Partilhar via

Microsoft Entra colaboração empresa-empresa (B2B) com o Microsoft Identity Manager(MIM) 2016 SP1 com o Proxy Aplicação Azure

  • Artigo

O cenário inicial é a gestão do ciclo de vida da conta do AD de utilizador externo. Neste cenário, uma organização convidou os convidados para o respetivo diretório de Microsoft Entra e pretende conceder a esses convidados acesso a aplicações baseadas em Autenticação Windows-Integrated ou Kerberos no local, através do proxy de aplicações Microsoft Entra ou de outros mecanismos de gateway. O Microsoft Entra proxy de aplicações requer que cada utilizador tenha a sua própria conta do AD DS, para fins de identificação e delegação.

Documentação de Orientação do Scenario-Specific

Algumas suposições feitas na configuração de B2B com MIM e Microsoft Entra ID Proxy de Aplicações:

Cenário de Exemplo de Implementação Ponto a Ponto B2B

Este guia baseia-se no seguinte cenário:

A Contoso Pharmaceuticals trabalha com a Trey Research Inc. como parte do departamento de R&D. Os colaboradores da Trey Research precisam de aceder à aplicação de relatórios de investigação fornecida pela Contoso Pharmaceuticals.

  • A Contoso Pharmaceuticals está no seu próprio inquilino, para ter configurado um domínio personalizado.

  • Alguém convidou um utilizador externo para o inquilino da Contoso Pharmaceuticals. Este utilizador aceitou o convite e pode aceder aos recursos que são partilhados.

  • A Contoso Pharmaceuticals publicou uma aplicação através do Proxy de Aplicações. Neste cenário, a aplicação de exemplo é o Portal do MIM. Isto permitiria que um utilizador convidado participasse em processos do MIM, por exemplo, em cenários de suporte técnico ou para pedir acesso a grupos no MIM.

Configurar o AD e o Microsoft Entra Connect para excluir utilizadores adicionados de Microsoft Entra ID

Por predefinição, o Microsoft Entra Connect assumirá que os utilizadores não administradores no Active Directory precisam de ser sincronizados com Microsoft Entra ID. Se o Microsoft Entra Connect encontrar um utilizador existente no Microsoft Entra ID que corresponda ao utilizador do AD no local, o Microsoft Entra Connect corresponderá às duas contas e assumirá que se trata de uma sincronização anterior do utilizador e tornará o AD no local autoritativo. No entanto, este comportamento predefinido não é adequado para o fluxo B2B, em que a conta de utilizador tem origem em Microsoft Entra ID.

Por conseguinte, os utilizadores trazidos para o AD DS pelo MIM a partir de Microsoft Entra ID têm de ser armazenados de forma a que Microsoft Entra ID não tente sincronizar esses utilizadores novamente com Microsoft Entra ID. Uma forma de o fazer é criar uma nova unidade organizacional no AD DS e configurar Microsoft Entra Ligar para excluir essa unidade organizacional.

Para obter mais informações, veja Microsoft Entra Connect Sync: Configurar a filtragem.

Criar a aplicação Microsoft Entra

Nota: antes de criar no MIM Sync o agente de gestão do conector de grafos, certifique-se de que reviu o guia para implementar o Conector do Graph e criou uma aplicação com um ID de cliente e um segredo. Certifique-se de que a aplicação foi autorizada para, pelo menos, uma destas permissões: User.Read.All, User.ReadWrite.AllDirectory.Read.All ou Directory.ReadWrite.All.

Criar o Novo Agente de Gestão

Na IU do Service Manager de Sincronização, selecione Conectores e Criar. Selecione Gráfico (Microsoft) e atribua-lhe um nome descritivo.

Captura de ecrã a mostrar o Agente de gestão do Graph com um nome de Gráfico B 2 B e um botão O K.

Conectividade

Na página Conectividade, tem de especificar a Versão do Graph API. O PAI pronto para produção é V 1.0, Não Produção é Beta.

Captura de ecrã a mostrar a versão do Graph A P I selecionada e um botão Seguinte.

Parâmetros de Globais

Captura de ecrã a mostrar valores para parâmetros globais e um botão Seguinte.

