Kullanıcıları Linux kimlik doğrulaması için ldap dizinine sağlamak üzere Microsoft Entra Id'yi yapılandırma

2025-04-09

Aşağıdaki dokumentasyon, Linux sistemine erişimi nasıl yönetebileceğinizi gösteren bir kılavuzdur. Microsoft Entra, kullanıcıları bu Linux sistemi tarafından güvenilen bir şirket içi LDAP dizinine sağlar. Bu, kullanıcıların kullanıcı kimlik doğrulaması için bu LDAP dizinine dayalı bir Linux sisteminde oturum açmasına olanak tanır. Bir kullanıcı Microsoft Entra Id'den kaldırıldığında artık Linux sisteminde oturum açamaz.

Not

Bu makalede açıklanan senaryo yalnızca kullanıcı tanımlama ve kimlik doğrulaması için zaten bir Ad Hizmetleri Anahtarı (NSS) veya Takılabilir Kimlik Doğrulama Modülleri (PAM) LDAP modülü kullanan mevcut Linux sistemleri için geçerlidir. Azure'daki veya Azure Arc özellikli Linux VM'ler bunun yerine Microsoft Entra kimlik doğrulamasıyla tümleştirilmelidir. Artık Microsoft Entra Id ve OpenSSHkullanarak Azure'da linux sanal makinesinde oturum açma açıklandığı gibi, Microsoft Entra Id ve OpenSSH sertifika tabanlı kimlik doğrulamasını kullanarak Linux VM'de SSH için çekirdek kimlik doğrulama platformu ve sertifika yetkilisi olarak Microsoft Entra Id kullanabilirsiniz.

Kullanıcıları LDAP dizinlerine sağlamayla ilgili linux kimlik doğrulaması dışındaki diğer senaryolar için bkz. Microsoft Entra Id'yiLDAP dizinlerine kullanıcı sağlamak üzere yapılandırma.

Linux kimlik doğrulaması için kullanıcıları LDAP dizinine sağlama önkoşulları

Bu makalede LDAP sunucusunun, kullanıcı kimlik doğrulaması için bir veya daha fazla Linux veya diğer POSIX sistemi tarafından kullanılan şirket içi ortamda zaten mevcut olduğu varsayılır.

Microsoft Entra Id'den LDAP dizin sunucusuna şirket içi sağlama mimarisini gösteren Diyagramı.

Şirket içi önkoşullar

PAM veya NSS modülünü kullanarak bir dizin sunucusuna yanıt veren bir Linux veya başka bir POSIX Sunucusu.
Kullanıcıların oluşturulabileceği, güncelleştirilebileceği ve silinebileceği OpenLDAP gibi POSIX şemasını destekleyen bir LDAP dizin sunucusu. Desteklenen dizin sunucuları hakkında daha fazla bilgi için Genel LDAP Bağlayıcısı başvurusunabakın.
Sağlama aracısını barındırmak için en az 3 GB RAM'e sahip bir bilgisayar. Bilgisayarda Windows Server 2016 veya daha sonraki bir Windows Server sürümü olmalıdır. Ayrıca hedef dizin sunucusuna ve diğer Microsoft Online Services ve Azure etki alanları login.microsoftonline.com giden bağlantısı olmalıdır. Azure IaaS'de veya ara sunucunun arkasında barındırılan bir Windows Server 2016 sanal makinesi buna örnek olarak verilmiştir. .NET Framework 4.7.2'nin bu sunucuya yüklenmesi gerekir.
İsteğe bağlı: Gerekli olmasa da, Windows Server için Microsoft Edge'i indirip Internet Explorer yerine kullanmanız önerilir.

Bulut gereksinimleri

Microsoft Entra ID P1 veya Premium P2 (ya da EMS E3 veya E5) içeren bir Microsoft Entra kiracısı.

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz. Microsoft Entra ID'nin genel kullanıma sunulan özelliklerini karşılaştırma.
Sağlama aracını yapılandırmak için Hibrit Kimlik Yöneticisi rolü.
Azure portalında veya Microsoft Entra yönetim merkezinde sağlamayı yapılandırmak için Uygulama Yöneticisi veya Bulut Uygulaması Yöneticisi rolleri.
Dizin sunucusu şeması, her Microsoft Entra kullanıcısının LDAP dizinine sağlanması için belirli öznitelikler gerektirir ve bu özniteliklerin zaten doldurulması gerekir. Özellikle, her kullanıcının Kullanıcı Kimliği numarası olarak benzersiz bir numaraya sahip olması gerekir. Sağlama aracısını dağıtmadan ve kullanıcıları dizine atamadan önce, bu sayıyı kullanıcıdaki mevcut bir öznitelikten oluşturmanız veya Microsoft Entra şemasını genişletmeniz gerekir. Ardından, kapsamdaki kullanıcılarda bu özniteliği belirleyebilirsiniz. Ek dizin uzantıları oluşturma hakkında bilgi için, bkz. Graph’in genişletilebilirliği.

Diğer öneriler ve sınırlamalar

Aşağıdaki madde işaretleri daha çok öneri ve sınırlamalar içermektedir.

Bulut eşitleme ve şirket içi uygulama sağlama için aynı aracıyı kullanmanız önerilmez. Microsoft, bulut eşitleme için ayrı bir aracı ve şirket içi uygulama sağlama için bir aracı kullanılmasını önerir.
Şu anda AD LDS için kullanıcılara parolalar atanamaz. Bu nedenle AD LDS için parola ilkesini devre dışı bırakmanız veya kullanıcıları devre dışı durumda sağlamanız gerekir.
Diğer dizin sunucuları için ilk rastgele parola ayarlanabilir, ancak dizin sunucusuna Microsoft Entra kullanıcı parolasını sağlamak mümkün değildir.
LDAP'den Microsoft Entra Id'ye kullanıcı sağlama desteklenmez.
Dizin sunucusuna grup ve kullanıcı üyelikleri sağlama desteklenmez.

Microsoft Entra LDAP Bağlayıcısı'nın dizin sunucusuyla nasıl etkileşim kuracağını belirleme

Bağlayıcıyı mevcut bir dizin sunucusuna dağıtmadan önce, kuruluşunuzdaki dizin sunucusu işleciyle kendi dizin sunucusuyla nasıl tümleştirilmesi gerektiğini tartışmanız gerekir. Toplanacak bilgiler şunlardır:

Dizin sunucusuna bağlanmaya ilişkin ağ bilgileri.
Bağlayıcının dizin sunucusunda kimliğini doğrulama şekli.
Dizin sunucusunun kullanıcıları modellemek için seçtiği şema.
Adlandırma bağlamının temel ayrıştırılmış adı ve dizin hiyerarşisi kuralları.
Dizin sunucusundaki kullanıcıları Microsoft Entra Id'deki kullanıcılarla ilişkilendirme.
Bir kullanıcı Microsoft Entra Id'de kapsamın dışına çıktığında ne olması gerekir?

Bu bağlayıcıyı dağıtmak için hem dizin sunucusunun yapılandırmasında hem de Microsoft Entra Id'de yapılandırma değişiklikleri yapılması gerekebilir. Microsoft Entra ID'yi bir üretim ortamındaki üçüncü taraf dizin sunucusuyla tümleştirmeyi içeren dağıtımlar için, müşterilerin bu tümleştirme için yardım, rehberlik ve destek için dizin sunucusu satıcılarıyla veya bir dağıtım ortağıyla birlikte çalışmasını öneririz. Bu makalede OpenLDAP için aşağıdaki örnek değerler kullanılmaktadır.

