Bereitstellen von Benutzern in Anwendungen mit PowerShell
Die folgende Dokumentation enthält Konfigurations- und Tutorial-Informationen, die zeigen, wie Sie mit dem generischen PowerShell-Connector und dem Extensible Connectivity (ECMA) Connector Host Microsoft Entra ID mit externen Systemen integrieren können, die über Windows PowerShell-basierte APIs verfügen.
Weitere Informationen finden Sie unter Technische Referenz für den Windows PowerShell-Connector
Voraussetzungen für die Bereitstellung über PowerShell
In den folgenden Abschnitten werden die Voraussetzungen für dieses Tutorial erläutert.
Herunterladen der PowerShell-Setupdateien
Laden Sie die PowerShell-Setupdateien aus unserem GitHub-Repository herunter. Die Setupdateien bestehen aus der Konfigurationsdatei, der Eingabedatei, der Schemadatei und den verwendeten Skripts.
Lokale Voraussetzungen
Der Connector bildet eine Brücke zwischen den Funktionen von ECMA Connector Host und Windows PowerShell. Stellen Sie vor der Verwendung des Connectors sicher, dass auf Hostserver des Connectors Folgendes vorhanden ist
- Windows Server 2016 oder höher.
- Mindestens 3 GB RAM zum Hosten eines Bereitstellungs-Agents.
- .NET Framework 4.7.2
- Windows PowerShell 2.0, 3.0 oder 4.0
- Konnektivität zwischen Hostserver, Connector und dem Zielsystem, mit dem die PowerShell-Skripts interagieren.
- Die Ausführungsrichtlinie auf dem Server muss so konfiguriert sein, dass der Connector Windows PowerShell-Skripts ausführen kann. Falls die vom Connector ausgeführten Skripts nicht digital signiert sind, konfigurieren Sie die Ausführungsrichtlinie durch Ausführen des folgenden Befehls:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- Für die Bereitstellung dieses Connectors ist mindestens ein PowerShell-Skript erforderlich. Einige Microsoft-Produkte stellen möglicherweise Skripts für die Verwendung mit diesem Connector bereit. Den Supporthinweis für diese Skripts finden Sie im jeweiligen Produkt. Wenn Sie Ihre eigenen Skripts für die Verwendung mit diesem Connector entwickeln, müssen Sie mit der Extensible Connectivity Management-Agent-API vertraut sein, um diese Skripts entwickeln und verwalten zu können. Wenn Sie bei der Integration mit Drittanbietersystemen eigene Skripts in einer Produktionsumgebung verwenden, empfehlen wir die Zusammenarbeit mit dem Drittanbieter oder einem Bereitstellungspartner, um Hilfe, Anleitungen und Unterstützung für diese Integration zu erhalten.
Cloudanforderungen
- Ein Microsoft Entra-Mandant mit Microsoft Entra ID P1 oder Premium P2 (oder EMS E3 oder E5). Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
- Die Rolle „Hybrididentitätsadministrator“ zum Konfigurieren des Bereitstellungs-Agents und die Rolle „Anwendungsadministrator“ oder „Cloudanwendungsadministrator“ zum Konfigurieren der Bereitstellung im Azure-Portal.
- Die Microsoft Entra-Benutzer, die bereitgestellt werden sollen, müssen bereits über alle für das Schema erforderlichen Attribute verfügen.
Herunterladen, Installieren und Konfigurieren des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets
Wenn Sie den Bereitstellungs-Agent bereits heruntergeladen und für eine andere lokale Anwendung konfiguriert haben, lesen Sie im nächsten Abschnitt weiter.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung>Agents.
Wählen Sie Lokalen Agent herunterladen aus, lesen Sie die Nutzungsbedingungen, und wählen Sie dann Bedingungen akzeptieren und herunterladen aus.
Hinweis
Verwenden Sie verschiedene Bereitstellungs-Agents für die lokale Anwendungsbereitstellung und die Microsoft Entra Connect-Cloudsynchronisierung/personalgesteuerte Bereitstellung. Es sollten nicht alle drei Szenarien auf demselben Agent verwaltet werden.
