Настройка Microsoft Entra ID для предоставления пользователей в базу данных SQL

В этом документе описаны шаги, которые необходимо выполнить для автоматического предоставления и удаления пользователей из системы Microsoft Entra ID в базу данных SQL.

Для получения важных сведений о том, что делает эта служба, как она работает и часто задаваемые вопросы, ознакомьтесь с статьями об автоматизации подготовки пользователей и отмене подготовки пользователей в приложениях SaaS с помощью идентификатора Microsoft Entra ID и архитектуры подготовки локальных приложений.

В следующем видео приведены общие сведения о локальной подготовке.

Необходимые условия для обеспечения доступа к Базе данных SQL

Предварительные требования для локальной установки

Приложение использует базу данных SQL, в которой записи для пользователей можно создавать, обновлять и удалять. Компьютер, который запускает агент подготовки, должен иметь следующее:

  • Windows Server 2016 или более поздней версии.
  • Подключение к целевой системе баз данных и с исходящим подключением к login.microsoftonline.com, другим службам Microsoft Online Services и доменам Azure . Примером может служить компьютер виртуальной машины под управлением ОС Windows Server 2016, размещенный в Azure IaaS или за прокси-сервером.
  • По крайней мере 3 ГБ ОЗУ.
  • .NET Framework 4.7.2.
  • Драйвер ODBC для базы данных SQL.

Настройка подключения к базе данных приложения осуществляется с помощью мастера. В зависимости от выбранных параметров некоторые экраны мастера могут быть недоступны, а сведения могут немного отличаться. Ниже приведены сведения, которые помогут вам в настройке.

Поддерживаемые базы данных

  • Microsoft SQL Server и База данных SQL Azure
  • IBM DB2 9.x
  • IBM DB2 10.x
  • IBM DB2 11.5
  • Oracle 10g и 11g
  • Oracle 12c и 18C
  • MySQL 5.x
  • MySQL 8.x
  • Postgres

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5).

    Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

  • Роль Администратора гибридных удостоверений для настройки агента подготовки и роль Администратора приложения или Администратора облачного приложения для настройки подготовки на портале Azure.

  • Пользователи Microsoft Entra, которые должны быть подготовлены к базе данных, уже должны быть заполнены любыми атрибутами, которые будут необходимы схеме базы данных и которые не создаются самой базой данных.

Подготовка образца базы данных

В этой статье вы настроите соединитель Microsoft Entra SQL для взаимодействия с реляционной базой данных приложения. Как правило, приложения управляют доступом с помощью таблицы в базе данных SQL, где на каждого пользователя в таблице отводится одна строка. Если у вас уже есть приложение с базой данных, перейдите к следующему разделу.

Если у вас еще нет базы данных с подходящей таблицей, то для демонстрационных целей необходимо создать такую, которую Microsoft Entra ID может использовать. Если вы используете SQL Server, запустите сценарий SQL из Приложения А. Этот сценарий создает образец базы данных с именем CONTOSO, содержащий одну таблицу Employees. Эта таблица базы данных, в которую вы будете подготавливать пользователей.

Столбец таблицы Источник
ContosoLogin Имя пользователя Microsoft Entra
Имя Заданное имя Microsoft Entra
Фамилия Фамилия в Microsoft Entra
Эл. почта Адрес электронной почты Exchange Online
InternalGUID Создается самой базой данных
AzureID Идентификатор объекта Microsoft Entra
textID Псевдоним электронной почты идентификатора Microsoft Entra

Определите, как соединитель Microsoft Entra SQL будет взаимодействовать с вашей базой данных

У вас должна быть учетная запись пользователя в экземпляре SQL с правами на обновление данных в таблицах базы данных. Если ваша база данных SQL управляется другим пользователем, обратитесь к ним, чтобы получить имя учетной записи и пароль для идентификатора Microsoft Entra, используемого для проверки подлинности в базе данных. Если экземпляр SQL установлен на другом компьютере, необходимо также убедиться, что база данных SQL разрешает входящие подключения с драйвера ODBC на компьютере агента.