Yapılandırma ayarı	Değerin ayarlandığı yer	Örnek değer
dizin sunucusunun ana bilgisayar adı	Yapılandırma sihirbazı Bağlantı sayfası	`APP3`
dizin sunucusunun bağlantı noktası numarası	Yapılandırma sihirbazı Bağlantı sayfası	636. SSL veya TLS (LDAPS) üzerinden LDAP için 636 numaralı bağlantı noktasını kullanın. `Start TLS`için 389 numaralı bağlantı noktasını kullanın.
bağlayıcının kendisini dizin sunucusuna tanıtma hesabı	Yapılandırma sihirbazı Bağlantı sayfası	`cn=admin,dc=contoso,dc=lab`
bağlayıcının dizin sunucusunda kimliğini doğrulaması için parola	Yapılandırma sihirbazı Bağlantı sayfası
dizin sunucusundaki bir kullanıcı için yapısal nesne sınıfı	Yapılandırma sihirbazı Nesne Türleri sayfası	`inetOrgPerson`
dizin sunucusundaki bir kullanıcı için yardımcı nesne sınıfları	Azure portal Sağlayıcı sayfası öznitelik eşlemeleri	`posixAccount` ve`shadowAccount`
yeni bir kullanıcıda doldurulacak öznitelikler	Yapılandırma sihirbazı Özellikleri Seç sayfası ve Azure portalı Sağlama sayfası öznitelik eşlemeleri	`cn`, `gidNumber`, `homeDirectory`, , `mail`, `objectClass`, `sn`, `uid`, `uidNumber`, `userPassword`
dizin sunucusu için gereken adlandırma hiyerarşisi	Azure portal Sağlayıcı sayfası öznitelik eşlemeleri	Yeni oluşturulan kullanıcının DN değerini hemen `DC=Contoso,DC=lab`'ın altına ayarlayın.
Microsoft Entra Kimliği ile dizin sunucusu arasında kullanıcıları ilişkilendirmeye yönelik öznitelikler	Azure portal Sağlayıcı sayfası öznitelik eşlemeleri	`mail`
Microsoft Entra ID'de bir kullanıcı kapsamın dışına çıktığında devre dışı bırakma davranışı	Yapılandırma sihirbazı devre dışı bırakma sayfası	Kullanıcıyı dizin sunucusundan silme

Dizin sunucusunun ağ adresi bir ana bilgisayar adı ve TCP bağlantı noktası numarasıdır( genellikle 389 veya 636 numaralı bağlantı noktasıdır). Dizin sunucusunun bağlayıcıyla aynı Windows Server'da birlikte bulunması veya ağ düzeyinde güvenlik kullanmanız dışında, bağlayıcıdan dizin sunucusuna ağ bağlantılarının SSL veya TLS kullanılarak korunması gerekir. Bağlayıcı, bağlantı noktası 389'da bir dizin sunucusuna bağlanmayı ve oturumda TLS'yi etkinleştirmek için Başlangıç TLS'yi kullanmayı destekler. Bağlayıcı ayrıca TLS üzerinden LDAPS - LDAP için 636 numaralı bağlantı noktasındaki bir dizin sunucusuna bağlanmayı da destekler.

Kimlik doğrulaması yapmak için bağlayıcıya, dizin sunucusunda zaten yapılandırılmış olan bir tanımlanmış hesabınızın olması gerekir. Bu hesap genellikle ayırt edici bir adla tanımlanır ve ilişkili bir parolaya veya istemci sertifikasına sahiptir. Bağlı dizindeki nesneler üzerinde içeri ve dışarı aktarma işlemleri gerçekleştirmek için, bağlayıcı hesabının dizinin erişim denetimi modelinde yeterli izinlere sahip olması gerekir. Bağlayıcının, dışarı aktarabilmek için yazma izinlerine sahip olması ve içeri aktarabilmek için okuma izinlerine sahip olması gerekir. İzin yapılandırması, hedef dizinin yönetim deneyimleri içinde gerçekleştirilir.

Dizin şeması, dizindeki gerçek bir varlığı temsil eden nesne sınıflarını ve özniteliklerini belirtir. Bağlayıcı, inetOrgPersongibi bir yapısal nesne sınıfı ve isteğe bağlı olarak ek yardımcı nesne sınıfları ile temsil edilen bir kullanıcıyı destekler. Bağlayıcının dizin sunucusuna kullanıcı sağlayabilmesi için, Azure portalındaki yapılandırma sırasında Microsoft Entra şemasından tüm zorunlu özniteliklere eşlemeler tanımlarsınız. Bu, yapısal nesne sınıfının zorunlu özniteliklerini, bu yapısal nesne sınıfının tüm üst sınıflarını ve yardımcı nesne sınıflarının zorunlu özniteliklerini içerir.

Ayrıca büyük olasılıkla bu sınıfların isteğe bağlı özniteliklerinden bazılarıyla eşlemeleri yapılandıracaksınız. Linux kimlik doğrulamasını destekleyen POSIX şemasına sahip bir OpenLDAP dizin sunucusu, yeni bir kullanıcının aşağıdaki örneğe benzer özniteliklere sahip olması için bir nesne gerektirebilir.

dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password

Bir dizin sunucusu tarafından uygulanan dizin hiyerarşisi kuralları, her kullanıcı için nesnelerin birbiriyle ve dizindeki mevcut nesnelerle nasıl ilişkili olduğunu açıklar. Çoğu dağıtımda kuruluş, dizin sunucusunda, bir kullanıcı için her nesnenin ortak bir temel nesnenin hemen altında bulunduğu düz bir hiyerarşiye sahip olmayı seçti. Örneğin, dizin sunucusundaki adlandırma bağlamı için temel ayırt edici ad dc=contoso,dc=com ise, yeni bir kullanıcının adı cn=alice,dc=contoso,dc=comgibi ayırt edici bir ad olabilir.

Ancak bazı kuruluşların daha karmaşık bir dizin hiyerarşisi olabilir. Bu durumda bağlayıcı için ayırt edici ad eşlemesini belirtirken kuralları uygulamanız gerekir. Örneğin, bir dizin sunucusu kullanıcıların departmana göre kuruluş birimlerinde olmasını bekleyebilir, bu nedenle yeni bir kullanıcının cn=alice,ou=London,dc=contoso,dc=comgibi ayırt edici bir adı olur. Bağlayıcı, kuruluş birimleri için ara nesneler oluşturmadığından, dizin sunucusu kural hiyerarşisinin beklediği ara nesneler dizin sunucusunda zaten mevcut olmalıdır.

Ardından, bağlayıcının dizin sunucusunda bir Microsoft Entra kullanıcısına karşılık gelen bir kullanıcı olup olmadığını nasıl belirleyeceğini belirleyen kuralları tanımlamanız gerekir. Her LDAP dizini, dizin sunucusundaki her nesne için benzersiz olan ayırt edici bir ada sahiptir, ancak bu ayırt edici ad genellikle Microsoft Entra Id'deki kullanıcılar için mevcut değildir. Bunun yerine, bir kuruluşun dizin sunucusu şemasında mail veya employeeIdgibi farklı bir özniteliği olabilir ve bu da Microsoft Entra Id'deki kullanıcılarında bulunur. Ardından, bağlayıcı bir kullanıcıya yeni bir dizin sunucusu sağlarken, bu dizinde belirli bir öznitelik değerine sahip bir kullanıcı olup olmadığını arayabilir ve eğer yoksa yalnızca o zaman dizin sunucusunda yeni bir kullanıcı oluşturabilir.

Senaryonuz yalnızca mevcut kullanıcıları güncelleştirmek veya silmekle değil LDAP dizininde yeni kullanıcılar oluşturmayı içeriyorsa, bu dizin sunucusunu kullanan Linux sistemlerinin kimlik doğrulamasını nasıl işlediğini de belirlemeniz gerekir. Bazı sistemler bir kullanıcının SSH ortak anahtarını veya sertifikasını dizinden sorgulayabilir. Bu, kullanıcıların bu formların kimlik bilgilerini zaten bulunduran kullanıcılara uygun olabilir. Ancak, dizin sunucusuna dayalı uygulamanız modern kimlik doğrulama protokollerini veya daha güçlü kimlik bilgilerini desteklemiyorsa, Microsoft Entra ID kullanıcının Microsoft Entra parolasını sağlamayı desteklemediğinden dizinde yeni bir kullanıcı oluştururken uygulamaya özgü bir parola ayarlamanız gerekir.

Son olarak sağlamayı kaldırma davranışı konusunda anlaşmanız gerekir. Bağlayıcı yapılandırıldığında ve Microsoft Entra Id, Microsoft Entra ID'deki bir kullanıcı ile dizindeki bir kullanıcı arasında (zaten dizinde bulunan bir kullanıcı veya yeni bir kullanıcı için) bağlandığında, Microsoft Entra Id, Microsoft Entra kullanıcısından dizine öznitelik değişiklikleri sağlayabilir.

Uygulamaya atanan bir kullanıcı Microsoft Entra Id'de silinirse, Microsoft Entra Id dizin sunucusuna bir silme işlemi gönderir. Ayrıca, bir kullanıcı uygulamayı kullanabilme kapsamının dışına çıktığında dizin sunucusundaki nesneyi Microsoft Entra ID'nin güncelleştirmesini isteyebilirsiniz. Bu davranış, dizin sunucusunu kullanacağı uygulamaya bağlıdır, çünkü OpenLDAP gibi birçok dizin kullanıcı hesabının devre dışı bırakıldığını göstermek için varsayılan bir yönteme sahip olmayabilir.

