Microsoft Graph için Microsoft Identity Manager bağlayıcısı
Özet
Microsoft Graph için Microsoft Identity Manager bağlayıcısı, Microsoft Entra ID P1 veya P2 müşterileri için ek tümleştirme senaryoları sağlar. Microsoft Graph API v1 ve beta'dan alınan MIM eşitleme meta veri deposu ek nesnelerinde ortaya çıkar.
Kapsanan senaryolar
B2B hesap yaşam döngüsü yönetimi
Microsoft Graph için Microsoft Identity Manager bağlayıcısının ilk senaryosu, dış kullanıcılar için AD DS hesap yaşam döngüsü yönetimini otomatikleştirmeye yardımcı olan bir bağlayıcıdır. Bu senaryoda bir kuruluş, Microsoft Entra Connect kullanarak çalışanları AD DS'den Microsoft Entra ID için eşitler ve ayrıca konukları Microsoft Entra dizinine davet eder. Konuk daveti, bir dış kullanıcı nesnesinin kuruluşun AD DS'sinde olmayan kuruluşun Microsoft Entra dizininde olmasına neden olur. Ardından kuruluş, bu konuklara Microsoft Entra uygulama ara sunucusu veya diğer ağ geçidi mekanizmaları aracılığıyla şirket içi Windows Tümleşik Kimlik Doğrulaması veya Kerberos tabanlı uygulamalara erişim vermek istiyor. Microsoft Entra uygulama ara sunucusu, tanımlama ve temsilci seçme amacıyla her kullanıcının kendi AD DS hesabına sahip olmasını gerektirir.
MIM eşitlemesini konuklar için AD DS hesaplarını otomatik olarak oluşturacak ve koruyacak şekilde yapılandırmayı öğrenmek için, bu makaledeki yönergeleri okuduktan sonra, MIM 2016 ve Microsoft Entra uygulama ara sunucusuyla işletmeler arası (B2B) işbirliğini Microsoft Entra makalesini okumaya devam edin. Bu makalede bağlayıcı için gereken eşitleme kuralları gösterilmektedir.
Diğer kimlik yönetimi senaryoları
Bağlayıcı, Microsoft Entra ID için kullanıcı ve grup eşitlemesinin ötesinde Microsoft Entra ID kullanıcı, grup ve kişi nesnelerini oluşturma, okuma, güncelleştirme ve silme gibi diğer özel kimlik yönetimi senaryoları için kullanılabilir. Olası senaryoları değerlendirirken lütfen unutmayın: Bu bağlayıcı bir senaryoda çalıştırılamaz ve bu da bir veri akışı çakışması, gerçek veya olası eşitlemenin Microsoft Entra Connect dağıtımıyla çakışması ile sonuçlanır. Microsoft Entra Connect, şirket içi dizinlerdeki kullanıcıları ve grupları Microsoft Entra ID eşitleyerek şirket içi dizinleri Microsoft Entra ID ile tümleştirmek için önerilen yaklaşımdır. Microsoft Entra Connect'in daha birçok eşitleme özelliği vardır ve MIM tarafından oluşturulan nesneler için mümkün olmayan parola ve cihaz geri yazma gibi senaryoları etkinleştirir. Örneğin AD DS'ye veri getiriliyorsa, bu nesneleri Microsoft Entra diziniyle eşleştirmeye çalışan Microsoft Entra Connect'in dışında tutulduğundan emin olun. Bu bağlayıcı, Microsoft Entra Connect tarafından oluşturulan Microsoft Entra nesnelerde değişiklik yapmak için de kullanılamaz.
Bağlayıcıyı Microsoft Graph için kullanmaya hazırlanma
Bağlayıcıyı Microsoft Entra dizininizdeki nesneleri alması veya yönetmesi için yetkilendirme
Bağlayıcı, Microsoft Entra ID'de bir Web uygulaması / API uygulaması oluşturulmasını gerektirir, böylece Microsoft Graph aracılığıyla Microsoft Entra nesneler üzerinde çalışması için uygun izinlerle yetkilendirilebilir.
Resim 1. Yeni uygulama kaydı
Azure portal oluşturulan uygulamayı açın ve Uygulama Kimliği'ni MA'nın bağlantı sayfasında daha sonra kullanmak üzere İstemci Kimliği olarak kaydedin:
Resim 2. Uygulama Kimliği
Sertifikalar & gizli dizileri açarak yeni gizli dizi oluşturun. Anahtar açıklaması ayarlayın ve en uzun süreyi seçin. Değişiklikleri kaydedin ve istemci gizli dizisini alın. İstemci gizli anahtarı değeri, sayfadan çıktıktan sonra yeniden görüntülenemez.
