Condividi tramite

Provisioning con il connettore di servizi Web

  • Articolo

La documentazione seguente fornisce informazioni sul connettore di servizi Web generico. Microsoft Entra ID Governance supporta il provisioning di account in varie applicazioni, ad esempio SAP ECC, Oracle eBusiness Suite e applicazioni line-of-business che espongono API REST o SOAP. I clienti che hanno precedentemente implementato MIM per connettersi a queste applicazioni possono facilmente passare all'utilizzo dell’agente di provisioning leggero Microsoft Entra, riutilizzando lo stesso connettore di servizi Web creato per MIM.

Capacità supportate

  • Creare utenti nell’applicazione.
  • Rimuovere gli utenti nell'applicazione quando non hanno più bisogno dell'accesso.
  • Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e l’applicazione.
  • Individuare lo schema per l'applicazione.

Il connettore di servizi Web implementa le funzioni seguenti:

  • Individuazione SOAP: consente all'amministratore di immettere il percorso WSDL esposto dal servizio Web di destinazione. L'individuazione produce una struttura ad albero dei servizi Web ospitati dall'applicazione con gli endpoint interni o le operazioni e, congiuntamente, la descrizione dei metadati dell'operazione. Non è previsto alcun limite al numero di operazioni di individuazione che è possibile eseguire (procedura dettagliata). Le operazioni individuate vengono utilizzate in un secondo momento per configurare il flusso di operazioni che implementano le operazioni del connettore sull'origine dati (come Importazione/Esportazione).

  • Individuazione REST: consente all'amministratore di immettere i dettagli del servizio REST, inclusi endpoint servizio, percorso risorsa, metodo e dettagli parametro. Le informazioni sui servizi REST vengono archiviate nel file discovery.xml del progetto di wsconfig. Verranno utilizzate in un secondo momento dall'amministratore per configurare l'attività del servizio Web Rest nel flusso di lavoro.

  • Configurazione dello schema: consente all'amministratore di configurare lo schema. La configurazione dello schema include un elenco di tipi di oggetto e attributi per un'applicazione specifica. L'amministratore può scegliere gli attributi che devono far parte dello schema.

  • Configurazione del flusso di operazione: interfaccia utente della finestra di progettazione del flusso di lavoro per configurare l'implementazione delle operazioni di importazione ed esportazione per tipo di oggetto tramite funzioni del servizio Web esposte, inclusa l'assegnazione di parametri dall'utente di cui è stato effettuato il provisioning alle funzioni del servizio Web.

Prerequisiti di provisioning

On-premises prerequisites (Prerequisiti locali)

Il computer che esegue l'agente di provisioning deve essere dotato di:

  • Connettività agli endpoint REST o SOAP dell'applicazione, nonché con connettività in uscita a login.microsoftonline.com, altri servizi di Microsoft Online e domini di Azure. Un esempio è una macchina virtuale Windows Server 2016 ospitata in Azure IaaS o su un proxy.
  • Almeno 3 GB di RAM per ospitare un agente di provisioning.
  • .NET Framework 4.7.2
  • Windows Server 2016 o versione successiva.

Prima di configurare il provisioning, assicuratevi di:

  • Esporre le API SOAP o REST necessarie nell'applicazione per creare, aggiornare ed eliminare utenti.

Requisiti del cloud

  • Un tenant di Microsoft Entra con una licenza P1 o Premium P2 di Microsoft Entra ID (oppure EMS E3 o E5).

    L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

  • Ruolo Amministratore identità ibrida per la configurazione dell'agente di provisioning e dei ruoli Amministratore applicazione o Amministratore applicazione cloud per la configurazione del provisioning nel portale di Azure.

  • Gli utenti di Microsoft Entra di cui eseguire il provisioning nell'applicazione devono essere già dotati degli attributi richiesti dall'applicazione.

Installare e configurare Microsoft Entra Connect Provisioning Agent

  1. Accedere al portale di Azure.
  2. Passare ad Applicazioni aziendali e selezionare Nuova applicazione.
  3. Cercare l'applicazione App ECMA locale, assegnare un nome all’app e selezionare Crea per aggiungerla al tenant.
  4. Dal menu, passare alla pagina Provisioning dell'applicazione.
  5. Seleziona Inizia.
  6. Alla pagina Provisioning, modificare la modalità ad Automatico.

Screenshot della selezione Automatico.

  1. In Connettività locale, selezionare Scarica e installa, quindi Accetta i termini e scarica.

  2. Lasciare il portale ed eseguire il programma di installazione dell'agente di provisioning, accettare le condizioni d’uso e selezionare Installa.

