Microsoft Identity Manager-anslutningsprogram för Microsoft Graph

  • Artikel

Sammanfattning

Microsoft Identity Manager-anslutningsappen för Microsoft Graph möjliggör ytterligare integreringsscenarier för Microsoft Entra ID P1- eller P2-kunder. Den visas i MIM-synkroniseringens metaversum ytterligare objekt som hämtats från Microsoft Graph API v1 och beta.

Scenarier som omfattas

Livscykelhantering för B2B-konto

Det första scenariot för Microsoft Identity Manager-anslutningsappen för Microsoft Graph är som en anslutningsapp för att automatisera livscykelhanteringen för AD DS-konton för externa användare. I det här scenariot synkroniserar en organisation anställda för att Microsoft Entra ID från AD DS med hjälp av Microsoft Entra Connect och har även bjudit in gäster till deras Microsoft Entra katalog. Att bjuda in en gäst resulterar i att ett externt användarobjekt finns i organisationens Microsoft Entra katalog, som inte finns i organisationens AD DS. Sedan vill organisationen ge dessa gäster åtkomst till lokal Windows-integrerad autentisering eller Kerberos-baserade program, via Microsoft Entra programproxy eller andra gatewaymekanismer. Den Microsoft Entra programproxyn kräver att varje användare har ett eget AD DS-konto i identifierings- och delegeringssyfte.

Om du vill lära dig hur du konfigurerar MIM-synkronisering för att automatiskt skapa och underhålla AD DS-konton för gäster fortsätter du att läsa i artikeln Microsoft Entra B2B-samarbete (business-to-business) med MIM 2016 och Microsoft Entra programproxy. Den här artikeln illustrerar de synkroniseringsregler som behövs för anslutningsappen.

Andra scenarier för identitetshantering

Anslutningsappen kan användas för andra specifika scenarier för identitetshantering som omfattar att skapa, läsa, uppdatera och ta bort användar-, grupp- och kontaktobjekt i Microsoft Entra ID, utöver användar- och gruppsynkronisering till Microsoft Entra ID. När du utvärderar potentiella scenarier bör du tänka på följande: Den här anslutningsappen kan inte användas i ett scenario, vilket skulle resultera i överlappande dataflöden, faktisk eller potentiell synkroniseringskonflikt med en Microsoft Entra Connect-distribution. Microsoft Entra Connect är den rekommenderade metoden för att integrera lokala kataloger med Microsoft Entra ID genom att synkronisera användare och grupper från lokala kataloger till Microsoft Entra ID. Microsoft Entra Connect har många fler synkroniseringsfunktioner och möjliggör scenarier som lösenord och tillbakaskrivning av enheter, vilket inte är möjligt för objekt som skapats av MIM. Om data till exempel tas med i AD DS ser du till att de undantas från Microsoft Entra Connect som försöker matcha objekten tillbaka till Microsoft Entra-katalogen. Den här anslutningsappen kan inte heller användas för att göra ändringar i Microsoft Entra objekt som skapades av Microsoft Entra Connect.

Förbereder användning av anslutningsappen för Microsoft Graph

Auktorisera anslutningsappen för att hämta eller hantera objekt i din Microsoft Entra katalog

  1. Anslutningsappen kräver att en webbapp/API-app skapas i Microsoft Entra ID, så att den kan auktoriseras med lämpliga behörigheter för att fungera på Microsoft Entra objekt via Microsoft Graph.

    Bild av knappen Ny programregistrering Bild av programregistrering

    Bild 1. Ny programregistrering

  2. Öppna det skapade programmet i Azure Portal och spara program-ID:t som ett klient-ID som ska användas senare på ma-anslutningssidan:

    Bild av programregistreringsinformation

    Bild 2. Program-ID:t

  3. Generera ny klienthemlighet genom att öppna certifikat & hemligheter. Ange en nyckelbeskrivning och välj den maximala varaktigheten. Spara ändringar och hämta klienthemligheten. Klienthemlighetsvärdet är inte tillgängligt att visa igen när du har lämnat sidan.

