Поделиться через

Настройка пользователей для приложений на основе SQL

  • Статья

В следующей документации содержатся сведения о конфигурации и руководстве по использованию универсального соединителя SQL и узла расширяемого подключения (ECMA) с SQL Server.

В этом документе описаны шаги, которые необходимо выполнить для автоматического предоставления и удаления пользователей в Microsoft Entra ID в базе данных SQL.

Для получения важных сведений о том, что делает эта служба, как она работает и часто задаваемые вопросы, ознакомьтесь с статьями об автоматизации подготовки пользователей и отмене подготовки пользователей в приложениях SaaS с помощью идентификатора Microsoft Entra ID и архитектуры подготовки локальных приложений.

В следующем видео приведены общие сведения об обеспечении на месте.

Необходимые условия для обеспечения доступа к Базе данных SQL

Предварительные требования для локальной среды

Приложение использует базу данных SQL, в которой записи для пользователей можно создавать, обновлять и удалять. Компьютер, на котором запущен агент развертывания, должен иметь следующее:

  • Windows Server 2016 или более поздней версии.
  • Подключение к целевой системе баз данных и с исходящим подключением к login.microsoftonline.com, другим службам Microsoft Online Services и доменам Azure . Примером может служить компьютер виртуальной машины под управлением ОС Windows Server 2016, размещенный в Azure IaaS или за прокси-сервером.
  • По крайней мере 3 ГБ ОЗУ.
  • .NET Framework 4.7.2.
  • Драйвер ODBC для базы данных SQL.

Настройка подключения к базе данных приложения осуществляется с помощью мастера. В зависимости от выбранных параметров некоторые экраны мастера могут быть недоступны, а сведения могут немного отличаться. Ниже приведены сведения, которые помогут вам в настройке.

Поддерживаемые базы данных

  • Microsoft SQL Server и База данных SQL Azure
  • IBM DB2 9.x
  • IBM DB2 10.x
  • IBM DB2 11.5
  • Oracle 10g и 11g
  • Oracle 12c и 18C
  • MySQL 5.x
  • MySQL 8.x
  • Postgres

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5).

    Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

  • Роль Администратора гибридных удостоверений для настройки агента подготовки и роль Администратора приложения или Администратора облачного приложения для настройки подготовки на портале Azure.

  • Пользователи Microsoft Entra, которые должны быть подготовлены к базе данных, уже должны быть заполнены любыми атрибутами, которые будут необходимы схеме базы данных и которые не создаются самой базой данных.

Подготовка образца базы данных

В этой статье вы настроите соединитель Microsoft Entra SQL для взаимодействия с реляционной базой данных приложения. Как правило, приложения управляют доступом с помощью таблицы в базе данных SQL, где на каждого пользователя в таблице отводится одна строка. Если у вас уже есть приложение с базой данных, перейдите к следующему разделу.

Если у вас еще нет базы данных с подходящей таблицей, то для демонстрационных целей необходимо создать, какой идентификатор Microsoft Entra можно использовать. Если вы используете SQL Server, запустите сценарий SQL из Приложения А. Этот сценарий создает образец базы данных с именем CONTOSO, содержащий одну таблицу Employees. Эта таблица базы данных, в которую вы будете добавлять пользователей.

Столбец таблицы Источник
ContosoLogin Псевдоним пользователя Microsoft Entra
Имя Заданное имя Microsoft Entra
Фамилия Фамилия Microsoft Entra
Эл. почта Адрес электронной почты Exchange Online
InternalGUID Создается самой базой данных
AzureID Идентификатор объекта Microsoft Entra
textID Псевдоним почты Microsoft Entra ID

Определите, как соединитель Microsoft Entra SQL будет взаимодействовать с вашей базой данных

У вас должна быть учетная запись пользователя в экземпляре SQL с правами на обновление данных в таблицах базы данных. Если ваша база данных SQL управляется другим пользователем, обратитесь к ним, чтобы получить имя учетной записи и пароль для идентификатора Microsoft Entra, используемого для проверки подлинности в базе данных. Если экземпляр SQL установлен на другом компьютере, необходимо также убедиться, что база данных SQL разрешает входящие подключения с драйвера ODBC на компьютере агента.

