konektor Microsoft Identity Manager pro Microsoft Graph

  • Článek

Souhrn

Konektor Microsoft Identity Manager pro Microsoft Graph umožňuje další scénáře integrace pro zákazníky Microsoft Entra ID P1 nebo P2. V synchronizačním metaverse MIM se zobrazí další objekty získané z Microsoft Graph API v1 a beta.

Zahrnuté scénáře

Správa životního cyklu účtu B2B

Počátečním scénářem konektoru Microsoft Identity Manager pro Microsoft Graph je konektor, který pomáhá automatizovat správu životního cyklu účtu služby AD DS pro externí uživatele. V tomto scénáři organizace synchronizuje zaměstnance, aby Microsoft Entra ID ze služby AD DS pomocí Microsoft Entra Connect, a také pozvala hosty do svého Microsoft Entra adresáře. Pozvání hosta způsobí, že se objekt externího uživatele bude na Microsoft Entra adresáři organizace, který není ve službě AD DS dané organizace. Organizace pak chce těmto hostům poskytnout přístup k místnímu integrovanému ověřování Windows nebo aplikacím založeným na protokolu Kerberos prostřednictvím Microsoft Entra proxy aplikací nebo jiných mechanismů brány. Proxy aplikace Microsoft Entra vyžaduje, aby měl každý uživatel vlastní účet služby AD DS pro účely identifikace a delegování.

Pokud chcete zjistit, jak nakonfigurovat synchronizaci MIM tak, aby automaticky vytvářela a udržovala účty AD DS pro hosty, přečtěte si po přečtení pokynů v tomto článku Microsoft Entra spolupráci B2B (business-to-business) s MIM 2016 a proxy aplikací Microsoft Entra. Tento článek popisuje pravidla synchronizace potřebná pro konektor.

Další scénáře správy identit

Konektor je možné použít pro jiné konkrétní scénáře správy identit, které zahrnují vytváření, čtení, aktualizaci a odstraňování objektů uživatelů, skupin a kontaktů v Microsoft Entra ID, a to nad rámec synchronizace uživatelů a skupin do Microsoft Entra ID. Při vyhodnocování potenciálních scénářů mějte na paměti, že tento konektor nejde provozovat ve scénáři, což by mělo za následek překrývání toku dat, skutečný nebo potenciální konflikt synchronizace s nasazením Microsoft Entra Connect. Microsoft Entra Connect je doporučený přístup k integraci místních adresářů s Microsoft Entra ID synchronizací uživatelů a skupin z místních adresářů do Microsoft Entra ID. Microsoft Entra Connect má mnoho dalších synchronizačních funkcí a umožňuje scénáře, jako je zpětný zápis hesla a zařízení, které nejsou možné pro objekty vytvořené pomocí MIM. Pokud se například data přenáší do služby AD DS, ujistěte se, že jsou vyloučená z Microsoft Entra Connect se pokusí tyto objekty porovnat zpět do adresáře Microsoft Entra. Tento konektor se nedá použít ani k provádění změn Microsoft Entra objektů, které byly vytvořeny službou Microsoft Entra Connect.

Příprava na použití konektoru pro Microsoft Graph

Autorizace konektoru k načítání nebo správě objektů v adresáři Microsoft Entra

  1. Konektor vyžaduje, aby se v Microsoft Entra ID vytvořila webová aplikace nebo aplikace API, aby mohla být autorizována s příslušnými oprávněními k provozu s Microsoft Entra objekty prostřednictvím Microsoft Graphu.

    Obrázek tlačítka registrace nové aplikaceObrázek registrace aplikace

    Obrázek 1. Registrace nové aplikace

  2. V Azure Portal otevřete vytvořenou aplikaci a uložte ID aplikace jako ID klienta, abyste ho mohli použít později na stránce připojení ma:

    Obrázek podrobností registrace aplikace

    Obrázek 2. ID aplikace

  3. Vygenerujte nový tajný klíč klienta otevřením certifikátů & tajných klíčů. Nastavte popis klíče a vyberte maximální dobu trvání. Uložte změny a načtěte tajný klíč klienta. Hodnotu tajného klíče klienta nebude možné po opuštění stránky znovu zobrazit.