Microsoft Entra Connect Sağlama Aracısı'nı yükleme ve yapılandırma

Azure portalında oturum açın.
Kurumsal uygulamalara gidin ve Yeni uygulamaseçin.
Şirket içi ECMA uygulaması uygulamasını arayın, uygulamaya bir ad verin ve Oluştur'ı seçerek kiracınıza ekleyin.
Menüden uygulamanızın Sağlama sayfasına gidin.
Başlatseçin.
Sağlama sayfasında moduOtomatik olarak değiştirin.

Şirket İçi Bağlantıaltında, indir ve yükleseçin, ve koşulları kabul et & indirseçin.

Portal'dan çıkın ve sağlama aracı yükleyicisini çalıştırın, hizmet koşullarını kabul edin ve Yükleöğesini seçin.
Microsoft Entra sağlama aracısı yapılandırma sihirbazını bekleyin ve ardından İleriseçin.
Uzantı Seçimi adımında, Şirket İçi Uygulama Sağlama öğesini seçin ve ardından İleriseçeneğini seçin.
Sağlama aracısı, Microsoft Entra Id'de ve potansiyel olarak kuruluşunuzun kimlik sağlayıcısında kimlik doğrulaması yapmanız için bir açılan pencere görüntülemek üzere işletim sisteminin web tarayıcısını kullanır. Windows Server'da tarayıcı olarak Internet Explorer kullanıyorsanız, JavaScript'in düzgün çalışmasına izin vermek için tarayıcınızın güvenilen site listesine Microsoft web siteleri eklemeniz gerekebilir.
Yetkilendirmeniz istendiğinde Microsoft Entra yöneticisi için kimlik bilgilerini sağlayın. Kullanıcının en az Karma Kimlik Yöneticisi rolüne sahip olması gerekir.
Ayarı onaylamak için onayla'yı seçin. Yükleme başarılı olduktan sonra Çıkış'ı seçip Sağlama Aracısı Paketi yükleyicisini kapatabilirsiniz.

Şirket içi ECMA uygulamasını yapılandırma

Portala geri dönün, Şirket İçi Bağlantı bölümünde dağıttığınız aracıyı seçin ve Aracı Ataseçeneğini seçin.
Yapılandırma sihirbazını kullanarak yapılandırmanın bir sonraki adımını tamamladığınızda bu tarayıcı penceresini açık tutun.

Microsoft Entra ECMA Bağlayıcısı Ana Bilgisayar sertifikasını yapılandırma

Sağlama aracısının yüklü olduğu Windows Server'da, başlat menüsünden Microsoft ECMA2Host Yapılandırma Sihirbazı'nı seçip yönetici olarak çalıştırın. Sihirbazın gerekli Windows olay günlüklerini oluşturması için Windows yöneticisi olarak çalışmak gerekir.
ECMA Bağlayıcısı Ana Bilgisayar Yapılandırması başlatıldıktan sonra sihirbazı ilk kez çalıştırıyorsanız bir sertifika oluşturmanızı ister. Varsayılan bağlantı noktasını 8585 bırakın ve sertifika oluşturmak için 'Sertifika oluştur'u seçin . Otomatik oluşturulan sertifika, güvenilen kökün bir parçası olarak otomatik olarak imzalanır. SAN, ana bilgisayar adıyla eşleşir.
Kaydetöğesini seçin.

Not

Yeni bir sertifika oluşturmayı seçtiyseniz, lütfen sertifikanın son kullanma tarihini kaydedin; yapılandırma sihirbazına geri dönmek ve süresi dolmadan önce sertifikayı yeniden oluşturmak için zamanladığınızdan emin olun.

Genel LDAP bağlayıcısını yapılandırma

Seçtiğiniz seçeneklere bağlı olarak, sihirbaz ekranlarından bazıları kullanılamayabilir ve bilgiler biraz farklı olabilir. Yapılandırmanızda size yol göstermek için aşağıdaki bilgileri kullanın.

Bağlayıcıda Microsoft Entra Kimliğini doğrulamak için kullanılacak bir gizli belirteç oluşturun. Her uygulama için en az 12 karakter ve benzersiz olmalıdır. Gizli dizi oluşturucunuz yoksa, örnek bir rastgele dize oluşturmak için aşağıdaki gibi bir PowerShell komutu kullanabilirsiniz.
```
-join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
```
Henüz yapmadıysanız, başlat menüsünden Microsoft ECMA2Host Yapılandırma Sihirbazı'nı başlatın.
Yeni Bağlayıcı'i seçin.

Özellikler sayfasında, kutuları, görüntüyü izleyen tabloda belirtilen değerlerle doldurun ve İleriseçin. özelliklerin girildiğini gösteren ekran görüntüsü

Mülk	Değer
İsim	Bağlayıcı için seçtiğiniz ad, ortamınızdaki tüm bağlayıcılar arasında benzersiz olmalıdır. Örneğin, `LDAP`.
Otomatik eşitleme zamanlayıcısı (dakika)	120
Gizli Belirteç	Gizli jetonunuzu buraya girin. En az 12 karakter olmalıdır.
DLL uzantısı	Genel LDAP bağlayıcısı için Microsoft.IAM.Connector.GenericLdap.dllöğesini seçin.

Bağlantı sayfasında, ECMA Bağlayıcı Konağı'nın dizin sunucusuyla nasıl iletişim kuracağını yapılandıracak ve yapılandırma seçeneklerinden bazılarını ayarlayacaksınız. Kutuları, resmi izleyen tabloda belirtilen değerlerle doldurun ve İleriseçin. Sonrakiseçtiğinizde, bağlayıcı dizin sunucusunu yapılandırması için sorgular.

Mülk	Açıklama
Ev sahibi	LDAP sunucusunun bulunduğu ana bilgisayar adı. Bu örnek, örnek konak adı olarak `APP3` kullanır.
Liman	TCP bağlantı noktası numarası. Dizin sunucusu SSL üzerinden LDAP için yapılandırılmışsa 636 numaralı bağlantı noktasını kullanın. `Start TLS`için veya ağ düzeyinde güvenlik kullanıyorsanız 389 numaralı bağlantı noktasını kullanın.
Bağlantı Zaman Aşımı	180
Bağlama	Bu özellik, bağlayıcının dizin sunucusunda nasıl kimlik doğrulaması yapılacağını belirtir. `Basic` ayarıyla veya `SSL` veya `TLS` ayarıyla ve hiçbir istemci sertifikası yapılandırılmamışken bağlayıcı, ayırt edici bir ad ve parolayla kimlik doğrulaması yapmak için bir LDAP basit bağlaması gönderir. `SSL` veya `TLS` ayarı ve bir istemci sertifikası belirtildiğinde, bağlayıcı istemci sertifikasıyla kimlik doğrulaması yapmak için bir LDAP SASL `EXTERNAL` bağlaması gönderir.
Kullanıcı Adı	ECMA Bağlayıcısı'nın dizin sunucusuna nasıl kimlik doğrulaması yaptığı. Bu örnekte `cn=admin,dc=contoso,dc=lab`
Parola	ECMA Bağlayıcısı'nın dizin sunucusunda kimliğini doğrulayan kullanıcının parolası.
Bölge/Etki Alanı	Bu ayar yalnızca, kullanıcının Bölge/Etki Alanını sağlamak için Bağlama seçeneği olarak `Kerberos` seçeneğini belirlediyseniz gereklidir.
Sertifika	Bu bölümdeki ayarlar yalnızca Bağlama seçeneği olarak `SSL` veya `TLS` seçtiyseniz kullanılır.
Öznitelik Takma Adları	Öznitelik diğer adları için metin kutusu, RFC4522 söz dizimi ile şemada tanımlanan öznitelikler için kullanılır. Bu öznitelikler şema algılama sırasında algılanamaz ve bağlayıcının bu öznitelikleri tanımlama konusunda yardıma ihtiyacı vardır. Örneğin, dizin sunucusu `userCertificate;binary` yayımlamazsa ve bu özniteliği sağlamak istiyorsanız userCertificate özniteliğini ikili öznitelik olarak doğru şekilde tanımlamak için öznitelik diğer adları kutusuna aşağıdaki dize girilmelidir: `userCertificate;binary`. Şemada bulunmayan özel özniteliklere ihtiyacınız yoksa, bu özelliği boş bırakabilirsiniz.
İşletimsel öznitelikleri dahil et	Dizin sunucusu tarafından oluşturulan öznitelikleri de eklemek için `Include operational attributes in schema` onay kutusunu seçin. Bunlar, nesnenin ne zaman oluşturulduğu ve son güncelleştirme zamanı gibi öznitelikleri içerir.
Genişletilebilir öznitelikleri dahil et	Dizin sunucusunda genişletilebilir nesneler (RFC4512/4.3) kullanılıyorsa `Include extensible attributes in schema` onay kutusunu seçin. Bu seçeneğin etkinleştirilmesi, her özniteliğin tüm nesnelerde kullanılmasını sağlar. Bu seçeneğin seçilmesi şemayı çok büyük hale getirir, bu nedenle bağlı dizin bu özelliği kullanmıyorsa seçeneğin seçili durumda kalmaması önerisinde bulunur.
Manuel çapa seçimine izin ver	İşaretsiz bırakın.

