Aracılığıyla paylaş

Microsoft Graph için Microsoft Identity Manager bağlayıcısı

  • Makale

Özet

Microsoft Graph için Microsoft Identity Manager bağlayıcısı, Microsoft Entra ID P1 veya P2 müşterileri için ek tümleştirme senaryoları sağlar. Microsoft Graph API v1 ve beta'dan alınan MIM eşitleme meta veri deposu ek nesnelerinde ortaya çıkar.

Kapsanan senaryolar

B2B hesap yaşam döngüsü yönetimi

Microsoft Graph için Microsoft Identity Manager bağlayıcısının ilk senaryosu, dış kullanıcılar için AD DS hesap yaşam döngüsü yönetimini otomatikleştirmeye yardımcı olan bir bağlayıcıdır. Bu senaryoda bir kuruluş, Microsoft Entra Connect kullanarak çalışanları AD DS'den Microsoft Entra ID için eşitler ve ayrıca konukları Microsoft Entra dizinine davet eder. Konuk daveti, bir dış kullanıcı nesnesinin kuruluşun AD DS'sinde olmayan kuruluşun Microsoft Entra dizininde olmasına neden olur. Ardından kuruluş, bu konuklara Microsoft Entra uygulama ara sunucusu veya diğer ağ geçidi mekanizmaları aracılığıyla şirket içi Windows Tümleşik Kimlik Doğrulaması veya Kerberos tabanlı uygulamalara erişim vermek istiyor. Microsoft Entra uygulama ara sunucusu, tanımlama ve temsilci seçme amacıyla her kullanıcının kendi AD DS hesabına sahip olmasını gerektirir.

MIM eşitlemesini konuklar için AD DS hesaplarını otomatik olarak oluşturacak ve koruyacak şekilde yapılandırmayı öğrenmek için, bu makaledeki yönergeleri okuduktan sonra, MIM 2016 ve Microsoft Entra uygulama ara sunucusuyla işletmeler arası (B2B) işbirliğini Microsoft Entra makalesini okumaya devam edin. Bu makalede bağlayıcı için gereken eşitleme kuralları gösterilmektedir.

Diğer kimlik yönetimi senaryoları

Bağlayıcı, Microsoft Entra ID için kullanıcı ve grup eşitlemesinin ötesinde Microsoft Entra ID kullanıcı, grup ve kişi nesnelerini oluşturma, okuma, güncelleştirme ve silme gibi diğer özel kimlik yönetimi senaryoları için kullanılabilir. Olası senaryoları değerlendirirken lütfen unutmayın: Bu bağlayıcı bir senaryoda çalıştırılamaz ve bu da bir veri akışı çakışması, gerçek veya olası eşitlemenin Microsoft Entra Connect dağıtımıyla çakışması ile sonuçlanır. Microsoft Entra Connect, şirket içi dizinlerdeki kullanıcıları ve grupları Microsoft Entra ID eşitleyerek şirket içi dizinleri Microsoft Entra ID ile tümleştirmek için önerilen yaklaşımdır. Microsoft Entra Connect'in daha birçok eşitleme özelliği vardır ve MIM tarafından oluşturulan nesneler için mümkün olmayan parola ve cihaz geri yazma gibi senaryoları etkinleştirir. Örneğin AD DS'ye veri getiriliyorsa, bu nesneleri Microsoft Entra diziniyle eşleştirmeye çalışan Microsoft Entra Connect'in dışında tutulduğundan emin olun. Bu bağlayıcı, Microsoft Entra Connect tarafından oluşturulan Microsoft Entra nesnelerde değişiklik yapmak için de kullanılamaz.

Bağlayıcıyı Microsoft Graph için kullanmaya hazırlanma

Bağlayıcıyı Microsoft Entra dizininizdeki nesneleri alması veya yönetmesi için yetkilendirme

  1. Bağlayıcı, Microsoft Entra ID'de bir Web uygulaması / API uygulaması oluşturulmasını gerektirir, böylece Microsoft Graph aracılığıyla Microsoft Entra nesneler üzerinde çalışması için uygun izinlerle yetkilendirilebilir.

    Yeni uygulama kaydıdüğmesinin görüntüsü Uygulama kaydının görüntüsü

    Resim 1. Yeni uygulama kaydı

  2. Azure portal oluşturulan uygulamayı açın ve Uygulama Kimliği'ni MA'nın bağlantı sayfasında daha sonra kullanmak üzere İstemci Kimliği olarak kaydedin:

    Uygulama kayıt ayrıntılarının görüntüsü

    Resim 2. Uygulama Kimliği

  3. Sertifikalar & gizli dizileri açarak yeni gizli dizi oluşturun. Anahtar açıklaması ayarlayın ve en uzun süreyi seçin. Değişiklikleri kaydedin ve istemci gizli dizisini alın. İstemci gizli anahtarı değeri, sayfadan çıktıktan sonra yeniden görüntülenemez.

