Konfigurowanie identyfikatora Entra firmy Microsoft w celu aprowizacji użytkowników w katalogach LDAP

Poniższa dokumentacja zawiera informacje o konfiguracji i samouczku przedstawiające sposób aprowizowania użytkowników z identyfikatora Entra firmy Microsoft do katalogu LDAP.

W tym dokumencie opisano kroki, które należy wykonać w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników z identyfikatora Entra firmy Microsoft w katalogu LDAP. W dokumencie pokazano, jak można aprowizować użytkowników w usługach AD LDS jako przykładowy katalog LDAP, ale można aprowizować do dowolnego z obsługiwanych serwerów katalogów LDAP wymienionych w poniższych sekcjach. Aprowizowanie użytkowników w usługach domena usługi Active Directory za pomocą tego rozwiązania nie jest obsługiwane.

Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji i anulowania aprowizacji użytkowników w aplikacjach SaaS przy użyciu identyfikatora Entra firmy Microsoft i architektury aprowizacji aplikacji lokalnych. Poniższy film wideo zawiera omówienie aprowizacji lokalnej.

Wymagania wstępne dotyczące aprowizacji użytkowników w katalogu LDAP

Lokalne wymagania wstępne

• Aplikacja, która używa serwera katalogowego do wykonywania zapytań o użytkowników.
• Katalog docelowy, inny niż usługi domena usługi Active Directory, w którym można tworzyć, aktualizować i usuwać użytkowników. Na przykład usługi Active Directory Lightweight Services (AD LDS). To wystąpienie katalogu nie powinno być katalogiem, który jest również używany do aprowizacji użytkowników w identyfikatorze Entra firmy Microsoft, ponieważ posiadanie obu scenariuszy może utworzyć pętlę w usłudze Microsoft Entra Połączenie.
• Komputer z co najmniej 3 GB pamięci RAM do hostowania agenta aprowizacji. Komputer powinien mieć system Windows Server 2016 lub nowszą wersję systemu Windows Server z łącznością z katalogiem docelowym oraz łączność wychodzącą z login.microsoftonline.com, innymi usługami Online Services i domenami platformy Azure . Przykładem jest maszyna wirtualna z systemem Windows Server 2016 hostowana w usłudze Azure IaaS lub za serwerem proxy.
• Należy zainstalować program .NET Framework 4.7.2.
• Opcjonalnie: mimo że nie jest to wymagane, zaleca się pobranie przeglądarki Microsoft Edge dla systemu Windows Server i użycie jej zamiast programu Internet Explorer.

Obsługiwane serwery katalogów LDAP

Łącznik opiera się na różnych technikach wykrywania i identyfikowania serwera LDAP. Łącznik używa głównego dsE, nazwy dostawcy/wersji i sprawdza schemat w celu znalezienia unikatowych obiektów i atrybutów znanych w niektórych serwerach LDAP.

• OpenLDAP
• Usługi Microsoft Active Directory Lightweight Directory
• Serwer katalogowy 389
• Serwer katalogów Apache
• IBM Tivoli DS
• Katalog Isode
• NetIQ eDirectory
• Novell eDirectory
• Otwórz DJ
• Otwórz usługę DS
• Oracle (wcześniej Sun ONE) Directory Server Enterprise Edition
• RadiantOne Virtual Directory Server (VDS)

Aby uzyskać więcej informacji, zobacz ogólne Połączenie or LDAP.

Wymagania dotyczące chmury

• Dzierżawa firmy Microsoft Entra z identyfikatorem Microsoft Entra ID P1 lub Premium P2 (lub EMS E3 lub E5).

  Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

• Rola Administracja istrator tożsamości hybrydowej na potrzeby konfigurowania agenta aprowizacji i Administracja istratora aplikacji w chmurze lub ról Administracja istratora aplikacji w chmurze na potrzeby konfigurowania aprowizacji w witrynie Azure Portal.

• Użytkownicy usługi Microsoft Entra, którzy mają być aprowizowani w katalogu LDAP, muszą być już wypełnieni atrybutami, które będą wymagane przez schemat serwera katalogów i są specyficzne dla każdego użytkownika. Jeśli na przykład serwer katalogów wymaga, aby każdy użytkownik miał unikatową liczbę z zakresu od 10000 do 30000 jako numer identyfikatora użytkownika do obsługi obciążenia POSIX, należy wygenerować ten numer z istniejącego atrybutu użytkownika lub rozszerzyć schemat Microsoft Entra i wypełnić ten atrybut dla użytkowników w zakresie aplikacji opartej na protokole LDAP. Zobacz Rozszerzalność programu Graph, aby dowiedzieć się, jak tworzyć dodatkowe rozszerzenia katalogu.

Więcej zaleceń i ograniczeń

Poniższe punkty punktowane to więcej zaleceń i ograniczeń.

• Nie zaleca się używania tego samego agenta do synchronizacji w chmurze i aprowizacji aplikacji lokalnych. Firma Microsoft zaleca używanie oddzielnego agenta do synchronizacji w chmurze i jednego na potrzeby aprowizacji aplikacji lokalnych.
• Obecnie w przypadku usług AD LDS nie można aprowizować użytkowników przy użyciu haseł. Dlatego należy wyłączyć zasady haseł dla usług AD LDS lub aprowizować użytkowników w stanie wyłączonym.
• W przypadku innych serwerów katalogów można ustawić początkowe losowe hasło, ale nie można aprowizować hasła użytkownika firmy Microsoft Entra na serwerze katalogu.
• Aprowizowanie użytkowników z identyfikatora Entra firmy Microsoft do usług domena usługi Active Directory nie jest obsługiwane.
• Aprowizowanie użytkowników z protokołu LDAP do identyfikatora Entra firmy Microsoft nie jest obsługiwane.
• Aprowizowanie grup i członkostwa użytkowników na serwerze katalogów nie jest obsługiwane.

Wybieranie profilów uruchamiania

Podczas tworzenia konfiguracji łącznika w celu interakcji z serwerem katalogów należy najpierw skonfigurować łącznik w celu odczytania schematu katalogu, zamapowania tego schematu na identyfikator Microsoft Entra ID, a następnie skonfigurowania podejścia, którego łącznik powinien używać na bieżąco za pośrednictwem profilów uruchamiania. Każdy profil przebiegu, który skonfigurujesz, określa sposób generowania żądań LDAP przez łącznik w celu zaimportowania lub wyeksportowania danych z serwera katalogów. Przed wdrożeniem łącznika na istniejącym serwerze katalogów należy omówić z operatorem serwera katalogów w organizacji wzorzec operacji, które będą wykonywane z ich serwerem katalogów.

• Po skonfigurowaniu, gdy usługa aprowizacji zostanie uruchomiona, automatycznie wykona interakcje skonfigurowane w profilu uruchamiania pełnego importu . W tym profilu uruchamiania łącznik odczytuje wszystkie rekordy dla użytkowników z katalogu przy użyciu operacji wyszukiwania LDAP. Ten profil uruchamiania jest niezbędny, aby później, jeśli identyfikator Entra firmy Microsoft musi wprowadzić zmianę dla użytkownika, identyfikator Entra firmy Microsoft zaktualizuje istniejący obiekt dla tego użytkownika w katalogu, zamiast utworzyć nowy obiekt dla tego użytkownika.

• Za każdym razem, gdy zmiany są wprowadzane w identyfikatorze Entra firmy Microsoft, na przykład w celu przypisania nowego użytkownika do aplikacji lub zaktualizowania istniejącego użytkownika, usługa aprowizacji będzie wykonywać interakcje LDAP w profilu uruchamiania Eksportuj. W profilu eksportu przebiegu identyfikator Entra firmy Microsoft będzie wysyłać żądania LDAP do dodawania, modyfikowania, usuwania lub zmieniania nazw obiektów w katalogu w celu zsynchronizowania zawartości katalogu z identyfikatorem Entra firmy Microsoft.

• Jeśli katalog go obsługuje, możesz również opcjonalnie skonfigurować profil uruchamiania importu różnicowego. W tym profilu uruchamiania identyfikator Entra firmy Microsoft odczytuje zmiany wprowadzone w katalogu innym niż identyfikator Entra firmy Microsoft od ostatniego pełnego lub różnicowego importu. Ten profil uruchamiania jest opcjonalny, ponieważ katalog mógł nie zostać skonfigurowany do obsługi importu różnicowego. Jeśli na przykład organizacja korzysta z biblioteki OpenLDAP, openLDAP musi zostać wdrożona z włączoną funkcją nakładki dziennika dostępu.