Not

Bağlanmaya çalışırken sorun yaşıyorsanız ve Genel sayfasına geçemiyorsanız, dizin sunucusundaki hizmet hesabının etkinleştirildiğinden emin olun.

Genel sayfasında, gerekirse değişiklik günlüğünün ayırt edici adını ve ek LDAP özelliklerini yapılandıracaksınız. Sayfa, LDAP sunucusu tarafından sağlanan bilgilerle önceden doldurulur. Gösterilen değerleri gözden geçirin ve ardından İleriseçin.

Mülk	Açıklama
Desteklenen SASL Mekanizmaları	En üstteki bölümde, SASL mekanizmalarının listesi de dahil olmak üzere sunucunun kendisi tarafından sağlanan bilgiler gösterilir.
Sunucu Sertifikası Ayrıntıları	`SSL` veya `TLS` belirtilirse, sihirbaz dizin sunucusu tarafından döndürülen sertifikayı görüntüler. Verenin, konunun ve parmak izinin ilgili doğru dizin sunucusuna ait olduğunu onaylayın.
Zorunlu Özellikler Bulundu	Bağlayıcı, zorunlu denetimlerin Kök DSE'de mevcut olduğunu da doğrular. Bu denetimler listelenmiyorsa bir uyarı sunulur. Bazı LDAP dizinleri Kök DSE'deki tüm özellikleri listelemez ve bir uyarı olsa bile bağlayıcı sorunsuz çalışıyor olabilir.
Desteklenen Denetimler	Desteklenen denetimler onay kutuları belirli işlemlerin davranışını denetler
Delta İthalat	Değişiklik günlüğü DN'si, delta değişiklik günlüğü tarafından kullanılan bir adlandırma bağlamıdır, örneğin cn=changelog. Bu değerin belirtilmesi, delta içeri aktarma yapabilmek için gereklidir. Delta içeri aktarma işlemi uygulamanız gerekmiyorsa, bu alan boş bırakılabilir.
Parola Özniteliği	Dizin sunucusu farklı bir parola özniteliğini veya parola karması destekliyorsa, parola değişiklikleri için hedefi belirtebilirsiniz.
Bölüm Adları	Ek bölümler listesinde otomatik olarak algılanmayan başka ad alanları eklemek mümkündür. Örneğin, birden çok sunucu aynı anda içeri aktarılması gereken bir mantıksal küme oluşturursa bu ayar kullanılabilir. Active Directory'nin bir ormanda birden çok etki alanı olabileceği ancak tüm etki alanlarının tek bir şemayı paylaştığı gibi, bu kutuya ek ad alanları girilerek de aynı simülasyon gerçekleştirilebilir. Her ad alanı farklı sunuculardan içeri aktarılabilir ve Bölümleri ve Hiyerarşileri Yapılandır sayfasında daha fazla yapılandırılır.

Bölümleri sayfasında varsayılan değeri koruyun ve İleriseçin.

Çalıştırma Profilleri sayfasında, Dışarı Aktar onay kutusunun ve Tam içeri aktarma onay kutusunun her ikisinin de seçili olduğundan emin olun. Ardından İleriseçin.

Mülk	Açıklama
İhracat	LDAP dizin sunucusuna veri aktaran profili çalıştırın. Bu koşu profili gereklidir.
Tam içe aktarma	Daha önce belirtilen LDAP kaynaklarından tüm verileri içeri aktaran profili çalıştırın. Bu koşu profili gereklidir.
Delta veri aktarma	Son tam veya delta içeri aktarma işleminden sonra yalnızca LDAP'den değişiklikleri içeri aktaran profili çalıştırın. Bu çalıştırma profilini yalnızca dizin sunucusunun gerekli gereksinimleri karşıladığını doğruladıysanız etkinleştirin. Daha fazla bilgi için bkz. Genel LDAP Bağlayıcı referansı.

Dışarı Aktar sayfasında varsayılan değerleri değişiklik yapmadan bırakın ve İleriseçin.
Tam İçeri Aktarma sayfasında varsayılan değerleri değiştirmeden bırakın ve İleriseçin.
DeltaImport sayfasında, varsa varsayılan değerleri değiştirmeyin ve İleriseçin.

Nesne Türleri sayfasında kutuları doldurun ve İleriseçin.

Mülk	Açıklama
Hedef nesne	Bu değer, LDAP dizin sunucusundaki bir kullanıcının yapısal nesne sınıfıdır. `inetOrgPerson`kullanın ve bu alanda yardımcı nesne sınıfı belirtmeyin. Dizin sunucusu yardımcı nesne sınıfları gerektiriyorsa, Bunlar Azure portalında öznitelik eşlemeleri ile yapılandırılır.
Çıpa	Bu özniteliğin değerleri hedef dizindeki her nesne için benzersiz olmalıdır. Microsoft Entra sağlama hizmeti, ilk döngüden sonra bu özniteliği kullanarak ECMA bağlayıcısı ana bilgisayarını sorgular. Genellikle `-dn-`olarak seçilebilen ayırt edici adını kullanın. OpenLDAP şemasındaki `uid` özniteliği gibi çok değerli öznitelikler bağlayıcı olarak kullanılamaz.
Sorgu Özniteliği	Bu öznitelik Anchor ile aynı olmalıdır.
DN	Hedef nesnenin tanımlayıcı adı olan distinguishedName. `-dn-`tut.
Otomatik olarak oluşturulan	İşaretlenmemiş

ECMA konağı, hedef dizin tarafından desteklenen öznitelikleri bulur. Bu özniteliklerden hangilerini Microsoft Entra Id'ye göstermek istediğinizi seçebilirsiniz. Bu öznitelikler daha sonra Azure portalında sağlanması için yapılandırılabilir. Öznitelik Seçimi sayfasında, zorunlu olan veya Microsoft Entra ID'den tanımlamak istediğiniz tüm öznitelikleri açılan listeye teker teker ekleyin.
Öznitelik açılan listesi, hedef dizinde keşfedilen ve yapılandırma sihirbazının önceki kullanımında Seç Öznitelikler sayfasında seçilmemiş olan herhangi bir özniteliği gösterir.

Treat as single value özniteliği için objectClass onay kutusunun işaretsiz olduğundan emin olun ve userPassword ayarlanıyorsa, userPassword özniteliği için ya seçilemez ya da işaretli olduğundan emin olun.

Aşağıdaki öznitelikler için görünürlüğü yapılandırın.

Öznitelik	Tek bir değer olarak davran
_distinguishedName (ayırt edici isim)
-Dn-
dışa_aktar_şifre
Çin	Y
gid Numarası
ev Dizini
e-posta	Y
nesne sınıfı
sn	Y
Uıd	Y
uidNumarası
kullanıcı şifresi	Y

İlgili tüm öznitelikler eklendikten sonra, İleriseçin.

Sağlamayı Kaldırma sayfasında, Microsoft Entra ID'nin kullanıcıların uygulamanın kapsamı dışına çıktığında dizinden kaldırmasını istediğinizi belirtebilirsiniz. Bu durumda, Akışı devre dışı bırakaltında, Sil'i seçin ve Akışı silaltında, Sil'i seçin. Set attribute value seçilirse, bir önceki sayfada seçilen öznitelikler Devre Dışı Bırakma sayfasında seçilemez.

Not

öznitelik değerini ayarlamak için kullanıyorsanız, sadece boole değerlerine izin verildiğini unutmayın.