Starten Sie den Installer für den Bereitstellungs-Agent, akzeptieren Sie die Vertragsbedingungen, und wählen Sie Installieren aus.
Wenn der Konfigurationsassistent des Microsoft Entra Bereitstellungs-Agents geöffnet wird, fahren Sie mit der Registerkarte Erweiterung auswählen fort, und wählen Sie Lokale Anwendungsbereitstellung aus, wenn Sie zur Eingabe der Erweiterung aufgefordert werden, die Sie aktivieren möchten.
Der Bereitstellungs-Agent verwendet den Webbrowser des Betriebssystems, um ein Popupfenster anzuzeigen, in dem Sie sich bei Microsoft Entra ID und ggf. auch beim Identitätsanbieter Ihrer Organisation authentifizieren können. Wenn Sie Internet Explorer als Browser unter Windows Server verwenden, müssen Sie möglicherweise Microsoft-Websites der Liste der vertrauenswürdigen Websites Ihres Browsers hinzufügen, damit JavaScript ordnungsgemäß ausgeführt werden kann.
Geben Sie Anmeldeinformationen für einen Microsoft Entra-Administrator an, wenn Sie zur Autorisierung aufgefordert werden. Das Benutzerkonto muss mindestens über die Rolle Hybrididentitätsadministrator verfügen.
Wählen Sie Bestätigen aus, um die Einstellung zu bestätigen. Nach erfolgreicher Installation können Sie Beenden auswählen und auch das Installationsprogramm für das Bereitstellungs-Agent-Paket schließen.
Konfigurieren der lokalen ECMA-App
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
- Wählen Sie Neue Anwendung aus.
- Suchen Sie nach der lokalen Ecma International-App, benennen Sie die App, und wählen Sie Erstellen aus, um sie Ihrem Mandanten hinzuzufügen.
- Navigieren Sie zur Bereitstellungsseite Ihrer Anwendung.
- Wählen Sie Erste Schritte aus.
- Ändern Sie auf der Seite Bereitstellung den Modus in Automatisch.
- Wählen Sie im Abschnitt Lokale Konnektivität den Agent aus, den Sie gerade bereitgestellt haben, und wählen Sie dann Agent(s) zuweisen aus.
- Lassen Sie dieses Browserfenster geöffnet, während Sie den nächsten Schritt der Konfiguration mit dem Konfigurations-Assistenten ausführen.
Speicherorte für die Dateien „InputFile.txt“ und „Schema.xml“
Bevor Sie den PowerShell-Connector für dieses Tutorial erstellen können, müssen Sie die Dateien „InputFile.txt“ und „Schema.xml“ an die richtigen Speicherorte kopieren. Dabei handelt es sich um die Dateien, die Sie im Abschnitt Herunterladen der PowerShell-Setupdateien herunterladen mussten.
Datei | location |
---|---|
InputFile.txt | C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData |
Schema.xml | C:\Program Files\Microsoft ECMA2Host\Service\ECMA |
Konfigurieren des Zertifikats für den Microsoft Entra-ECMA-Connectorhost
- Klicken Sie auf dem Windows-Server, auf dem der Bereitstellungs-Agent installiert ist, im Startmenü mit der rechten Maustaste auf den Microsoft ECMA2Host-Konfigurations-Assistenten und führen Sie ihn als Administrator aus. Die Ausführung als Windows-Administrator ist erforderlich, damit der Assistent die erforderlichen Windows-Ereignisprotokolle erstellen kann.
- Wenn dies das erste Mal ist, dass Sie den Assistenten ausführen, werden Sie nach dem Starten der Konfiguration des ECMA-Connectorhosts aufgefordert, ein Zertifikat zu erstellen. Übernehmen Sie den Standardport 8585, und wählen Sie Zertifikat generieren aus, um ein Zertifikat zu generieren. Bei dem automatisch generierten Zertifikat handelt es sich um ein selbstsigniertes Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle. Das Zertifikat-SAN stimmt mit dem Hostnamen überein.
- Wählen Sie Speichern aus.