Если у вас уже есть база данных для приложения, необходимо определить, как идентификатор Microsoft Entra должен взаимодействовать с этой базой данных: прямое взаимодействие с таблицами и представлениями, с помощью хранимых процедур, уже присутствующих в базе данных, или с помощью инструкций SQL, предоставляемых для запроса и обновлений. Этот параметр связан с тем, что более сложное приложение может иметь в базе данных другие вспомогательные таблицы, требовать разбиение по страницам для таблиц с тысячами пользователей или может потребоваться идентификатор Microsoft Entra для вызова хранимой процедуры, которая выполняет дополнительную обработку данных, например шифрование, хэширование или проверки действительности.

При создании конфигурации соединителя для взаимодействия с базой данных приложения сначала можно настроить подход к тому, как узел соединителя считывает схему базы данных, а затем настроить подход, который соединитель должен использовать на постоянной основе с помощью профилей запуска. Каждый профиль запуска указывает, как соединитель должен создавать инструкции SQL. Выбор профилей запуска и метода в профиле запуска зависит от того, что поддерживает ядро СУБД и что требуется приложению.

  • После настройки, когда служба подготовки начнет работать, она автоматически выполнит взаимодействия, настроенные в профиле выполнения Полный импорт. В этом профиле запуска соединитель будет считывать все записи пользователей из базы данных приложения, обычно с помощью инструкции SELECT. Этот профиль запуска необходим, чтобы в дальнейшем, если Microsoft Entra ID потребуется внести изменения в учетную запись пользователя, система Microsoft Entra ID смогла обновить существующую запись этого пользователя в базе данных, а не создавать новую.

  • Каждый раз при внесении изменений в идентификатор Microsoft Entra, например назначение нового пользователя приложению или обновление существующего пользователя, служба подготовки будет выполнять взаимодействие с базой данных SQL, настроенным профилем выполнения экспорта . В профиле выполнения экспорта идентификатор Microsoft Entra выдает инструкции SQL для вставки, обновления и удаления записей в базе данных, чтобы привести содержимое базы данных в синхронизацию с идентификатором Microsoft Entra.

  • Если база данных поддерживает эту возможность, вы можете также опционально настроить профиль запуска Разностного импорта. В этом профиле выполнения идентификатор Microsoft Entra будет считывать изменения, внесенные в базу данных, кроме идентификатора Microsoft Entra с момента последнего полного или разностного импорта. Этот профиль запуска является необязательным, так как для чтения изменений требуется структурированная база данных.

В конфигурации каждого профиля выполнения соединителя необходимо указать, должен ли соединитель Microsoft Entra создавать собственные инструкции SQL для таблицы или представления, вызывать хранимые процедуры или использовать пользовательские запросы SQL. Обычно вы будете использовать один и тот же метод для всех профилей запуска в соединителе.

  • Если выбрать метод Таблицы или Представления для профиля выполнения, соединитель Microsoft Entra создаст необходимые инструкции SQL: SELECT, INSERT, UPDATE и DELETE для взаимодействия с таблицей или представлением в базе данных. Этот метод является самым простым подходом, если база данных имеет одну таблицу или обновляемое представление с несколькими существующими строками.
  • Если выбрать метод хранимой процедуры, то в базе данных потребуется четыре хранимых процедуры: чтение страницы пользователей, добавление пользователя, обновление пользователя и удаление пользователя, вы настроите соединитель Microsoft Entra с именами и параметрами этих хранимых процедур для вызова. Этот подход требует более сложной конфигурации в базе данных SQL и обычно требуется только в том случае, если вашему приложению требуется больше обработки для каждого изменения пользователя или для постраничного разбора больших наборов результатов.
  • Если вы выберете метод SQL Query, то введете определенные SQL запросы, которые вы хотите, чтобы соединитель выполнял во время выполнения профиля. Вы настроите для соединителя параметры, которые он должен указать в инструкциях SQL, например разбиения на страницы наборов результатов во время импорта или установки атрибутов нового пользователя, создаваемого во время экспорта.

В этой статье показано, как использовать метод на основе таблицы для взаимодействия с примером таблицы базы данных Employees в профилях запуска Экспорт и Полный импорт. Дополнительные сведения о настройке методов на основе хранимой процедуры или SQL-запроса можно найти в руководстве по общей настройке SQL, которое предоставляет больше деталей и конкретные требования.

