Udostępnij przez

Łącznik programu Microsoft Identity Manager dla programu Microsoft Graph

Streszczenie

Łącznik Microsoft Identity Manager dla Microsoft Graph umożliwia dodatkowe scenariusze integracji dla klientów Microsoft Entra ID P1 lub P2. Przedstawia dodatkowe obiekty w metawszechświecie synchronizacji MIM uzyskane z interfejsu Microsoft Graph API v1 i beta.

Omówione scenariusze

Zarządzanie cyklem życia konta B2B

Początkowy scenariusz użycia łącznika Microsoft Identity Manager dla Microsoft Graph to wsparcie w automatyzacji zarządzania cyklem życia kont AD DS dla użytkowników zewnętrznych. W tym scenariuszu organizacja synchronizuje pracowników z identyfikatorem Entra firmy Microsoft z usług AD DS przy użyciu programu Microsoft Entra Connect, a także zaprosiła gości do katalogu firmy Microsoft Entra. Zaproszenie gościa powoduje, że obiekt użytkownika zewnętrznego znajduje się w katalogu Microsoft Entra tej organizacji, który nie znajduje się w usługach AD DS tej organizacji. Następnie organizacja chce zapewnić tym gościom dostęp do Zintegrowanego uwierzytelniania Windows lub aplikacji Kerberos poprzez serwer proxy aplikacji Microsoft Entra lub inne mechanizmy bramy. Serwer proxy aplikacji Firmy Microsoft Entra wymaga, aby każdy użytkownik miał własne konto usług AD DS na potrzeby identyfikacji i delegowania.

Aby dowiedzieć się, jak skonfigurować synchronizację MIM w celu automatycznego tworzenia i obsługi kont AD DS dla gości, po przeczytaniu instrukcji opisanych w tym artykule, zapoznaj się z artykułem na temat współpracy biznesowej (B2B) w Microsoft Entra, MIM 2016 i proxy aplikacji Microsoft Entra. W tym artykule przedstawiono reguły synchronizacji wymagane dla łącznika.

Migracja atrybutów tożsamości z programu MIM do firmy Microsoft Entra

Łącznik programu MIM Graph można użyć w ramach strategii migracji, aby przenieść użytkowników i grupy oraz ich atrybuty z programu MIM do firmy Microsoft Entra. Jeśli na przykład zarządzasz grupami w programie MIM przy użyciu portalu MIM na potrzeby samoobsługowego lub dynamicznego obliczania członkostwa w grupach, możesz aprowizować te grupy z programu MIM Sync do firmy Microsoft Entra jako grupy w chmurze, a następnie usunąć te grupy z programu MIM.

Inne scenariusze zarządzania tożsamościami

Łącznik może służyć do innych konkretnych scenariuszy zarządzania tożsamościami na potrzeby operacji tworzenia, odczytu, aktualizowania i usuwania obiektów użytkowników, grup i kontaktów w identyfikatorze Entra firmy Microsoft, poza synchronizacją użytkowników i grup z identyfikatorem Entra firmy Microsoft. Podczas oceniania potencjalnych scenariuszy należy pamiętać, że ten łącznik nie może być obsługiwany w scenariuszu, co spowodowałoby nakładanie się przepływu danych, rzeczywiste lub potencjalne konflikty synchronizacji z wdrożeniem programu Microsoft Entra Connect. microsoft Entra Connect to zalecane podejście do integrowania katalogów lokalnych z identyfikatorem Entra firmy Microsoft przez synchronizowanie użytkowników i grup z katalogów lokalnych do identyfikatora Entra firmy Microsoft. Program Microsoft Entra Connect ma wiele innych funkcji synchronizacji i umożliwia scenariusze, takie jak zapisywanie zwrotne haseł i urządzeń, które nie są możliwe w przypadku obiektów utworzonych przez program MIM. Jeśli na przykład dane są wprowadzane do usług AD DS, upewnij się, że są one wykluczone z programu Microsoft Entra Connect próbującego dopasowania tych obiektów z powrotem do katalogu Microsoft Entra. Nie można też używać tego łącznika do wprowadzania zmian w obiektach firmy Microsoft Entra, które zostały utworzone przez firmę Microsoft Entra Connect.

Przygotowanie do korzystania z łącznika dla programu Microsoft Graph

Autoryzowanie łącznika do pobierania obiektów w katalogu Microsoft Entra lub zarządzania nimi

  1. Łącznik wymaga, aby jednostka usługi, czyli aplikacja internetowa lub aplikacja interfejsu API, została utworzona w Microsoft Entra ID, aby mogła być autoryzowana z odpowiednimi uprawnieniami do obsługi obiektów Microsoft Entra za pośrednictwem Microsoft Graph.

