łącznik Microsoft Identity Manager dla programu Microsoft Graph

  • Artykuł

Podsumowanie

Łącznik Microsoft Identity Manager dla programu Microsoft Graph umożliwia obsługę dodatkowych scenariuszy integracji dla klientów Tożsamość Microsoft Entra P1 lub P2. Ma on powierzchnię w metawersie synchronizacji programu MIM dodatkowych obiektów uzyskanych z platformy Microsoft interfejs Graph API v1 i beta.

Omówione scenariusze

Zarządzanie cyklem życia konta B2B

Początkowy scenariusz łącznika Microsoft Identity Manager dla programu Microsoft Graph jest łącznikiem umożliwiającym automatyzowanie zarządzania cyklem życia kont usług AD DS dla użytkowników zewnętrznych. W tym scenariuszu organizacja synchronizuje pracowników w celu Tożsamość Microsoft Entra z usług AD DS przy użyciu programu Microsoft Entra Connect, a także zaprosiła gości do katalogu Microsoft Entra. Zaproszenie gościa powoduje, że obiekt użytkownika zewnętrznego znajduje się w katalogu Microsoft Entra tej organizacji, który nie znajduje się w usługach AD DS tej organizacji. Następnie organizacja chce przyznać tym gościom dostęp do lokalnych uwierzytelniania zintegrowanego systemu Windows lub aplikacji opartych na protokole Kerberos za pośrednictwem serwera proxy aplikacji Microsoft Entra lub innych mechanizmów bramy. Serwer proxy aplikacji Microsoft Entra wymaga, aby każdy użytkownik miał własne konto usług AD DS do celów identyfikacji i delegowania.

Aby dowiedzieć się, jak skonfigurować synchronizację programu MIM w celu automatycznego tworzenia i obsługi kont usług AD DS dla gości, po zapoznaniu się z instrukcjami w tym artykule, przeczytaj artykuł Microsoft Entra współpracy biznesowej (B2B) z programem MIM 2016 i serwerem proxy aplikacji Microsoft Entra. W tym artykule przedstawiono reguły synchronizacji wymagane dla łącznika.

Inne scenariusze zarządzania tożsamościami

Łącznik może służyć do innych konkretnych scenariuszy zarządzania tożsamościami obejmujących tworzenie, odczytywanie, aktualizowanie i usuwanie obiektów użytkowników, grup i kontaktów w Tożsamość Microsoft Entra, poza synchronizacją użytkowników i grup w celu Tożsamość Microsoft Entra. Podczas oceniania potencjalnych scenariuszy należy pamiętać: ten łącznik nie może być obsługiwany w scenariuszu, co spowodowałoby nakładanie się przepływu danych, rzeczywistego lub potencjalnego konfliktu synchronizacji z wdrożeniem programu Microsoft Entra Connect. Microsoft Entra Connect to zalecane podejście do integracji katalogów lokalnych z Tożsamość Microsoft Entra przez synchronizowanie użytkowników i grup z katalogów lokalnych do Tożsamość Microsoft Entra. Microsoft Entra Connect ma wiele innych funkcji synchronizacji i umożliwia scenariusze, takie jak zapisywanie zwrotne haseł i urządzeń, które nie są możliwe dla obiektów utworzonych przez program MIM. Jeśli na przykład dane są wprowadzane do usług AD DS, upewnij się, że są one wykluczone z Microsoft Entra Connect próbując dopasować te obiekty do katalogu Microsoft Entra. Nie można też użyć tego łącznika do wprowadzania zmian w obiektach Microsoft Entra, które zostały utworzone przez program Microsoft Entra Connect.

Przygotowywanie do korzystania z łącznika dla programu Microsoft Graph

Autoryzowanie łącznika w celu pobierania obiektów w katalogu Microsoft Entra lub zarządzania nimi

  1. Łącznik wymaga utworzenia aplikacji internetowej/aplikacji interfejsu API w Tożsamość Microsoft Entra, aby można było autoryzować ją z odpowiednimi uprawnieniami do działania na obiektach Microsoft Entra za pośrednictwem programu Microsoft Graph.

    Obraz przedstawiający przycisk rejestracji nowej aplikacjiObraz rejestracji aplikacji

    Obraz 1. Rejestrowanie nowej aplikacji

  2. W Azure Portal otwórz utworzoną aplikację i zapisz identyfikator aplikacji jako identyfikator klienta, który będzie używany później na stronie łączności ma:

    Obraz przedstawiający szczegóły rejestracji aplikacji

    Obraz 2. Identyfikator aplikacji

  3. Wygeneruj nowy klucz tajny klienta, otwierając pozycję Certyfikaty & wpisy tajne. Ustaw opis klucza i wybierz maksymalny czas trwania. Zapisz zmiany i pobierz klucz tajny klienta. Wartość wpisu tajnego klienta nie będzie dostępna do ponownego wyświetlenia po opuszczeniu strony.