Если у вас уже есть база данных для приложения, необходимо определить, как идентификатор Microsoft Entra должен взаимодействовать с этой базой данных: прямое взаимодействие с таблицами и представлениями, с помощью хранимых процедур, уже присутствующих в базе данных, или с помощью инструкций SQL, предоставляемых для запроса и обновлений. Этот параметр связан с тем, что более сложное приложение может иметь в базе данных другие вспомогательные таблицы, требовать разбиение по страницам для таблиц с тысячами пользователей или может потребоваться идентификатор Microsoft Entra для вызова хранимой процедуры, которая выполняет дополнительную обработку данных, например шифрование, хэширование или проверки действительности.

При создании конфигурации соединителя для взаимодействия с базой данных приложения сначала можно настроить подход к тому, как узел соединителя считывает схему базы данных, а затем настроить подход, который соединитель должен использовать на постоянной основе с помощью профилей запуска. Каждый профиль запуска указывает, как соединитель должен создавать инструкции SQL. Выбор профилей запуска и метода в профиле запуска зависит от того, что поддерживает ядро СУБД и что требуется приложению.

  • После настройки, когда служба развертывания начнет работу, она автоматически выполнит взаимодействия, настроенные в профиле запуска Полный импорт. В этом профиле запуска соединитель будет читать все записи пользователей из базы данных приложения, обычно с помощью оператора SELECT. Этот профиль выполнения необходим для того, чтобы позже, если Microsoft Entra ID понадобится внести изменения для пользователя, Microsoft Entra ID знал, что нужно обновить существующую запись этого пользователя в базе данных, а не создавать новую запись для этого пользователя.

  • Каждый раз при внесении изменений в идентификатор Microsoft Entra, например назначение нового пользователя приложению или обновление существующего пользователя, служба подготовки будет выполнять взаимодействие с базой данных SQL, настроенным профилем выполнения экспорта . В профиле выполнения экспорта идентификатор Microsoft Entra выдает инструкции SQL для вставки, обновления и удаления записей в базе данных, чтобы привести содержимое базы данных в синхронизацию с идентификатором Microsoft Entra.

  • Если база данных поддерживает эту возможность, можно также опционально настроить профиль запуска Разностный импорт. В этом профиле выполнения идентификатор Microsoft Entra будет считывать изменения, внесенные в базу данных, кроме идентификатора Microsoft Entra с момента последнего полного или разностного импорта. Этот профиль запуска является необязательным, так как для чтения изменений требуется структурированная база данных.

В конфигурации каждого профиля выполнения соединителя необходимо указать, должен ли соединитель Microsoft Entra создавать собственные инструкции SQL для таблицы или представления, вызывать хранимые процедуры или использовать пользовательские запросы SQL. Обычно вы будете использовать один и тот же метод для всех профилей запуска в соединителе.

  • Если вы выберете метод Таблица или Представление для профиля выполнения, соединитель Microsoft Entra создаст необходимые инструкции SQL, SELECT, INSERT, UPDATE и DELETE, чтобы взаимодействовать с таблицей или представлением в базе данных. Этот метод является самым простым подходом, если база данных имеет одну таблицу или обновляемое представление с несколькими существующими строками.
  • Если выбрать метод хранимой процедуры, то в базе данных потребуется четыре хранимых процедуры: чтение страницы пользователей, добавление пользователя, обновление пользователя и удаление пользователя, вы настроите соединитель Microsoft Entra с именами и параметрами этих хранимых процедур для вызова. Этот подход требует большей конфигурации в базе данных SQL и обычно требуется только в том случае, если приложению требуется больше обработки для каждого изменения пользователя для разбиения по страницам с помощью больших результирующих наборов.
  • Если выбрать метод SQL Query, вы введете определенные инструкции SQL, которые вы хотите, чтобы соединитель выполнил при выполнении профиля. Вы настроите для соединителя параметры, которые он должен указать в инструкциях SQL, например разбиения на страницы наборов результатов во время импорта или установки атрибутов нового пользователя, создаваемого во время экспорта.

В этой статье показано, как использовать метод на основе таблицы для взаимодействия с примером таблицы базы данных Employees в профилях запуска Экспорт и Полный импорт. Дополнительные сведения о настройке методов на основе хранимой процедуры или SQL-запроса и конкретные требования см. в руководстве по настройке универсального соединителя SQL.

