Bereitstellen von Benutzern in Anwendungen mit PowerShell

Die folgende Dokumentation enthält Konfigurations- und Tutorial-Informationen, die zeigen, wie Sie mit dem generischen PowerShell-Connector und dem Extensible Connectivity (ECMA) Connector Host Microsoft Entra ID mit externen Systemen integrieren können, die über Windows PowerShell-basierte APIs verfügen.

Weitere Informationen finden Sie unter Technische Referenz für den Windows PowerShell-Connector

Voraussetzungen für die Bereitstellung über PowerShell

In den folgenden Abschnitten werden die Voraussetzungen für dieses Tutorial erläutert.

Herunterladen der PowerShell-Setupdateien

Laden Sie die PowerShell-Setupdateien aus unserem GitHub-Repository herunter. Die Setupdateien bestehen aus der Konfigurationsdatei, der Eingabedatei, der Schemadatei und den verwendeten Skripts.

Lokale Voraussetzungen

Der Connector bildet eine Brücke zwischen den Funktionen von ECMA Connector Host und Windows PowerShell. Stellen Sie vor der Verwendung des Connectors sicher, dass auf Hostserver des Connectors Folgendes vorhanden ist

  • Windows Server 2016 oder höher.
  • Mindestens 3 GB RAM zum Hosten eines Bereitstellungs-Agents.
  • .NET Framework 4.7.2
  • Windows PowerShell 2.0, 3.0 oder 4.0
  • Konnektivität zwischen Hostserver, Connector und dem Zielsystem, mit dem die PowerShell-Skripts interagieren.
  • Die Ausführungsrichtlinie auf dem Server muss so konfiguriert sein, dass der Connector Windows PowerShell-Skripts ausführen kann. Falls die vom Connector ausgeführten Skripts nicht digital signiert sind, konfigurieren Sie die Ausführungsrichtlinie durch Ausführen des folgenden Befehls:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • Für die Bereitstellung dieses Connectors ist mindestens ein PowerShell-Skript erforderlich. Einige Microsoft-Produkte stellen möglicherweise Skripts für die Verwendung mit diesem Connector bereit. Den Supporthinweis für diese Skripts finden Sie im jeweiligen Produkt. Wenn Sie Ihre eigenen Skripts für die Verwendung mit diesem Connector entwickeln, müssen Sie mit der Extensible Connectivity Management-Agent-API vertraut sein, um diese Skripts entwickeln und verwalten zu können. Wenn Sie bei der Integration mit Drittanbietersystemen eigene Skripts in einer Produktionsumgebung verwenden, empfehlen wir die Zusammenarbeit mit dem Drittanbieter oder einem Bereitstellungspartner, um Hilfe, Anleitungen und Unterstützung für diese Integration zu erhalten.

Cloudanforderungen

  • Ein Microsoft Entra-Mandant mit Microsoft Entra ID P1 oder Premium P2 (oder EMS E3 oder E5). Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
  • Die Rolle „Hybrididentitätsadministrator“ zum Konfigurieren des Bereitstellungs-Agents und die Rolle „Anwendungsadministrator“ oder „Cloudanwendungsadministrator“ zum Konfigurieren der Bereitstellung im Azure-Portal.
  • Die Microsoft Entra-Benutzer, die bereitgestellt werden sollen, müssen bereits über alle für das Schema erforderlichen Attribute verfügen.

Herunterladen, Installieren und Konfigurieren des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets

Wenn Sie den Bereitstellungs-Agent bereits heruntergeladen und für eine andere lokale Anwendung konfiguriert haben, lesen Sie im nächsten Abschnitt weiter.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
  2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung>Agents.

Screenshot: Neue Benutzeroberfläche

  1. Wählen Sie Lokalen Agent herunterladen aus, lesen Sie die Nutzungsbedingungen, und wählen Sie dann Bedingungen akzeptieren und herunterladen aus.

    Hinweis

    Verwenden Sie verschiedene Bereitstellungs-Agents für die lokale Anwendungsbereitstellung und die Microsoft Entra Connect-Cloudsynchronisierung/personalgesteuerte Bereitstellung. Es sollten nicht alle drei Szenarien auf demselben Agent verwaltet werden.