    Obraz przedstawiający dodawanie nowego przycisku wpisu tajnego

    Obraz 3. Nowy klucz tajny klienta

  4. Udziel odpowiednich uprawnień "Microsoft Graph" aplikacji, otwierając pozycję "Uprawnienia interfejsu API"

    Obraz przedstawiający przycisk dodawania uprawnień Obraz 4. Dodawanie nowego interfejsu API

    Wybierz pozycję "Microsoft Graph" Uprawnienia aplikacji. Obraz przedstawiający uprawnienia aplikacji

    Odwoływanie wszystkich niepotrzebnych uprawnień.

    Obraz przedstawiający nieudzieloną uprawnienia aplikacji

    Następujące uprawnienie należy dodać do aplikacji, aby umożliwić jej używanie "Microsoft interfejs Graph API", w zależności od scenariusza:

    Operacja z obiektem Wymagane uprawnienia Typ uprawnienia
    Wykrywanie schematu Application.Read.All Aplikacja
    Importowanie grupy Group.Read.All lub Group.ReadWrite.All Aplikacja
    Importowanie użytkownika User.Read.All, User.ReadWrite.Alllub Directory.Read.AllDirectory.ReadWrite.All Aplikacja

    Więcej szczegółowych informacji na temat wymaganych uprawnień można znaleźć w dokumentacji dotyczącej uprawnień.

Uwaga

Uprawnienie Application.Read.All jest obowiązkowe do wykrywania schematu i musi zostać przyznane niezależnie od łącznika typu obiektu.

  1. Udziel zgody administratora dla wybranych uprawnień. Obraz przedstawiający udzieloną zgodę administratora

Instalowanie łącznika

  1. Przed zainstalowaniem łącznika upewnij się, że na serwerze synchronizacji są następujące elementy:
  • Microsoft .NET 4.6.2 Framework lub nowszy
  • Microsoft Identity Manager 2016 SP2 i musi używać poprawki 4.4.1642.0 KB4021562 lub nowszej.

  1. Łącznik programu Microsoft Graph, oprócz innych łączników dla programu Microsoft Identity Manager 2016 SP2, jest dostępny jako pobieranie z Centrum pobierania Microsoft.

  2. Uruchom ponownie usługę synchronizacji programu MIM.

Konfiguracja łącznika

  1. W interfejsie użytkownika synchronizacji Service Manager wybierz pozycję Łączniki i Utwórz. Wybierz pozycję Graph (Microsoft), utwórz łącznik i nadaj mu opisową nazwę.

Nowy obraz łącznika

  1. W interfejsie użytkownika usługi synchronizacji programu MIM określ identyfikator aplikacji i wygenerowany klucz tajny klienta. Każdy agent zarządzania skonfigurowany w programie MIM Sync powinien mieć własną aplikację w Tożsamość Microsoft Entra, aby uniknąć równoległego importowania dla tej samej aplikacji.

Obraz ustawień łącznika ze szczegółami łączności

Obraz 5. Strona łączności

Strona łączności (Obraz 5) zawiera wersję interfejs Graph API używaną i nazwę dzierżawy. Identyfikator klienta i klucz tajny klienta reprezentują wartość Identyfikator aplikacji i Klucz aplikacji, która została wcześniej utworzona w Tożsamość Microsoft Entra.

Łącznik jest domyślny dla wersji 1.0 oraz punktów końcowych logowania i grafu usługi globalnej programu Microsoft Graph. Jeśli twoja dzierżawa znajduje się w chmurze krajowej, musisz zmienić konfigurację, aby używać punktów końcowych dla chmury krajowej. Należy pamiętać, że niektóre funkcje programu Graph, które znajdują się w usłudze globalnej, mogą nie być dostępne we wszystkich chmurach krajowych.

  1. Wprowadź wszelkie niezbędne zmiany na stronie Parametry globalne:

Obraz strony parametrów globalnych

Obraz 6. Strona Parametry globalne

Strona Parametrów globalnych zawiera następujące ustawienia:

  • Format DateTime — format używany dla dowolnego atrybutu z typem Edm.DateTimeOffset. Wszystkie daty są konwertowane na ciąg przy użyciu tego formatu podczas importowania. Ustawiony format jest stosowany dla dowolnego atrybutu, który zapisuje datę.

  • Limit czasu HTTP (sekundy) — limit czasu w sekundach, który będzie używany podczas każdego wywołania HTTP do programu Graph.

  • Wymuś zmianę hasła dla utworzonego użytkownika przy następnym znaku — ta opcja jest używana dla nowego użytkownika, który zostanie utworzony podczas eksportu. Jeśli opcja jest włączona, właściwość forceChangePasswordNextSignIn zostanie ustawiona na true, w przeciwnym razie będzie to fałsz.