Configurar Hierarquia de Aprovisionamento

Esta página é utilizada para mapear o componente DN, por exemplo UO, para o tipo de objeto que deve ser aprovisionado, por exemplo organizationalUnit. Isto não é necessário para este cenário, por isso deixe-o como a predefinição e clique em seguinte.

Captura de ecrã a mostrar a página Configurar Hierarquia de Aprovisionamento e um botão Seguinte.

Configurar Partições e Hierarquias

Na página partições e hierarquias, selecione todos os espaços de nomes com objetos que planeia importar e exportar.

Captura de ecrã a mostrar a página Configurar Partições e Hierarquias e um botão O K.

Selecionar Tipos de Objeto

Na página tipos de objeto, selecione os tipos de objeto que pretende importar. Tem de selecionar, pelo menos, "Utilizador".

Captura de ecrã a mostrar a página Selecionar Tipos de Objeto com um tipo de objeto selecionado e um botão O K.

Selecionar Atributos

No ecrã Selecionar Atributos, selecione atributos de Microsoft Entra que serão necessários para gerir utilizadores B2B no AD. O Atributo "ID" é necessário. Os atributos e userType serão utilizados userPrincipalName posteriormente nesta configuração. Outros atributos são opcionais, incluindo

  • displayName

  • mail

  • givenName

  • surname

  • userPrincipalName

  • userType

Captura de ecrã a mostrar o ecrã Selecionar Atributos com alguns atributos selecionados e um botão O K.

Configurar Âncoras

No ecrã Configurar Âncora, a configuração do atributo de âncora é um passo necessário. Por predefinição, utilize o atributo ID para o mapeamento de utilizadores.

Captura de ecrã a mostrar o ecrã Configurar Âncoras com um tipo de objeto de utilizador e um atributo de âncora do i d e um botão Seguinte.

Configurar Filtro de Conector

Na página Configurar Filtro do Conector, o MIM permite-lhe filtrar objetos com base no filtro de atributos. Neste cenário para B2B, o objetivo é apenas trazer Utilizadores com o valor do userType atributo que é igual Guesta , e não utilizadores com o userType que seja igual membera .

Captura de ecrã a mostrar a página Configurar Filtro do Conector com filtros para o utilizador selecionado e um botão O K.

Configurar Regras de Associação e Projeção

Este guia pressupõe que irá criar uma regra de sincronização. Como a configuração das regras de Associação e Projeção é processada pela regra de sincronização, não é necessário ter de identificar uma associação e projeção no próprio conector. Deixe a predefinição e clique em OK.

Captura de ecrã a mostrar a página Configurar Regras de Associação e Projeção com um botão O K.

Configurar Fluxo de Atributos

Este guia pressupõe que irá criar uma regra de sincronização. A projeção não é necessária para definir o fluxo de atributos na Sincronização do MIM, uma vez que é processada pela regra de sincronização que é criada mais tarde. Deixe a predefinição e clique em OK.

Captura de ecrã a mostrar a página Configurar Fluxo de Atributos com um botão O K.

Configurar o Desaprovisionamento

A definição para configurar o desaprovisionamento permite-lhe configurar a sincronização do MIM para eliminar o objeto, se o objeto metaverso for eliminado. Neste cenário, vamos torná-los desligadores, uma vez que o objetivo é deixá-los no Microsoft Entra ID. Neste cenário, não estamos a exportar nada para Microsoft Entra ID e o conector está configurado apenas para Importação.

Captura de ecrã a mostrar a página Configurar Desaprovisionamento com um botão O K.

Configurar Extensões

Configurar Extensões neste agente de gestão é uma opção, mas não é necessária porque estamos a utilizar uma regra de sincronização. Se decidimos utilizar uma regra avançada no fluxo de atributos anteriormente, haveria uma opção para definir a extensão de regras.

Captura de ecrã a mostrar a página Configurar Extensões com um botão O K.

Expandir o esquema metaverso

Antes de criar a regra de sincronização, temos de criar um atributo chamado userPrincipalName associado ao objeto de pessoa com o Designer MV.

No cliente de Sincronização, selecione Metaverso Designer

Captura de ecrã a mostrar a opção Designer metaverso no menu do friso Sincronização Service Manager.

Em seguida, selecione o tipo de objeto pessoa

Captura de ecrã a mostrar os tipos de objeto metaverso Designer com o tipo de objeto pessoa selecionado.