SonSeçin.

ECMA2Host hizmetinin çalıştığından ve dizin sunucusundan okuyadığından emin olun

Bağlayıcı ana bilgisayarının başlatıldığını ve dizin sunucusundan mevcut kullanıcıları tanımladığını onaylamak için bu adımları izleyin.

Microsoft Entra ECMA Bağlayıcı Ana Bilgisayarı'nı çalıştıran sunucuda Başlatseçin.
Gerekirse çalıştır'ı seçin, ardından kutuya services.msc girin.
Hizmetleri listesinde, Microsoft ECMA2Host'nin mevcut ve çalışır durumda olduğundan emin olun. Çalışmıyorsa Başlatseçin.
Hizmeti kısa süre önce başlattıysanız ve dizin sunucusunda çok sayıda kullanıcı nesnesi varsa, bağlayıcının dizin sunucusuyla bağlantı kurması için birkaç dakika bekleyin.
Microsoft Entra ECMA Bağlayıcısı Ana Bilgisayarı'nı çalıştıran sunucuda PowerShell'i başlatın.
ECMA ana bilgisayarının yüklendiği klasöre geçin, örneğin C:\Program Files\Microsoft ECMA2Host.
Troubleshootingalt dizinine geçin.
Belirtildiği gibi bu dizinde betik TestECMA2HostConnection.ps1 çalıştırın ve bağımsız değişken olarak bağlayıcı adını ve ObjectTypePath değerini cache sağlayın. Bağlayıcı konağınız 8585 numaralı TCP bağlantı noktasını dinlemiyorsa, -Port bağımsız değişkenini de sağlamanız gerekebilir. İstendiğinde, bu bağlayıcı için yapılandırılan gizli belirteci (jetonu) yazın.
```
PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
Supply values for the following parameters:
SecretToken: ************
```
Betik bir hata veya uyarı iletisi gösteriyorsa, hizmetin çalışıp çalışmadığını ve bağlayıcı adı ile gizli anahtarın yapılandırma sihirbazında yapılandırdığınız değerlerle eşleşip eşleşmediğini denetleyin.
Betik Falseçıkışını görüntülerse, bağlayıcı var olan kullanıcılar için kaynak dizin sunucusunda hiçbir girdi görmemiş demektir. Bu yeni bir dizin sunucusu yüklemesiyse, bu davranış beklenir ve sonraki bölümde devam edebilirsiniz.
Ancak, dizin sunucusu zaten bir veya daha fazla kullanıcı içeriyorsa, fakat betik Falsegösteriyorsa, bu durum bağlayıcının dizin sunucusundan okuma yapamadığını gösterir. Sağlamayı denerseniz, Microsoft Entra ID bu kaynak dizindeki kullanıcıları Microsoft Entra ID'deki kullanıcılarla doğru şekilde eşleştiremeyebilir. Bağlayıcı ana bilgisayarının var olan dizin sunucusundan nesneleri okumayı tamamlayıp betiği yeniden çalıştırması için birkaç dakika bekleyin. Çıktı Falseolmaya devam ederse, bağlayıcınızın yapılandırmasını denetleyin ve dizin sunucusundaki izinler bağlayıcının mevcut kullanıcıları okumasına izin verir.

Microsoft Entra Id'den bağlayıcı konağına bağlantıyı test etme

Portalda uygulama sağlamayı yapılandırdığınız web tarayıcısı penceresine dönün.

Not

Pencere zaman aşımına uğradıysa aracıyı yeniden seçmeniz gerekir.
1. Azure portalında oturum açın.
2. Kurumsal uygulamalar ve Şirket içi ECMA uygulaması uygulamasına gidin.
3. Yapılandırma üzerindeseçeneğini belirleyin.
4. Eğer Başlarken görünürse, modu Otomatik olarak değiştirin, Şirket İçi Bağlantı bölümünde az önce dağıttığınız aracıyı seçin ve Aracı(ları) Ata'yı seçin ve 10 dakika bekleyin. Aksi takdirde Sağlamayı Düzenlegirin.
Yönetici kimlik bilgileri bölümünde aşağıdaki URL'yi girin. connectorName bölümünü ECMA konağındaki bağlayıcının adıyla (LDAPgibi) değiştirin. ECMA konağı için sertifika yetkilinizden bir sertifika sağladıysanız, localhost yerine ECMA konağının yüklü olduğu sunucunun ana bilgisayar adını yazın.

Mülk Değer

Kiracı URL'si https://localhost:8585/ecma2host_connectorName/scim
Bağlayıcıyı oluştururken tanımladığınız Gizli Anahtar Belirteci değerini girin.

Not

Aracıyı uygulamaya yeni atadıysanız kaydın tamamlanması için lütfen 10 dakika bekleyin. Kayıt tamamlanana kadar bağlantı testi çalışmaz. Sunucunuzda sağlama aracısını yeniden başlatarak aracı kaydının tamamlanmasını zorlamak kayıt işlemini hızlandırabilir. Sunucunuza gidin, Windows arama çubuğunda hizmetleri arayın, Microsoft Entra Connect Sağlama Aracısı hizmeti belirleyin, hizmeti sağ seçin ve yeniden başlatın.
Test Bağlantısıöğesini seçin ve bir dakika bekleyin.
Bağlantı testi başarılı olduktan ve sağlanan kimlik bilgilerinin sağlamayı etkinleştirme yetkisi olduğunu belirtdikten sonra, Kaydetöğesini seçin.

Mülk	Değer
Kiracı URL'si	https://localhost:8585/ecma2host_connectorName/scim

Microsoft Entra şemasını genişletme

Dizin sunucunuz kullanıcılar için varsayılan Microsoft Entra şemasının parçası olmayan ek öznitelikler gerektiriyorsa, sağlama sırasında bu özniteliklerin değerlerini bir sabitten, diğer Microsoft Entra özniteliklerinden dönüştürülmüş bir ifadeden veya Microsoft Entra şemasını genişleterek sağlayacak şekilde yapılandırabilirsiniz.

Dizin sunucusu, kullanıcıların OpenLDAP POSIX şeması için gibi bir özniteliğe sahip olmasını gerektiriyorsa ve bu öznitelik bir kullanıcı için Microsoft Entra şemanızın bir parçası değilse ve her kullanıcı için benzersiz olması gerekiyorsa,bir ifadesi aracılığıyla kullanıcının diğer özniteliklerinden bu özniteliği oluşturmanız gerekir. veya dizin uzantısı özelliğini kullanarak bu özniteliği uzantı olarak ekleyin.

Kullanıcılarınız Active Directory Etki Alanı Hizmetleri'nden kaynaklanıyorsa ve bu dizinde özniteliği varsa, Microsoft Entra Connect veya Microsoft Entra Connect bulut eşitlemesini kullanabilirsiniz. Bu, özniteliğin Active Directory Etki Alanı Hizmetleri'nden Microsoft Entra Id'ye eşitlenecek şekilde yapılandırılarak diğer sistemlere sağlanabilir hale getirir.

Kullanıcılarınız Microsoft Entra Id'den kaynaklanıyorsa, bir kullanıcıda depolayacak her yeni öznitelik için bir dizin uzantısı tanımlamanız gerekir. Ardından sağlanması planlanan Microsoft Entra kullanıcılarını güncelleştirerek her kullanıcıya bu özniteliklerin değerini verin.

Öznitelik eşlemesini yapılandırma

Bu bölümde, Microsoft Entra kullanıcısının öznitelikleri ile ECMA Ana Bilgisayar yapılandırma sihirbazında daha önce seçtiğiniz öznitelikler arasındaki eşlemeyi yapılandıracaksınız. Daha sonra bağlayıcı bir dizin sunucusunda bir nesne oluşturduğunda, Microsoft Entra kullanıcı öznitelikleri bağlayıcı aracılığıyla bu yeni nesnenin parçası olmak üzere dizin sunucusuna gönderilir.