Określanie sposobu interakcji Połączenie or usługi Microsoft Entra LDAP z serwerem katalogów

Przed wdrożeniem łącznika na istniejącym serwerze katalogowym należy omówić z operatorem serwera katalogów w organizacji, jak zintegrować go z serwerem katalogu. Zebrane informacje obejmują informacje o sieci dotyczące sposobu nawiązywania połączenia z serwerem katalogów, sposobu uwierzytelniania łącznika na serwerze katalogów, schematu wybranego przez serwer katalogów do modelowania użytkowników, podstawowych reguł wyróżniających kontekstu nazewnictwa i hierarchii katalogów, sposobu kojarzenia użytkowników na serwerze katalogów z użytkownikami w usłudze Microsoft Entra ID, i co powinno się zdarzyć, gdy użytkownik wykracza poza zakres w identyfikatorze Entra firmy Microsoft. Wdrożenie tego łącznika może wymagać zmian w konfiguracji serwera katalogów, a także zmian konfiguracji w identyfikatorze Firmy Microsoft Entra. W przypadku wdrożeń obejmujących integrowanie identyfikatora Entra firmy Microsoft z serwerem katalogów innej firmy w środowisku produkcyjnym zalecamy klientom pracę z dostawcą serwera katalogów lub partnerem wdrażania, aby uzyskać pomoc, wskazówki i obsługę tej integracji. W tym artykule użyto następujących przykładowych wartości dla dwóch katalogów dla usług AD LDS i OpenLDAP.

Ustawienie konfiguracji	Gdzie jest ustawiona wartość	Przykładowa wartość
nazwa hosta serwera katalogów	Strona Połączenie ivity kreatora konfiguracji	APP3
numer portu serwera katalogów	Strona Połączenie ivity kreatora konfiguracji	636. W przypadku protokołu LDAP za pośrednictwem protokołu SSL lub TLS (LDAPS) użyj portu 636. W przypadku Start TLSprogramu użyj portu 389.
konto łącznika w celu zidentyfikowania się na serwerze katalogu	Strona Połączenie ivity kreatora konfiguracji	W przypadku usług AD LDS CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab i OpenLDAP, cn=admin,dc=contoso,dc=lab
hasło łącznika do uwierzytelniania się na serwerze katalogów	Strona Połączenie ivity kreatora konfiguracji
strukturalna klasa obiektów dla użytkownika na serwerze katalogu	Strona Typy obiektów kreatora konfiguracji	W przypadku usług AD LDS User i OpenLDAP inetOrgPerson
pomocnicze klasy obiektów dla użytkownika na serwerze katalogów	Mapowania atrybutów strony aprowizacji w witrynie Azure Portal	W przypadku programu OpenLDAP ze schematem posixAccount POSIX ishadowAccount
atrybuty do wypełnienia dla nowego użytkownika	Kreator konfiguracji Wybierz stronę Atrybuty i mapowania atrybutów strony aprowizacji w witrynie Azure Portal	W przypadku usług AD LDS msDS-UserAccountDisabled, displayNameuserPrincipalNamei dla OpenLDAP cn, gidNumber, homeDirectorymailsnobjectClass, uid, , uidNumberuserPassword
hierarchia nazewnictwa wymagana przez serwer katalogów	Mapowania atrybutów strony aprowizacji w witrynie Azure Portal	Ustaw nazwę wyróżniającą nowo utworzonego użytkownika, aby był bezpośrednio poniżej CN=CloudUsers,CN=App,DC=Contoso,DC=lab dla usług AD LDS i DC=Contoso,DC=lab OpenLDAP
atrybuty korelowania użytkowników z identyfikatorem Entra firmy Microsoft i serwerem katalogów	Mapowania atrybutów strony aprowizacji w witrynie Azure Portal	W przypadku usług AD LDS nieskonfigurowane jako ten przykład dotyczy początkowo pustego katalogu i openLDAP, mail
Zachowanie anulowania aprowizacji, gdy użytkownik wykracza poza zakres w identyfikatorze Entra firmy Microsoft	Strona anulowania aprowizacji kreatora konfiguracji	Usuwanie użytkownika z serwera katalogów

Adres sieciowy serwera katalogowego to nazwa hosta i numer portu TCP, zazwyczaj port 389 lub 636. Z wyjątkiem sytuacji, w których serwer katalogu znajduje się ze łącznikiem w tym samym systemie Windows Server lub używasz zabezpieczeń na poziomie sieci, połączenia sieciowe z łącznika do serwera katalogów muszą być chronione przy użyciu protokołu SSL lub TLS. Łącznik obsługuje nawiązywanie połączenia z serwerem katalogów na porcie 389 i włączanie protokołu TLS w ramach sesji przy użyciu polecenia Uruchom protokół TLS. Łącznik obsługuje również nawiązywanie połączenia z serwerem katalogów na porcie 636 dla protokołu LDAPS — LDAP przez protokół TLS.

Musisz mieć zidentyfikowane konto łącznika, aby uwierzytelnić się na serwerze katalogów już skonfigurowanym na serwerze katalogów. To konto jest zwykle identyfikowane z nazwą wyróżniającą i ma skojarzone hasło lub certyfikat klienta. Aby wykonać operacje importowania i eksportowania obiektów w połączonym katalogu, konto łącznika musi mieć wystarczające uprawnienia w modelu kontroli dostępu katalogu. Łącznik musi mieć uprawnienia do zapisu , aby móc eksportować i mieć uprawnienia do odczytu , aby móc importować. Konfiguracja uprawnień jest wykonywana w środowiskach zarządzania samego katalogu docelowego.

Schemat katalogu określa klasy obiektów i atrybuty, które reprezentują rzeczywistą jednostkę w katalogu. Łącznik obsługuje użytkownika reprezentowanego przy użyciu klasy obiektów strukturalnych, takich jak inetOrgPerson, i opcjonalnie dodatkowe klasy obiektów pomocniczych. Aby łącznik mógł aprowizować użytkowników na serwerze katalogów, podczas konfiguracji w witrynie Azure Portal zdefiniujesz mapowania ze schematu firmy Microsoft Entra na wszystkie obowiązkowe atrybuty. Obejmuje to obowiązkowe atrybuty klasy obiektów strukturalnych, wszelkie superklasy tej klasy obiektu strukturalnego i obowiązkowe atrybuty wszystkich pomocniczych klas obiektów. Ponadto prawdopodobnie skonfigurujesz również mapowania do niektórych opcjonalnych atrybutów tych klas. Na przykład serwer katalogów OpenLDAP może wymagać, aby nowy użytkownik miał atrybuty podobne do poniższego przykładu.

dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password

Reguły hierarchii katalogów implementowane przez serwer katalogów opisują, jak obiekty dla każdego użytkownika odnoszą się do siebie nawzajem i do istniejących obiektów w katalogu. W większości wdrożeń organizacja zdecydowała się mieć płaską hierarchię na serwerze katalogów, w którym każdy obiekt dla każdego użytkownika znajduje się natychmiast pod wspólnym obiektem podstawowym. Jeśli na przykład podstawowa nazwa wyróżniająca kontekstu nazewnictwa na serwerze katalogów to dc=contoso,dc=com nowy użytkownik będzie miał nazwę wyróżniającą, taką jak cn=alice,dc=contoso,dc=com. Jednak niektóre organizacje mogą mieć bardziej złożoną hierarchię katalogów, w tym przypadku należy zaimplementować reguły podczas określania mapowania nazw wyróżniających dla łącznika. Na przykład serwer katalogów może oczekiwać, że użytkownicy będą w jednostkach organizacyjnych według działu, więc nowy użytkownik będzie miał nazwę wyróżniającą, taką jak cn=alice,ou=London,dc=contoso,dc=com. Ponieważ łącznik nie tworzy obiektów pośrednich dla jednostek organizacyjnych, wszystkie obiekty pośrednie, których oczekuje hierarchia reguł serwera katalogów, musi już istnieć na serwerze katalogów.

Następnie należy zdefiniować reguły dotyczące sposobu, w jaki łącznik powinien określić, czy na serwerze katalogów znajduje się już użytkownik odpowiadający użytkownikowi firmy Microsoft Entra. Każdy katalog LDAP ma unikatową nazwę wyróżniającą dla każdego obiektu na serwerze katalogów, jednak ta nazwa wyróżniająca nie jest często obecna dla użytkowników w usłudze Microsoft Entra ID. Zamiast tego organizacja może mieć inny atrybut, taki jak mail lub employeeId, w schemacie serwera katalogów, który jest również obecny dla użytkowników w identyfikatorze Microsoft Entra. Następnie, gdy łącznik aprowizować nowego użytkownika na serwerze katalogów, łącznik może wyszukać, czy w tym katalogu znajduje się już użytkownik, który ma określoną wartość tego atrybutu, i utworzyć nowego użytkownika na serwerze katalogów, jeśli go nie ma.