    Yeni gizli dizi ekle düğmesinin resmi

    Resim 3. Yeni İstemci Gizli Anahtarı

  4. "API İzinleri" öğesini açarak uygulamaya uygun 'Microsoft Graph' izinleri verin

    İzin ekle düğmesinin resmi Resim 4. Yeni API ekle

    'Microsoft Graph' Uygulama izinleri'ne tıklayın. Uygulama izinlerinin görüntüsü

    Tüm gereksiz izinleri iptal edin.

    Uygulama izinleri verilmedi görüntüsü

    Senaryoya bağlı olarak "Microsoft Graph API" kullanmasına izin vermek için uygulamaya aşağıdaki izin eklenmelidir:

    Nesneyle işlem İzin gerekiyor İzin türü
    Şema algılama Application.Read.All Uygulama
    İçeri Aktarma Grubu Group.Read.All veya Group.ReadWrite.All Uygulama
    Kullanıcıyı İçeri Aktar User.Read.All, User.ReadWrite.Allveya Directory.Read.AllDirectory.ReadWrite.All Uygulama

    Gerekli izinler hakkında daha fazla ayrıntı izin başvurusunda bulunabilir.

Not

Application.Read.All izni şema algılama için zorunludur ve bağlayıcının çalışacağı nesne türüne bakılmaksızın verilmelidir.

  1. Seçili izinler için yönetici onayı verin. Verilen yönetici onayının resmi

Bağlayıcıyı yükleme

  1. Bağlayıcıyı yüklemeden önce eşitleme sunucusunda aşağıdakilere sahip olduğunuzdan emin olun:
  • Microsoft .NET 4.6.2 Framework veya üzeri
  • 2016 SP2 Microsoft Identity Manager ve 4.4.1642.0 KB4021562 veya sonraki bir düzeltmeyi kullanmalıdır.

  1. Microsoft Graph bağlayıcısı, Microsoft Identity Manager 2016 SP2 için diğer bağlayıcılara ek olarak Microsoft İndirme Merkezi'nden indirilebilir.

  2. MIM Eşitleme Hizmeti'nin yeniden başlatılması.

Bağlayıcı yapılandırması

  1. Eşitleme Service Manager kullanıcı arabiriminde Bağlayıcılar ve Oluştur'u seçin. Graph (Microsoft) öğesini seçin, bir bağlayıcı oluşturun ve açıklayıcı bir ad verin.

Yeni bağlayıcı görüntüsü

  1. MIM eşitleme hizmeti kullanıcı arabiriminde Uygulama Kimliği ve oluşturulan İstemci Gizli Anahtarı'nı belirtin. MIM Eşitleme'de yapılandırılan her yönetim aracısının, içeri aktarma işleminin aynı uygulama için paralel olarak çalıştırılmasını önlemek için Microsoft Entra ID içinde kendi uygulaması olmalıdır.

Bağlantı ayrıntılarıyla bağlayıcı ayarları görüntüsü

Resim 5. Bağlantı sayfası

Bağlantı sayfası (Resim 5) kullanılan Graph API sürümünü ve kiracı adını içerir. İstemci Kimliği ve İstemci Gizli Anahtarı, daha önce Microsoft Entra ID'de oluşturulmuş olan uygulamanın Uygulama Kimliği ve Anahtar değerini temsil edin.

Bağlayıcı varsayılan olarak v1.0 ve Microsoft Graph genel hizmetinin oturum açma ve graf uç noktalarını kullanır. Kiracınız ulusal bir buluttaysa, yapılandırmanızı ulusal bulut için uç noktaları kullanacak şekilde değiştirmeniz gerekir. Graph'in küresel hizmetteki bazı özelliklerinin ulusal bulutların tamamında kullanılamayabileceğini unutmayın.

  1. Genel Parametreler sayfasında gerekli değişiklikleri yapın:

Genel parametreler sayfa görüntüsü

Resim 6. Genel Parametreler sayfası

Genel parametreler sayfası aşağıdaki ayarları içerir:

  • DateTime format – Edm.DateTimeOffset türüne sahip herhangi bir öznitelik için kullanılan biçim. Tüm tarihler, içeri aktarma sırasında bu biçim kullanılarak dizeye dönüştürülür. Ayarlama biçimi, tarihi kaydeden herhangi bir öznitelik için uygulanır.

  • HTTP zaman aşımı (saniye) – Graph'a yapılan her HTTP çağrısı sırasında kullanılacak saniye olarak zaman aşımı.

  • Sonraki imzada oluşturulan kullanıcının parolasını değiştirmeye zorla – bu seçenek dışarı aktarma sırasında oluşturulacak yeni kullanıcı için kullanılır. Seçenek etkinleştirilirse forceChangePasswordNextSignIn özelliği true olarak ayarlanır, aksi takdirde false olur.

