciskiem myszy usługę i uruchom ponownie.

  4. Wybierz pozycję Test Połączenie ion i zaczekaj minutę.

    Screenshot that shows assigning an agent.

  5. Po pomyślnym przetestowaniu połączenia i wskazaniu, że podane poświadczenia są autoryzowane do włączenia aprowizacji, wybierz pozycję Zapisz.

    Screenshot that shows testing an agent.

9. Konfigurowanie mapowań atrybutów

Teraz musisz mapować atrybuty między reprezentacją użytkownika w usłudze Microsoft Entra ID i reprezentacją użytkownika w lokalnej bazie danych SQL aplikacji.

Użyjesz witryny Azure Portal, aby skonfigurować mapowanie między atrybutami użytkownika firmy Microsoft Entra i atrybutami wybranymi wcześniej w kreatorze konfiguracji hosta ECMA.

  1. Upewnij się, że schemat Entra firmy Microsoft zawiera atrybuty wymagane przez bazę danych. Jeśli baza danych wymaga, aby użytkownicy mieli atrybut, taki jak uidNumber, i ten atrybut nie jest jeszcze częścią schematu microsoft Entra dla użytkownika, należy użyć funkcji rozszerzenia katalogu, aby dodać ten atrybut jako rozszerzenie.

  2. W centrum administracyjnym firmy Microsoft Entra w obszarze Aplikacje dla przedsiębiorstw wybierz aplikację lokalną aplikacji ECMA, a następnie stronę Aprowizowanie .

  3. Wybierz pozycję Edytuj aprowizację i poczekaj 10 sekund.

  4. Rozwiń węzeł Mapowania i wybierz mapowanie Aprowizuj użytkowników identyfikatora entra firmy Microsoft. Jeśli po raz pierwszy skonfigurowano mapowania atrybutów dla tej aplikacji, będzie to jedyne mapowanie obecne dla symbolu zastępczego.

    Screenshot that shows provisioning a user.

  5. Aby upewnić się, że schemat bazy danych jest dostępny w identyfikatorze Entra firmy Microsoft, zaznacz pole wyboru Pokaż opcje zaawansowane i wybierz pozycję Edytuj listę atrybutów dla pozycji ScimOnPremises. Upewnij się, że wszystkie atrybuty wybrane w kreatorze konfiguracji są wyświetlane. Jeśli tak nie jest, zaczekaj kilka minut na odświeżenie schematu, a następnie załaduj ponownie stronę. Po wyświetleniu atrybutów zamknij stronę, aby powrócić do listy mapowań.

  6. Teraz kliknij mapowanie symbolu ZASTĘPCZEgo userPrincipalName . To mapowanie jest domyślnie dodawane podczas pierwszej konfiguracji aprowizacji lokalnej.

Screenshot of placeholder. Zmień wartości atrybutu, aby odpowiadały następującym:

Typ mapowania Atrybut źródłowy Atrybut docelowy
Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin

Screenshot of changing value.

  1. Teraz wybierz pozycję Dodaj nowe mapowanie i powtórz następny krok dla każdego mapowania.

    Screenshot that shows Add New Mapping.

  2. Określ atrybuty źródłowe i docelowe dla każdego mapowania w poniższej tabeli.

    Screenshot that shows saving the mapping.

    Typ mapowania Atrybut źródłowy Atrybut docelowy
    Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin
    Direct objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureID
    Direct poczta urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Direct givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:FirstName
    Direct surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:LastName
    Direct mailNickname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:textID

  3. Po dodaniu wszystkich mapowań wybierz pozycję Zapisz.

10. Przypisywanie użytkowników do aplikacji

Teraz, gdy masz skonfigurowaną usługę Microsoft Entra ECMA Połączenie or host z identyfikatorem Entra firmy Microsoft i skonfigurowanym mapowaniem atrybutów, możesz przejść do konfigurowania osób w zakresie aprowizacji.

Ważne

Jeśli zalogowano się przy użyciu roli Administracja istratora tożsamości hybrydowej, musisz wylogować się i zalogować się przy użyciu konta z rolą application Administracja istrator, Administracja istrator aplikacji w chmurze lub roli Global Administracja istrator dla tej sekcji. Rola Administracja istrator tożsamości hybrydowej nie ma uprawnień do przypisywania użytkowników do aplikacji.

Jeśli w bazie danych SQL istnieją użytkownicy, należy utworzyć przypisania ról aplikacji dla tych istniejących użytkowników. Aby dowiedzieć się więcej na temat zbiorczego tworzenia przypisań ról aplikacji, zobacz Zarządzanie istniejącymi użytkownikami aplikacji w identyfikatorze Entra firmy Microsoft.

W przeciwnym razie, jeśli nie ma bieżących użytkowników aplikacji, wybierz użytkownika testowego z firmy Microsoft Entra, który zostanie aprowizacji w aplikacji.

