Поделиться через

Подготовка с помощью соединителя веб-служб

  • Статья

В следующей документации содержатся сведения о соединителе универсальных веб-служб. Управление идентификацией Microsoft Entra поддерживает учетные записи подготовки в различных приложениях, таких как SAP ECC, Oracle eBusiness Suite и бизнес-приложения, предоставляющие ИНТЕРФЕЙСы REST или SOAP API. Клиенты, которые ранее развернули MIM для подключения к этим приложениям, могут легко переключаться на использование упрощенного агента подготовки Microsoft Entra, а также повторно использовать тот же соединитель веб-служб, созданный для MIM.

Поддерживаемые возможности

  • Создайте пользователей в приложении.
  • Удалите пользователей в приложении, когда им больше не нужен доступ.
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и приложением.
  • Узнайте схему для приложения.

Соединитель веб-служб реализует следующие функции:

  • Обнаружение SOAP: позволяет администратору ввести путь WSDL, предоставляемый целевой веб-службой. Обнаружение создает дерево структуры размещенных веб-служб приложения с внутренними конечными точками или операциями вместе с описанием метаданных операции. Количество операций обнаружения, которые можно выполнить (пошаговые действия) не ограничено. Обнаруженные операции используются позже для настройки потока операций, реализующих операции соединителя с источником данных (как импорт и экспорт).

  • Обнаружение REST: позволяет администратору вводить сведения о службе REST, включая конечную точку службы, путь к ресурсу, метод и сведения о параметрах. Сведения о службах REST хранятся в файле discovery.xml проекта wsconfig. Они будут использоваться администратором позже для настройки действия веб-службы Rest в рабочем процессе.

  • Конфигурация схемы: позволяет администратору настроить схему. Конфигурация схемы содержит список типов объектов и атрибутов для конкретного приложения. Администратор может выбрать атрибуты, которые должны быть частью схемы.

  • Конфигурация потока операций: пользовательский интерфейс конструктора рабочих процессов для настройки реализации операций импорта и экспорта для каждого типа объекта с помощью предоставляемых функций веб-службы, включая назначение параметров от пользователя, подготавливаемого к функциям веб-службы.

Предварительные требования для подготовки

Предварительные требования для локальной среды

Компьютер, на котором запущен агент подготовки, должен иметь следующее:

  • Подключение к конечным точкам REST или SOAP приложения, а также с исходящим подключением к login.microsoftonline.com, другим доменам Microsoft Online Services и Azure . Примером может служить компьютер виртуальной машины под управлением ОС Windows Server 2016, размещенный в Azure IaaS или за прокси-сервером.
  • По крайней мере 3 ГБ ОЗУ для размещения агента подготовки.
  • .NET Framework 4.7.2.
  • Windows Server 2016 или более поздней версии.

Перед настройкой предоставления убедитесь, что:

  • Предоставьте необходимые API SOAP или REST в приложении для создания, обновления и удаления пользователей.

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5).

    Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

  • Роль Администратора гибридных удостоверений для настройки агента подготовки и роль Администратора приложения или Администратора облачного приложения для настройки подготовки на портале Azure.

  • Пользователи Microsoft Entra, предназначенные для вашего приложения, должны быть заполнены всеми необходимыми для него атрибутами.

Установка и настройка агента подготовки Microsoft Entra Connect

  1. Войдите на портал Azure.
  2. Перейдите в корпоративные приложения и выберите "Создать приложение".
  3. Найдите локальное приложение ECMA , присвойте приложению имя и нажмите кнопку "Создать ", чтобы добавить его в клиент.
  4. В меню перейдите на страницу подготовки приложения.
  5. Выберите Приступая к работе.
  6. На странице Подготовка измените режим на автоматический.

Снимок экрана: выбор автоматического.

  1. В разделе "Локальное подключение" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

  2. Оставьте портал и запустите установщик агента подготовки, примите условия обслуживания и выберите " Установить".

  3. Дождитесь мастера настройки агента подготовки Microsoft Entra, а затем нажмите кнопку "Далее".

  4. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".

  5. Агент подготовки использует веб-браузер операционной системы для отображения всплывающего окна, чтобы вы могли аутентифицироваться в Microsoft Entra ID, а возможно, и в поставщике удостоверений вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы разрешить JavaScript работать правильно.

  6. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется по крайней мере роль администратора гибридных удостоверений.

  7. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать " Выйти", а также закрыть установщик пакета агента подготовки.