    Bild av knappen Lägg till ny hemlighet

    Bild 3. Ny klienthemlighet

  4. Bevilja rätt Microsoft Graph-behörigheter till programmet genom att öppna "API-behörigheter"

    Bild av knappen Lägg till behörigheter Bild 4. Lägga till ett nytt API

    Välj Programbehörigheter för Microsoft Graph. Bild av programbehörigheter

    Återkalla alla behörigheter som inte behövs.

    Bild av programbehörigheter som inte har beviljats

    Följande behörighet bör läggas till i programmet så att den kan använda "Microsoft Graph API", beroende på scenariot:

    Åtgärd med objekt Behörighet krävs Behörighetstyp
    Schemaidentifiering Application.Read.All Program
    Importera grupp Group.Read.All eller Group.ReadWrite.All Program
    Importera användare User.Read.All, User.ReadWrite.Alleller Directory.Read.AllDirectory.ReadWrite.All Program

    Mer information om nödvändiga behörigheter finns i behörighetsreferensen.

Anteckning

Application.Read.All-behörigheten är obligatorisk för schemaidentifiering och måste beviljas oavsett vilken objekttyp som anslutningsappen fungerar med.

  1. Bevilja administratörsmedgivande för valda behörigheter. Bild av beviljat administratörsmedgivande

Installera anslutningsappen

  1. Innan du installerar anslutningsappen kontrollerar du att du har följande på synkroniseringsservern:
  • Microsoft .NET 4.6.2 Framework eller senare
  • Microsoft Identity Manager 2016 SP2 och måste använda snabbkorrigering 4.4.1642.0 KB4021562 eller senare.

  1. Anslutningsappen för Microsoft Graph, förutom andra anslutningsappar för Microsoft Identity Manager 2016 SP2, är tillgänglig som en nedladdning från Microsoft Download Center.

  2. Starta om MIM-synkroniseringstjänsten.

Konfiguration av anslutningsapp

  1. I användargränssnittet för synkronisering Service Manager väljer du Anslutningsappar och Skapa. Välj Graph (Microsoft), skapa en anslutningsapp och ge den ett beskrivande namn.

Avbildning av ny anslutningsapp

  1. I användargränssnittet för MIM-synkroniseringstjänsten anger du program-ID och genererad klienthemlighet. Varje hanteringsagent som konfigurerats i MIM Sync bör ha ett eget program i Microsoft Entra ID för att undvika att köra import parallellt för samma program.

Bild av anslutningsinställningar med anslutningsinformation

Bild 5. Anslutningssida

Anslutningssidan (bild 5) innehåller den Graph API version som används och klientorganisationens namn. Klient-ID och klienthemlighet representerar program-ID och nyckelvärde för programmet som skapades tidigare i Microsoft Entra ID.

Anslutningsappen är som standard v1.0 och inloggnings- och grafslutpunkterna för den globala Microsoft Graph-tjänsten. Om din klientorganisation finns i ett nationellt moln måste du ändra konfigurationen för att använda slutpunkterna för det nationella molnet. Observera att vissa funktioner i Graph som finns i den globala tjänsten kanske inte är tillgängliga i alla nationella moln.

  1. Gör nödvändiga ändringar på sidan Globala parametrar:

Sidbild för globala parametrar

Bild 6. Sidan Globala parametrar

Sidan Globala parametrar innehåller följande inställningar:

  • DateTime-format – format som används för alla attribut med typen Edm.DateTimeOffset. Alla datum konverteras till sträng med det formatet under importen. Ange format används för alla attribut, vilket sparar datum.

  • HTTP-timeout (sekunder) – tidsgräns i sekunder som ska användas under varje HTTP-anrop till Graph.

  • Framtvinga ändringslösenord för den skapade användaren vid nästa tecken – det här alternativet används för nya användare som skapas under exporten. Om alternativet är aktiverat anges egenskapen forceChangePasswordNextSignIn till true, annars är det falskt.

