Соединитель Microsoft Identity Manager для Microsoft Graph

Соединитель Microsoft Identity Manager для Microsoft Graph предоставляет дополнительные сценарии интеграции для клиентов Microsoft Entra ID P1 или P2. Он синхронизирует объекты, включая пользователей и группы, между синхронизированным метамиром Microsoft Identity Manager и Microsoft Entra через Microsoft Graph API версии 1 и бета.

Просмотр сценариев

Сценарий 1. Управление жизненным циклом учетных записей B2B

В этом сценарии соединитель можно использовать для автоматизации управления жизненным циклом учетных записей доменных служб Active Directory (AD DS) для внешних пользователей.

Организация синхронизирует сотрудников с идентификатором Microsoft Entra ID из AD DS с помощью Microsoft Entra Connect. Они также приглашают гостей в свой каталог Microsoft Entra. Организация хочет предоставить этим гостям доступ к находящейся на территории интегрированной аутентификации Windows или к приложениям на основе Kerberos через прокси приложения Microsoft Entra или другими средствами шлюза.

При приглашении гостя внешний объект пользователя находится в каталоге Microsoft Entra своей организации, но не в AD DS. Прокси приложения Microsoft Entra требует, чтобы у каждого пользователя была собственная учетная запись AD DS для идентификации и делегирования.

В этой статье вы узнаете, как настроить синхронизацию Microsoft Identity Manager для автоматического создания и обслуживания учетных записей AD DS для гостей. Затем вы можете прочитать о совместной работе Microsoft Entra business-to-business (B2B) с Microsoft Identity Manager 2016 и прокси-сервером приложения Microsoft Entra, которая показывает правила синхронизации, необходимые для соединителя.

Перенос атрибутов удостоверений из Microsoft Identity Manager в Microsoft Entra

Соединитель Microsoft Identity Manager для Microsoft Graph можно использовать в рамках стратегии миграции для перемещения пользователей и групп и их атрибутов из Microsoft Identity Manager в Microsoft Entra.

Представьте, что вы управляете группами в Microsoft Identity Manager с помощью портала Microsoft Identity Manager для самостоятельного или динамического вычисления членства в группах. Эти группы можно настроить из службы синхронизации Microsoft Identity Manager в Microsoft Entra в качестве облачных групп. Затем эти группы можно удалить из Microsoft Identity Manager.

Другие сценарии управления удостоверениями

Соединитель можно использовать для других конкретных сценариев управления удостоверениями за пределами синхронизации пользователей и групп с идентификатором Microsoft Entra. Его можно использовать для выполнения операций создания, чтения, обновления и удаления объектов пользователей, групп и контактов в Microsoft Entra ID.

Однако этот соединитель нельзя использовать в сценарии, который приведет к перекрытию потока данных или фактическому или потенциальному конфликту синхронизации с развертыванием Microsoft Entra Connect.

Рекомендуется использовать Microsoft Entra Connect для интеграции локальных каталогов с идентификатором Microsoft Entra ID, синхронизируя пользователей и группы из локальных каталогов с идентификатором Microsoft Entra.

Microsoft Entra Connect имеет гораздо больше функций синхронизации и поддерживает обратную запись паролей и устройств, что невозможно для объектов, создаваемых с помощью Microsoft Identity Manager.

Например, если вы переносите данные в AD DS, обязательно исключите их из процесса Microsoft Entra Connect, который пытается сопоставить эти объекты с каталогом Microsoft Entra. Этот соединитель также не может вносить изменения в объекты Microsoft Entra, созданные Microsoft Entra Connect.

Подготовка к использованию соединителя для Microsoft Graph

Авторизуйте соединитель для получения или управления объектами в каталоге Microsoft Entra

  1. Чтобы использовать соединитель, необходимо создать учетную запись службы и веб-приложение или API-приложение в Microsoft Entra ID. Этот процесс предоставляет соединителю соответствующие разрешения для работы с объектами Microsoft Entra через Microsoft Graph.

    Снимок экрана: кнопка регистрации нового приложения.

    Снимок экрана: регистрация приложения.

  2. На портале Microsoft Entra откройте созданное приложение и сохраните идентификатор приложения в качестве идентификатора клиента, который будет использоваться позже на странице подключения для агента управления соединителем Graph.