  2. Starten Sie den Installer für den Bereitstellungs-Agent, akzeptieren Sie die Vertragsbedingungen, und wählen Sie Installieren aus.

  3. Wenn der Konfigurationsassistent des Microsoft Entra Bereitstellungs-Agents geöffnet wird, fahren Sie mit der Registerkarte Erweiterung auswählen fort, und wählen Sie Lokale Anwendungsbereitstellung aus, wenn Sie zur Eingabe der Erweiterung aufgefordert werden, die Sie aktivieren möchten.

  4. Der Bereitstellungs-Agent verwendet den Webbrowser des Betriebssystems, um ein Popupfenster anzuzeigen, in dem Sie sich bei Microsoft Entra ID und ggf. auch beim Identitätsanbieter Ihrer Organisation authentifizieren können. Wenn Sie Internet Explorer als Browser unter Windows Server verwenden, müssen Sie möglicherweise Microsoft-Websites der Liste der vertrauenswürdigen Websites Ihres Browsers hinzufügen, damit JavaScript ordnungsgemäß ausgeführt werden kann.

  5. Geben Sie Anmeldeinformationen für einen Microsoft Entra-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Das Benutzerkonto muss mindestens über die Rolle Hybrididentitätsadministrator verfügen.

  6. Wählen Sie Bestätigen aus, um die Einstellung zu bestätigen. Nach erfolgreicher Installation können Sie Beenden auswählen und auch das Installationsprogramm für das Bereitstellungs-Agent-Paket schließen.

Konfigurieren der lokalen ECMA-App

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  3. Wählen Sie Neue Anwendung aus.
  4. Suchen Sie nach der lokalen Ecma International-App, benennen Sie die App, und wählen Sie Erstellen aus, um sie Ihrem Mandanten hinzuzufügen.
  5. Navigieren Sie zur Bereitstellungsseite Ihrer Anwendung.
  6. Wählen Sie Erste Schritte aus.
  7. Ändern Sie auf der Seite Bereitstellung den Modus in Automatisch.
  8. Wählen Sie im Abschnitt Lokale Konnektivität den Agent aus, den Sie gerade bereitgestellt haben, und wählen Sie dann Agent(s) zuweisen aus.
  9. Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mit dem Konfigurations-Assistenten ausführen.

Speicherorte für die Dateien „InputFile.txt“ und „Schema.xml“

Bevor Sie den PowerShell-Connector für dieses Tutorial erstellen können, müssen Sie die Dateien „InputFile.txt“ und „Schema.xml“ an die richtigen Speicherorte kopieren. Dabei handelt es sich um die Dateien, die Sie im Abschnitt Herunterladen der PowerShell-Setupdateien herunterladen mussten.

Datei location
InputFile.txt C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData
Schema.xml C:\Program Files\Microsoft ECMA2Host\Service\ECMA

Konfigurieren des Zertifikats für den Microsoft Entra-ECMA-Connectorhost

  1. Klicken Sie auf dem Windows-Server, auf dem der Bereitstellungs-Agent installiert ist, im Startmenü mit der rechten Maustaste auf den Microsoft ECMA2Host-Konfigurations-Assistenten und führen Sie ihn als Administrator aus. Die Ausführung als Windows-Administrator ist erforderlich, damit der Assistent die erforderlichen Windows-Ereignisprotokolle erstellen kann.
  2. Wenn dies das erste Mal ist, dass Sie den Assistenten ausführen, werden Sie nach dem Starten der Konfiguration des ECMA-Connectorhosts aufgefordert, ein Zertifikat zu erstellen. Übernehmen Sie den Standardport 8585, und wählen Sie Zertifikat generieren aus, um ein Zertifikat zu generieren. Bei dem automatisch generierten Zertifikat handelt es sich um ein selbstsigniertes Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle. Das Zertifikat-SAN stimmt mit dem Hostnamen überein.
  3. Wählen Sie Speichern aus.