  1. Upewnij się, że użytkownik ma wszystkie właściwości, które zostaną zamapowane na wymagane atrybuty schematu bazy danych.

  2. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw.

  3. Wybierz lokalną aplikację ECMA.

  4. Po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy i grupy.

  5. Wybierz pozycję Dodaj użytkownika/grupę.

    Screenshot that shows adding a user.

  6. W obszarze Użytkownicy wybierz pozycję Brak zaznaczone.

    Screenshot that shows None Selected.

  7. Wybierz użytkowników z prawej strony i wybierz przycisk Wybierz .

    Screenshot that shows Select users.

  8. Teraz wybierz pozycję Przypisz.

    Screenshot that shows Assign users.

11. Testowanie aprowizacji

Po zamapowaniu atrybutów i przypisaniu użytkowników możesz przetestować aprowizację na żądanie przy użyciu jednego z użytkowników.

  1. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw.

  2. Wybierz lokalną aplikację ECMA.

  3. Po lewej stronie wybierz pozycję Aprowizowanie.

  4. Wybierz pozycję Aprowizuj na żądanie.

  5. Wyszukaj jednego z użytkowników testowych i wybierz pozycję Aprowizuj.

    Screenshot that shows testing provisioning.

  6. Po kilku sekundach zostanie wyświetlony komunikat Pomyślnie utworzony użytkownik w systemie docelowym z listą atrybutów użytkownika.

12. Rozpocznij aprowizowanie użytkowników

  1. Po pomyślnym zainicjowaniu aprowizacji na żądanie wróć do strony konfiguracji aprowizacji. Upewnij się, że zakres jest ustawiony na tylko przypisanych użytkowników i grupy, włącz aprowizację i wybierz pozycję Zapisz.

    Screenshot that shows Start provisioning.

  2. Poczekaj kilka minut na rozpoczęcie aprowizacji. Może upłynąć do 40 minut. Po zakończeniu zadania aprowizacji, zgodnie z opisem w następnej sekcji, jeśli skończysz testowanie, możesz zmienić stan aprowizacji na Wyłączone, a następnie wybrać pozycję Zapisz. Ta akcja uniemożliwia uruchomienie usługi aprowizacji w przyszłości.

Rozwiązywanie problemów z błędami aprowizacji

Jeśli zostanie wyświetlony błąd, wybierz pozycję Wyświetl dzienniki aprowizacji. Wyszukaj w dzienniku wiersz, w którym stan to Niepowodzenie, a następnie wybierz go w tym wierszu.

Jeśli komunikat o błędzie nie może utworzyć użytkownika, sprawdź atrybuty wyświetlane zgodnie z wymaganiami schematu bazy danych.

Aby uzyskać więcej informacji, przejdź do karty Rozwiązywanie problemów i Rekomendacje. Jeśli sterownik ODBC zwrócił komunikat, może zostać wyświetlony tutaj. Na przykład komunikat ERROR [23000] [Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert the value NULL into column 'FirstName', table 'CONTOSO.dbo.Employees'; column does not allow nulls. jest błędem sterownika ODBC. W takim przypadku element może wskazywać, że kolumna FirstName w bazie danych jest obowiązkowa, column does not allow nulls ale aprowizowany użytkownik nie ma givenName atrybutu, więc nie można aprowizować użytkownika.

Sprawdź, czy użytkownicy zostali pomyślnie aprowizowani

Po oczekiwaniu sprawdź bazę danych SQL, aby upewnić się, że użytkownicy są aprowizowani.

Screenshot checking that users are provisioned.

dodatek A

Jeśli używasz programu SQL Server, możesz użyć następującego skryptu SQL, aby utworzyć przykładową bazę danych.

---Creating the Database---------
Create Database CONTOSO
Go
-------Using the Database-----------
Use [CONTOSO]
Go
-------------------------------------

/****** Object:  Table [dbo].[Employees]    Script Date: 1/6/2020 7:18:19 PM ******/
SET ANSI_NULLS ON
GO

SET QUOTED_IDENTIFIER ON
GO

CREATE TABLE [dbo].[Employees](
	[ContosoLogin] [nvarchar](128) NULL,
	[FirstName] [nvarchar](50) NOT NULL,
	[LastName] [nvarchar](50) NOT NULL,
	[Email] [nvarchar](128) NULL,
	[InternalGUID] [uniqueidentifier] NULL,
	[AzureID] [uniqueidentifier] NULL,
	[textID] [nvarchar](128) NULL
) ON [PRIMARY]
GO

ALTER TABLE [dbo].[Employees] ADD  CONSTRAINT [DF_Employees_InternalGUID]  DEFAULT (newid()) FOR [InternalGUID]
GO

Następne kroki