Etablering med anslutningsappen för webbtjänster
Följande dokumentation innehåller information om den allmänna anslutningsappen för webbtjänster. Microsoft Entra ID Governance stöder etableringskonton i olika program, till exempel SAP ECC, Oracle eBusiness Suite och verksamhetsspecifika program som exponerar REST- eller SOAP-API:er. Kunder som tidigare har distribuerat MIM för att ansluta till dessa program kan enkelt växla till att använda den enkla Microsoft Entra-etableringsagenten och återanvända samma anslutningsapp för webbtjänster som skapats för MIM.
Funktioner som stöds
- Skapa användare i ditt program.
- Ta bort användare i ditt program när de inte behöver åtkomst längre.
- Behåll användarattribut synkroniserade mellan Microsoft Entra-ID och ditt program.
- Identifiera schemat för ditt program.
Anslutningsappen för webbtjänster implementerar följande funktioner:
SOAP-identifiering: Gör att administratören kan ange den WSDL-sökväg som exponeras av målwebbtjänsten. Identifiering skapar en trädstruktur för programmets värdbaserade webbtjänster med sina inre slutpunkter eller åtgärder tillsammans med åtgärdens beskrivning av metadata. Det finns ingen gräns för hur många identifieringsåtgärder som kan utföras (steg för steg). Identifierade åtgärder används senare för att konfigurera flödet av åtgärder som implementerar anslutningsappens åtgärder mot datakällan (som Import/Export).
REST Discovery: Gör att administratören kan ange REST-tjänstinformation, inklusive information om tjänstslutpunkt, resurssökväg, metod och parameter. REST-tjänstinformationen
discovery.xml
lagras i projektetswsconfig
fil. De kommer att användas senare av administratören för att konfigurera aktiviteten Rest Web Service i arbetsflödet.Schemakonfiguration: Tillåter att administratören konfigurerar schemat. Schemakonfigurationen innehåller en lista över objekttyper och attribut för ett visst program. Administratören kan välja de attribut som ska ingå i schemat.
Konfiguration av åtgärdsflöde: Arbetsflödesdesignerns användargränssnitt för att konfigurera implementeringen av import- och exportåtgärder per objekttyp via exponerade webbtjänståtgärder, inklusive tilldelning av parametrar från användaren som etableras till webbtjänstfunktioner.
Förutsättningar för etablering
Krav för det lokala systemet
Datorn som kör etableringsagenten ska ha:
- Anslut ivitet för programmets REST- eller SOAP-slutpunkter, samt med utgående anslutning till login.microsoftonline.com, andra Microsoft Online Services- och Azure-domäner. Ett exempel är en virtuell Windows Server 2016-dator som finns i Azure IaaS eller bakom en proxy.
- Minst 3 GB RAM-minne som värd för en etableringsagent.
- .NET Framework 4.7.2
- En Windows Server 2016 eller en senare version.
Innan du konfigurerar etableringen kontrollerar du att du:
- Exponera nödvändiga SOAP- eller REST-API:er i ditt program för att skapa, uppdatera och ta bort användare.
Molnkrav
En Microsoft Entra-klientorganisation med Microsoft Entra ID P1 eller Premium P2 (eller EMS E3 eller E5).
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
Rollen Hybrididentitetsadministratör för att konfigurera etableringsagenten och rollerna Programadministratör eller Molnprogramadministratör för att konfigurera etablering i Azure-portalen.
De Microsoft Entra-användare som ska etableras i ditt program måste redan vara ifyllda med attribut som krävs av ditt program.
Installera och konfigurera Microsoft Entra Anslut Provisioning Agent
- Logga in på Azure-portalen.
- Gå till Företagsprogram och välj Nytt program.
- Sök efter det lokala ECMA-appprogrammet , ge appen ett namn och välj Skapa för att lägga till den i din klientorganisation.
- Gå till sidan Etablering i ditt program från menyn.
- Välj Komma igång.
