使用 Web 服務連接器布建

下列檔提供一般 Web 服務連接器的相關信息。 Microsoft Entra ID 控管 支援將帳戶布建至各種應用程式，例如SAP ECC、Oracle eBusiness Suite 和公開 REST 或 SOAP API 的企業營運應用程式。 先前部署 MIM 以連線到這些應用程式的客戶，可以輕鬆地切換至使用羽量型 Microsoft Entra 布建代理程式，同時重複使用針對 MIM 建置的相同 Web 服務連接器。

支援的功能

• 在應用程式中建立使用者。
• 當您不再需要存取權時，請移除應用程式中的使用者。
• 讓使用者屬性在 Microsoft Entra ID 與您的應用程式之間保持同步。
• 探索應用程式的架構。

Web 服務連接器會實作下列函式：

• SOAP 探索：可讓系統管理員輸入目標Web服務公開的WSDL路徑。 探索會產生應用程式裝載 Web 服務的樹狀結構，以及其內部端點或作業，以及作業的元數據描述。 可以完成的探索作業數目沒有限制（逐步執行）。 稍後會使用探索到的作業來設定針對數據源實作連接器作業的作業流程（如 匯入/匯出）。

• REST 探索：可讓系統管理員輸入 REST 服務詳細數據，包括服務端點、資源路徑、方法和參數詳細數據。 REST 服務資訊會儲存在 discovery.xml 專案的檔案中 wsconfig 。 系統管理員稍後會使用它們，在工作流程中設定 Rest Web 服務活動。

• 架構組態：可讓系統管理員設定架構。 架構組態會包含特定應用程式的物件類型和屬性清單。 系統管理員可以選擇將成為架構一部分的屬性。

• 作業流程組態：工作流程設計工具 UI，可透過公開的 Web 服務作業函式來設定每個物件類型的匯入和匯出作業實作，包括從布建給 Web 服務函式的使用者指派參數。

布建的必要條件

內部部署必要條件

執行佈建代理程式的電腦應該具有：

• 連線 應用程式的 REST 或 SOAP 端點，以及與 login.microsoftonline.com、其他 Microsoft Online Services 和 Azure 網域的輸出連線能力。 例如裝載於 Azure IaaS 或 Proxy 後方的 Windows Server 2016 虛擬機。
• 至少 3 GB 的 RAM，用來裝載布建代理程式。
• .NET Framework 4.7.2
• Windows Server 2016 或更新版本。

設定布建之前，請確定您：

• 在您的應用程式中公開必要的 SOAP 或 REST API，以建立、更新和刪除使用者。

雲端需求

• 具有 Microsoft Entra ID P1 或 進階版 P2 的 Microsoft Entra 租使用者（或 EMS E3 或 E5）。

  使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權，請參閱比較 Microsoft Entra ID 正式推出的功能。

• 混合式身分識別 管理員 istrator 角色，用於設定布建代理程式和 Application 管理員 istrator 或 Cloud Application 管理員 istrator 角色，以在 Azure 入口網站 中設定布建。

• 要布建至應用程式的 Microsoft Entra 用戶必須已填入應用程式所需的任何屬性。

安裝和設定 Microsoft Entra 連線 布建代理程式

1. 登入 Azure 入口網站。
2. 移至 [企業應用程式 ]，然後選取 [ 新增應用程式]。
3. 搜尋 內部部署 ECMA 應用程式 應用程式、提供應用程式名稱，然後選取 [建立 ] 將它新增至您的租使用者。
4. 從功能表中，瀏覽至應用程式的 [ 布建 ] 頁面。
5. 選取開始使用。
6. 在 [ 布建] 頁面上，將模式變更為 [自動]。

