Управление внедрением пользователей в приложения с помощью PowerShell

В следующей документации содержатся сведения о конфигурации и руководстве. В нем показано, как общий соединитель PowerShell и узел соединителя Extensible Connectivity (ECMA) используются для интеграции Microsoft Entra ID с внешними системами, предлагающими API на основе Windows PowerShell.

Дополнительные сведения см. в техническом справочнике по соединителю Windows PowerShell

Предварительные требования для подготовки с помощью PowerShell

В следующих разделах описаны предварительные требования для этого руководства.

Скачивание файлов установки PowerShell

Скачайте файлы установки PowerShell из нашего репозитория GitHub. Файлы установки состоят из файла конфигурации, входного файла, файла схемы и используемых скриптов.

Предварительные требования для локальной установки

Соединитель предоставляет мост между возможностями узла соединителя ECMA и Windows PowerShell. Прежде чем использовать разъём, убедитесь, что на сервере, где развернут разъём, у вас есть следующее.

  • Windows Server 2016 или более поздней версии.
  • По крайней мере 3 ГБ ОЗУ для размещения агента подготовки.
  • .NET Framework 4.7.2.
  • Windows PowerShell 2.0, 3.0 или 4.0.
  • Подключение между сервером размещения, соединителем и целевой системой, с которыми взаимодействуют скрипты PowerShell.
  • Политика выполнения на сервере должна быть настроена, чтобы разрешить соединителю запускать скрипты Windows PowerShell. Если скрипты, выполняющиеся соединителем, не снабжены цифровой подписью, настройте политику выполнения с помощью следующей команды:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • Для развертывания этого соединителя требуется один или несколько скриптов PowerShell. Некоторые продукты Майкрософт могут предоставлять скрипты для использования с этим соединителем, а инструкция поддержки для этих скриптов будет предоставлена этим продуктом. Если вы разрабатываете собственные скрипты для использования с этим соединителем, необходимо ознакомиться с API агента управления расширяемыми подключениями для разработки и поддержания этих скриптов. Если вы интегрируете с сторонними системами с помощью собственных сценариев в рабочей среде, рекомендуется работать с сторонним поставщиком или партнером по развертыванию для получения справки, рекомендаций и поддержки этой интеграции.

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5). Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с общими доступными функциями идентификатора Microsoft Entra.
  • Роль Администратора гибридных удостоверений для настройки агента предоставления доступа и роли Администратора приложения или Администратора облачного приложения для настройки предоставления доступа в портале Azure.
  • Пользователи Microsoft Entra, которые должны быть подготовлены, уже должны быть заполнены любыми атрибутами, необходимыми схемой.

Скачайте, установите и настройте пакет агента настройки Microsoft Entra Connect

Если вы загрузили агента развертывания и настроили его для другого внутреннего приложения, перейдите к следующему разделу, чтобы продолжить.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Гибридный администратор удостоверений.
  2. Перейдите к Entra ID>Entra Connect>Синхронизация с облаком>Агенты.

Снимок экрана: новый экран пользовательского интерфейса.

  1. Выберите "Скачать локальный агент", просмотрите условия обслуживания, а затем выберите "Принять условия" и "Скачать".

    Примечание.

    Используйте разные агенты для подготовки локальных приложений и для облачной синхронизации Microsoft Entra Connect и подготовки, управляемой кадрами. Все три сценария не должны управляться одним и тем же агентом.

  2. Откройте установщик агента подготовки, примите условия использования и нажмите "Установить".

  3. Когда откроется мастер настройки агента подготовки Microsoft Entra, перейдите на вкладку "Выбор расширения " и выберите подготовку локального приложения при появлении запроса на включение расширения.

  4. Агент подготовки использует веб-браузер операционной системы для отображения всплывающего окна, в котором вам нужно пройти аутентификацию в Microsoft Entra ID и, возможно, у поставщика удостоверений вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы разрешить JavaScript работать правильно.

