conector Microsoft Identity Manager para o microsoft Graph

Resumo

O conector Microsoft Identity Manager para o Microsoft Graph permite cenários de integração adicionais para Azure AD Premium clientes. Surge no MIM sincronizar objetos adicionais de metaverso obtidos a partir do Microsoft Graph API v1 e beta.

Cenários cobertos

Gestão do ciclo de vida da conta B2B

O cenário inicial para o conector Microsoft Identity Manager para o Microsoft Graph é como um conector para ajudar a automatizar a gestão do ciclo de vida da conta AD DS para utilizadores externos. Neste cenário, uma organização está a sincronizar os colaboradores para a Azure AD da AD DS usando a Azure AD Ligação, e também convidou os convidados para o seu diretório AD Azure. Convidar um hóspede resulta num objeto de utilizador externo que está no diretório AD Azure da organização, que não está na AD DS dessa organização. Em seguida, a organização deseja dar a esses hóspedes acesso a aplicações Windows Autenticação Integrada ou baseadas em Kerberos, através do proxy de aplicação AZure AD ou outros mecanismos de gateway. O proxy de aplicação Azure AD exige que cada utilizador tenha a sua própria conta AD DS, para fins de identificação e delegação.

Para aprender a configurar MIM sincronização para criar e manter automaticamente contas de DS AD para os hóspedes, depois de ler as instruções neste artigo, continuar a ler no artigo Azure AD colaboração business-to-business (B2B) com MIM SP1 2016 com Azure Application Proxy. Este artigo ilustra as regras de sincronização necessárias para o conector.

Outros cenários de gestão de identidade

O conector pode ser utilizado para outros cenários específicos de gestão de identidade envolvendo criar, ler, atualizar e eliminar objetos de utilizador, grupo e contacto em Azure AD, além da sincronização do utilizador e do grupo para a Azure AD. Ao avaliar cenários potenciais, tenha em mente: este conector não pode ser operado num cenário que resultaria numa sobreposição de fluxo de dados, conflito de sincronização real ou potencial com uma implementação de Ligação Azure. A Azure AD Ligação é a abordagem recomendada para integrar diretórios no local com a Azure AD, sincronizando utilizadores e grupos de diretórios no local para Azure AD. O Azure AD Ligação tem muitas funcionalidades de sincronização muito mais e permite cenários como a palavra-passe e a gravação do dispositivo, que não são possíveis para objetos criados por MIM. Se os dados estiverem a ser trazidos para AD DS, por exemplo, certifique-se de que é excluído do Azure AD Ligação de tentar combinar esses objetos com o diretório AD Azure. Este conector também não pode ser utilizado para fazer alterações aos objetos AD Azure, que foram criados por Azure AD Ligação.

Preparando-se para utilizar o Conector para o Microsoft Graph

Autorizar o conector a recuperar ou gerir objetos no seu diretório AD Azure

  1. O conector requer que seja criada uma aplicação Web /API em Ad Azure, para que possa ser autorizada com permissões apropriadas para operar em objetos AD Azure através do Microsoft Graph.

    Imagem de novo botão de registode candidaturaImagem do registo de candidatura

    Imagem 1. Novo registo de aplicação

  2. No portal Azure, abra a aplicação criada e guarde o ID da aplicação, como ID do Cliente para utilizar mais tarde na página de conectividade do MA:

    Imagem dos detalhes do registo de candidaturas

    Imagem 2. ID da aplicação

  3. Gere um novo Segredo de Cliente abrindo segredos de Certificados. Desacorda alguma descrição da Chave e selecione a duração necessária. Guardar alterações. Um valor secreto não estará disponível depois de sair da página.

    Imagem de adicionar novo botão secreto

    Imagem 3. Novo Segredo do Cliente

  4. Conceda permissões adequadas de "Microsoft Graph" à aplicação abrindo "Permissões API"

    Imagem de adicionar botão permissões Imagem 4. Adicionar nova API

    Selecione permissões de aplicação 'Microsoft Graph'. Imagem de permissões de aplicações

    Revogar todas as permissões não precisas.

    Imagem de permissões de pedidos não concedidos

    A seguinte permissão deve ser adicionada à aplicação para permitir a sua utilização da "Microsoft Graph API", dependendo do cenário:

    Operação com objeto Permissão necessária Tipo de permissão
    Deteção de esquemas Application.Read.All Aplicação
    Grupo de Importação Group.Read.All ou Group.ReadWrite.All Aplicação
    Utilizador de Importação User.Read.All, User.ReadWrite.AllDirectory.Read.AllDirectory.ReadWrite.All Aplicação

    Mais detalhes sobre permissões necessárias podem ser encontrados na referência de permissões.

Nota

Aplicação.Read.Toda a permissão é obrigatória para deteção de esquemas e deve ser concedida independentemente do conector do tipo de objeto estar a trabalhar.

  1. Conceder consentimento administrativo para permissões selecionadas. Imagem de consentimento administrativo concedido

Instalação do conector

  1. Antes de instalar o Conector, certifique-se de que tem o seguinte no servidor de sincronização:
  • Microsoft .NET 4.5.2 Framework ou mais tarde
  • Microsoft Identity Manager 2016 SP1, e deve utilizar hotfix 4.4.1642.0 KB4021562 ou mais tarde.
  1. O conector da Microsoft Graph, para além de outros conectores para Microsoft Identity Manager 2016 SP1, está disponível como download do Microsoft Download Center.

  2. Reiniciar MIM Serviço de Sincronização.

Configuração do conector

  1. No UI do Gestor de Serviço de Sincronização, selecione Conectors e Crie. Selecione Graph (Microsoft), crie um conector e dê-lhe um nome descritivo.