    Obrázek tlačítka přidat nový tajný kód

    Obrázek 3. Nový tajný klíč klienta

  4. Otevřením oprávnění rozhraní API udělte aplikaci správná oprávnění Microsoft Graphu.

    Obrázek tlačítka přidat oprávnění Obrázek 4. Přidání nového rozhraní API

    Vyberte Oprávnění aplikace Microsoft Graph. Obrázek oprávnění aplikací

    Odvolá všechna nepotřebná oprávnění.

    Obrázek neudělených oprávnění aplikacím

    V závislosti na scénáři by se do aplikace měla přidat následující oprávnění, která jí umožní používat "Microsoft Graph API":

    Operace s objektem Požadovaná oprávnění Typ oprávnění
    Detekce schématu Application.Read.All Aplikace
    Importovat skupinu Group.Read.All nebo Group.ReadWrite.All Aplikace
    Importovat uživatele User.Read.AllDirectory.Read.All, User.ReadWrite.AllneboDirectory.ReadWrite.All Aplikace

    Další podrobnosti o požadovaných oprávněních najdete v referenčních informacích o oprávněních.

Poznámka

Oprávnění Application.Read.All je povinné pro detekci schématu a musí se udělit bez ohledu na to, se kterým konektorem typu objektu bude pracovat.

  1. Udělení souhlasu správce pro vybraná oprávnění Obrázek uděleného souhlasu správce

Instalace konektoru

  1. Před instalací konektoru se ujistěte, že na synchronizačním serveru máte následující:
  • Microsoft .NET 4.6.2 Framework nebo novější
  • Microsoft Identity Manager 2016 SP2 a musí používat opravu hotfix 4.4.1642.0 KB4021562 nebo novější.

  1. Konektor pro Microsoft Graph je kromě dalších konektorů pro Microsoft Identity Manager 2016 SP2 k dispozici ke stažení z webu Microsoft Download Center.

  2. Restartujte synchronizační službu MIM.

Konfigurace konektoru

  1. V uživatelském rozhraní Service Manager synchronizace vyberte Konektory a Vytvořit. Vyberte Graph (Microsoft) a vytvořte konektor a pojmenujte ho popisným názvem.

Obrázek nového konektoru

  1. V uživatelském rozhraní synchronizační služby MIM zadejte ID aplikace a vygenerovaný tajný klíč klienta. Každý agent pro správu nakonfigurovaný v MIM Sync by měl mít v Microsoft Entra ID svou vlastní aplikaci, aby se zabránilo paralelnímu spuštění importu pro stejnou aplikaci.

Obrázek nastavení konektoru s podrobnostmi o připojení

Obrázek 5. Stránka připojení

Stránka připojení (obrázek 5) obsahuje Graph API verzi, která se používá, a název tenanta. ID klienta a tajný klíč klienta představují ID aplikace a hodnotu klíče aplikace, která byla dříve vytvořena v Microsoft Entra ID.

Jako výchozí konektor se nastaví verze 1.0 a koncové body přihlášení a grafu globální služby Microsoft Graphu. Pokud je váš tenant v národním cloudu, budete muset změnit konfiguraci tak, aby používala koncové body pro národní cloud. Upozorňujeme, že některé funkce Graphu, které jsou v globální službě, nemusí být dostupné ve všech národních cloudech.

  1. Všechny potřebné změny proveďte na stránce Globální parametry:

Obrázek stránky Globální parametry

Obrázek 6. Stránka Globální parametry

Stránka Globální parametry obsahuje následující nastavení:

  • Formát DateTime – formát, který se používá pro libovolný atribut s typem Edm.DateTimeOffset. Všechna kalendářní data se během importu převedou na řetězec pomocí tohoto formátu. Formát sady se použije pro libovolný atribut, který ukládá datum.

  • Časový limit protokolu HTTP (sekundy) – časový limit v sekundách, který se použije při každém volání PROTOKOLU HTTP do Graphu.

  • Vynutit změnu hesla pro vytvořeného uživatele při příštím přihlášení – tato možnost se používá pro nového uživatele, který se vytvoří během exportu. Pokud je možnost povolená, vlastnost forceChangePasswordNextSignIn se nastaví na true, jinak bude false.

