Compartir a través de

Conector de Microsoft Identity Manager para Microsoft Graph

  • Artículo

Resumen

El conector de Microsoft Identity Manager para Microsoft Graph facilita escenarios de integración adicionales para clientes de Microsoft Entra ID P1 o P2. Muestra en el metaverso de sincronización de MIM objetos adicionales obtenidos de la API de Microsoft Graph v1 y beta.

Escenarios cubiertos

Administración del ciclo de vida de las cuentas B2B

El escenario inicial del conector de Microsoft Identity Manager para Microsoft Graph es como conector para ayudar a automatizar la administración del ciclo de vida de las cuentas de AD DS para usuarios externos. En este escenario, una organización sincroniza a los empleados con el identificador de Entra de Microsoft desde AD DS mediante Microsoft Entra Connect y también ha invitado a los invitados a su directorio de Microsoft Entra. Invitar a un invitado da como resultado que un objeto de usuario externo se encuentra en el directorio Microsoft Entra de esa organización, que no está en AD DS de esa organización. A continuación, la organización quiere conceder a los invitados acceso a la autenticación integrada de Windows local o a las aplicaciones basadas en Kerberos, a través del proxy de aplicación de Microsoft Entra u otros mecanismos de puerta de enlace. El proxy de aplicación de Microsoft Entra requiere que cada usuario tenga su propia cuenta de AD DS, con fines de identificación y delegación.

Para obtener información sobre cómo configurar la sincronización de MIM para crear y mantener automáticamente cuentas de AD DS para invitados, después de leer las instrucciones de este artículo, continúe leyendo en el artículo colaboración empresarial a negocio (B2B) de Microsoft Entra con MIM 2016 y el proxy de aplicación de Microsoft Entra. En este artículo se muestran las reglas de sincronización necesarias para el conector.

Otros escenarios de administración de identidades

El conector se puede usar para otros escenarios específicos de administración de identidades que implican crear, leer, actualizar y eliminar objetos de usuario, grupo y contacto en el identificador de Microsoft Entra, más allá de la sincronización de usuarios y grupos con el id. de Microsoft Entra. Al evaluar posibles escenarios, tenga en cuenta que este conector no se puede operar en un escenario que provoque una superposición de flujo de datos o un conflicto de sincronización, ya sea real o potencial, en una implementación de Microsoft Entra Connect. Microsoft Entra Connect es el enfoque recomendado para integrar directorios locales con el id. de Microsoft Entra mediante la sincronización de usuarios y grupos de directorios locales con el identificador de Microsoft Entra. Microsoft Entra Connect tiene muchas más características de sincronización y habilita escenarios como la escritura diferida de contraseñas y dispositivos, que no son posibles para los objetos creados por MIM. Si se introducen datos en AD DS, por ejemplo, asegúrese de que se excluyen de Microsoft Entra Connect en su intento de coincidir esos objetos con el directorio de Microsoft Entra. Tampoco se puede usar este conector para realizar cambios en los objetos De Microsoft Entra, creados por Microsoft Entra Connect.

Preparación para usar el conector para Microsoft Graph

Autorización del conector para recuperar o administrar objetos en el directorio de Microsoft Entra

  1. El conector requiere la creación de una aplicación web o una aplicación API en Microsoft Entra ID, de modo que se pueda autorizar con los permisos adecuados para operar en objetos de Microsoft Entra a través de Microsoft Graph.

    Imagen del botón de nuevo registro de aplicaciónImagen del registro de aplicación

    Imagen 1. Nuevo registro de aplicación

  2. En Azure Portal, abra la aplicación creada y guarde el identificador de aplicación como identificador de cliente para usarlo más adelante en la página de conectividad de MA:

  3. Genere un nuevo secreto de cliente abriendo Certificados y secretos. Establezca una descripción de clave y seleccione la duración máxima. Guarde los cambios y recupere el secreto de cliente. El valor del secreto de cliente no estará disponible para volver a verlo después de salir de la página.