Microsoft Entra yönetim merkezinde,Kurumsal uygulamalar altında şirket içi ECMA uygulaması uygulamasını seçin ve ardından Sağlama sayfasını seçin.
Sağlamayı düzenleseçin.
Eşlemeleri genişletin ve Microsoft Entra kullanıcılarınısağlama seçeneğini belirleyin. Bu uygulama için öznitelik eşlemelerini ilk kez yapılandırıyorsanız, yer tutucu olarak yalnızca bir eşleme mevcut.
Dizin sunucusunun şemasının Microsoft Entra Id'de kullanılabilir olduğunu onaylamak için Gelişmiş seçenekleri göster onay kutusunu seçin ve ScimOnPremisesiçin öznitelik listesini düzenle seçin. Yapılandırma sihirbazında seçilen tüm özniteliklerin listelenmiş olduğundan emin olun. Aksi takdirde, şemanın yenilenmesi için birkaç dakika bekleyin ve ardından gezinti satırında Öznitelik Eşleme'i seçin. Sayfayı yeniden yüklemek için tekrar ScimOnPremises için öznitelik listesini düzenle'ü seçin. Listelenen öznitelikleri gördüğünüzde, eşleme listesine dönmek için bu sayfadan iptal edin.
Dizindeki her kullanıcının benzersiz bir ayırt edici adı olmalıdır. Bir öznitelik eşlemesi kullanarak bağlayıcının ayırt edici bir adı nasıl oluşturacağını belirtebilirsiniz. Yeni Eşleme Ekleseçin. Eşlemeyi oluşturmak için aşağıdaki değerleri kullanın ve ifadedeki ayırt edici adları kuruluş biriminin veya hedef dizininizdeki diğer kapsayıcının adlarıyla eşleşecek şekilde değiştirin.
- Eşleme türü: ifade
- İfade: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
- Hedef öznitelik: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
- Bu eşlemeyi uygula: yalnızca nesne oluşturma sırasında
Dizin sunucusu, objectClass özniteliğinde birden çok yapısal nesne sınıfı değeri veya yardımcı nesne sınıfı değeri gerektiriyorsa, bu özniteliğe bir eşleme ekleyin. objectClassiçin bir eşleme eklemek amacıyla, "Yeni Eşleme Ekle"seçin. İfadedeki nesne sınıfı adlarını hedef dizin şemasıyla eşleşecek şekilde değiştirerek eşlemeyi oluşturmak için aşağıdaki değerleri kullanın.
- Eşleme türü: ifade
- POSIX şeması sağlanırsa ifade: Split("inetOrgPerson,posixAccount,shadowAccount",",")
- Hedef öznitelik: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
- Bu eşlemeyi uygula: yalnızca nesne oluşturma sırasında

Dizin sunucunuz için aşağıdaki tabloda yer alan eşlemelerin her biri için Yeni Eşleme ekleseçin ve kaynak ve hedef öznitelikleri belirtin. Mevcut kullanıcılarla mevcut bir dizine kullanıcı sağlama işlemi yaparken, ortak olan öznitelik için eşleştirmeyi düzenlemeniz ve bu öznitelik kullanılarak nesneleri eşleştirme ayarlaması yapmanız gerekir. öznitelik eşlemesi hakkında daha fazla bilgi burada.

POSIX şemasına sahip OpenLDAP için gidNumber, homeDirectory, uid ve uidNumber özniteliklerini de sağlamanız gerekir. Her kullanıcı için benzersiz bir uid ve benzersiz bir uidNumbergerekir. genellikle homeDirectory kullanıcının userID'sinden türetilen bir ifade tarafından ayarlanır. Örneğin, bir kullanıcının uid kendi kullanıcı asıl adından türetilen bir ifade tarafından oluşturulursa, söz konusu kullanıcının giriş dizininin değeri, kullanıcı asıl adından da türetilen benzer bir ifade tarafından oluşturulabilir. Kullanım örneğine bağlı olarak tüm kullanıcıların aynı grupta olmasını isteyebilirsiniz, bu nedenle gidNumber bir sabitten atayabilirsiniz.

Eşleme türü	Kaynak özniteliği	Hedef öznitelik
Doğrudan	`displayName`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn`
Doğrudan	`surname`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn`
Doğrudan	`userPrincipalName`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail`
İfade	`ToLower(Word([userPrincipalName], 1, "@"), )`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid`
Doğrudan	(dizininize özgü öznitelik)	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber`
İfade	`Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory`
Sabit	`10000`	`urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber`

Kullanıcı için başlangıçta rastgele bir parola oluşturmak için urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword haritalaması ekleyin.
Kaydetöğesini seçin.

Dizine sağlanacak kullanıcıların gerekli özniteliklere sahip olduğundan emin olun

LDAP dizininde mevcut kullanıcı hesapları olan kişiler varsa, Microsoft Entra kullanıcı gösteriminin eşleştirme için gereken özniteliklere sahip olduğundan emin olmanız gerekir.

LDAP dizininde yeni kullanıcılar oluşturmayı planlıyorsanız, bu kullanıcıların Microsoft Entra gösterimlerinin hedef dizinin kullanıcı şeması için gereken kaynak özniteliklere sahip olduğundan emin olmanız gerekir. Her kullanıcı için benzersiz bir uid ve benzersiz bir uidNumbergerekir.

Kullanıcılarınız Active Directory Etki Alanı Hizmetleri'nden geliyorsa ve bu dizinde özniteliği varsa, özniteliğin Active Directory Etki Alanı Hizmetleri'nden Microsoft Entra Id'ye eşitlenmesi gerektiğini yapılandırmak için Microsoft Entra Connect veya Microsoft Entra Connect bulut eşitlemesini kullanabilirsiniz; böylece diğer sistemlere sağlanabilir.

Kullanıcılarınız Microsoft Entra Id'den kaynaklanıyorsa, bir kullanıcıda depolamanız gereken her yeni öznitelik içinbir dizin uzantısı tanımlamanız . Ardından sağlanması planlanan Microsoft Entra kullanıcılarını güncelleştirerek her kullanıcıya bu özniteliklerin değerini verin.

PowerShell aracılığıyla kullanıcıları onaylama

Kullanıcıları Microsoft Entra Id'de güncelleştirdikten sonra, kullanıcıların tüm gerekli özniteliklere sahip olup olmadığı denetlenmeye otomatikleştirmek için Microsoft Graph PowerShell cmdlet'lerini kullanabilirsiniz.

Örneğin, sağlama işleminiz için kullanıcıların DisplayName,surname ve extension_656b1c479a814b1789844e76b2f459c3_MyNewPropertyolmak üzere üç özniteliğe sahip olması gerektiğini varsayalım. Bu üçüncü öznitelik, uidNumberiçermek için kullanılır. Her kullanıcıyı almak ve gerekli özniteliklerin mevcut olup olmadığını denetlemek için Get-MgUser cmdlet'ini kullanabilirsiniz. Graph v1.0 Get-MgUser cmdlet'inin, öznitelikler istekte döndürülecek özelliklerden biri olarak belirtilmediği sürece varsayılan olarak kullanıcının dizin uzantısı özniteliklerinden hiçbirini döndürmediğini unutmayın.

Bu bölümde, Microsoft Graph PowerShell cmdlet'lerini kullanarak Microsoft Entra Id ile nasıl etkileşim kurulacak gösterilmektedir.

Kuruluşunuz bu senaryo için bu cmdlet'leri ilk kez kullandığında, Microsoft Graph PowerShell'in kiracınızda kullanılmasına izin vermek için Genel Yönetici rolünde olmanız gerekir. Sonraki etkileşimler aşağıdakiler gibi daha düşük ayrıcalıklı bir rol kullanabilir:

Yeni kullanıcılar oluşturmayı düşünüyorsanız Kullanıcı Yöneticisi.
Uygulama Yöneticisi veya Kimlik Yönetişim Yöneticisi, sadece uygulama rolü atamalarını yönetiyorsanız.

PowerShell'i açın.
Microsoft Graph PowerShell modülleri zaten yüklü değilse, şu komutu kullanarak Microsoft.Graph.Users modülünü ve diğerlerini yükleyin:
```
Install-Module Microsoft.Graph
```
Modülleri zaten yüklediyseniz son sürümü kullandığınızdan emin olun:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Microsoft Entra Id'ye bağlanın:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.Read.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"

Kullanıcı listesini ve denetlenecek öznitelikleri oluşturma.

$userPrincipalNames = (
 "alice@contoso.com",
 "bob@contoso.com",
 "carol@contoso.com" )

$requiredBaseAttributes = ("DisplayName","surname")
$requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")

Kullanıcıların her biri için dizini sorgula.