Выбор уникальных идентификаторов в схеме базы данных приложения

Большинство приложений будет иметь уникальный идентификатор для каждого пользователя приложения. Если вы подготавливаете в существующую таблицу базы данных, следует определить столбец этой таблицы с значением для каждого пользователя, где это значение уникально и не изменяется. Этот столбец будет якорем, который Microsoft Entra ID использует для идентификации существующих строк, чтобы обновить или удалить их. Дополнительные сведения о привязках см. в статье Сведения об атрибутах привязки и различающихся именах.

Если база данных приложения уже существует, в ней есть пользователи, и вы хотите, чтобы идентификатор Microsoft Entra обновлял этих пользователей, вам потребуется идентификатор для каждого пользователя, который совпадает с базой данных приложения и схемой Microsoft Entra. Например, если вы назначите пользователю приложение в идентификаторе Microsoft Entra ID, а этот пользователь уже находится в этой базе данных, то изменения этого пользователя в идентификаторе Microsoft Entra должны обновить существующую строку для этого пользователя, а не добавить новую строку. Так как идентификатор Microsoft Entra, скорее всего, не хранит внутренний идентификатор приложения для этого пользователя, необходимо выбрать другой столбец для запроса базы данных. Значение этого столбца может быть именем участника-пользователя или адресом электронной почты, идентификатором сотрудника или другим идентификатором, присутствующих в идентификаторе Microsoft Entra для каждого пользователя, который находится в области приложения. Если идентификатор пользователя, который использует приложение, не является атрибутом, хранящимся в представлении пользователя Microsoft Entra, то вам не нужно расширить схему пользователя Microsoft Entra с атрибутом расширения и заполнить этот атрибут из базы данных. Можно расширить схему Microsoft Entra и задать значения расширений с помощью PowerShell.

Сопоставление атрибутов в идентификаторе Microsoft Entra с схемой базы данных

Когда Microsoft Entra ID установил связь между пользователем в Microsoft Entra ID и записью в базе данных, будь то для пользователя, уже существующего в базе данных, или для нового пользователя, Microsoft Entra ID может настраивать изменения атрибутов от пользователя Microsoft Entra в базе данных. Помимо уникальных идентификаторов, проверьте базу данных на наличие других обязательных свойств. При их наличии убедитесь, что пользователи, которые будут подготовлены в базе данных, имеют атрибуты, которые можно сопоставить с необходимыми свойствами.

Кроме того, вы можете настроить поведение аннулирования. Если пользователь, назначенный приложению, удаляется в идентификаторе Microsoft Entra, идентификатор Microsoft Entra отправит операцию удаления в базу данных. Вы также можете настроить, чтобы идентификатор Microsoft Entra обновлял базу данных, когда пользователь теряет доступ к использованию приложения. Если пользователь удален из приложения, мягко удален в Microsoft Entra ID или заблокирован при входе, можно настроить Microsoft Entra ID для отправки уведомления об изменении атрибутов. Если вы встраиваете данные в имеющуюся таблицу в базе данных, вам понадобится столбец этой таблицы для сопоставления с isSoftDeleted. Когда пользователь выходит из области, идентификатор Microsoft Entra задает значение true для этого пользователя.

1. Установка драйвера ODBC

Для установки агента подготовки на Windows Server требуется драйвер ODBC для целевой базы данных. Если вы планируете подключиться к SQL Server или Базе данных SQL Azure, необходимо скачать драйвер ODBC для SQL Server (x64) и установить его в Windows Server. Сведения о других базах данных SQL см. в руководстве независимого поставщика программного обеспечения по установке драйвера ODBC.

2. Создание файла подключения DSN

Универсальному соединителю SQL требуется файл имени источника данных (DSN) для подключения к конечной точке SQL. Сначала необходимо создать файл с данными подключения ODBC.

  1. Запустите программу управления ODBC на сервере. Используйте 64-разрядную версию.

    Снимок экрана: управление ODBC.

  2. Перейдите на вкладку Файл DSN и выберите Добавить.

    Снимок экрана: вкладка

  3. Если вы используете SQL Server или Azure SQL, выберите SQL Server Native Client 11.0 и нажмите кнопку Далее. Если вы используете другую базу данных, выберите ее драйвер ODBC.

    Снимок экрана: выбор родного клиента.

  4. Присвойте файлу имя, например GenericSQL, и нажмите Далее. Снимок экрана: присвоение соединителю имени.

  5. Выберите Готово.

    Снимок экрана, показывающий окончание.