7. 在 [內部部署 連線 ivity] 底下，選取 [下載並安裝]，然後選取 [接受條款及下載]。

8. 離開入口網站並執行布建代理程式安裝程式、同意服務條款，然後選取 [ 安裝]。

9. 等候 Microsoft Entra 布建代理程式設定精靈，然後選取 [ 下一步]。

10. 在 [ 選取擴充功能 ] 步驟中，選取 [內部部署應用程式布建 ]，然後選取 [ 下一步]。

11. 布建代理程式會使用操作系統的網頁瀏覽器來顯示彈出視窗，讓您向 Microsoft Entra ID 進行驗證，並可能也會顯示組織的識別提供者。 如果您使用 Internet Explorer 做為 Windows Server 上的瀏覽器，您可能需要將 Microsoft 網站新增至瀏覽器的信任網站清單，以允許 JavaScript 正確執行。

12. 當系統提示您授權時，請提供 Microsoft Entra 系統管理員的認證。 用戶必須具備混合式身分識別 管理員 istrator 或 Global 管理員 istrator 角色。

13. 選取 [ 確認 ] 以確認設定。 安裝成功之後，您可以選取 [ 結束]，並關閉 [布建代理程式套件安裝程式]。

設定內部部署ECMA應用程式

1. 在入口網站的 [內部部署 連線 ivity] 區段上，選取您部署的代理程式，然後選取 [指派代理程式]。

   

2. 當您使用設定精靈完成下一個步驟的設定時，請保持此瀏覽器窗口開啟。

設定 Microsoft Entra ECMA 連線 or 主機憑證

1. 在安裝布建代理程式的 Windows Server 上，以滑鼠右鍵按兩下 [開始] 選單中的 [Microsoft ECMA2Host 設定精靈 ]，然後以系統管理員身分執行。 精靈必須以 Windows 系統管理員身分執行，才能建立必要的 Windows 事件記錄檔。

2. ECMA 連線 or 主機組態啟動之後，如果這是您第一次執行精靈，則會要求您建立憑證。 保留預設埠 8585 ，然後選取 [產生憑證 ] 以產生憑證。 自動產生的憑證將會自我簽署為受信任根目錄的一部分。 憑證 SAN 符合主機名。

   

3. 選取 [儲存]。

建立 Web 服務連接器範本

建立 Web 服務連接器組態之前，您必須建立 Web 服務連接器範本，並自定義範本以符合特定環境的需求。 請確定 ServiceName、EndpointName 和 OperationName 正確無誤。

您可以在連接器下載套件中找到如何與熱門應用程式整合的範例範本和指引，例如 SAP ECC 7.0 和 Oracle eBusiness Suite。 您可以使用SOAP工作流程指南，瞭解如何在Web服務組態工具中為您的數據源建立新專案。

如需如何設定範本以連線至您自己應用程式的 REST 或 SOAP API 的詳細資訊，請參閱 MIM 文件庫中的一般 Web 服務連接器 概觀。

設定一般 Web 服務連接器

在本節中，您將建立應用程式的連接器組態。

將布建代理程式 連線 至您的應用程式

若要將 Microsoft Entra 布建代理程式與您的應用程式連線，請遵循下列步驟：

1. 將 Web 服務連接器範本 .wsconfig 檔案複製到 C:\Program Files\Microsoft ECMA2Host\Service\ECMA 資料夾。

2. 產生將用來向連接器驗證 Microsoft Entra 識別碼的秘密令牌。 每個應用程式至少應為 12 個字元且是唯一的。

3. 如果您尚未這麼做，請從 Windows [開始] 功能表 啟動 Microsoft ECMA2Host 設定精靈。

4. 選取新增連接器。

   

5. 在 [ 屬性] 頁面上，填入方塊中指定於影像後面的數據表中指定的值，然後選取 [ 下一步]。

   

   屬性	值
   名稱	您為連接器選擇的名稱，在環境中的所有連接器中都應該是唯一的。
   自動同步定時器 （分鐘）	120
   秘密令牌	輸入您為此連接器產生的秘密令牌。 機碼至少應為 12 個字元。
   擴充功能 DLL	針對 Web 服務連接器，選取 [Microsoft.IdentityManagement.MA.WebServices.dll]。