Erstellen des PowerShell-Connectors

Allgemeiner Bildschirm

  1. Starten Sie im Startmenü den Microsoft ECMA2Host-Konfigurations-Assistenten.

  2. Wählen Sie oben Importieren aus, und wählen Sie die Datei „configuration.xml“ aus Schritt 1 aus.

  3. Der neue Connector sollte erstellt und rot angezeigt werden. Klicken Sie auf Bearbeiten.

  4. Generieren Sie ein geheimes Token für die Authentifizierung von Microsoft Entra ID beim Connector. Es sollte mindestens 12 Zeichen umfassen und für jede Anwendung eindeutig sein. Sollten Sie noch nicht über einen Geheimnisgenerator verfügen, können Sie einen PowerShell-Befehl wie den folgenden verwenden, um eine zufällige Zeichenfolge zu generieren:

    -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
    
  5. Auf der Seite Eigenschaften sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.

    Eigenschaft Wert
    Name Der Name für den Connector. Muss für alle Connectors in Ihrer Umgebung eindeutig sein. Beispiel: PowerShell.
    Zeitgeber für automatische Synchronisierung (Minuten) 120
    Geheimes Token Geben Sie hier Ihr geheimes Token ein. Er sollte mindestens 12 Zeichen lang sein.
    Erweiterungs-DLL Wählen Sie Microsoft.IAM.Connector.PowerShell.dll für den PowerShell-Connector aus.

Screenshot: Allgemeiner Bildschirm.

Konnektivität

Auf der Registerkarte „Konnektivität“ können Sie die Konfigurationsparameter für die Verbindung mit einem Remotesystem angeben. Konfigurieren Sie die Registerkarte „Konnektivität“ mit den in der Tabelle bereitgestellten Informationen.

  • Auf der Seite Konnektivität sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.

Screenshot: Bildschirm „Konnektivität“.

Parameter Wert Zweck
Server <Leer> Der Name des Servers, mit dem der Connector eine Verbindung herstellen soll.
Domain <Leer> Die Domäne der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen.
User <Leer> Der Benutzername der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen.
Kennwort <Leer> Das Kennwort der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen.
Identität des Connector-Kontos annehmen Deaktiviert Bei Verwendung von „True“ führt der Synchronisierungsdienst die Windows PowerShell-Skripts im Kontext der angegebenen Anmeldeinformationen aus. Es wird empfohlen, anstelle des Identitätswechsels den an die einzelnen Skripts übergebenen $Credentials -Parameter zu verwenden.
Beim Identitätswechsel Benutzerprofil laden Deaktiviert Weist Windows an, beim Identitätswechsel das Benutzerprofil der Anmeldeinformationen des Connectors zu laden. Falls der Benutzer, dessen Identität übernommen werden soll, über ein servergespeichertes Profil verfügt, wird das Profil vom Connector nicht geladen.
Anmeldetyp beim Identitätswechsel Keine Der Anmeldetyp beim Identitätswechsel. Weitere Informationen finden Sie in der Dokumentation zu dwLogonType.
Nur digital signierte Skripts Deaktiviert Bei Verwendung von „True“ überprüft der Windows PowerShell-Connector, ob jedes Skript über eine gültige digitale Signatur verfügt. Stellen Sie bei Verwendung von „False“ sicher, dass die Windows PowerShell-Ausführungsrichtlinie des Synchronisierungsdienst-Servers „RemoteSigned“ oder „Unrestricted“ ist.
Name des allgemeinen Modulskripts (mit Erweiterung) xADSyncPSConnectorModule.psm1 Mithilfe des Connectors kann der Administrator ein gemeinsam genutztes Windows PowerShell-Modul in der Konfiguration speichern. Wenn der Connector ein Skript ausführt, wird das Windows PowerShell-Modul in das Dateisystem extrahiert, damit es von jedem Skript importiert werden kann.
Allgemeines Modulskript Code für das AD Sync PowerShell-Connector-Modul als Wert. Dieses Modul wird automatisch vom ECMA2Host erstellt, wenn der Connector ausgeführt wird.
Validierungsskript <Leer> Das Überprüfungsskript ist ein optionales Windows PowerShell-Skript, mit dem die Gültigkeit der vom Administrator angegebenen Connector-Konfigurationsparameter sichergestellt werden kann.
Schemaskript GetSchema-Code als Wert.
Namen von zusätzlichen Konfigurationsparametern FileName,Delimiter,Encoding Neben den Standardkonfigurationseinstellungen können Sie auch benutzerdefinierte Konfigurationseinstellungen definieren, die speziell für die betreffende Connectorinstanz gelten. Diese Parameter können auf Connector-, Partitions- oder Ausführungsschrittebene angegeben werden und stehen über die entsprechenden Windows PowerShell-Skripts zur Verfügung.
Namen von zusätzlichen verschlüsselten Konfigurationsparametern <Leer>