Konfigurace schématu a operací konektoru

  1. Nakonfigurujte schéma. Konektor při použití s koncovým bodem Graphu v1.0 podporuje následující seznam typů objektů:

  • Uživatel

    • Úplný nebo rozdílový import

    • Export (přidání, aktualizace, odstranění)

  • Group (Skupina)

    • Úplný nebo rozdílový import

    • Export (přidání, aktualizace, odstranění)

Další typy objektů můžou být viditelné, když konektor nakonfigurujete pro použití beta koncového bodu Graphu.

Seznam podporovaných typů atributů:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (řetězec v prostoru konektoru)

  • microsoft.graph.directoryObject (odkaz na některý z podporovaných objektů v prostoru konektoru)

  • microsoft.graph.contact

Atributy s více hodnotami (kolekce) jsou také podporovány pro libovolný typ z výše uvedeného seznamu.

Konektor používá atribut 'id' pro ukotvení a DN pro všechny objekty. Přejmenování proto není potřeba, protože Graph API neumožňuje objektu změnit jeho id atribut.

Životnost přístupových tokenů

Aplikace Graph vyžaduje přístupový token pro přístup k Graph API. Konektor si vyžádá nový přístupový token pro každou iteraci importu (iterace importu závisí na velikosti stránky). Příklad:

  • Microsoft Entra ID obsahuje 10 000 objektů.

  • Velikost stránky nakonfigurovaná v konektoru je 5000.

V tomto případě budou během importu dvě iterace, z nichž každá vrátí 5000 objektů do synchronizace. Proto se o nový přístupový token požádá dvakrát.

Během exportu se bude vyžadovat nový přístupový token pro každý objekt, který je potřeba přidat, aktualizovat nebo odstranit.

Filtry dotazů

Graph API koncové body nabízejí možnost omezit množství objektů vrácených dotazy GET zavedením $filter parametru.

Pokud chcete povolit použití filtrů dotazů ke zlepšení úplného cyklu výkonu importu, na stránce Schéma 1 ve vlastnostech konektoru zaškrtněte políčko Přidat filtr objektů .

První obrázek nastavení konektoru se zaškrtnutým políkem Přidat filtr objektů

Potom na stránce Schématu 2 zadejte výraz, který se má použít k filtrování uživatelů, skupin, kontaktů nebo instančních objektů.

Obrázek nastavení konektoru na stránce 2 s ukázkovým filtrem startsWith(displayName,'J')

Na snímku obrazovky výše je filtr startsWith(displayName,'J') nastavený na uživatele jen pro čtení, jejichž hodnota atributu displayName začíná na "J".

Ujistěte se, že je ve vlastnostech spojnice vybraný atribut použitý ve výrazu filtru.

Obrázek stránky nastavení konektoru s vybraným atributem displayName

Další informace o $filter použití parametru dotazu najdete v tomto článku: Přizpůsobení odpovědí pomocí parametrů dotazu.

Poznámka

Koncový bod rozdílového dotazu v současné době nenabízí možnosti filtrování, proto je použití filtrů omezeno pouze na úplný import. Při pokusu o spuštění rozdílového importu s povolenými filtry dotazů se zobrazí chyba.

Poradce při potížích

Povolit protokoly

Pokud v Graphu dojde k nějakým problémům, můžou se k lokalizaci problému použít protokoly. Trasování je tedy možné povolit stejným způsobem jako u obecných konektorů. Nebo stačí přidat následující kód do miiserver.exe.config (uvnitř system.diagnostics/sources oddílu):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Poznámka

Pokud je povolená možnost Spustit tohoto agenta pro správu v samostatném procesu, dllhost.exe.config měla by se místo miiserver.exe.configpoužít .

Chyba vypršení platnosti přístupových tokenů

Konektor může vrátit chybu HTTP 401 Neautorizováno se zprávou "Platnost přístupových tokenů vypršela":

Obrázek podrobností o chybě

Obrázek 7. "Platnost přístupových tokenů vypršela." Chyba

Příčinou tohoto problému může být konfigurace životnosti přístupového tokenu na straně Azure. Ve výchozím nastavení platnost přístupového tokenu vyprší po 1 hodině. Pokud chcete prodloužit dobu vypršení platnosti, přečtěte si tento článek.

Příklad použití verze Public Preview modulu Azure AD PowerShellu

Obrázek doby života tokenu Acces

New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Další kroky