6. 在 [連線 ivity] 頁面上，以影像後面的表格中指定的值填入方塊，然後選取 [下一步]。

   

   屬性	說明
   Web 服務專案	您的 Web 服務範本名稱。
   Host	應用程式的SOAP端點主機名，例如 vhcalnplci.dummy.nodomain
   連接埠	應用程式的 SOAP 連接點埠，例如 8000

7. 在 [ 功能] 頁面上，以下表中指定的值填入方塊，然後選取 [ 下一步]。

   屬性	值
   辨別名稱樣式	泛型
   匯出類型	ObjectReplace
   數據正規化	無
   物件確認	一般
   啟用匯入	已選取
   已啟用差異匯入	未選取
   啟用匯出	已選取
   啟用完整匯出	未選取
   在第一次傳遞中啟用匯出密碼	已選取
   第一次匯出階段中沒有參考值	未選取
   啟用物件重新命名	未選取
   Delete-Add as Replace	未選取

注意

如果您的 Web 服務連接器範本已開啟以在 Web 服務組態工具中編輯，您會收到錯誤。

8. 在 [ 全域 ] 頁面上，填入方塊，然後選取 [ 下一步]。

9. 在 [ 數據分割] 頁面上，選取 [ 下一步]。

10. 在 [ 執行配置檔] 頁面上，保留 [ 導出] 複選框。 選取 [ 完整匯入 ] 複選框，然後選取 [ 下一步]。 當 ECMA 連線 or 主機需要將 Microsoft Entra 識別碼的變更傳送至您的應用程式以插入、更新和刪除記錄時，將會使用匯出執行配置檔。 當 ECMA 連線 or 主機服務啟動時，將會使用 「完整匯入」執行配置檔，以讀取您應用程式的目前內容。

    屬性	值
    Export	將資料匯出至應用程式的執行設定檔 此執行設定檔是必要的。
    完整匯入	執行設定檔，以從您的應用程式匯入所有數據。
    差異匯入	執行配置檔，其只會從您的應用程式匯入自上次完整或差異匯入之後所做的變更。

11. 在 [ 物件類型 ] 頁面上，填入方塊，然後選取 [ 下一步]。 使用影像後面的表格，以取得個別方塊的指引。

    • 錨點 ：此屬性的值對於目標系統中的每個物件而言都應該是唯一的。 Microsoft Entra 布建服務會在初始循環之後使用此屬性來查詢 ECMA 連接器主機。 此值定義於 Web 服務連接器範本中。

    • DN ：在大部分情況下，應該選取 [自動產生] 選項。 如果未選取，請確定 DN 屬性會對應至 Microsoft Entra 標識符中的屬性，此屬性會以下列格式儲存 DN：CN = anchorValue，Object = objectType。 如需錨點和 DN 的詳細資訊，請參閱 關於錨點屬性和辨別名稱。

      屬性	值
      目標物件	User
      錨點	userName
      DN	userName
      自動產生	已選取

12. ECMA 連接器主機會探索應用程式所支援的屬性。 然後，您可以選擇要公開給 Microsoft Entra 識別碼的探索屬性。 然後，您可以在布建 Azure 入口網站 中設定這些屬性。 在 [ 選取屬性] 頁面上，一次新增一個下拉式清單中的所有屬性。 [ 屬性 ] 下拉式清單會顯示在應用程式中探索到的任何屬性，且 未 在上一 個 [選取屬性 ] 頁面上選擇。 新增所有相關屬性之後，請選取 [ 下一步]。

    

13. 在 [取消布建] 頁面上的 [停用流程] 底下，選取 [刪除]。 在上一個頁面上選取的屬性將無法在取消布建頁面上選取。 選取 [完成]。

注意

如果您使用 Set 屬性值，請注意只允許布林值 。

在 [取消布建] 頁面上的 [停用流程] 底下，如果您要使用 expirationTime 等屬性控制使用者帳戶狀態，請選取 [無]。 在 [刪除流程] 底下，如果您不想要從應用程式刪除使用者，請選取 [無]，如果您這樣做，請選取 [刪除]。 選取 [完成]。