  5. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется иметь по крайней мере роль администратора гибридной идентификации.

  6. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать "Выйти", а также закрыть установщик агента.

Настройка локального приложения ECMA

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
  2. Перейдите к Entra ID>корпоративным приложениям.
  3. Выберите новое приложение.
  4. Найдите приложение ECMA для локальной установки, присвойте приложению имя и выберите Создать, чтобы добавить его в клиент.
  5. Перейдите на страницу конфигурирования вашего приложения.
  6. Нажмите кнопку "Начало работы".
  7. На странице подготовки измените режим на "Автоматически".
  8. В разделе Локальное подключение выберите агент, который вы только что развернули, и выберите Назначить агента(ов).
  9. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

Поместите файлы InputFile.txt и Schema.xml в соответствующие расположения.

Прежде чем создать соединитель PowerShell для этого руководства, необходимо скопировать InputFile.txt и Schema.xml файл в правильные расположения. Эти файлы необходимы для скачивания в разделе "Скачать файлы установки PowerShell".

Файлы расположение
InputFile.txt C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData
Schema.xml C:\Program Files\Microsoft ECMA2Host\Service\ECMA

Настройка сертификата узла хоста соединителя Microsoft Entra ECMA

  1. На сервере Windows Server, где установлен агент подготовки, правой кнопкой мыши щелкните мастер настройки Microsoft ECMA2Host в меню "Пуск" и запустите от имени администратора. Запуск от имени администратора Windows необходим, чтобы мастер мог создать необходимые журналы событий Windows.
  2. После запуска конфигурации узла соединителя ECMA, если вы запускаете мастер впервые, он предложит вам создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автогенерированный сертификат самозаверяется как часть доверенного корневого сертификата. Сертификат SAN соответствует имени узла.
  3. Нажмите кнопку "Сохранить".

Создание соединителя PowerShell

Общий экран

  1. Запустите мастер настройки Microsoft ECMA2Host из меню "Пуск".

  2. В верхней части выберите "Импорт " и выберите файл configuration.xml из шага 1.

  3. Новый соединитель должен быть создан и отображаться красным цветом. Выберите "Изменить".

  4. Создайте секретный маркер, используемый для проверки подлинности идентификатора Microsoft Entra в соединителе. Для каждого приложения должно быть не менее 12 символов, и они должны быть уникальными. Если у вас еще нет генератора секретов, можно использовать команду PowerShell, например следующую, чтобы создать пример случайной строки.

    -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})

  5. На странице "Свойства" все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку "Далее".

    Свойство Значение
    Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде. Например, PowerShell.
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите здесь ваш секретный токен. Он должен содержать не менее 12 знаков.
    Библиотека DLL расширения Для соединителя PowerShell выберите Microsoft.IAM.Connector.PowerShell.dll.

Снимок экрана: общий экран.

Подключение

Вкладка подключения позволяет указать параметры конфигурации для подключения к удаленной системе. Настройте вкладку подключения с информацией, предоставленной в таблице.

  • На странице подключения все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку "Далее".

Снимок экрана: экран подключения.

