Aprowizowanie użytkowników w aplikacjach opartych na języku SQL

Poniższa dokumentacja zawiera informacje o konfiguracji i samouczku przedstawiające sposób użycia ogólnego łącznika SQL i hosta extensible Connectivity (ECMA) z programem SQL Server.

W tym dokumencie opisano kroki, które należy wykonać w celu automatycznej aprowizacji i anulowania aprowizacji użytkowników z usługi Microsoft Entra ID w bazie danych SQL.

Aby uzyskać ważne informacje o tym, co robi ta usługa, jak działa i o często zadawanych pytaniach, zapoznaj się z artykułami Automatyzowanie aprowizacji użytkowników i anulowania ich aprowizacji w aplikacjach SaaS przy użyciu Microsoft Entra ID oraz architektury aprowizacji aplikacji lokalnych.

Poniższe wideo zawiera omówienie lokalnego wdrażania.

Wymagania wstępne dotyczące prowizjonowania do SQL Database

Lokalne wymagania wstępne

Aplikacja opiera się na bazie danych SQL, w której można tworzyć, aktualizować i usuwać rekordy dla użytkowników. Komputer z uruchomionym agentem aprowizacji powinien mieć:

• Windows Server 2016 lub nowsza wersja.
• Łączność z docelowym systemem bazy danych oraz z łącznością wychodzącą z login.microsoftonline.com, innymi usługami Online Services i domenami platformy Azure firmy Microsoft. Przykładem jest maszyna wirtualna z systemem Windows Server 2016 hostowana w usłudze Azure IaaS lub za serwerem proxy.
• Co najmniej 3 GB pamięci RAM.
• .NET Framework 4.7.2.
• Sterownik ODBC dla bazy danych SQL.

Konfiguracja połączenia z bazą danych aplikacji jest wykonywana za pośrednictwem kreatora. W zależności od wybranych opcji niektóre ekrany kreatora mogą być niedostępne, a informacje mogą się nieco różnić. Skorzystaj z poniższych informacji, aby przeprowadzić konfigurację.

Obsługiwane bazy danych

• Microsoft SQL Server i Azure SQL
• IBM DB2 9.x
• IBM DB2 10.x
• IBM DB2 11.5
• Oracle 10g i 11g
• Oracle 12c i 18c
• MySQL 5.x
• MySQL 8.x
• Postgres

Wymagania dotyczące chmury

• Klient Microsoft Entra z Microsoft Entra ID P1 lub Premium P2 (lub EMS E3 lub E5).

  Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

• Rola administratora tożsamości hybrydowej do konfigurowania agenta aprowizacji oraz ról administratora aplikacji lub administratora aplikacji w chmurze na potrzeby konfigurowania aprowizacji w witrynie Azure Portal.

• Użytkownicy firmy Microsoft Entra, którzy mają być aprowizowani w bazie danych, muszą być już wypełnieni wszystkimi atrybutami, które będą wymagane przez schemat bazy danych i które nie są generowane przez samą bazę danych.

Przygotowywanie przykładowej bazy danych

W tym artykule skonfigurujesz łącznik Microsoft Entra SQL w celu interakcji z relacyjną bazą danych aplikacji. Zazwyczaj aplikacje zarządzają dostępem za pomocą tabeli w bazie danych SQL z jednym wierszem w tabeli na użytkownika. Jeśli masz już aplikację z bazą danych, przejdź do następnej sekcji.

Jeśli nie masz jeszcze bazy danych z odpowiednią tabelą, w celach demonstracyjnych należy utworzyć bazę danych, której identyfikator Entra firmy Microsoft może być dozwolony do użycia. Jeśli używasz programu SQL Server, uruchom skrypt SQL znaleziony w dodatku A. Ten skrypt tworzy przykładową bazę danych o nazwie CONTOSO zawierającą jedną tabelę Employees. Ta tabela bazy danych, do której będą aprowizować użytkowników.

Określanie sposobu interakcji łącznika Microsoft Entra SQL Connector z bazą danych

Musisz mieć konto użytkownika w wystąpieniu SQL z uprawnieniami do wprowadzania aktualizacji danych w tabelach bazy danych. Jeśli baza danych SQL jest zarządzana przez inną osobę, skontaktuj się z nimi, aby uzyskać nazwę konta i hasło dla identyfikatora Entra firmy Microsoft w celu uwierzytelnienia w bazie danych. Jeśli wystąpienie SQL jest zainstalowane na innym komputerze, należy również upewnić się, że baza danych SQL zezwala na połączenia przychodzące ze sterownika ODBC na komputerze agenta.

Jeśli masz już istniejącą bazę danych dla aplikacji, musisz określić, w jaki sposób identyfikator Entra firmy Microsoft powinien wchodzić w interakcję z bazą danych: bezpośrednią interakcję z tabelami i widokami, za pośrednictwem procedur składowanych, które już znajdują się w bazie danych, lub za pośrednictwem instrukcji SQL, które udostępniasz dla zapytań i aktualizacji. To ustawienie wynika z tego, że bardziej złożona aplikacja może mieć w swojej bazie danych inne tabele pomocnicze, wymagać stronicowania dla tabel zawierających tysiące użytkowników lub może wymagać identyfikatora Entra firmy Microsoft do wywołania procedury składowanej, która wykonuje dodatkowe przetwarzanie danych, takie jak szyfrowanie, wyznaczanie wartości skrótu lub sprawdzanie poprawności.