Funktionen

Auf der Registerkarte „Funktionen“ werden Verhalten und Funktionen des Connectors definiert. Die auf dieser Registerkarte ausgewählten Optionen können nach der Erstellung des Connectors nicht mehr geändert werden. Konfigurieren Sie die Registerkarte „Funktionen“ mit den in der Tabelle bereitgestellten Informationen.

  • Auf der Seite Funktionen sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.

Screenshot: Bildschirm „Funktionen“.

Parameter Wert Zweck
Distinguished Name Style Keine Gibt an, ob der Connector Distinguished Names unterstützt, und wenn ja, in welchem Format.
Exporttyp ObjectReplace Bestimmt den Typ von Objekten, die dem Exportskript präsentiert werden.
Datennormalisierung Keine Weist den Synchronisierungsdienst an, Ankerattribute vor der Bereitstellung für Skripts zu normalisieren.
Objektbestätigung Normal Wird ignoriert.
DN als Anker verwenden Deaktiviert Wenn das Format für den Distinguished Name auf LDAP festgelegt ist, ist das Ankerattribut für den Connectorbereich gleichzeitig der Distinguished Name.
Parallele Vorgänge für mehrere Connectors Überprüft Ist diese Option aktiviert, können mehrere Windows PowerShell-Connectors gleichzeitig ausgeführt werden.
Partitionen Deaktiviert Ist diese Option aktiviert, unterstützt der Connector mehrere Partitionen und die Partitionsermittlung.
Hierarchy Deaktiviert Ist diese Option aktiviert, unterstützt der Connector eine hierarchische Struktur im LDAP-Stil.
Import aktivieren Überprüft Ist diese Option aktiviert, importiert der Connector Daten über Importskripts.
Deltaimport aktivieren Deaktiviert Ist diese Option aktiviert, kann der Connector Deltas aus den Importskripts anfordern.
Export aktivieren Überprüft Ist diese Option aktiviert, exportiert der Connector Daten über Exportskripts.
Vollständigen Export aktivieren Überprüft Wird nicht unterstützt. Wird ignoriert.
Keine Referenzwerte im ersten Exportdurchlauf Deaktiviert Ist diese Option aktiviert, werden Verweisattribute in einem zweiten Exportdurchlauf exportiert.
Objektumbenennung aktivieren Deaktiviert Ist diese Option aktiviert, können Distinguished Names geändert werden.
Löschen/Hinzufügen als Ersetzung Überprüft Wird nicht unterstützt. Wird ignoriert.
Kennwortexport im ersten Durchlauf aktivieren Deaktiviert Wird nicht unterstützt. Wird ignoriert.

Globale Parameter

Auf der Registerkarte „Globale Parameter“ können Sie die vom Connector ausgeführten Windows PowerShell-Skripts konfigurieren. Sie können auch globale Werte für benutzerdefinierte Konfigurationseinstellungen konfigurieren, die auf der Registerkarte „Konnektivität“ definiert sind. Konfigurieren Sie die Registerkarte „Globale Parameter“ mit den in der Tabelle bereitgestellten Informationen.

  • Auf der Seite Globale Parameter sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.

Screenshot: Bildschirm „Global“.