Bağlayıcı şemasını ve işlemlerini yapılandırma

  1. Şemayı yapılandırın. Bağlayıcı, Graph v1.0 uç noktasıyla kullanıldığında aşağıdaki nesne türlerinin listesini destekler:

  • Kullanıcı

    • Tam/Delta İçeri Aktarma

    • Dışarı Aktarma (Ekle, Güncelleştir, Sil)

  • Grup

    • Tam/Delta İçeri Aktarma

    • Dışarı Aktarma (Ekle, Güncelleştir, Sil)

Bağlayıcıyı Graph beta uç noktasını kullanacak şekilde yapılandırdığınızda ek nesne türleri görünebilir.

Desteklenen öznitelik türlerinin listesi:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (bağlayıcı alanında dize)

  • microsoft.graph.directoryObject (bağlayıcı alanında desteklenen nesnelerden herhangi birine başvuru)

  • microsoft.graph.contact

Birden çok değerli öznitelikler (Koleksiyon) yukarıdaki listeden herhangi bir tür için de desteklenir.

Bağlayıcı, yer işareti için 'id' özniteliğini ve tüm nesneler için DN'yi kullanır. Bu nedenle, Graph API bir nesnenin özniteliğini değiştirmesine id izin vermediğinden yeniden adlandırma gerekli değildir.

Erişim belirteci ömrü

Graph uygulaması, Graph API erişmek için erişim belirteci gerektirir. Bağlayıcı her içeri aktarma yinelemesi için yeni bir erişim belirteci ister (içeri aktarma yinelemesi sayfa boyutuna bağlıdır). Örnek:

  • Microsoft Entra ID 10000 nesne içeriyor

  • Bağlayıcıda yapılandırılan sayfa boyutu 5000'dir

Bu durumda içeri aktarma sırasında iki yineleme olur ve her biri Eşitle'ye 5000 nesne döndürür. Bu nedenle, yeni bir erişim belirteci iki kez istenir.

Dışarı aktarma sırasında, eklenmesi/güncelleştirilmiş/silinmesi gereken her nesne için yeni bir erişim belirteci istenir.

Sorgu filtreleri

Graph API uç noktaları, $filter parametresini kullanıma sunarak GET sorguları tarafından döndürülen nesne miktarını sınırlama olanağı sunar.

Tam içeri aktarma performansı döngüsünü geliştirmek üzere sorgu filtrelerinin kullanımını etkinleştirmek için bağlayıcı özelliklerinin Şema 1 sayfasında Nesne filtresi ekle onay kutusunu etkinleştirin.

Bağlayıcı ayarları sayfa bir resim ve Nesne ekle filtresi onay kutusu işaretli

Bundan sonra , Şema 2 sayfasında kullanıcıları, grupları, kişileri veya hizmet sorumlularını filtrelemek için kullanılacak bir ifade yazın.

Bağlayıcı ayarları sayfası örnek filtre içeren iki resim startsWith(displayName,'J')

Yukarıdaki ekran görüntüsünde, startsWith(displayName,'J') filtresi yalnızca displayName öznitelik değeri 'J' ile başlayan kullanıcıları okuyacak şekilde ayarlanmıştır.

Bağlayıcı özelliklerinde filtre ifadesinde kullanılan özniteliğin seçili olduğundan emin olun.

DisplayName özniteliği seçili bağlayıcı ayarları sayfa görüntüsü

sorgu parametresi kullanımı $filter hakkında daha fazla bilgi için şu makaleye bakın: Yanıtları özelleştirmek için sorgu parametrelerini kullanma.

Not

Delta sorgu uç noktası şu anda filtreleme özellikleri sunmadığından, filtrelerin kullanımı yalnızca tam içeri aktarma ile sınırlıdır. Sorgu filtreleri etkinken delta içeri aktarma çalıştırmasını başlatmaya çalışırken bir hata alırsınız.

Sorun giderme

Günlükleri etkinleştirme

Graph'ta herhangi bir sorun varsa, sorunu yerelleştirmek için günlükler kullanılabilir. Bu nedenle izlemeler , Genel bağlayıcılar için olduğu gibi etkinleştirilebilir. Veya yalnızca aşağıdakileri miiserver.exe.config (bölümün içinde system.diagnostics/sources ) ekleyerek:

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Not

'Bu yönetim aracıyı ayrı bir işlemde çalıştır' etkinleştirildiyse yerine dllhost.exe.config kullanılmalıdır miiserver.exe.config.

Erişim belirtecinin süresi doldu hatası

Bağlayıcı, "Erişim belirtecinin süresi doldu", 401 Yetkisiz HTTP hatası döndürebilir:

Hata ayrıntıları resmi

Resim 7. "Erişim belirtecinin süresi doldu." Hata

Bu sorunun nedeni Azure tarafından erişim belirteci ömrünün yapılandırılması olabilir. Varsayılan olarak, erişim belirtecinin süresi 1 saat sonra dolar. Süre sonu süresini artırmak için bu makaleye bakın.

Azure AD PowerShell Modülü Genel Önizleme sürümünü kullanan bu örnek

Acces belirteci yaşam süresi görüntüsü

New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Sonraki adımlar