Podczas tworzenia konfiguracji łącznika w celu interakcji z bazą danych aplikacji skonfigurujesz najpierw podejście do sposobu odczytywania schematu bazy danych przez hosta łącznika, a następnie konfigurowania podejścia, którego łącznik powinien używać w sposób ciągły, za pośrednictwem profilów uruchamiania. Każdy profil uruchamiania określa sposób generowania instrukcji SQL przez łącznik. Wybór profilów uruchamiania oraz metody w profilu uruchamiania zależy od tego, co obsługuje silnik bazy danych i czego wymaga aplikacja.

• Po skonfigurowaniu, gdy usługa aprowizacji zostanie uruchomiona, automatycznie wykona interakcje skonfigurowane w profilu uruchamiania pełnego importu . W tym profilu uruchamiania łącznik odczytuje wszystkie rekordy dla użytkowników z bazy danych aplikacji, zazwyczaj przy użyciu instrukcji SELECT . Ten profil uruchamiania jest niezbędny, aby później, jeśli identyfikator Entra firmy Microsoft musi wprowadzić zmianę dla użytkownika, identyfikator Entra firmy Microsoft będzie wiedział o zaktualizowaniu istniejącego rekordu dla tego użytkownika w bazie danych, a nie utworzenia nowego rekordu dla tego użytkownika.

• Za każdym razem, gdy zmiany są wprowadzane w identyfikatorze Entra firmy Microsoft, na przykład w celu przypisania nowego użytkownika do aplikacji lub zaktualizowania istniejącego użytkownika, usługa aprowizacji będzie wykonywać interakcje ze skonfigurowanym profilem uruchamiania eksportu bazy danych SQL. W profilu uruchamiania Eksport, Microsoft Entra ID będzie wydawać instrukcje SQL w celu wstawiania, aktualizowania i usuwania rekordów w bazie danych, aby zsynchronizować zawartość bazy danych z Microsoft Entra ID.

• Jeśli baza danych ją obsługuje, możesz również opcjonalnie skonfigurować profil uruchamiania importu różnicowego. W tym profilu uruchomienia identyfikator Entra firmy Microsoft odczytuje zmiany wprowadzone w bazie danych, poza zmianami dokonanymi przez identyfikator Entra firmy Microsoft, od czasu ostatniego pełnego lub różnicowego importu. Ten profil uruchamiania jest opcjonalny, ponieważ wymaga struktury bazy danych, aby umożliwić odczytywanie zmian.

W konfiguracji każdego profilu uruchamiania łącznika określisz, czy łącznik Microsoft Entra powinien wygenerować własne instrukcje SQL dla tabeli lub widoku, wywołać procedury składowane lub użyć niestandardowych zapytań SQL, które podajesz. Zazwyczaj używasz tej samej metody dla wszystkich profilów uruchamiania w łączniku.

• Jeśli wybierzesz metodę Tabela lub Widok dla profilu uruchamiania, łącznik Microsoft Entra wygeneruje niezbędne instrukcje SQL, SELECT, INSERT, UPDATE i DELETE, aby wchodzić w interakcje z tabelą lub widokiem w bazie danych. Ta metoda jest najprostszym podejściem, jeśli baza danych ma jedną tabelę lub widok aktualizowalny z kilkoma istniejącymi wierszami.
• Jeśli wybierzesz metodę Procedura składowana, baza danych będzie musiała mieć cztery procedury składowane: odczytać stronę użytkowników, dodać użytkownika, zaktualizować użytkownika i usunąć użytkownika, skonfigurujesz łącznik Microsoft Entra z nazwami i parametrami tych procedur składowanych w celu wywołania. Takie podejście wymaga większej konfiguracji w bazie danych SQL i zwykle jest wymagane tylko wtedy, gdy aplikacja wymaga większej liczby przetwarzania dla każdej zmiany użytkownika, z funkcji stronicowania za pośrednictwem dużych zestawów wyników.
• Jeśli wybierzesz metodę SQL Query, wpiszesz określone instrukcje SQL, które mają być wystawiane przez łącznik podczas uruchamiania profilu. Skonfigurujesz łącznik przy użyciu parametrów, które łącznik powinien wypełnić w instrukcjach SQL, takich jak stronicowanie za pośrednictwem zestawów wyników podczas importowania lub ustawianie atrybutów nowego użytkownika tworzonego podczas eksportowania.

W tym artykule pokazano, jak używać metody tabeli do interakcji z przykładową tabelą Employeesbazy danych w profilach uruchamiania Eksportowanie i pełne importowanie . Aby dowiedzieć się więcej na temat konfigurowania procedury składowanej lub metod zapytań SQL, zobacz ogólny przewodnik konfiguracji SQL, który zawiera więcej szczegółów i konkretnych wymagań.

Wybieranie unikatowych identyfikatorów w schemacie bazy danych aplikacji

Większość aplikacji będzie mieć unikatowy identyfikator dla każdego użytkownika aplikacji. Jeśli aprowizujesz w istniejącej tabeli bazy danych, należy zidentyfikować kolumnę tej tabeli, która ma wartość dla każdego użytkownika, gdzie ta wartość jest unikatowa i nie zmienia się. Ta kolumna będzie kotwicą, której identyfikator Entra firmy Microsoft używa do identyfikowania istniejących wierszy w celu ich zaktualizowania lub usunięcia. pl-PL: Aby uzyskać więcej informacji na temat kotwic, zobacz Informacje o atrybutach kotwicy i nazwach wyróżniających.