  3. Attendere la configurazione guidata dell'agente di provisioning di Microsoft Entra, quindi selezionare Avanti.

  4. Nel passaggio Seleziona estensione, selezionare Provisioning delle applicazioni locali, quindi Avanti.

  5. L'agente di provisioning utilizza il browser web del sistema operativo per mostrarti una finestra a comparsa per l'autenticazione con Microsoft Entra ID e, eventualmente, anche al provider di identità dell'organizzazione. Se si usa Internet Explorer come browser in Windows Server, potrebbe essere necessario aggiungere siti Web Microsoft all'elenco di siti attendibili del browser per consentire l'esecuzione corretta di JavaScript.

  6. Quando viene richiesta l’autorizzazione, specificare le credenziali di un amministratore di Microsoft Entra. L'utente deve avere almeno il ruolo di amministratore dell'identità ibrida.

  7. Selezionare Conferma per confermare l’impostazione. Al termine dell'installazione, è possibile selezionare Uscire e chiudere anche il programma di installazione del pacchetto dell'agente di provisioning.

Configurare un’app ECMA locale

  1. Nella sezione Connettività locale del portale selezionare l'agente distribuito e selezionare Assegna agente/i.

    Screenshot che illustra come selezionare e assegnare un agente.

  2. Mantenere aperta questa finestra del browser, mentre si completa il passaggio successivo della configurazione usando la configurazione guidata.

Configurare il certificato host del connettore Microsoft Entra ECMA

  1. In Windows Server in cui è installato l'agente di provisioning, selezionare il Configurazione guidata Microsoft ECMA2Host dal menu Start ed eseguire come amministratore. L'esecuzione come amministratore di Windows è necessaria per la procedura guidata al fine di creare i registri eventi di Windows necessari.

  2. Dopo l'avvio della configurazione host del connettore ECMA, se è la prima volta che si esegue la procedura guidata, viene chiesto di creare un certificato. Lasciare la porta predefinita 8585 e selezionare Genera certificato per generare un certificato. Il certificato generato automaticamente è autofirmato come parte dell'autorità root attendibile. Il certificato SAN corrisponde al nome host.

    Screenshot che mostra la configurazione delle impostazioni.

  3. Seleziona Salva.

Creare un modello di connettore di servizi Web

Prima di creare la configurazione del connettore di servizi Web, è necessario creare un modello di connettore di servizi Web e personalizzare il modello per soddisfare le esigenze dell'ambiente specifico. Assicurarsi che ServiceName, EndpointName e OperationName siano corretti.

È possibile trovare modelli di esempio e indicazioni su come eseguire l'integrazione con applicazioni comuni, ad esempio SAP ECC 7.0 e Oracle eBusiness Suite nel pacchetto scarica connettori. Per informazioni su come creare un nuovo progetto per l'origine dati nello strumento di configurazione del servizio Web, vedere la guida al flusso di lavoro per SOAP.

Per altre informazioni su come configurare un modello per connettersi all'API REST o SOAP dell'applicazione, vedere la panoramica del connettore di servizi Web generico nella libreria della documentazione di MIM.

Configurare il connettore di servizi Web generico

In questa sezione si creerà la configurazione del connettore per l'applicazione.

Connettere l'agente di provisioning all'applicazione

Per connettere l'agente di provisioning di Microsoft Entra all'applicazione, seguire questa procedura:

  1. Copiare il file .wsconfig del modello di connettore di servizi Web file nella cartella C:\Program Files\Microsoft ECMA2Host\Service\ECMA.

  2. Generare un token segreto usato per l'autenticazione dell'ID Microsoft Entra nel connettore. Esso deve contenere almeno 12 caratteri univoci per ogni applicazione.

  3. Se non è già stato fatto, avviare la Configurazione guidata Microsoft ECMA2Host dal menu Start di Windows.

  4. Selezionare Nuovo connettore.

    Screenshot che mostra la scelta di un nuovo connettore.

  5. Nella pagina Proprietà, compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.

    Screenshot che mostra l'immissione delle proprietà.

    Proprietà valore
    Nome Nome scelto per il connettore, che deve essere univoco in tutti i connettori presenti nell'ambiente.
    Timer asincrono automatico (minuti) 120
    Token segreto Immettere il token segreto generato per questo connettore. La chiave deve contenere almeno 12 caratteri.
    DLL estensione Per il connettore di servizi Web, selezionare Microsoft.IdentityManagement.MA.WebServices.dll.