  6. Теперь настройте подключение. Следующие шаги будут отличаться в зависимости от того, какой драйвер ODBC вы используете. На этом рисунке предполагается, что драйвер используется для подключения к SQL Server. Если SQL Server находится на компьютере другого сервера, введите имя сервера. Затем выберите Далее.

    Снимок экрана: ввод имени сервера.

  7. Если у пользователя, от имени которого выполняется этот шаг, есть разрешения на подключение к базе данных, оставьте проверку подлинности Windows. Если администратору SQL Server требуется локальная учетная запись SQL, вместо этого укажите соответствующие учетные данные. Затем выберите Далее.

    Снимок экрана: выбор проверки подлинности Windows.

  8. Введите имя базы данных, которым в этом примере является CONTOSO.

    Снимок экрана: ввод имени базы данных.

  9. На этом экране оставьте настройки по умолчанию и нажмите кнопку Готово.

    Снимок экрана с кнопкой

  10. Чтобы убедиться, что все работает должным образом, нажмите кнопку Проверить источник данных.

    Снимок экрана, показывающий тестовый источник данных.

  11. Убедитесь, что проверка прошла успешно.

    Снимок экрана с сообщением об успешной проверке.

  12. Нажмите дважды кнопку ОК. Закройте администратор источника данных ODBC. Файл подключения DSN сохраняется по умолчанию в папке "Документы ".

    Примечание.

    Соединитель SQL ожидает, что файл подключения DSN будет закодирован в UTF-8. Если файл не закодирован в UTF-8, используйте Блокнот для сохранения файла с кодировкой UTF-8.

3. Установка и настройка агента подготовки Microsoft Entra Connect

Если вы уже скачали агент подготовки и настроили его для другого локального приложения, перейдите к следующему разделу.

  1. Войдите на портал Azure.
  2. Перейдите в корпоративные приложения и выберите "Создать приложение".
  3. Найдите локальное приложение ECMA , присвойте приложению имя и нажмите кнопку "Создать ", чтобы добавить его в клиент.
  4. В меню перейдите на страницу подготовки приложения.
  5. Выберите Приступая к работе.
  6. На странице Подготовка измените режим на автоматический.

Снимок экрана: выбор автоматического.

  1. В разделе "Локальное подключение" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

Снимок экрана: расположение скачивания для агента.

  1. Оставьте портал и запустите установщик агента подготовки, примите условия обслуживания и выберите " Установить".
  2. Дождитесь мастера конфигурации агента обеспечения Microsoft Entra, а затем нажмите кнопку «Далее».
  3. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".
  4. Агент подготовки будет использовать веб-браузер операционной системы для отображения всплывающего окна, чтобы вы могли пройти проверку подлинности в Microsoft Entra ID, а возможно, и у поставщика удостоверений вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы позволить JavaScript работать правильно.
  5. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется иметь по крайней мере роль администратора гибридных удостоверений.
  6. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать Выйти, а также закрыть установщик пакета настройки агента.

4. Настройка локального приложения ECMA

  1. На портале в разделе Локальное подключение выберите развернутого агента и выберите Назначить агент(ов).

    Снимок экрана, как выбрать и назначить агента.

  2. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

5. Настройка сертификата узла подключения ECMA для Microsoft Entra

  1. На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши на Microsoft ECMA2Host Configuration Wizard в меню «Пуск» и запустите от имени администратора. Запуск от имени администратора Windows необходим для создания необходимых журналов событий Windows.

  2. После запуска конфигурации узла соединителя ECMA, если это первый раз, когда вы запускаете мастер, он предложит вам создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически сгенерированный сертификат будет самоподписанным как часть доверенного корневого хранилища сертификатов. Сертификат SAN соответствует имени узла.

    Снимок экрана: настройка параметров.

  3. Выберите Сохранить.

Примечание.

Если вы решили создать новый сертификат, запишите дату окончания срока действия сертификата, чтобы убедиться, что вы планируете вернуться в мастер конфигурации и повторно создать сертификат до истечения срока его действия.

6. Создание универсального соединителя SQL

В этом разделе вы создадите конфигурацию соединителя для базы данных.

6.1 Настройка подключения к SQL

Чтобы создать универсальный соединитель SQL, выполните следующие действия.

  1. Создайте секретный маркер, который будет использоваться для проверки подлинности идентификатора Microsoft Entra в соединителе. Для каждого приложения должно содержать минимум 12 символов и быть уникальным.