Jeśli baza danych aplikacji już istnieje, ma w niej użytkowników i chcesz mieć identyfikator Entra firmy Microsoft, zachowaj aktualność tych użytkowników, musisz mieć identyfikator dla każdego użytkownika, który jest taki sam między bazą danych aplikacji a schematem Firmy Microsoft Entra. Jeśli na przykład przypiszesz użytkownika do aplikacji w usłudze Microsoft Entra ID, a ten użytkownik znajduje się już w tej bazie danych, zmiany w tym użytkowniku w usłudze Microsoft Entra ID powinny zaktualizować istniejący wiersz dla tego użytkownika, a nie dodać nowego wiersza. Ponieważ identyfikator Entra firmy Microsoft prawdopodobnie nie przechowuje wewnętrznego identyfikatora aplikacji dla tego użytkownika, należy wybrać inną kolumnę do wykonywania zapytań dotyczących bazy danych. Wartość tej kolumny może być główną nazwą użytkownika lub adresem e-mail, identyfikatorem pracownika lub innym identyfikatorem, który znajduje się w identyfikatorze Entra firmy Microsoft dla każdego użytkownika, który znajduje się w zakresie aplikacji. Jeśli identyfikator użytkownika używany przez aplikację nie jest atrybutem przechowywanym w reprezentacji microsoft Entra użytkownika, nie musisz rozszerzać schematu użytkownika Microsoft Entra za pomocą atrybutu rozszerzenia i wypełnić ten atrybut z bazy danych. Możesz rozszerzyć schemat Microsoft Entra i ustawić wartości rozszerzeń przy użyciu programu PowerShell.

Mapowanie atrybutów w identyfikatorze Entra firmy Microsoft do schematu bazy danych

Gdy Microsoft Entra ID nawiąże połączenie pomiędzy użytkownikiem w Microsoft Entra ID a rekordem w bazie danych, niezależnie czy dotyczy to użytkownika już istniejącego w bazie, czy nowego użytkownika, Microsoft Entra ID może przekazywać zmiany atrybutów użytkownika do bazy danych. Oprócz unikatowych identyfikatorów sprawdź bazę danych, aby sprawdzić, czy istnieją inne wymagane właściwości. Jeśli istnieją, upewnij się, że użytkownicy, którzy zostaną zaaprowizowani w bazie danych, mają atrybuty, które można zamapować na wymagane właściwości.

Można również skonfigurować zachowanie anulowania aprowizacji . Jeśli użytkownik przypisany do aplikacji zostanie usunięty w identyfikatorze Entra firmy Microsoft, identyfikator Entra firmy Microsoft wyśle operację usuwania do bazy danych. Może być również konieczne zaktualizowanie bazy danych przez identyfikator entra firmy Microsoft, gdy użytkownik wykracza poza zakres możliwości korzystania z aplikacji. Jeśli użytkownik jest nieprzypisany z aplikacji, tymczasowo usunięty w Microsoft Entra ID lub zablokowany do logowania, możesz skonfigurować Microsoft Entra ID, aby wysłać zmianę atrybutu. Jeśli aprowizujesz istniejącą tabelę bazy danych, musisz mieć kolumnę tej tabeli do mapowania na wartość isSoftDeleted. Gdy użytkownik wyjdzie z zakresu, identyfikator Entra firmy Microsoft ustawi wartość dla tego użytkownika na wartość True.

1. Zainstaluj sterownik ODBC

System Windows Server, w którym będzie instalowany agent aprowizacji, wymaga sterownika ODBC dla docelowej bazy danych. Jeśli planujesz nawiązać połączenie z programem SQL Server lub usługą Azure SQL Database, pobierz sterownik ODBC dla programu SQL Server (x64) i zainstaluj go w systemie Windows Server. W przypadku innych baz danych SQL zapoznaj się ze wskazówkami niezależnego dostawcy oprogramowania, aby dowiedzieć się, jak zainstalować sterownik ODBC.

2. Tworzenie pliku połączenia DSN

Ogólny łącznik SQL wymaga pliku nazwa źródła danych (DSN) w celu nawiązania połączenia z punktem końcowym SQL. Najpierw należy utworzyć plik z informacjami o połączeniu ODBC.

1. Uruchom narzędzie do zarządzania ODBC na serwerze. Użyj wersji 64-bitowej.

   

2. Wybierz kartę Plik DSN i wybierz pozycję Dodaj.

   

3. Jeśli używasz programu SQL Server lub usługi Azure SQL, wybierz pozycję SQL Server Native Client 11.0 i wybierz przycisk Dalej. Jeśli używasz innej bazy danych, wybierz jego sterownik ODBC.

   

4. Nadaj plikowi nazwę, taką jak GenericSQL, i wybierz przycisk Dalej.

5. Wybierz Zakończ.

   

6. Teraz skonfiguruj połączenie. Poniższe kroki będą się różnić w zależności od używanego sterownika ODBC. Na tej ilustracji założono, że używasz sterownika do nawiązywania połączenia z programem SQL Server. Jeśli program SQL Server znajduje się na innym komputerze serwera, wprowadź nazwę serwera. Następnie wybierz Dalej.

   

7. Jeśli użytkownik, którego używasz w tym kroku, ma uprawnienia do nawiązywania połączenia z bazą danych, zachowaj wybrane uwierzytelnianie systemu Windows. Jeśli administrator programu SQL Server wymaga konta lokalnego SQL, podaj te poświadczenia. Następnie kliknij przycisk Dalej.