  3. Создайте новый секрет клиента, выбрав сертификаты и секреты. Введите описание ключа и выберите максимальную длительность. Сохраните и извлеките секрет клиента. Вы не сможете увидеть значение секрета клиента после выхода страницы.

    Снимок экрана: кнопка

  4. Предоставьте необходимые разрешения Microsoft Graph для сценария приложению, выбрав разрешения API.

    Снимок экрана: кнопка

  5. Выберите разрешения приложения Microsoft Graph.

    Снимок экрана: разрешения приложений.

  6. Отмените все существующие разрешения, которые вам не нужны.

    Снимок экрана, на котором показано, что разрешения приложений не предоставлены.

  7. Добавьте в приложение следующие разрешения, чтобы разрешить ему использовать API Microsoft Graph в зависимости от сценария:

    Операция с объектом Требования к разрешениям Тип разрешения
    Обнаружение схемы Application.Read.All Заявление
    Импорт группы Group.Read.All или Group.ReadWrite.All Заявление
    Импорт пользователя User.Read.All, User.ReadWrite.All, Directory.Read.Allили Directory.ReadWrite.All Заявление

    Дополнительные сведения о необходимых разрешениях см. в справочнике по разрешениям.

    Примечание.

    Для обнаружения схем необходимо использовать разрешение Application.Read.All, независимо от типа соединителя объекта.

  8. Предоставьте согласие администратора для выбранных разрешений.

    Снимок экрана: предоставленное согласие администратора.

Установка соединителя

  1. Перед установкой соединителя убедитесь, что сервер синхронизации содержит следующее программное обеспечение:

    • Microsoft .NET 4.6.2 Framework или более поздней версии
    • Microsoft Identity Manager 2016 с пакетом обновления 2 (SP2), используя исправление 4.4.1642.0 KB4021562 или более поздней версии

  2. Коннектор для Microsoft Graph, помимо других коннекторов для Microsoft Identity Manager 2016 с пакетом обновления 3 (SP3), доступен для загрузки из Центра загрузки Майкрософт.

  3. Перезапустите службу синхронизации Microsoft Identity Manager.

Настройка соединителя

  1. В интерфейсе Диспетчера синхронизации выберите Соединители>Создать. Выберите Graph (Майкрософт) и создайте соединитель. Присвойте ему описательное имя.

    Снимок экрана: новый соединитель.

  2. В пользовательском интерфейсе службы синхронизации Microsoft Identity Manager укажите идентификатор приложения и созданный секрет. Каждый агент управления, настроенный в пользовательском интерфейсе службы синхронизации Microsoft Identity Manager, должен иметь собственное приложение в идентификаторе Microsoft Entra. Вы не можете выполнять несколько импортов параллельно для одного приложения.

Страница подключения указывает версию API Microsoft Graph и доменное имя клиента. Идентификатор клиента и секрет клиента представляют идентификатор приложения и значение ключа приложения, созданного в идентификаторе Microsoft Entra.

Соединитель по умолчанию использует версию 1.0, а также конечные точки входа и графа глобальной службы Microsoft Graph.

Если клиент находится в национальном облаке, необходимо изменить конфигурацию, чтобы использовать конечные точки для национального облака. Некоторые функции Microsoft Graph, которые находятся в глобальной службе, могут быть недоступны во всех национальных облаках.

Внесите необходимые изменения на страницу глобальных параметров .

Снимок экрана: страница глобальных параметров.

Страница глобальных параметров содержит следующие параметры:

  • Формат DateTime: формат, используемый для любого атрибута с типом Edm.DateTimeOffset . Все даты преобразуются в строки с помощью этого формата во время импорта. Установленный формат применяется для любого атрибута, содержащего дату.

  • Время ожидания HTTP (секунды): время ожидания в секундах, используемое при каждом вызове HTTP в Microsoft Graph.

  • Принудительное изменение пароля для созданного пользователя при следующем входе. Используйте этот параметр при создании нового пользователя во время экспорта. Если параметр включен, forceChangePasswordNextSignIn свойство имеет значение true. В противном случае, это ложь.