    Obraz przycisku rejestracji nowej aplikacji Obraz rejestracji aplikacji

    Obraz 1. Rejestracja nowej aplikacji

  2. W witrynie Microsoft Entra Portal otwórz utworzoną aplikację i zapisz identyfikator aplikacji jako identyfikator klienta, który będzie używany później na stronie łączności usługi MA:

  3. Wygeneruj nowy klucz tajny klienta, otwierając Certyfikaty i sekrety. Ustaw opis klucza i wybierz maksymalny czas trwania. Zapisz zmiany i pobierz klucz tajny klienta. Wartość tajnego klucza klienta nie będzie dostępna do ponownego wyświetlenia po opuszczeniu strony.

    Obraz przycisku dodawania nowego sekretu

    Obraz 2. Nowy klucz tajny klienta

  4. Udziel niezbędnych uprawnień "Microsoft Graph" dla aplikacji w kontekście danego scenariusza, przez otwarcie opcji "Uprawnienia interfejsu API".

    Obraz przedstawiający przycisk dodawania uprawnień Obraz 3. Dodawanie nowego interfejsu API

    Wybierz uprawnienia aplikacji "Microsoft Graph". Obraz uprawnień aplikacji

    Odwoływanie wszelkich już istniejących niepotrzebnych uprawnień.

    Obraz przedstawiający nieudzielone uprawnienia aplikacji

    Następujące uprawnienie należy dodać do aplikacji, aby umożliwić mu korzystanie z interfejsu API programu Microsoft Graph w zależności od scenariusza:

    Operacja z obiektem Wymagane uprawnienie Typ uprawnień
    Wykrywanie schematu Application.Read.All Aplikacja
    Importuj grupę Group.Read.All lub Group.ReadWrite.All Aplikacja
    Importowanie użytkownika User.Read.All, User.ReadWrite.All, Directory.Read.All lub Directory.ReadWrite.All Aplikacja

    Więcej szczegółów na temat wymaganych uprawnień można znaleźć w referencji do uprawnień.

    Notatka

    Uprawnienie Application.Read.All jest obowiązkowe do wykrywania schematu i musi zostać przyznane niezależnie od typu obiektu, z którym będzie pracował łącznik.

  5. Udziel zgody administratora dla wybranych uprawnień. Obraz zgody udzielonej przez administratora

Instalowanie łącznika

  1. Przed zainstalowaniem łącznika upewnij się, że na serwerze synchronizacji są zainstalowane następujące elementy:

    • Microsoft .NET 4.6.2 Framework lub nowszy
    • Program Microsoft Identity Manager 2016 SP2 musi używać poprawki 4.4.1642.0 KB4021562 lub nowszej.

  2. Łącznik programu Microsoft Graph, oprócz innych łączników dla Microsoft Identity Manager 2016 SP2, jest dostępny do pobrania z Centrum Pobierania Microsoft .

  3. Uruchom ponownie usługę synchronizacji programu MIM.

Konfigurowanie łącznika

  1. Wybierz opcje Łączniki oraz Utwórzw interfejsie użytkownika Menadżera Usługi Synchronizacji. Wybierz pozycję Graph (Microsoft), utwórz łącznik i nadaj mu opisową nazwę.

    nowy obraz łącznika

  2. W interfejsie użytkownika usługi synchronizacji programu MIM określ identyfikator aplikacji i wygenerowany klucz tajny klienta. Każdy agent zarządzania skonfigurowany w programie MIM Sync powinien mieć własną aplikację w identyfikatorze Entra firmy Microsoft, ponieważ nie będzie można uruchomić wielu importów równolegle dla tej samej aplikacji.

    Strona łączności określa wersję interfejsu API programu Graph, która ma być używana i nazwa domeny dzierżawy. Identyfikator klienta i klucz tajny klienta reprezentują Identyfikator aplikacji i Wartość klucza aplikacji, które zostały wcześniej utworzone w Microsoft Entra ID.

    Łącznik jest domyślnie domyślny dla wersji 1.0 oraz punktów końcowych logowania i grafów usługi globalnej programu Microsoft Graph. Jeśli Twoja dzierżawa znajduje się w chmurze krajowej, musisz zmienić konfigurację, aby używać punktów końcowych dla chmury krajowej. Należy pamiętać, że niektóre funkcje programu Graph, które znajdują się w usłudze globalnej, mogą nie być dostępne we wszystkich chmurach krajowych.

  3. Wprowadź wszelkie niezbędne zmiany na stronie Parametry globalne:

    Obraz strony parametrów globalnych

    Obraz 5. Strona Parametry globalne

    Strona parametrów globalnych zawiera następujące ustawienia:

    • Format DateTime — format używany dla dowolnego atrybutu z typem Edm.DateTimeOffset. Wszystkie daty są konwertowane na ciąg przy użyciu tego formatu podczas importowania. Format jest stosowany dla każdego atrybutu, który zapisuje datę.

    • Limit czasu HTTP (w sekundach) — limit czasu w sekundach, który będzie używany podczas każdego wywołania HTTP do programu Graph.

    • Wymuś zmianę hasła dla utworzonego użytkownika przy następnym logowaniu — ta opcja jest używana dla nowego użytkownika, który zostanie utworzony podczas eksportu. Jeśli opcja jest włączona, właściwość forceChangePasswordNextSignIn zostanie ustawiona na wartość true. W przeciwnym razie będzie to wartość false.