   

8. Wprowadź nazwę bazy danych, która w tym przykładzie to CONTOSO.

   

9. Zachowaj wartość domyślną na tym ekranie i wybierz pozycję Zakończ.

   

10. Aby sprawdzić, czy wszystko działa zgodnie z oczekiwaniami, wybierz pozycję Testowe źródło danych.

    

11. Upewnij się, że test zakończył się pomyślnie.

    

12. Wybierz przycisk OK dwa razy. Zamknij administratora źródła danych ODBC. Plik połączenia DSN jest domyślnie zapisywany w folderze Documents .

    Uwaga

    Łącznik SQL oczekuje, że plik połączenia DSN zostanie zakodowany w formacie UTF-8. Jeśli plik nie jest zakodowany w formacie UTF-8, użyj Notatnika, aby zapisać plik z kodowaniem UTF-8.

3. Instalowanie i konfigurowanie agenta aprowizacji programu Microsoft Entra Connect

Jeśli agent aprowizacji został już pobrany i skonfigurowany dla innej aplikacji lokalnej, kontynuuj czytanie w następnej sekcji.

1. Zaloguj się w witrynie Azure Portal.
2. Przejdź do pozycji Aplikacje dla przedsiębiorstw i wybierz pozycję Nowa aplikacja.
3. Wyszukaj aplikację ECMA lokalnie hostowaną, nadaj aplikacji nazwę i wybierz pozycję Utwórz, aby dodać ją do tenanta.
4. Z menu przejdź do strony Aprowizacji aplikacji.
5. Wybierz Rozpocznij.
6. Na stronie Aprowizowanie zmień tryb na Automatyczny.

7. W obszarze Łączność lokalna wybierz pozycję Pobierz i zainstaluj, a następnie wybierz pozycję Akceptuj warunki i pobierz.

8. Pozostaw portal i uruchom instalatora agenta aprowizacji, zaakceptuj warunki świadczenia usługi, a następnie wybierz pozycję Zainstaluj.
9. Poczekaj na uruchomienie kreatora konfiguracji agenta aprowizacji Microsoft Entra, a następnie wybierz Dalej.
10. W kroku Wybierz rozszerzenie wybierz pozycję Aprowizowanie aplikacji lokalnych, a następnie wybierz pozycję Dalej.
11. Agent udostępniania użyje przeglądarki internetowej systemu operacyjnego, aby otworzyć wyskakujące okno, które pozwoli Ci uwierzytelnić się w usłudze Microsoft Entra ID, a potencjalnie także u dostawcy tożsamości Twojej organizacji. Jeśli używasz przeglądarki Internet Explorer jako przeglądarki w systemie Windows Server, może być konieczne dodanie witryn internetowych firmy Microsoft do listy zaufanych witryn przeglądarki, aby umożliwić poprawne uruchamianie języka JavaScript.
12. Podaj poświadczenia administratora systemu Microsoft Entra, gdy zostanie wyświetlony monit o autoryzację. Użytkownik musi mieć co najmniej rolę Administratora tożsamości hybrydowej.
13. Wybierz pozycję Potwierdź , aby potwierdzić ustawienie. Po pomyślnym zakończeniu instalacji możesz wybrać Zakończ, a także zamknąć instalator pakietu Provisioning Agent.

4. Konfigurowanie lokalnej aplikacji ECMA

1. W portalu, w sekcji Łączność lokalna, wybierz agenta, którego wdrożono, i kliknij Przypisz agenta.

   

2. Pozostaw to okno przeglądarki otwarte po zakończeniu następnego kroku konfiguracji przy użyciu kreatora konfiguracji.

5. Konfigurowanie certyfikatu hosta łącznika ECMA firmy Microsoft

1. W systemie Windows Server, w którym jest zainstalowany agent aprowizacji, kliknij prawym przyciskiem myszy Kreatora konfiguracji Microsoft ECMA2Host z menu Start i uruchom jako administrator. Aby kreator mógł utworzyć niezbędne dzienniki zdarzeń systemu Windows, uruchomienie jako administrator systemu Windows jest konieczne.

2. Po uruchomieniu konfiguracji hosta łącznika ECMA, jeśli to twój pierwszy raz korzystasz z kreatora, poprosi cię o utworzenie certyfikatu. Pozostaw domyślny port 8585 i wybierz pozycję Generuj certyfikat , aby wygenerować certyfikat. Automatycznie wygenerowany certyfikat zostanie samosygnowany w ramach zaufanego źródła głównego. Nazwa SAN certyfikatu jest zgodna z nazwą hosta.

   

3. Wybierz pozycję Zapisz.

6. Tworzenie ogólnego łącznika SQL

W tej sekcji utworzysz konfigurację łącznika dla bazy danych.

6.1 Konfigurowanie połączenia SQL

Aby utworzyć ogólny łącznik SQL, wykonaj następujące kroki:

1. Wygeneruj token tajny, który będzie używany do uwierzytelniania identyfikatora Entra firmy Microsoft w łączniku. Minimalna liczba znaków i unikatowa dla każdej aplikacji powinna wynosić 12 znaków.