  6. Nella pagina Connettività, compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.

    Screenshot che mostra la pagina Connettività.

    Proprietà Descrizione
    Progetto Servizio Web Nome del modello di servizi Web.
    Host Nome host dell'endpoint SOAP dell'applicazione, ad esempio vhcalnplci.dummy.nodomain
    Porta Porta endpoint SOAP dell'applicazione, ad esempio 8000

  7. Nella pagina delle funzionalità, compilare le caselle con i valori specificati nella tabella seguente e fare clic su Avanti.

    Proprietà valore
    Distinguished Name Style (Stile di nome distinto) Generica
    Export Type (Tipo di esportazione) ObjectReplace
    Data Normalization (Normalizzazione dei dati) None
    Object Confirmation (Conferma degli oggetti) Normale
    Enable Import Selezionato
    Enabled Delta Import Non selezionato
    Enable Export Selezionato
    Enable Full Export Non selezionato
    Enable Export Password in the First Pass Selezionato
    No Reference Values In First Export Pass Non selezionato
    Enable Object Rename Non selezionato
    Delete-Add As Replace Non selezionato

Nota

Se il modello di connettore dei servizi Web viene aperto per la modifica nello strumento di configurazione del servizio Web, verrà visualizzato un errore.

  1. Nella pagina Globale compilare le caselle e selezionare Avanti.

  2. Nella pagina Partizioni selezionare Avanti.

  3. Nella pagina Profili di esecuzione, mantenere selezionata la casella di controllo Esportazione. Selezionare la casella di controllo Importazione completa, quindi scegliere Avanti. Il profilo di esecuzione Esporta viene utilizzato quando l'host ECMA Connector deve gestire l'invio delle modifiche da Microsoft Entra ID alla tua applicazione per inserire, aggiornare ed eliminare record. Il profilo di esecuzione importazione completa viene usato all'avvio del servizio host ECMA Connector per leggere il contenuto corrente dell'applicazione.

    Proprietà valore
    Esportazione Profilo di esecuzione che esporta i dati nell'applicazione Questo profilo di esecuzione è obbligatorio.
    Importazione completa Esegui il profilo che importa tutti i dati dalla tua applicazione.
    Importazione delta Profilo di esecuzione che importa solo le modifiche apportate dall'applicazione dall'ultima importazione completa o differenziale.

  4. Nella pagina Tipi oggetto compilare le caselle e selezionare Avanti. Usare la tabella che segue l'immagine per indicazioni sulle singole caselle.

    • Ancoraggio: i valori di questo attributo devono essere univoci per ciascun oggetto nel sistema di destinazione. Il servizio di provisioning di Microsoft Entra esegue una query sull'host del connettore ECMA usando questo attributo dopo il ciclo iniziale. Questo valore viene definito nel modello del connettore di servizi Web.

    • DN: l'opzione Generato automaticamente deve essere selezionata nella maggior parte dei casi. Se non è selezionata, verificare che l'attributo DN sia mappato a un attributo in Microsoft Entra ID che archivia il DN nel presente formato: CN = anchorValue, Object = objectType. Per altre informazioni sugli ancoraggi e il DN, vedere Informazioni sugli attributi di ancoraggio e nomi distinti.

      Proprietà valore
      Oggetti di destinazione User
      Ancora userName
      DN userName
      Generato automaticamente Selezionato

  5. L'host del connettore ECMA individua gli attributi supportati dall’applicazione. Quindi, è possibile scegliere quali degli attributi scoperti esporre a Microsoft Entra ID. Questi attributi possono quindi essere configurati nel portale di Azure per il provisioning. Nella pagina Selezionare attributi aggiungere tutti gli attributi nell'elenco a discesa uno alla volta. L'elenco a discesa Attributo mostra ogni attributo individuato nell’applicazione e che non è stato scelto nella pagina precedente Seleziona attributi. Dopo aver aggiunto tutti gli attributi pertinenti, selezionare Avanti.

    Screenshot che mostra la pagina Seleziona attributi.

  6. Nella pagina Deprovisioning, alla voce Disabilitare flusso, selezionare Elimina. Gli attributi selezionati nella pagina precedente non saranno disponibili per la selezione nella pagina Deprovisioning. Selezionare Fine.

Nota

Se si utilizza Impostare il valore dell'attributo, tenere presente che sono consentiti solo valori booleani.

Nella pagina Deprovisioning, sotto Disabilita flusso, selezionare Nessuno se si controllerà lo stato dell'account utente con una proprietà come expirationTime. In Elimina flusso selezionare Nessuno se non si vuole eliminare gli utenti dall'applicazione o Elimina in caso contrario. Selezionare Fine.