Konfigurowanie schematu i operacji łącznika

Następnie skonfiguruj schemat. Łącznik obsługuje następującą listę typów obiektów w przypadku użycia z punktem końcowym programu Graph w wersji 1.0:

  • Użytkownik

    • Pełny/Delta import

    • Eksportowanie (dodawanie, aktualizowanie, usuwanie)

  • Grupa

    • Pełny/Delta import

    • Eksportowanie (dodawanie, aktualizowanie, usuwanie)

Dodatkowe typy obiektów mogą być widoczne podczas konfigurowania łącznika do korzystania z punktu końcowego programu Graph w wersji beta.

Lista obsługiwanych typów atrybutów:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (ciąg w przestrzeni połączenia)

  • microsoft.graph.directoryObject (odwołanie w przestrzeni łącznikowej do dowolnego z obsługiwanych elementów)

  • microsoft.graph.contact

Atrybuty wielowartościowe (kolekcja) są również obsługiwane dla dowolnego typu z powyższej listy.

Łącznik używa atrybutu kotwicy id i DN dla wszystkich obiektów. W związku z tym zmiana nazwy nie jest wymagana, ponieważ interfejs API programu Graph nie zezwala obiektowi na zmianę jego atrybutu id.

Planowanie okresu istnienia tokenu dostępu

Aplikacja programu Graph wymaga tokenu dostępu do uzyskiwania dostępu do interfejsu API programu Graph. Łącznik zażąda nowego tokenu dostępu dla każdej iteracji importu (iteracja importu zależy od rozmiaru strony). Na przykład:

  • Identyfikator Entra firmy Microsoft zawiera 10000 obiektów

  • Rozmiar strony skonfigurowany w łączniku to 5000

W takim przypadku podczas importowania będą występować dwie iteracji, a każda z nich zwróci 5000 obiektów do synchronizacji. Dlatego nowy token dostępu zostanie dwukrotnie zażądany.

Podczas eksportowania zostanie zażądany nowy token dostępu dla każdego obiektu, który musi zostać dodany/zaktualizowany/usunięty.

Konfigurowanie filtrów zapytań

Punkty końcowe interfejsu API programu Graph umożliwiają ograniczenie liczby obiektów zwracanych przez zapytania GET przez wprowadzenie parametru $filter .

Aby umożliwić korzystanie z filtrów zapytań w celu poprawy cyklu wydajności pełnego importu, na stronie Schemat 1 właściwości łącznika włącz pole wyboru Filtr dodawania obiektów.

Obraz na stronie pierwszej ustawień łącznika, z zaznaczoną opcją filtrowania obiektów

Następnie na stronie Schemat 2 wpisz wyrażenie, które ma być używane do filtrowania użytkowników, grup, kontaktów lub jednostek usługi.

Ustawienia łącznika strony dwóch obrazów z przykładowym filtrem startsWith(displayName,'J')

Na powyższym zrzucie ekranu filtr startsWith(displayName,'J') jest skonfigurowany, aby odczytywać tylko użytkowników, których wartość atrybutu displayName zaczyna się od J.

Upewnij się, że atrybut używany w wyrażeniu filtru jest zaznaczony we właściwościach łącznika.

obraz strony ustawień łącznika z wybranym atrybutem displayName

Aby uzyskać więcej informacji na temat użycia parametrów zapytań $filter, zobacz ten artykuł: Używanie parametrów zapytania do dostosowywania odpowiedzi.

Notatka

Punkt końcowy zapytania różnicowego obecnie nie oferuje możliwości filtrowania, dlatego użycie filtrów jest ograniczone tylko do pełnego importu. Zostanie wyświetlony błąd podczas próby uruchomienia importu różnicowego z włączonymi filtrami zapytań.

Rozwiązywanie problemów

Włącz dzienniki

Jeśli w programie Graph występują jakiekolwiek problemy, dzienniki mogą być używane do lokalizowania problemu. Więc śledzenie można włączyć w w ten sam sposób jak w przypadku łączników ogólnych. Możesz po prostu dodać to, co następuje do miiserver.exe.config (wewnątrz sekcji system.diagnostics/sources):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Notatka

Jeśli Run this management agent in a separate process jest włączony, wówczas dllhost.exe.config powinien być użyty zamiast miiserver.exe.config.

Błąd związany z wygaśnięciem tokenu dostępu

Łącznik może zwrócić błąd HTTP 401 Brak autoryzacji, komunikat Access token has expired.:

obraz szczegółów błędu

Obraz 6. Access token has expired. Błąd

Przyczyną tego problemu może być konfiguracja okresu istnienia tokenu dostępu w usłudze Microsoft Entra. Domyślnie token dostępu wygasa po 1 godzinie. Aby zwiększyć czas wygaśnięcia, zobacz ten artykuł.

Przykład użycia publicznej wersji zapoznawczej modułu Azure AD PowerShell

obraz okresu istnienia tokenu dostępu

New-AzureADPolicy -Definition @("{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}") -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Następne kroki

  • Last updated on