  2. Если вы еще этого не сделали, запустите Мастер настройки Microsoft ECMA2Host из меню Windows.

  3. Выберите Новый соединитель.

  4. На странице свойств заполните поля значениями, указанными в следующей таблице, и выберите Далее.

    Свойство Значение
    Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде. Например, если у вас есть только одна база данных SQL, SQL
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите секретный маркер, созданный для этого соединителя. Ключ должен быть не менее 12 символов.
    Расширение DLL Для универсального соединителя SQL выберите Microsoft.IAM.Connector.GenericSql.dll.

  5. На странице подключения заполните поля значениями, указанными в следующей таблице, и выберите Далее.

    Свойство Описание
    Файл DSN Файл имени источника данных, созданный на предыдущем шаге и используемый для подключения к экземпляру SQL.
    Имя пользователя Имя пользователя учетной записи с правами на изменение таблицы в экземпляре SQL. Если целевая база данных — SQL Server, и вы используете проверка подлинности Windows, имя пользователя должно находиться в виде имени узла\sqladminaccount для автономных серверов или домена\sqladminaccount для серверов-членов домена. Для других баз данных имя пользователя будет локальной учетной записью в базе данных.
    Пароль Пароль предоставленного имени пользователя.
    DN является привязкой Если для вашей среды не требуются иные значения, не устанавливайте флажки DN — Anchor и Export Type:Object Replace.

6.2 Получение схемы из базы данных

После предоставления учетных данных модуль соединения ECMA будет готов извлечь схему вашей базы данных. Перейдите к конфигурации подключения SQL:

  1. На странице Схема 1 нужно привести список типов объектов. В этом примере существует один тип Userобъекта. Заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Значение
    Метод определения типа объекта Фиксированное значение
    Список фиксированных значений/Таблица/Представление/SP Пользователь

  2. После нажатия кнопки Далее будет автоматически отображаться следующая страница для настройки User типа объекта. На странице Схема 2 вы укажете, как представлены пользователи в вашей базе данных. В данном примере это одна таблица SQL с именем Employees. Заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Значение
    User:обнаружение атрибутов Таблица
    User:Таблица/Вид/ХП Имя таблицы в базе данных, например Employees

    Примечание.

    Если возникает ошибка, проверьте конфигурацию базы данных, чтобы убедиться, что пользователь, указанный на странице Подключение, имеет доступ на чтение к схеме базы данных.

  3. После нажатия кнопки "Далее" будет автоматически отображаться следующая страница, чтобы выбрать столбцы указанной ранее таблицы, например Employees таблицу в этом примере, которая будет использоваться в качестве Anchor пользователей и DN пользователей. Эти столбцы содержат уникальные идентификаторы в базе данных. Вы можете использовать одни и те же или разные столбцы, но убедитесь, что все строки, уже имеющиеся в этой базе данных, имеют уникальные значения в этих столбцах. На странице Схема 3 заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Описание
    Выбор привязки для пользователя Столбец таблицы базы данных, используемой для привязки, например User:ContosoLogin
    Выбор атрибута различающегося имени для User Столбец базы данных, используемый для атрибута DN, например AzureID

  4. После выбора кнопки «Далее» автоматически откроется следующая страница, где вы сможете подтвердить тип данных для каждого из столбцов Employee таблицы и указать, должен ли соединитель их импортировать или экспортировать. На странице Схема 4 оставьте значения по умолчанию и нажмите Далее.

    Снимок экрана: страница

  5. На странице Глобальные заполните поля и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана, показывающий глобальную страницу.

    Свойство Описание
    Стратегия Дельта Для IBM DB2 выберите None
    Запрос предела Для IBM DB2 введите SELECT CURRENT TIMESTAMP FROM SYSIBM.SYSDUMMY1;
    Формат даты и времени источника данных Для SQL Server yyyy-MM-dd HH:mm:ss и IBM DB2 YYYY-MM-DD

  6. На странице Секции нажмите кнопку Далее.

    Снимок экрана, на котором показана страница

6.3. Настройка профилей запуска

Далее предстоит настроить профили запуска Экспорт и Полный импорт. Профиль запуска экспорта будет использоваться, когда хост соединителя ECMA должен отправлять изменения из Microsoft Entra ID в базу данных, чтобы вставлять, обновлять и удалять записи. Профиль запуска Полный импорт будет использоваться при запуске службы узла соединителя ECMA для считывания текущего содержимого базы данных. В этом примере вы будете использовать метод на основе таблицы в обоих профилях запуска, чтобы узел соединителя ECMA создал необходимые инструкции SQL.

