Azure Uygulaması Proxy ile Microsoft Identity Manager(MIM) 2016 SP1 ile işletmeler arası (B2B) işbirliğini Microsoft Entra

  • Makale

İlk senaryo, dış kullanıcı AD hesabı yaşam döngüsü yönetimidir. Bu senaryoda, bir kuruluş konukları Microsoft Entra dizinine davet etti ve bu konuklara Microsoft Entra uygulama ara sunucusu veya diğer ağ geçidi mekanizmaları aracılığıyla şirket içi Windows-Integrated Kimlik Doğrulaması veya Kerberos tabanlı uygulamalara erişim vermek istiyor. Microsoft Entra uygulama ara sunucusu, belirleme ve temsilci seçme amacıyla her kullanıcının kendi AD DS hesabına sahip olmasını gerektirir.

Scenario-Specific Kılavuzu

MIM ve Microsoft Entra kimliği Uygulama Ara Sunucusu ile B2B yapılandırmasında yapılan birkaç varsayım:

B2B Uçtan Uca Dağıtım Örneği senaryosu

Bu kılavuz aşağıdaki senaryoyu oluşturur:

Contoso Pharmaceuticals, R&D Departmanı kapsamında Trey Research Inc. ile birlikte çalışmaktadır. Trey Research çalışanlarının Contoso Pharmaceuticals tarafından sağlanan araştırma raporlama uygulamasına erişmesi gerekir.

  • Contoso Pharmaceuticals kendi kiracısındadır ve özel bir etki alanı yapılandırmış olabilir.

  • Birisi contoso pharmaceuticals kiracısına bir dış kullanıcı davet etti. Bu kullanıcı daveti kabul etti ve paylaşılan kaynaklara erişebilir.

  • Contoso Pharmaceuticals, Uygulama Ara Sunucusu aracılığıyla bir uygulama yayımladı. Bu senaryoda örnek uygulama MIM Portalı'dır. Bu, konuk kullanıcının MIM işlemlerine katılmasını sağlar; örneğin yardım masası senaryolarında veya MIM'deki gruplara erişim isteğinde bulunabilir.

AD ve Microsoft Entra Connect'i Microsoft Entra kimliğinden eklenen kullanıcıları dışlayacak şekilde yapılandırma

Varsayılan olarak, connect Microsoft Entra Active Directory'deki yönetici olmayan kullanıcıların Microsoft Entra kimlikle eşitlenmesi gerektiğini varsayar. Microsoft Entra Connect, şirket içi AD'deki kullanıcıyla eşleşen Microsoft Entra kimliğindeki mevcut bir kullanıcıyı bulursa, Microsoft Entra Connect iki hesapla eşleşir ve bunun kullanıcının daha önceki bir eşitlemesi olduğunu varsayar ve şirket içi AD'yi yetkili hale getirir. Ancak, bu varsayılan davranış, kullanıcı hesabının Microsoft Entra kimliğiyle kaynaklandığı B2B akışı için uygun değildir.

Bu nedenle, Microsoft Entra kimliğinden MIM tarafından AD DS'ye getirilen kullanıcıların, Microsoft Entra kimliğin bu kullanıcıları Microsoft Entra kimlikle eşitlemeye çalışmayacak şekilde depolanması gerekir. Bunu gerçekleştirmenin bir yolu, AD DS'de yeni bir kuruluş birimi oluşturmak ve Microsoft Entra Connect'i bu kuruluş birimini dışlayacak şekilde yapılandırmaktır.

Daha fazla bilgi için bkz. Connect Sync: Filtrelemeyi yapılandırma Microsoft Entra.

Microsoft Entra uygulamasını oluşturma

Not: MIM'de oluşturmadan önce Graph bağlayıcısı için yönetim aracısını eşitleyin Graph Bağlayıcısı'nı dağıtma kılavuzunu gözden geçirdiğinizden ve istemci kimliğiyle gizli diziyle bir uygulama oluşturduğunuzdan emin olun. Uygulamanın şu izinlerden en az biri için yetkilendirildiğinden emin olun: User.Read.All, User.ReadWrite.Allveya Directory.Read.AllDirectory.ReadWrite.All.