確定 ECMA2Host 服務正在執行

1. 在執行 Microsoft Entra ECMA 連線 or Host 的伺服器上，選取 [啟動]。

2. 輸入 run ，然後在方塊中輸入 services.msc 。

3. 在 [ 服務 ] 清單中，確定 Microsoft ECMA2Host 存在且正在執行。 如果沒有，請選取 [ 開始]。

   

4. 如果您最近已啟動服務，且應用程式中有許多用戶物件，請等候數分鐘，讓連接器與您的應用程式建立連線，並執行初始完整匯入。

在 Azure 入口網站 中設定應用程式連線

1. 返回您設定應用程式布建所在的網頁瀏覽器視窗。

   注意

   如果視窗逾時，您必須重新選取代理程式。

   1. 登入 Azure 入口網站。
   2. 移至企業應用程式和內部部署 ECMA 應用程式應用程式。
   3. 選取 [ 布建]。
   4. 選取 [開始使用]，然後將模式變更為 [自動]，在 [內部部署 連線 ivity] 區段上，選取您部署的代理程式，然後選取 [指派代理程式]。 否則，請移至 [ 編輯布建]。

2. 在 [管理員 認證] 區段底下，輸入下列 URL。 將 {connectorName} 部分取代為 ECMA 連接器主機上的連接器名稱。 連接器名稱區分大小寫，且大小寫應與精靈中設定的相同大小寫。 您也可以將 取代 localhost 為您的電腦主機名。

   屬性	值
   租使用者 URL	https://localhost:8585/ecma2host_APP1/scim

3. 輸入您在建立連接器時定義的秘密令牌值。

   注意

   如果您剛將代理程式指派給應用程式，請等候 10 分鐘才能完成註冊。 在註冊完成之前，連線測試將無法運作。 藉由重新啟動伺服器上的布建代理程式，強制代理程序註冊完成，可以加速註冊程式。 移至您的伺服器，在 Windows 搜尋列中搜尋服務、識別 Microsoft Entra 連線 布建代理程式服務、以滑鼠右鍵按兩下服務，然後重新啟動。

4. 選取 [測試 連線，然後等候一分鐘。

5. 線上測試成功並指出提供的認證已獲授權啟用布建之後，請選取 [ 儲存]。

   

設定屬性對應

現在，您會在 Microsoft Entra ID 中代表使用者與應用程式中使用者表示法之間對應屬性。

您將使用 Azure 入口網站 來設定 Microsoft Entra 使用者屬性與先前在 ECMA 主機設定精靈中選取的屬性之間的對應。

1. 請確定 Microsoft Entra 架構包含應用程式所需的屬性。 如果它需要使用者具有屬性，而且該屬性尚未成為使用者的 Microsoft Entra 架構的一部分，則您必須使用 目錄延伸模組功能 ，將該屬性新增為延伸模組。

2. 在 Microsoft Entra 系統管理中心的 [企業應用程式] 下，選取 [內部部署 ECMA 應用程式] 應用程式，然後選取 [布建] 頁面。

3. 選取 [ 編輯布建]，然後等候 10 秒。

4. 展開 [對應] ，然後選取 [ 布建 Microsoft Entra 使用者]。 如果這是您第一次設定此應用程式的屬性對應，則佔位元元只會有一個對應存在。

   

5. 若要確認應用程式架構可在 Microsoft Entra ID 中使用，請選取 [顯示進階選項 ] 複選框，然後選取 [編輯 ScimOnPremises 的屬性清單]。 確定已列出組態精靈中選取的所有屬性。 如果沒有，請等候數分鐘讓架構重新整理，然後重載頁面。 一旦您看到列出的屬性，然後從此頁面取消以返回對應清單。

6. 現在，按兩下 userPrincipalName PLACEHOLDER 對應。 當您第一次設定內部部署布建時，預設會新增此對應。

變更 值以符合下列專案：

對應類型	來源屬性	目標屬性
直接	userPrincipalName	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：userName