Em seguida, em ações, clique em Adicionar Atributo

Captura de ecrã a mostrar o item Adicionar Atributo no menu Ações.

Em seguida, conclua os seguintes detalhes

Nome do atributo: userPrincipalName

Tipo de Atributo: Cadeia (Indexável)

Indexado = Verdadeiro

Captura de ecrã a mostrar caixas de diálogo para introduzir valores para Nome do atributo, Tipo de atributo e Indexado.

Criar Regras de Sincronização do Serviço MIM

Nos passos abaixo, começamos o mapeamento da conta de convidado B2B e do fluxo de atributos. Algumas suposições são feitas aqui: que já tem o MA do Active Directory configurado e o FIM MA configurado para trazer utilizadores para o Serviço e Portal do MIM.

Captura de ecrã a mostrar o ecrã Regras de Sincronização.

Os passos seguintes exigirão a adição de configuração mínima ao FIM MA e ao AD MA.

Pode encontrar mais detalhes aqui para a configuração https://technet.microsoft.com/library/ff686263(v=ws.10).aspx – Como Posso Aprovisionar Utilizadores para o AD DS

Regra de Sincronização: Importar o Utilizador Convidado para o MV para o Metaverso do Serviço de Sincronização do Microsoft Entra ID

Navegue para o Portal do MIM, selecione Regras de Sincronização e clique em novo. Crie uma regra de sincronização de entrada para o fluxo B2B através do conector de grafos. Captura de ecrã a mostrar o separador Geral no ecrã Criar Regra de Sincronização com o nome da regra de sincronização introduzido.

Captura de ecrã a mostrar o separador Âmbito com Tipo de Recurso Metaverso, Sistema Externo, Tipo de Recurso de Sistema Externo e Filtros.

No passo critérios de relação, certifique-se de que seleciona "Criar recurso no FIM". Captura de ecrã a mostrar o separador Relação e Os Critérios de Relação.

Captura de ecrã a mostrar o separador Fluxo de Atributos de Entrada no ecrã Regra de Sincronização IN.

Configure as seguintes regras de fluxo de atributos de entrada. Certifique-se de que povoa os accountNameatributos e , userPrincipalNameuid uma vez que serão utilizados mais tarde neste cenário:

Apenas Fluxo Inicial Utilizar como Teste de Existência Fluxo (Valor de Origem ⇒ Atributo FIM)
[displayName⇒displayName](javascript:void(0);)
[Left(id,20)⇒accountName](javascript:void(0);)
[id⇒uid](javascript:void(0);)
[userType⇒employeeType](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[surname⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
[id⇒cn](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[mobilePhone⇒mobilePhone](javascript:void(0);)

Regra de Sincronização: Criar uma conta de Utilizador Convidado para o Active Directory

Esta regra de sincronização cria o utilizador no Active Directory. Certifique-se de que o fluxo de dn tem de colocar o utilizador na unidade organizacional que foi excluída do Microsoft Entra Connect. Além disso, atualize o fluxo para unicodePwd cumprir a política de palavras-passe do AD – o utilizador não precisará de saber a palavra-passe. Repare no valor de 262656 para userAccountControl codifica os sinalizadores SMARTCARD_REQUIRED e NORMAL_ACCOUNT.

Captura de ecrã a mostrar o separador Geral do ecrã Excluir Regras de Sincronização.

Captura de ecrã a mostrar o separador Âmbito com o Tipo de Recurso Metaverso, Sistema Externo, Tipo de Recurso do Sistema Externo e Filtro de Âmbito do Sistema de Saída.

Captura de ecrã a mostrar o separador Fluxo de Atributos de Saída.

Regras de Fluxo:

Apenas Fluxo Inicial Utilizar como Teste de Existência Fluxo (Valor do FIM ⇒ Atributo de Destino)
[accountName⇒sAMAccountName](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[sn⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
Y ["CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn](javascript:void(0);)
Y [RandomNum(0,999)+userPrincipalName⇒unicodePwd](javascript:void(0);)
Y [262656⇒userAccountControl](javascript:void(0);)

Regra de Sincronização Opcional: Importar SID de Objetos de Utilizador Convidado B2B para permitir o início de sessão no MIM

Esta regra de sincronização de entrada traz o atributo SID do utilizador do Active Directory novamente para o MIM, para que o utilizador possa aceder ao Portal do MIM. O Portal do MIM requer que o utilizador tenha os atributos samAccountNamedomain e objectSid seja preenchido na base de dados do Serviço MIM.