Yeni Yönetim Aracısı Oluşturma

Eşitleme Service Manager kullanıcı arabiriminde Bağlayıcılar ve Oluştur'u seçin. Graph (Microsoft) öğesini seçin ve açıklayıcı bir ad verin.

B 2 B Graph adına ve O K düğmesine sahip Graph için Yönetim aracısını gösteren ekran görüntüsü.

Bağlantı

Bağlantı sayfasında Graph API Sürümünü belirtmeniz gerekir. Üretime hazır PAI V 1.0, Üretim Dışı Sürüm Beta'dır.

Graf A P I sürümünün seçili olduğunu ve İleri düğmesini gösteren ekran görüntüsü.

Global Parametreler

Genel parametrelerin değerlerini ve İleri düğmesini gösteren ekran görüntüsü.

Sağlama Hiyerarşisini Yapılandırma

Bu sayfa, DN bileşenini (örneğin OU) sağlanması gereken nesne türüyle (örneğin kuruluş Birimi) eşlemek için kullanılır. Bu senaryo için bu gerekli değildir, bu nedenle bunu varsayılan olarak bırakın ve İleri'ye tıklayın.

Sağlama Hiyerarşisini Yapılandır sayfasını ve İleri düğmesini gösteren ekran görüntüsü.

Bölümleri ve Hiyerarşileri Yapılandır

Bölümler ve hiyerarşiler sayfasında içeri ve dışarı aktarmayı planladığınız nesneleri içeren tüm ad alanlarını seçin.

Bölümleri ve Hiyerarşileri Yapılandır sayfasını ve bir O K düğmesini gösteren ekran görüntüsü.

Nesne Türlerini Seç

Nesne türleri sayfasında, içeri aktarmayı planladığınız nesne türlerini seçin. En azından 'Kullanıcı' seçeneğini belirlemeniz gerekir.

Nesne türü ve O K düğmesinin seçili olduğu Nesne Türlerini Seç sayfasını gösteren ekran görüntüsü.

Öznitelik Seç

Öznitelikleri Seçin ekranında, AD'deki B2B kullanıcılarını yönetmek için gerekli olacak öznitelikleri Microsoft Entra seçin. "Id" özniteliği gereklidir. ve userType öznitelikleri userPrincipalName bu yapılandırmanın ilerleyen bölümlerinde kullanılacaktır. Diğer öznitelikler isteğe bağlıdır, örneğin

  • displayName

  • mail

  • givenName

  • surname

  • userPrincipalName

  • userType

Bazı özniteliklerin seçili olduğu Öznitelikleri Seç ekranını ve bir O K düğmesini gösteren ekran görüntüsü.

Yer İşaretlerini Yapılandır

BağlayıcıYı Yapılandır ekranında, bağlayıcı özniteliğini yapılandırmak gerekli bir adımdır. Varsayılan olarak, kullanıcı eşlemesi için ID özniteliğini kullanın.

Nesne türü kullanıcı ve i d anchor özniteliği ile İleri düğmesini içeren Tutturucuları Yapılandır ekranını gösteren ekran görüntüsü.

Bağlayıcı Filtresi Yapılandır

Bağlayıcı Filtresini yapılandır sayfasında MIM, nesneleri öznitelik filtresine göre filtrelemenize olanak tanır. B2B için bu senaryoda, hedef yalnızca değerine eşit Guestolan özniteliğine sahip userType Kullanıcılar'ı getirmektir; eşit olan userType'a membersahip kullanıcıları getirmektir.

Kullanıcı için filtrelerin seçili olduğu Bağlayıcı Filtresini Yapılandır sayfasını ve bir O K düğmesini gösteren ekran görüntüsü.

Katılma ve Yansıtma Kurallarını Yapılandır

Bu kılavuzda bir eşitleme kuralı oluşturacağınız varsayılır. Birleştirme ve Projeksiyon kurallarının yapılandırılması eşitleme kuralı tarafından işlendiğinden, bağlayıcının kendisinde bir birleştirme ve projeksiyon tanımlaması gerekmez. Varsayılan olarak bırakın ve Tamam'a tıklayın.