Выбор уникальных идентификаторов в схеме базы данных приложения

Большинство приложений будет иметь уникальный идентификатор для каждого пользователя приложения. Если вы настраиваете уже существующую таблицу базы данных, следует определить столбец этой таблицы, который имеет значение для каждого пользователя, причем это значение уникально и не изменяется. Этот столбец будет привязкой, которую Microsoft Entra ID использует для идентификации существующих строк, чтобы иметь возможность их обновить или удалить. Дополнительные сведения о привязках см. в статье Сведения об атрибутах привязки и различающихся именах.

Если база данных приложения уже существует, в ней есть пользователи, и вы хотите, чтобы идентификатор Microsoft Entra обновлял этих пользователей, вам потребуется идентификатор для каждого пользователя, который совпадает с базой данных приложения и схемой Microsoft Entra. Например, если вы назначите пользователю приложение в идентификаторе Microsoft Entra ID, а этот пользователь уже находится в этой базе данных, то изменения этого пользователя в идентификаторе Microsoft Entra должны обновить существующую строку для этого пользователя, а не добавить новую строку. Так как идентификатор Microsoft Entra, скорее всего, не хранит внутренний идентификатор приложения для этого пользователя, необходимо выбрать другой столбец для запроса базы данных. Значение этого столбца может быть именем участника-пользователя или адресом электронной почты, идентификатором сотрудника или другим идентификатором, присутствующих в идентификаторе Microsoft Entra для каждого пользователя, который находится в области приложения. Если идентификатор пользователя, который использует приложение, не является атрибутом, хранящимся в представлении пользователя Microsoft Entra, то вам не нужно расширить схему пользователя Microsoft Entra с атрибутом расширения и заполнить этот атрибут из базы данных. Можно расширить схему Microsoft Entra и задать значения расширений с помощью PowerShell.

Сопоставление атрибутов в идентификаторе Microsoft Entra с схемой базы данных

Если Microsoft Entra ID установил связь между пользователем в Microsoft Entra ID и записью в базе данных, независимо от того, является ли пользователь уже существующим в базе данных или новым, то Microsoft Entra ID может осуществлять изменение атрибутов от пользователя Microsoft Entra в базе данных. Помимо уникальных идентификаторов, проверьте базу данных на наличие других обязательных свойств. При их наличии убедитесь, что пользователи, которые будут подготовлены в базе данных, имеют атрибуты, которые можно сопоставить с необходимыми свойствами.

Кроме того, вы можете настроить поведение деактивации. Если пользователь, назначенный приложению, удаляется в идентификаторе Microsoft Entra, идентификатор Microsoft Entra отправит операцию удаления в базу данных. Вы также можете настроить обновление базы данных с помощью идентификатора Microsoft Entra, когда пользователь теряет возможность использовать приложение. Если пользователь не назначен в приложении, удален с возможностью восстановления в Microsoft Entra ID или заблокирован для входа, можно настроить Microsoft Entra ID для отправки изменения атрибутов. Если вы настраиваете существующую таблицу базы данных, желательно иметь столбец этой таблицы для сопоставления с isSoftDeleted. Когда пользователь выходит за пределы области действия, Microsoft Entra ID установит значение для этого пользователя на True.

1. Установка драйвера ODBC

На Windows Server, где вы будете устанавливать агент развертывания, требуется драйвер ODBC для вашей целевой базы данных. Если вы планируете подключиться к SQL Server или Базе данных SQL Azure, необходимо скачать драйвер ODBC для SQL Server (x64) и установить его в Windows Server. Сведения о других базах данных SQL см. в руководстве независимого поставщика программного обеспечения по установке драйвера ODBC.

2. Создание файла подключения DSN

Универсальному соединителю SQL требуется файл имени источника данных (DSN) для подключения к конечной точке SQL. Сначала необходимо создать файл с данными подключения ODBC.

  1. Запустите программу управления ODBC на сервере. Используйте 64-разрядную версию.

    Снимок экрана: управление ODBC.

  2. Перейдите на вкладку Файл DSN и выберите Добавить.

    Снимок экрана: вкладка

  3. Если вы используете SQL Server или Azure SQL, выберите SQL Server Native Client 11.0 и нажмите кнопку Далее. Если вы используете другую базу данных, выберите ее драйвер ODBC.

    Снимок экрана: выбор нативного клиента.