- På sidan Etablering ändrar du läget till Automatisk.
Under Lokal Anslut ivitet väljer du Ladda ned och installera och väljer Acceptera villkor och ladda ned.
Lämna portalen och kör installationsprogrammet för etableringsagenten, godkänn villkoren för tjänsten och välj Installera.
Vänta till konfigurationsguiden för Microsoft Entra-etableringsagenten och välj sedan Nästa.
I steget Välj tillägg väljer du Lokal programetablering och sedan Nästa.
Etableringsagenten använder operativsystemets webbläsare för att visa ett popup-fönster där du kan autentisera till Microsoft Entra-ID och eventuellt även din organisations identitetsprovider. Om du använder Internet Explorer som webbläsare på Windows Server kan du behöva lägga till Microsoft-webbplatser i webbläsarens lista över betrodda webbplatser så att JavaScript kan köras korrekt.
Ange autentiseringsuppgifter för en Microsoft Entra-administratör när du uppmanas att auktorisera. Användaren måste ha minst rollen Hybrididentitetsadministratör .
Välj Bekräfta för att bekräfta inställningen. När installationen har slutförts kan du välja Avsluta och även stänga installationsprogrammet för etableringsagentpaketet.
Konfigurera den lokala ECMA-appen
I portalen går du till avsnittet Lokal Anslut ivity och väljer den agent som du distribuerade och väljer Tilldela agenter.
Håll det här webbläsarfönstret öppet när du slutför nästa konfigurationssteg med hjälp av konfigurationsguiden.
Konfigurera Microsoft Entra ECMA-Anslut eller-värdcertifikatet
På Den Windows Server där etableringsagenten är installerad högerklickar du på konfigurationsguiden för Microsoft ECMA2Host från Start-menyn och kör som administratör. Det är nödvändigt att köra som Windows-administratör för att guiden ska kunna skapa nödvändiga Windows-händelseloggar.
När ECMA-Anslut eller-värdkonfigurationen startar, om det är första gången du kör guiden, uppmanas du att skapa ett certifikat. Lämna standardporten 8585 och välj Generera certifikat för att generera ett certifikat. Det automatiskt genererade certifikatet är självsignerat som en del av den betrodda roten. Certifikatet SAN matchar värdnamnet.
Välj Spara.
Skapa en anslutningsmall för webbtjänster
Innan du skapar konfigurationen av anslutningsappen för webbtjänster måste du skapa en anslutningsmall för webbtjänster och anpassa mallen så att den uppfyller behoven i din specifika miljö. Kontrollera att ServiceName, EndpointName och OperationName är korrekta.
Du hittar exempelmallar och vägledning om hur du integrerar med populära program som SAP ECC 7.0 och Oracle eBusiness Suite i nedladdningspaketet för anslutningsappar. Du kan lära dig hur du skapar ett nytt projekt för datakällan i konfigurationsverktyget för webbtjänsten med hjälp av arbetsflödesguiden för SOAP.
Mer information om hur du konfigurerar en mall för att ansluta till ditt eget programs REST- eller SOAP-API finns i Översikt över den allmänna webbtjänstanslutningen i MIM-dokumentationsbiblioteket.
Konfigurera den allmänna anslutningsappen för webbtjänster
I det här avsnittet skapar du anslutningskonfigurationen för ditt program.
Anslut etableringsagenten till ditt program
Följ dessa steg för att ansluta Microsoft Entra-etableringsagenten till ditt program:
Kopiera mallfilen för webbtjänstens anslutningsapp
.wsconfig
tillC:\Program Files\Microsoft ECMA2Host\Service\ECMA
mappen.Generera en hemlig token som ska användas för att autentisera Microsoft Entra-ID till anslutningsappen. Det ska vara minst 12 tecken och unikt för varje program.
Om du inte redan har gjort det startar du konfigurationsguiden för Microsoft ECMA2Host från Windows Start-menyn.