O K düğmesiyle Birleştirme ve Projeksiyon Kurallarını Yapılandır sayfasını gösteren ekran görüntüsü.

Öznitelik Akışı Yapılandır

Bu kılavuzda bir eşitleme kuralı oluşturacağınız varsayılır. Daha sonra oluşturulan eşitleme kuralı tarafından işlendiğinden MIM Eşitleme'de öznitelik akışını tanımlamak için projeksiyon gerekmez. Varsayılan olarak bırakın ve Tamam'a tıklayın.

O K düğmesiyle Öznitelik Akışını Yapılandır sayfasını gösteren ekran görüntüsü.

Sağlamayı Kaldır'ı yapılandırma

Sağlamayı kaldırmayı yapılandırma ayarı, meta veri deposu nesnesi silinirse nesneyi silmek için MIM eşitlemesini yapılandırmanıza olanak tanır. Bu senaryoda, hedef onları Microsoft Entra kimliğinde bırakmak olduğundan bağlantı kesenler yaparız. Bu senaryoda hiçbir şeyi Microsoft Entra kimliğine dışarı aktarmıyoruz ve bağlayıcı yalnızca İçeri Aktar için yapılandırıldı.

O K düğmesiyle Sağlamayı Kaldırmayı Yapılandır sayfasını gösteren ekran görüntüsü.

Uzantıları Yapılandır

Bu yönetim aracısının Uzantılarını Yapılandırma bir seçenektir ancak eşitleme kuralı kullandığımız için gerekli değildir. Daha önce öznitelik akışında gelişmiş bir kural kullanmaya karar verirsek kural uzantısını tanımlama seçeneği olacaktır.

O K düğmesiyle Uzantıları Yapılandır sayfasını gösteren ekran görüntüsü.

Meta veri deposu şemasını genişletme

Eşitleme kuralını oluşturmadan önce, MV Tasarım Aracı kullanarak person nesnesine bağlı userPrincipalName adlı bir öznitelik oluşturmamız gerekir.

Eşitleme istemcisinde Meta veri deposu Tasarım Aracı'ni seçin

Eşitleme Service Manager şerit menüsünde meta veri deposu Tasarım Aracı seçeneğini gösteren ekran görüntüsü.

Ardından Kişi Nesne Türünü Seçin

Meta veri deposu Tasarım Aracı nesne türlerini ve kişi nesne türünü seçili olarak gösteren ekran görüntüsü.

Ardından eylemler altında Öznitelik Ekle'ye tıklayın

Eylemler menüsünde Öznitelik Ekle öğesini gösteren ekran görüntüsü.

Ardından aşağıdaki ayrıntıları tamamlayın

Öznitelik adı: userPrincipalName

Öznitelik Türü: Dize (Dizinlenebilir)

Dizine alınan = Doğru

Öznitelik adı, Öznitelik türü ve Dizine Eklenmiş değerlerini girmek için iletişim kutularını gösteren ekran görüntüsü.

MIM Hizmeti Eşitleme Kuralları Oluşturma

Aşağıdaki adımlarda B2B konuk hesabı ve öznitelik akışını eşlemeye başlıyoruz. Burada bazı varsayımlar yapılmıştır: Active Directory MA'yı zaten yapılandırdığınız ve FIM MA'nın kullanıcıları MIM Hizmeti ve Portalı'na getirmek üzere yapılandırıldığı.

Eşitleme Kuralları ekranını gösteren ekran görüntüsü.

Sonraki adımlar, FIM MA ve AD MA'ya minimum yapılandırma eklenmesini gerektirir.

Yapılandırma https://technet.microsoft.com/library/ff686263(v=ws.10).aspx için daha fazla ayrıntıya buradan ulaşabilirsiniz - Kullanıcıları AD DS'ye Nasıl Sağlayabilirim?

Eşitleme Kuralı: Konuk Kullanıcıyı Microsoft Entra Kimliğinden MV'den Eşitleme Hizmeti Meta Veri Kümesine aktarma

MIM Portalı'na gidin, Eşitleme Kuralları'nı seçin ve yeni'ye tıklayın. Grafik bağlayıcısı aracılığıyla B2B akışı için bir gelen eşitleme kuralı oluşturun. Eşitleme Kuralı Oluştur ekranında eşitleme kuralı adının girilmiş olduğu Genel sekmesini gösteren ekran görüntüsü.