Настройка локального приложения ECMA

  1. На портале в разделе "Локальное подключение" выберите развернутый агент и выберите "Назначить агенты".

    Снимок экрана: выбор и назначение агента.

  2. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

Настройка сертификата узла соединителя ECMA в Microsoft Entra

  1. На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши по мастеру настройки Microsoft ECMA2Host в меню "Пуск" и запустите его с правами администратора. Запуск от имени администратора Windows необходим для создания необходимых журналов событий Windows.

  2. Когда начнется конфигурация узла соединителя ECMA, если вы запускаете мастер впервые, вам будет предложено создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически созданный сертификат является самоподписанным как часть доверенной корневой цепи. Сертификат SAN соответствует имени узла.

    Снимок экрана: настройка параметров.

  3. Выберите Сохранить.

Создание шаблона соединителя веб-служб

Перед созданием конфигурации соединителя веб-служб необходимо создать шаблон соединителя веб-служб и настроить шаблон в соответствии с потребностями конкретной среды. Убедитесь, что имя_службы, endpointName и имя_операции правильно.

Примеры шаблонов и инструкций по интеграции с популярными приложениями, такими как SAP ECC 7.0 и Oracle eBusiness Suite, можно найти в пакете скачивания соединителей. Вы можете узнать, как создать проект для источника данных в средстве настройки веб-службы с помощью руководства по рабочему процессу для SOAP.

Дополнительные сведения о настройке шаблона для подключения к REST или SOAP API собственного приложения см. в разделе "Обзор универсального соединителя веб-службы" в библиотеке документации MIM.

Настройка соединителя универсальных веб-служб

В этом разделе вы создадите конфигурацию соединителя для приложения.

Подключение агента подготовки к приложению

Чтобы подключить агент подготовки Microsoft Entra к приложению, выполните следующие действия.

  1. Скопируйте файл шаблона соединителя .wsconfig веб-службы в папку C:\Program Files\Microsoft ECMA2Host\Service\ECMA .

  2. Создайте секретный маркер, используемый для проверки подлинности идентификатора Microsoft Entra в соединителе. Для каждого приложения должно быть 12 символов и уникальных.

  3. Если этого еще не сделано, запустите мастер настройки Microsoft ECMA2Host из меню Windows.

  4. Выберите Новый соединитель.

    Снимок экрана: выбор нового соединителя.

  5. На странице Свойства заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: ввод значений свойств.

    Свойство Значение
    Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде.
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите секретный маркер, созданный для этого соединителя. Ключ должен быть не менее 12 символов.
    Библиотека DLL расширения Для соединителя веб-служб выберите Microsoft.IdentityManagement.MA.WebServices.dll.

  6. На странице Подключение заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Description
    Проект веб-службы Имя шаблона веб-служб.
    Хост Имя узла конечной точки SOAP приложения, например vhcalnplci.dummy.nodomain
    Порт Порт конечной точки SOAP приложения, например 8000

  7. На странице возможности заполните поля значениями, указанными в следующей таблице, и выберите Далее.

    Свойство Значение
    Стиль различающегося имени Универсальный
    Тип экспорта ObjectReplace
    Нормализация данных нет
    Подтверждение объекта Обычная
    Включить импорт Флажок установлен
    Включение разностного импорта Флажок снят
    Включить экспорт Флажок установлен
    Включить полный экспорт Флажок снят
    Включение экспорта пароля в первом проходе Флажок установлен
    Нет ссылочных значений в первом проходе экспорта Флажок снят
    Включить переименование объекта Флажок снят
    Delete-Add as Replace Флажок снят

Примечание.

Если шаблон соединителя веб-служб открыт для редактирования в средстве настройки веб-службы, появится сообщение об ошибке.

  1. На глобальной странице заполните поля и нажмите кнопку "Далее".

  2. На странице Секции нажмите кнопку Далее.

  3. На странице Профили запуска оставьте флажок Экспорт. Установите флажок Полный импорт и нажмите кнопку Далее. Профиль выполнения экспорта используется, когда хост соединителя ECMA должен отправлять изменения из Microsoft Entra ID в ваше приложение для вставки, обновления и удаления записей. Профиль выполнения полного импорта используется при запуске службы хоста соединителя ECMA для считывания текущего содержимого приложения.

