Udostępnij za pośrednictwem


Łącznik programu Microsoft Identity Manager dla programu Microsoft Graph

Streszczenie

Łącznik Microsoft Identity Manager dla Microsoft Graph umożliwia dodatkowe scenariusze integracji dla klientów Microsoft Entra ID P1 lub P2. Przedstawia on dodatkowe obiekty metadane synchronizacji programu MIM uzyskane z interfejsu API programu Microsoft Graph v1 i beta.

Omówione scenariusze

Zarządzanie cyklem życia konta B2B

Początkowy scenariusz użycia łącznika Microsoft Identity Manager dla Microsoft Graph to wsparcie w automatyzacji zarządzania cyklem życia kont AD DS dla użytkowników zewnętrznych. W tym scenariuszu organizacja synchronizuje pracowników z identyfikatorem Entra firmy Microsoft z usług AD DS przy użyciu programu Microsoft Entra Connect, a także zaprosiła gości do katalogu firmy Microsoft Entra. Zaproszenie gościa powoduje, że obiekt użytkownika zewnętrznego znajduje się w katalogu Microsoft Entra tej organizacji, który nie znajduje się w usługach AD DS tej organizacji. Następnie organizacja chce zapewnić tym gościom dostęp do lokalnych uwierzytelniania zintegrowanego systemu Windows lub aplikacji opartych na protokole Kerberos za pośrednictwem serwera proxy aplikacji Microsoft Entra lub innych mechanizmów bramy. Serwer proxy aplikacji Firmy Microsoft Entra wymaga, aby każdy użytkownik miał własne konto usług AD DS na potrzeby identyfikacji i delegowania.

Aby dowiedzieć się, jak skonfigurować synchronizację MIM w celu automatycznego tworzenia i obsługi kont AD DS dla gości, po przeczytaniu instrukcji opisanych w tym artykule, zapoznaj się z artykułem na temat współpracy biznesowej (B2B) w Microsoft Entra, MIM 2016 i proxy aplikacji Microsoft Entra. W tym artykule przedstawiono reguły synchronizacji wymagane dla łącznika.

Inne scenariusze zarządzania tożsamościami

Łącznik może służyć do innych konkretnych scenariuszy zarządzania tożsamościami obejmujących tworzenie, odczytywanie, aktualizowanie i usuwanie obiektów użytkowników, grup i kontaktów w identyfikatorze Entra firmy Microsoft, poza synchronizacją użytkowników i grup z identyfikatorem Entra firmy Microsoft. Podczas oceniania potencjalnych scenariuszy należy pamiętać: ten łącznik nie może być obsługiwany w scenariuszu, co spowodowałoby nakładanie się przepływu danych, rzeczywisty lub potencjalny konflikt synchronizacji z wdrożeniem programu Microsoft Entra Connect. microsoft Entra Connect to zalecane podejście do integrowania katalogów lokalnych z identyfikatorem Entra firmy Microsoft przez synchronizowanie użytkowników i grup z katalogów lokalnych do identyfikatora Entra firmy Microsoft. Program Microsoft Entra Connect ma wiele innych funkcji synchronizacji i umożliwia scenariusze, takie jak zapisywanie zwrotne haseł i urządzeń, które nie są możliwe w przypadku obiektów utworzonych przez program MIM. Jeśli na przykład dane są wprowadzane do usług AD DS, upewnij się, że są one wykluczone z programu Microsoft Entra Connect próbującego dopasowania tych obiektów z powrotem do katalogu Microsoft Entra. Nie można też używać tego łącznika do wprowadzania zmian w obiektach firmy Microsoft Entra, które zostały utworzone przez firmę Microsoft Entra Connect.

Przygotowywanie do korzystania z łącznika dla programu Microsoft Graph

Autoryzowanie łącznika w celu pobierania obiektów w katalogu Microsoft Entra lub zarządzania nimi

  1. Łącznik wymaga utworzenia aplikacji internetowej/aplikacji interfejsu API w usłudze Microsoft Entra ID, aby można było autoryzować ją z odpowiednimi uprawnieniami do działania na obiektach Firmy Microsoft Entra za pośrednictwem programu Microsoft Graph.

    Obraz przycisku rejestracji nowej aplikacji Obraz rejestracji aplikacji

    Obraz 1. Rejestracja nowej aplikacji

  2. W witrynie Azure Portal otwórz utworzoną aplikację i zapisz identyfikator aplikacji jako identyfikator klienta, który będzie używany później na stronie łączności usługi MA:

  3. Wygeneruj nowy klucz tajny klienta, otwierając certyfikaty & tajne. Ustaw opis klucza i wybierz maksymalny czas trwania. Zapisz zmiany i pobierz klucz tajny klienta. Wartość tajnego klucza klienta nie będzie dostępna do ponownego wyświetlenia po opuszczeniu strony.