Erstellen des PowerShell-Connectors
Allgemeiner Bildschirm
Starten Sie im Startmenü den Microsoft ECMA2Host-Konfigurations-Assistenten.
Wählen Sie oben Importieren aus, und wählen Sie die Datei „configuration.xml“ aus Schritt 1 aus.
Der neue Connector sollte erstellt und rot angezeigt werden. Klicken Sie auf Bearbeiten.
Generieren Sie ein geheimes Token für die Authentifizierung von Microsoft Entra ID beim Connector. Es sollte mindestens 12 Zeichen umfassen und für jede Anwendung eindeutig sein. Sollten Sie noch nicht über einen Geheimnisgenerator verfügen, können Sie einen PowerShell-Befehl wie den folgenden verwenden, um eine zufällige Zeichenfolge zu generieren:
-join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
Auf der Seite Eigenschaften sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.
Eigenschaft Wert Name Der Name für den Connector. Muss für alle Connectors in Ihrer Umgebung eindeutig sein. Beispiel: PowerShell
.Zeitgeber für automatische Synchronisierung (Minuten) 120 Geheimes Token Geben Sie hier Ihr geheimes Token ein. Er sollte mindestens 12 Zeichen lang sein. Erweiterungs-DLL Wählen Sie Microsoft.IAM.Connector.PowerShell.dll für den PowerShell-Connector aus.
Konnektivität
Auf der Registerkarte „Konnektivität“ können Sie die Konfigurationsparameter für die Verbindung mit einem Remotesystem angeben. Konfigurieren Sie die Registerkarte „Konnektivität“ mit den in der Tabelle bereitgestellten Informationen.
- Auf der Seite Konnektivität sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.
Parameter | Wert | Zweck |
---|---|---|
Server | <Leer> | Der Name des Servers, mit dem der Connector eine Verbindung herstellen soll. |
Domain | <Leer> | Die Domäne der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen. |
User | <Leer> | Der Benutzername der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen. |
Kennwort | <Leer> | Das Kennwort der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen. |
Identität des Connector-Kontos annehmen | Deaktiviert | Bei Verwendung von „True“ führt der Synchronisierungsdienst die Windows PowerShell-Skripts im Kontext der angegebenen Anmeldeinformationen aus. Es wird empfohlen, anstelle des Identitätswechsels den an die einzelnen Skripts übergebenen $Credentials -Parameter zu verwenden. |
Beim Identitätswechsel Benutzerprofil laden | Deaktiviert | Weist Windows an, beim Identitätswechsel das Benutzerprofil der Anmeldeinformationen des Connectors zu laden. Falls der Benutzer, dessen Identität übernommen werden soll, über ein servergespeichertes Profil verfügt, wird das Profil vom Connector nicht geladen. |
Anmeldetyp beim Identitätswechsel | Keine | Der Anmeldetyp beim Identitätswechsel. Weitere Informationen finden Sie in der Dokumentation zu dwLogonType. |
Nur digital signierte Skripts | Deaktiviert | Bei Verwendung von „True“ überprüft der Windows PowerShell-Connector, ob jedes Skript über eine gültige digitale Signatur verfügt. Stellen Sie bei Verwendung von „False“ sicher, dass die Windows PowerShell-Ausführungsrichtlinie des Synchronisierungsdienst-Servers „RemoteSigned“ oder „Unrestricted“ ist. |
Name des allgemeinen Modulskripts (mit Erweiterung) | xADSyncPSConnectorModule.psm1 | Mithilfe des Connectors kann der Administrator ein gemeinsam genutztes Windows PowerShell-Modul in der Konfiguration speichern. Wenn der Connector ein Skript ausführt, wird das Windows PowerShell-Modul in das Dateisystem extrahiert, damit es von jedem Skript importiert werden kann. |
Allgemeines Modulskript | Code für das AD Sync PowerShell-Connector-Modul als Wert. Dieses Modul wird automatisch vom ECMA2Host erstellt, wenn der Connector ausgeführt wird. | |
Validierungsskript | <Leer> | Das Überprüfungsskript ist ein optionales Windows PowerShell-Skript, mit dem die Gültigkeit der vom Administrator angegebenen Connector-Konfigurationsparameter sichergestellt werden kann. |
Schemaskript | GetSchema-Code als Wert. | |
Namen von zusätzlichen Konfigurationsparametern | FileName,Delimiter,Encoding | Neben den Standardkonfigurationseinstellungen können Sie auch benutzerdefinierte Konfigurationseinstellungen definieren, die speziell für die betreffende Connectorinstanz gelten. Diese Parameter können auf Connector-, Partitions- oder Ausführungsschrittebene angegeben werden und stehen über die entsprechenden Windows PowerShell-Skripts zur Verfügung. |
Namen von zusätzlichen verschlüsselten Konfigurationsparametern | <Leer> |
Funktionen
Auf der Registerkarte „Funktionen“ werden Verhalten und Funktionen des Connectors definiert. Die auf dieser Registerkarte ausgewählten Optionen können nach der Erstellung des Connectors nicht mehr geändert werden. Konfigurieren Sie die Registerkarte „Funktionen“ mit den in der Tabelle bereitgestellten Informationen.