  4. Присвойте файлу имя, например GenericSQL, и нажмите Далее. Снимок экрана: присвоение соединителю имени.

  5. Выберите Готово.

    Снимок экрана, показывающий

  6. Теперь настройте подключение. Следующие шаги будут отличаться в зависимости от того, какой драйвер ODBC вы используете. На этом рисунке предполагается, что драйвер используется для подключения к SQL Server. Если SQL Server находится на компьютере другого сервера, введите имя сервера. Затем выберите Далее.

    Снимок экрана: ввод имени сервера.

  7. Если пользователь, от имени которого выполняется этот шаг, имеет разрешения на подключение к базе данных, оставьте проверку подлинности Windows. Если администратору SQL Server требуется локальная учетная запись SQL, вместо этого укажите соответствующие учетные данные. Затем выберите Далее.

    Снимок экрана, показывающий аутентификацию Windows.

  8. Введите имя базы данных, которым в этом примере является CONTOSO.

    Снимок экрана: ввод имени базы данных.

  9. На этом экране оставьте настройки по умолчанию и нажмите кнопку Готово.

    Снимок экрана, показывающий выбор кнопки

  10. Чтобы убедиться, что все работает должным образом, нажмите кнопку Проверить источник данных.

    Снимок экрана, показывающий тестовый источник данных.

  11. Убедитесь, что проверка прошла успешно.

    Снимок экрана с сообщением об успешной проверке.

  12. Нажмите дважды кнопку ОК. Закройте администратор источника данных ODBC. Файл подключения DSN сохраняется по умолчанию в папке "Документы ".

3. Установка и настройка агента подготовки Microsoft Entra Connect

Если вы уже загрузили агент настройки и настроили его для другого внутреннего приложения, перейдите к следующему разделу.

  1. Войдите на портал Azure.
  2. Перейдите в корпоративные приложения и выберите "Создать приложение".
  3. Найдите локальное приложение ECMA , присвойте приложению имя и нажмите кнопку "Создать ", чтобы добавить его в клиент.
  4. В меню перейдите на страницу подготовки приложения.
  5. Выберите Начать.
  6. На странице Подготовка измените режим на автоматический.

Снимок экрана: выбор режима

  1. В разделе "Локальное подключение" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

Снимок экрана: место загрузки агента.

  1. Выйдите из портала и запустите установщик агента, примите условия предоставления услуг и выберите Установить.
  2. Дождитесь мастера настройки агента подготовки Microsoft Entra, а затем нажмите кнопку "Далее".
  3. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".
  4. Агент подготовки будет использовать веб-браузер операционной системы, чтобы отобразить всплывающее окно для проверки подлинности в Microsoft Entra ID, а возможно также в поставщике услуг идентификации вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы позволить JavaScript работать правильно.
  5. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется иметь роль Администратора гибридных удостоверений, по крайней мере.
  6. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После того, как установка успешно завершена, вы можете выбрать "Выйти", а также закрыть установщик пакета агента Provisioning.

4. Настройка локального приложения ECMA

  1. На портале, в разделе "Локальное подключение", выберите развернутого агента и нажмите "Назначить агента(-ов)".

    Снимок экрана: как выбрать и назначить агента.

  2. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

5. Настройка сертификата хоста узла соединителя ECMA для Microsoft Entra

  1. На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши Microsoft ECMA2Host Мастер конфигурации в меню "Пуск" и запустите от имени администратора. Запуск программы от имени администратора Windows необходим для того чтобы создать необходимые журналы событий Windows.

  2. После запуска конфигурации узла соединителя ECMA, если вы запускаете мастер впервые, вас попросят создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически созданный сертификат будет самозаверяющим как часть доверенного корневого сертификата. Сертификат SAN соответствует имени узла.

    Снимок экрана: настройка параметров.

  3. Выберите Сохранить.

Примечание.

Если вы решили создать новый сертификат, запишите дату окончания срока действия сертификата, чтобы убедиться, что вы планируете вернуться в мастер конфигурации и повторно создать сертификат до истечения срока его действия.

6. Создание универсального соединителя SQL

В этом разделе вы создадите конфигурацию соединителя для базы данных.

6.1 Настройка подключения к SQL

Чтобы создать универсальный соединитель SQL, выполните следующие действия.