Resim 3. Yeni İstemci Gizli Anahtarı
"API İzinleri" öğesini açarak uygulamaya uygun 'Microsoft Graph' izinleri verin
Resim 4. Yeni API ekle
'Microsoft Graph' Uygulama izinleri'ne tıklayın.
Tüm gereksiz izinleri iptal edin.
Senaryoya bağlı olarak "Microsoft Graph API" kullanmasına izin vermek için uygulamaya aşağıdaki izin eklenmelidir:
Nesneyle işlem İzin gerekiyor İzin türü Şema algılama Application.Read.All
Uygulama İçeri Aktarma Grubu Group.Read.All
veyaGroup.ReadWrite.All
Uygulama Kullanıcıyı İçeri Aktar User.Read.All
,User.ReadWrite.All
veyaDirectory.Read.All
Directory.ReadWrite.All
Uygulama Gerekli izinler hakkında daha fazla ayrıntı izin başvurusunda bulunabilir.
Not
Application.Read.All izni şema algılama için zorunludur ve bağlayıcının çalışacağı nesne türüne bakılmaksızın verilmelidir.
- Seçili izinler için yönetici onayı verin.
Bağlayıcıyı yükleme
- Bağlayıcıyı yüklemeden önce eşitleme sunucusunda aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft .NET 4.6.2 Framework veya üzeri
- 2016 SP2 Microsoft Identity Manager ve 4.4.1642.0 KB4021562 veya sonraki bir düzeltmeyi kullanmalıdır.
Microsoft Graph bağlayıcısı, Microsoft Identity Manager 2016 SP2 için diğer bağlayıcılara ek olarak Microsoft İndirme Merkezi'nden indirilebilir.
MIM Eşitleme Hizmeti'nin yeniden başlatılması.
Bağlayıcı yapılandırması
- Eşitleme Service Manager kullanıcı arabiriminde Bağlayıcılar ve Oluştur'u seçin. Graph (Microsoft) öğesini seçin, bir bağlayıcı oluşturun ve açıklayıcı bir ad verin.
- MIM eşitleme hizmeti kullanıcı arabiriminde Uygulama Kimliği ve oluşturulan İstemci Gizli Anahtarı'nı belirtin. MIM Eşitleme'de yapılandırılan her yönetim aracısının, içeri aktarma işleminin aynı uygulama için paralel olarak çalıştırılmasını önlemek için Microsoft Entra ID içinde kendi uygulaması olmalıdır.
Resim 5. Bağlantı sayfası
Bağlantı sayfası (Resim 5) kullanılan Graph API sürümünü ve kiracı adını içerir. İstemci Kimliği ve İstemci Gizli Anahtarı, daha önce Microsoft Entra ID'de oluşturulmuş olan uygulamanın Uygulama Kimliği ve Anahtar değerini temsil edin.
Bağlayıcı varsayılan olarak v1.0 ve Microsoft Graph genel hizmetinin oturum açma ve graf uç noktalarını kullanır. Kiracınız ulusal bir buluttaysa, yapılandırmanızı ulusal bulut için uç noktaları kullanacak şekilde değiştirmeniz gerekir. Graph'in küresel hizmetteki bazı özelliklerinin ulusal bulutların tamamında kullanılamayabileceğini unutmayın.
- Genel Parametreler sayfasında gerekli değişiklikleri yapın:
Resim 6. Genel Parametreler sayfası
Genel parametreler sayfası aşağıdaki ayarları içerir:
DateTime format – Edm.DateTimeOffset türüne sahip herhangi bir öznitelik için kullanılan biçim. Tüm tarihler, içeri aktarma sırasında bu biçim kullanılarak dizeye dönüştürülür. Ayarlama biçimi, tarihi kaydeden herhangi bir öznitelik için uygulanır.
HTTP zaman aşımı (saniye) – Graph'a yapılan her HTTP çağrısı sırasında kullanılacak saniye olarak zaman aşımı.
Sonraki imzada oluşturulan kullanıcının parolasını değiştirmeye zorla – bu seçenek dışarı aktarma sırasında oluşturulacak yeni kullanıcı için kullanılır. Seçenek etkinleştirilirse forceChangePasswordNextSignIn özelliği true olarak ayarlanır, aksi takdirde false olur.