- Auf der Seite Funktionen sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.
Parameter | Wert | Zweck |
---|---|---|
Distinguished Name Style | Keine | Gibt an, ob der Connector Distinguished Names unterstützt, und wenn ja, in welchem Format. |
Exporttyp | ObjectReplace | Bestimmt den Typ von Objekten, die dem Exportskript präsentiert werden. |
Datennormalisierung | Keine | Weist den Synchronisierungsdienst an, Ankerattribute vor der Bereitstellung für Skripts zu normalisieren. |
Objektbestätigung | Normal | Wird ignoriert. |
DN als Anker verwenden | Deaktiviert | Wenn das Format für den Distinguished Name auf LDAP festgelegt ist, ist das Ankerattribut für den Connectorbereich gleichzeitig der Distinguished Name. |
Parallele Vorgänge für mehrere Connectors | Überprüft | Ist diese Option aktiviert, können mehrere Windows PowerShell-Connectors gleichzeitig ausgeführt werden. |
Partitionen | Deaktiviert | Ist diese Option aktiviert, unterstützt der Connector mehrere Partitionen und die Partitionsermittlung. |
Hierarchy | Deaktiviert | Ist diese Option aktiviert, unterstützt der Connector eine hierarchische Struktur im LDAP-Stil. |
Import aktivieren | Überprüft | Ist diese Option aktiviert, importiert der Connector Daten über Importskripts. |
Deltaimport aktivieren | Deaktiviert | Ist diese Option aktiviert, kann der Connector Deltas aus den Importskripts anfordern. |
Export aktivieren | Überprüft | Ist diese Option aktiviert, exportiert der Connector Daten über Exportskripts. |
Vollständigen Export aktivieren | Überprüft | Wird nicht unterstützt. Wird ignoriert. |
Keine Referenzwerte im ersten Exportdurchlauf | Deaktiviert | Ist diese Option aktiviert, werden Verweisattribute in einem zweiten Exportdurchlauf exportiert. |
Objektumbenennung aktivieren | Deaktiviert | Ist diese Option aktiviert, können Distinguished Names geändert werden. |
Löschen/Hinzufügen als Ersetzung | Überprüft | Wird nicht unterstützt. Wird ignoriert. |
Kennwortexport im ersten Durchlauf aktivieren | Deaktiviert | Wird nicht unterstützt. Wird ignoriert. |
Globale Parameter
Auf der Registerkarte „Globale Parameter“ können Sie die vom Connector ausgeführten Windows PowerShell-Skripts konfigurieren. Sie können auch globale Werte für benutzerdefinierte Konfigurationseinstellungen konfigurieren, die auf der Registerkarte „Konnektivität“ definiert sind. Konfigurieren Sie die Registerkarte „Globale Parameter“ mit den in der Tabelle bereitgestellten Informationen.
- Auf der Seite Globale Parameter sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.