Välj Ny Anslut eller.
På sidan Egenskaper fyller du i rutorna med de värden som anges i tabellen som följer bilden och väljer Nästa.
Property Värde Name Namnet du valde för anslutningsappen, som ska vara unikt för alla anslutningsappar i din miljö. Autosynkronisering av timer (minuter) 120 Hemlig token Ange den hemliga token som du genererade för den här anslutningsappen. Nyckeln ska vara minst 12 tecken. Tilläggs-DLL För anslutningsappen för webbtjänster väljer du Microsoft.IdentityManagement.MA.WebServices.dll. På sidan Anslut ivity fyller du i rutorna med de värden som anges i tabellen som följer bilden och väljer Nästa.
Property beskrivning Webbtjänstprojekt Namnet på webbtjänstmallen. Host Programmets SOAP-slutpunktsvärdnamn, till exempel vhcalnplci.dummy.nodomain Port Programmets SOAP-slutpunktsport, till exempel 8000 På sidan Funktioner fyller du i rutorna med de värden som anges i tabellen nedan och väljer Nästa.
Property Värde Formatmall för unikt namn Allmän Exporttyp ObjectReplace Datanormalisering Ingen Objektbekräftelse Normal Aktivera import Kontrollerad Aktiverad deltaimport Avmarkerat Aktivera export Kontrollerad Aktivera fullständig export Avmarkerat Aktivera exportlösenord i första passet Kontrollerad Inga referensvärden i första exportpasset Avmarkerat Aktivera objektbyte Avmarkerat Ta bort som ersätt Avmarkerat
Kommentar
Om anslutningsmallen för webbtjänster öppnas för redigering i webbtjänstkonfigurationsverktyget får du ett fel.
På sidan Global fyller du i rutorna och väljer Nästa.
På sidan Partitioner väljer du Nästa.
På sidan Kör profiler håller du kryssrutan Exportera markerad. Markera kryssrutan Fullständig import och välj Nästa. Profilen Exportera körning används när ECMA-Anslut eller-värden behöver skicka ändringar från Microsoft Entra-ID till ditt program för att infoga, uppdatera och ta bort poster. Profilen Fullständig importkörning används när ECMA-Anslut eller värdtjänsten startar för att läsa in det aktuella innehållet i ditt program.
Property Värde Export Kör profil som ska exportera data till ditt program Den här körningsprofilen krävs. Fullständig import Kör profil som importerar alla data från ditt program. Deltaimport Kör profil som endast importerar ändringar från ditt program sedan den senaste fullständiga importen eller deltaimporten. På sidan Objekttyper fyller du i rutorna och väljer Nästa. Använd tabellen som följer bilden för vägledning om de enskilda rutorna.
Fästpunkt : Värdena för det här attributet ska vara unika för varje objekt i målsystemet. Microsoft Entra-etableringstjänsten frågar ECMA-anslutningsvärden med hjälp av det här attributet efter den inledande cykeln. Det här värdet definieras i mallen för anslutningsappen för webbtjänster.
DN : Det automatiskt genererade alternativet bör väljas i de flesta fall. Om det inte är markerat kontrollerar du att DN-attributet är mappat till ett attribut i Microsoft Entra-ID som lagrar DN i det här formatet: CN = anchorValue, Object = objectType. Mer information om fästpunkter och DN finns i Om fästpunktsattribut och unika namn.
Property Värde Målobjekt User Fästpunkt userName DN userName Genereras automatiskt Kontrollerad
ECMA-anslutningsvärden identifierar de attribut som stöds av ditt program. Du kan sedan välja vilka av de identifierade attribut som du vill exponera för Microsoft Entra-ID. Dessa attribut kan sedan konfigureras i Azure-portalen för etablering. På sidan Välj attribut lägger du till alla attribut i listrutan en i taget. Listrutan Attribut visar alla attribut som identifierades i ditt program och som inte valdes på sidan Välj attribut tidigare. När alla relevanta attribut har lagts till väljer du Nästa.