Konfigurera anslutningsprogrammets schema och åtgärder

  1. Konfigurera schemat. Anslutningsappen stöder följande lista över objekttyper när den används med Graph v1.0-slutpunkten:

  • Användare

    • Fullständig/deltaimport

    • Exportera (lägg till, uppdatera, ta bort)

  • Group

    • Fullständig/deltaimport

    • Exportera (lägg till, uppdatera, ta bort)

Ytterligare objekttyper kan visas när du konfigurerar anslutningsappen så att den använder Graph Beta-slutpunkten.

Listan över attributtyper som stöds:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (sträng i kopplingsutrymme)

  • microsoft.graph.directoryObject (referens i anslutningsplatsen till något av de objekt som stöds)

  • microsoft.graph.contact

Flervärdesattribut (samling) stöds också för alla typer i listan ovan.

Anslutningsappen använder attributet "id" för fästpunkt och DN för alla objekt. Därför behövs inte namnbyte eftersom Graph API inte tillåter att ett objekt ändrar dess id attribut.

Livslängd för åtkomsttoken

Ett Graph-program kräver en åtkomsttoken för åtkomst till Graph API. En anslutningsapp begär en ny åtkomsttoken för varje importiteration (importiterationen beror på sidstorleken). Exempel:

  • Microsoft Entra ID innehåller 10 000 objekt

  • Sidstorleken som konfigurerats i anslutningsappen är 5 000

I det här fallet kommer det att finnas två iterationer under importen. Var och en av dem returnerar 5 000 objekt till Sync. Därför kommer en ny åtkomsttoken att begäras två gånger.

Under exporten begärs en ny åtkomsttoken för varje objekt som måste läggas till/uppdateras/tas bort.

Frågefilter

Graph API slutpunkter ger dig möjlighet att begränsa mängden objekt som returneras av GET-frågor genom att introducera $filter parameter.

Om du vill aktivera användning av frågefilter för att förbättra prestandacykeln för fullständig import aktiverar du kryssrutan Lägg till objektfilter på sidan Schema 1 för anslutningsegenskaper.

Inställningssidan för anslutningsappen en bild med kryssrutan Lägg till objektfilter markerad

Därefter skriver du ett uttryck som ska användas för att filtrera användare, grupper, kontakter eller tjänstens huvudnamn på sidan Schema 2 .

Sidan för anslutningsinställningar med ett exempelfilter startsWith(displayName,'J')

På skärmbilden ovan är filtret startsWith(displayName,'J') inställt på skrivskyddade användare vars displayName-attributvärde börjar med "J".

Kontrollera att attributet som används i filteruttrycket är markerat i egenskaper för anslutningsappen.

Sidbild för anslutningsappinställningar med ett displayName-attribut valt

Mer information om $filter användning av frågeparametrar finns i den här artikeln: Använda frågeparametrar för att anpassa svar.

Anteckning

Delta-frågeslutpunkten erbjuder för närvarande inte filtreringsfunktioner, därför är användningen av filter begränsad till fullständig import. du får ett felmeddelande när du försöker starta deltaimportkörningen med frågefilter aktiverade.

Felsökning

Aktivera loggar

Om det finns några problem i Graph kan loggar användas för att lokalisera problemet. Det innebär att spårningar kan aktiveras på samma sätt som för allmänna anslutningsappar. Eller bara genom att lägga till följande i miiserver.exe.config (inuti system.diagnostics/sources avsnittet):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Anteckning

Om "Kör den här hanteringsagenten i en separat process" är aktiverad dllhost.exe.config ska den användas i stället för miiserver.exe.config.

Fel om att åtkomsttoken har upphört att gälla

Anslutningsappen kan returnera HTTP-fel 401 Obehörig, meddelandet "Åtkomsttoken har upphört att gälla":

Bild av felinformation

Bild 7. "Åtkomsttoken har upphört att gälla." Fel

Orsaken till det här problemet kan vara konfigurationen av åtkomsttokens livslängd från Azure-sidan. Som standard upphör åtkomsttoken att gälla efter 1 timme. Information om hur du ökar förfallotiden finns i den här artikeln.

Exempel på detta med Azure AD version av den allmänt tillgängliga förhandsversionen av PowerShell-modulen

Bild av livslängd för acces-token

New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Nästa steg