    Obraz przycisku dodawania nowego sekretu

    Obraz 2. Nowy klucz tajny klienta

  4. Udziel odpowiednich uprawnień "Microsoft Graph" do aplikacji, otwierając pozycję "Uprawnienia interfejsu API"

    Obraz przedstawiający przycisk dodawania uprawnień Obraz 3. Dodawanie nowego interfejsu API

    Wybierz uprawnienia aplikacji "Microsoft Graph". Obraz uprawnień aplikacji

    Odwoływanie wszystkich niepotrzebnych uprawnień.

    Obraz przedstawiający nieudzielone uprawnienia aplikacji

    Następujące uprawnienie należy dodać do aplikacji, aby umożliwić mu korzystanie z interfejsu API programu Microsoft Graph w zależności od scenariusza:

    Operacja z obiektem Wymagane uprawnienie Typ uprawnień
    Wykrywanie schematu Application.Read.All Aplikacja
    Importuj grupę Group.Read.All lub Group.ReadWrite.All Aplikacja
    Importowanie użytkownika User.Read.All, User.ReadWrite.All, Directory.Read.All lub Directory.ReadWrite.All Aplikacja

    Więcej szczegółów na temat wymaganych uprawnień można znaleźć w referencji do uprawnień.

Notatka

Uprawnienie Application.Read.All jest obowiązkowe do wykrywania schematu i musi zostać przyznane niezależnie od typu obiektu, z którym będzie pracował łącznik.

  1. Udziel zgody administratora dla wybranych uprawnień. Obraz zgody udzielonej przez administratora

Instalowanie łącznika

  1. Przed zainstalowaniem łącznika upewnij się, że na serwerze synchronizacji są zainstalowane następujące elementy:
  • Microsoft .NET 4.6.2 Framework lub nowszy
  • Program Microsoft Identity Manager 2016 SP2 musi używać poprawki 4.4.1642.0 KB4021562 lub nowszej.
  1. Łącznik programu Microsoft Graph, oprócz innych łączników dla Microsoft Identity Manager 2016 SP2, jest dostępny do pobrania z Centrum Pobierania Microsoft .

  2. Uruchom ponownie usługę synchronizacji programu MIM.

Konfiguracja łącznika

  1. Wybierz opcje Łączniki oraz Utwórzw interfejsie użytkownika Menadżera Usługi Synchronizacji. Wybierz pozycję Graph (Microsoft), utwórz łącznik i nadaj mu opisową nazwę.

nowy obraz łącznika

  1. W interfejsie użytkownika usługi synchronizacji programu MIM określ identyfikator aplikacji i wygenerowany klucz tajny klienta. Każdy agent zarządzania skonfigurowany w programie MIM Sync powinien mieć własną aplikację w identyfikatorze Entra firmy Microsoft, aby uniknąć równoległego importowania dla tej samej aplikacji.

Obraz 4. Strona łączności

Strona łączności (obraz 4) zawiera nazwę dzierżawy oraz wersję interfejsu API programu Graph, która jest używana. Identyfikator klienta i klucz tajny klienta reprezentują Identyfikator aplikacji i Wartość klucza aplikacji, które zostały wcześniej utworzone w Microsoft Entra ID.

Łącznik jest domyślnie domyślny dla wersji 1.0 oraz punktów końcowych logowania i grafów usługi globalnej programu Microsoft Graph. Jeśli Twoja dzierżawa znajduje się w chmurze krajowej, musisz zmienić konfigurację, aby używać punktów końcowych dla chmury krajowej. Należy pamiętać, że niektóre funkcje programu Graph, które znajdują się w usłudze globalnej, mogą nie być dostępne we wszystkich chmurach krajowych.

  1. Wprowadź wszelkie niezbędne zmiany na stronie Parametry globalne:

obraz strony parametrów globalnych

Obraz 5. Strona Parametry globalne

Strona parametrów globalnych zawiera następujące ustawienia:

  • Format DateTime — format używany dla dowolnego atrybutu z typem Edm.DateTimeOffset. Wszystkie daty są konwertowane na ciąg przy użyciu tego formatu podczas importowania. Format jest stosowany dla każdego atrybutu, który zapisuje datę.

  • Limit czasu HTTP (w sekundach) — limit czasu w sekundach, który będzie używany podczas każdego wywołania HTTP do programu Graph.

  • Wymuś zmianę hasła dla utworzonego użytkownika przy następnym logowaniu — ta opcja jest używana dla nowego użytkownika, który zostanie utworzony podczas eksportu. Jeśli opcja jest włączona, właściwość forceChangePasswordNextSignIn zostanie ustawiona na wartość true. W przeciwnym razie będzie to wartość false.