Konfigurowanie schematu i operacji łącznika

  1. Skonfiguruj schemat. Łącznik obsługuje następującą listę typów obiektów używanych z punktem końcowym programu Graph w wersji 1.0:

  • Użytkownik

    • Importowanie pełne/różnicowe

    • Eksportowanie (dodawanie, aktualizowanie, usuwanie)

  • Group (Grupa)

    • Importowanie pełne/różnicowe

    • Eksportowanie (dodawanie, aktualizowanie, usuwanie)

Dodatkowe typy obiektów mogą być widoczne podczas konfigurowania łącznika do korzystania z punktu końcowego programu Graph w wersji beta.

Lista obsługiwanych typów atrybutów:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (ciąg w przestrzeni łącznika)

  • microsoft.graph.directoryObject (odwołanie w obszarze łącznika do dowolnego z obsługiwanych obiektów)

  • microsoft.graph.contact

Atrybuty wielowartościowe (kolekcja) są również obsługiwane dla dowolnego typu z powyższej listy.

Łącznik używa atrybutu "id" dla kotwicy i dn dla wszystkich obiektów. W związku z tym zmiana nazwy nie jest potrzebna, ponieważ interfejs Graph API nie zezwala na zmianę id atrybutu obiektu.

Okres istnienia tokenu dostępu

Aplikacja programu Graph wymaga tokenu dostępu do uzyskiwania dostępu do interfejs Graph API. Łącznik zażąda nowego tokenu dostępu dla każdej iteracji importu (iteracja importu zależy od rozmiaru strony). Na przykład:

  • Tożsamość Microsoft Entra zawiera 10000 obiektów

  • Rozmiar strony skonfigurowany w łączniku to 5000

W takim przypadku podczas importowania będą występować dwie iteracji. Każda z nich zwróci 5000 obiektów do synchronizacji. Dlatego nowy token dostępu zostanie zażądany dwa razy.

Podczas eksportowania zostanie żądany nowy token dostępu dla każdego obiektu, który musi zostać dodany/zaktualizowany/usunięty.

Filtry zapytań

interfejs Graph API punkty końcowe oferują możliwość ograniczenia ilości obiektów zwracanych przez zapytania GET przez wprowadzenie parametru $filter.

Aby umożliwić korzystanie z filtrów zapytań w celu poprawy pełnego cyklu wydajności importowania, na stronie Schemat 1 właściwości łącznika włącz pole wyboru Dodaj filtry obiektów .

Ustawienia łącznika strona jednego obrazu z zaznaczonym polem wyboru Dodaj filtr obiektów

Następnie na stronie Schemat 2 wpisz wyrażenie, które ma być używane do filtrowania użytkowników, grup, kontaktów lub jednostek usługi.

Strona dwóch ustawień łącznika z przykładowym filtrem startWith(displayName,'J')

Na powyższym zrzucie ekranu filtr startsWith(displayName,'J') jest ustawiony na tylko do odczytu użytkowników, których wartość atrybutu displayName zaczyna się od "J".

Upewnij się, że atrybut używany w wyrażeniu filtru jest zaznaczony we właściwościach łącznika.

Obraz strony ustawień łącznika z wybranym atrybutem displayName

Aby uzyskać więcej informacji na temat $filter użycia parametrów zapytania, zobacz ten artykuł: Dostosowywanie odpowiedzi za pomocą parametrów zapytania.

Uwaga

Punkt końcowy zapytania delty obecnie nie oferuje możliwości filtrowania, dlatego użycie filtrów jest ograniczone tylko do pełnego importu. Zostanie wyświetlony błąd podczas próby uruchomienia importowania różnicowego z włączonymi filtrami zapytań.

Rozwiązywanie problemów

Włączanie dzienników

Jeśli w programie Graph występują problemy, dzienniki mogą służyć do lokalizowania problemu. W związku z tym ślady mogą być włączone w taki sam sposób, jak w przypadku łączników ogólnych. Możesz też dodać następujące elementy do miiserver.exe.config sekcji (wewnątrz system.diagnostics/sources sekcji):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Uwaga

Jeśli opcja "Uruchom tego agenta zarządzania w osobnym procesie" jest włączona, dllhost.exe.config należy użyć polecenia zamiast miiserver.exe.config.

Błąd wygasłego tokenu dostępu

Łącznik może zwrócić błąd HTTP 401 Brak autoryzacji, komunikat "Token dostępu wygasł"."

Obraz szczegółów błędu

Obraz 7. "Token dostępu wygasł". Błąd

Przyczyną tego problemu może być konfiguracja okresu istnienia tokenu dostępu po stronie platformy Azure. Domyślnie token dostępu wygasa po 1 godzinie. Aby zwiększyć czas wygaśnięcia, zobacz ten artykuł.

Przykład użycia Azure AD publicznej wersji zapoznawczej modułu programu PowerShell

Obraz okresu istnienia tokenu dostępu

New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefaultDefault $true -Type "TokenLifetimePolicy"

Następne kroki