2. Jeśli jeszcze tego nie zrobiłeś, uruchom Kreatora Konfiguracji Microsoft ECMA2Host z menu Start systemu Windows.

3. Wybierz pozycję Nowy łącznik.

4. Na stronie właściwości wypełnij pola wartościami określonymi w poniższej tabeli i wybierz pozycję Dalej.

   Nieruchomość / Własność	Wartość
   Nazwisko	Nazwa wybrana dla łącznika, która powinna być unikatowa dla wszystkich łączników w danym środowisku. Jeśli na przykład masz tylko jedną bazę danych SQL, SQL.
   Czas automatycznej synchronizacji (minuty)	120
   Token tajny	Wprowadź token tajny wygenerowany dla tego łącznika. Klucz powinien mieć minimalną długość 12 znaków.
   DLL rozszerzenia	W przypadku ogólnego łącznika SQL wybierz pozycję Microsoft.IAM.Connector.GenericSql.dll.

5. Na stronie łączności wypełnij pola wartościami określonymi w poniższej tabeli i wybierz pozycję Dalej.

   Nieruchomość / Własność	opis
   Plik DSN	Plik nazwa źródła danych utworzony w poprzednim kroku, który jest używany do nawiązywania połączenia z wystąpieniem SQL.
   Nazwa użytkownika	Nazwa użytkownika konta z uprawnieniami do aktualizowania tabeli w wystąpieniu SQL. Jeśli docelowa baza danych to SQL Server i używasz uwierzytelniania systemu Windows, nazwa użytkownika musi być w postaci nazwy hosta\sqladminaccount dla serwerów autonomicznych lub domeny\sqladminaccount dla serwerów członkowskich domeny. W przypadku innych baz danych nazwa użytkownika będzie kontem lokalnym w bazie danych.
   Hasło	Podane hasło nazwy użytkownika.
   Dn jest kotwicą	Chyba że środowisko wymaga tych ustawień, nie zaznaczaj pól wyboru DN jako kotwicę i Typ eksportu: Zastąpienie obiektów.

6.2 Pobieranie schematu z bazy danych

Po podaniu poświadczeń host łącznika ECMA będzie gotowy do pobrania schematu bazy danych. Kontynuuj konfigurację połączenia SQL:

5. Na stronie Schemat 1 określisz listę typów obiektów. W tym przykładzie istnieje pojedynczy typ obiektu: User. Wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

   

   Nieruchomość / Własność	Wartość
   Metoda wykrywania typu obiektu	Stała wartość
   Stała lista wartości/Tabela/Widok/SP	Użytkownik

6. Po wybraniu pozycji Dalej zostanie automatycznie wyświetlona następna strona dla konfiguracji User typu obiektu. Na stronie Schemat 2 wskażesz, jak użytkownicy są reprezentowani w bazie danych. W tym przykładzie jest to pojedyncza tabela SQL o nazwie Employees. Wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

   

   Nieruchomość / Własność	Wartość
   Użytkownik:Wykrywanie Atrybutów	Stół
   User:Table/View/SP	Nazwa tabeli w bazie danych, na przykład Employees

   Uwaga

   Jeśli wystąpi błąd, sprawdź konfigurację bazy danych, aby upewnić się, że użytkownik określony na stronie Łączność ma dostęp do odczytu do schematu bazy danych.

7. Po wybraniu pozycji . Te kolumny zawierają unikatowe identyfikatory w bazie danych. Możesz użyć tych samych lub różnych kolumn, ale upewnij się, że wszystkie wiersze w tej bazie danych mają unikatowe wartości w tych kolumnach. Na stronie Schemat 3 wypełnij pola wartościami określonymi w tabeli, która następuje po obrazie, a następnie wybierz pozycję Dalej.

   

   Nieruchomość / Własność	opis
   Wybierz pozycję Kotwica dla: Użytkownik	Kolumna w tabeli baz danych, która ma być używana jako punkt odniesienia, na przykład User:ContosoLogin
   Wybieranie atrybutu DN dla użytkownika	Kolumna bazy danych, która ma być używana dla atrybutu DN, na przykład AzureID

8. Po wybraniu pozycji Dalej zostanie automatycznie wyświetlona następna strona, aby potwierdzić typ danych każdej kolumny Employee tabeli i określić, czy łącznik powinien je zaimportować, czy wyeksportować. Na stronie Schemat 4 pozostaw wartości domyślne i wybierz pozycję Dalej.

   

9. Na stronie Globalne wypełnij pola i wybierz przycisk Dalej. Użyj tabeli, która jest zgodna z obrazem, aby uzyskać wskazówki dotyczące poszczególnych pól.

   

   Nieruchomość / Własność	opis
   Strategia delty	W polu IBM DB2 wybierz pozycję None
   Zapytanie znaku wodnego	W przypadku ibm DB2 wpisz SELECT CURRENT TIMESTAMP FROM SYSIBM.SYSDUMMY1;
   Format daty i godziny źródła danych	W przypadku programu SQL Server yyyy-MM-dd HH:mm:ss i dla ibm DB2, YYYY-MM-DD

10. Na stronie Partycje wybierz pozycję Dalej.

    

6.3. Konfigurowanie profilów uruchamiania

Następnie skonfigurujesz profile uruchamiania Eksport i Pełny import. Profil uruchamiania eksportu będzie używany, gdy host łącznika ECMA musi wysyłać zmiany z identyfikatora Entra firmy Microsoft do bazy danych, wstawiać, aktualizować i usuwać rekordy. Podczas uruchamiania usługi hosta łącznika ECMA będzie używany profil uruchamiania pełnego importu , aby odczytać bieżącą zawartość bazy danych. W tym przykładzie użyjesz metody Table w obu profilach uruchamiania, aby host łącznika ECMA wygenerował niezbędne instrukcje SQL.