Jeśli twój scenariusz obejmuje tworzenie nowych użytkowników w katalogu LDAP, a nie tylko aktualizowanie lub usuwanie istniejących użytkowników, należy również określić, w jaki sposób aplikacje korzystające z tego serwera katalogowego będą obsługiwać uwierzytelnianie. Zalecaną metodą jest użycie federacji lub protokołu logowania jednokrotnego, takiego jak SAML, OAuth lub OpenID Połączenie do uwierzytelniania w usłudze Microsoft Entra ID, i poleganie tylko na serwerze katalogów dla atrybutów. Tradycyjnie katalogi LDAP mogą być używane przez aplikacje do uwierzytelniania użytkowników, sprawdzając hasło, ale ten przypadek użycia nie jest możliwy w przypadku uwierzytelniania wieloskładnikowego lub gdy użytkownik został już uwierzytelniony. Niektóre aplikacje mogą wysyłać zapytania do klucza publicznego lub certyfikatu SSH użytkownika z katalogu, co może być odpowiednie dla użytkowników, którzy już przechowują poświadczenia tych formularzy. Jeśli jednak aplikacja, która opiera się na serwerze katalogów, nie obsługuje nowoczesnych protokołów uwierzytelniania ani silniejszych poświadczeń, musisz ustawić hasło specyficzne dla aplikacji podczas tworzenia nowego użytkownika w katalogu, ponieważ identyfikator Entra firmy Microsoft nie obsługuje aprowizowania hasła użytkownika Microsoft Entra.

Na koniec należy uzgodnić zachowanie anulowania aprowizacji. Po skonfigurowaniu łącznika i identyfikator Entra firmy Microsoft nawiązał połączenie między użytkownikiem w usłudze Microsoft Entra ID i użytkownikiem w katalogu — dla użytkownika już w katalogu lub nowego użytkownika, identyfikator Entra firmy Microsoft może aprowizować zmiany atrybutów od użytkownika Microsoft Entra do katalogu. Jeśli użytkownik przypisany do aplikacji zostanie usunięty w identyfikatorze Entra firmy Microsoft, identyfikator Entra firmy Microsoft wyśle operację usuwania na serwer katalogu. Możesz również zaktualizować obiekt na serwerze katalogów, gdy użytkownik wykracza poza zakres możliwości korzystania z aplikacji. To zachowanie zależy od aplikacji, która będzie używać serwera katalogów, jak wiele katalogów, takich jak OpenLDAP, może nie mieć domyślnego sposobu wskazywania, że konto użytkownika jest nieaktywne.

Przygotowywanie katalogu LDAP

Jeśli nie masz jeszcze serwera katalogów i chcesz wypróbować tę funkcję, przygotuj usługi Active Directory Lightweight Directory do aprowizacji z poziomu identyfikatora Entra firmy Microsoft, aby pokazać, jak utworzyć testowe środowisko usług AD LDS. Jeśli masz już wdrożony inny serwer katalogów, możesz pominąć ten artykuł i kontynuować instalowanie i konfigurowanie hosta łącznika ECMA.

Instalowanie i konfigurowanie agenta aprowizacji firmy Microsoft Połączenie

Jeśli agent aprowizacji został już pobrany i skonfigurowany dla innej aplikacji lokalnej, kontynuuj czytanie w następnej sekcji.

1. Zaloguj się w witrynie Azure Portal.
2. Przejdź do pozycji Aplikacje dla przedsiębiorstw i wybierz pozycję Nowa aplikacja.
3. Wyszukaj lokalną aplikację ECMA, nadaj aplikacji nazwę i wybierz pozycję Utwórz , aby dodać ją do dzierżawy.
4. Z menu przejdź do strony Aprowizowanie aplikacji.
5. Wybierz Rozpocznij.
6. Na stronie Aprowizowanie zmień tryb na Automatyczny.

7. W obszarze Lokalna Połączenie ivity wybierz pozycję Pobierz i zainstaluj, a następnie wybierz pozycję Akceptuj warunki i pobierz.

8. Pozostaw portal i otwórz instalatora agenta aprowizacji, zaakceptuj warunki świadczenia usługi, a następnie wybierz pozycję Zainstaluj.
9. Poczekaj na kreatora konfiguracji agenta aprowizacji firmy Microsoft, a następnie wybierz przycisk Dalej.
10. W kroku Wybierz rozszerzenie wybierz pozycję Aprowizowanie aplikacji lokalnych, a następnie wybierz pozycję Dalej.
11. Agent aprowizacji użyje przeglądarki internetowej systemu operacyjnego, aby wyświetlić okno podręczne służące do uwierzytelniania w usłudze Microsoft Entra ID, a potencjalnie także dostawcy tożsamości organizacji. Jeśli używasz programu Internet Explorer jako przeglądarki w systemie Windows Server, może być konieczne dodanie witryn internetowych firmy Microsoft do listy zaufanych witryn przeglądarki, aby umożliwić poprawne uruchamianie języka JavaScript.
12. Po wyświetleniu monitu o autoryzację podaj poświadczenia administratora firmy Microsoft Entra. Użytkownik musi mieć rolę Administracja istratora tożsamości hybrydowej lub globalnego Administracja istratora.
13. Wybierz pozycję Potwierdź , aby potwierdzić ustawienie. Po pomyślnym zakończeniu instalacji możesz wybrać pozycję Zakończ, a także zamknąć instalatora pakietu agenta aprowizacji.

Konfigurowanie lokalnej aplikacji ECMA

1. W portalu w sekcji Lokalna Połączenie ivity wybierz wdrożonego agenta i wybierz pozycję Przypisz agentów.

   

2. Pozostaw to okno przeglądarki otwarte po zakończeniu następnego kroku konfiguracji przy użyciu kreatora konfiguracji.

Konfigurowanie certyfikatu hosta usługi Microsoft Entra ECMA Połączenie or

1. W systemie Windows Server, w którym jest zainstalowany agent aprowizacji, kliknij prawym przyciskiem myszy Kreatora konfiguracji Microsoft ECMA2Host z menu Start i uruchom jako administrator. Uruchomienie jako administrator systemu Windows jest niezbędne do utworzenia niezbędnych dzienników zdarzeń systemu Windows przez kreatora.
2. Po uruchomieniu konfiguracji hosta usługi ECMA Połączenie or po pierwszym uruchomieniu kreatora zostanie wyświetlony monit o utworzenie certyfikatu. Pozostaw domyślny port 8585 i wybierz pozycję Generuj certyfikat , aby wygenerować certyfikat. Automatycznie wygenerowany certyfikat zostanie podpisany samodzielnie w ramach zaufanego katalogu głównego. Sieć SAN jest zgodna z nazwą hosta.
3. Wybierz pozycję Zapisz.

Uwaga

Jeśli wybrano opcję wygenerowania nowego certyfikatu, zarejestruj datę wygaśnięcia certyfikatu, aby upewnić się, że planujesz powrót do kreatora konfiguracji i ponownie wygeneruj certyfikat przed jego wygaśnięciem.

Konfigurowanie ogólnego łącznika LDAP

W zależności od wybranych opcji niektóre ekrany kreatora mogą być niedostępne, a informacje mogą się nieco różnić. Na potrzeby tej przykładowej konfiguracji aprowizowanie użytkowników za pomocą klasy obiektu User jest wyświetlane dla usług AD LDS i inetOrgPerson dla klasy obiektów OpenLDAP. Skorzystaj z poniższych informacji, aby przeprowadzić konfigurację.

1. Wygeneruj token tajny, który będzie używany do uwierzytelniania identyfikatora Entra firmy Microsoft w łączniku. Minimalna liczba znaków i unikatowa dla każdej aplikacji powinna wynosić 12 znaków. Jeśli nie masz jeszcze generatora wpisów tajnych, możesz użyć polecenia programu PowerShell, takiego jak poniżej, aby wygenerować przykładowy ciąg losowy.

   -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
   

2. Jeśli jeszcze tego nie zrobiono, uruchom Kreatora konfiguracji microsoft ECMA2Host z menu Start.

3. Wybierz pozycję Nowy Połączenie or.
   

4. Na stronie Właściwości wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

   Właściwości	Wartość
   Nazwisko	Nazwa wybrana dla łącznika, która powinna być unikatowa dla wszystkich łączników w danym środowisku. Na przykład LDAP.
   Czasomierz autosync (minuty)	120
   Token tajny	Tutaj wprowadź swój token tajny. Minimalna liczba znaków powinna wynosić 12 znaków.
   Biblioteka DLL rozszerzenia	W przypadku ogólnego łącznika LDAP wybierz pozycję Microsoft.IAM.PołączenieLub. GenericLdap.dll.

5. Na stronie Połączenie ivity skonfigurujesz sposób, w jaki host Połączenie or ECMA będzie komunikować się z serwerem katalogów i ustawić niektóre opcje konfiguracji. Wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej. Po wybraniu pozycji Dalej łącznik będzie wysyłał zapytanie do serwera katalogów pod kątem jego konfiguracji.
   

