Współpraca między firmami w usłudze Azure AD (B2B) z Microsoft Identity Manager(MIM) 2016 SP1 z usługą Azure serwer proxy aplikacji

Początkowy scenariusz to zarządzanie cyklem życia konta usługi AD użytkownika zewnętrznego. W tym scenariuszu organizacja zaprosiła gości do katalogu usługi Azure AD i chce udzielić im dostępu do lokalnych aplikacji usługi Windows-Integrated Authentication lub Kerberos za pośrednictwem serwera proxy aplikacji usługi Azure AD lub innych mechanizmów bramy. Serwer proxy aplikacji usługi Azure AD wymaga, aby każdy użytkownik miał własne konto AD DS na potrzeby identyfikacji i delegowania.

Scenario-Specific wskazówki

Kilka założeń dotyczących konfiguracji B2B z usługami MIM i Azure AD serwer proxy aplikacji:

  • Wdrożono już lokalną usługę AD i zainstalowano usługę Microsoft Identity Manager oraz podstawową konfigurację usług MIM Service, MIM Portal, Active Directory Management Agent (AD MA) i FIM Management Agent (FIM MA). https://docs.microsoft.com/microsoft-identity-manager/microsoft-identity-manager-deploy

  • Instrukcje w artykule dotyczącym pobierania i instalowania łącznika aplikacji zostały już Graph .

  • Masz usługę Azure AD Połączenie skonfigurowaną do synchronizowania użytkowników i grup z usługą Azure AD.

  • Masz już skonfigurowane łączniki serwer proxy aplikacji i grupy łączników. Jeśli nie, możesz odwiedzić tutaj, aby zainstalować i skonfigurować

  • Opublikowano już jedną lub więcej aplikacji, które korzystają ze zintegrowanego uwierzytelniania Windows lub indywidualnych kont usługi AD za pośrednictwem aplikacja usługi Azure AD Proxy

  • Zaproszono lub zaproszono co najmniej jednego gościa, co spowoduje, że w usłudze Azure AD zostanie utworzony co najmniej jeden użytkownik https://docs.microsoft.com/azure/active-directory/active-directory-b2b-self-service-portal

Przykładowy scenariusz wdrożenia typu end-to-end B2B

Ten przewodnik opiera się na następującym scenariuszu:

Firma Contoso Pharmaceuticals współpracuje z firmy Trey Research Inc. w ramach działu R & D. Pracownicy firmy Trey Research muszą uzyskać dostęp do aplikacji do raportowania badań firmy Contoso Farmacja.

  • Firma Contoso Farmacja jest we własnej dzierżawie, aby skonfigurować domenę niestandardową.

  • Ktoś zaprosił użytkownika zewnętrznego do dzierżawy Contoso Farmacja. Ten użytkownik zaakceptował zaproszenie i może uzyskać dostęp do udostępnionych zasobów.

  • Firma Contoso Pharmaceuticals opublikowała aplikację za pośrednictwem serwera proxy aplikacji. W tym scenariuszu przykładowa aplikacja to MIM Portal. Dzięki temu użytkownik-gość może uczestniczyć w procesach MIM, na przykład w scenariuszach pomocy technicznej lub żądać dostępu do grup w MIM.

Konfigurowanie usług AD i Azure AD Połączenie wykluczanie użytkowników dodanych z usługi Azure AD

Domyślnie usługa Azure AD Połączenie zakłada, że użytkownicy niebędący administratorami w usłudze Active Directory muszą być zsynchronizowani z usługą Azure AD. Jeśli usługa Azure AD Połączenie znajdzie istniejącego użytkownika w usłudze Azure AD, który pasuje do użytkownika z lokalnej usługi AD, usługa Azure AD Połączenie dopasuje dwa konta i przyjmie, że jest to wcześniejsza synchronizacja użytkownika, a lokalna usługa AD będzie autorytatywna. To domyślne zachowanie nie jest jednak odpowiednie w przypadku przepływu B2B, w którym konto użytkownika pochodzi z usługi Azure AD.