Bağlayıcı şemasını ve işlemlerini yapılandırma
- Şemayı yapılandırın. Bağlayıcı, Graph v1.0 uç noktasıyla kullanıldığında aşağıdaki nesne türlerinin listesini destekler:
Kullanıcı
Tam/Delta İçeri Aktarma
Dışarı Aktarma (Ekle, Güncelleştir, Sil)
Grup
Tam/Delta İçeri Aktarma
Dışarı Aktarma (Ekle, Güncelleştir, Sil)
Bağlayıcıyı Graph beta uç noktasını kullanacak şekilde yapılandırdığınızda ek nesne türleri görünebilir.
Desteklenen öznitelik türlerinin listesi:
Edm.Boolean
Edm.String
Edm.DateTimeOffset
(bağlayıcı alanında dize)microsoft.graph.directoryObject
(bağlayıcı alanında desteklenen nesnelerden herhangi birine başvuru)microsoft.graph.contact
Birden çok değerli öznitelikler (Koleksiyon) yukarıdaki listeden herhangi bir tür için de desteklenir.
Bağlayıcı, yer işareti için 'id
' özniteliğini ve tüm nesneler için DN'yi kullanır. Bu nedenle, Graph API bir nesnenin özniteliğini değiştirmesine id
izin vermediğinden yeniden adlandırma gerekli değildir.
Erişim belirteci ömrü
Graph uygulaması, Graph API erişmek için erişim belirteci gerektirir. Bağlayıcı her içeri aktarma yinelemesi için yeni bir erişim belirteci ister (içeri aktarma yinelemesi sayfa boyutuna bağlıdır). Örnek:
Microsoft Entra ID 10000 nesne içeriyor
Bağlayıcıda yapılandırılan sayfa boyutu 5000'dir
Bu durumda içeri aktarma sırasında iki yineleme olur ve her biri Eşitle'ye 5000 nesne döndürür. Bu nedenle, yeni bir erişim belirteci iki kez istenir.
Dışarı aktarma sırasında, eklenmesi/güncelleştirilmiş/silinmesi gereken her nesne için yeni bir erişim belirteci istenir.
Sorgu filtreleri
Graph API uç noktaları, $filter parametresini kullanıma sunarak GET sorguları tarafından döndürülen nesne miktarını sınırlama olanağı sunar.
Tam içeri aktarma performansı döngüsünü geliştirmek üzere sorgu filtrelerinin kullanımını etkinleştirmek için bağlayıcı özelliklerinin Şema 1 sayfasında Nesne filtresi ekle onay kutusunu etkinleştirin.
Bundan sonra , Şema 2 sayfasında kullanıcıları, grupları, kişileri veya hizmet sorumlularını filtrelemek için kullanılacak bir ifade yazın.
Yukarıdaki ekran görüntüsünde, startsWith(displayName,'J') filtresi yalnızca displayName öznitelik değeri 'J' ile başlayan kullanıcıları okuyacak şekilde ayarlanmıştır.
Bağlayıcı özelliklerinde filtre ifadesinde kullanılan özniteliğin seçili olduğundan emin olun.
sorgu parametresi kullanımı $filter hakkında daha fazla bilgi için şu makaleye bakın: Yanıtları özelleştirmek için sorgu parametrelerini kullanma.
Not
Delta sorgu uç noktası şu anda filtreleme özellikleri sunmadığından, filtrelerin kullanımı yalnızca tam içeri aktarma ile sınırlıdır. Sorgu filtreleri etkinken delta içeri aktarma çalıştırmasını başlatmaya çalışırken bir hata alırsınız.
Sorun giderme
Günlükleri etkinleştirme
Graph'ta herhangi bir sorun varsa, sorunu yerelleştirmek için günlükler kullanılabilir. Bu nedenle izlemeler , Genel bağlayıcılar için olduğu gibi etkinleştirilebilir. Veya yalnızca aşağıdakileri miiserver.exe.config
(bölümün içinde system.diagnostics/sources
) ekleyerek:
<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>
Not
'Bu yönetim aracıyı ayrı bir işlemde çalıştır' etkinleştirildiyse yerine dllhost.exe.config
kullanılmalıdır miiserver.exe.config
.
Erişim belirtecinin süresi doldu hatası
Bağlayıcı, "Erişim belirtecinin süresi doldu", 401 Yetkisiz HTTP hatası döndürebilir:
Resim 7. "Erişim belirtecinin süresi doldu." Hata
Bu sorunun nedeni Azure tarafından erişim belirteci ömrünün yapılandırılması olabilir. Varsayılan olarak, erişim belirtecinin süresi 1 saat sonra dolar. Süre sonu süresini artırmak için bu makaleye bakın.
Azure AD PowerShell Modülü Genel Önizleme sürümünü kullanan bu örnek
New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
Sonraki adımlar
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin