Azure Uygulaması Proxy ile Microsoft Identity Manager(MIM) 2016 SP1 ile işletmeler arası (B2B) işbirliğini Microsoft Entra
İlk senaryo, dış kullanıcı AD hesabı yaşam döngüsü yönetimidir. Bu senaryoda, bir kuruluş konukları Microsoft Entra dizinine davet etti ve bu konuklara Microsoft Entra uygulama ara sunucusu veya diğer ağ geçidi mekanizmaları aracılığıyla şirket içi Windows-Integrated Kimlik Doğrulaması veya Kerberos tabanlı uygulamalara erişim vermek istiyor. Microsoft Entra uygulama ara sunucusu, belirleme ve temsilci seçme amacıyla her kullanıcının kendi AD DS hesabına sahip olmasını gerektirir.
Scenario-Specific Kılavuzu
MIM ve Microsoft Entra kimliği Uygulama Ara Sunucusu ile B2B yapılandırmasında yapılan birkaç varsayım:
Zaten bir şirket içi AD dağıttınız ve Microsoft Identity Manager yüklü ve MIM Hizmeti, MIM Portalı, Active Directory Yönetim Aracısı (AD MA) ve FIM Yönetim Aracısı(FIM MA) temel yapılandırması. Daha fazla bilgi için bkz. Microsoft Identity Manager 2016 SP2'yi dağıtma.
Graph bağlayıcısını indirme ve yükleme hakkındaki makaledeki yönergeleri zaten izlemişsinizdir.
Kullanıcıları ve grupları Microsoft Entra kimlikle eşitlemek için yapılandırılmış Microsoft Entra Connect'iniz var.
Uygulama Ara Sunucusu bağlayıcıları ve bağlayıcı gruplarını zaten ayarladınız. Aksi takdirde bkz. Öğretici: Yüklemek ve yapılandırmak için Microsoft Entra kimliğindeki Uygulama Ara Sunucusu aracılığıyla uzaktan erişim için şirket içi uygulama ekleme.
Windows Tümleşik Kimlik Doğrulaması'nı veya Microsoft Entra uygulama ara sunucusu aracılığıyla tek tek AD hesaplarını kullanan bir veya daha fazla uygulamayı zaten yayımladınız.
Bir veya daha fazla konuğu davet ettiğiniz veya davet ettiğiniz için bir veya daha fazla kullanıcının Microsoft Entra kimliğiyle oluşturulmasına neden olursunuz. Daha fazla bilgi için bkz. B2B işbirliğine kaydolma Microsoft Entra için self servis.
B2B Uçtan Uca Dağıtım Örneği senaryosu
Bu kılavuz aşağıdaki senaryoyu oluşturur:
Contoso Pharmaceuticals, R&D Departmanı kapsamında Trey Research Inc. ile birlikte çalışmaktadır. Trey Research çalışanlarının Contoso Pharmaceuticals tarafından sağlanan araştırma raporlama uygulamasına erişmesi gerekir.
Contoso Pharmaceuticals kendi kiracısındadır ve özel bir etki alanı yapılandırmış olabilir.
Birisi contoso pharmaceuticals kiracısına bir dış kullanıcı davet etti. Bu kullanıcı daveti kabul etti ve paylaşılan kaynaklara erişebilir.
Contoso Pharmaceuticals, Uygulama Ara Sunucusu aracılığıyla bir uygulama yayımladı. Bu senaryoda örnek uygulama MIM Portalı'dır. Bu, konuk kullanıcının MIM işlemlerine katılmasını sağlar; örneğin yardım masası senaryolarında veya MIM'deki gruplara erişim isteğinde bulunabilir.
AD ve Microsoft Entra Connect'i Microsoft Entra kimliğinden eklenen kullanıcıları dışlayacak şekilde yapılandırma
Varsayılan olarak, connect Microsoft Entra Active Directory'deki yönetici olmayan kullanıcıların Microsoft Entra kimlikle eşitlenmesi gerektiğini varsayar. Microsoft Entra Connect, şirket içi AD'deki kullanıcıyla eşleşen Microsoft Entra kimliğindeki mevcut bir kullanıcıyı bulursa, Microsoft Entra Connect iki hesapla eşleşir ve bunun kullanıcının daha önceki bir eşitlemesi olduğunu varsayar ve şirket içi AD'yi yetkili hale getirir. Ancak, bu varsayılan davranış, kullanıcı hesabının Microsoft Entra kimliğiyle kaynaklandığı B2B akışı için uygun değildir.