  1. Создайте секретный маркер, который будет использоваться для проверки подлинности идентификатора Microsoft Entra в соединителе. Минимальная длина должна составлять 12 символов, и они должны быть уникальными для каждого приложения.

  2. Если этого еще не сделано, запустите мастер настройки Microsoft ECMA2Host из меню Windows.

  3. Выберите Новый соединитель.

  4. На странице свойств заполните поля значениями, указанными в следующей таблице, и выберите Далее.

    Свойство Значение
    Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде. Например, если у вас есть только одна база данных SQL, SQL
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите секретный маркер, созданный для этого соединителя. Ключ должен быть не менее 12 символов.
    Расширение DLL Для универсального соединителя SQL выберите Microsoft.IAM.Connector.GenericSql.dll.

  5. На странице подключения заполните поля значениями, указанными в следующей таблице, и выберите Далее.

    Свойство Описание
    Файл DSN Файл имени источника данных, созданный на предыдущем шаге и используемый для подключения к экземпляру SQL.
    Имя пользователя Имя пользователя учетной записи с правами на изменение таблицы в экземпляре SQL. Если целевая база данных — SQL Server, и вы используете аутентификацию Windows, имя пользователя должно быть в формате hostname\sqladminaccount для автономных серверов или domain\sqladminaccount для серверов-членов домена. Для других баз данных имя пользователя будет локальной учетной записью в базе данных.
    Пароль Пароль предоставленного имени пользователя.
    DN является якорем Если известно, что для вашей среды эти настройки не требуются, не устанавливайте флажки DN is Anchor и Export Type:Object Replace.

6.2 Получение схемы из базы данных

После предоставления учетных данных узел соединителя ECMA будет готов получить схему базы данных. Перейдите к конфигурации подключения SQL:

  1. На странице Схема 1 нужно привести список типов объектов. В этом примере существует один тип Userобъекта. Заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Значение
    Метод определения типа объекта Фиксированное значение
    Список фиксированных значений, таблица, представление, хранимая процедура Пользователь

  2. После нажатия кнопки Далее будет автоматически отображаться следующая страница для настройки User типа объекта. На странице Схема 2 вы укажете, как представлены пользователи в вашей базе данных. В данном примере это одна таблица SQL с именем Employees. Заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Значение
    Обнаружение Атрибутов Таблица
    Пользователь:Таблица/Представление/ХранимаяПроцедура Имя таблицы в базе данных, например Employees

    Примечание.

    Если возникает ошибка, проверьте конфигурацию базы данных, чтобы убедиться, что пользователь, указанный на странице Подключение, имеет доступ на чтение к схеме базы данных.

  3. После нажатия кнопки "Далее" будет автоматически отображаться следующая страница, чтобы выбрать столбцы указанной ранее таблицы, например Employees таблицу в этом примере, которая будет использоваться в качестве Anchor пользователей и DN пользователей. Эти столбцы содержат уникальные идентификаторы в базе данных. Вы можете использовать одни и те же или разные столбцы, но убедитесь, что все строки, уже имеющиеся в этой базе данных, имеют уникальные значения в этих столбцах. На странице Схема 3 заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Description
    Выберите привязку для пользователя Столбец таблицы базы данных, используемой для привязки, например User:ContosoLogin
    Выбор атрибута отличительного имени для пользователя Столбец базы данных, используемый для атрибута DN, например AzureID

  4. После выбора "Далее," автоматически откроется следующая страница, где вы сможете подтвердить тип данных для каждого из столбцов Employee таблицы, а также решить, должен ли соединитель импортировать или экспортировать их. На странице Схема 4 оставьте значения по умолчанию и нажмите Далее.

    Снимок экрана: страница

  5. На странице Глобальные заполните поля и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана, изображающий глобальную страницу.

    Свойство Описание
    Стратегия Дельта Для IBM DB2 выберите None
    Запрос водяного знака Для IBM DB2 введите SELECT CURRENT TIMESTAMP FROM SYSIBM.SYSDUMMY1;
    Формат даты и времени источника данных Для SQL Server yyyy-MM-dd HH:mm:ss и IBM DB2 YYYY-MM-DD

  6. На странице Секции нажмите кнопку Далее.