Meta Veri Deposu Kaynak Türü, Dış Sistem, Dış Sistem Kaynak Türü ve Filtreler içeren Kapsam sekmesini gösteren ekran görüntüsü.

İlişki ölçütleri adımında "FIM'de kaynak oluştur" seçeneğini belirlediğinizden emin olun. İlişki sekmesini ve İlişki Ölçütlerini gösteren ekran görüntüsü.

Eşitleme Kuralı IN ekranında Gelen Öznitelik Akışı sekmesini gösteren ekran görüntüsü.

Aşağıdaki gelen öznitelik akışı kurallarını yapılandırın. ve özniteliklerini, bu senaryonun accountNameuserPrincipalNameuid ilerleyen bölümlerinde kullanılacağından dolduracağınızdan emin olun:

Yalnızca İlk Akış Varlık Testi Olarak Kullan Flow (Kaynak Değer ⇒ FIM Özniteliği)
[displayName⇒displayName](javascript:void(0);)
[Left(id,20)⇒accountName](javascript:void(0);)
[id⇒uid](javascript:void(0);)
[userType⇒employeeType](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[surname⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
[id⇒cn](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[mobilePhone⇒mobilePhone](javascript:void(0);)

Eşitleme Kuralı: Active Directory'ye Konuk Kullanıcı hesabı oluşturma

Bu eşitleme kuralı kullanıcıyı Active Directory'de oluşturur. akışının dn kullanıcıyı Microsoft Entra Connect'in dışında tutulan kuruluş birimine yerleştirmesi gerektiğinden emin olun. Ayrıca, ad parola ilkenizi karşılamak için unicodePwd akışını güncelleştirin. Kullanıcının parolayı bilmesi gerekmez. için userAccountControl değerinin 262656 ve NORMAL_ACCOUNTbayraklarını SMARTCARD_REQUIRED kodlar.

Eşitleme Kuralı OUT ekranının Genel sekmesini gösteren ekran görüntüsü.

MetaVerse Kaynak Türü, Dış Sistem, Dış Sistem Kaynak Türü ve Giden Sistem Kapsam Filtresi ile Kapsam sekmesini gösteren ekran görüntüsü.

Giden Öznitelik Akışı sekmesini gösteren ekran görüntüsü.

Akış Kuralları:

Yalnızca İlk Akış Varlık Testi Olarak Kullan Flow (FIM Değeri ⇒ Hedef Özniteliği)
[accountName⇒sAMAccountName](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[sn⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
Y ["CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn](javascript:void(0);)
Y [RandomNum(0,999)+userPrincipalName⇒unicodePwd](javascript:void(0);)
Y [262656⇒userAccountControl](javascript:void(0);)

İsteğe Bağlı Eşitleme Kuralı: MIM'de oturum açma izni vermek için B2B Konuk Kullanıcı Nesneleri SID'sini içeri aktar

Bu gelen eşitleme kuralı, kullanıcının Active Directory'deki SID özniteliğini MIM'e geri getirir, böylece kullanıcı MIM Portalı'na erişebilir. MIM Portalı, kullanıcının özniteliklerine samAccountNamedomain sahip olmasını ve objectSid MIM Hizmeti veritabanında doldurulduğunu gerektirir.

MIM kullanıcıyı oluşturduğunda özniteliği AD tarafından otomatik olarak ayarlanacağı için kaynak dış sistemi olarak ADMAobjectSid yapılandırın.

Kullanıcıları MIM Hizmeti'nde oluşturulacak şekilde yapılandırdığınızda, bunların çalışan SSPR yönetim ilkesi kuralları için amaçlanan kümeler kapsamında olmadığından emin olun. B2B akışı tarafından oluşturulan kullanıcıları dışlamak için küme tanımlarınızı değiştirmeniz gerekebilir.

Eşitleme Kuralı IN ekranının Genel sekmesini gösteren ekran görüntüsü.