Assicurarsi che il servizio ECMA2Host sia in esecuzione.

  1. Nel server in cui è in esecuzione l'host del connettore Microsoft Entra ECMA selezionare Avvia.

  2. Immettere esegui, quindi inserire services.msc nella casella di ricerca.

  3. Nell'Elenco servizi, assicurarsi che Microsoft ECMA2Host sia presente e in esecuzione. In caso contrario, selezionare Avvia.

    Screenshot che mostra che il servizio è in esecuzione.

  4. Se il servizio è stato avviato di recente e sono presenti molti oggetti utente nell'applicazione, attendere alcuni minuti prima che il connettore stabilisca una connessione con l'applicazione ed esegua l'importazione completa iniziale.

Configurare il collegamento dell’applicazione nel portale di Azure

  1. Tornare alla finestra del Web browser in cui si stava configurando il provisioning dell'applicazione.

    Nota

    Se la finestra è andata in timeout, sarà necessario selezionare nuovamente l'agente.

    1. Accedere al portale di Azure.
    2. Passare ad Applicazioni aziendali e andare all’applicazione App ECMA locale.
    3. Selezionare Provisioning.
    4. Selezionare Attività iniziali e modificare la modalità ad Automatica, quindi nella sezione Connettività locale selezionare l'agente distribuito e scegliere Assegna agente/i. In caso contrario, passare a Modifica provisioning.

  2. Nella sezione Credenziali amministratore inserire l’URL seguente. Sostituire la parte {connectorName} con il nome del connettore nell'host del connettore ECMA. Il nome del connettore fa distinzione tra maiuscole e minuscole e deve corrispondere a quello configurato nella procedura guidata. Inoltre, è possibile sostituire localhost con il nome host del computer.

    Proprietà valore
    URL tenant https://localhost:8585/ecma2host_APP1/scim

  3. Immettere il valore del Token segreto definito al momento della creazione del connettore.

    Nota

    Se l'agente è stato appena assegnato all'applicazione, attendere 10 minuti perché la registrazione sia completata. Il test di connettività non funzionerà fino al completamento della registrazione. Forzare il completamento della registrazione dell'agente riavviando l'agente di provisioning nel server può velocizzare il processo di registrazione. Passare al server, cercare servizi nella barra di ricerca di Windows, identificare l'Microsoft Entra Connect Provisioning Agent Service, selezionare il servizio e riavviare.

  4. Selezionare Test connessione e attendere un minuto.

  5. Dopo che il test di connessione ha esito positivo e indica che le credenziali specificate sono autorizzate ad abilitare il provisioning, selezionare Salva.

    Screenshot che mostra il test di un agente.

Configurare i mapping degli attributi

Ora si eseguirà il mapping degli attributi tra la rappresentazione dell'utente in Microsoft Entra ID e la rappresentazione dell'utente nell'applicazione.

Si userà il portale di Azure per configurare il mapping tra gli attributi dell'utente di Microsoft Entra e gli attributi selezionati in precedenza nella configurazione guidata dell'host ECMA.

  1. Assicurarsi che lo schema di Microsoft Entra includa gli attributi richiesti dall’applicazione. Se richiede agli utenti di avere un attributo e tale attributo non fa già parte dello schema di Microsoft Entra per un utente, sarà necessario usare la funzionalità di estensione della directory per aggiungere tale attributo come estensione.

  2. Nell'interfaccia di amministrazione di Microsoft Entra, in Applicazioni aziendali, selezionare l'applicazione App ECMA locale, quindi la pagina Provisioning.

  3. Selezionare Modifica provisioning e attendere 10 secondi.

  4. Espandere Mapping e selezionare Effettua il provisioning degli utenti Microsoft Entra. Se questa è la prima volta che sono stati configurati i mapping degli attributi per questa applicazione, sarà presente un solo mapping per un segnaposto.

    Screenshot che mostra il provisioning di un utente.

  5. Per verificare che lo schema dell’applicazione sia disponibile in Microsoft Entra ID, selezionare la casella di controllo Mostra opzioni avanzate e selezionare Modifica elenco di attributi per ScimOnPremises. Assicurarsi che tutti gli attributi selezionati nella configurazione guidata siano elencati. In caso contrario, attendere alcuni minuti perché lo schema venga aggiornato, quindi ricaricare la pagina. Dopo aver visualizzato gli attributi elencati, annullare da questa pagina per tornare all'elenco dei mapping.