Bu nedenle, Microsoft Entra kimliğinden MIM tarafından AD DS'ye getirilen kullanıcıların, Microsoft Entra kimliğin bu kullanıcıları Microsoft Entra kimlikle eşitlemeye çalışmayacak şekilde depolanması gerekir. Bunu gerçekleştirmenin bir yolu, AD DS'de yeni bir kuruluş birimi oluşturmak ve Microsoft Entra Connect'i bu kuruluş birimini dışlayacak şekilde yapılandırmaktır.
Daha fazla bilgi için bkz. Connect Sync: Filtrelemeyi yapılandırma Microsoft Entra.
Microsoft Entra uygulamasını oluşturma
Not: MIM'de oluşturmadan önce Graph bağlayıcısı için yönetim aracısını eşitleyin Graph Bağlayıcısı'nı dağıtma kılavuzunu gözden geçirdiğinizden ve istemci kimliğiyle gizli diziyle bir uygulama oluşturduğunuzdan emin olun.
Uygulamanın şu izinlerden en az biri için yetkilendirildiğinden emin olun: User.Read.All
, User.ReadWrite.All
veya Directory.Read.All
Directory.ReadWrite.All
.
Yeni Yönetim Aracısı Oluşturma
Eşitleme Service Manager kullanıcı arabiriminde Bağlayıcılar ve Oluştur'u seçin. Graph (Microsoft) öğesini seçin ve açıklayıcı bir ad verin.
Bağlantı
Bağlantı sayfasında Graph API Sürümünü belirtmeniz gerekir. Üretime hazır PAI V 1.0, Üretim Dışı Sürüm Beta'dır.
Global Parametreler
Sağlama Hiyerarşisini Yapılandırma
Bu sayfa, DN bileşenini (örneğin OU) sağlanması gereken nesne türüyle (örneğin kuruluş Birimi) eşlemek için kullanılır. Bu senaryo için bu gerekli değildir, bu nedenle bunu varsayılan olarak bırakın ve İleri'ye tıklayın.
Bölümleri ve Hiyerarşileri Yapılandır
Bölümler ve hiyerarşiler sayfasında içeri ve dışarı aktarmayı planladığınız nesneleri içeren tüm ad alanlarını seçin.
Nesne Türlerini Seç
Nesne türleri sayfasında, içeri aktarmayı planladığınız nesne türlerini seçin. En azından 'Kullanıcı' seçeneğini belirlemeniz gerekir.
Öznitelik Seç
Öznitelikleri Seçin ekranında, AD'deki B2B kullanıcılarını yönetmek için gerekli olacak öznitelikleri Microsoft Entra seçin. "Id" özniteliği gereklidir. ve userType
öznitelikleri userPrincipalName
bu yapılandırmanın ilerleyen bölümlerinde kullanılacaktır. Diğer öznitelikler isteğe bağlıdır, örneğin
displayName
mail
givenName
surname
userPrincipalName
userType
Yer İşaretlerini Yapılandır
BağlayıcıYı Yapılandır ekranında, bağlayıcı özniteliğini yapılandırmak gerekli bir adımdır. Varsayılan olarak, kullanıcı eşlemesi için ID özniteliğini kullanın.
Bağlayıcı Filtresi Yapılandır
Bağlayıcı Filtresini yapılandır sayfasında MIM, nesneleri öznitelik filtresine göre filtrelemenize olanak tanır. B2B için bu senaryoda, hedef yalnızca değerine eşit Guest
olan özniteliğine sahip userType
Kullanıcılar'ı getirmektir; eşit olan userType'a member
sahip kullanıcıları getirmektir.
Katılma ve Yansıtma Kurallarını Yapılandır
Bu kılavuzda bir eşitleme kuralı oluşturacağınız varsayılır. Birleştirme ve Projeksiyon kurallarının yapılandırılması eşitleme kuralı tarafından işlendiğinden, bağlayıcının kendisinde bir birleştirme ve projeksiyon tanımlaması gerekmez. Varsayılan olarak bırakın ve Tamam'a tıklayın.
Öznitelik Akışı Yapılandır
Bu kılavuzda bir eşitleme kuralı oluşturacağınız varsayılır. Daha sonra oluşturulan eşitleme kuralı tarafından işlendiğinden MIM Eşitleme'de öznitelik akışını tanımlamak için projeksiyon gerekmez. Varsayılan olarak bırakın ve Tamam'a tıklayın.
Sağlamayı Kaldır'ı yapılandırma
Sağlamayı kaldırmayı yapılandırma ayarı, meta veri deposu nesnesi silinirse nesneyi silmek için MIM eşitlemesini yapılandırmanıza olanak tanır. Bu senaryoda, hedef onları Microsoft Entra kimliğinde bırakmak olduğundan bağlantı kesenler yaparız. Bu senaryoda hiçbir şeyi Microsoft Entra kimliğine dışarı aktarmıyoruz ve bağlayıcı yalnızca İçeri Aktar için yapılandırıldı.