Перейдите к конфигурации подключения SQL:

  1. На странице Профили запуска оставьте флажок Экспорт. Установите флажок Полный импорт и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Описание
    Экспорт (Export) Запустите профиль, который экспортирует данные в SQL. Этот профиль запуска является обязательным.
    Полный импорт Профиль запуска, который будет импортировать все данные из источников SQL, указанных ранее.
    Импорт изменений Запустите профиль, который будет импортировать только изменения из базы данных SQL со времени последнего полного или разностного импорта.

  2. После нажатия кнопки "Далее" откроется следующая страница, чтобы настроить метод для профиля выполнения экспорта . Заполните поля на странице Экспорт и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана: страница

    Свойство Описание
    Метод операции Таблица
    Таблица/Представление/ХП Та же таблица, что и на вкладке "Схема 2", например Employees

  3. Заполните поля на странице Полный импорт и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана: страница

    Свойство Описание
    Метод операции Таблица
    Таблица/Представление/ХП Та же таблица, что и на вкладке "Схема 2", например Employees

6.4 Настройка того, как атрибуты отображаются в идентификаторе Microsoft Entra

На последнем шаге параметров подключения SQL настройте, как атрибуты отображаются в идентификаторе Microsoft Entra ID:

  1. Заполните поля на странице Типы объектов и нажмите кнопку Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    • Привязка. Значения этого атрибута должны быть уникальными для каждого объекта в целевой базе данных. Служба подготовки Microsoft Entra запрашивает узел соединителя ECMA с помощью этого атрибута после начального цикла. Это значение привязки должно совпадать с столбцом привязки, настроенным ранее на странице схемы 3 .
    • Атрибут запроса. Этот атрибут должен совпадать с привязкой.
    • DN: В большинстве случаев следует выбрать параметр Autogenerated (Созданное автоматически). Если он не выбран, убедитесь, что атрибут DN сопоставлен с атрибутом в идентификаторе Microsoft Entra, который хранит DN в этом формате: CN = anchorValue, Object = objectType Для получения дополнительной информации о привязках и отличительных именах см. Атрибуты привязки и отличительные имена.
    Свойство Описание
    Целевой объект Пользователь
    Привязка Столбец, настроенный на вкладке "Схема 3", например ContosoLogin
    Атрибут запроса Тот же столбец, что и привязка, например ContosoLogin
    ДН Тот же столбец, что и на вкладке "Схема 3", например ContosoLogin
    Созданный автоматически Флажок установлен

  2. Узел соединителя ECMA обнаруживает атрибуты, поддерживаемые целевой базой данных. Вы можете выбрать, какие из этих атрибутов вы хотите предоставить идентификатору Microsoft Entra. Затем эти атрибуты можно настроить на портале Azure для развертывания. На странице Выбор атрибутов поочередно добавьте все атрибуты из раскрывающегося списка.

В раскрывающемся списке атрибутов отображается любой атрибут, обнаруженный в целевой базе данных и не выбранный на предыдущей странице выбора атрибутов . После добавления всех соответствующих атрибутов нажмите кнопку Далее.

Снимок экрана: раскрывающийся список атрибутов.

  1. На странице Снятие доступа в разделе Отключить поток выберите Удалить. Атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице отзыва. Выберите Готово.

Примечание.

Если вы используете значение атрибута Set, следует учитывать, что разрешены только логические значения.

Снимок экрана, показывающий страницу

7. Убедитесь, что служба ECMA2Host запущена

  1. На сервере, где работает Microsoft Entra ECMA Connector Host, нажмите Пуск.

  2. Введите run, а потом введите в поле services.msc.

  3. Убедитесь, что Microsoft ECMA2Host отображается в списке служб и она запущена. В противном случае нажмите Start (Запустить).

    Снимок экрана c запущенной службой.

Если вы подключаетесь к новой базе данных или той, которая пуста и не имеет пользователей, перейдите к следующему разделу. В противном случае выполните следующие действия, чтобы убедиться, что соединитель определил существующих пользователей из базы данных.