Configure o sistema externo de origem como , ADMAuma vez que o objectSid atributo será definido automaticamente pelo AD quando o MIM criar o utilizador.

Tenha em atenção que, se configurar os utilizadores para serem criados no Serviço MIM, certifique-se de que não estão no âmbito de quaisquer conjuntos destinados às regras de política de gestão da SSPR dos colaboradores. Poderá ter de alterar as definições definidas para excluir os utilizadores que foram criados pelo fluxo B2B.

Captura de ecrã a mostrar o separador Geral do ecrã Regra de Sincronização IN.

Captura de ecrã a mostrar o separador Relação do ecrã Regra de Sincronização IN.

Captura de ecrã a mostrar o separador Âmbito do ecrã Regra de Sincronização IN.

Captura de ecrã a mostrar o separador Fluxo de Atributos de Entrada.

Apenas Fluxo Inicial Utilizar como Teste de Existência Fluxo (Valor de Origem ⇒ Atributo FIM)
[sAMAccountName⇒accountName](javascript:void(0);)
["CONTOSO"⇒domain](javascript:void(0);)
[objectSid⇒objectSid](javascript:void(0);)

Executar as regras de sincronização

Em seguida, convidamos o utilizador e, em seguida, executamos as regras de sincronização do agente de gestão pela seguinte ordem:

  • Importação e Sincronização Completas no MIMMA Agente de Gestão. Isto garante que a Sincronização do MIM tem as regras de sincronização mais recentes configuradas.

  • Importação e Sincronização Completas no ADMA Agente de Gestão. Isto garante que o MIM e o Active Directory são consistentes. Neste momento, ainda não haverá exportações pendentes para os convidados.

  • Importação e Sincronização Completas no Agente de Gestão do Graph B2B. Isto traz os utilizadores convidados para o metaverso. Neste momento, uma ou mais contas estarão pendentes de exportação para ADMA. Se não existirem exportações pendentes, verifique se os utilizadores convidados foram importados para o espaço do conector e se as regras foram configuradas para que lhes sejam atribuídas contas do AD.

  • Exportar, Importar Delta e Sincronizar no ADMA Agente de Gestão. Se as exportações falharem, verifique a configuração da regra e determine se existem requisitos de esquema em falta.

  • Exportar, Importar Delta e Sincronizar no MIMMA Agente de Gestão. Quando esta ação estiver concluída, já não deverão existir exportações pendentes.

Tabela a listar Agentes de Gestão por Nome, Tipo, Descrição e Estado.

Opcional: Proxy de Aplicações para convidados B2B que iniciam sessão no Portal do MIM

Agora que criámos as regras de sincronização no MIM. Na configuração do Proxy de Aplicações, defina utilizar o principal de cloud para permitir o KCD no proxy de aplicações. Em seguida, adicionou o utilizador manualmente aos grupos e utilizadores de gestão. As opções para não mostrar o utilizador até que a criação tenha ocorrido no MIM para adicionar o convidado a um grupo de escritórios uma vez aprovisionado requer um pouco mais de configuração não abrangida neste documento.

Captura de ecrã a mostrar o ecrã GERIR utilizadores e grupos do MIM B 2 B.

Captura de ecrã a mostrar o ecrã gerir o início de sessão único do MIM B 2 B.

Captura de ecrã a mostrar o ecrã gerir o proxy de aplicações do MIM B 2 B.

Assim que tudo estiver configurado, peça ao utilizador B2B para iniciar sessão e ver a aplicação.

Captura de ecrã a mostrar o início de sessão e as aplicações de demonstração.

Captura de ecrã a mostrar a home page do Microsoft Identity Manager.

Passos Seguintes

Como Aprovisiono Utilizadores para o AD DS?

Referências de Funções para o FIM 2010

How to provide secure remote access to on-premises applications (Como fornecer acesso remoto seguro a aplicações no local)

Transferir o conector Microsoft Identity Manager para o Microsoft Graph