łącznik Microsoft Identity Manager dla programu Microsoft Graph
Podsumowanie
Łącznik Microsoft Identity Manager dla programu Microsoft Graph umożliwia obsługę dodatkowych scenariuszy integracji dla klientów Tożsamość Microsoft Entra P1 lub P2. Ma on powierzchnię w metawersie synchronizacji programu MIM dodatkowych obiektów uzyskanych z platformy Microsoft interfejs Graph API v1 i beta.
Omówione scenariusze
Zarządzanie cyklem życia konta B2B
Początkowy scenariusz łącznika Microsoft Identity Manager dla programu Microsoft Graph jest łącznikiem umożliwiającym automatyzowanie zarządzania cyklem życia kont usług AD DS dla użytkowników zewnętrznych. W tym scenariuszu organizacja synchronizuje pracowników w celu Tożsamość Microsoft Entra z usług AD DS przy użyciu programu Microsoft Entra Connect, a także zaprosiła gości do katalogu Microsoft Entra. Zaproszenie gościa powoduje, że obiekt użytkownika zewnętrznego znajduje się w katalogu Microsoft Entra tej organizacji, który nie znajduje się w usługach AD DS tej organizacji. Następnie organizacja chce przyznać tym gościom dostęp do lokalnych uwierzytelniania zintegrowanego systemu Windows lub aplikacji opartych na protokole Kerberos za pośrednictwem serwera proxy aplikacji Microsoft Entra lub innych mechanizmów bramy. Serwer proxy aplikacji Microsoft Entra wymaga, aby każdy użytkownik miał własne konto usług AD DS do celów identyfikacji i delegowania.
Aby dowiedzieć się, jak skonfigurować synchronizację programu MIM w celu automatycznego tworzenia i obsługi kont usług AD DS dla gości, po zapoznaniu się z instrukcjami w tym artykule, przeczytaj artykuł Microsoft Entra współpracy biznesowej (B2B) z programem MIM 2016 i serwerem proxy aplikacji Microsoft Entra. W tym artykule przedstawiono reguły synchronizacji wymagane dla łącznika.
Inne scenariusze zarządzania tożsamościami
Łącznik może służyć do innych konkretnych scenariuszy zarządzania tożsamościami obejmujących tworzenie, odczytywanie, aktualizowanie i usuwanie obiektów użytkowników, grup i kontaktów w Tożsamość Microsoft Entra, poza synchronizacją użytkowników i grup w celu Tożsamość Microsoft Entra. Podczas oceniania potencjalnych scenariuszy należy pamiętać: ten łącznik nie może być obsługiwany w scenariuszu, co spowodowałoby nakładanie się przepływu danych, rzeczywistego lub potencjalnego konfliktu synchronizacji z wdrożeniem programu Microsoft Entra Connect. Microsoft Entra Connect to zalecane podejście do integracji katalogów lokalnych z Tożsamość Microsoft Entra przez synchronizowanie użytkowników i grup z katalogów lokalnych do Tożsamość Microsoft Entra. Microsoft Entra Connect ma wiele innych funkcji synchronizacji i umożliwia scenariusze, takie jak zapisywanie zwrotne haseł i urządzeń, które nie są możliwe dla obiektów utworzonych przez program MIM. Jeśli na przykład dane są wprowadzane do usług AD DS, upewnij się, że są one wykluczone z Microsoft Entra Connect próbując dopasować te obiekty do katalogu Microsoft Entra. Nie można też użyć tego łącznika do wprowadzania zmian w obiektach Microsoft Entra, które zostały utworzone przez program Microsoft Entra Connect.
Przygotowywanie do korzystania z łącznika dla programu Microsoft Graph
Autoryzowanie łącznika w celu pobierania obiektów w katalogu Microsoft Entra lub zarządzania nimi
Łącznik wymaga utworzenia aplikacji internetowej/aplikacji interfejsu API w Tożsamość Microsoft Entra, aby można było autoryzować ją z odpowiednimi uprawnieniami do działania na obiektach Microsoft Entra za pośrednictwem programu Microsoft Graph.
Obraz 1. Rejestrowanie nowej aplikacji
W Azure Portal otwórz utworzoną aplikację i zapisz identyfikator aplikacji jako identyfikator klienta, który będzie używany później na stronie łączności ma:
Obraz 2. Identyfikator aplikacji
Wygeneruj nowy klucz tajny klienta, otwierając pozycję Certyfikaty & wpisy tajne. Ustaw opis klucza i wybierz maksymalny czas trwania. Zapisz zmiany i pobierz klucz tajny klienta. Wartość wpisu tajnego klienta nie będzie dostępna do ponownego wyświetlenia po opuszczeniu strony.