$select = "id"
foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;}
foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;}

foreach ($un in $userPrincipalNames) {
   $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop
   foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} }
   foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } }
}

LDAP dizininden mevcut kullanıcıları toplama

Bu dizindeki kullanıcıların hangilerinin Linux kimlik doğrulamasına sahip kullanıcılar olma kapsamında olduğunu belirleyin. Bu seçim Linux sisteminizin yapılandırmasına bağlıdır. Bazı yapılandırmalar için LDAP dizininde bulunan tüm kullanıcılar geçerli bir kullanıcıdır. Diğer yapılandırmalar, kullanıcının belirli bir özniteliğe sahip olmasını veya bu dizindeki bir grubun üyesi olmasını gerektirebilir.
LDAP dizininizdeki bu kullanıcı alt kümesini CSV dosyasına alan bir komut çalıştırın. Çıkışın Microsoft Entra ID ile eşleştirmek için kullanılan kullanıcıların özniteliklerini içerdiğinden emin olun. Bu özniteliklere örnek olarak çalışan kimliği, hesap adı veya uidve e-posta adresi verilebilir.
Gerekirse, kullanıcı listesini içeren CSV dosyasını Microsoft Graph PowerShell cmdlet'leri yüklü bir sisteme aktarın.
Artık dizinden elde edilen tüm kullanıcıların listesini edindiğinize göre, dizindeki bu kullanıcıları Microsoft Entra Id'deki kullanıcılarla eşleştireceksiniz. Devam etmeden önce, kaynak ve hedef sistemlerde eşleşen kullanıcılar hakkındakibilgileri gözden geçirin.

Microsoft Entra Id'de kullanıcıların kimliklerini alma

Bu bölümde, Microsoft Graph PowerShell cmdlet'lerini kullanarak Microsoft Entra Id ile nasıl etkileşim kurulacak gösterilmektedir.

Yeni kullanıcılar oluşturmayı düşünüyorsanız Kullanıcı Yöneticisi.
Uygulama Yöneticisi veya Kimlik Yönetişim Yöneticisi, sadece uygulama rolü atamalarını yönetiyorsanız.

PowerShell'i açın.
Microsoft Graph PowerShell modülleri zaten yüklü değilse, şu komutu kullanarak Microsoft.Graph.Users modülünü ve diğerlerini yükleyin:
```
Install-Module Microsoft.Graph
```
Modülleri zaten yüklediyseniz son sürümü kullandığınızdan emin olun:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Microsoft Entra Id'ye bağlanın:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"

Bu komutu ilk kez kullanıyorsanız, Microsoft Graph Komut Satırı araçlarının bu izinlere sahip olmasını onaylamanız gerekebilir.
Uygulamanın veri deposundan edinilen kullanıcıların listesini PowerShell oturumuna okuyun. Kullanıcı listesi bir CSV dosyasındaysa, PowerShell cmdlet'ini Import-Csv kullanabilir ve önceki bölümdeki dosyanın adını bağımsız değişken olarak belirtebilirsiniz.

Örneğin, SAP Cloud Identity Services'ten alınan dosya Users-exported-from-sap.csv olarak adlandırılmışsa ve geçerli dizinde bulunuyorsa, bu komutu girin.
```
$filename = ".\Users-exported-from-sap.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8
```
Veritabanı veya dizin kullanıyorsanız başka bir örnek için, dosya users.csv olarak adlandırılıyorsa ve geçerli dizinde bulunuyorsa şu komutu girin:
```
$filename = ".\users.csv"
$dbusers = Import-Csv -Path $filename -Encoding UTF8
```
users.csv dosyasının Microsoft Entra Id'deki bir kullanıcının özniteliğiyle eşleşecek sütununu seçin.

SAP Cloud Identity Services kullanıyorsanız, varsayılan eşleme, userName SAP SCIM özniteliği ile userPrincipalNameMicrosoft Entra ID özniteliğidir:
```
$db_match_column_name = "userName"
$azuread_match_attr_name = "userPrincipalName"
```
Başka bir örnek için veritabanı veya dizin kullanıyorsanız, EMail adlı sütundaki değerin userPrincipalNameMicrosoft Entra özniteliğindeki değerle aynı olduğu bir veritabanında kullanıcılarınız olabilir:
```
$db_match_column_name = "EMail"
$azuread_match_attr_name = "userPrincipalName"
```

Bu kullanıcıların kimliklerini Microsoft Entra Id'de alın.

Aşağıdaki PowerShell betiği, daha önce belirtilen $dbusers, $db_match_column_nameve $azuread_match_attr_name değerlerini kullanır. Kaynak dosyadaki her kayıt için eşleşen değere sahip bir özniteliği olan bir kullanıcıyı bulmak için Microsoft Entra Kimliğini sorgular. Dosyada kaynak SAP Cloud Identity Services, veritabanı veya dizinden alınan çok sayıda kullanıcı varsa, bu betiğin tamamlanması birkaç dakika sürebilir. Microsoft Entra ID'de belirli bir değere sahip bir özniteliğiniz yoksa ve contains veya başka bir filtre ifadesi kullanmanız gerekiyorsa, bu betiği ve aşağıdaki 11. adımı, farklı bir filtre ifadesi kullanmak için özelleştirmeniz gerekecek.

$dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

Önceki sorguların sonuçlarını görüntüleyin. SAP Cloud Identity Services, veritabanı veya dizindeki kullanıcıların, hatalar veya eksik eşleşmeler nedeniyle Microsoft Entra ID'de bulunamayıp bulunamadığını kontrol edin.

Aşağıdaki PowerShell betiği, bulunamamış kayıtların sayısını görüntüler:

$dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

Betik tamamlandığında, veri kaynağından herhangi bir kayıt Microsoft Entra ID'de bulunamazsa bir hata bildirilecektir. Uygulamanın veri deposundaki kullanıcı kayıtlarının tamamı Microsoft Entra ID'de kullanıcı olarak bulunamıyorsa, hangi kayıtların eşleşmediğini ve nedenini araştırmanız gerekir.

Örneğin, bir kişinin e-posta adresi ve userPrincipalName, uygulamanın veri kaynağında bulunan ilgili mail özelliği güncelleştirilmeden Microsoft Entra Kimliği'nde değiştirilmiş olabilir. Ya da kullanıcı daha önce kuruluşu terk etmiş olabilir ama yine de uygulamanın veri kaynağındadır. Ya da uygulamanın veri kaynağında Microsoft Entra Id'deki belirli bir kişiye karşılık olmayan bir satıcı veya süper yönetici hesabı olabilir.
Microsoft Entra Id'de bulunamayan veya etkin olmayan ve oturum açamayan kullanıcılar varsa ancak bunların erişiminin gözden geçirilmesini veya özniteliklerinin SAP Cloud Identity Services, veritabanı veya dizinde güncelleştirilmesini istiyorsanız, uygulamayı, eşleşen kuralı güncelleştirmeniz veya onlar için Microsoft Entra kullanıcıları oluşturmanız gerekir. Hangi değişikliğin yapacağı hakkında daha fazla bilgi için bkz. Microsoft Entra ID'deki kullanıcılarla eşleşmeyen uygulamalarda eşlemeleri ve kullanıcı hesaplarını yönetme.

Microsoft Entra Id'de kullanıcı oluşturma seçeneğini belirlerseniz, aşağıdakilerden birini kullanarak kullanıcıları toplu olarak oluşturabilirsiniz:
- Verilen açıklamalara göre Microsoft Entra yönetim merkezinde kullanıcıları toplu oluşturma işlemi için bir CSV dosyası.
- New-MgUser cmdlet'i
Bu yeni kullanıcıların daha sonra uygulamadaki mevcut kullanıcılarla eşleşmesi için Microsoft Entra Id için gereken özniteliklerle ve userPrincipalName, mailNickname ve displayNamedahil olmak üzere Microsoft Entra ID için gereken özniteliklerle dolduruldığından emin olun. userPrincipalName, dizindeki tüm kullanıcılar arasında benzersiz olmalıdır.

Örneğin, EMail adlı sütundaki değerin Microsoft Entra kullanıcı asıl Adı olarak kullanmak istediğiniz değer olduğu, Alias sütunundaki değerin Microsoft Entra Id posta takma adını içerdiği ve Full name sütunundaki değerin kullanıcının görünen adını içerdiği bir veritabanında kullanıcılarınız olabilir:
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```
Daha sonra bu betiği kullanarak SAP Cloud Identity Services, veritabanı veya dizinde bulunan ve Microsoft Entra ID'deki kullanıcılarla eşleşmeyen kullanıcılar için Microsoft Entra kullanıcıları oluşturabilirsiniz. Unutmayın ki kuruluşunuzda gereken ek Microsoft Entra özniteliklerini eklemek için veya $azuread_match_attr_name, mailNickname ya da userPrincipalName değilse, o Microsoft Entra özniteliğini sağlamak amacıyla bu betiği değiştirmeniz gerekebilir.
```
$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}
```

Eksik kullanıcıları Microsoft Entra Id'ye ekledikten sonra 7. adımdaki betiği yeniden çalıştırın. Ardından 8. adımdaki betiği çalıştırın. Hata bildirilmemiş olup olmadığını denetleyin.