    Снимок экрана, на котором показана страница

6.3. Настройка профилей запуска

Далее предстоит настроить профили запуска Экспорт и Полный импорт. Профиль выполнения экспорта будет использоваться, когда узел соединителя ECMA должен отправлять изменения из Microsoft Entra ID в базу данных, для вставки, обновления и удаления записей. Профиль запуска Полный импорт будет использоваться при запуске службы узла соединителя ECMA для считывания текущего содержимого базы данных. В этом примере вы будете использовать метод Table в обоих профилях выполнения, чтобы узел соединителя ECMA создал необходимые инструкции SQL.

Перейдите к конфигурации подключения SQL:

  1. На странице Профили запуска удерживайте флажок Экспорт выбранным. Установите флажок Полный импорт и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Описание
    Экспорт (Export) Запустите профиль, который экспортирует данные в SQL. Этот профиль запуска является обязательным.
    Полный импорт Профиль запуска, который будет импортировать все данные из источников SQL, указанных ранее.
    Импорт изменений Профиль запуска, который будет импортировать только изменения из базы данных SQL с момента последнего полного или дифференциального импорта.

  2. После нажатия кнопки "Далее" откроется следующая страница, чтобы настроить метод для профиля выполнения экспорта . Заполните поля на странице Экспорт и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана: страница

    Свойство Description
    Метод операции Таблица
    Таблица, представление, хранимая процедура Та же таблица, что и на вкладке "Схема 2", например Employees

  3. Заполните поля на странице Полный импорт и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана: страница

    Свойство Описание
    Метод операции Таблица
    Таблица, представление, СХ Та же таблица, что и на вкладке "Схема 2", например Employees

6.4 Настройка того, как атрибуты отображаются в идентификаторе Microsoft Entra

На последнем шаге параметров подключения SQL настройте, как атрибуты отображаются в идентификаторе Microsoft Entra ID:

  1. Заполните поля на странице Типы объектов и нажмите кнопку Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    • Привязка. Значения этого атрибута должны быть уникальными для каждого объекта в целевой базе данных. Служба подготовки Microsoft Entra запрашивает узел соединителя ECMA с помощью этого атрибута после начального цикла. Это значение привязки должно совпадать с столбцом привязки, настроенным ранее на странице схемы 3 .
    • Атрибут запроса. Этот атрибут должен совпадать с привязкой.
    • DN: В большинстве случаев следует выбрать параметр Автогенерация. Если он не выбран, убедитесь, что атрибут DN сопоставлен с атрибутом в идентификаторе Microsoft Entra, который хранит DN в этом формате: CN = anchorValue, Object = objectType Дополнительные сведения о привязках и различающихся именах см. здесь.
    Свойство Описание
    Целевой объект Пользователь
    Привязка Столбец, настроенный на вкладке "Схема 3", например ContosoLogin
    Атрибут запроса Тот же столбец, что и привязка, например ContosoLogin
    DN Тот же столбец, что и на вкладке "Схема 3", например ContosoLogin
    Созданный автоматически Отмечено

  2. Хост соединителя ECMA определяет атрибуты, поддерживаемые базой данных, на которую нацелен. Вы можете выбрать, какие из этих атрибутов вы хотите предоставить идентификатору Microsoft Entra. Затем эти атрибуты можно настроить на портале Azure для подготовки. На странице Выбор атрибутов поочередно добавьте все атрибуты из раскрывающегося списка.

В раскрывающемся списке атрибутов отображается любой атрибут, обнаруженный в целевой базе данных и не выбранный на предыдущей странице выбора атрибутов . После добавления всех соответствующих атрибутов нажмите кнопку Далее.

Снимок экрана: раскрывающийся список атрибутов.

  1. На странице Отзыв в разделе Отключить потоквыберите Удалить. Атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице отзыва. Выберите Готово.

Примечание.

Если вы используете значение атрибута Set, следует учитывать, что разрешены только логические значения.

Снимок экрана: страница

7. Убедитесь, что служба ECMA2Host запущена

  1. На сервере, на котором запущен узел соединителя Microsoft Entra ECMA, нажмите кнопку "Пуск".

  2. Введите run, а потом введите в поле services.msc.

  3. Убедитесь, что Microsoft ECMA2Host отображается в списке служб и она запущена. В противном случае нажмите Start (Запустить).

    Снимок экрана c запущенной службой.

Если вы подключаетесь к новой базе данных или той, которая пуста и не имеет пользователей, перейдите к следующему разделу. В противном случае выполните следующие действия, чтобы убедиться, что соединитель определил существующих пользователей из базы данных.