    Imagen del botón Agregar nuevo secreto

    Imagen 2. Nuevo secreto de cliente

  4. Conceda los permisos adecuados de "Microsoft Graph" a la aplicación abriendo "Permisos de API".

    Imagen del botón de agregar permisos Imagen 3. Adición de una nueva API

    Seleccione los permisos de aplicación de "Microsoft Graph". Imagen de permisos de aplicaciones

    Revocar todos los permisos innecesarios.

    Imagen de permisos de aplicaciones no concedidos

    El permiso siguiente debe agregarse a la aplicación para permitir que use "Microsoft Graph API", en función del escenario:

    Operación con el objeto Permiso necesario Tipo de permiso
    Detección de esquemas Application.Read.All Aplicación
    Importar grupo Group.Read.All o Group.ReadWrite.All Aplicación
    Importar usuario User.Read.All, User.ReadWrite.All, Directory.Read.All o Directory.ReadWrite.All Aplicación

    Puede encontrar más detalles sobre los permisos necesarios en la referencia de permisos.

Nota

El permiso Application.Read.All es obligatorio para la detección de esquemas y debe concederse independientemente del tipo de objeto con el que el conector vaya a funcionar.

  1. Conceda el consentimiento del administrador para los permisos seleccionados. Imagen del consentimiento del administrador otorgado de consentimiento del administrador concedido

Instalación del conector

  1. Antes de instalar el conector, asegúrese de que tiene lo siguiente en el servidor de sincronización:
  • Microsoft .NET 4.6.2 Framework o posterior
  • Microsoft Identity Manager 2016 SP2 y debe usar la revisión 4.4.1642.0 KB4021562 o posterior.

  1. El conector de Microsoft Graph, además de otros conectores para Microsoft Identity Manager 2016 SP2, está disponible para descargar desde el Centro de descargas de Microsoft .

  2. Reinicie el servicio de sincronización de MIM.

Configuración del conector

  1. En la interfaz de usuario de Synchronization Service Manager, seleccione Conectores y Crear. Seleccione Graph (Microsoft), cree un conector y asígnele un nombre descriptivo.

nueva imagen del conector

  1. En la interfaz de usuario del servicio de sincronización de MIM, especifique el identificador de aplicación y el secreto de cliente generado. Cada agente de administración configurado en la sincronización de MIM debe tener su propia aplicación en microsoft Entra ID para evitar ejecutar la importación en paralelo para la misma aplicación.

Imagen 4. Página conectividad

La página de conectividad (imagen 4) contiene la versión de Graph API que se usa y el nombre del inquilino. El identificador de cliente y el secreto de cliente representan el identificador de aplicación y el valor de clave de la aplicación que se creó anteriormente en microsoft Entra ID.

El conector tiene como valor predeterminado la versión 1.0 y los puntos de conexión de inicio de sesión y gráfico del servicio global de Microsoft Graph. Si el inquilino está en una nube nacional, deberá cambiar la configuración para usar los puntos de conexión para la nube nacional. Tenga en cuenta que es posible que algunas características de Graph que están en el servicio global no estén disponibles en todas las nubes nacionales.

  1. Realice los cambios necesarios en la página Parámetros globales:

Imagen de página de parámetros globales

Imagen 5. Página Parámetros globales

La página Parámetros globales contiene la siguiente configuración:

  • Formato DateTime: formato que se usa para cualquier atributo con el tipo Edm.DateTimeOffset. Todas las fechas se convierten en cadena mediante ese formato durante la importación. El formato set se aplica a cualquier atributo, que guarda la fecha.

  • Tiempo de espera HTTP (segundos): tiempo de espera en segundos que se usará durante cada llamada HTTP a Graph.

  • Forzar el cambio de contraseña para el usuario que se cree en el próximo inicio de sesión: esta opción se usa para el nuevo usuario que se cree durante la exportación. Si la opción está habilitada, la propiedad forceChangePasswordNextSignIn se establecerá en true; de lo contrario, se establecerá en false.