   Właściwości	Opis
   Host	Nazwa hosta, na którym znajduje się serwer LDAP. W tym przykładzie użyto APP3 nazwy hosta jako przykładowej nazwy hosta.
   Port	Numer portu TCP. Jeśli serwer katalogów jest skonfigurowany dla protokołu LDAP za pośrednictwem protokołu SSL, użyj portu 636. W przypadku Start TLSprogramu lub jeśli używasz zabezpieczeń na poziomie sieci, użyj portu 389.
   Przekroczenie limitu czasu połączenia	180
   Wiązanie	Ta właściwość określa sposób uwierzytelniania łącznika na serwerze katalogów. Basic Ustawienie lub ustawienie lub TLS bez skonfigurowanego SSL certyfikatu klienta spowoduje wysłanie prostego powiązania LDAP w celu uwierzytelnienia przy użyciu nazwy wyróżniającej i hasła. Po określeniu SSL ustawienia lub TLS i certyfikatu klienta łącznik wyśle powiązanie SASL EXTERNAL LDAP w celu uwierzytelnienia przy użyciu certyfikatu klienta.
   Nazwa użytkownika	Jak Połączenie or ECMA będzie uwierzytelniać się na serwerze katalogu. W tym przykładzie dla usług AD LDS przykładowa nazwa użytkownika to CN=svcAccount,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab i dla openLDAP, cn=admin,dc=contoso,dc=lab
   Hasło	Hasło użytkownika, którego Połączenie or ECMA uwierzytelni się na serwerze katalogu.
   Obszar/domena	To ustawienie jest wymagane tylko w przypadku wybrania Kerberos opcji Wiązanie, aby podać obszar/domenę użytkownika.
   Certyfikat	Ustawienia w tej sekcji są używane tylko w przypadku wybrania SSL lub TLS jako opcji Wiązanie.
   Aliasy atrybutów	Pole tekstowe aliasów atrybutów jest używane dla atrybutów zdefiniowanych w schemacie ze składnią RFC4522. Nie można wykryć tych atrybutów podczas wykrywania schematu, a łącznik potrzebuje pomocy przy identyfikowaniu tych atrybutów. Jeśli na przykład serwer katalogu nie publikuje userCertificate;binary i chcesz aprowizować ten atrybut, w polu aliasów atrybutów należy wprowadzić następujący ciąg, aby poprawnie zidentyfikować atrybut userCertificate jako atrybut binarny: userCertificate;binary. Jeśli nie potrzebujesz żadnych atrybutów specjalnych, które nie są w schemacie, możesz pozostawić to pole puste.
   Uwzględnij atrybuty operacyjne	Zaznacz pole wyboru, Include operational attributes in schema aby uwzględnić również atrybuty utworzone przez serwer katalogów. Obejmują one atrybuty, takie jak czas utworzenia obiektu i czas ostatniej aktualizacji.
   Dołączanie rozszerzalnych atrybutów	Zaznacz pole wyboru, Include extensible attributes in schema jeśli na serwerze katalogów są używane rozszerzalne obiekty (RFC4512/4.3). Włączenie tej opcji umożliwia używanie każdego atrybutu na wszystkich obiektach. Wybranie tej opcji sprawia, że schemat jest bardzo duży, chyba że połączony katalog korzysta z tej funkcji, zaleca się pozostawienie opcji niezaznaczonej.
   Zezwalaj na ręczne zaznaczanie zakotwiczenia	Pozostaw niezaznaczone.

   Uwaga

   Jeśli wystąpi problem podczas próby nawiązania połączenia i nie można przejść do strony globalnej, upewnij się, że konto usługi w usługach AD LDS lub inny serwer katalogowy jest włączony.

6. Na stronie Globalne skonfigurujesz nazwę wyróżniającą dziennika zmian różnicowych, w razie potrzeby i dodatkowe funkcje LDAP. Strona jest wstępnie wypełniana informacjami dostarczonymi przez serwer LDAP. Przejrzyj wyświetlone wartości, a następnie wybierz pozycję Dalej.

   Właściwości	opis
   Obsługiwane mechanizmy SASL	W górnej sekcji przedstawiono informacje udostępniane przez sam serwer, w tym listę mechanizmów SASL.
   Szczegóły certyfikatu serwera	Jeśli SSL określono lub TLS został określony, kreator wyświetli certyfikat zwrócony przez serwer katalogów. Upewnij się, że wystawca, podmiot i odcisk palca są odpowiednie dla poprawnego serwera katalogów.
   Znaleziono obowiązkowe funkcje	Łącznik sprawdza również, czy obowiązkowe kontrolki znajdują się w głównym środowisku DSE. Jeśli te kontrolki nie są wyświetlane, zostanie wyświetlone ostrzeżenie. Niektóre katalogi LDAP nie zawierają listy wszystkich funkcji w katalogu głównym DSE i możliwe, że łącznik działa bez problemów, nawet jeśli jest obecne ostrzeżenie.
   Obsługiwane kontrolki	Pola wyboru obsługiwanych kontrolek kontrolują zachowanie niektórych operacji
   Import zmian	Nazwa wyróżniająca dziennika zmian to kontekst nazewnictwa używany przez dziennik zmian różnicowych, na przykład cn=changelog. Tę wartość należy określić, aby móc importować różnice.
   Atrybut hasła	Jeśli serwer katalogów obsługuje inny atrybut hasła lub skróty haseł, możesz określić miejsce docelowe zmian haseł.
   Nazwy partycji	Na liście dodatkowych partycji można dodać dodatkowe przestrzenie nazw, które nie są wykrywane automatycznie. Na przykład to ustawienie może być używane, jeśli kilka serwerów składa się z klastra logicznego, co powinno być importowane w tym samym czasie. Podobnie jak usługa Active Directory może mieć wiele domen w jednym lesie, ale wszystkie domeny współużytkują jeden schemat, można to samo symulować, wprowadzając dodatkowe przestrzenie nazw w tym polu. Każda przestrzeń nazw może importować z różnych serwerów i jest dodatkowo skonfigurowana na stronie Konfigurowanie partycji i hierarchii .

7. Na stronie Partycje zachowaj wartość domyślną i wybierz pozycję Dalej.

8. Na stronie Profile uruchamiania upewnij się, że pole wyboru Eksportuj i Pełne importowanie jest zaznaczone. Następnie kliknij przycisk Dalej.
   

   Właściwości	opis
   Export	Uruchom profil, który będzie eksportować dane do serwera katalogów LDAP. Ten profil uruchamiania jest wymagany.
   Pełny import	Uruchom profil, który zaimportuje wszystkie dane ze źródeł LDAP określonych wcześniej. Ten profil uruchamiania jest wymagany.
   Importowanie różnicowe	Uruchom profil, który zaimportuje tylko zmiany z protokołu LDAP od ostatniego pełnego lub różnicowego importu. Włącz ten profil uruchamiania tylko wtedy, gdy potwierdzono, że serwer katalogowy spełnia niezbędne wymagania. Aby uzyskać więcej informacji, zobacz ogólne Połączenie or LDAP.

9. Na stronie Eksportuj pozostaw wartości domyślne bez zmian, a następnie kliknij przycisk Dalej.

10. Na stronie Pełny import pozostaw wartości domyślne bez zmian, a następnie kliknij przycisk Dalej.

11. Na stronie DeltaImportuj pozostaw wartości domyślne bez zmian, a następnie kliknij przycisk Dalej.

12. Na stronie Typy obiektów wypełnij pola i wybierz przycisk Dalej.

    Właściwości	opis
    Obiekt docelowy	Ta wartość to strukturalna klasa obiektów użytkownika na serwerze katalogu LDAP. Na przykład w inetOrgPerson przypadku protokołu OpenLDAP lub User usługi AD LDS. Nie należy określać pomocniczej klasy obiektu w tym polu. Jeśli serwer katalogów wymaga pomocniczych klas obiektów, zostaną one skonfigurowane przy użyciu mapowań atrybutów w witrynie Azure Portal.
    Kotwica	Wartości tego atrybutu powinny być unikatowe dla każdego obiektu w katalogu docelowym. Usługa aprowizacji firmy Microsoft wyśle zapytanie do hosta łącznika ECMA przy użyciu tego atrybutu po cyklu początkowym. W przypadku usług AD LDS użyj poleceń ObjectGUIDi dla innych serwerów katalogów, zobacz poniższą tabelę. Należy pamiętać, że można wybrać nazwę wyróżniającą jako -dn-. Atrybuty wielowarte, takie jak uid atrybut w schemacie OpenLDAP, nie mogą być używane jako kotwice.
    Atrybut zapytania	Ten atrybut powinien być taki sam jak kotwica, na przykład objectGUID jeśli usługa AD LDS jest serwerem katalogu lub _distinguishedName jeśli openLDAP.
    DN	Nazwa wyróżniająca obiektu docelowego. Zachowaj .-dn-
    Wygenerowany automatycznie	unchecked

    W poniższej tabeli wymieniono serwery LDAP i używaną kotwicę:

    Katalog	Kotwica
    Microsoft AD LDS i AD GC	Objectguid. Aby można było używać kotwicy, musisz używać agenta w wersji 1.1.846.0 lub nowszej ObjectGUID .
    Serwer katalogowy 389	Dn
    Katalog Apache	Dn
    IBM Tivoli DS	Dn
    Katalog Isode	Dn
    Novell/NetIQ eDirectory	Identyfikator GUID
    Otwórz DJ/DS	Dn
    Otwórz protokół LDAP	Dn
    Oracle ODSEE	Dn
    RadiantOne VDS	Dn
    Sun One Directory Server	Dn

13. Host ECMA odnajduje atrybuty obsługiwane przez katalog docelowy. Możesz wybrać, które z tych atrybutów chcesz uwidocznić w identyfikatorze Entra firmy Microsoft. Te atrybuty można następnie skonfigurować w witrynie Azure Portal na potrzeby aprowizacji. Na stronie Wybierz atrybuty dodaj wszystkie atrybuty z listy rozwijanej pojedynczo, które są wymagane jako obowiązkowe atrybuty lub które chcesz aprowizować z identyfikatora Entra firmy Microsoft.
    Lista rozwijana Atrybut zawiera wszystkie atrybuty odnalezione w katalogu docelowym i nie zostały wybrane w poprzednim użyciu kreatora konfiguracji Wybierz atrybuty strony.