Parameter | Wert |
---|---|
Partitionsskript | <Leer> |
Hierarchieskript | <Leer> |
Skript „Import starten“ | <Leer> |
Importskript | Einfügen des Importskripts als Wert |
Skript „Import beenden“ | <Leer> |
Skript „Export starten“ | <Leer> |
Skript exportieren | Einfügen des Importskripts als Wert |
Skript „Export beenden“ | <Leer> |
Skript „Kennwort starten“ | <Leer> |
Kennworterweiterungsskript | <Leer> |
Skript „Kennwort beenden“ | <Leer> |
FileName_Global | InputFile.txt |
Delimiter_Global | ; |
Encoding_Global | <Leer>(Standardwert ist „UTF8“) |
Partitionen, Ausführungsprofile, Export, FullImport
Übernehmen Sie die Standardwerte, und klicken Sie auf Weiter.
Objekttypen
Konfigurieren Sie die Registerkarte „Objekttypen“ mit den in der Tabelle bereitgestellten Informationen.
- Auf der Seite Objekttypen sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.
Parameter | Wert |
---|---|
Zielobjekt | Person |
Anchor | AzureObjectID |
Abfrageattribut | AzureObjectID |
DN | AzureObjectID |
Attribute auswählen
Folgende Attribute müssen ausgewählt werden:
Auf der Seite Attribute auswählen sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.
AzureObjectID
IsActive
DisplayName
EmployeeId
Titel
UserName
Email
Aufheben der Bereitstellung
Auf der Seite „Bereitstellung aufheben“ können Sie angeben, ob Microsoft Entra ID Benutzer*innen aus dem Verzeichnis entfernen soll, wenn sie aus dem Bereich der Anwendung entfernt werden. Wenn ja, wählen Sie unter Flow deaktivieren die Option Löschen und unter Flow löschen die Option Löschen aus. Wenn der Wert „Attribut festlegen“ ausgewählt ist, können die auf der vorherigen Seite ausgewählten Attribute auf der Seite „Bereitstellung aufheben“ nicht ausgewählt werden.
- Auf der Seite Bereitstellung aufheben sollten alle Informationen aufgefüllt werden. Die Tabelle dient als Referenz. Klicken Sie auf Weiter.
Stellen Sie sicher, dass der ECMA2Host-Dienst ausgeführt wird und über PowerShell aus der Datei lesen kann
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass der Connectorhost gestartet wurde und alle vorhandenen Benutzer auf dem Zielsystem identifiziert hat.
- Wählen Sie auf dem Server, auf dem der Microsoft Entra-ECMA-Connectorhost ausgeführt wird, Starten aus.
- Wählen Sie bei Bedarf Ausführen aus, und geben Sie dann services.msc in das Feld ein.
- Stellen Sie sicher, dass Microsoft ECMA2Host in der in der Liste Dienste enthalten ist und ausgeführt wird. Wenn der Dienst nicht ausgeführt wird, wählen Sie Start aus.
- Starten Sie PowerShell auf dem Server, auf dem der Microsoft Entra-ECMA-Connectorhost ausgeführt wird.
- Wechseln Sie zu dem Ordner, in dem der ECMA-Host installiert wurde, etwa
C:\Program Files\Microsoft ECMA2Host
. - Wechseln Sie zum Unterverzeichnis
Troubleshooting
. - Führen Sie im Verzeichnis, wie im Anschluss gezeigt, das Skript
TestECMA2HostConnection.ps1
aus, und geben Sie als Argumente den Connectornamen und den WertObjectTypePath
cache
an. Wenn Ihr Connectorhost nicht am TCP-Port 8585 lauscht, muss ggf. auch das Argument-Port
angegeben werden. Wenn Sie dazu aufgefordert werden, geben Sie das geheime Token ein, das für diesen Connector konfiguriert ist.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9 Supply values for the following parameters: SecretToken: ************
- Sollte eine Fehler- oder Warnmeldung angezeigt werden, vergewissern Sie sich, dass der Dienst ausgeführt wird und dass der Connectorname und das geheime Token den Werten entsprechen, die Sie im Konfigurations-Assistenten konfiguriert haben.