Configuración del esquema y las operaciones del conector

  1. Configure el esquema. El conector admite la siguiente lista de tipos de objeto cuando se usa con el punto de conexión de Graph v1.0:

  • Usuario

    • Importación completa/delta

    • Exportar (Agregar, Actualizar, Eliminar)

  • Grupo

    • Importación completa/delta

    • Exportar (Agregar, Actualizar, Eliminar)

Es posible que los tipos de objeto adicionales estén visibles al configurar el conector para usar el punto de conexión beta de Graph.

La lista de tipos de atributo que se admiten:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (cadena en el espacio del conector)

  • microsoft.graph.directoryObject (referencia en el espacio del conector a cualquiera de los objetos admitidos)

  • microsoft.graph.contact

Los atributos multivalor (colección) también se admiten para cualquiera de los tipos de la lista anterior.

El conector utiliza el atributo ‘id’ para ancla y DN para todos los objetos. Por lo tanto, no es necesario cambiar el nombre, ya que Graph API no permite que un objeto cambie su atributo id.

Vigencia del token de acceso

Una aplicación de Graph requiere un token de acceso para acceder a Graph API. Un conector solicitará un nuevo token de acceso para cada iteración de importación (la iteración de importación depende del tamaño de página). Por ejemplo:

  • El identificador de Microsoft Entra contiene 10000 objetos

  • El tamaño de página configurado en el conector es 5000

En este caso, habrá dos iteraciones durante la importación, cada una de ellas devolverá 5000 objetos a Sync. Por lo tanto, se solicitará dos veces un nuevo token de acceso.

Durante la exportación, se solicitará un nuevo token de acceso para cada objeto que se debe agregar, actualizar o eliminar.

Filtros de consulta

Al introducir el parámetro $filter, los puntos de conexión de Graph API ofrecen la posibilidad de limitar la cantidad de objetos devueltos por las consultas GET.

Para permitir el uso de filtros de consulta para mejorar el rendimiento del ciclo de importación completa, en la página de propiedades del conector, en el Esquema 1, marque la casilla Agregar filtro de objetos.

Página uno de configuración del conector: imagen con la casilla de verificación Agregar filtro de objetos activada

Después, en la página Esquema 2, escriba una expresión que se usará para filtrar usuarios, grupos, contactos o entidades de servicio.

Página dos de configuración del conector: imagen con un filtro de ejemplo startsWith(displayName,'J')

En la captura de pantalla anterior, el filtro startsWith(displayName,"J") se configura para leer solo los usuarios cuyo valor del atributo displayName comienza con 'J'.

Asegúrese de que el atributo usado en la expresión de filtro está seleccionado en las propiedades del conector.

imagen de la página de configuración del conector con el atributo displayName seleccionado

Para obtener más información sobre $filter uso de parámetros de consulta, consulte este artículo: Uso de parámetros de consulta para personalizar las respuestas.

Nota

Actualmente, el punto de conexión de consulta delta no ofrece funcionalidades de filtrado, por lo que el uso de filtros se limita solo a la importación completa. Obtenerás un error al intentar iniciar una importación delta con los filtros de consulta habilitados.

Solución de problemas

Habilitar registros

Si hay algún problema en Graph, los registros se pueden usar para localizar el problema. Por lo tanto, los seguimientos se podrían habilitar de la misma manera que para los conectores genéricos. O simplemente agregando lo siguiente a miiserver.exe.config (en la sección system.diagnostics/sources):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Nota

Si está habilitado "Ejecutar este agente de administración en un proceso independiente", se debe usar dllhost.exe.config en lugar de miiserver.exe.config.

Error de token de acceso caducado

El conector puede devolver el error HTTP 401 No autorizado, mensaje "El token de acceso ha expirado".:

Imagen de detalles del error

Imagen 6. "El token de acceso ha expirado". Error

La causa de este problema podría ser la configuración de la duración del token de acceso desde el lado de Azure. De forma predeterminada, el token de acceso expira después de 1 hora. Para aumentar el tiempo de caducidad, consulte este artículo.

Ejemplo de esto mediante la versión pública preliminar del módulo Azure AD PowerShell

Imagen de vigencia del token de acceso

New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Pasos siguientes