Настройка схемы и операций соединителя

Затем настройте схему. Соединитель поддерживает следующий список типов объектов при использовании с конечной точкой Microsoft Graph версии 1.0:

  • Пользователь

    • Полный/разностный импорт
    • Экспорт (добавление, обновление, удаление)

  • Группа

    • Полный/разностный импорт
    • Экспорт (добавление, обновление, удаление)

При настройке соединителя для использования конечной точки бета-версии Microsoft Graph могут отображаться дополнительные типы объектов.

Поддерживаются следующие типы атрибутов:

  • Edm.Boolean
  • Edm.String
  • Edm.DateTimeOffset (строка в пространстве разъема)
  • microsoft.graph.directoryObject (ссылка в пространстве соединителя на любой из поддерживаемых объектов)
  • microsoft.graph.contact

Многозначные атрибуты (коллекция) также поддерживаются для любого типа атрибута в предыдущем списке.

Соединитель id использует атрибут для привязки и различающегося имени для всех объектов. Не нужно ничего переименовать, так как API Microsoft Graph не позволяет объекту изменять его id атрибут.

Планирование времени существования маркера доступа

Приложению Microsoft Graph требуется маркер доступа для доступа к API Microsoft Graph. Соединители запрашивают новый маркер доступа для каждой итерации импорта (в зависимости от размера страницы). Рассмотрим пример.

  • Идентификатор Microsoft Entra содержит 10 000 объектов.
  • Размер страницы, настроенный в соединителе, составляет 5 000.

В этом случае во время импорта происходит две итерации. Каждый из них возвращает 5000 объектов для синхронизации. Таким образом, новый маркер доступа запрашивается дважды.

Во время экспорта запрашивается новый маркер доступа для каждого объекта, который должен быть добавлен, обновлен или удален.

Настройка фильтров запросов

Вы можете использовать конечные точки API Microsoft Graph для ограничения количества объектов, которые возвращаются при запросах с использованием фильтров. Используйте параметр $filter.

Чтобы улучшить полный цикл производительности импорта, можно включить фильтры запросов.

  1. На странице "Схема 1" свойств соединителя установите флажок "Добавить фильтр объектов".

    Снимок экрана: страница параметров соединителя на одном изображении с установленным флажком

  2. На странице Схема 2 введите выражение для фильтрации пользователей, групп, контактов или служебных принципалов.

    Снимок экрана: страница параметров соединителя с двумя изображениями с примером фильтра.

    На предыдущем снимке экрана фильтр startsWith(displayName,'J') устанавливается только для чтения пользователей, значение атрибута которого displayName начинается с J.

    Убедитесь, что атрибут, используемый в выражении фильтра, выбран в свойствах соединителя.

    Снимок экрана: изображение страницы параметров соединителя с выбранным атрибутом displayName.

Дополнительные сведения об использовании $filter параметра запроса см. в разделе "Использование параметров запроса" для настройки ответов.

Примечание.

Конечная точка разностного запроса в настоящее время не предлагает возможности фильтрации, а использование фильтров ограничено только полным импортом. При попытке запустить разностный импорт с включенными фильтрами запросов возникает ошибка.

Troubleshoot

Включение журналов

Если в Microsoft Graph возникли проблемы, можно использовать журналы для локализации проблемы. Трассировки можно включить так же, как включить универсальные соединители. Вы также можете просто добавить следующее в miiserver.exe.config, находящееся в разделе system.diagnostics/sources:

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Примечание.

Если Run this management agent in a separate process включён, следует использовать dllhost.exe.config вместо miiserver.exe.config.

Ошибка истечения срока действия токена доступа

Соединитель может вернуть ошибку HTTP 401 Unauthorized с сообщением "Токен доступа истек".

Снимок экрана: изображение сведений об ошибке.

Эта проблема может возникнуть из-за конфигурации времени существования маркера доступа в Microsoft Entra. По умолчанию срок действия маркера доступа истекает через один час. Чтобы увеличить срок действия, ознакомьтесь с этой статьей.

В следующем примере используется общедоступная предварительная версия модуля PowerShell Azure AD.

Снимок экрана: изображение времени существования маркера доступа.

New-AzureADPolicy -Definition \@('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault \$true -Type "TokenLifetimePolicy"

Связанный контент

  • Last updated on