  1. Если вы недавно запустили службу и имеете много объектов пользователей в базе данных, подождите несколько минут, пока соединитель установит соединение с базой данных.

8. Настройка подключения приложения в портал Azure

  1. Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

    Примечание.

    Если время ожидания окна истекло, то вам нужно будет повторно выбрать агента.

    1. Войдите на портал Azure.
    2. Перейдите в раздел Корпоративные приложения и выберите локальное приложение ECMA.
    3. Выберите "Настройка".
    4. Если появится режим "Начало работы", измените режим на "Автоматический" в разделе "Локальное подключение", выберите агент, который вы развернули, и выберите "Назначить агенты". В противном случае перейдите к разделу Изменение уставки.

  2. Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените {connectorName} часть именем соединителя на узле соединителя ECMA, например SQL. Имя соединителя чувствительно к регистру и должно быть того же регистра, как и было настроено в мастере. Вы также можете заменить localhost на имя узла вашего компьютера.

    Имущество Значение
    URL-адрес клиента https://localhost:8585/ecma2host_{connectorName}/scim

  3. Введите значение секретного токена, которое вы определили при создании соединителя.

    Примечание.

    Если вы назначили агент для приложения только что, подождите 10 минут, пока не завершится регистрация. Проверку подключения можно произвести только после завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите службу агента подготовки Microsoft Entra Connect, щелкните правой кнопкой мыши службу и перезапустите ее.

  4. Нажмите Проверить соединение и подождите одну минуту.

    Снимок экрана: назначение агента

  5. После успешного тестирования подключения, если тестирование показывает, что предоставленные учетные данные разрешены для предоставления разрешений на конфигурацию, выберите Сохранить.

    Снимок экрана, показывающий тестирование агента.

9. Настройка сопоставлений атрибутов

Теперь необходимо сопоставить атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в локальной базе данных SQL приложения.

Вы будете использовать портал Azure для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Убедитесь, что схема Microsoft Entra содержит атрибуты, необходимые базе данных. Если база данных требует, чтобы пользователи имели атрибут, например uidNumber, и этот атрибут еще не является частью схемы Microsoft Entra для пользователя, необходимо использовать функцию расширения каталога для добавления этого атрибута в качестве расширения.

  2. В Центре администрирования Microsoft Entra в разделе "Корпоративные приложения" выберите локальное приложение приложения ECMA, а затем страницу подготовки .

  3. Выберите Редактировать управление настройками и подождите 10 секунд.

  4. Разверните сопоставления и выберите сопоставление пользователей идентификатора Microsoft Entra ID. Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, это будет единственным сопоставлением для заполнителя.

    Снимок экрана, показывающий предоставление доступа пользователю.

  5. Чтобы убедиться, что схема базы данных доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, закройте страницу, чтобы вернуться к списку сопоставлений.

  6. Теперь щелкните на сопоставление userPrincipalName PLACEHOLDER. Это сопоставление добавляется по умолчанию при первой настройке локального развертывания.

Снимок экрана-заполнителя. Измените значения атрибута следующим образом:

Тип сопоставления Атрибут источника Целевой атрибут
Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin

Снимок экрана: изменение значения.

  1. Теперь выберите " Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

    Снимок экрана: добавление сопоставления.

  2. Укажите исходные и целевые атрибуты для каждого сопоставления в следующей таблице.

    Снимок экрана: сохранение сопоставлений.

    Тип сопоставления Атрибут источника Целевой атрибут
    Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin
    Напрямую objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureID
    Напрямую почта urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Напрямую givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:FirstName
    Напрямую surname; urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:LastName
    Напрямую псевдоним почты urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:textID

  3. После добавления всех сопоставлений нажмите кнопку Сохранить.

10. Назначение пользователей приложению

Теперь, когда узел соединителя Microsoft Entra ECMA взаимодействует с Microsoft Entra ID, и настроено сопоставление атрибутов, вы можете перейти к настройке пользователей, которые будут охвачены процессом подготовки.

Внимание

Если вы вошли с помощью роли администратора гибридных удостоверений, необходимо выйти и войти с учетной записью, у которой есть по крайней мере роль администратора приложений для этого раздела. Роль администратора гибридной идентичности не имеет разрешений на назначение пользователей приложениям.

