Colaboração entre negócios (B2B) da Azure AD (B2B) com Microsoft Identity Manager(MIM) 2016 SP1 com a Azure Application Proxy

O cenário inicial é a gestão do ciclo de vida da conta de utilizadores externos. Neste cenário, uma organização convidou os hóspedes para o seu diretório AD Azure, e deseja dar a esses hóspedes acesso a aplicações Windows-Integrated Autenticação ou Kerberos baseadas em Kerberos, através do proxy de aplicação AZure AD ou outros mecanismos de gateway. O proxy de aplicação Azure AD exige que cada utilizador tenha a sua própria conta AD DS, para fins de identificação e delegação.

Orientação Scenario-Specific

Alguns pressupostos feitos na configuração de B2B com MIM e Azure AD Application Proxy:

B2B Cenário de exemplo de implementação final

Este guia baseia-se no seguinte cenário:

A Contoso Pharmaceuticals trabalha com a Trey Research Inc. como parte do departamento de R & D. Os colaboradores da Trey Research precisam de aceder à aplicação de relatórios de investigação fornecida pela Contoso Pharmaceuticals.

  • A Farmacêutica Contoso está no seu próprio inquilino, para configurar um domínio personalizado.

  • Alguém convidou um utilizador externo para o inquilino da Farmacêutica Contoso. Este utilizador aceitou o convite e pode aceder aos recursos partilhados.

  • A Contoso Pharmaceuticals publicou uma aplicação através da App Proxy. Neste cenário, o exemplo da aplicação é o Portal MIM. Isto permitiria que um utilizador convidado participasse em processos MIM, por exemplo, em cenários de help desk ou para solicitar o acesso a grupos em MIM.

Configure AD e Ad AD Ligação excluir utilizadores adicionados da AZure AD

Por padrão, a Azure AD Ligação assumirá que os utilizadores não administrativos no Ative Directory precisam de ser sincronizados em Azure AD. Se o Azure AD Ligação encontrar um utilizador existente no Azure AD que corresponda ao utilizador a partir do AD no local, o Azure AD Ligação irá corresponder às duas contas e assumir que esta é uma sincronização anterior do utilizador, e tornar o AD no local autoritário. No entanto, este comportamento predefinido não é adequado para o fluxo B2B, onde a conta de utilizador é originária do Azure AD.

Por isso, os utilizadores trazidos para AD DS por MIM da Azure AD precisam de ser armazenados de uma forma que a Azure AD não tentará sincronizar esses utilizadores de volta ao Azure AD. Uma maneira de fazer isso é criar uma nova unidade organizacional em DS AD, e configurar a Azure AD Ligação excluir essa unidade organizacional.

Mais informações podem ser encontradas em Azure AD Ligação sincronização: Filtragemde configuração .

Criar a aplicação AD Azure

Nota: Antes de criar em MIM sincronizar o agente de gestão do conector de gráficos, certifique-se de que reviu o guia para implementar o conector Graph, e criou uma aplicação com um ID do cliente e segredo. Certifique-se de que o pedido foi autorizado para pelo menos uma destas permissões: User.Read.AllUser.ReadWrite.All , ou Directory.Read.AllDirectory.ReadWrite.All .

Criar o Novo Agente de Gestão

No UI do Gestor de Serviço de Sincronização, selecione Conectors e Crie. Selecione Graph (Microsoft) e dê-lhe um nome descritivo.

Conectividade

Na página de Conectividade, deve especificar a versão API Graph. Produção pronta PAI é V 1.0,Não Produção é Beta.

Parâmetros de Globais

Configure Hierarquia de Provisionamento

Esta página é usada para mapear o componente DN, por exemplo, ou, para o tipo de objeto que deve ser aprovisionado, por exemplo, unidade organizacional. Isto não é necessário para este cenário, por isso deixe isto como o padrão e clique em seguida.

Configurar Partições e Hierarquias

Na página de divisórias e hierarquias, selecione todos os espaços de nome com objetos que planeie importar e exportar.

Selecionar Tipos de Objeto

Na página dos tipos de objetos, selecione os tipos de objetos que pretende importar. Tem de selecionar pelo menos 'Utilizador'.