W związku z tym użytkownicy przyniesieni do usługi AD DS przez usługę MIM z usługi Azure AD muszą być przechowywani w taki sposób, aby usługa Azure AD nie próbowała zsynchronizować tych użytkowników z powrotem z usługą Azure AD. Jednym ze sposobów na to jest utworzenie nowej jednostki organizacyjnej w usłudze AD DS i skonfigurowanie usługi Azure AD Połączenie wykluczania tej jednostki organizacyjnej.

Więcej informacji można znaleźć w tesłudze Azure AD Połączenie sync: Configure filtering(Konfigurowanie filtrowania).

Tworzenie aplikacji usługi Azure AD

Uwaga: Przed utworzeniem w programie MIM Sync agenta zarządzania dla łącznika programu Graph upewnij się, że został przejrzeny przewodnik wdrażania łącznika usługi Graphi utworzono aplikację z identyfikatorem klienta i kluczem tajnym. Upewnij się, że aplikacja została autoryzowana do co najmniej jednego z tych uprawnień: User.Read.AllUser.ReadWrite.All , lub Directory.Read.AllDirectory.ReadWrite.All .

Tworzenie nowego agenta zarządzania

W interfejsie Synchronization Service Manager wybierz pozycję Łączniki i utwórz. Wybierz Graph (Microsoft) i nadaj mu opisową nazwę.

Łączność

Na stronie Łączność należy określić wersję Graph API. Gotowość do produkcji PAI to wersja V 1.0,a nieprodukcyjna to Beta.

Parametry globalne

Konfigurowanie hierarchii aprowingu

Ta strona służy do mapowania składnika DN, na przykład jednostki Organizacyjnej, do typu obiektu, który powinien być aprowowany, na przykład organizationalUnit. Nie jest to wymagane w tym scenariuszu, więc pozostaw to ustawienie domyślne i kliknij przycisk Dalej.

Konfiguruj partycje i hierarchie

Na stronie Partycje i hierarchie wybierz wszystkie przestrzenie nazw z obiektami, które planujesz zaimportować i wyeksportować.

Wybierz typy obiektów

Na stronie Typy obiektów wybierz typy obiektów, które planujesz zaimportować. Musisz wybrać co najmniej pozycję "Użytkownik".

Wybierz atrybuty

Na ekranie Wybieranie atrybutów wybierz atrybuty z usługi Azure AD, które będą potrzebne do zarządzania użytkownikami B2B w usłudze AD. Atrybut "ID" jest wymagany. Atrybuty i userPrincipalName będą używane w userType dalszej części tej konfiguracji. Inne atrybuty są opcjonalne, w tym

  • displayName

  • mail

  • givenName

  • surname

  • userPrincipalName

  • userType

Konfiguruj zakotwiczenia

Na ekranie Konfigurowanie kotwicy skonfigurowanie atrybutu zakotwiczenia jest krokiem wymaganym. Domyślnie użyj atrybutu ID na użytek mapowania użytkownika.

Konfiguruj filtr łącznika

Na stronie konfigurowania filtru łącznika MIM odfiltrować obiekty na podstawie filtru atrybutów. W tym scenariuszu dla B2B celem jest tylko wprowadzenie użytkowników z wartością atrybutu o wartości równej , a nie użytkowników z userTypeGuest właściwością userType o wartości member .

Konfiguruj reguły dołączania i projekcji

W tym przewodniku przyjęto założenie, że będziesz tworzyć regułę synchronizacji. Ponieważ konfigurowanie reguł sprzężenia i projekcji jest obsługiwane przez regułę synchronizacji, nie trzeba identyfikować sprzężenia i projekcji na samym łączniku. Pozostaw wartość domyślną i kliknij przycisk OK.

Konfiguruj przepływ atrybutów

W tym przewodniku przyjęto założenie, że będziesz tworzyć regułę synchronizacji. Projekcja nie jest potrzebna do definiowania przepływu atrybutów w u MIM Sync, ponieważ jest on obsługiwany przez regułę synchronizacji utworzoną później. Pozostaw wartość domyślną i kliknij przycisk OK.