Parameter Wert
Partitionsskript <Leer>
Hierarchieskript <Leer>
Skript „Import starten“ <Leer>
Importskript Einfügen des Importskripts als Wert
Skript „Import beenden“ <Leer>
Skript „Export starten“ <Leer>
Skript exportieren Einfügen des Importskripts als Wert
Skript „Export beenden“ <Leer>
Skript „Kennwort starten“ <Leer>
Kennworterweiterungsskript <Leer>
Skript „Kennwort beenden“ <Leer>
FileName_Global InputFile.txt
Delimiter_Global ;
Encoding_Global <Leer>(Standardwert ist „UTF8“)

Partitionen, Ausführungsprofile, Export, FullImport

Übernehmen Sie die Standardwerte, und klicken Sie auf Weiter.

Objekttypen

Konfigurieren Sie die Registerkarte „Objekttypen“ mit den in der Tabelle bereitgestellten Informationen.

  • Auf der Seite Objekttypen sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.

Screenshot: Bildschirm „Objekttypen“.

Parameter Wert
Zielobjekt Person
Anchor AzureObjectID
Abfrageattribut AzureObjectID
DN AzureObjectID

Attribute auswählen

Folgende Attribute müssen ausgewählt werden:

  • Auf der Seite Attribute auswählen sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.

  • AzureObjectID

  • IsActive

  • DisplayName

  • EmployeeId

  • Titel

  • UserName

  • Email

Screenshot: Bildschirm „Attribute auswählen“.

Aufheben der Bereitstellung

Auf der Seite „Bereitstellung aufheben“ können Sie angeben, ob Microsoft Entra ID Benutzer*innen aus dem Verzeichnis entfernen soll, wenn sie aus dem Bereich der Anwendung entfernt werden. Wenn ja, wählen Sie unter Flow deaktivieren die Option Löschen und unter Flow löschen die Option Löschen aus. Wenn der Wert „Attribut festlegen“ ausgewählt ist, können die auf der vorherigen Seite ausgewählten Attribute auf der Seite „Bereitstellung aufheben“ nicht ausgewählt werden.

  • Auf der Seite Bereitstellung aufheben sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.

Screenshot: Bildschirm „Bereitstellung aufheben“.

Stellen Sie sicher, dass der ECMA2Host-Dienst ausgeführt wird und über PowerShell aus der Datei lesen kann

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass der Connectorhost gestartet wurde und alle vorhandenen Benutzer auf dem Zielsystem identifiziert hat.

  1. Wählen Sie auf dem Server, auf dem der Microsoft Entra-ECMA-Connectorhost ausgeführt wird, Starten aus.
  2. Wählen Sie bei Bedarf Ausführen aus, und geben Sie dann services.msc in das Feld ein.
  3. Stellen Sie sicher, dass Microsoft ECMA2Host in der in der Liste Dienste enthalten ist und ausgeführt wird. Wenn der Dienst nicht ausgeführt wird, wählen Sie Start aus.
  4. Starten Sie PowerShell auf dem Server, auf dem der Microsoft Entra-ECMA-Connectorhost ausgeführt wird.
  5. Wechseln Sie zu dem Ordner, in dem der ECMA-Host installiert wurde, etwa C:\Program Files\Microsoft ECMA2Host.
  6. Wechseln Sie zum Unterverzeichnis Troubleshooting.
  7. Führen Sie im Verzeichnis, wie im Anschluss gezeigt, das Skript TestECMA2HostConnection.ps1 aus, und geben Sie als Argumente den Connectornamen und den Wert ObjectTypePathcache an. Wenn Ihr Connectorhost nicht am TCP-Port 8585 lauscht, muss ggf. auch das Argument -Port angegeben werden. Wenn Sie dazu aufgefordert werden, geben Sie das geheime Token ein, das für diesen Connector konfiguriert ist.
    PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9
    Supply values for the following parameters:
    SecretToken: ************
    