Kontynuuj konfigurację połączenia SQL:

11. Na stronie Profilów Uruchamiania, pozostaw zaznaczone pole wyboru Eksportuj. Zaznacz pole wyboru Pełny import i wybierz przycisk Dalej.

    

    Nieruchomość / Własność	opis
    Eksport	Uruchom profil, który będzie eksportować dane do bazy danych SQL. Ten profil uruchamiania jest wymagany.
    Pełny import	Uruchom profil, który zaimportuje wszystkie dane ze źródeł SQL określonych wcześniej.
    Importowanie różnicowe	Uruchom profil, który importuje tylko zmiany z bazy danych SQL od ostatniego pełnego lub różnicowego importu.

12. Po wybraniu pozycji Dalej zostanie automatycznie wyświetlona następna strona, aby skonfigurować metodę profilu uruchamiania Eksportuj. Na stronie Eksportuj wypełnij pola i wybierz pozycję Dalej. Użyj tabeli, która jest zgodna z obrazem, aby uzyskać wskazówki dotyczące poszczególnych pól.

    

    Nieruchomość / Własność	opis
    Operation, metoda	Stół
    Tabela/widok/SP	Ta sama tabela, która została skonfigurowana na karcie Schemat 2, na przykład Employees

13. Na stronie Pełny import wypełnij pola i wybierz przycisk Dalej. Użyj tabeli, która jest zgodna z obrazem, aby uzyskać wskazówki dotyczące poszczególnych pól.

    

    Nieruchomość / Własność	opis
    Operation, metoda	Stół
    Tabela/widok/SP	Ta sama tabela, która została skonfigurowana na karcie Schemat 2, na przykład Employees

6.4. Konfigurowanie sposobu, w jaki atrybuty są wyświetlane w identyfikatorze Entra firmy Microsoft

W ostatnim kroku ustawień połączenia SQL skonfiguruj sposób, w jaki atrybuty są wyświetlane w identyfikatorze Entra firmy Microsoft:

14. Na stronie Typy obiektów wypełnij pola i wybierz przycisk Dalej. Użyj tabeli, która jest zgodna z obrazem, aby uzyskać wskazówki dotyczące poszczególnych pól.

    • Kotwica: wartości tego atrybutu powinny być unikatowe dla każdego obiektu w docelowej bazie danych. Usługa aprowizacji Microsoft Entra wyśle zapytanie do hosta łącznika ECMA przy użyciu tego atrybutu po cyklu początkowym. Ta wartość kotwicy powinna być taka sama jak kolumna kotwicy skonfigurowana wcześniej na stronie Schemat 3 .
    • Atrybut zapytania: ten atrybut powinien być taki sam jak Anchor.
    • DN: W większości przypadków należy wybrać opcję Automatycznie wygenerowane . Jeśli nie jest wybrane, upewnij się, że atrybut DN jest mapowany na atrybut w Microsoft Entra ID, który przechowuje DN w tym formacie: CN = anchorValue, Object = objectType. Aby uzyskać więcej informacji na temat atrybutów kotwicy i nazw wyróżniających, zobacz Informacje o atrybutach kotwicy i nazwach wyróżniających.

    Nieruchomość / Własność	opis
    Obiekt docelowy	Użytkownik
    Kotwica	Kolumna skonfigurowana na karcie Schemat 3, na przykład ContosoLogin
    Atrybut zapytania	Ta sama kolumna co kotwica, na przykład ContosoLogin
    DN	Ta sama kolumna, która została skonfigurowana na karcie Schemat 3, na przykład ContosoLogin
    Automatycznie wygenerowane	Zaznaczone

15. Host łącznika ECMA odnajduje atrybuty obsługiwane przez docelową bazę danych. Możesz wybrać, które z tych atrybutów chcesz uwidocznić w identyfikatorze Entra firmy Microsoft. Te atrybuty można następnie skonfigurować w witrynie Azure Portal na potrzeby aprowizacji. Na stronie Wybierz atrybuty dodaj wszystkie atrybuty na liście rozwijanej pojedynczo.

Lista rozwijana Atrybut pokazuje każdy atrybut, który został odkryty w docelowej bazie danych i nie został wybrany na poprzedniej stronie Wybierz atrybuty. Po dodaniu wszystkich odpowiednich atrybutów wybierz pozycję Dalej.

16. Na stronie Anulowanie aprowizacji w obszarze Wyłącz przepływ wybierz pozycję Usuń. Atrybuty wybrane na poprzedniej stronie nie będą dostępne do wyboru na stronie Dezaktywacji. Wybierz Zakończ.

7. Upewnij się, że usługa ECMA2Host jest uruchomiona

1. Na serwerze z uruchomionym hostem łącznika ECMA firmy Microsoft wybierz pozycję Uruchom.

2. Wpisz Uruchom i services.msc w oknie.

3. Na liście Usługi upewnij się, że Microsoft ECMA2Host jest obecny i uruchomiony. W przeciwnym razie wybierz pozycję Uruchom.

   

Jeśli łączysz się z nową bazą danych lub bazą danych, która jest pusta i nie ma użytkowników, przejdź do następnej sekcji. W przeciwnym razie wykonaj następujące kroki, aby potwierdzić, że łącznik zidentyfikował istniejących użytkowników z bazy danych.