Selecionar Atributos

No ecrã Select Atributos, selecione atributos do Azure AD que serão necessários para gerir utilizadores B2B em AD. É necessário o atributo "ID". Os atributos userPrincipalName e userType serão usados mais tarde nesta configuração. Outros atributos são opcionais, incluindo

  • displayName

  • mail

  • givenName

  • surname

  • userPrincipalName

  • userType

Configurar Âncoras

No ecrã de ancoragem configurado, configurar o atributo âncora é um passo necessário. por predefinição, utilize o atributo ID para mapeamento do utilizador.

Configurar Filtro de Conector

Na página de configurar o filtro do conector, MIM permite filtrar objetos com base no filtro de atributos. Neste cenário para o B2B, o objetivo é apenas trazer utilizadores com o valor do userType atributo que é Guest igual, e não os utilizadores com o userType que é igual member .

Configurar Regras de Associação e Projeção

Este guia pressupõe que estará a criar uma regra de sincronização. Uma vez que as regras de configuração de Junção e Projeção são tratadas por regra de sincronização, não é necessário identificar uma junção e projeção no próprio conector. Deixe o predefinido e clique em ok.

Configurar Fluxo de Atributos

Este guia pressupõe que estará a criar uma regra de sincronização. A projeção não é necessária para definir o fluxo de atributos no MIM Sync, uma vez que é tratado pela regra de sincronização que é criada posteriormente. Deixe o predefinido e clique em ok.

Deprovisionação configure

A definição para configurar a deprovisionamento permite-lhe configurar MIM sincronização para eliminar o objeto, se o objeto metaverso for eliminado. Neste cenário, fazemos com que sejam desconexões, pois o objetivo é deixá-los em Azure AD. Neste cenário, não estamos a exportar nada para a Azure AD, e o conector está configurado apenas para Importação.

Configurar Extensões

Configurar extensões sobre este agente de gestão é uma opção, mas não é necessária porque estamos a usar uma regra de sincronização. Se decidimos usar uma regra avançada no fluxo de atributos mais cedo, então haveria uma opção para definir a extensão das regras.

Extensão do esquema de metaverso

Antes de criar a regra de sincronização, precisamos de criar um atributo chamado userPrincipalName ligado ao objeto da pessoa usando o MV Designer.

No cliente de sincronização, selecione Metaverse Designer

Em seguida, selecione o tipo de objeto de pessoa

Em seguida, em ações clique Adicionar Atributo

Em seguida, complete os seguintes detalhes

Nome do atributo: userPrincipalName

Tipo de Atributo: Cadeia (Indexável)

Indexado = Verdadeiro

Criação de regras de sincronização de serviços MIM

nos degraus abaixo começamos o mapeamento da conta de hóspedes B2B e o fluxo de atributos. São aqui feitos alguns pressupostos: que já tem o Ma ative directory configurado e o FIM MA configurado para levar os utilizadores ao Serviço e Portal MIM.

Os próximos passos exigirão a adição de configuração mínima ao FIM MA e ao MA AD.

Mais detalhes podem ser encontrados aqui para a configuração https://technet.microsoft.com/library/ff686263(v=ws.10).aspx - Como é que eu fornece utilizadores a DS AD

Regra de sincronização: Importar utilizador convidado para MV para sincronizar o serviço metaverso de Azure Ative Directory

Navegue no Portal MIM, selecione Regras de Sincronização e clique em novo. Crie uma regra de sincronização de entrada para o fluxo B2B através do conector de gráfico.

No passo dos critérios de relacionamento, não se esqueça de selecionar "Criar recurso no FIM".

Configure as seguintes regras de fluxo de atributos de entrada. Certifique-se de povoar os accountNameuserPrincipalNameuid atributos, pois serão usados mais tarde neste cenário:

Apenas Flow Inicial Uso como Teste de Existência Flow (Valor Fonte ⇒ Atributo FIM)
[displayName⇒displayName](javascript:void(0);)
[Left(id,20)⇒accountName](javascript:void(0);)
[id⇒uid](javascript:void(0);)
[userType⇒employeeType](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[surname⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
[id⇒cn](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[mobilePhone⇒mobilePhone](javascript:void(0);)

Regra da sincronização: Criar conta de utilizador convidado para o Ative Directory

Esta regra de sincronização cria o utilizador no Ative Directory. Certifique-se de que o fluxo dn deve colocar o utilizador na unidade organizacional que foi excluída do Azure AD Ligação. Além disso, atualize o fluxo unicodePwd para cumprir a sua política de senha de acesso - o utilizador não precisará de saber a palavra-passe. Note o valor de 262656userAccountControl codificar as bandeiras SMARTCARD_REQUIRED e NORMAL_ACCOUNT .