  8. Sollte eine Fehler- oder Warnmeldung angezeigt werden, vergewissern Sie sich, dass der Dienst ausgeführt wird und dass der Connectorname und das geheime Token den Werten entsprechen, die Sie im Konfigurations-Assistenten konfiguriert haben.
  9. Wenn das Skript False ausgibt, hat der Connector im Quellzielsystem keine Einträge für vorhandene Benutzer gefunden. Wenn es sich um eine neue Zielsysteminstallation handelt, ist dieses Verhalten zu erwarten, und Sie können mit dem nächsten Abschnitt fortfahren.
  10. Wenn das Zielsystem jedoch bereits mindestens einen Benutzer enthält, das Skript jedoch False ausgibt, weist dieser Status darauf hin, dass der Connector nicht im Zielsystem lesen konnte. Wenn Sie versuchen, bereitzustellen, stimmt Microsoft Entra ID möglicherweise nicht ordnungsgemäß mit Benutzern in diesem Quellverzeichnis mit Benutzern in Microsoft Entra ID überein. Warten Sie einige Minuten, bis der Connectorhost das Lesen von Objekten im vorhandenen Zielsystem abgeschlossen hat, und führen Sie das Skript anschließend erneut aus. Sollte weiterhin False ausgegeben werden, überprüfen Sie, ob die Konfiguration Ihres Connectors und die Berechtigungen auf dem Zielsystem dem Connector das Lesen vorhandener Benutzer ermöglichen.

Testen der Verbindung von Microsoft Entra ID mit dem Connectorhost

  1. Kehren Sie zu dem Webbrowserfenster zurück, in dem Sie die Anwendungsbereitstellung im Portal konfiguriert haben.

    Hinweis

    Wenn das Zeitlimit für das Fenster überschritten wurde, müssen Sie den Agent erneut auswählen.

    1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
    2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
    3. Wählen Sie die Anwendung Lokale ECMA-App aus.
    4. Wählen Sie Bereitstellung aus.
    5. Wenn Erste Schritte angezeigt wird, ändern Sie den Modus in Automatisch. Wählen Sie im Abschnitt Lokale Konnektivität den Agent aus, den Sie gerade bereitgestellt haben, wählen Sie dann Agent(s) zuweisen aus, und warten Sie 10 Minuten. Wechseln Sie andernfalls zu Bereitstellung bearbeiten.
  2. Geben Sie im Abschnitt Administratoranmeldeinformationen die folgende URL ein. Ersetzen Sie den Teil connectorName durch den Namen des Connectors auf dem ECMA-Host (beispielsweise PowerShell). Wenn Sie ein Zertifikat Ihrer Zertifizierungsstelle für den Ecma International-Host bereitgestellt haben, ersetzen Sie localhost durch den Hostnamen des Servers, auf dem der ECMA-Host installiert ist.

    Eigenschaft Wert
    Mandanten-URL https://localhost:8585/ecma2host_connectorName/scim
  3. Geben Sie den Wert des geheimen Tokens ein, das Sie beim Erstellen des Connectors definiert haben.

    Hinweis

    Wenn Sie den Agent gerade der Anwendung zugewiesen haben, warten Sie 10 Minuten, bis die Registrierung abgeschlossen ist. Der Konnektivitätstest funktioniert erst, wenn die Registrierung abgeschlossen ist. Sie können erzwingen, dass die Agent-Registrierung abgeschlossen wird, indem Sie den Bereitstellungs-Agent auf Ihrem Server neu starten, um den Registrierungsprozess zu beschleunigen. Navigieren Sie zu Ihrem Server, suchen Sie über die Windows-Suchleiste nach Dienste, identifizieren Sie den Dienst Microsoft Entra Connect-Bereitstellungs-Agent, klicken Sie mit der rechten Maustaste auf den Dienst, und starten Sie ihn neu.

  4. Wählen Sie Verbindung testen aus, und warten Sie eine Minute.

  5. Wenn der Verbindungstest erfolgreich war und angezeigt wird, dass die angegebenen Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind, wählen Sie Speichern aus.

Konfigurieren der Anwendungsverbindung

Kehren Sie zu dem Webbrowserfenster zurück, in dem Sie die Anwendungsbereitstellung konfiguriert haben.

Hinweis

Wenn das Zeitlimit für das Fenster überschritten wurde, müssen Sie den Agent erneut auswählen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  3. Wählen Sie die Anwendung Lokale ECMA-App aus.

  4. Wählen Sie Bereitstellung aus.

  5. Wenn Erste Schritte angezeigt wird, ändern Sie den Modus in Automatisch. Wählen Sie im Abschnitt Lokale Konnektivität den Agent aus, den Sie bereitgestellt haben, und wählen Sie dann Agent(s) zuweisen aus. Wechseln Sie andernfalls zu Bereitstellung bearbeiten.