- Wenn das Skript
False
ausgibt, hat der Connector im Quellzielsystem keine Einträge für vorhandene Benutzer gefunden. Wenn es sich um eine neue Zielsysteminstallation handelt, ist dieses Verhalten zu erwarten, und Sie können mit dem nächsten Abschnitt fortfahren. - Wenn das Zielsystem jedoch bereits mindestens einen Benutzer enthält, das Skript jedoch
False
ausgibt, weist dieser Status darauf hin, dass der Connector nicht im Zielsystem lesen konnte. Wenn Sie versuchen, bereitzustellen, stimmt Microsoft Entra ID möglicherweise nicht ordnungsgemäß mit Benutzern in diesem Quellverzeichnis mit Benutzern in Microsoft Entra ID überein. Warten Sie einige Minuten, bis der Connectorhost das Lesen von Objekten im vorhandenen Zielsystem abgeschlossen hat, und führen Sie das Skript anschließend erneut aus. Sollte weiterhinFalse
ausgegeben werden, überprüfen Sie, ob die Konfiguration Ihres Connectors und die Berechtigungen auf dem Zielsystem dem Connector das Lesen vorhandener Benutzer ermöglichen.
Testen der Verbindung von Microsoft Entra ID mit dem Connectorhost
Kehren Sie zu dem Webbrowserfenster zurück, in dem Sie die Anwendungsbereitstellung im Portal konfiguriert haben.
Hinweis
Wenn das Zeitlimit für das Fenster überschritten wurde, müssen Sie den Agent erneut auswählen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
- Wählen Sie die Anwendung Lokale ECMA-App aus.
- Wählen Sie Bereitstellung aus.
- Wenn Erste Schritte angezeigt wird, ändern Sie den Modus in Automatisch. Wählen Sie im Abschnitt Lokale Konnektivität den Agent aus, den Sie gerade bereitgestellt haben, wählen Sie dann Agent(s) zuweisen aus, und warten Sie 10 Minuten. Wechseln Sie andernfalls zu Bereitstellung bearbeiten.
Geben Sie im Abschnitt Administratoranmeldeinformationen die folgende URL ein. Ersetzen Sie den Teil
connectorName
durch den Namen des Connectors auf dem ECMA-Host (beispielsweisePowerShell
). Wenn Sie ein Zertifikat Ihrer Zertifizierungsstelle für den Ecma International-Host bereitgestellt haben, ersetzen Sielocalhost
durch den Hostnamen des Servers, auf dem der ECMA-Host installiert ist.Eigenschaft Wert Mandanten-URL https://localhost:8585/ecma2host_connectorName/scim Geben Sie den Wert des geheimen Tokens ein, das Sie beim Erstellen des Connectors definiert haben.
Hinweis
Wenn Sie den Agent gerade der Anwendung zugewiesen haben, warten Sie 10 Minuten, bis die Registrierung abgeschlossen ist. Der Konnektivitätstest funktioniert erst, wenn die Registrierung abgeschlossen ist. Sie können erzwingen, dass die Agent-Registrierung abgeschlossen wird, indem Sie den Bereitstellungs-Agent auf Ihrem Server neu starten, um den Registrierungsprozess zu beschleunigen. Navigieren Sie zu Ihrem Server, suchen Sie über die Windows-Suchleiste nach Dienste, identifizieren Sie den Dienst Microsoft Entra Connect-Bereitstellungs-Agent, klicken Sie mit der rechten Maustaste auf den Dienst, und starten Sie ihn neu.
Wählen Sie Verbindung testen aus, und warten Sie eine Minute.
Wenn der Verbindungstest erfolgreich war und angezeigt wird, dass die angegebenen Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind, wählen Sie Speichern aus.
Konfigurieren der Anwendungsverbindung
Kehren Sie zu dem Webbrowserfenster zurück, in dem Sie die Anwendungsbereitstellung konfiguriert haben.
Hinweis
Wenn das Zeitlimit für das Fenster überschritten wurde, müssen Sie den Agent erneut auswählen.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Wählen Sie die Anwendung Lokale ECMA-App aus.
Wählen Sie Bereitstellung aus.