Параметр Значение Цель
Сервер <Бланк> Имя сервера, к которому будет подключен соединитель.
Домен <Бланк> Домен учетных данных, которые сохраняются для использования при запуске соединителя.
Пользователь <Бланк> Имя пользователя для учетных данных, которое будет хранено для использования при запуске соединителя.
Пароль <Бланк> Пароль учетных данных, который будет сохранен для использования при запуске соединителя.
Выполнять имитацию учетной записи соединителя Не отмечено Если задано значение true, служба синхронизации выполняет скрипты Windows PowerShell в контексте указанных учетных данных. По возможности рекомендуется передавать параметр $Credentials в каждом скрипте вместо использования имперсонации.
Загрузить профиль пользователя при олицетворении Не отмечено Указывает Windows загрузить профиль пользователя учетных данных соединителя при имитации. Если у олицетворенного пользователя есть перемещаемый профиль, соединитель не загружает перемещаемый профиль.
Тип входа при олицетворении нет Тип входа при олицетворении. Дополнительные сведения см. в документации dwLogonType .
Только для подписанных сценариев Не отмечено Если параметр «истина», соединитель Windows PowerShell проверяет, имеет ли каждый сценарий действительную цифровую подпись. Если значение установлено как «ложь», убедитесь, что для политики выполнения Windows PowerShell на сервере службы синхронизации установлено значение RemoteSigned или Unrestricted.
Общее имя скрипта модуля (с расширением) xADSyncPSConnectorModule.psm1 Соединитель позволяет хранить в конфигурации общий модуль Windows PowerShell. Когда соединитель запускает скрипт, он извлекает модуль Windows PowerShell в файловую систему, чтобы каждый скрипт смог импортировать его.
Общий скрипт модуля Код модуля соединителя PowerShell для синхронизации AD в качестве значения. Этот модуль будет автоматически создан ECMA2Host при запуске соединителя.
Скрипт проверки <Бланк> Сценарий проверки является необязательным сценарием Windows PowerShell, который может использоваться для проверки допустимости параметров конфигурации соединителя, установленных администратором.
Скрипт схемы Код GetSchema в качестве значения.
Дополнительные имена параметров конфигурации FileName, Разделитель, Кодировка Помимо стандартных настроек конфигурации, можно определить дополнительные настраиваемые параметры конфигурации, относящиеся к конкретному экземпляру соединителя. Эти параметры могут быть заданы на уровнях соединителя, секции или этапа выполнения. Доступ к ним можно получить из соответствующего сценария Windows PowerShell.
Дополнительные зашифрованные имена параметров конфигурации <Бланк>

Возможности

Вкладка возможностей определяет поведение и функциональные возможности соединителя. Выбор, сделанный на этой вкладке, не может быть изменен при создании соединителя. Настройте вкладку возможностей с информацией, предоставленной в таблице.

  • На странице "Возможности" все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку "Далее".

Снимок экрана: экран возможностей.

Параметр Значение Цель
Стиль различительного имени нет Указывает, поддерживает ли соединитель уникальные имена, и если да, то какой стиль поддерживается.
Тип экспорта ObjectReplace (Замена) Определяет тип объектов, которые представлены в сценарии экспорта.
Нормализация данных нет Указывает службе синхронизации нормализовать атрибуты привязки перед их передачей в сценарии.
Подтверждение объекта Обычная Это игнорируется.
Используйте DN как привязку Не отмечено Если для стиля различающегося имени установлено значение LDAP, атрибут привязки для пространства соединителя также является различающимся именем.
Параллельная работа нескольких соединителей Проверено Если этот флажок установлен, можно одновременно запустить несколько соединителей Windows PowerShell.
Разделы Не отмечено Если этот флажок установлен, соединитель будет поддерживать несколько секций и функцию их обнаружения.
Иерархия Не отмечено Если этот флажок установлен, соединитель будет поддерживать иерархическую структуру стиля LDAP.
Включить импорт Проверено Если этот флажок установлен, соединитель импортирует данные с помощью скриптов импорта.
Включить Delta импорт Не отмечено Если этот флажок установлен, соединитель может запрашивать дельты из сценариев импорта.
Включить экспорт Проверено Если этот флажок установлен, соединитель экспортирует данные с помощью скриптов экспорта.
Включить полный экспорт Проверено Не поддерживается. Это будет игнорироваться.
Отсутствие ссылочных значений на первом этапе экспорта Не отмечено Если этот флажок установлен, ссылочные атрибуты экспортируются на втором этапе экспорта.
Включить переименование объекта Не отмечено Если этот флажок установлен, различающиеся имена можно изменить.
Удалить-Добавить как Замена Проверено Не поддерживается. Это будет игнорироваться.
Включить пароль для экспорта на первом проходе Не отмечено Не поддерживается. Это будет игнорироваться.

