Подготовка с помощью соединителя веб-служб

В следующей документации содержатся сведения о соединителе универсальных веб-служб. Управление идентификацией Microsoft Entra поддерживает учетные записи подготовки в различных приложениях, таких как SAP ECC, Oracle eBusiness Suite и бизнес-приложения, предоставляющие ИНТЕРФЕЙСы REST или SOAP API. Клиенты, которые ранее развернули MIM для подключения к этим приложениям, могут легко переключаться на использование упрощенного агента подготовки Microsoft Entra, а также повторно использовать тот же соединитель веб-служб, созданный для MIM.

Поддерживаемые возможности

  • Создайте пользователей в приложении.
  • Удалите пользователей в приложении, когда им больше не нужен доступ.
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и приложением.
  • Узнайте схему для приложения.

Соединитель веб-служб реализует следующие функции:

  • Обнаружение SOAP: позволяет администратору ввести путь WSDL, предоставляемый целевой веб-службой. Обнаружение создает дерево структуры размещенных веб-служб приложения с внутренними конечными точками или операциями вместе с описанием метаданных операции. Количество операций обнаружения, которые можно выполнить (пошаговые действия) не ограничено. Обнаруженные операции используются позже для настройки потока операций, реализующих операции соединителя с источником данных (как импорт и экспорт).

  • Обнаружение REST: позволяет администратору вводить сведения о службе REST, включая конечную точку службы, путь к ресурсу, метод и сведения о параметрах. Сведения о службах wsconfig REST будут храниться в discovery.xml файле проекта. Они будут использоваться администратором позже для настройки действия веб-службы Rest в рабочем процессе.

  • Конфигурация схемы: позволяет администратору настроить схему. Конфигурация схемы будет содержать список типов объектов и атрибутов для конкретного приложения. Администратор может выбрать атрибуты, которые будут частью схемы.

  • Конфигурация потока операций: пользовательский интерфейс конструктора рабочих процессов для настройки реализации операций импорта и экспорта для каждого типа объекта с помощью предоставляемых функций веб-службы, включая назначение параметров от пользователя, подготавливаемого к функциям веб-службы.

Предварительные требования для подготовки

Предварительные требования для локальной среды

Компьютер, на котором запущен агент подготовки, должен иметь следующее:

  • Подключение тивность конечных точек REST или SOAP приложения, а также исходящих подключений к login.microsoftonline.com, другим веб-службам Майкрософт и доменам Azure. Примером может служить компьютер виртуальной машины под управлением ОС Windows Server 2016, размещенный в Azure IaaS или за прокси-сервером.
  • По крайней мере 3 ГБ ОЗУ для размещения агента подготовки.
  • .NET Framework 4.7.2.
  • Windows Server 2016 или более поздней версии.

Перед настройкой подготовки убедитесь, что вы:

  • Предоставьте необходимые API SOAP или REST в приложении для создания, обновления и удаления пользователей.

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5).

    Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

  • Роль Администратора гибридных удостоверений для настройки агента подготовки и роль Администратора приложения или Администратора облачного приложения для настройки подготовки на портале Azure.

  • Пользователи Microsoft Entra, которые должны быть подготовлены для приложения, должны быть заполнены любыми атрибутами, которые будут необходимы вашему приложению.

Установка и настройка агента подготовки Microsoft Entra Подключение

  1. Войдите на портал Azure.
  2. Перейдите в корпоративные приложения и выберите "Создать приложение".
  3. Найдите локальное приложение ECMA , присвойте приложению имя и нажмите кнопку "Создать ", чтобы добавить его в клиент.
  4. В меню перейдите на страницу подготовки приложения.
  5. Выберите Приступая к работе.
  6. На странице Подготовка измените режим на автоматический.

Снимок экрана: выбор автоматического.

  1. В разделе "Локальная Подключение тивность" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

  2. Оставьте портал и запустите установщик агента подготовки, примите условия обслуживания и выберите " Установить".

  3. Дождитесь мастера настройки агента подготовки Microsoft Entra, а затем нажмите кнопку "Далее".

  4. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".

  5. Агент подготовки будет использовать веб-браузер операционной системы для отображения всплывающего окна для проверки подлинности в идентификаторе Microsoft Entra, а также поставщика удостоверений вашей организации. Если вы используете Интернет Обозреватель в качестве браузера в Windows Server, возможно, потребуется добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы позволить JavaScript работать правильно.

  6. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется по крайней мере роль гибридного удостоверения Администратор istrator.

