konektor Microsoft Identity Manager pro Microsoft Graph
Souhrn
Konektor Microsoft Identity Manager pro Microsoft Graph umožňuje další scénáře integrace pro zákazníky Microsoft Entra ID P1 nebo P2. V synchronizačním metaverse MIM se zobrazí další objekty získané z Microsoft Graph API v1 a beta.
Zahrnuté scénáře
Správa životního cyklu účtu B2B
Počátečním scénářem konektoru Microsoft Identity Manager pro Microsoft Graph je konektor, který pomáhá automatizovat správu životního cyklu účtu služby AD DS pro externí uživatele. V tomto scénáři organizace synchronizuje zaměstnance, aby Microsoft Entra ID ze služby AD DS pomocí Microsoft Entra Connect, a také pozvala hosty do svého Microsoft Entra adresáře. Pozvání hosta způsobí, že se objekt externího uživatele bude na Microsoft Entra adresáři organizace, který není ve službě AD DS dané organizace. Organizace pak chce těmto hostům poskytnout přístup k místnímu integrovanému ověřování Windows nebo aplikacím založeným na protokolu Kerberos prostřednictvím Microsoft Entra proxy aplikací nebo jiných mechanismů brány. Proxy aplikace Microsoft Entra vyžaduje, aby měl každý uživatel vlastní účet služby AD DS pro účely identifikace a delegování.
Pokud chcete zjistit, jak nakonfigurovat synchronizaci MIM tak, aby automaticky vytvářela a udržovala účty AD DS pro hosty, přečtěte si po přečtení pokynů v tomto článku Microsoft Entra spolupráci B2B (business-to-business) s MIM 2016 a proxy aplikací Microsoft Entra. Tento článek popisuje pravidla synchronizace potřebná pro konektor.
Další scénáře správy identit
Konektor je možné použít pro jiné konkrétní scénáře správy identit, které zahrnují vytváření, čtení, aktualizaci a odstraňování objektů uživatelů, skupin a kontaktů v Microsoft Entra ID, a to nad rámec synchronizace uživatelů a skupin do Microsoft Entra ID. Při vyhodnocování potenciálních scénářů mějte na paměti, že tento konektor nejde provozovat ve scénáři, což by mělo za následek překrývání toku dat, skutečný nebo potenciální konflikt synchronizace s nasazením Microsoft Entra Connect. Microsoft Entra Connect je doporučený přístup k integraci místních adresářů s Microsoft Entra ID synchronizací uživatelů a skupin z místních adresářů do Microsoft Entra ID. Microsoft Entra Connect má mnoho dalších synchronizačních funkcí a umožňuje scénáře, jako je zpětný zápis hesla a zařízení, které nejsou možné pro objekty vytvořené pomocí MIM. Pokud se například data přenáší do služby AD DS, ujistěte se, že jsou vyloučená z Microsoft Entra Connect se pokusí tyto objekty porovnat zpět do adresáře Microsoft Entra. Tento konektor se nedá použít ani k provádění změn Microsoft Entra objektů, které byly vytvořeny službou Microsoft Entra Connect.
Příprava na použití konektoru pro Microsoft Graph
Autorizace konektoru k načítání nebo správě objektů v adresáři Microsoft Entra
Konektor vyžaduje, aby se v Microsoft Entra ID vytvořila webová aplikace nebo aplikace API, aby mohla být autorizována s příslušnými oprávněními k provozu s Microsoft Entra objekty prostřednictvím Microsoft Graphu.
Obrázek 1. Registrace nové aplikace
V Azure Portal otevřete vytvořenou aplikaci a uložte ID aplikace jako ID klienta, abyste ho mohli použít později na stránce připojení ma:
Obrázek 2. ID aplikace
Vygenerujte nový tajný klíč klienta otevřením certifikátů & tajných klíčů. Nastavte popis klíče a vyberte maximální dobu trvání. Uložte změny a načtěte tajný klíč klienta. Hodnotu tajného klíče klienta nebude možné po opuštění stránky znovu zobrazit.