Глобальные параметры

Вкладка "Глобальные параметры" позволяет настроить скрипты Windows PowerShell, которые запускает соединитель. Вы также можете настроить глобальные значения для пользовательских параметров конфигурации, определенных на вкладке "Подключение". Настройте вкладку глобальных параметров с информацией, предоставленной в таблице.

  • На странице глобальных параметров все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку "Далее".

Снимок экрана: глобальный экран.

Параметр Значение
Скрипт секции <Бланк>
Скрипт иерархии <Бланк>
Начало импорта скрипта <Бланк>
Импорт скрипта Вставка скрипта импорта в качестве значения
Скрипт завершения импорта <Бланк>
Начать экспорт скрипта <Бланк>
Экспорт скрипта Вставка скрипта импорта в качестве значения
Скрипт завершения экспорта <Бланк>
Начало скрипта пароля <Бланк>
Скрипт расширения паролей <Бланк>
Скрипт завершения пароля <Бланк>
FileName_Global InputFile.txt
Глобальный разделитель ;
Кодирование_Глобальное <Пустое> (по умолчанию — UTF8)

Разделы, профили запуска, экспорт, Полный импорт

Сохраните значения по умолчанию и выберите следующее.

Типы объектов

Настройте вкладку типов объектов с информацией, предоставленной в таблице.

  • На странице типов объектов все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку "Далее".

Снимок экрана: экран типов объектов.

Параметр Значение
Целевой объект Человек
Привязка AzureObjectID
Атрибут запроса AzureObjectID
ДН AzureObjectID

Выбор атрибутов

Убедитесь, что выбраны следующие атрибуты:

  • На странице выбора атрибутов все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку "Далее".

  • AzureObjectID

  • Является активным

  • Отображаемое имя

  • ИдентификаторСотрудника

  • Заголовок

  • Имя пользователя

  • Эл. почта

Снимок экрана: экран выбора атрибутов.

Отмена подготовки

На странице отмены подготовки можно указать, следует ли удалить пользователей из каталога при выходе из области применения приложения идентификатора Microsoft Entra. В этом случае в разделе "Отключить поток" выберите "Удалить", а затем в разделе действий "Удалить поток" выберите "Удалить". Если выбрано значение атрибута "Установить", атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице депровижининга.

  • На странице отключения все данные должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку "Далее".

Снимок экрана на экране аннулирования.

Убедитесь, что служба ECMA2Host запущена и может считываться из файла с помощью PowerShell

Выполните следующие действия, чтобы убедиться, что хост коннектора запущен и определил всех существующих пользователей из целевой системы.

  1. На сервере под управлением узла соединителя Microsoft Entra ECMA нажмите кнопку "Пуск".
  2. Выберите Выполнить при необходимости, а затем введите services.msc в поле.
  3. В списке служб убедитесь, что Microsoft ECMA2Host присутствует и работает. Если он не запущен, нажмите кнопку "Пуск".
  4. На сервере, на котором запущен хост соединителя Microsoft Entra ECMA, запустите PowerShell.
  5. Перейдите в папку, где был установлен хост ECMA, как C:\Program Files\Microsoft ECMA2Host.
  6. Перейдите в подкаталог Troubleshooting.
  7. Запустите скрипт TestECMA2HostConnection.ps1 в каталоге, как показано, и укажите в качестве аргументов имя соединителя и ObjectTypePath значение cache. Если узел соединителя не прослушивает TCP-порт 8585, вам может понадобиться также указать аргумент -Port. При появлении запроса введите секретный маркер, настроенный для этого соединителя. 
    PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9
Supply values for the following parameters:
SecretToken: ************
  8. Если скрипт отображает сообщение об ошибке или предупреждении, убедитесь, что служба запущена, а имя соединителя и секретный маркер соответствуют этим значениям, настроенным в мастере настройки.
  9. Если скрипт выводит результат False, это значит, что соединитель не видел никаких записей о существующих пользователях в целевой системе. Если это новая целевая установка системы, это поведение должно быть ожидаемым, и вы можете продолжить работу в следующем разделе.
  10. Однако, если целевая система уже содержит одного или нескольких пользователей, но скрипт отобразил False, то этот статус указывает, что коннектор не смог прочитать из целевой системы. При попытке подготовить идентификатор Microsoft Entra может неправильно соответствовать пользователям в этом исходном каталоге с пользователями в идентификаторе Microsoft Entra. Подождите несколько минут, пока хост соединителя завершит чтение объектов из существующей целевой системы, затем повторно запустите скрипт. Если выходные данные остаются в состоянии False, то проверьте конфигурацию вашего соединителя и убедитесь, что разрешения в целевой системе позволяют соединителю читать существующих пользователей.