    Свойство Значение
    Экспорт (Export) Профиль запуска, который экспортирует данные в ваше приложение, является обязательным.
    Полный импорт Запустите профиль, который импортирует все данные из приложения.
    Импорт изменений Запустите профиль, который импортирует только те изменения, которые произошли в вашем приложении с момента последнего полного или разностного импорта.

  4. Заполните поля на странице Типы объектов и нажмите кнопку Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    • Привязка : значения этого атрибута должны быть уникальными для каждого объекта в целевой системе. Служба настройки Microsoft Entra запрашивает хост ECMA-коннектора, используя этот атрибут после начального цикла. Это значение определяется в шаблоне соединителя веб-служб.

    • DN : параметр автогенерации должен быть выбран в большинстве случаев. Если он не выбран, убедитесь, что атрибут DN сопоставляется с атрибутом в идентификаторе Microsoft Entra, который хранит DN в этом формате: CN = anchorValue, Object = objectType. Дополнительные сведения о привязках и различающихся именах см. здесь.

      Свойство Значение
      Целевой объект User
      Привязка userName
      DN userName
      Созданный автоматически Флажок установлен

  5. Узел соединителя ECMA обнаруживает атрибуты, поддерживаемые приложением. Затем можно выбрать, какие из обнаруженных атрибутов вы хотите предоставить идентификатору Microsoft Entra. Затем эти атрибуты можно настроить на портале Azure для подготовки. На странице Выбор атрибутов поочередно добавьте все атрибуты из раскрывающегося списка. В раскрывающемся списке атрибутов отображается любой атрибут, обнаруженный в приложении и не выбранный на предыдущей странице выбора атрибутов . После добавления всех соответствующих атрибутов нажмите кнопку Далее.

    Снимок экрана: страница выбора атрибутов

  6. На странице Отзыв в разделе Отключить потоквыберите Удалить. Атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице отзыва. Нажмите Готово.

Примечание.

Если вы используете значение атрибута Set, следует учитывать, что разрешены только логические значения.

На странице отключения в разделе "Отключение потока" выберите "Нет", если вы будете контролировать состояние учетной записи пользователя с помощью свойства, например expirationTime. В разделе "Удаление" выберите "Нет", если вы не хотите удалять пользователей из вашего приложения, или "Удалить", если вы это делаете. Нажмите Готово.

Проверка работы службы ECMA2Host

  1. На сервере под управлением узла соединителя Microsoft Entra ECMA нажмите кнопку "Пуск".

  2. Введите run, а потом введите в поле services.msc.

  3. Убедитесь, что Microsoft ECMA2Host отображается в списке служб и она запущена. В противном случае нажмите Start (Запустить).

    Снимок экрана c запущенной службой.

  4. Если вы недавно запустили службу и имеете много объектов пользователей в приложении, подождите несколько минут, пока соединитель установит соединение с приложением и выполните первоначальный полный импорт.

Настройка подключения к приложению на портале Azure

  1. Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

    Примечание.

    Если время ожидания окна истекло, необходимо повторно выбрать агент.

    1. Войдите на портал Azure.
    2. Перейдите в раздел Корпоративные приложения и выберите локальное приложение ECMA.
    3. Выберите Подготовка.
    4. Выберите "Начать работу", а затем измените режим на "Автоматически" в разделе "Локальное подключение", выберите развернутый агент и выберите "Назначить агенты". Если окно не появится, перейдите к разделу Изменение подготовки.

  2. Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените фрагмент {connectorName} именем соединителя в узле соединителя ECMA. Имя соединителя учитывает регистр и должно быть таким же, как и в мастере. Вы также можете заменить localhost имя узла компьютера.

    Свойство Значение
    URL-адрес клиента https://localhost:8585/ecma2host_APP1/scim

  3. Введите значение секретного токена, которое вы определили при создании соединителя.

    Примечание.

    Если вы назначили агент для приложения только что, подождите 10 минут, пока не завершится регистрация. Проверку подключения можно произвести только после завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на ваш сервер, найдите службы по запросу в строке поиска Windows, определите службу Microsoft Entra Connect Provisioning Agent Service, кликните по ней правой кнопкой мыши и перезапустите.

  4. Нажмите Проверить соединение и подождите одну минуту.

  5. После успешного тестирования подключения и указывает, что предоставленные учетные данные разрешены для включения подготовки, нажмите кнопку "Сохранить".

    Снимок экрана, тестирование агента

Настройка сопоставлений атрибутов

Теперь вы сопоставите атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в приложении.