  7. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать " Выйти", а также закрыть установщик пакета агента подготовки.

Настройка локального приложения ECMA

  1. На портале в разделе "Локальная Подключение тивность" выберите развернутый агент и выберите "Назначить агенты".

    Снимок экрана: выбор и назначение агента.

  2. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

Настройка сертификата узла Подключение узла Microsoft Entra ECMA

  1. На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши мастер настройки Microsoft ECMA2Host в меню "Пуск" и запустите от имени администратора. Запуск от имени администратора Windows необходим для создания необходимых журналов событий Windows.

  2. После запуска конфигурации узла ECMA Подключение or, если вы впервые запустите мастер, попросите создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически созданный сертификат будет самозаверяющим как часть доверенного корневого сертификата. Сертификат SAN соответствует имени узла.

    Снимок экрана: настройка параметров.

  3. Выберите Сохранить.

Создание шаблона соединителя веб-служб

Перед созданием конфигурации соединителя веб-служб необходимо создать шаблон соединителя веб-служб и настроить шаблон в соответствии с потребностями конкретной среды. Убедитесь, что имя_службы, endpointName и имя_операции правильно.

Примеры шаблонов и инструкций по интеграции с популярными приложениями, такими как SAP ECC 7.0 и Oracle eBusiness Suite, можно найти в пакете скачивания соединителей. Вы можете узнать, как создать проект для источника данных в средстве настройки веб-службы с помощью руководства по рабочему процессу для SOAP.

Дополнительные сведения о настройке шаблона для подключения к REST или SOAP API собственного приложения см. в разделе "Обзор универсального соединителя веб-службы" в библиотеке документации MIM.

Настройка соединителя универсальных веб-служб

В этом разделе вы создадите конфигурацию соединителя для приложения.

Подключение агент подготовки в приложение

Чтобы подключить агент подготовки Microsoft Entra к приложению, выполните следующие действия.

  1. Скопируйте файл шаблона соединителя .wsconfig веб-службы в папку C:\Program Files\Microsoft ECMA2Host\Service\ECMA .

  2. Создайте секретный маркер, который будет использоваться для проверки подлинности идентификатора Microsoft Entra в соединителе. Для каждого приложения должно быть 12 символов и уникальных.

  3. Если этого еще не сделано, запустите мастер настройки Microsoft ECMA2Host из меню Windows.

  4. Выберите Новый соединитель.

    Снимок экрана: выбор нового соединителя.

  5. На странице Свойства заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: ввод значений свойств.

    Свойство Значение
    Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде.
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите секретный маркер, созданный для этого соединителя. Ключ должен быть не менее 12 символов.
    Библиотека DLL расширения Для соединителя веб-служб выберите Microsoft.IdentityManagement.MA.WebServices.dll.
  6. На странице Подключение заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Description
    Проект веб-службы Имя шаблона веб-служб.
    Хост Имя узла конечной точки SOAP приложения, например vhcalnplci.dummy.nodomain
    Порт Порт конечной точки SOAP приложения, например 8000
  7. На странице "Возможности" введите поля со значениями, указанными в таблице ниже, и нажмите кнопку "Далее".

    Свойство Значение
    Стиль различающегося имени Универсальный
    Тип экспорта ObjectReplace
    Нормализация данных нет
    Подтверждение объекта Обычная
    Включить импорт Флажок установлен
    Включение разностного импорта Флажок снят
    Включить экспорт Флажок установлен
    Включить полный экспорт Флажок снят
    Включение экспорта пароля в первом проходе Флажок установлен
    Нет ссылочных значений в первом проходе экспорта Флажок снят
    Включить переименование объекта Флажок снят
    Delete-Add as Replace Флажок снят

Примечание.

Если шаблон соединителя веб-служб открыт для редактирования в средстве настройки веб-службы, появится сообщение об ошибке.

  1. На глобальной странице заполните поля и нажмите кнопку "Далее".

  2. На странице Секции нажмите кнопку Далее.

  3. На странице Профили запуска оставьте флажок Экспорт. Установите флажок Полный импорт и нажмите кнопку Далее. Профиль выполнения экспорта будет использоваться, когда узел ECMA Подключение or должен отправлять изменения из идентификатора Microsoft Entra в приложение для вставки, обновления и удаления записей. Профиль выполнения полного импорта будет использоваться при запуске службы узла ECMA Подключение or, чтобы прочитать текущее содержимое приложения.