Проверка соединения из Microsoft Entra ID к хосту соединителя

  1. Вернитесь в окно веб-браузера, в котором вы настроили подготовку приложений на портале.

    Примечание.

    Если время ожидания окна истекло, необходимо повторно выбрать агент.

    1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
    2. Перейдите к Entra ID>корпоративным приложениям.
    3. Выберите локальное приложение ECMA.
    4. Выберите Настройка.
    5. Если отображается Начать работу, измените режим на «Автоматически» в разделе «Локальное подключение», выберите агента, которого вы только что развернули, и выберите «Назначить агентов», и подождите 10 минут. В противном случае перейдите к изменению параметров.

  2. В разделе учетных данных администратора введите следующий URL-адрес. Замените connectorName часть именем соединителя на узле ECMA, например PowerShell. Если вы предоставили сертификат из центра сертификации для узла ECMA, замените localhost его именем сервера, на котором установлен узел ECMA.

    Свойство Значение
    URL-адрес арендатора https://localhost:8585/ecma2host_connectorName/scim

  3. Введите значение секретного маркера , определенное при создании соединителя.

    Примечание.

    Если вы только что назначили агента к приложению, пожалуйста, подождите 10 минут, пока регистрация не завершится. Тест подключения не будет работать до завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите службу агента подготовки Microsoft Entra Connect , выберите службу правой кнопкой мыши и перезапустите её.

  4. Выберите "Проверить подключение" и подождите одну минуту.

  5. После успешного тестирования подключения и подтверждения того, что предоставленные учетные данные авторизованы для активации процесса настройки, нажмите Сохранить.

Настройка подключения приложения

Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

Примечание.

Если время ожидания окна истекло, необходимо повторно выбрать агент.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.

  2. Перейдите к Entra ID>корпоративным приложениям.

  3. Выберите локальное приложение ECMA.

  4. Выберите Настройка.

  5. Если появится кнопка «Начало работы», измените режим на «Автоматический» в разделе «Локальное подключение», выберите развернутого вами агента и нажмите «Назначить агента». В противном случае перейдите к изменению параметров.

  6. В разделе учетных данных администратора введите следующий URL-адрес. Замените {connectorName} часть именем соединителя на узле соединителя ECMA, например CSV. Имя соединителя чувствительно к регистру и должно точно соответствовать регистру, как было настроено в мастере. Вы также можете заменить localhost на имя хоста вашего компьютера.

    Свойство Значение
    URL-адрес арендатора https://localhost:8585/ecma2host_CSV/scim

  7. Введите значение секретного маркера , определенное при создании соединителя.

    Примечание.

    Если вы только что назначили агента к приложению, пожалуйста, подождите 10 минут, пока регистрация не завершится. Тест подключения не будет работать до завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите службу агента подготовки Microsoft Entra Connect, выберите службу правой кнопкой мыши и перезапустите ее.

  8. Выберите "Проверить подключение" и подождите одну минуту.

  9. После успешного тестирования подключения и подтверждения того, что предоставленные учетные данные авторизованы для активации процесса настройки, нажмите Сохранить.