Uzantıları Yapılandır
Bu yönetim aracısının Uzantılarını Yapılandırma bir seçenektir ancak eşitleme kuralı kullandığımız için gerekli değildir. Daha önce öznitelik akışında gelişmiş bir kural kullanmaya karar verirsek kural uzantısını tanımlama seçeneği olacaktır.
Meta veri deposu şemasını genişletme
Eşitleme kuralını oluşturmadan önce, MV Tasarım Aracı kullanarak person nesnesine bağlı userPrincipalName adlı bir öznitelik oluşturmamız gerekir.
Eşitleme istemcisinde Meta veri deposu Tasarım Aracı'ni seçin
Ardından Kişi Nesne Türünü Seçin
Ardından eylemler altında Öznitelik Ekle'ye tıklayın
Ardından aşağıdaki ayrıntıları tamamlayın
Öznitelik adı: userPrincipalName
Öznitelik Türü: Dize (Dizinlenebilir)
Dizine alınan = Doğru
MIM Hizmeti Eşitleme Kuralları Oluşturma
Aşağıdaki adımlarda B2B konuk hesabı ve öznitelik akışını eşlemeye başlıyoruz. Burada bazı varsayımlar yapılmıştır: Active Directory MA'yı zaten yapılandırdığınız ve FIM MA'nın kullanıcıları MIM Hizmeti ve Portalı'na getirmek üzere yapılandırıldığı.
Sonraki adımlar, FIM MA ve AD MA'ya minimum yapılandırma eklenmesini gerektirir.
Yapılandırma https://technet.microsoft.com/library/ff686263(v=ws.10).aspx için daha fazla ayrıntıya buradan ulaşabilirsiniz - Kullanıcıları AD DS'ye Nasıl Sağlayabilirim?
Eşitleme Kuralı: Konuk Kullanıcıyı Microsoft Entra Kimliğinden MV'den Eşitleme Hizmeti Meta Veri Kümesine aktarma
MIM Portalı'na gidin, Eşitleme Kuralları'nı seçin ve yeni'ye tıklayın. Grafik bağlayıcısı aracılığıyla B2B akışı için bir gelen eşitleme kuralı oluşturun.
İlişki ölçütleri adımında "FIM'de kaynak oluştur" seçeneğini belirlediğinizden emin olun.
Aşağıdaki gelen öznitelik akışı kurallarını yapılandırın. ve özniteliklerini, bu senaryonun accountName
userPrincipalName
uid
ilerleyen bölümlerinde kullanılacağından dolduracağınızdan emin olun:
Yalnızca İlk Akış | Varlık Testi Olarak Kullan | Flow (Kaynak Değer ⇒ FIM Özniteliği) |
---|---|---|
[displayName⇒displayName](javascript:void(0);) |
||
[Left(id,20)⇒accountName](javascript:void(0);) |
||
[id⇒uid](javascript:void(0);) |
||
[userType⇒employeeType](javascript:void(0);) |
||
[givenName⇒givenName](javascript:void(0);) |
||
[surname⇒sn](javascript:void(0);) |
||
[userPrincipalName⇒userPrincipalName](javascript:void(0);) |
||
[id⇒cn](javascript:void(0);) |
||
[mail⇒mail](javascript:void(0);) |
||
[mobilePhone⇒mobilePhone](javascript:void(0);) |
Eşitleme Kuralı: Active Directory'ye Konuk Kullanıcı hesabı oluşturma
Bu eşitleme kuralı kullanıcıyı Active Directory'de oluşturur. akışının dn
kullanıcıyı Microsoft Entra Connect'in dışında tutulan kuruluş birimine yerleştirmesi gerektiğinden emin olun. Ayrıca, ad parola ilkenizi karşılamak için unicodePwd
akışını güncelleştirin. Kullanıcının parolayı bilmesi gerekmez. için userAccountControl
değerinin 262656
ve NORMAL_ACCOUNT
bayraklarını SMARTCARD_REQUIRED
kodlar.