På sidan Avetablering går du till Inaktivera flöde och väljer Ta bort. De attribut som valts på föregående sida är inte tillgängliga att välja på sidan Avetablering. Välj Slutför.
Kommentar
Om du använder värdet Ange attribut bör du vara medveten om att endast booleska värden tillåts.
På sidan Avetablering går du till Inaktivera flöde och väljer Ingen om du vill kontrollera användarkontostatus med en egenskap som expirationTime. Under Ta bort flöde väljer du Ingen om du inte vill ta bort användare från ditt program eller Ta bort om du gör det. Välj Slutför.
Kontrollera att TJÄNSTEN ECMA2Host körs
På den server som kör Microsoft Entra ECMA Anslut eller Host väljer du Starta.
Ange kör och ange services.msc i rutan.
I listan Tjänster kontrollerar du att Microsoft ECMA2Host finns och körs. Om inte väljer du Start.
Om du nyligen har startat tjänsten och har många användarobjekt i ditt program väntar du flera minuter på att anslutningsappen ska upprätta en anslutning till ditt program och utföra den första fullständiga importen.
Konfigurera programanslutningen i Azure-portalen
Gå tillbaka till webbläsarfönstret där du konfigurerade programetablering.
Kommentar
Om tidsgränsen för fönstret hade överskrids måste du välja agenten igen.
- Logga in på Azure-portalen.
- Gå till Företagsprogram och det lokala ECMA-appprogrammet .
- Välj Etablering.
- Välj Kom igång och ändra sedan läget till Automatisk. I avsnittet Lokal Anslut ivity väljer du den agent som du distribuerade och väljer Tilldela agenter. Annars går du till Redigera etablering.
Under avsnittet Administratörsautentiseringsuppgifter anger du följande URL.
{connectorName}
Ersätt delen med namnet på anslutningsappen på ECMA-anslutningsvärden. Anslutningsappens namn är skiftlägeskänsligt och bör vara samma skiftläge som konfigurerades i guiden. Du kan också ersättalocalhost
med datorns värdnamn.Property Värde Klientorganisations-URL https://localhost:8585/ecma2host_APP1/scim
Ange värdet för den hemliga token som du definierade när du skapade anslutningsappen.
Kommentar
Om du precis har tilldelat agenten till programmet väntar du 10 minuter tills registreringen har slutförts. Anslutningstestet fungerar inte förrän registreringen har slutförts. Att tvinga agentregistreringen att slutföras genom att starta om etableringsagenten på servern kan påskynda registreringsprocessen. Gå till servern, sök efter tjänster i Sökfältet i Windows, identifiera Microsoft Entra Anslut Provisioning Agent Service, högerklicka på tjänsten och starta om.
Välj Testa Anslut ion och vänta en minut.
När anslutningstestet har slutförts och anger att de angivna autentiseringsuppgifterna har behörighet att aktivera etablering väljer du Spara.
Konfigurera attributmappningar
Nu ska du mappa attribut mellan representationen av användaren i Microsoft Entra-ID och representationen av användaren i ditt program.
Du använder Azure-portalen för att konfigurera mappningen mellan Microsoft Entra-användarens attribut och de attribut som du tidigare valde i konfigurationsguiden för ECMA-värden.
Kontrollera att Microsoft Entra-schemat innehåller de attribut som krävs av ditt program. Om det kräver att användarna har ett attribut, och det attributet inte redan ingår i ditt Microsoft Entra-schema för en användare, måste du använda funktionen för katalogtillägg för att lägga till attributet som ett tillägg.
I administrationscentret för Microsoft Entra går du till Företagsprogram och väljer det lokala ECMA-appprogrammet och sedan sidan Etablering.
Välj Redigera etablering och vänta 10 sekunder.
Expandera Mappningar och välj Etablera Microsoft Entra-användare. Om det här är första gången du har konfigurerat attributmappningarna för det här programmet finns det bara en mappning för en platshållare.