Если в базе данных SQL есть существующие пользователи, вам следует создать в приложении назначения ролей для этих пользователей. Дополнительные сведения о том, как массово назначать роли приложения, см. в разделе управление существующими пользователями приложения в Microsoft Entra ID.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что у пользователя есть все свойства, которые будут сопоставлены с необходимыми атрибутами схемы базы данных.

  2. На портале Azure выберите элемент Корпоративные приложения.

  3. Выберите вариант Локальное приложение ECMA.

  4. В левой части экрана последовательно выберите Управление и Пользователи и группы.

  5. Выберите Добавить пользователя или группу.

    Снимок экрана: добавление пользователя.

  6. В меню Пользователи нажмите Не выбрано.

    Снимок экрана: пункт

  7. Выберите нужных пользователей справа и нажмите кнопку Выбрать.

    Снимок экрана: выбор пользователей

  8. Теперь нажмите Назначить.

    Снимок экрана: назначение пользователей.

11. Настройка тестирования

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. На портале Azure выберите элемент Корпоративные приложения.

  2. Выберите вариант Локальное приложение ECMA.

  3. В левой части экрана выберите элемент Подготовка.

  4. Выберите Подготовка по требованию.

  5. Найдите одного из тестовых пользователей и выберите Предоставить.

    Снимок экрана, показывающий тестирование настройки.

  6. Через несколько секунд появится сообщение Успешно создан пользователь в целевой системе со списком атрибутов пользователя.

12. Начало подготовки пользователей

  1. После успешной подготовки по запросу вернитесь на страницу настройки подготовки. Убедитесь, что в качестве области выбраны только назначенные пользователи и группы, включите предоставление и нажмите кнопку Сохранить.

    Снимок экрана: начало подготовки.

  2. Подождите несколько минут, пока начнется подготовка. Она может занять до 40 минут. После завершения задачи подготовки, как это описано в следующем разделе, если вы закончили тестирование, вы можете изменить состояние подготовки на "Выкл", и выберите Сохранить. После этого служба подготовки перестанет запускаться.

Устранение ошибок подготовки

Если отображается ошибка, выберите Просмотр журналов подготовки. Найдите в журнале строку, в которой находится состояние сбоя, и выберите ее.

Если появляется сообщение об ошибке Не удалось создать пользователя, проверьте атрибуты, отображаемые в требованиях схемы базы данных.

Дополнительные сведения см. на вкладке "Устранение неполадок и рекомендации ". Если драйвер ODBC вернул сообщение, его можно отобразить здесь. Например, сообщение ERROR [23000] [Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert the value NULL into column 'FirstName', table 'CONTOSO.dbo.Employees'; column does not allow nulls. свидетельствует об ошибке драйвера ODBC. В этом случае column does not allow nulls может указывать, что FirstName столбец в базе данных является обязательным, но у пользователя, подготовленного не было givenName атрибута, поэтому пользователь не мог быть подготовлен.

Проверка успешного добавления пользователей

Спустя время проверьте базу данных SQL, чтобы убедиться, что пользователи подготавливаются должным образом.

Снимок экрана проверки обеспечения пользователей.

Приложение А

Если вы используете SQL Server, для создания примера базы данных можно использовать следующий сценарий SQL.

---Creating the Database---------
Create Database CONTOSO
Go
-------Using the Database-----------
Use [CONTOSO]
Go
-------------------------------------

/****** Object:  Table [dbo].[Employees]    Script Date: 1/6/2020 7:18:19 PM ******/
SET ANSI_NULLS ON
GO

SET QUOTED_IDENTIFIER ON
GO

CREATE TABLE [dbo].[Employees](
	[ContosoLogin] [nvarchar](128) NULL,
	[FirstName] [nvarchar](50) NOT NULL,
	[LastName] [nvarchar](50) NOT NULL,
	[Email] [nvarchar](128) NULL,
	[InternalGUID] [uniqueidentifier] NULL,
	[AzureID] [uniqueidentifier] NULL,
	[textID] [nvarchar](128) NULL
) ON [PRIMARY]
GO

ALTER TABLE [dbo].[Employees] ADD  CONSTRAINT [DF_Employees_InternalGUID]  DEFAULT (newid()) FOR [InternalGUID]
GO

Следующие шаги