Wenn Erste Schritte angezeigt wird, ändern Sie den Modus in Automatisch. Wählen Sie im Abschnitt Lokale Konnektivität den Agent aus, den Sie bereitgestellt haben, und wählen Sie dann Agent(s) zuweisen aus. Wechseln Sie andernfalls zu Bereitstellung bearbeiten.
Geben Sie im Abschnitt Administratoranmeldeinformationen die folgende URL ein. Ersetzen Sie den Teil
{connectorName}
durch den Namen des Connectors auf dem ECMA Connector Host, z. B. CSV. Beim Connectornamen muss die Groß-/Kleinschreibung beachtet werden, und sie sollte mit der im Assistenten konfigurierten identisch sein. Sie könnenlocalhost
auch durch den Hostnamen Ihres Computers ersetzen.Eigenschaft Wert Mandanten-URL https://localhost:8585/ecma2host_CSV/scim
Geben Sie den Wert des geheimen Tokens ein, das Sie beim Erstellen des Connectors definiert haben.
Hinweis
Wenn Sie den Agent gerade der Anwendung zugewiesen haben, warten Sie 10 Minuten, bis die Registrierung abgeschlossen ist. Der Konnektivitätstest funktioniert erst, wenn die Registrierung abgeschlossen ist. Sie können erzwingen, dass die Agent-Registrierung abgeschlossen wird, indem Sie den Bereitstellungs-Agent auf Ihrem Server neu starten, um den Registrierungsprozess zu beschleunigen. Navigieren Sie zu Ihrem Server, suchen Sie über die Windows-Suchleiste nach Dienste, identifizieren Sie den Dienst Microsoft Entra Connect-Bereitstellungs-Agent, klicken Sie mit der rechten Maustaste auf den Dienst, und starten Sie ihn neu.
Wählen Sie Verbindung testen aus, und warten Sie eine Minute.
Wenn der Verbindungstest erfolgreich war und angezeigt wird, dass die angegebenen Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind, wählen Sie Speichern aus.
Konfigurieren von Attributzuordnungen
Nun müssen Sie Attribute von der Darstellung des Benutzers in Microsoft Entra ID der Darstellung eines Benutzers in der lokalen Datei „InputFile.txt“ zuordnen.
Sie verwenden das Azure-Portal, um die Zuordnung zwischen den Attributen von Microsoft Entra-Benutzern und den Attributen zu konfigurieren, die Sie zuvor im Assistenten für die ECMA International-Hostkonfiguration ausgewählt haben.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Wählen Sie die Anwendung Lokale ECMA-App aus.
Wählen Sie Bereitstellung aus.
Wählen Sie Bereitstellung bearbeiten aus, und warten Sie 10 Sekunden.
Erweitern Sie Zuordnungen, und wählen Sie Microsoft Entra-Benutzer bereitstellen aus. Wenn Sie die Attributzuordnungen für diese Anwendung zum ersten Mal konfiguriert haben, ist nur eine Zuordnung für einen Platzhalter vorhanden.
Um sicherzustellen, dass das Schema in Microsoft Entra ID verfügbar ist, aktivieren Sie das Kontrollkästchen Erweiterte Optionen anzeigen, und wählen Sie Attributliste für ScimOnPremises bearbeiten aus. Stellen Sie sicher, dass alle im Konfigurations-Assistenten ausgewählten Attribute aufgelistet sind. Falls nicht, warten Sie einige Minuten, bis das Schema aktualisiert wurde, und laden Sie die Seite dann neu. Wenn die Attribute aufgelistet werden, wählen Sie „Abbrechen“ aus, um zur Zuordnungsliste zurückzukehren.
Klicken Sie nun auf die Zuordnung userPrincipalName PLATZHALTER. Diese Zuordnung wird standardmäßig hinzugefügt, wenn Sie die lokale Bereitstellung zum ersten Mal konfigurieren. Ändern Sie den Wert folgendermaßen:
Zuordnungstyp Quellattribut Zielattribut Direkt userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Wählen Sie nun Neue Zuordnung hinzufügen aus, und wiederholen Sie den nächsten Schritt für jede Zuordnung.