  6. Ora, seleziona il mapping del userPrincipalName PLACEHOLDER. Questo mapping viene aggiunto per impostazione predefinita quando si configura per la prima volta il provisioning locale.

Screenshot del segnaposto.

Cambiare il valore in modo che corrisponda a quanto segue:

Tipo di mapping Attributo di origine Attributo di destinazione
Connessione diretta userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Selezionare ora Aggiungi nuovo mapping e ripetere il passaggio successivo per ciascun mapping.

  2. Specificare gli attributi di origine e di destinazione per ciascuno degli attributi richiesti dall'applicazione. ad esempio:

    Attributo Microsoft Entra Attributo ScimOnPremises Precedenza abbinamento Applica questo mapping
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Solo durante la creazione dell'oggetto
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Solo durante la creazione dell'oggetto
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Sempre
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Sempre
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Sempre
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Sempre
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Sempre
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Sempre
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Sempre
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Sempre
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Sempre

  3. Dopo aver aggiunto tutte le mappature, selezionare Salva.

Assegnare utenti all'applicazione

Ora che hai configurato la comunicazione tra Microsoft Entra ECMA Connector Host e Microsoft Entra ID e il mapping degli attributi è stato configurato, puoi procedere alla configurazione di chi è incluso nell'ambito del provisioning.

Importante

Se è stato eseguito l'accesso usando un ruolo di amministratore delle identità ibride, è necessario disconnettersi e accedere con un account avente almeno il ruolo di amministratore di applicazioni per questa sezione. Il ruolo di amministratore delle identità ibride non dispone delle autorizzazioni per assegnare utenti alle applicazioni.

Se nell’applicazione sono presenti utenti esistenti, è necessario creare assegnazioni di ruolo dell'applicazione per tali utenti. Per altre informazioni su come creare assegnazioni di ruolo dell'applicazione in blocco, vedere governance degli utenti esistenti di un'applicazione in Microsoft Entra ID.

In caso contrario, se non sono presenti utenti correnti dell'applicazione, selezionare un utente di test da Microsoft Entra che verrà sottoposto a provisioning nell'applicazione.

  1. Assicurarsi che l'utente selezionato possieda tutte le proprietà necessarie per essere mappate agli attributi richiesti dell'applicazione.

  2. Nel portale di Azure selezionare Applicazioni aziendali.

  3. Selezionare l'applicazione App ECMA locale.

  4. Nel riquadro sinistro, in Gestisci, fare clic su Utenti e gruppi.

  5. Selezionare Aggiungi utente/gruppo.

    Screenshot che mostra l'aggiunta di un nuovo utente.

  6. In Utenti, selezionare Nessun utente selezionato.

    Screenshot che mostra Nessun utente selezionato.

  7. Selezionare gli utenti a destra, quindi selezionare il pulsante Seleziona.

    Screenshot che mostra l’opzione Seleziona utenti.

  8. Ora, selezionare Assegna.

    Screenshot che mostra l’opzione Assegna utenti.

Test del provisioning

Ora che gli attributi sono mappati e gli utenti sono assegnati, è possibile testare il provisioning su richiesta con uno degli utenti.

  1. Nel portale di Azure selezionare Applicazioni aziendali.

  2. Selezionare l'applicazione App ECMA locale.

  3. A sinistra, selezionare Provisioning.

  4. Selezionare Provisioning su richiesta.

  5. Cercare uno degli utenti di test e selezionare Effettua il provisioning.

    Screenshot che mostra il test del provisioning.

  6. Dopo alcuni secondi, viene visualizzato il messaggio Utente creato correttamente nel sistema di destinazione, con un elenco degli attributi utente.

Avvia provisioning degli utenti

  1. Al termine del provisioning su richiesta, tornare alla pagina di configurazione del provisioning. Assicurarsi che l'ambito sia impostato solo su utenti e gruppi assegnati, attivare il provisioning impostandolo su On e selezionare Salva.

    Screenshot che mostra Avvia provisioning.

  2. Attendere fino a 40 minuti per l'avvio del servizio di provisioning. Al termine del processo di provisioning, come descritto nella sezione successiva, se il test è stato completato, è possibile modificare lo stato del provisioning a Disattivato e selezionare Salva. Questa azione impedisce l'esecuzione del servizio di provisioning in futuro.

Risoluzione degli errori relativi al provisioning

Se viene visualizzato un errore, selezionare Visualizza log di provisioning. Cercare nel log una riga in cui lo stato è Errore e selezionarla.

Per altre informazioni, passare alla scheda Risoluzione dei problemi e consigli.

Passaggi successivi