Konfigurowanie coprowizyj

Ustawienie służące do konfigurowania coprowizowania umożliwia skonfigurowanie synchronizacji MIM w celu usunięcia obiektu, jeśli obiekt Metaverse zostanie usunięty. W tym scenariuszu używamy ich jako rozłączników, ponieważ celem jest pozostawienie ich w usłudze Azure AD. W tym scenariuszu nie eksportujemy niczego do usługi Azure AD, a łącznik jest skonfigurowany tylko do importowania.

Konfigurowanie rozszerzeń

Konfigurowanie rozszerzeń dla tego agenta zarządzania jest opcją, ale nie jest wymagana, ponieważ używamy reguły synchronizacji. Jeśli zdecydujemy się użyć zaawansowanej reguły w przepływie atrybutów wcześniej, istnieje możliwość zdefiniowania rozszerzenia reguł.

Rozszerzanie schematu Metaverse

Przed utworzeniem reguły synchronizacji należy utworzyć atrybut o nazwie userPrincipalName powiązany z obiektem osoby przy użyciu projektanta MV.

W kliencie synchronizacji wybierz pozycję Metaverse Designer

Następnie wybierz typ obiektu Person

Następnie w obszarze akcji kliknij pozycję Dodaj atrybut

Następnie uzupełnij następujące szczegóły

Nazwa atrybutu: userPrincipalName

Typ atrybutu: Ciąg (indeksowalny)

Indeksowane = True

Tworzenie MIM synchronizacji usługi

W poniższych krokach rozpoczynamy mapowanie konta gościa B2B i przepływu atrybutów. W tym miejscu zostały przyjęte pewne założenia: masz już skonfigurowany serwer MA usługi Active Directory i program FIM MA skonfigurowany do doprowadzenia użytkowników do usługi MIM i portalu.

Następne kroki będą wymagały dodatku minimalnej konfiguracji do usługi FIM MA i AD MA.

Więcej szczegółów dotyczących konfiguracji można znaleźć tutaj https://technet.microsoft.com/library/ff686263(v=ws.10).aspx — How Do I Provision Users to AD DS

Reguła synchronizacji: importowanie użytkownika-gościa do aplikacji MV do metaverse usługi synchronizacji z Azure Active Directory

Przejdź do witryny MIM Portal, wybierz pozycję Reguły synchronizacji, a następnie kliknij pozycję nowe. Utwórz regułę synchronizacji ruchu przychodzącego dla przepływu B2B za pośrednictwem łącznika grafu.

W kroku kryteriów relacji wybierz pozycję "Utwórz zasób w programie FIM".

Skonfiguruj następujące reguły przepływu atrybutów ruchu przychodzącego. Pamiętaj, aby wypełnić atrybuty i , ponieważ będą one używane accountNameuserPrincipalName w uid dalszej części tego scenariusza:

Tylko Flow początkowe Użyj jako testu istnienia Flow (wartość źródłowa ⇒ atrybutu FIM)
[displayName⇒displayName](javascript:void(0);)
[Left(id,20)⇒accountName](javascript:void(0);)
[id⇒uid](javascript:void(0);)
[userType⇒employeeType](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[surname⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
[id⇒cn](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[mobilePhone⇒mobilePhone](javascript:void(0);)

Reguła synchronizacji: tworzenie konta użytkownika-gościa w usłudze Active Directory

Ta reguła synchronizacji tworzy użytkownika w usłudze Active Directory. Upewnij się, że przepływ dla dn musi umieścić użytkownika w jednostce organizacyjnej, która została wykluczona z usługi Azure AD Połączenie. Ponadto zaktualizuj przepływ dla , aby spełniał zasady haseł usługi AD — użytkownik nie będzie unicodePwd musiał znać hasła. Zanotuj 262656 wartość dla userAccountControl koduje flagi SMARTCARD_REQUIRED i NORMAL_ACCOUNT .