    Upewnij się, że Treat as single value pole wyboru jest niezaznaczone dla atrybutu objectClass , a jeśli userPassword jest ustawione, jest nie do wyboru lub zaznaczone dla atrybutu userPassword .

    Jeśli używasz biblioteki OpenLDAP ze schematem inetOrgPerson, skonfiguruj widoczność następujących atrybutów.

    Atrybut	Traktuj jako pojedynczą wartość
    Cn	Y
    poczta	Y
    Objectclass
    sn	Y
    userPassword	Y

    Jeśli używasz biblioteki OpenLDAP ze schematem POSIX, skonfiguruj widoczność następujących atrybutów.

    Atrybut	Traktuj jako pojedynczą wartość
    _Distinguishedname
    -Dn-
    export_password
    Cn	Y
    gidNumber
    homeDirectory
    poczta	Y
    Objectclass
    sn	Y
    Identyfikator UID	Y
    uidNumber
    userPassword	Y

    Po dodaniu wszystkich odpowiednich atrybutów wybierz pozycję Dalej.

14. Na stronie Anulowanie aprowizacji możesz określić, czy chcesz, aby identyfikator Entra firmy Microsoft usuwał użytkowników z katalogu, gdy wyjdą poza zakres aplikacji. Jeśli tak, w obszarze Wyłącz przepływ wybierz pozycję Usuń, a następnie w obszarze Usuń przepływ wybierz pozycję Usuń. Jeśli Set attribute value zostanie wybrany, atrybuty wybrane na poprzedniej stronie nie będą dostępne do wybrania na stronie Anulowanie aprowizacji.

Uwaga

Jeśli używasz wartości ustaw atrybut należy pamiętać, że dozwolone są tylko wartości logiczne.

15. Wybierz Zakończ.

Upewnij się, że usługa ECMA2Host jest uruchomiona i może odczytywać z serwera katalogów

Wykonaj następujące kroki, aby potwierdzić, że host łącznika został uruchomiony i odczytał wszystkich istniejących użytkowników z serwera katalogów na hoście łącznika.

1. Na serwerze z uruchomionym hostem usługi Microsoft Entra ECMA Połączenie or wybierz pozycję Uruchom.
2. W razie potrzeby wybierz pozycję Uruchom , a następnie wprowadź ciąg services.msc w polu .
3. Na liście Usługi upewnij się, że host Microsoft ECMA2Host jest obecny i uruchomiony. Jeśli nie jest uruchomiony, wybierz pozycję Uruchom.
4. Jeśli niedawno uruchomiono usługę i masz wiele obiektów użytkownika na serwerze katalogów, zaczekaj kilka minut na nawiązanie połączenia z serwerem katalogu.
5. Na serwerze z uruchomionym hostem microsoft Entra ECMA Połączenie or uruchom program PowerShell.
6. Przejdź do folderu, w którym zainstalowano hosta ECMA, na przykład C:\Program Files\Microsoft ECMA2Host.
7. Przejdź do podkatalogu Troubleshooting.
8. Uruchom skrypt TestECMA2HostConnection.ps1 w tym katalogu, jak pokazano w poniższym przykładzie, i podaj jako argumenty nazwę łącznika ObjectTypePath i wartość cache. Jeśli host łącznika nie nasłuchuje na porcie TCP 8585, może być również konieczne podanie argumentu -Port . Po wyświetleniu monitu wpisz token tajny skonfigurowany dla tego łącznika.

   PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
   Supply values for the following parameters:
   SecretToken: ************
   

9. Jeśli skrypt wyświetli komunikat o błędzie lub ostrzeżeniu, sprawdź, czy usługa jest uruchomiona, a nazwa łącznika i token tajny są zgodne z tymi wartościami skonfigurowanymi w kreatorze konfiguracji.
10. Jeśli skrypt wyświetli dane wyjściowe False, łącznik nie widział żadnych wpisów na serwerze katalogu źródłowego dla istniejących użytkowników. Jeśli jest to nowa instalacja serwera katalogów, to zachowanie powinno być oczekiwane i można kontynuować w następnej sekcji.
11. Jeśli jednak serwer katalogu zawiera już co najmniej jednego użytkownika, ale wyświetlany Falseskrypt oznacza, że ten stan wskazuje, że łącznik nie może odczytać z serwera katalogów. Jeśli spróbujesz aprowizować, identyfikator Entra firmy Microsoft może nie być poprawnie zgodny z użytkownikami w tym katalogu źródłowym z użytkownikami w identyfikatorze Entra firmy Microsoft. Poczekaj kilka minut, aż host łącznika zakończy odczytywanie obiektów z istniejącego serwera katalogów, a następnie uruchom ponownie skrypt. Jeśli dane wyjściowe będą nadal mieć Falsewartość , sprawdź konfigurację łącznika i uprawnienia na serwerze katalogów zezwalają łącznikowi na odczytywanie istniejących użytkowników.

Testowanie połączenia z identyfikatora Entra firmy Microsoft do hosta łącznika

1. Wróć do okna przeglądarki internetowej, w którym skonfigurowano aprowizację aplikacji w portalu.

   Uwaga

   Jeśli upłynął limit czasu okna, musisz ponownie wybrać agenta.

   1. Zaloguj się w witrynie Azure Portal.
   2. Przejdź do pozycji Aplikacje dla przedsiębiorstw i lokalna aplikacja ECMA.
   3. Kliknij pozycję Aprowizowanie.
   4. Jeśli pojawi się okno Wprowadzenie, zmień tryb na Automatyczny w sekcji Lokalna Połączenie ivity wybierz właśnie wdrożonego agenta, a następnie wybierz pozycję Przypisz agentów i poczekaj 10 minut. W przeciwnym razie przejdź do pozycji Edytuj aprowizację.

2. W sekcji Administracja credentials (Poświadczenia Administracja) wprowadź następujący adres URL. Zastąp connectorName część nazwą łącznika na hoście ECMA, na przykład LDAP. Jeśli podano certyfikat z urzędu certyfikacji dla hosta ECMA, zastąp ciąg localhost nazwą hosta serwera, na którym jest zainstalowany host ECMA.

   Właściwości	Wartość
   Adres URL dzierżawy	https://localhost:8585/ecma2host_connectorName/scim

3. Wprowadź wartość tokenu wpisu tajnego zdefiniowaną podczas tworzenia łącznika.

   Uwaga

   Jeśli właśnie przypisano agenta do aplikacji, zaczekaj 10 minut na ukończenie rejestracji. Test łączności nie będzie działać, dopóki rejestracja nie zostanie ukończona. Wymuszanie ukończenia rejestracji agenta przez ponowne uruchomienie agenta aprowizacji na serwerze może przyspieszyć proces rejestracji. Przejdź do serwera, wyszukaj usługi na pasku wyszukiwania systemu Windows, zidentyfikuj usługę Microsoft Entra Połączenie Provisioning Agent, kliknij prawym przyciskiem myszy usługę i uruchom ponownie.

4. Wybierz pozycję Test Połączenie ion i zaczekaj minutę.

5. Po pomyślnym przetestowaniu połączenia i wskazaniu, że podane poświadczenia są autoryzowane do włączenia aprowizacji, wybierz pozycję Zapisz.
   

Rozszerzanie schematu Entra firmy Microsoft (opcjonalnie)

Jeśli serwer katalogów wymaga dodatkowych atrybutów, które nie są częścią domyślnego schematu Microsoft Entra dla użytkowników, podczas aprowizacji można skonfigurować w celu dostarczania wartości tych atrybutów z stałej, z wyrażenia przekształconego z innych atrybutów firmy Microsoft Entra lub przez rozszerzenie schematu Microsoft Entra.