1. Jeśli niedawno uruchomiono usługę i masz wiele obiektów użytkownika w bazie danych, zaczekaj kilka minut na nawiązanie połączenia z bazą danych przez łącznik.

8. Konfigurowanie połączenia aplikacji w witrynie Azure Portal

1. Wróć do okna przeglądarki internetowej, w którym skonfigurowano aprowizację aplikacji.

   Uwaga

   Jeśli okno się zamknęło z powodu upłynięcia limitu czasu, trzeba będzie ponownie wybrać agenta.

   1. Zaloguj się w witrynie Azure Portal.
   2. Przejdź do Aplikacje dla przedsiębiorstw i lokalna aplikacja ECMA.
   3. Wybierz Konfigurowanie.
   4. Jeśli Początek się pojawi, zmień tryb na Automatyczny, w sekcji Łączność lokalna wybierz agenta, którego wdrożyłeś, i wybierz pozycję Przypisz agenta(ów). W przeciwnym razie przejdź do Edytuj konfigurację.

2. W sekcji Poświadczenia administratora wprowadź następujący adres URL. Zastąp część {connectorName} nazwą złącznika na hoście złącznika ECMA, na przykład SQL. W nazwie łącznika rozróżniana jest wielkość liter i powinna mieć tę samą wielkość liter, jak skonfigurowano w kreatorze. Możesz również zastąpić localhost nazwą hosta swojej maszyny.

   Nieruchomość / Własność	Wartość
   Adres URL dzierżawy	https://localhost:8585/ecma2host_{connectorName}/scim

3. Wprowadź wartość tokenu wpisu tajnego zdefiniowaną podczas tworzenia łącznika.

   Uwaga

   Jeśli dopiero co przypisałeś agenta do aplikacji, pamiętaj, aby poczekać 10 minut, aby rejestracja mogła się zakończyć. Test łączności nie będzie działać, dopóki rejestracja nie zostanie ukończona. Wymuszanie ukończenia rejestracji agenta przez ponowne uruchomienie agenta aprowizacji na serwerze może przyspieszyć proces rejestracji. Przejdź do serwera, wyszukaj usługi na pasku wyszukiwania systemu Windows, zidentyfikuj usługę Microsoft Entra Connect Provisioning Agent, kliknij prawym przyciskiem myszy usługę i uruchom ponownie.

4. Wybierz pozycję Testuj połączenie i zaczekaj minutę.

   

5. Po pomyślnym przetestowaniu połączenia i wskazaniu, że podane poświadczenia są autoryzowane do uruchomienia, wybierz Zapisz.

   

9. Konfigurowanie mapowań atrybutów

Teraz musisz mapować atrybuty między reprezentacją użytkownika w usłudze Microsoft Entra ID i reprezentacją użytkownika w lokalnej bazie danych SQL aplikacji.

Użyjesz witryny Azure Portal, aby skonfigurować mapowanie między atrybutami użytkownika firmy Microsoft Entra i atrybutami wybranymi wcześniej w kreatorze konfiguracji hosta ECMA.

1. Upewnij się, że schemat Entra firmy Microsoft zawiera atrybuty wymagane przez bazę danych. Jeśli baza danych wymaga, aby użytkownicy mieli atrybut, taki jak uidNumber, i ten atrybut nie jest jeszcze częścią schematu microsoft Entra dla użytkownika, należy użyć funkcji rozszerzenia katalogu, aby dodać ten atrybut jako rozszerzenie.

2. W centrum administracyjnym Microsoft Entra, w obszarze Aplikacje Przedsiębiorstwa, wybierz aplikację lokalną ECMA, a następnie przejdź do strony Udostępnianie .

3. Wybierz pozycję Edytuj aprowizację i poczekaj 10 sekund.

4. Rozwiń Mapowania i wybierz mapowanie Microsoft Entra ID Provisioning Użytkownicy. Jeśli po raz pierwszy konfigurujesz mapowania atrybutów dla tej aplikacji, będzie to jedyne mapowanie obecne jako symbol zastępczy.

   

5. Aby upewnić się, że schemat bazy danych jest dostępny w identyfikatorze Entra firmy Microsoft, zaznacz pole wyboru Pokaż opcje zaawansowane i wybierz pozycję Edytuj listę atrybutów dla pozycji ScimOnPremises. Upewnij się, że wszystkie atrybuty wybrane w kreatorze konfiguracji są wyświetlane. Jeśli tak nie jest, zaczekaj kilka minut na odświeżenie schematu, a następnie załaduj ponownie stronę. Po wyświetleniu atrybutów zamknij stronę, aby powrócić do listy mapowań.

6. Teraz kliknij mapowanie zamiennika userPrincipalName. To mapowanie jest domyślnie dodawane podczas pierwszej konfiguracji aprowizacji lokalnej.

Zmień wartości atrybutu, aby odpowiadały następującym:

4. Teraz wybierz pozycję Dodaj nowe mapowanie i powtórz następny krok dla każdego mapowania.

   

5. Określ atrybuty źródłowe i docelowe dla każdego mapowania w poniższej tabeli.

   

   Typ mapowania	Atrybut źródłowy	Atrybut docelowy
   Bezpośredni	nazwa główna użytkownika	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin
   Bezpośredni	objectId (identyfikator obiektu)	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureID
   Bezpośredni	poczta	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:Użytkownik:Email
   Bezpośredni	givenName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:FirstName
   Bezpośredni	nazwisko	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Nazwisko
   Bezpośredni	Pseudonim mailowy	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:textID

6. Po dodaniu wszystkich mapowań wybierz pozycję Zapisz.

10. Przypisywanie użytkowników do aplikacji

Teraz, gdy masz hosta łącznika Microsoft Entra ECMA, skonfigurowanego do komunikacji z Microsoft Entra ID, i gdy mapowanie atrybutów zostało skonfigurowane, możesz przejść do konfigurowania zakresu osób objętych aprowizacją.