Obrázek 3. Nový tajný klíč klienta
Otevřením oprávnění rozhraní API udělte aplikaci správná oprávnění Microsoft Graphu.
Obrázek 4. Přidání nového rozhraní API
Vyberte Oprávnění aplikace Microsoft Graph.
Odvolá všechna nepotřebná oprávnění.
V závislosti na scénáři by se do aplikace měla přidat následující oprávnění, která jí umožní používat "Microsoft Graph API":
Operace s objektem Požadovaná oprávnění Typ oprávnění Detekce schématu Application.Read.All
Aplikace Importovat skupinu Group.Read.All
neboGroup.ReadWrite.All
Aplikace Importovat uživatele User.Read.All
Directory.Read.All
,User.ReadWrite.All
neboDirectory.ReadWrite.All
Aplikace Další podrobnosti o požadovaných oprávněních najdete v referenčních informacích o oprávněních.
Poznámka
Oprávnění Application.Read.All je povinné pro detekci schématu a musí se udělit bez ohledu na to, se kterým konektorem typu objektu bude pracovat.
- Udělení souhlasu správce pro vybraná oprávnění
Instalace konektoru
- Před instalací konektoru se ujistěte, že na synchronizačním serveru máte následující:
- Microsoft .NET 4.6.2 Framework nebo novější
- Microsoft Identity Manager 2016 SP2 a musí používat opravu hotfix 4.4.1642.0 KB4021562 nebo novější.
Konektor pro Microsoft Graph je kromě dalších konektorů pro Microsoft Identity Manager 2016 SP2 k dispozici ke stažení z webu Microsoft Download Center.
Restartujte synchronizační službu MIM.
Konfigurace konektoru
- V uživatelském rozhraní Service Manager synchronizace vyberte Konektory a Vytvořit. Vyberte Graph (Microsoft) a vytvořte konektor a pojmenujte ho popisným názvem.
- V uživatelském rozhraní synchronizační služby MIM zadejte ID aplikace a vygenerovaný tajný klíč klienta. Každý agent pro správu nakonfigurovaný v MIM Sync by měl mít v Microsoft Entra ID svou vlastní aplikaci, aby se zabránilo paralelnímu spuštění importu pro stejnou aplikaci.
Obrázek 5. Stránka připojení
Stránka připojení (obrázek 5) obsahuje Graph API verzi, která se používá, a název tenanta. ID klienta a tajný klíč klienta představují ID aplikace a hodnotu klíče aplikace, která byla dříve vytvořena v Microsoft Entra ID.
Jako výchozí konektor se nastaví verze 1.0 a koncové body přihlášení a grafu globální služby Microsoft Graphu. Pokud je váš tenant v národním cloudu, budete muset změnit konfiguraci tak, aby používala koncové body pro národní cloud. Upozorňujeme, že některé funkce Graphu, které jsou v globální službě, nemusí být dostupné ve všech národních cloudech.
- Všechny potřebné změny proveďte na stránce Globální parametry:
Obrázek 6. Stránka Globální parametry
Stránka Globální parametry obsahuje následující nastavení:
Formát DateTime – formát, který se používá pro libovolný atribut s typem Edm.DateTimeOffset. Všechna kalendářní data se během importu převedou na řetězec pomocí tohoto formátu. Formát sady se použije pro libovolný atribut, který ukládá datum.
Časový limit protokolu HTTP (sekundy) – časový limit v sekundách, který se použije při každém volání PROTOKOLU HTTP do Graphu.
Vynutit změnu hesla pro vytvořeného uživatele při příštím přihlášení – tato možnost se používá pro nového uživatele, který se vytvoří během exportu. Pokud je možnost povolená, vlastnost forceChangePasswordNextSignIn se nastaví na true, jinak bude false.