Jeśli serwer katalogów wymaga, aby użytkownicy mieli atrybut, taki jak uidNumber schemat OpenLDAP POSIX, i ten atrybut nie jest jeszcze częścią schematu microsoft Entra dla użytkownika i musi być unikatowy dla każdego użytkownika, musisz wygenerować ten atrybut z innych atrybutów użytkownika za pomocą wyrażenia lub użyć funkcji rozszerzenia katalogu, aby dodać ten atrybut jako rozszerzenie.

Jeśli użytkownicy pochodzą z usług domena usługi Active Directory i mają atrybut w tym katalogu, możesz użyć usługi Microsoft Entra Połączenie lub microsoft Entra Połączenie synchronizacji w chmurze, aby skonfigurować, że atrybut powinien zostać zsynchronizowany z domena usługi Active Directory Usługi dla firmy Microsoft Entra ID, dzięki czemu są dostępne do aprowizacji w innych systemach.

Jeśli użytkownicy pochodzą z identyfikatora Entra firmy Microsoft, dla każdego nowego atrybutu musisz przechowywać użytkownika, musisz zdefiniować rozszerzenie katalogu. Następnie zaktualizuj użytkowników usługi Microsoft Entra, którzy mają zostać aprowizowani, aby dać każdemu użytkownikowi wartość tych atrybutów.

Konfigurowanie mapowania atrybutów

W tej sekcji skonfigurujesz mapowanie między atrybutami użytkownika Firmy Microsoft Entra i atrybutami wybranymi wcześniej w kreatorze konfiguracji hosta ECMA. Później, gdy łącznik utworzy obiekt na serwerze katalogów, atrybuty użytkownika Microsoft Entra zostaną następnie wysłane za pośrednictwem łącznika do serwera katalogów, aby być częścią tego nowego obiektu.

1. W centrum administracyjnym firmy Microsoft Entra w obszarze Aplikacje dla przedsiębiorstw wybierz aplikację lokalną aplikacji ECMA, a następnie wybierz stronę Aprowizacja .

2. Wybierz pozycję Edytuj aprowizację.

3. Rozwiń węzeł Mapowania i wybierz pozycję Aprowizuj użytkowników firmy Microsoft Entra. Jeśli po raz pierwszy skonfigurowano mapowania atrybutów dla tej aplikacji, dla symbolu zastępczego będzie istnieć tylko jedno mapowanie.

4. Aby upewnić się, że schemat serwera katalogów jest dostępny w identyfikatorze Entra firmy Microsoft, zaznacz pole wyboru Pokaż opcje zaawansowane i wybierz pozycję Edytuj listę atrybutów dla pozycji ScimOnPremises. Upewnij się, że wszystkie atrybuty wybrane w kreatorze konfiguracji są wyświetlane. Jeśli tak nie jest, zaczekaj kilka minut na odświeżenie schematu, a następnie wybierz pozycję Mapowanie atrybutów w wierszu nawigacji, a następnie ponownie wybierz pozycję Edytuj listę atrybutów dla elementu ScimOnPremises , aby ponownie załadować stronę. Po wyświetleniu atrybutów na liście anuluj z tej strony, aby powrócić do listy mapowań.

5. Każdy użytkownik w katalogu musi mieć unikatową nazwę wyróżniającą. Możesz określić sposób konstruowania nazwy wyróżniającej łącznika przy użyciu mapowania atrybutów. Wybierz pozycję Dodaj nowe mapowanie. Użyj wartości w poniższym przykładzie, aby utworzyć mapowanie, zmieniając nazwy wyróżniające w wyrażeniu, aby dopasować je do jednostki organizacyjnej lub innego kontenera w katalogu docelowym.

   • Typ mapowania: wyrażenie
   • Wyrażenie, jeśli aprowizacja w usłudze AD LDS: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",CN=CloudUsers,CN=App,DC=Contoso,DC=lab")
   • Wyrażenie, jeśli aprowizacja w usłudze OpenLDAP: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
   • Atrybut docelowy: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
   • Zastosuj to mapowanie: tylko podczas tworzenia obiektu

6. Jeśli serwer katalogów wymaga wielu wartości klas obiektów strukturalnych lub pomocniczych wartości klas obiektów, które mają być podane w atrybucie objectClass , dodaj mapowanie do tego atrybutu. W tym przykładzie aprowizacji w usłudze AD LDS mapowanie objectClass nie jest wymagane, ale może być konieczne w przypadku innych serwerów katalogów lub innych schematów. Aby dodać mapowanie dla objectClasselementu , wybierz pozycję Dodaj nowe mapowanie. Użyj wartości w poniższym przykładzie, aby utworzyć mapowanie, zmieniając nazwy klas obiektów w wyrażeniu, aby dopasować je do schematu katalogu docelowego.

   • Typ mapowania: wyrażenie
   • Wyrażenie, jeśli aprowizacja schematu inetOrgPerson: Split("inetOrgPerson",",")
   • Wyrażenie, jeśli aprowizacja schematu POSIX: Split("inetOrgPerson,posixAccount,shadowAccount",",")
   • Atrybut docelowy: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
   • Zastosuj to mapowanie: tylko podczas tworzenia obiektu

7. Jeśli aprowizujesz usługę AD LDS i istnieje mapowanie z userPrincipalName na SYMBOL ZASTĘPCZY, a następnie kliknij to mapowanie i edytuj. Użyj poniższych wartości, aby zaktualizować mapowanie.

   • Typ mapowania: bezpośredni
   • Atrybut źródłowy: userPrincipalName
   • Atrybut docelowy: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPrincipalName
   • Pierwszeństwo dopasowywania: 1
   • Zastosuj to mapowanie: tylko podczas tworzenia obiektu

8. Jeśli aprowizujesz usługę AD LDS, dodaj mapowanie elementu isSoftDeleted. Wybierz pozycję Dodaj nowe mapowanie. Użyj poniższych wartości, aby utworzyć mapowanie.

   • Typ mapowania: bezpośredni
   • Atrybut źródłowy: isSoftDeleted
   • Atrybut docelowy: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:msDS-UserAccountDisabled

9. Dla każdego mapowania w poniższej tabeli dla serwera katalogów wybierz pozycję Dodaj nowe mapowanie i określ atrybuty źródłowe i docelowe. Jeśli aprowizujesz istniejący katalog z istniejącymi użytkownikami, musisz edytować mapowanie atrybutu, który jest wspólny, aby ustawić obiekty Dopasowania przy użyciu tego atrybutu . Dowiedz się więcej o mapowaniu atrybutów tutaj.

   W przypadku usług AD LDS:

   Typ mapowania	Atrybut źródłowy	Atrybut docelowy
   Direct	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:displayName

   Dla openLDAP:

   Typ mapowania	Atrybut źródłowy	Atrybut docelowy
   Bezpośredni	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn
   Bezpośredni	surname	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn
   Bezpośredni	userPrincipalName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail

   W przypadku programu OpenLDAP ze schematem POSIX należy również podać gidNumberatrybuty , homeDirectoryuid i uidNumber . Każdy użytkownik wymaga unikatowego uid i unikatowego uidNumberelementu . Zazwyczaj element homeDirectory jest ustawiany przez wyrażenie pochodzące z identyfikatora userID użytkownika. Jeśli na przykład element uid użytkownika jest generowany przez wyrażenie pochodzące z głównej nazwy użytkownika, wartość katalogu macierzystego tego użytkownika może zostać wygenerowana przez podobne wyrażenie również pochodzące z głównej nazwy użytkownika. W zależności od przypadku użycia możesz chcieć, aby wszyscy użytkownicy znajdowali się w tej samej grupie, więc przypiszeliby element gidNumber ze stałej.

   Typ mapowania	Atrybut źródłowy	Atrybut docelowy
   Wyrażenie	ToLower(Word([userPrincipalName], 1, "@"), )	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid
   Direct	(atrybut specyficzny dla katalogu)	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber
   Wyrażenie	Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory
   Stała	10000	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber

10. Jeśli aprowizacja w katalogu innym niż ad LDS, dodaj mapowanie do urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword tego ustawia początkowe losowe hasło dla użytkownika. W przypadku usług AD LDS nie ma mapowania elementu userPassword.

11. Wybierz pozycję Zapisz.

Upewnij się, że użytkownicy, którzy mają być aprowizowani w aplikacji, mają wymagane atrybuty w identyfikatorze Entra firmy Microsoft

Jeśli istnieją osoby, które mają istniejące konta użytkowników w katalogu LDAP, musisz upewnić się, że reprezentacja użytkownika Microsoft Entra ma atrybuty wymagane do dopasowania.

Jeśli planujesz tworzenie nowych użytkowników w katalogu LDAP, musisz upewnić się, że reprezentacje firmy Microsoft dla tych użytkowników mają atrybuty źródłowe wymagane przez schemat użytkownika katalogu docelowego.

Za pomocą poleceń cmdlet programu PowerShell programu Microsoft Graph można zautomatyzować sprawdzanie użytkowników pod kątem wymaganych atrybutów.