Obraz 3. Nowy klucz tajny klienta
Udziel odpowiednich uprawnień "Microsoft Graph" aplikacji, otwierając pozycję "Uprawnienia interfejsu API"
Obraz 4. Dodawanie nowego interfejsu API
Wybierz pozycję "Microsoft Graph" Uprawnienia aplikacji.
Odwoływanie wszystkich niepotrzebnych uprawnień.
Następujące uprawnienie należy dodać do aplikacji, aby umożliwić jej używanie "Microsoft interfejs Graph API", w zależności od scenariusza:
Operacja z obiektem Wymagane uprawnienia Typ uprawnienia Wykrywanie schematu Application.Read.All
Aplikacja Importowanie grupy Group.Read.All
lubGroup.ReadWrite.All
Aplikacja Importowanie użytkownika User.Read.All
,User.ReadWrite.All
lubDirectory.Read.All
Directory.ReadWrite.All
Aplikacja Więcej szczegółowych informacji na temat wymaganych uprawnień można znaleźć w dokumentacji dotyczącej uprawnień.
Uwaga
Uprawnienie Application.Read.All jest obowiązkowe do wykrywania schematu i musi zostać przyznane niezależnie od łącznika typu obiektu.
- Udziel zgody administratora dla wybranych uprawnień.
Instalowanie łącznika
- Przed zainstalowaniem łącznika upewnij się, że na serwerze synchronizacji są następujące elementy:
- Microsoft .NET 4.6.2 Framework lub nowszy
- Microsoft Identity Manager 2016 SP2 i musi używać poprawki 4.4.1642.0 KB4021562 lub nowszej.
Łącznik programu Microsoft Graph, oprócz innych łączników dla programu Microsoft Identity Manager 2016 SP2, jest dostępny jako pobieranie z Centrum pobierania Microsoft.
Uruchom ponownie usługę synchronizacji programu MIM.
Konfiguracja łącznika
- W interfejsie użytkownika synchronizacji Service Manager wybierz pozycję Łączniki i Utwórz. Wybierz pozycję Graph (Microsoft), utwórz łącznik i nadaj mu opisową nazwę.
- W interfejsie użytkownika usługi synchronizacji programu MIM określ identyfikator aplikacji i wygenerowany klucz tajny klienta. Każdy agent zarządzania skonfigurowany w programie MIM Sync powinien mieć własną aplikację w Tożsamość Microsoft Entra, aby uniknąć równoległego importowania dla tej samej aplikacji.
Obraz 5. Strona łączności
Strona łączności (Obraz 5) zawiera wersję interfejs Graph API używaną i nazwę dzierżawy. Identyfikator klienta i klucz tajny klienta reprezentują wartość Identyfikator aplikacji i Klucz aplikacji, która została wcześniej utworzona w Tożsamość Microsoft Entra.
Łącznik jest domyślny dla wersji 1.0 oraz punktów końcowych logowania i grafu usługi globalnej programu Microsoft Graph. Jeśli twoja dzierżawa znajduje się w chmurze krajowej, musisz zmienić konfigurację, aby używać punktów końcowych dla chmury krajowej. Należy pamiętać, że niektóre funkcje programu Graph, które znajdują się w usłudze globalnej, mogą nie być dostępne we wszystkich chmurach krajowych.
- Wprowadź wszelkie niezbędne zmiany na stronie Parametry globalne:
Obraz 6. Strona Parametry globalne
Strona Parametrów globalnych zawiera następujące ustawienia:
Format DateTime — format używany dla dowolnego atrybutu z typem Edm.DateTimeOffset. Wszystkie daty są konwertowane na ciąg przy użyciu tego formatu podczas importowania. Ustawiony format jest stosowany dla dowolnego atrybutu, który zapisuje datę.
Limit czasu HTTP (sekundy) — limit czasu w sekundach, który będzie używany podczas każdego wywołania HTTP do programu Graph.
Wymuś zmianę hasła dla utworzonego użytkownika przy następnym znaku — ta opcja jest używana dla nowego użytkownika, który zostanie utworzony podczas eksportu. Jeśli opcja jest włączona, właściwość forceChangePasswordNextSignIn zostanie ustawiona na true, w przeciwnym razie będzie to fałsz.
Konfigurowanie schematu i operacji łącznika
- Skonfiguruj schemat. Łącznik obsługuje następującą listę typów obiektów używanych z punktem końcowym programu Graph w wersji 1.0:
Użytkownik
Importowanie pełne/różnicowe
Eksportowanie (dodawanie, aktualizowanie, usuwanie)
Group (Grupa)
Importowanie pełne/różnicowe
Eksportowanie (dodawanie, aktualizowanie, usuwanie)
Dodatkowe typy obiektów mogą być widoczne podczas konfigurowania łącznika do korzystania z punktu końcowego programu Graph w wersji beta.