Настройка сопоставлений атрибутов

Теперь необходимо сопоставить атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в локальной InputFile.txt.

Вы будете использовать портал Azure для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.

  2. Перейдите к Entra ID>корпоративным приложениям.

  3. Выберите локальное приложение ECMA.

  4. Выберите Настройка.

  5. Выберите Изменить настройку и подождите 10 секунд.

  6. Разверните Mappings и выберите Подготовка пользователей Microsoft Entra. Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, для заполнителя будет только одно сопоставление.

  7. Чтобы убедиться, что схема доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, а затем отмените с этой страницы, чтобы вернуться в список сопоставлений.

  8. Теперь выберите сопоставление с userPrincipalName PLACEHOLDER. Это сопоставление добавляется автоматически при первой настройке локального предоставления ресурсов. Измените значение, соответствующее следующему:

    Тип сопоставления Атрибут источника Целевой атрибут
    Напрямую ИмяОсновногоПользователя urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName

  9. Теперь выберите "Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

  10. Укажите исходные и целевые атрибуты для каждого сопоставления в следующей таблице.

    Тип сопоставления Атрибут источника Целевой атрибут
    Напрямую objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID
    Напрямую ИмяОсновногоПользователя urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName
    Напрямую отображаемое имя urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName
    Напрямую идентификатор сотрудника urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:Пользователь:ИдентификационныйНомерСотрудника
    Напрямую Должность urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title
    Напрямую почта urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Выражение Switch([IsSoftDeleted], "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive

    Снимок экрана: сопоставления атрибутов.

  11. После добавления всех сопоставлений нажмите кнопку "Сохранить".

Назначение пользователей для приложения

Теперь, когда у вас есть узел соединителя Microsoft Entra ECMA, который взаимодействует с Microsoft Entra ID, и сопоставление атрибутов настроено, вы можете перейти к настройке управления пользователями, которые будут включены в процесс Provisioning.

Внимание

Если вы вошли с помощью роли администратора гибридных удостоверений, необходимо выйти и войти с учетной записью, которая обладает по крайней мере правами администратора приложений для этого раздела. Роль администратора гибридных удостоверений не имеет разрешений на назначение пользователей приложениям.

Если в InputFile.txt есть пользователи, необходимо создать назначения ролей приложения для существующих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом режиме, см. в разделе управления существующими пользователями приложения в идентификаторе Microsoft Entra.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что выбранный пользователь имеет все свойства, сопоставленные с необходимыми атрибутами схемы.
  2. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
  3. Перейдите к Entra ID>корпоративным приложениям.
  4. Выберите локальное приложение ECMA.
  5. Слева в разделе "Управление" выберите "Пользователи и группы".
  6. Выберите "Добавить пользователя или группу".
  7. В разделе "Пользователи" выберите "Не выбрано".
  8. Выберите пользователей справа и нажмите кнопку "Выбрать ".
  9. Теперь нажмите кнопку "Назначить".

Тестирование подготовки

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
  2. Перейдите к Entra ID>корпоративным приложениям.
  3. Выберите локальное приложение ECMA.
  4. Выберите Настройка.
  5. Выберите "Подготовка по запросу".
  6. Найдите одного из тестовых пользователей и выберите Предоставление.
  7. Через несколько секунд появится сообщение об успешном создании пользователя в целевой системе с списком атрибутов пользователя.

Начало подготовки пользователей

  1. После успешной поставки по запросу перейдите обратно на страницу конфигурации. Убедитесь, что область настроена только для назначенных пользователей и групп, включите предоставление Включено и нажмите Сохранить.
  2. Подождите несколько минут, пока начнется подготовка. Она может занять до 40 минут. После завершения задания подготовки, как описано в следующем разделе, если вы закончили тестирование, вы можете изменить состояние подготовки на Выкл и нажать Сохранить. Эта операция остановит запуск службы предоставления в будущем.

Следующие шаги

  • Last updated on