  6. Geben Sie im Abschnitt Administratoranmeldeinformationen die folgende URL ein. Ersetzen Sie den Teil {connectorName} durch den Namen des Connectors auf dem ECMA Connector Host, z. B. CSV. Beim Connectornamen muss die Groß-/Kleinschreibung beachtet werden, und sie sollte mit der im Assistenten konfigurierten identisch sein. Sie können localhost auch durch den Hostnamen Ihres Computers ersetzen.

    Eigenschaft Wert
    Mandanten-URL https://localhost:8585/ecma2host_CSV/scim
  7. Geben Sie den Wert des geheimen Tokens ein, das Sie beim Erstellen des Connectors definiert haben.

    Hinweis

    Wenn Sie den Agent gerade der Anwendung zugewiesen haben, warten Sie 10 Minuten, bis die Registrierung abgeschlossen ist. Der Konnektivitätstest funktioniert erst, wenn die Registrierung abgeschlossen ist. Sie können erzwingen, dass die Agent-Registrierung abgeschlossen wird, indem Sie den Bereitstellungs-Agent auf Ihrem Server neu starten, um den Registrierungsprozess zu beschleunigen. Navigieren Sie zu Ihrem Server, suchen Sie über die Windows-Suchleiste nach Dienste, identifizieren Sie den Dienst Microsoft Entra Connect-Bereitstellungs-Agent, klicken Sie mit der rechten Maustaste auf den Dienst, und starten Sie ihn neu.

  8. Wählen Sie Verbindung testen aus, und warten Sie eine Minute.

  9. Wenn der Verbindungstest erfolgreich war und angezeigt wird, dass die angegebenen Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind, wählen Sie Speichern aus.

Konfigurieren von Attributzuordnungen

Nun müssen Sie Attribute von der Darstellung des Benutzers in Microsoft Entra ID der Darstellung eines Benutzers in der lokalen Datei „InputFile.txt“ zuordnen.

Sie verwenden das Azure-Portal, um die Zuordnung zwischen den Attributen von Microsoft Entra-Benutzern und den Attributen zu konfigurieren, die Sie zuvor im Assistenten für die ECMA International-Hostkonfiguration ausgewählt haben.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  3. Wählen Sie die Anwendung Lokale ECMA-App aus.

  4. Wählen Sie Bereitstellung aus.

  5. Wählen Sie Bereitstellung bearbeiten aus, und warten Sie 10 Sekunden.

  6. Erweitern Sie Zuordnungen, und wählen Sie Microsoft Entra-Benutzer bereitstellen aus. Wenn Sie die Attributzuordnungen für diese Anwendung zum ersten Mal konfiguriert haben, ist nur eine Zuordnung für einen Platzhalter vorhanden.

  7. Um sicherzustellen, dass das Schema in Microsoft Entra ID verfügbar ist, aktivieren Sie das Kontrollkästchen Erweiterte Optionen anzeigen, und wählen Sie Attributliste für ScimOnPremises bearbeiten aus. Stellen Sie sicher, dass alle im Konfigurations-Assistenten ausgewählten Attribute aufgelistet sind. Falls nicht, warten Sie einige Minuten, bis das Schema aktualisiert wurde, und laden Sie die Seite dann neu. Wenn die Attribute aufgelistet werden, wählen Sie „Abbrechen“ aus, um zur Zuordnungsliste zurückzukehren.

  8. Klicken Sie nun auf die Zuordnung userPrincipalName PLATZHALTER. Diese Zuordnung wird standardmäßig hinzugefügt, wenn Sie die lokale Bereitstellung zum ersten Mal konfigurieren. Ändern Sie den Wert folgendermaßen:

    Zuordnungstyp Quellattribut Zielattribut
    Direkt userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName
  9. Wählen Sie nun Neue Zuordnung hinzufügen aus, und wiederholen Sie den nächsten Schritt für jede Zuordnung.