Geben Sie die Quell- und Zielattribute für jede der Mappings in der folgenden Tabelle an.
Zuordnungstyp Quellattribut Zielattribut Direkt objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID Direkt userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Direkt displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName Direkt employeeId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId Direkt jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title Direkt mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email Ausdruck Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive Nachdem Sie alle Zuordnungen hinzugefügt haben, wählen Sie Speichern aus.
Zuweisen von Benutzern zu einer Anwendung
Da der Microsoft Entra-ECMA-Connectorhost und Microsoft Entra ID nun miteinander kommunizieren und die Attributzuordnungen konfiguriert sind, können Sie mit der Konfiguration der Benutzer für den Bereitstellungsbereich fortfahren.
Wichtig
Wenn Sie mit der Rolle „Hybrididentitätsadministrator“ angemeldet wurden, müssen Sie sich zum Ausführen der Schritte in diesem Abschnitt zuerst abmelden und dann mit einem Konto anmelden, das mindestens über die Rolle „Anwendungsadministrator“ verfügt. Die Rolle „Hybrididentitätsadministrator“ verfügt nicht über Berechtigungen zum Zuweisen von Benutzern zu Anwendungen.
Wenn in der Datei „InputFile.txt“ Benutzer vorhanden sind, sollten Sie Anwendungsrollenzuweisungen für diese vorhandenen Benutzer erstellen. Weitere Informationen zum Erstellen von großen Mengen von Anwendungsrollenzuweisungen finden Sie unter Verwalten der vorhandenen Benutzer einer Anwendung in Microsoft Entra ID.
Andernfalls, wenn keine aktuellen Benutzer der Anwendung vorhanden sind, wählen Sie einen Testbenutzer aus Microsoft Entra aus, der für die Anwendung bereitgestellt wird.
- Stellen Sie sicher, dass der ausgewählte Benutzer über alle Eigenschaften verfügt, die den erforderlichen Attributen des Schemas zugeordnet werden.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
- Wählen Sie die Anwendung Lokale ECMA-App aus.
- Wählen Sie links unter Verwalten die Option Benutzer und Gruppen aus.
- Wählen Sie Benutzer/Gruppe hinzufügen aus.
- Wählen Sie unter Benutzer die Option Keine Elemente ausgewählt aus.
- Wählen Sie auf der rechten Seite Benutzer und dann die Schaltfläche Auswählen aus.
- Wählen Sie nun Zuweisen aus.
Testen der Bereitstellung
Nachdem nun Ihre Attribute zugeordnet und die Benutzer zugewiesen sind, können Sie die bedarfsorientierte Bereitstellung mit einem Ihrer Benutzer testen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
- Wählen Sie die Anwendung Lokale ECMA-App aus.
- Wählen Sie Bereitstellung aus.
- Klicken Sie auf Bei Bedarf bereitstellen.
- Suchen Sie nach einem Ihrer Testbenutzer, und wählen Sie Bereitstellen aus.
- Nach einigen Sekunden wird die Meldung Benutzer wurde erfolgreich im Zielsystem erstellt mit einer Liste der Benutzerattribute angezeigt.
Benutzerbereitstellung starten
- Nachdem die bedarfsorientierte Bereitstellung erfolgreich war, wechseln Sie zurück zur Konfigurationsseite der Bereitstellung. Stellen Sie sicher, dass der Bereich nur auf zugewiesene Benutzer und Gruppen festgelegt ist, aktivieren Sie die Bereitstellung (On), und wählen Sie Speichern aus.
- Warten Sie einige Minuten, bis die Bereitstellung gestartet wurde. Dies kann bis zu 40 Minuten dauern. Wenn Sie nach Abschluss des Bereitstellungsauftrags (wie im nächsten Abschnitt beschrieben) auch Ihre Tests abgeschlossen haben, können Sie den Bereitstellungsstatus in Aus ändern und Speichern auswählen. Durch diese Aktion wird der Bereitstellungsdienst in Zukunft nicht mehr ausgeführt.