$dbu_not_queried_list = @()
$dbu_not_matched_list = @()
$dbu_match_ambiguous_list = @()
$dbu_query_failed_list = @()
$azuread_match_id_list = @()
$azuread_not_enabled_list = @()
$dbu_values = @()
$dbu_duplicate_list = @()

foreach ($dbu in $dbusers) { 
   if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
      $val = $dbu.$db_match_column_name
      $escval = $val -replace "'","''"
      if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
      $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
      try {
         $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
         if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
            $id = $ul[0].id; 
            $azuread_match_id_list += $id;
            if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
         } 
      } catch { $dbu_query_failed_list += $dbu } 
    } else { $dbu_not_queried_list += $dbu }
}

$dbu_not_queried_count = $dbu_not_queried_list.Count
if ($dbu_not_queried_count -ne 0) {
  Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
}
$dbu_duplicate_count = $dbu_duplicate_list.Count
if ($dbu_duplicate_count -ne 0) {
  Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
}
$dbu_not_matched_count = $dbu_not_matched_list.Count
if ($dbu_not_matched_count -ne 0) {
  Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
}
$dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
if ($dbu_match_ambiguous_count -ne 0) {
  Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
}
$dbu_query_failed_count = $dbu_query_failed_list.Count
if ($dbu_query_failed_count -ne 0) {
  Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
}
$azuread_not_enabled_count = $azuread_not_enabled_list.Count
if ($azuread_not_enabled_count -ne 0) {
 Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
}
if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
 Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
}
$azuread_match_count = $azuread_match_id_list.Count
Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."

Microsoft Entra Id'de uygulamaya kullanıcı atama

Microsoft Entra ECMA Bağlayıcısı Ana Bilgisayarı'nın Microsoft Entra Kimliği ile iletişim kurmasını sağladığınıza ve öznitelik eşlemesinin yapılandırıldığınıza göre, sağlama kapsamına kimlerin dahil edileceğini yapılandırmaya geçebilirsiniz.

Önemli

Karma Kimlik Yöneticisi rolü kullanarak oturum açtıysanız, bu bölüm için en azından Uygulama Yöneticisi rolüne sahip bir hesapla oturum kapatmanız ve oturum açmanız gerekir. Karma Kimlik Yöneticisi rolünün uygulamalara kullanıcı atama izinleri yoktur.

LDAP dizininde mevcut kullanıcılar varsa, bu mevcut kullanıcılar için uygulama rolü atamaları oluşturmanız gerekir. New-MgServicePrincipalAppRoleAssignedTokullanarak toplu olarak uygulama rolü atamaları oluşturma hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra ID'nde uygulamanın mevcut kullanıcılarını yönetme.

LDAP dizinindeki mevcut kullanıcıları henüz güncelleştirmek istemiyorsanız, Microsoft Entra Kimliği'nden gerekli özniteliklere sahip olan ve dizin sunucusuna sağlanacak bir test kullanıcısı seçin.

Kullanıcının seçeceğinin, dizin sunucusu şemasının gerekli özniteliklerine eşlenecek tüm özelliklere sahip olduğundan emin olun.
Azure portalında kurumsal uygulamalaröğesini seçin.
Şirket içi ECMA uygulaması uygulamasını seçin.
Soldaki Yönetaltında Kullanıcılar ve gruplaröğesini seçin.
Kullanıcı/grup ekleseçeneğini seçin.
kullanıcılaraltında Seçili Yokseçin.
Sağdan bir kullanıcı seçin ve seç düğmesini seçin.
Şimdi Ata'yıseçin.

Sağlamayı test etme

Öznitelikleriniz eşlendiğine ve ilk kullanıcı atandığı için artık kullanıcılarınızdan biriyle isteğe bağlı sağlamayı test edebilirsiniz.

Microsoft Entra ECMA Bağlayıcısı Ana Bilgisayarı'nı çalıştıran sunucuda Başlangıçseçin.
Çalıştır'ı açın ve kutuya services.msc yazın.
Hizmetleri listesinde hem Microsoft Entra Connect Sağlama Aracısı hizmetinin hem de Microsoft ECMA2Host hizmetlerinin çalıştığından emin olun. Eğer değilse, Başlangıçseçin.
Azure portalında kurumsal uygulamalaröğesini seçin.
Şirket içi ECMA uygulaması uygulamasını seçin.
Sol tarafta Sağlamaöğesini seçin.
Talep üzerine sağlamaseçin.
Test kullanıcılarınızdan birini arayın ve Sağlamaöğesini seçin.
Birkaç saniye sonra, Hedef sistem başarıyla oluşturulan kullanıcı iletisi görüntülenir ve kullanıcı özniteliklerinin listesi görüntülenir. Bunun yerine bir hata görüntülenirse bkz. sağlama işlemi hatalarını giderme.

Kullanıcıları hazırlamaya başla

İsteğe bağlı sağlama testi başarılı olduktan sonra kalan kullanıcıları ekleyin. New-MgServicePrincipalAppRoleAssignedTokullanarak toplu olarak uygulama rolü atamaları oluşturma hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra ID'nde uygulamanın mevcut kullanıcılarını yönetme.

Azure portalında uygulamayı seçin.
Soldaki Yönetaltında Kullanıcılar ve gruplaröğesini seçin.
Tüm kullanıcıların uygulama rolüne atandığından emin olun.
Sağlama yapılandırma sayfasına geri dönün.
Kapsamın yalnızca atanan kullanıcılar ve gruplar olarak ayarlandığından emin olun, sağlama durumunu Açıkolarak ayarlayın ve Kaydetseçeneğini belirleyin.
Sağlamanın başlatılması için birkaç dakika bekleyin. 40 dakika kadar sürebilir. Sağlama işi tamamlandıktan sonra, sonraki bölümde açıklandığı gibi,

Sağlama hatalarını giderme

Bir hata gösterildiğinde, sağlama günlüklerini görüntüle seçin. Günlükte, Durum'un Hataolduğu bir satır için bakın ve o satırı seçin.

Hata iletisi Kullanıcıoluşturulamadı ise, dizin şemasının gereksinimlerine göre gösterilen öznitelikleri denetleyin.

Daha fazla bilgi için Sorun Giderme & Öneriler sekmesine geçin.

Sorun giderme hata iletisi bir objectClass değerinin invalid per syntaxiçeriyorsa, objectClass özniteliğine eşlenen sağlama özniteliğinin yalnızca dizin sunucusu tarafından tanınan nesne sınıflarının adlarını içerdiğinden emin olun.

Diğer hatalar için bkz. şirket içi uygulama sağlama sorun giderme.

Bu uygulamaya sağlamayı durdurmak istiyorsanız, sağlama yapılandırma sayfasında sağlama durumunu Kapalıolarak değiştirebilir ve Kaydetseçin. Bu eylem, sağlama hizmetinin gelecekte çalışmasını durdurur.

Kullanıcıların başarıyla atandığını denetleyin

Bekledikten sonra, kullanıcıların tanımlandığından emin olmak için dizin sunucusunu denetleyin. Dizin sunucusuna gerçekleştirdiğiniz sorgu, dizin sunucunuzun hangi komutları sağladığına bağlıdır.

Aşağıdaki yönergelerde, Linux üzerinde OpenLDAP'nin nasıl denetlenecekleri gösterilmektedir.

OpenLDAP ile sistemde komut kabuğu bulunan bir terminal penceresi açın.
komut ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson) yazın
Sonuçta elde edilen LDIF'nin Microsoft Entra Id'den sağlanan kullanıcıları içerip içermediğini denetleyin.

Sonraki adımlar

Sağlama hizmetinin ne yaptığı, nasıl çalıştığı ve sık sorulan sorular hakkında daha fazla bilgi için bkz. Microsoft Entra ID ile SaaS uygulamalarında kullanıcı sağlamayı ve sağlamayı kaldırmayı otomatikleştirme ve şirket içi uygulama sağlama mimarisi.