Вы будете использовать портал Azure для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Убедитесь, что схема Microsoft Entra содержит атрибуты, необходимые приложению. Если требуется, чтобы у пользователей был атрибут, и этот атрибут еще не является частью схемы Microsoft Entra для пользователя, вам потребуется использовать функцию расширения каталога , чтобы добавить этот атрибут в качестве расширения.

  2. В Центре администрирования Microsoft Entra в разделе "Корпоративные приложения" выберите локальное приложение приложения ECMA, а затем страницу подготовки .

  3. Выберите Изменить подготовку и подождите 10 секунд.

  4. Разверните сопоставления и выберите "Подготовка пользователей Microsoft Entra". Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, для заполнителя будет только одно сопоставление.

    Снимок экрана: подготовка пользователя.

  5. Чтобы убедиться, что схема приложения доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, а затем отмените с этой страницы, чтобы вернуться в список сопоставлений.

  6. Теперь выберите сопоставление userPrincipalName PLACEHOLDER. Это сопоставление добавляется по умолчанию при первой настройке локальной подготовки.

Снимок экрана: заполнитель.

Измените значение, соответствующее следующему:

Тип сопоставления Атрибут источника Целевой атрибут
Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Теперь выберите " Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

  2. Укажите исходные и целевые атрибуты для каждого из необходимых атрибутов приложения. Например,

    Атрибут Microsoft Entra Атрибут ScimOnPremises Приоритет сопоставления Применять это сопоставление
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Только во время создания объекта
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Только во время создания объекта
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Всегда
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Всегда
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Всегда
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Всегда
    Switch([IsSoftDeleted], "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Всегда
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Всегда
    surname; urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Всегда
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Всегда
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Всегда

  3. После добавления всех сопоставлений выберите Сохранить.

Назначение пользователей для приложения

Теперь, когда хост соединителя Microsoft Entra ECMA взаимодействует с идентификатором Microsoft Entra, а сопоставление атрибутов настроено, можно перейти к настройке области охвата для предоставления доступа.

Внимание

Если вы вошли с помощью роли администратора гибридных удостоверений, необходимо выйти и войти с учетной записью, которая имеет по крайней мере роль администратора приложений для этого раздела. Роль администратора гибридных удостоверений не имеет разрешений на назначение пользователей приложениям.

Если в приложении есть существующие пользователи, необходимо создать назначения ролей приложения для существующих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом режиме, см. в разделе управления существующими пользователями приложения в идентификаторе Microsoft Entra.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что выбранный пользователь имеет все свойства, которые необходимо сопоставить с необходимыми атрибутами приложения.

  2. На портале Azure выберите элемент Корпоративные приложения.

  3. Выберите вариант Локальное приложение ECMA.

  4. В левой части экрана последовательно выберите Управление и Пользователи и группы.

  5. Выберите Добавить пользователя или группу.

    Снимок экрана: добавление пользователя.

  6. В меню Пользователи нажмите Не выбрано.

    Снимок экрана: пункт

  7. Выберите нужных пользователей справа и нажмите кнопку Выбрать.

    Снимок экрана: выбор пользователей

  8. Теперь нажмите Назначить.

    Снимок экрана: назначение пользователей.

Тестирование подготовки

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. На портале Azure выберите элемент Корпоративные приложения.

  2. Выберите вариант Локальное приложение ECMA.

  3. В левой части экрана выберите элемент Подготовка.

  4. Выберите Подготовка по требованию.

  5. Найдите одного из тестовых пользователей и выберите Подготовить.

    Снимок экрана: проверка подготовки.

  6. Через несколько секунд появится сообщение успешно созданного пользователя в целевой системе со списком атрибутов пользователя.

Начало подготовки пользователей

  1. После успешной подготовки по запросу вернитесь на страницу конфигурации подготовки. Убедитесь, что в качестве области выбраны только назначенные пользователи и группы, активируйте подготовку и нажмите кнопку Сохранить.

    Снимок экрана: начало подготовки.

  2. Дождитесь запуска службы подготовки до 40 минут. После завершения задания подготовки, как описано в следующем разделе, вы можете изменить состояние подготовки на "Выкл." и нажмите кнопку "Сохранить". После этого служба подготовки перестанет запускаться.

Устранение ошибок подготовки

Если отображается сообщение об ошибке, выберите команду Просмотреть журналы подготовки. Найдите в журнале строку, в которой находится состояние сбоя, и выберите ее.

Дополнительные сведения см. на вкладке "Устранение неполадок и рекомендации ".

Следующие шаги