Bekräfta att schemat för ditt program är tillgängligt i Microsoft Entra-ID genom att markera kryssrutan Visa avancerade alternativ och välja Redigera attributlista för ScimOnPremises. Kontrollera att alla attribut som valts i konfigurationsguiden visas. Annars väntar du flera minuter på att schemat ska uppdateras och läser sedan in sidan igen. När du ser attributen i listan, avbryt sedan från den här sidan för att återgå till mappningslistan.
Klicka nu på mappningen userPrincipalName PLACEHOLDER. Den här mappningen läggs till som standard när du först konfigurerar lokal etablering.
Ändra värdet så att det matchar följande:
Mappningstyp | Källattribut | Målattribut |
---|---|---|
Direct | userPrincipalName | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
Välj Lägg till ny mappning och upprepa nästa steg för varje mappning.
Ange käll- och målattributen för vart och ett av de attribut som programmet kräver. Exempel:
Microsoft Entra-attribut ScimOnPremises-attribut Matchande prioritet Tillämpa den här mappningen ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Endast när objektet skapas Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Endast när objektet skapas ort urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Alltid companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Alltid Avdelning urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Alltid e-post urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Alltid Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Alltid givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Alltid surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Alltid telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Alltid jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Alltid När alla mappningar har lagts till väljer du Spara.
Tilldela användare till programmet
Nu när du har microsoft entra ECMA-Anslut eller värd som pratar med Microsoft Entra-ID och attributmappningen konfigurerad kan du gå vidare till att konfigurera vem som är i omfånget för etablering.
Viktigt!
Om du har loggat in med rollen Hybrididentitetsadministratör måste du logga ut och logga in med ett konto som har minst rollen Programadministratör för det här avsnittet. Rollen Hybrididentitetsadministratör har inte behörighet att tilldela användare till program.
Om det finns befintliga användare i ditt program bör du skapa programrolltilldelningar för dessa befintliga användare. Mer information om hur du skapar programrolltilldelningar i grupp finns i styra ett programs befintliga användare i Microsoft Entra-ID.
Om det inte finns några aktuella användare av programmet väljer du annars en testanvändare från Microsoft Entra som ska etableras till programmet.
Se till att användaren du väljer har alla egenskaper som ska mappas till de attribut som krävs för ditt program.
I Azure-portalen väljer du Företagsprogram.
Välj det lokala ECMA-appprogrammet .
Till vänster under Hantera väljer du Användare och grupper.
Välj Lägg till användare/grupp.
Under Användare väljer du Ingen markerad.
Välj användare till höger och välj knappen Välj .
Välj nu Tilldela.
Testetablering
Nu när dina attribut har mappats och användarna har tilldelats kan du testa etablering på begäran med en av dina användare.
I Azure-portalen väljer du Företagsprogram.
Välj det lokala ECMA-appprogrammet .
Till vänster väljer du Etablering.
Välj Etablera på begäran.
Sök efter en av testanvändarna och välj Etablera.
Efter flera sekunder visas meddelandet Skapad användare i målsystemet med en lista över användarattributen.
Starta etableringsanvändare
När etableringen på begäran har slutförts återgår du till konfigurationssidan för etablering. Kontrollera att omfånget endast är inställt på tilldelade användare och grupper, aktivera etablering och välj Spara.
Vänta i upp till 40 minuter innan etableringstjänsten startas. När etableringsjobbet har slutförts, enligt beskrivningen i nästa avsnitt, kan du ändra etableringsstatusen till Av om du är klar med testningen och välja Spara. Den här åtgärden hindrar etableringstjänsten från att köras i framtiden.
Felsöka etableringsfel
Om ett fel visas väljer du Visa etableringsloggar. Leta i loggen efter en rad där Status är Fel och välj på den raden.
Mer information finns på fliken Felsökning & Rekommendationer.