  10. Geben Sie die Quell- und Zielattribute für jede der Mappings in der folgenden Tabelle an.

    Zuordnungstyp Quellattribut Zielattribut
    Direkt objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID
    Direkt userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName
    Direkt displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName
    Direkt employeeId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId
    Direkt jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title
    Direkt mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Ausdruck Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive

    Screenshot: Attributzuordnungen.

  11. Nachdem Sie alle Zuordnungen hinzugefügt haben, wählen Sie Speichern aus.

Zuweisen von Benutzern zu einer Anwendung

Da der Microsoft Entra-ECMA-Connectorhost und Microsoft Entra ID nun miteinander kommunizieren und die Attributzuordnungen konfiguriert sind, können Sie mit der Konfiguration der Benutzer für den Bereitstellungsbereich fortfahren.

Wichtig

Wenn Sie mit der Rolle „Hybrididentitätsadministrator“ angemeldet wurden, müssen Sie sich zum Ausführen der Schritte in diesem Abschnitt zuerst abmelden und dann mit einem Konto anmelden, das mindestens über die Rolle „Anwendungsadministrator“ verfügt. Die Rolle „Hybrididentitätsadministrator“ verfügt nicht über Berechtigungen zum Zuweisen von Benutzern zu Anwendungen.

Wenn in der Datei „InputFile.txt“ Benutzer vorhanden sind, sollten Sie Anwendungsrollenzuweisungen für diese vorhandenen Benutzer erstellen. Weitere Informationen zum Erstellen von großen Mengen von Anwendungsrollenzuweisungen finden Sie unter Verwalten der vorhandenen Benutzer einer Anwendung in Microsoft Entra ID.

Andernfalls, wenn keine aktuellen Benutzer der Anwendung vorhanden sind, wählen Sie einen Testbenutzer aus Microsoft Entra aus, der für die Anwendung bereitgestellt wird.

  1. Stellen Sie sicher, dass der ausgewählte Benutzer über alle Eigenschaften verfügt, die den erforderlichen Attributen des Schemas zugeordnet werden.
  2. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
  3. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  4. Wählen Sie die Anwendung Lokale ECMA-App aus.
  5. Wählen Sie links unter Verwalten die Option Benutzer und Gruppen aus.
  6. Wählen Sie Benutzer/Gruppe hinzufügen aus.
  7. Wählen Sie unter Benutzer die Option Keine Elemente ausgewählt aus.
  8. Wählen Sie auf der rechten Seite Benutzer und dann die Schaltfläche Auswählen aus.
  9. Wählen Sie nun Zuweisen aus.

Testen der Bereitstellung

Nachdem nun Ihre Attribute zugeordnet und die Benutzer zugewiesen sind, können Sie die bedarfsorientierte Bereitstellung mit einem Ihrer Benutzer testen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  3. Wählen Sie die Anwendung Lokale ECMA-App aus.
  4. Wählen Sie Bereitstellung aus.
  5. Klicken Sie auf Bei Bedarf bereitstellen.
  6. Suchen Sie nach einem Ihrer Testbenutzer, und wählen Sie Bereitstellen aus.
  7. Nach einigen Sekunden wird die Meldung Benutzer wurde erfolgreich im Zielsystem erstellt mit einer Liste der Benutzerattribute angezeigt.

Benutzerbereitstellung starten

  1. Nachdem die bedarfsorientierte Bereitstellung erfolgreich war, wechseln Sie zurück zur Konfigurationsseite der Bereitstellung. Stellen Sie sicher, dass der Bereich nur auf zugewiesene Benutzer und Gruppen festgelegt ist, aktivieren Sie die Bereitstellung (On), und wählen Sie Speichern aus.
  2. Warten Sie einige Minuten, bis die Bereitstellung gestartet wurde. Dies kann bis zu 40 Minuten dauern. Wenn Sie nach Abschluss des Bereitstellungsauftrags (wie im nächsten Abschnitt beschrieben) auch Ihre Tests abgeschlossen haben, können Sie den Bereitstellungsstatus in Aus ändern und Speichern auswählen. Durch diese Aktion wird der Bereitstellungsdienst in Zukunft nicht mehr ausgeführt.

Nächste Schritte