Konfigurowanie schematu i operacji łącznika

  1. Skonfiguruj schemat. Łącznik obsługuje następującą listę typów obiektów w przypadku użycia z punktem końcowym programu Graph w wersji 1.0:
  • Użytkownik

    • Importowanie pełne/różnicowe

    • Eksportowanie (dodawanie, aktualizowanie, usuwanie)

  • Grupa

    • Importowanie pełne/różnicowe

    • Eksportowanie (dodawanie, aktualizowanie, usuwanie)

Dodatkowe typy obiektów mogą być widoczne podczas konfigurowania łącznika do korzystania z punktu końcowego programu Graph w wersji beta.

Lista obsługiwanych typów atrybutów:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (ciąg w przestrzeni łącznika)

  • microsoft.graph.directoryObject (odwołanie w przestrzeni łącznika do dowolnego z obsługiwanych obiektów)

  • microsoft.graph.contact

Atrybuty wielowartościowe (kolekcja) są również obsługiwane dla dowolnego typu z powyższej listy.

Łącznik używa atrybutu "id" dla kotwicy i DN dla wszystkich obiektów. W związku z tym zmiana nazwy nie jest wymagana, ponieważ interfejs API programu Graph nie zezwala obiektowi na zmianę jego atrybutu id.

Okres istnienia tokenu dostępu

Aplikacja programu Graph wymaga tokenu dostępu do uzyskiwania dostępu do interfejsu API programu Graph. Łącznik zażąda nowego tokenu dostępu dla każdej iteracji importu (iteracja importu zależy od rozmiaru strony). Na przykład:

  • Identyfikator Entra firmy Microsoft zawiera 10000 obiektów

  • Rozmiar strony skonfigurowany w łączniku to 5000

W takim przypadku podczas importowania będą występować dwie iteracji, a każda z nich zwróci 5000 obiektów do synchronizacji. W związku z tym nowy token dostępu zostanie dwukrotnie zażądany.

Podczas eksportowania dla każdego obiektu, który musi zostać dodany, zaktualizowany lub usunięty, będzie wymagane uzyskanie nowego tokenu dostępu.

Filtry zapytań

Punkty końcowe interfejsu API programu Graph umożliwiają ograniczenie liczby obiektów zwracanych przez zapytania GET przez wprowadzenie $filter parametru.

Aby umożliwić korzystanie z filtrów zapytań w celu poprawy cyklu wydajności pełnego importu, na stronie Schemat 1 właściwości łącznika włącz pole wyboru Filtr dodawania obiektów.

Ustawienia łącznika strony jeden obraz z zaznaczonym polem wyboru Dodaj filtry obiektów

Następnie na stronie Schema 2 wpisz wyrażenie, które ma być używane do filtrowania użytkowników, grup, kontaktów lub jednostek usługi.

Ustawienia łącznika strony dwóch obrazów z przykładowym filtrem startsWith(displayName,'J')

Na powyższym zrzucie ekranu filtr startsWith(displayName,'J') jest ustawiony, aby wyświetlać tylko użytkowników, których wartość atrybutu displayName rozpoczyna się od "J".

Upewnij się, że atrybut używany w wyrażeniu filtru jest zaznaczony we właściwościach łącznika.

obraz strony ustawień łącznika z wybranym atrybutem displayName

Aby uzyskać więcej informacji na temat użycia parametrów zapytań $filter, zobacz ten artykuł: Używanie parametrów zapytania do dostosowywania odpowiedzi.

Notatka

Punkt końcowy zapytania różnicowego obecnie nie oferuje możliwości filtrowania, dlatego użycie filtrów jest ograniczone tylko do pełnego importu. Zostanie wyświetlony błąd podczas próby rozpoczęcia importu różnicowego z aktywnymi filtrami zapytań.

Rozwiązywanie problemów

Włącz dzienniki

Jeśli w programie Graph występują jakiekolwiek problemy, dzienniki mogą być używane do lokalizowania problemu. Więc śledzenie można włączyć w w ten sam sposób jak w przypadku łączników ogólnych. Możesz po prostu dodać to, co następuje do miiserver.exe.config (wewnątrz sekcji system.diagnostics/sources):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Notatka

Jeśli opcja "Uruchom tego agenta zarządzania w osobnym procesie" jest włączona, należy użyć dllhost.exe.config zamiast miiserver.exe.config.

Błąd wygasłego tokenu dostępu

Łącznik może zwrócić błąd HTTP 401 Brak autoryzacji, komunikat "Token dostępu wygasł".:

obraz szczegółów błędu

Obraz 6. "Token dostępu wygasł". Błąd

Przyczyną tego problemu może być konfiguracja okresu istnienia tokenu dostępu po stronie platformy Azure. Domyślnie token dostępu wygasa po 1 godzinie. Aby zwiększyć czas wygaśnięcia, zobacz tym artykule.

Przykład użycia publicznej wersji zapoznawczej modułu Azure AD PowerShell

obraz okresu istnienia tokenu dostępu

New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Następne kroki