Lista obsługiwanych typów atrybutów:
Edm.Boolean
Edm.String
Edm.DateTimeOffset
(ciąg w przestrzeni łącznika)microsoft.graph.directoryObject
(odwołanie w obszarze łącznika do dowolnego z obsługiwanych obiektów)microsoft.graph.contact
Atrybuty wielowartościowe (kolekcja) są również obsługiwane dla dowolnego typu z powyższej listy.
Łącznik używa atrybutu "id
" dla kotwicy i dn dla wszystkich obiektów. W związku z tym zmiana nazwy nie jest potrzebna, ponieważ interfejs Graph API nie zezwala na zmianę id
atrybutu obiektu.
Okres istnienia tokenu dostępu
Aplikacja programu Graph wymaga tokenu dostępu do uzyskiwania dostępu do interfejs Graph API. Łącznik zażąda nowego tokenu dostępu dla każdej iteracji importu (iteracja importu zależy od rozmiaru strony). Na przykład:
Tożsamość Microsoft Entra zawiera 10000 obiektów
Rozmiar strony skonfigurowany w łączniku to 5000
W takim przypadku podczas importowania będą występować dwie iteracji. Każda z nich zwróci 5000 obiektów do synchronizacji. Dlatego nowy token dostępu zostanie zażądany dwa razy.
Podczas eksportowania zostanie żądany nowy token dostępu dla każdego obiektu, który musi zostać dodany/zaktualizowany/usunięty.
Filtry zapytań
interfejs Graph API punkty końcowe oferują możliwość ograniczenia ilości obiektów zwracanych przez zapytania GET przez wprowadzenie parametru $filter.
Aby umożliwić korzystanie z filtrów zapytań w celu poprawy pełnego cyklu wydajności importowania, na stronie Schemat 1 właściwości łącznika włącz pole wyboru Dodaj filtry obiektów .
Następnie na stronie Schemat 2 wpisz wyrażenie, które ma być używane do filtrowania użytkowników, grup, kontaktów lub jednostek usługi.
Na powyższym zrzucie ekranu filtr startsWith(displayName,'J') jest ustawiony na tylko do odczytu użytkowników, których wartość atrybutu displayName zaczyna się od "J".
Upewnij się, że atrybut używany w wyrażeniu filtru jest zaznaczony we właściwościach łącznika.
Aby uzyskać więcej informacji na temat $filter użycia parametrów zapytania, zobacz ten artykuł: Dostosowywanie odpowiedzi za pomocą parametrów zapytania.
Uwaga
Punkt końcowy zapytania delty obecnie nie oferuje możliwości filtrowania, dlatego użycie filtrów jest ograniczone tylko do pełnego importu. Zostanie wyświetlony błąd podczas próby uruchomienia importowania różnicowego z włączonymi filtrami zapytań.
Rozwiązywanie problemów
Włączanie dzienników
Jeśli w programie Graph występują problemy, dzienniki mogą służyć do lokalizowania problemu. W związku z tym ślady mogą być włączone w taki sam sposób, jak w przypadku łączników ogólnych. Możesz też dodać następujące elementy do miiserver.exe.config
sekcji (wewnątrz system.diagnostics/sources
sekcji):
<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>
Uwaga
Jeśli opcja "Uruchom tego agenta zarządzania w osobnym procesie" jest włączona, dllhost.exe.config
należy użyć polecenia zamiast miiserver.exe.config
.
Błąd wygasłego tokenu dostępu
Łącznik może zwrócić błąd HTTP 401 Brak autoryzacji, komunikat "Token dostępu wygasł"."
Obraz 7. "Token dostępu wygasł". Błąd
Przyczyną tego problemu może być konfiguracja okresu istnienia tokenu dostępu po stronie platformy Azure. Domyślnie token dostępu wygasa po 1 godzinie. Aby zwiększyć czas wygaśnięcia, zobacz ten artykuł.
Przykład użycia Azure AD publicznej wersji zapoznawczej modułu programu PowerShell
New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefaultDefault $true -Type "TokenLifetimePolicy"
Następne kroki
- Eksplorator programu Graph, doskonały do rozwiązywania problemów z wywołaniem HTTP
- Przechowywanie wersji, obsługa i zasady zmiany powodujące niezgodność dla programu Microsoft Graph
- Wdrożenia chmury krajowej programu Microsoft Graph
- Pobierz łącznik Microsoft Identity Manager dlakompleksowego wdrażania programu Microsoft Graph MIM B2B