    Свойство Значение
    Экспорт (Export) Профиль запуска, который будет экспортировать данные в приложение, требуется этот профиль выполнения.
    Полный импорт Запустите профиль, который импортирует все данные из приложения.
    Импорт изменений Запустите профиль, который импортирует только изменения из приложения с момента последнего полного или разностного импорта.
  4. Заполните поля на странице Типы объектов и нажмите кнопку Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    • Привязка : значения этого атрибута должны быть уникальными для каждого объекта в целевой системе. Служба подготовки Microsoft Entra запрашивает узел соединителя ECMA с помощью этого атрибута после начального цикла. Это значение определяется в шаблоне соединителя веб-служб.

    • DN : параметр автогенерации должен быть выбран в большинстве случаев. Если он не выбран, убедитесь, что атрибут DN сопоставляется с атрибутом в идентификаторе Microsoft Entra, который хранит DN в этом формате: CN = anchorValue, Object = objectType. Дополнительные сведения о привязках и различающихся именах см. здесь.

      Свойство Значение
      Целевой объект User
      Привязка userName
      DN userName
      Созданный автоматически Флажок установлен
  5. Узел соединителя ECMA обнаруживает атрибуты, поддерживаемые приложением. Затем можно выбрать, какие из обнаруженных атрибутов вы хотите предоставить идентификатору Microsoft Entra. Затем эти атрибуты можно настроить на портале Azure для подготовки. На странице Выбор атрибутов поочередно добавьте все атрибуты из раскрывающегося списка. В раскрывающемся списке атрибутов отображается любой атрибут, обнаруженный в приложении и не выбранный на предыдущей странице выбора атрибутов . После добавления всех соответствующих атрибутов нажмите кнопку Далее.

    Снимок экрана: страница выбора атрибутов

  6. На странице Отзыв в разделе Отключить потоквыберите Удалить. Атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице отзыва. Нажмите Готово.

Примечание.

Если вы используете значение атрибута Set, следует учитывать, что разрешены только логические значения.

На странице "Отмена подготовки" в разделе "Отключить поток" выберите "Нет", если вы будете контролировать состояние учетной записи пользователя с помощью свойства, например expirationTime. В разделе "Удаление" выберите "Нет", если вы не хотите удалять пользователей из приложения или удалить, если это сделать. Выберите Готово.

Проверка работы службы ECMA2Host

  1. На сервере, на котором запущен узел Подключение or Host microsoft Entra ECMA, нажмите кнопку "Пуск".

  2. Введите run, а потом введите в поле services.msc.

  3. Убедитесь, что Microsoft ECMA2Host отображается в списке служб и она запущена. В противном случае нажмите Start (Запустить).

    Снимок экрана c запущенной службой.

  4. Если вы недавно запустили службу и имеете много объектов пользователей в приложении, подождите несколько минут, пока соединитель установит соединение с приложением и выполните первоначальный полный импорт.

Настройка подключения к приложению на портале Azure

  1. Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

    Примечание.

    Если истекло время ожидания окна, выберите агент повторно.

    1. Войдите на портал Azure.
    2. Перейдите в раздел Корпоративные приложения и выберите локальное приложение ECMA.
    3. Выберите Подготовка.
    4. Выберите "Начать работу", а затем измените режим "Автоматически" в разделе "Локальная Подключение тивность", выберите развернутый агент и выберите "Назначить агенты". Если окно не появится, перейдите к разделу Изменение подготовки.
  2. Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените фрагмент {connectorName} именем соединителя в узле соединителя ECMA. Имя соединителя учитывает регистр и должно быть таким же, как и в мастере. Вы также можете заменить localhost имя узла компьютера.

    Свойство Значение
    URL-адрес клиента https://localhost:8585/ecma2host_APP1/scim
  3. Введите значение секретного токена, которое вы определили при создании соединителя.

    Примечание.

    Если вы назначили агент для приложения только что, подождите 10 минут, пока не завершится регистрация. Проверку подключения можно произвести только после завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите Службу агента подготовки Microsoft Entra Подключение, щелкните правой кнопкой мыши службу и перезапустите ее.

  4. Нажмите Проверить соединение и подождите одну минуту.

  5. После успешного тестирования подключения и указывает, что предоставленные учетные данные разрешены для включения подготовки, нажмите кнопку "Сохранить".

    Снимок экрана, тестирование агента

Настройка сопоставлений атрибутов

Теперь вы будете сопоставлять атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в приложении.