Flow Zasady:

Tylko Flow początkowe Użyj jako testu istnienia Flow (atrybut docelowy wartości ⇒ FIM)
accountName⇒sAMAccountName
givenName⇒givenName
poczta⇒mail
sn⇒sn
userPrincipalName⇒userPrincipalName
Y "CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn
Y RandomNum(0,999)+userPrincipalName⇒unicodePwd
Y 262656⇒userAccountControl

Opcjonalna reguła synchronizacji: importuj identyfikator SID obiektów użytkownika-gościa B2B, aby umożliwić logowanie do MIM

Ta reguła synchronizacji ruchu przychodzącego wprowadza atrybut SID użytkownika z usługi Active Directory z powrotem do MIM, dzięki czemu użytkownik może uzyskać dostęp do MIM Portal. Portal MIM wymaga, aby użytkownik miał atrybuty i wypełniony w bazie samAccountNamedomain MIM objectSid Service.

Skonfiguruj źródłowy system zewnętrzny jako , ponieważ atrybut zostanie ustawiony automatycznie przez usługę ADMAobjectSid AD MIM tworzenia użytkownika.

Pamiętaj, że jeśli skonfigurujesz użytkowników do tworzenia w usłudze MIM Service, upewnij się, że nie znajdują się oni w zakresie żadnych zestawów przeznaczonych dla reguł zasad zarządzania samoobsługowego przetwarzania danych pracowników. Może być konieczne zmiana definicji zestawu w celu wykluczenia użytkowników, którzy zostały utworzeni przez przepływ B2B.

Tylko Flow początkowe Użyj jako testu istnienia Flow (Wartość źródłowa ⇒ atrybutu FIM)
sAMAccountName⇒accountName
"CONTOSO"⇒domena
objectSid⇒objectSid

Uruchamianie reguł synchronizacji

Następnie zapraszamy użytkownika, a następnie uruchamiamy reguły synchronizacji agenta zarządzania w następującej kolejności:

  • Pełne importowanie i synchronizacja w MIMMA agencie zarządzania. Dzięki temu MIM synchronizacji mają skonfigurowane najnowsze reguły synchronizacji.

  • Pełne importowanie i synchronizacja w ADMA agencie zarządzania. Gwarantuje to, że MIM i usługi Active Directory są spójne. W tym momencie nie będzie jeszcze żadnych oczekujących eksportów dla gości.

  • Pełne importowanie i synchronizacja na Graph B2B. Dzięki temu użytkownicy-goście przejdą do metaverse. W tym momencie co najmniej jedno konto będzie oczekujące na eksport ADMA dla . Jeśli nie ma żadnych oczekujących eksportów, sprawdź, czy użytkownicy-goście zostali zaimportowani do obszaru łącznika i czy reguły zostały skonfigurowane do nadawać im konta usługi AD.

  • Eksportowanie, importowanie zmian i synchronizacja ADMA w agencie zarządzania. Jeśli eksporty nie powiodły się, sprawdź konfigurację reguły i ustal, czy nie ma żadnych brakujących wymagań dotyczących schematu.

  • Eksportowanie, importowanie zmian i synchronizacja MIMMA w agencie zarządzania. Po zakończeniu tego procesu nie powinno już być żadnych oczekujących eksportów.

Opcjonalnie: serwer proxy aplikacji dla gości B2B logując się do MIM Portal

Teraz, gdy reguły synchronizacji zostały utworzone w MIM. W konfiguracji serwera proxy aplikacji zdefiniuj używanie podmiotu zabezpieczeń chmury, aby zezwolić na używanie usługi KCD na serwerze proxy aplikacji. Ponadto użytkownik został dodany ręcznie do grupy i użytkowników zarządzania. Opcje nie pokazywania użytkownikowi do momentu utworzenia w usłudze MIM dodania gościa do grupy biura po aprowizsłudze wymagają nieco większej liczby konfiguracji nieujmowanych w tym dokumencie.

Po skonfigurowaniu wszystkich ustawień zaloguj się użytkownika B2B i zobacz aplikację.

Następne kroki

Jak aprowizować użytkowników do usług AD DS

Dokumentacja funkcji programu FIM 2010

Jak zapewnić bezpieczny, zdalny dostęp do aplikacji lokalnych

Pobieranie łącznika Microsoft Identity Manager dla usługi Microsoft Graph