Eşitleme Kuralı IN ekranının İlişki sekmesini gösteren ekran görüntüsü.

Eşitleme Kuralı IN ekranının Kapsam sekmesini gösteren ekran görüntüsü.

Gelen Öznitelik Akışı sekmesini gösteren ekran görüntüsü.

Yalnızca İlk Akış Varlık Testi Olarak Kullan Flow (Kaynak Değer ⇒ FIM Özniteliği)
[sAMAccountName⇒accountName](javascript:void(0);)
["CONTOSO"⇒domain](javascript:void(0);)
[objectSid⇒objectSid](javascript:void(0);)

Eşitleme kurallarını çalıştırma

Ardından kullanıcıyı davet edeceğiz ve ardından yönetim aracısı eşitleme kurallarını aşağıdaki sırayla çalıştıracağız:

  • Yönetim Aracısı'nda MIMMA Tam İçeri Aktarma ve Eşitleme. Bu, MIM Eşitleme'nin en son eşitleme kurallarının yapılandırıldığından emin olmasını sağlar.

  • Yönetim Aracısı'nda ADMA Tam İçeri Aktarma ve Eşitleme. Bu, MIM ve Active Directory'nin tutarlı olmasını sağlar. Bu noktada, konuklar için bekleyen dışarı aktarma işlemleri henüz yapılmayacaktır.

  • B2B Graph Management Agent'ta Tam İçeri Aktarma ve Eşitleme. Bu, konuk kullanıcıları meta veri deposuna getirir. Bu noktada, bir veya daha fazla hesap için ADMAdışarı aktarmayı bekliyor olacaktır. Bekleyen dışarı aktarmalar yoksa, konuk kullanıcıların bağlayıcı alanına içeri aktarılıp aktarılmadığını ve kuralların ad hesapları verilecek şekilde yapılandırılıp yapılandırılmadığını denetleyin.

  • Yönetim Aracısı'nda ADMA Dışarı Aktarma, Delta İçeri Aktarma ve Eşitleme. Dışarı aktarmalar başarısız olduysa kural yapılandırmasını denetleyin ve eksik şema gereksinimleri olup olmadığını belirleyin.

  • Yönetim Aracısı'nda MIMMA Dışarı Aktarma, Delta İçeri Aktarma ve Eşitleme. Bu tamamlandığında, artık bekleyen dışarı aktarmalar olmamalıdır.

Ad, Tür, Açıklama ve Duruma göre Yönetim Aracılarını listeleyen tablo.

İsteğe bağlı: MIM Portalında oturum açan B2B konukları için Uygulama Ara Sunucusu

ARTıK MIM'de eşitleme kurallarını oluşturduğumuza göre. Uygulama Ara Sunucusu yapılandırmasında, uygulama proxy'sinde KCD'ye izin vermek için bulut sorumlusunu kullanın öğesini tanımlayın. Ayrıca, daha sonra kullanıcıyı kullanıcıları ve grupları yönetme bölümüne el ile eklediniz. MiM'de oluşturulduktan sonra konuğu bir office grubuna eklemek için oluşturma işlemi gerçekleşene kadar kullanıcıyı göstermeme seçenekleri, bu belgede ele alınmayan biraz daha fazla yapılandırma gerektirir.

MIM B 2 B kullanıcıları ve grupları yönet ekranını gösteren ekran görüntüsü.

MIM B 2 B çoklu oturum açmayı yönetme ekranını gösteren ekran görüntüsü.

MIM B 2 B uygulama ara sunucusunu yönetme ekranını gösteren ekran görüntüsü.

Tümü yapılandırıldıktan sonra B2B kullanıcısının oturum açmasını sağlayın ve uygulamayı görün.

Tanıtım oturum açma bilgilerini ve uygulamaları gösteren ekran görüntüsü.

Microsoft Identity Manager giriş sayfasını gösteren ekran görüntüsü.

Sonraki Adımlar

AD DS için Kullanıcı Sağlama

FIM 2010 İçin İşlev Başvurusu

Şirket içi uygulamalara güvenli uzaktan erişim sağlama

Microsoft Graph için Microsoft Identity Manager bağlayıcısını indirme