Regras Flow:

Apenas Flow Inicial Uso como Teste de Existência Flow (Valor FIM ⇒ Destino)
contaName⇒sAMAccountName
nome⇒me
correio⇒mail
sn⇒sn
userPrincipalName⇒userPrincipalName
Y "CN="+uid+"OU=B2BGuest,DC=contoso,DC=com"⇒dn
Y RandomNum (0.999)+userPrincipalName⇒unicodePwd
Y 262656⇒userAccountControl

Regra de sincronização opcional: Import B2B Guest User Objects SID para permitir que o login MIM

Esta regra de sincronização de entrada traz de volta o atributo SID do utilizador do Ative Directory para MIM, para que o utilizador possa aceder ao Portal MIM. O Portal MIM exige que o utilizador tenha os atributos samAccountName , domain e objectSid preenchidos na base de dados do Serviço MIM.

Configure o sistema externo de origem como o ADMA , uma vez que o atributo será objectSid configurado automaticamente por AD quando MIM criar o utilizador.

Note que se configurar os utilizadores a serem criados no Serviço MIM, certifique-se de que não estão no âmbito de quaisquer conjuntos destinados às regras de política de gestão SSPR dos colaboradores. Poderá ser necessário alterar as definições definidas para excluir utilizadores que tenham sido criados pelo fluxo B2B.

Apenas Flow Inicial Uso como Teste de Existência Flow (Valor Fonte ⇒ Atributo FIM)
sAMAccountName⇒accountName
"CONTOSO"⇒domínio
objetoSid⇒objectSid

Executar as regras de sincronização

Em seguida, convidamos o utilizador e, em seguida, executar as regras de sincronização do agente de gestão na seguinte ordem:

  • Importação completa e Sincronização no MIMMA Agente de Gestão. Isto garante MIM Sync tem as mais recentes regras de sincronização configuradas.

  • Importação completa e Sincronização no ADMA Agente de Gestão. Isto garante que MIM e Ative Directory são consistentes. Neste momento, ainda não haverá nenhuma exportação pendente para os hóspedes.

  • Importação completa e sincronização no B2B Graph Management Agent. Isto traz os utilizadores convidados para o metaverso. Neste momento, uma ou mais contas estarão pendentes de exportação para ADMA . Se não houver exportações pendentes, verifique se os utilizadores convidados foram importados para o espaço do conector e que as regras foram configuradas para que lhes fosse dada uma conta AD.

  • Exportação, Delta Import e Sincronização no ADMA Agente de Gestão. Se as exportações falharem, verifique a configuração da regra e determine se havia algum esquema em falta.

  • Exportação, Delta Import e Sincronização no MIMMA Agente de Gestão. Quando isto estiver concluído, deixará de haver exportações pendentes.

Opcional: Procuração de aplicativos para hóspedes B2B que iniciam sessão no Portal MIM

Agora que criámos as regras de sincronização em MIM. Na configuração de Proxy da App, defina o uso do principal nuvem para permitir o KCD no proxy de aplicações. Além disso, adicione o utilizador manualmente aos utilizadores e grupos de gestão. As opções de não mostrar o utilizador até que a criação tenha ocorrido em MIM de adicionar o hóspede a um grupo de escritórios uma vez que o provisionado requer um pouco mais de configuração não abrangida neste documento.

Uma vez configurado, faça login do utilizador B2B e consulte a aplicação.

Passos Seguintes

Como Aprovisiono Utilizadores para o AD DS?

Referências de Funções para o FIM 2010

How to provide secure remote access to on-premises applications (Como fornecer acesso remoto seguro a aplicações no local)

Descarregue Microsoft Identity Manager conector para o microsoft Graph