Załóżmy na przykład, że aprowizacja wymaga od użytkowników posiadania trzech atrybutów DisplayNameisurnameextension_656b1c479a814b1789844e76b2f459c3_MyNewProperty. Możesz użyć Get-MgUser polecenia cmdlet , aby pobrać każdego użytkownika i sprawdzić, czy istnieją wymagane atrybuty. Należy pamiętać, że polecenie cmdlet programu Graph w wersji 1.0 Get-MgUser nie zwraca domyślnie żadnych atrybutów rozszerzenia katalogu użytkownika, chyba że atrybuty są określone w żądaniu jako jedna z właściwości do zwrócenia.

$userPrincipalNames = (
 "alice@contoso.com",
 "bob@contoso.com",
 "carol@contoso.com" )

$requiredBaseAttributes = ("DisplayName","surname")
$requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")

$select = "id"
foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;}
foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;}

foreach ($un in $userPrincipalNames) {
   $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop
   foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} }
   foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } }
}

Zbieranie istniejących użytkowników z katalogu LDAP

Wiele katalogów LDAP, takich jak usługa Active Directory, zawiera polecenie, które generuje listę użytkowników.

1. Zidentyfikuj użytkowników w tym katalogu w zakresie użytkowników aplikacji. Ten wybór będzie zależeć od konfiguracji aplikacji. W przypadku niektórych aplikacji każdy użytkownik, który istnieje w katalogu LDAP, jest prawidłowym użytkownikiem. Inne aplikacje mogą wymagać od użytkownika posiadania określonego atrybutu lub być członkiem grupy w tym katalogu.

2. Uruchom polecenie, które pobiera ten podzbiór użytkowników z katalogu LDAP. Upewnij się, że dane wyjściowe zawierają atrybuty użytkowników, które będą używane do dopasowywania do identyfikatora Entra firmy Microsoft. Przykłady tych atrybutów to identyfikator pracownika, nazwa konta i adres e-mail.

   Na przykład to polecenie w systemie Windows przy użyciu programu AD LDS csvde tworzy plik CSV w bieżącym katalogu systemu plików z atrybutem userPrincipalName każdej osoby w katalogu:

   $out_filename = ".\users.csv"
   csvde -f $out_filename -l userPrincipalName,cn -r "(objectclass=person)"
   

3. W razie potrzeby przenieś plik CSV zawierający listę użytkowników do systemu przy użyciu zainstalowanych poleceń cmdlet programu PowerShell programu Microsoft Graph.

4. Teraz, gdy masz listę wszystkich użytkowników uzyskanych z aplikacji, dopasujesz tych użytkowników z magazynu danych aplikacji z użytkownikami w usłudze Microsoft Entra ID. Przed kontynuowaniem przejrzyj informacje dotyczące pasujących użytkowników w systemach źródłowych i docelowych.

Pobieranie identyfikatorów użytkowników w identyfikatorze entra firmy Microsoft

W tej sekcji przedstawiono sposób interakcji z identyfikatorem Entra firmy Microsoft przy użyciu poleceń cmdlet programu PowerShell programu Microsoft Graph.

Przy pierwszym użyciu tych poleceń cmdlet w organizacji w tym scenariuszu musisz mieć rolę globalnego Administracja istratora, aby umożliwić programowi Microsoft Graph używanie programu PowerShell w dzierżawie. Kolejne interakcje mogą używać roli o niższych uprawnieniach, takich jak:

• Użytkownik Administracja istrator, jeśli przewidujesz tworzenie nowych użytkowników.
• Administracja istrator aplikacji lub Administracja istrator zarządzania tożsamościami, jeśli zarządzasz przypisaniami ról aplikacji.

1. Otwórz program PowerShell.

2. Jeśli nie masz już zainstalowanych modułów programu PowerShell programu Microsoft Graph, zainstaluj Microsoft.Graph.Users moduł i inne za pomocą tego polecenia:

   Install-Module Microsoft.Graph
   

   Jeśli masz już zainstalowane moduły, upewnij się, że używasz najnowszej wersji:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Połączenie do identyfikatora Entra firmy Microsoft:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Jeśli używasz tego polecenia po raz pierwszy, może być konieczne wyrażenie zgody na zezwolenie narzędziom wiersza polecenia programu Microsoft Graph na te uprawnienia.

5. Przeczytaj listę użytkowników uzyskanych z magazynu danych aplikacji do sesji programu PowerShell. Jeśli lista użytkowników znajdowała się w pliku CSV, możesz użyć polecenia cmdlet Import-Csv programu PowerShell i podać nazwę pliku z poprzedniej sekcji jako argument.

   Jeśli na przykład plik uzyskany z usług SAP Cloud Identity Services nosi nazwę Users-exported-from-sap.csv i znajduje się w bieżącym katalogu, wprowadź to polecenie.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   W innym przykładzie, jeśli używasz bazy danych lub katalogu, jeśli plik ma nazwę users.csv i znajduje się w bieżącym katalogu, wprowadź następujące polecenie:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Wybierz kolumnę pliku users.csv , który będzie zgodny z atrybutem użytkownika w usłudze Microsoft Entra ID.

   Jeśli używasz usług SAP Cloud Identity Services, domyślne mapowanie to atrybut SAP SCIM z atrybutem userNameuserPrincipalNameMicrosoft Entra ID :

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   W innym przykładzie, jeśli używasz bazy danych lub katalogu, być może użytkownicy w bazie danych, w której wartość w kolumnie o nazwie EMail jest taka sama jak w atrybucie userPrincipalNameMicrosoft Entra :

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Pobierz identyfikatory tych użytkowników w identyfikatorze Entra firmy Microsoft.

   Poniższy skrypt programu PowerShell używa $dbusersokreślonych wcześniej wartości , $db_match_column_namei $azuread_match_attr_name . Spowoduje to wysłanie zapytania do identyfikatora Entra firmy Microsoft w celu zlokalizowania użytkownika, który ma atrybut z pasującą wartością dla każdego rekordu w pliku źródłowym. Jeśli w pliku uzyskanym ze źródłowej usługi SAP Cloud Identity Services, bazy danych lub katalogu istnieje wiele użytkowników, ten skrypt może potrwać kilka minut. Jeśli nie masz atrybutu w identyfikatorze Entra firmy Microsoft, który ma wartość i musisz użyć contains lub innego wyrażenia filtru, musisz dostosować ten skrypt i to w kroku 11 poniżej, aby użyć innego wyrażenia filtru.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Wyświetl wyniki poprzednich zapytań. Sprawdź, czy którykolwiek z użytkowników w usługach SAP Cloud Identity Services, bazie danych lub katalogu nie może znajdować się w identyfikatorze Entra firmy Microsoft z powodu błędów lub brakujących dopasowań.

   Poniższy skrypt programu PowerShell wyświetli liczbę rekordów, które nie zostały zlokalizowane:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Po zakończeniu działania skryptu będzie on wskazywać błąd, jeśli jakiekolwiek rekordy ze źródła danych nie znajdowały się w identyfikatorze Entra firmy Microsoft. Jeśli nie wszystkie rekordy użytkowników z magazynu danych aplikacji mogą znajdować się jako użytkownicy w usłudze Microsoft Entra ID, należy zbadać, które rekordy nie są zgodne i dlaczego.

   Na przykład adres e-mail użytkownika i userPrincipalName mogły zostać zmienione w identyfikatorze Entra firmy Microsoft bez aktualizowania odpowiedniej mail właściwości w źródle danych aplikacji. Lub użytkownik mógł już opuścił organizację, ale nadal znajduje się w źródle danych aplikacji. Może też istnieć konto dostawcy lub administratora w źródle danych aplikacji, które nie odpowiada żadnej konkretnej osobie w identyfikatorze Entra firmy Microsoft.

10. Jeśli nie było użytkowników, którzy nie mogli znajdować się w identyfikatorze Entra firmy Microsoft lub nie byli aktywni i mogli się zalogować, ale chcesz mieć przeglądany dostęp lub ich atrybuty zaktualizowane w usługach SAP Cloud Identity Services, bazie danych lub katalogu, musisz zaktualizować aplikację, regułę dopasowania lub zaktualizować lub utworzyć dla nich użytkowników firmy Microsoft Entra. Aby uzyskać więcej informacji na temat wprowadzania zmian, zobacz Zarządzanie mapowaniami i kontami użytkowników w aplikacjach, które nie są zgodne z użytkownikami w identyfikatorze Entra firmy Microsoft.