Jeśli w bazie danych SQL istnieją użytkownicy, należy utworzyć przypisania ról aplikacji dla tych istniejących użytkowników. Aby dowiedzieć się więcej na temat zbiorczego tworzenia przypisań ról aplikacji, zobacz zarządzanie istniejącymi użytkownikami aplikacji w Microsoft Entra ID.

W przeciwnym razie, jeśli nie ma bieżących użytkowników aplikacji, wybierz użytkownika testowego z Microsoft Entra, który zostanie aprovisionowany do aplikacji.

1. Upewnij się, że użytkownik ma wszystkie właściwości, które zostaną zamapowane na wymagane atrybuty schematu bazy danych.

2. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw.

3. Wybierz lokalną aplikację ECMA.

4. Po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy i grupy.

5. Wybierz pozycję Dodaj użytkownika/grupę.

   

6. Pod Użytkownicy, wybierz Brak zaznaczone.

   

7. Wybierz użytkowników z prawej strony i wybierz przycisk Wybierz .

   

8. Teraz wybierz pozycję Przypisz.

   

11. Testowanie zapewniania zasobów

Po zamapowaniu atrybutów i przypisaniu użytkowników możesz przetestować aprowizację na żądanie przy użyciu jednego z użytkowników.

1. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw.

2. Wybierz lokalną aplikację ECMA.

3. Po lewej stronie wybierz pozycję Aprowizowanie.

4. Wybierz pozycję Udostępnienie na żądanie.

5. Wyszukaj jednego z użytkowników testowych i wybierz pozycję Provisionowanie.

   

6. Po kilku sekundach zostanie wyświetlony komunikat Pomyślnie utworzony użytkownik w systemie docelowym z listą atrybutów użytkownika.

12. Rozpocznij aprowizowanie użytkowników

1. Po pomyślnym zainicjowaniu aprowizacji na żądanie wróć do strony konfiguracji aprowizacji. Upewnij się, że zakres obejmuje tylko przypisanych użytkowników i grupy, włącz udostępnianie On i wybierz Zapisz.

   

2. Poczekaj kilka minut, aż rozpoczną się przygotowania. Może upłynąć do 40 minut. Po zakończeniu zadania aprowizacji, zgodnie z opisem w następnej sekcji, jeśli skończyłeś testowanie, możesz zmienić status aprowizacji na Wyłączone, a następnie wybrać pozycję Zapisz. Ta akcja uniemożliwia uruchomienie usługi aprowizacji w przyszłości.

Rozwiązywanie problemów z błędami konfiguracyjnymi

Jeśli zostanie wyświetlony błąd, wybierz Wyświetl dzienniki udostępniania zasobów. Sprawdź w dzienniku wiersz, w którym stan to Niepowodzenie, i zaznacz ten wiersz.

Jeśli komunikat o błędzie nie może utworzyć użytkownika, sprawdź atrybuty wyświetlane zgodnie z wymaganiami schematu bazy danych.

Aby uzyskać więcej informacji, przejdź na kartę Rozwiązywanie problemów i zalecenia . Jeśli sterownik ODBC zwrócił komunikat, może zostać wyświetlony tutaj. Na przykład komunikat ERROR [23000] [Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert the value NULL into column 'FirstName', table 'CONTOSO.dbo.Employees'; column does not allow nulls. jest błędem sterownika ODBC. W takim przypadku element może wskazywać, że kolumna column does not allow nulls w bazie danych jest obowiązkowa, FirstName ale aprowizowany użytkownik nie ma givenName atrybutu, więc nie można aprowizować użytkownika.

Sprawdź, czy użytkownicy zostali pomyślnie aprowizowani

Po oczekiwaniu sprawdź bazę danych SQL, aby upewnić się, że użytkownicy są aprowizowani.

dodatek A

Jeśli używasz programu SQL Server, możesz użyć następującego skryptu SQL, aby utworzyć przykładową bazę danych.

---Creating the Database---------
Create Database CONTOSO
Go
-------Using the Database-----------
Use [CONTOSO]
Go
-------------------------------------

/****** Object:  Table [dbo].[Employees]    Script Date: 1/6/2020 7:18:19 PM ******/
SET ANSI_NULLS ON
GO

SET QUOTED_IDENTIFIER ON
GO

CREATE TABLE [dbo].[Employees](
	[ContosoLogin] [nvarchar](128) NULL,
	[FirstName] [nvarchar](50) NOT NULL,
	[LastName] [nvarchar](50) NOT NULL,
	[Email] [nvarchar](128) NULL,
	[InternalGUID] [uniqueidentifier] NULL,
	[AzureID] [uniqueidentifier] NULL,
	[textID] [nvarchar](128) NULL
) ON [PRIMARY]
GO

ALTER TABLE [dbo].[Employees] ADD  CONSTRAINT [DF_Employees_InternalGUID]  DEFAULT (newid()) FOR [InternalGUID]
GO

Następne kroki

• Aprowizowanie aplikacji
• Samouczek: łącznik ECMA Connector — ogólny łącznik SQL