Вы будете использовать портал Azure для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Убедитесь, что схема Microsoft Entra содержит атрибуты, необходимые приложению. Если требуется, чтобы у пользователей был атрибут, и этот атрибут еще не является частью схемы Microsoft Entra для пользователя, необходимо использовать функцию расширения каталога для добавления этого атрибута в качестве расширения.

  2. В Центре администрирования Microsoft Entra в разделе "Корпоративные приложения" выберите локальное приложение приложения ECMA, а затем страницу подготовки .

  3. Выберите Изменить подготовку и подождите 10 секунд.

  4. Разверните сопоставления и выберите "Подготовка пользователей Microsoft Entra". Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, для заполнителя будет только одно сопоставление.

    Снимок экрана: подготовка пользователя.

  5. Чтобы убедиться, что схема приложения доступна в идентификаторе Microsoft Entra, выберите пункт "Показать расширенные параметры" проверка box и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, а затем отмените с этой страницы, чтобы вернуться в список сопоставлений.

  6. Теперь щелкните сопоставление userPrincipalName PLACEHOLDER. Это сопоставление добавляется по умолчанию при первой настройке локальной подготовки.

Снимок экрана: заполнитель.

Измените значение, соответствующее следующему:

Тип сопоставления Атрибут источника Целевой атрибут
Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName
  1. Теперь выберите " Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

  2. Укажите исходные и целевые атрибуты для каждого из необходимых атрибутов приложения. Например,

    Атрибут Microsoft Entra Атрибут ScimOnPremises Приоритет сопоставления Применять это сопоставление
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Только во время создания объекта
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Только во время создания объекта
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Всегда
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Всегда
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Всегда
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Всегда
    Switch([IsSoftDeleted], "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Всегда
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Всегда
    surname; urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Всегда
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Всегда
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Всегда
  3. После добавления всех сопоставлений нажмите кнопку Сохранить.

Назначение пользователей для приложения

Теперь, когда у вас есть узел microsoft Entra ECMA Подключение or, говорящий с идентификатором Microsoft Entra ID, и сопоставление атрибутов, можно перейти к настройке, которая находится в область для подготовки.

Внимание

Если вы вошли с помощью роли гибридного удостоверения Администратор istrator, необходимо выйти и войти с учетной записью, которая имеет по крайней мере роль приложения Администратор istrator для этого раздела. Роль гибридного удостоверения Администратор istrator не имеет разрешений на назначение пользователей приложениям.

Если в приложении есть существующие пользователи, необходимо создать назначения ролей приложения для существующих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом режиме, см. в разделе управления существующими пользователями приложения в идентификаторе Microsoft Entra.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что выбранный пользователь будет иметь все свойства, которые будут сопоставлены с необходимыми атрибутами приложения.

  2. На портале Azure выберите элемент Корпоративные приложения.

  3. Выберите вариант Локальное приложение ECMA.

  4. В левой части экрана последовательно выберите Управление и Пользователи и группы.

  5. Выберите Добавить пользователя или группу.

    Снимок экрана: добавление пользователя.

  6. В меню Пользователи нажмите Не выбрано.

    Снимок экрана: пункт

  7. Выберите нужных пользователей справа и нажмите кнопку Выбрать.

    Снимок экрана: выбор пользователей

  8. Теперь нажмите Назначить.

    Снимок экрана: назначение пользователей.

Тестирование подготовки

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. На портале Azure выберите элемент Корпоративные приложения.

  2. Выберите вариант Локальное приложение ECMA.

  3. В левой части экрана выберите элемент Подготовка.

  4. Выберите Подготовка по требованию.

  5. Найдите одного из тестовых пользователей и выберите Подготовить.

    Снимок экрана: проверка подготовки.

  6. Через несколько секунд появится сообщение Пользователь в целевой системе создан со списком атрибутов пользователя.

Начало подготовки пользователей

  1. После успешной подготовки по запросу вернитесь на страницу конфигурации подготовки. Убедитесь, что в качестве области выбраны только назначенные пользователи и группы, активируйте подготовку и нажмите кнопку Сохранить.

    Снимок экрана: начало подготовки.

  2. Дождитесь запуска службы подготовки до 40 минут. После завершения задания подготовки, как описано в следующем разделе, вы можете изменить состояние подготовки на "Выкл." и нажмите кнопку "Сохранить". После этого служба подготовки перестанет запускаться.

Устранение ошибок подготовки

Если отображается сообщение об ошибке, выберите команду Просмотреть журналы подготовки. Найдите в журнале строку, в которой находится состояние сбоя, и выберите ее.

Дополнительные сведения см. на вкладке "Устранение неполадок и Рекомендации".

Следующие шаги