Akış Kuralları:
Yalnızca İlk Akış | Varlık Testi Olarak Kullan | Flow (FIM Değeri ⇒ Hedef Özniteliği) |
---|---|---|
[accountName⇒sAMAccountName](javascript:void(0);) |
||
[givenName⇒givenName](javascript:void(0);) |
||
[mail⇒mail](javascript:void(0);) |
||
[sn⇒sn](javascript:void(0);) |
||
[userPrincipalName⇒userPrincipalName](javascript:void(0);) |
||
Y | ["CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn](javascript:void(0);) |
|
Y | [RandomNum(0,999)+userPrincipalName⇒unicodePwd](javascript:void(0);) |
|
Y | [262656⇒userAccountControl](javascript:void(0);) |
İsteğe Bağlı Eşitleme Kuralı: MIM'de oturum açma izni vermek için B2B Konuk Kullanıcı Nesneleri SID'sini içeri aktar
Bu gelen eşitleme kuralı, kullanıcının Active Directory'deki SID özniteliğini MIM'e geri getirir, böylece kullanıcı MIM Portalı'na erişebilir. MIM Portalı, kullanıcının özniteliklerine samAccountName
domain
sahip olmasını ve objectSid
MIM Hizmeti veritabanında doldurulduğunu gerektirir.
MIM kullanıcıyı oluşturduğunda özniteliği AD tarafından otomatik olarak ayarlanacağı için kaynak dış sistemi olarak ADMA
objectSid
yapılandırın.
Kullanıcıları MIM Hizmeti'nde oluşturulacak şekilde yapılandırdığınızda, bunların çalışan SSPR yönetim ilkesi kuralları için amaçlanan kümeler kapsamında olmadığından emin olun. B2B akışı tarafından oluşturulan kullanıcıları dışlamak için küme tanımlarınızı değiştirmeniz gerekebilir.
Yalnızca İlk Akış | Varlık Testi Olarak Kullan | Flow (Kaynak Değer ⇒ FIM Özniteliği) |
---|---|---|
[sAMAccountName⇒accountName](javascript:void(0);) |
||
["CONTOSO"⇒domain](javascript:void(0);) |
||
[objectSid⇒objectSid](javascript:void(0);) |
Eşitleme kurallarını çalıştırma
Ardından kullanıcıyı davet edeceğiz ve ardından yönetim aracısı eşitleme kurallarını aşağıdaki sırayla çalıştıracağız:
Yönetim Aracısı'nda
MIMMA
Tam İçeri Aktarma ve Eşitleme. Bu, MIM Eşitleme'nin en son eşitleme kurallarının yapılandırıldığından emin olmasını sağlar.Yönetim Aracısı'nda
ADMA
Tam İçeri Aktarma ve Eşitleme. Bu, MIM ve Active Directory'nin tutarlı olmasını sağlar. Bu noktada, konuklar için bekleyen dışarı aktarma işlemleri henüz yapılmayacaktır.B2B Graph Management Agent'ta Tam İçeri Aktarma ve Eşitleme. Bu, konuk kullanıcıları meta veri deposuna getirir. Bu noktada, bir veya daha fazla hesap için
ADMA
dışarı aktarmayı bekliyor olacaktır. Bekleyen dışarı aktarmalar yoksa, konuk kullanıcıların bağlayıcı alanına içeri aktarılıp aktarılmadığını ve kuralların ad hesapları verilecek şekilde yapılandırılıp yapılandırılmadığını denetleyin.Yönetim Aracısı'nda
ADMA
Dışarı Aktarma, Delta İçeri Aktarma ve Eşitleme. Dışarı aktarmalar başarısız olduysa kural yapılandırmasını denetleyin ve eksik şema gereksinimleri olup olmadığını belirleyin.Yönetim Aracısı'nda
MIMMA
Dışarı Aktarma, Delta İçeri Aktarma ve Eşitleme. Bu tamamlandığında, artık bekleyen dışarı aktarmalar olmamalıdır.
İsteğe bağlı: MIM Portalında oturum açan B2B konukları için Uygulama Ara Sunucusu
ARTıK MIM'de eşitleme kurallarını oluşturduğumuza göre. Uygulama Ara Sunucusu yapılandırmasında, uygulama proxy'sinde KCD'ye izin vermek için bulut sorumlusunu kullanın öğesini tanımlayın. Ayrıca, daha sonra kullanıcıyı kullanıcıları ve grupları yönetme bölümüne el ile eklediniz. MiM'de oluşturulduktan sonra konuğu bir office grubuna eklemek için oluşturma işlemi gerçekleşene kadar kullanıcıyı göstermeme seçenekleri, bu belgede ele alınmayan biraz daha fazla yapılandırma gerektirir.
Tümü yapılandırıldıktan sonra B2B kullanıcısının oturum açmasını sağlayın ve uygulamayı görün.
Sonraki Adımlar
Şirket içi uygulamalara güvenli uzaktan erişim sağlama
Microsoft Graph için Microsoft Identity Manager bağlayıcısını indirme