    Jeśli wybierzesz opcję tworzenia użytkowników w usłudze Microsoft Entra ID, możesz utworzyć użytkowników zbiorczo przy użyciu jednego z następujących elementów:

    • Plik CSV, zgodnie z opisem w artykule Zbiorcze tworzenie użytkowników w centrum administracyjnym firmy Microsoft Entra
    • Polecenie cmdlet New-MgUser

    Upewnij się, że ci nowi użytkownicy są wypełniani atrybutami wymaganymi przez identyfikator Entra firmy Microsoft, aby później dopasować je do istniejących użytkowników w aplikacji, oraz atrybuty wymagane przez identyfikator Entra firmy Microsoft, w tym userPrincipalNamemailNickname , i displayName. Element userPrincipalName musi być unikatowy dla wszystkich użytkowników w katalogu.

    Możesz na przykład mieć użytkowników w bazie danych, w której wartość w kolumnie o nazwie EMail jest wartością, której chcesz użyć jako głównej nazwy użytkownika Microsoft Entra, wartość w kolumnie Alias zawiera pseudonim poczty Microsoft Entra ID, a wartość w kolumnie Full name zawiera nazwę wyświetlaną użytkownika:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Następnie możesz użyć tego skryptu, aby utworzyć użytkowników usługi Microsoft Entra dla użytkowników w usługach SAP Cloud Identity Services, bazie danych lub katalogu, który nie był zgodny z użytkownikami w usłudze Microsoft Entra ID. Należy pamiętać, że może być konieczne zmodyfikowanie tego skryptu w celu dodania dodatkowych atrybutów firmy Microsoft Entra wymaganych w organizacji lub jeśli $azuread_match_attr_name parametr nie mailNickname jest ani userPrincipalName, aby podać ten atrybut Entra firmy Microsoft.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Po dodaniu wszystkich brakujących użytkowników do identyfikatora Entra firmy Microsoft ponownie uruchom skrypt z kroku 7. Następnie uruchom skrypt z kroku 8. Sprawdź, czy nie zgłoszono żadnych błędów.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Przypisywanie użytkowników do aplikacji

Teraz, gdy masz skonfigurowaną usługę Microsoft Entra ECMA Połączenie or host z identyfikatorem Entra firmy Microsoft i skonfigurowanym mapowaniem atrybutów, możesz przejść do konfigurowania osób w zakresie aprowizacji.

Ważne

Jeśli zalogowano się przy użyciu roli Administracja istratora tożsamości hybrydowej, musisz wylogować się i zalogować się przy użyciu konta z rolą application Administracja istrator, Administracja istrator aplikacji w chmurze lub roli Global Administracja istrator dla tej sekcji. Rola Administracja istrator tożsamości hybrydowej nie ma uprawnień do przypisywania użytkowników do aplikacji.

Jeśli w katalogu LDAP istnieją użytkownicy, należy utworzyć przypisania ról aplikacji dla istniejących użytkowników w identyfikatorze Entra firmy Microsoft. Aby dowiedzieć się więcej na temat zbiorczego tworzenia przypisań ról aplikacji przy użyciu programu New-MgServicePrincipalAppRoleAssignedTo, zobacz Zarządzanie istniejącymi użytkownikami aplikacji w identyfikatorze Entra firmy Microsoft.

W przeciwnym razie, jeśli katalog LDAP jest pusty, wybierz użytkownika testowego z identyfikatora Entra firmy Microsoft, który ma wymagane atrybuty i zostanie aprowizowany na serwerze katalogu aplikacji.

1. Upewnij się, że wybrany użytkownik ma wszystkie właściwości, które zostaną zamapowane na wymagane atrybuty schematu serwera katalogów.
2. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw.
3. Wybierz lokalną aplikację ECMA.
4. Po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy i grupy.
5. Wybierz pozycję Dodaj użytkownika/grupę.
6. W obszarze Użytkownicy wybierz pozycję Brak zaznaczone.
7. Wybierz użytkownika po prawej stronie i wybierz przycisk Wybierz .
   
8. Teraz wybierz pozycję Przypisz.

Testowanie aprowizacji

Po zamapowaniu atrybutów i przypisaniu początkowego użytkownika możesz przetestować aprowizację na żądanie przy użyciu jednego z użytkowników.

1. Na serwerze z uruchomionym hostem usługi Microsoft Entra ECMA Połączenie or wybierz pozycję Uruchom.

2. Wprowadź polecenie run i wprowadź ciąg services.msc w polu .

3. Na liście Usługi upewnij się, że są uruchomione usługi Microsoft Entra Połączenie Provisioning Agent i Microsoft ECMA2Host. W przeciwnym razie wybierz pozycję Uruchom.

4. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw.

5. Wybierz lokalną aplikację ECMA.

6. Po lewej stronie wybierz pozycję Aprowizowanie.

7. Wybierz pozycję Aprowizuj na żądanie.

8. Wyszukaj jednego z użytkowników testowych i wybierz pozycję Aprowizuj.
   

9. Po kilku sekundach zostanie wyświetlony komunikat Pomyślnie utworzony użytkownik w systemie docelowym z listą atrybutów użytkownika. Jeśli zamiast tego wystąpi błąd, zobacz Rozwiązywanie problemów z błędami aprowizacji.

Rozpoczynanie aprowizacji użytkowników

Po pomyślnym przetestowaniu aprowizacji na żądanie dodaj pozostałych użytkowników.

1. W witrynie Azure Portal wybierz aplikację.
2. Po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy i grupy.
3. Upewnij się, że wszyscy użytkownicy są przypisani do roli aplikacji.
4. Wróć do strony konfiguracji aprowizacji.
5. Upewnij się, że zakres jest ustawiony na tylko przypisanych użytkowników i grupy, włącz stan aprowizacji na Wł., a następnie wybierz pozycję Zapisz.
6. Poczekaj kilka minut na rozpoczęcie aprowizacji. Może upłynąć do 40 minut. Po zakończeniu zadania aprowizacji, zgodnie z opisem w następnej sekcji,

Rozwiązywanie problemów z błędami aprowizacji

Jeśli zostanie wyświetlony błąd, wybierz pozycję Wyświetl dzienniki aprowizacji. Wyszukaj w dzienniku wiersz, w którym stan to Niepowodzenie, a następnie kliknij ten wiersz.

Jeśli komunikat o błędzie nie może utworzyć użytkownika, sprawdź atrybuty wyświetlane zgodnie z wymaganiami schematu katalogu.

Aby uzyskać więcej informacji, przejdź do karty Rozwiązywanie problemów i Rekomendacje.

Jeśli komunikat o błędzie rozwiązywania problemów zawiera informację, że wartość objectClass to invalid per syntax, upewnij się, że mapowanie atrybutu aprowizacji na objectClass atrybut zawiera tylko nazwy klas obiektów rozpoznawanych przez serwer katalogów.

Aby uzyskać informacje o innych błędach, zobacz Rozwiązywanie problemów z aprowizowaniem aplikacji lokalnych.

Jeśli chcesz wstrzymać aprowizowanie do tej aplikacji, na stronie konfiguracji aprowizacji możesz zmienić stan aprowizacji na Wyłączone, a następnie wybrać pozycję Zapisz. Ta akcja uniemożliwia uruchomienie usługi aprowizacji w przyszłości.

Sprawdź, czy użytkownicy zostali pomyślnie aprowizowani

Po oczekiwaniu sprawdź serwer katalogów, aby upewnić się, że użytkownicy są aprowizowani. Zapytanie wykonywane na serwerze katalogów będzie zależeć od tego, jakie polecenia udostępnia serwer katalogów.

Poniższe instrukcje ilustrują sposób sprawdzania usług AD LDS.

1. Otwórz Menedżer serwera i wybierz pozycję AD LDS po lewej stronie.
2. Kliknij prawym przyciskiem myszy wystąpienie usługi AD LDS i wybierz ldp.exe z wyskakującego okienka.
   
3. W górnej części ldp.exe wybierz pozycję Połączenie ion i Połączenie.
4. Wprowadź następujące informacje i kliknij przycisk OK.
   • Serwer: APP3
   • Port: 636
   • Umieść zaznaczenie w polu SSL
     
5. U góry w obszarze Połączenie ion wybierz pozycję Powiąż.
6. Pozostaw wartości domyślne i kliknij przycisk OK.
7. W górnej części wybierz pozycję Widok i Drzewo
8. Dla nazwy BaseDN wprowadź CN=App,DC=contoso,DC=lab i kliknij przycisk OK.
9. Po lewej stronie rozwiń nazwę wyróżniającą i kliknij pozycję CN=CloudUsers,CN=App,DC=contoso,DC=lab. Powinni być widoczni twoi użytkownicy, którzy zostali aprowizowani z identyfikatora Entra firmy Microsoft.
   

Poniższe instrukcje ilustrują sposób sprawdzania biblioteki OpenLDAP.

1. Otwórz okno terminalu z powłoką poleceń w systemie przy użyciu protokołu OpenLDAP.
2. Wpisz polecenie ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson)
3. Sprawdź, czy wynikowy program LDIF zawiera użytkowników aprowidowanych z identyfikatora Entra firmy Microsoft.

Następne kroki

• Aprowizowanie aplikacji
• Samouczek: łącznik OGÓLNY SQL hostów ECMA Połączenie or