  1. Если вы недавно запустили службу и имеете много объектов пользователей в базе данных, подождите несколько минут, пока соединитель установит соединение с базой данных.

8. Настройка подключения приложения в портал Azure

  1. Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

    Примечание.

    Если истекло время ожидания окна, выберите агент повторно.

    1. Войдите на портал Azure.
    2. Перейдите в раздел Корпоративные приложения и выберите локальное приложение ECMA.
    3. Выберите " Подготовка".
    4. Если появится режим "Начало работы", измените режим на "Автоматический" в разделе "Локальное подключение", выберите агент, который вы развернули, и выберите "Назначить агенты". Если окно не появится, перейдите к разделу Изменение подготовки.

  2. Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените {connectorName} часть именем соединителя на узле соединителя ECMA, например SQL. Имя соединителя учитывает регистр и должно быть таким же, как и в мастере. Вы также можете заменить localhost, указав имя хоста вашей машины.

    Свойство Значение
    URL-адрес арендатора https://localhost:8585/ecma2host_{connectorName}/scim

  3. Введите значение секретного токена, которое вы определили при создании соединителя.

    Примечание.

    Если вы только что назначили агента в приложение, подождите 10 минут, пока не завершится регистрация. Тест подключения не будет работать до завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, найдите службу агента подготовки Microsoft Entra Connect, щелкните правой кнопкой мыши на службу и перезапустите её.

  4. Нажмите Проверить соединение и подождите одну минуту.

    Снимок экрана: назначение агента

  5. После успешного тестирования подключения и подтверждения того, что предоставленные учетные данные позволяют включить учетную запись, нажмите кнопку "Сохранить".

    Снимок экрана с тестированием агента.

9. Настройка сопоставлений атрибутов

Теперь необходимо сопоставить атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в локальной базе данных SQL приложения.

Вы будете использовать портал Azure для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Убедитесь, что схема Microsoft Entra содержит атрибуты, необходимые базе данных. Если база данных требует, чтобы пользователи имели атрибут, например uidNumber, и этот атрибут еще не является частью схемы Microsoft Entra для пользователя, необходимо использовать функцию расширения каталога для добавления этого атрибута в качестве расширения.

  2. В Центре администрирования Microsoft Entra в разделе "Корпоративные приложения" выберите локальное приложение приложения ECMA, а затем страницу подготовки .

  3. Выберите Изменить настройку, подождите 10 секунд.

  4. Разверните Сопоставления и выберите сопоставление Добавление пользователей в Microsoft Entra ID. Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, это будет единственным сопоставлением для заполнителя.

    Снимок экрана, показывающий создание учетной записи пользователя.

  5. Чтобы убедиться, что схема базы данных доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, закройте страницу, чтобы вернуться к списку сопоставлений.

  6. Теперь щелкните сопоставление userPrincipalName PLACEHOLDER. Это сопоставление добавляется по умолчанию при первой настройке локального управления.

Снимок экрана: заполнитель. Измените значения атрибута следующим образом:

Тип сопоставления Атрибут источника Целевой атрибут
Напрямую основное имя пользователя urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin

Снимок экрана: изменение значения.

  1. Теперь выберите " Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

    Снимок экрана, на котором показано добавление нового сопоставления.

  2. Укажите исходные и целевые атрибуты для каждого сопоставления в следующей таблице.

    Снимок экрана, на котором видно сохранение сопоставления.

    Тип сопоставления Атрибут источника Целевой атрибут
    Напрямую основное имя пользователя urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin
    Напрямую objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureID
    Напрямую почта urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Напрямую Имя urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:FirstName
    Напрямую фамилия urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:LastName
    Напрямую мейлНикнейм urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:textID

  3. После добавления всех сопоставлений нажмите кнопку Сохранить.

10. Назначение пользователей приложению

Теперь, когда вы настроили узел соединителя Microsoft Entra ECMA, связанный с Microsoft Entra ID, и сопоставление атрибутов завершено, можно перейти к определению пользователей, включенных в область подготовки.

Внимание

Если вы вошли в систему с ролью администратора гибридных удостоверений, вам необходимо выйти и войти снова с учетной записью, которая имеет хотя бы роль администратора приложений для этого раздела. Роль администратора гибридных удостоверений не имеет разрешений на назначение пользователей приложениям.