Nova imagem do conector

  1. No MIM serviço de sincronização UI, especifique o ID de aplicação e gerou o Segredo do Cliente. Cada agente de gestão configurado em MIM Sync deve ter a sua própria aplicação em Azure AD para evitar a importação em paralelo para a mesma aplicação.

Imagem de configuração do conector com detalhes de conectividade

Imagem 5. Página de conectividade

A página de conectividade (Imagem 5) contém a versão API Graph que é usada e nome do inquilino. O ID do Cliente e o Cliente Secret representam o ID de aplicação e o valor chave da aplicação WebAPI que deve ser criada em Azure AD.

  1. Faça as alterações necessárias na página De Parâmetros Globais:

Imagem de página de parâmetros globais

Imagem 6. Página de Parâmetros Globais

A página de parâmetros globais contém as seguintes definições:

  • Formato DateTime – formato que é utilizado para qualquer atributo com o tipo Edm.DateTimeOffset. Todas as datas são convertidas em corda utilizando este formato durante a importação. O formato definido é aplicado para qualquer atributo, que guarda a data.

  • TEMPO DE TEMPO HTTP (segundos) – tempo limite em segundos que serão utilizados durante cada chamada HTTP para aplicação WebAPI.

  • Força alterar a palavra-passe para o utilizador criado no próximo sinal – esta opção é utilizada para um novo utilizador que será criado durante a exportação. Se a opção estiver ativada, então force a propriedade ForceChangePasswordNextSignIn será definida como verdadeira, caso contrário será falsa.

Configuração do esquema e operações do conector

  1. Configure o esquema. O conector suporta a seguinte lista de tipos de objetos:
  • Utilizador

    • Importação Total/Delta

    • Exportação (Adicionar, Atualizar, Excluir)

  • Group

    • Importação Total/Delta

    • Exportação (Adicionar, Atualizar, Excluir)

A lista de tipos de atributos suportados:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (corda no espaço do conector)

  • microsoft.graph.directoryObject (referência no espaço do conector a qualquer um dos objetos suportados)

  • microsoft.graph.contact

Os atributos multivalorizados (Coleção) também são suportados para qualquer um dos tipos da lista acima.

O conector utiliza o id atributo ' para âncora e DN para todos os objetos. Portanto, não é necessário renomear o nome, uma vez Graph API não permite que um objeto altere o seu atributo 'id'.

Vida útil simbólica de acesso

Uma aplicação Graph requer um sinal de acesso para aceder à API Graph. Um conector solicitará um novo token de acesso para cada iteração de importação (a iteração de importação depende do tamanho da página). Por exemplo:

  • A AZure AD contém 10000 objetos

  • Tamanho da página configurado no conector é 5000

Neste caso, haverá duas iterações durante a importação, cada uma delas devolverá 5000 objetos ao Sync. Então, um novo sinal de acesso será solicitado duas vezes.

Durante a exportação, será solicitado um novo token de acesso para cada objeto que deve ser adicionado/atualizado/eliminado.

Filtros de consultas

Graph os pontos finais da API oferecem a capacidade de limitar a quantidade de objetos devolvidos pelas consultas GET, introduzindo $filter parâmetro.

Para permitir a utilização de filtros de consulta para melhorar o ciclo completo de desempenho das importações, na página de 1 página de propriedades do conector, ativar a caixa de verificação do filtro de objetos.

Configurações do conector página uma imagem com Adicionar caixa de verificação de filtro de objetos verificado

Depois disso, no Esquema 2 escreva uma expressão a ser usada para filtrar utilizadores, grupos, contactos ou princípios de serviço.

Definições de conector página dois imagem com um filtro de amostra começaCom (displayName,'J')

Na imagem acima, o filtro começaCom (displayName,'J') está definido para ler apenas utilizadores cujo valor de atributo DisplayName começa com 'J'.

Certifique-se de que o atributo utilizado na expressão do filtro é selecionado nas propriedades do conector.

Conector configura imagem de página com um atributo displayName selecionado

Para obter mais informações sobre $filter utilização do parâmetro de consulta, consulte este artigo: Utilize parâmetros de consulta para personalizar respostas.

Nota

O ponto final de consulta Delta não oferece atualmente capacidades de filtragem, pelo que o uso de filtros está limitado apenas à importação completa. Terá um erro ao tentar iniciar a importação delta com filtros de consulta ativados.

Resolução de problemas

Ativar registos

Se houver algum problema na Graph, então os registos podem ser usados para localizar o problema. Assim, os vestígios podem ser ativados da mesma forma que para os conectores genéricos. Ou apenas adicionando o seguinte à miiserver.exe.configsystem.diagnostics/sources (secção interna):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Call stack" />
<remove name="Default" />
</listeners>
</source>

Nota

Se 'Executar este agente de gestão num processo separado' estiver ativado, então dllhost.exe.config deve ser utilizado em vez de miiserver.exe.config .

Erro expirado do token de acesso

O conector pode devolver o erro HTTP 401 Não Autorizado, mensagem "O token de acesso expirou.":

Imagem de detalhes de erro

Imagem 7. "O sinal de acesso expirou." Erro

A causa deste problema pode ser a configuração do tempo de vida do Azure. Por predefinição, o token de acesso expira após 1 hora. Para aumentar o tempo de validade, consulte este artigo.

Exemplo disso usando o lançamento do módulo público Azure AD PowerShell

Acces token imagem de vida útil

New-AzureADPolicy -Definição @'{"TokenLifetimePolicy":{"Versão":1, "AccessTokenLifetime":"5:00:00"}}})-DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Passos seguintes