7. 現在選取 [ 新增對應]，然後針對每個對應重複下一個步驟。

8. 針對應用程式所需的每個屬性指定來源和目標屬性。 例如，

   Microsoft Entra 屬性	ScimOnPremises 屬性	比對優先順序	套用此對應
   ToUpper（Word（[userPrincipalName]， 1， “@”），）	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：userName	1	只有在物件建立期間
   Redact（“Pass@w0rd1”）	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：export_password		只有在物件建立期間
   市/鎮	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：city		永遠
   companyName	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：company		永遠
   部門	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：department		永遠
   郵件	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：email		永遠
   Switch（[IsSoftDeleted]， ， “False”， “9999-12-31”， “True”， “1990-01-01”）	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：expirationTime		永遠
   givenName	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：firstName		永遠
   surname	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：lastName		永遠
   telephoneNumber	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：telephoneNumber		永遠
   jobTitle	urn：ietf：params：scim：schemas：extension：ECMA2Host：2.0：User：jobTitle		永遠

9. 新增所有對應之後，請選取 [ 儲存]。

將使用者指派給應用程式

既然您已擁有與 Microsoft Entra ID 交談的 Microsoft Entra ECMA 連線 or Host，而且已設定屬性對應，您可以繼續設定布建範圍中的人員。

重要

如果您使用混合式身分識別 管理員 istrator 角色登入，則必須使用具有 Application 管理員 istrator、Cloud Application 管理員 istrator 或 Global 管理員 istrator 角色的帳戶註銷並登入。 混合式身分識別 管理員 istrator 角色沒有將使用者指派給應用程式的許可權。

如果您的應用程式中有現有的使用者，則您應該為那些現有的使用者建立應用程式角色指派。 若要深入瞭解如何大量建立應用程式角色指派，請參閱 在 Microsoft Entra ID 中控管應用程式的現有使用者。

否則，如果沒有應用程式的目前使用者，請從將布建至應用程式的 Microsoft Entra 中選取測試使用者。

1. 請確定您選取的使用者具有將對應至應用程式所需屬性的所有屬性。

2. 在 Azure 入口網站 中，選取 [企業應用程式]。

3. 選取內部 部署 ECMA 應用程式應用程式 。

4. 在左側的 [管理] 底下，選取 [使用者和群組]。

5. 選取 [ 新增使用者/群組]。

   

6. 在 [使用者] 底下，選取 [未選取]。

   

7. 從右側選取使用者，然後選取 [ 選取 ] 按鈕。

   

8. 現在選取 [ 指派]。

   

測試布建

現在已對應您的屬性並指派使用者，您可以測試隨選布建與其中一位使用者。

1. 在 Azure 入口網站 中，選取 [企業應用程式]。

2. 選取內部 部署 ECMA 應用程式應用程式 。

3. 在左側，選取 [ 布建]。

4. 選取 [ 隨選布建]。

5. 搜尋其中一個測試用戶，然後選取 [ 布建]。

   

6. 幾秒鐘後，目標系統中成功建立的使用者會出現訊息，其中包含使用者屬性清單。

開始布建使用者

1. 在隨選布建成功之後，返回 [布建組態] 頁面。 確定範圍設定為僅指派的使用者和群組、開啟布建，然後選取 [儲存]。

   

2. 等候最多 40 分鐘，讓布建服務啟動。 布建作業完成之後，如下一節所述，如果您完成測試，您可以將布建狀態變更為 [關閉]，然後選取 [ 儲存]。 此動作會停止布建服務在未來執行。

針對布建錯誤進行疑難解答

如果顯示錯誤，請選取 [ 檢視布建記錄]。 查看記錄中是否有狀態為 [失敗] 的數據列，然後選取該數據列。

如需詳細資訊，請變更為 [疑難解答與 建議] 索引標籤。

下一步

• 應用程式佈建
• ECMA 連線 or 主機一般 SQL 連接器
• ECMA 連線 or 主機 LDAP 連接器