Konfigurace schématu a operací konektoru
- Nakonfigurujte schéma. Konektor při použití s koncovým bodem Graphu v1.0 podporuje následující seznam typů objektů:
Uživatel
Úplný nebo rozdílový import
Export (přidání, aktualizace, odstranění)
Group (Skupina)
Úplný nebo rozdílový import
Export (přidání, aktualizace, odstranění)
Další typy objektů můžou být viditelné, když konektor nakonfigurujete pro použití beta koncového bodu Graphu.
Seznam podporovaných typů atributů:
Edm.Boolean
Edm.String
Edm.DateTimeOffset
(řetězec v prostoru konektoru)microsoft.graph.directoryObject
(odkaz na některý z podporovaných objektů v prostoru konektoru)microsoft.graph.contact
Atributy s více hodnotami (kolekce) jsou také podporovány pro libovolný typ z výše uvedeného seznamu.
Konektor používá atribut 'id
' pro ukotvení a DN pro všechny objekty. Přejmenování proto není potřeba, protože Graph API neumožňuje objektu změnit jeho id
atribut.
Životnost přístupových tokenů
Aplikace Graph vyžaduje přístupový token pro přístup k Graph API. Konektor si vyžádá nový přístupový token pro každou iteraci importu (iterace importu závisí na velikosti stránky). Příklad:
Microsoft Entra ID obsahuje 10 000 objektů.
Velikost stránky nakonfigurovaná v konektoru je 5000.
V tomto případě budou během importu dvě iterace, z nichž každá vrátí 5000 objektů do synchronizace. Proto se o nový přístupový token požádá dvakrát.
Během exportu se bude vyžadovat nový přístupový token pro každý objekt, který je potřeba přidat, aktualizovat nebo odstranit.
Filtry dotazů
Graph API koncové body nabízejí možnost omezit množství objektů vrácených dotazy GET zavedením $filter parametru.
Pokud chcete povolit použití filtrů dotazů ke zlepšení úplného cyklu výkonu importu, na stránce Schéma 1 ve vlastnostech konektoru zaškrtněte políčko Přidat filtr objektů .
Potom na stránce Schématu 2 zadejte výraz, který se má použít k filtrování uživatelů, skupin, kontaktů nebo instančních objektů.
Na snímku obrazovky výše je filtr startsWith(displayName,'J') nastavený na uživatele jen pro čtení, jejichž hodnota atributu displayName začíná na "J".
Ujistěte se, že je ve vlastnostech spojnice vybraný atribut použitý ve výrazu filtru.
Další informace o $filter použití parametru dotazu najdete v tomto článku: Přizpůsobení odpovědí pomocí parametrů dotazu.
Poznámka
Koncový bod rozdílového dotazu v současné době nenabízí možnosti filtrování, proto je použití filtrů omezeno pouze na úplný import. Při pokusu o spuštění rozdílového importu s povolenými filtry dotazů se zobrazí chyba.
Poradce při potížích
Povolit protokoly
Pokud v Graphu dojde k nějakým problémům, můžou se k lokalizaci problému použít protokoly. Trasování je tedy možné povolit stejným způsobem jako u obecných konektorů. Nebo stačí přidat následující kód do miiserver.exe.config
(uvnitř system.diagnostics/sources
oddílu):
<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>
Poznámka
Pokud je povolená možnost Spustit tohoto agenta pro správu v samostatném procesu, dllhost.exe.config
měla by se místo miiserver.exe.config
použít .
Chyba vypršení platnosti přístupových tokenů
Konektor může vrátit chybu HTTP 401 Neautorizováno se zprávou "Platnost přístupových tokenů vypršela":
Obrázek 7. "Platnost přístupových tokenů vypršela." Chyba
Příčinou tohoto problému může být konfigurace životnosti přístupového tokenu na straně Azure. Ve výchozím nastavení platnost přístupového tokenu vyprší po 1 hodině. Pokud chcete prodloužit dobu vypršení platnosti, přečtěte si tento článek.
Příklad použití verze Public Preview modulu Azure AD PowerShellu
New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"