Если в базе данных SQL есть существующие пользователи, вам следует создать в приложении назначения ролей для этих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом порядке, см. в разделе управление пользователями существующего приложения в Microsoft Entra ID.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что у пользователя есть все свойства, которые будут сопоставлены с необходимыми атрибутами схемы базы данных.

  2. На портале Azure выберите элемент Корпоративные приложения.

  3. Выберите вариант Локальное приложение ECMA.

  4. В левой части экрана последовательно выберите Управление и Пользователи и группы.

  5. Выберите Добавить пользователя или группу.

    Снимок экрана: добавление пользователя.

  6. В меню Пользователи нажмите Не выбрано.

    Снимок экрана, на котором показано:

  7. Выберите нужных пользователей справа и нажмите кнопку Выбрать.

    Снимок экрана, на котором показан выбор пользователей

  8. Теперь нажмите Назначить.

    Снимок экрана, показывающий назначение пользователей.

11. Тестирование настройки

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. На портале Azure выберите элемент Корпоративные приложения.

  2. Выберите вариант Локальное приложение ECMA.

  3. В левой части экрана выберите элемент Подготовка.

  4. Выберите Подготовка по требованию.

  5. Найдите одного из тестовых пользователей и выберите Подготовить.

    Снимок экрана, показывающий тестирование настройки.

  6. Через несколько секунд появится сообщение Успешно создан пользователь в целевой системе со списком атрибутов пользователя.

12. Начало подготовки пользователей

  1. После успешного конфигурирования по запросу вернитесь на страницу настройки конфигурации. Убедитесь, что в качестве области выбраны только назначенные пользователи и группы, активируйте подготовку и нажмите кнопку Сохранить.

    Снимок экрана: начало подготовки.

  2. Подождите несколько минут, пока начнется процесс настройки. Она может занять до 40 минут. После завершения задания подготовки, как это описано в следующем разделе, если вы закончили тестирование, вы можете изменить состояние подготовки на «Выкл» и нажмите «Сохранить». Это действие предотвратит запуск службы подготовки в будущем.

Устранение ошибок провизионирования

Если отображается сообщение об ошибке, выберите Просмотреть журналы предоставления ресурсов. Найдите в журнале строку, в которой находится состояние сбоя, и выберите ее.

Если появляется сообщение об ошибке Не удалось создать пользователя, проверьте атрибуты, отображаемые в требованиях схемы базы данных.

Дополнительные сведения см. на вкладке "Устранение неполадок и рекомендации ". Если драйвер ODBC вернул сообщение, его можно отобразить здесь. Например, сообщение ERROR [23000] [Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert the value NULL into column 'FirstName', table 'CONTOSO.dbo.Employees'; column does not allow nulls. свидетельствует об ошибке драйвера ODBC. В этом случае column does not allow nulls может указывать, что столбец FirstName в базе данных является обязательным, но у пользователя, которого пытались подготовить, не было атрибута givenName, поэтому его невозможно было подготовить.

Проверьте, что пользователи были успешно предоставлены

Спустя время проверьте базу данных SQL, чтобы убедиться, что пользователи подготавливаются должным образом.

Скриншот проверки настройки пользователей.

Приложение А

Если вы используете SQL Server, для создания примера базы данных можно использовать следующий сценарий SQL.

---Creating the Database---------
Create Database CONTOSO
Go
-------Using the Database-----------
Use [CONTOSO]
Go
-------------------------------------

/****** Object:  Table [dbo].[Employees]    Script Date: 1/6/2020 7:18:19 PM ******/
SET ANSI_NULLS ON
GO

SET QUOTED_IDENTIFIER ON
GO

CREATE TABLE [dbo].[Employees](
	[ContosoLogin] [nvarchar](128) NULL,
	[FirstName] [nvarchar](50) NOT NULL,
	[LastName] [nvarchar](50) NOT NULL,
	[Email] [nvarchar](128) NULL,
	[InternalGUID] [uniqueidentifier] NULL,
	[AzureID] [uniqueidentifier] NULL,
	[textID] [nvarchar](128) NULL
) ON [PRIMARY]
GO

ALTER TABLE [dbo].[Employees] ADD  CONSTRAINT [DF_Employees_InternalGUID]  DEFAULT (newid()) FOR [InternalGUID]
GO

Следующие шаги

  • Last updated on