Поделиться через

Соединитель Microsoft Identity Manager для Microsoft Graph

Сводка

Коннектор Microsoft Identity Manager для Microsoft Graph позволяет реализовывать дополнительные сценарии интеграции для клиентов Microsoft Entra ID P1 или P2. Он отображается в метавселенной синхронизации MIM дополнительных объектов, полученных из API Microsoft Graph версии 1 и бета-версии.

Описанные сценарии

Управление жизненным циклом учетных записей B2B

Начальный сценарий для соединителя Microsoft Identity Manager для Microsoft Graph — это соединитель, помогающий автоматизировать управление жизненным циклом учетных записей AD DS для внешних пользователей. В этом сценарии организация синхронизирует сотрудников с идентификатором Microsoft Entra ID из AD DS с помощью Microsoft Entra Connect, а также пригласила гостей в каталог Microsoft Entra. Приглашение гостя приводит к тому, что внешний объект пользователя находится в каталоге Microsoft Entra организации, который не находится в AD DS этой организации. Затем организация хочет предоставить этим гостям доступ к локальным приложениям встроенной проверки подлинности Windows или Kerberos через прокси-сервер приложения Microsoft Entra или другие механизмы шлюза. Прокси приложения Microsoft Entra требует, чтобы у каждого пользователя была собственная учетная запись AD DS для идентификации и делегирования.

Чтобы узнать, как настроить синхронизацию MIM для автоматического создания и поддержки учетных записей AD DS для гостей, прочитав инструкции в этой статье, продолжайте чтение в статье о бизнес-сотрудничестве (B2B) с MIM 2016 и прокси-сервере приложений Microsoft Entra. В этой статье показаны правила синхронизации, необходимые для соединителя.

Другие сценарии управления удостоверениями

Соединитель можно использовать для других специфичных сценариев управления удостоверениями, включая создание, чтение, обновление и удаление объектов пользователей, групп и контактов в Microsoft Entra ID, помимо синхронизации пользователей и групп с Microsoft Entra ID. При оценке потенциальных сценариев следует помнить: этот соединитель не может работать в сценарии, который может привести к перекрытию потока данных, или вызвать фактический или потенциальный конфликт синхронизации с развертыванием Microsoft Entra Connect. Microsoft Entra Connect рекомендуется интегрировать локальные каталоги с идентификатором Microsoft Entra, синхронизируя пользователей и группы из локальных каталогов с идентификатором Microsoft Entra. Microsoft Entra Connect имеет множество дополнительных функций синхронизации и включает такие сценарии, как обратная запись паролей и устройств, которые недоступны для объектов, созданных MIM. Если данные добавляются в AD DS, например, убедитесь, что Microsoft Entra Connect исключает их из попыток сопоставить эти объекты с каталогом Microsoft Entra. Этот соединитель не может использоваться для внесения изменений в объекты Microsoft Entra, созданные Microsoft Entra Connect.

Подготовка к использованию соединителя для Microsoft Graph

Разрешение коннектора на получение или управление объектами в каталоге Microsoft Entra.

  1. Для соединителя требуется создать веб-приложение или приложение API в идентификаторе Microsoft Entra ID, чтобы его можно было авторизовать с соответствующими разрешениями для работы с объектами Microsoft Entra через Microsoft Graph.

    Изображение кнопки регистрации нового приложения изображение регистрации приложений

    Рисунок 1. Регистрация нового приложения

  2. На портале Azure откройте созданное приложение и сохраните идентификатор приложения в качестве идентификатора клиента, который будет использоваться позже на странице подключения MA:

  3. Создайте новый секрет для клиента, открыв сертификаты & секреты. Задайте описание ключа и выберите максимальную длительность. Сохраните изменения и получите секрет клиента. Значение секрета клиента невозможно будет просмотреть ещё раз после ухода со страницы.

    изображение кнопки добавления нового секрета

    Рисунок 2. Новый секрет клиента

  4. Предоставьте приложению надлежащие разрешения Microsoft Graph, открыв "Разрешения API"

    Изображение кнопки добавления разрешений рисунок 3. Добавление нового API

    Выберите разрешения приложения Microsoft Graph. изображение разрешений приложений

    Отмените все ненужные разрешения.

    Изображение разрешений, не предоставленных приложениям

    В приложение необходимо добавить следующее разрешение, чтобы разрешить ему использовать API Microsoft Graph в зависимости от сценария:

    Операция с объектом Требования к разрешениям Тип разрешения
    Обнаружение схемы Application.Read.All Заявление
    Импорт группы Group.Read.All или Group.ReadWrite.All Заявление
    Импорт пользователя User.Read.All, User.ReadWrite.All, Directory.Read.All или Directory.ReadWrite.All Заявление

    Дополнительные сведения о необходимых разрешениях можно найти в справочнике по разрешениям .

Примечание.

разрешение Application.Read.All является обязательным для обнаружения схемы и должно быть предоставлено независимо от типа объекта, с которым будет работать соединитель.

  1. Предоставьте согласие администратора для выбранных разрешений. изображение предоставленного согласия администратора

Установка соединителя

  1. Перед установкой соединителя убедитесь, что на сервере синхронизации есть следующее:
  • Microsoft .NET 4.6.2 Framework или более поздней версии
  • Microsoft Identity Manager 2016 SP2 должен использовать исправление 4.4.1642.0 KB4021562 или более поздней версии.

  1. Коннектор для Microsoft Graph, наряду с другими коннекторами для Microsoft Identity Manager 2016 SP2, доступен для скачивания из Центра загрузки Майкрософт.

  2. Перезапустите службу синхронизации MIM.

Конфигурация соединителя

  1. В интерфейсе Диспетчера синхронизации выберите Соединители и Создать. Выберите Graph (Microsoft), создайте соединитель и присвойте ему описательное имя.

Новый образ соединителя

  1. В пользовательском интерфейсе службы синхронизации MIM укажите идентификатор приложения и созданный секрет клиента. Каждый агент управления, настроенный в службе "Синхронизация MIM", должен иметь собственное приложение в идентификаторе Microsoft Entra, чтобы избежать параллельного импорта для одного и того же приложения.

Рисунок 4. Страница подключения

Страница подключения (рисунок 4) содержит версию API Graph, используемую и имя клиента. Идентификатор клиента и секрет клиента представляют идентификатор приложения и значение ключа приложения, созданного ранее в идентификаторе Microsoft Entra.

Соединитель по умолчанию использует версию 1.0 и конечные точки входа login и graph глобальной службы Microsoft Graph. Если ваш тенант находится в национальном облаке, вы должны изменить конфигурацию, чтобы использовать конечные точки для национального облака. Обратите внимание, что некоторые функции Graph, которые находятся в глобальной службе, могут быть недоступны во всех национальных облаках.

  1. Внесите необходимые изменения на странице глобальных параметров:

изображение глобальных параметров страницы

Рисунок 5. Страница глобальных параметров

Страница глобальных параметров содержит следующие параметры:

  • Формат DateTime — формат, используемый для любого атрибута с типом Edm.DateTimeOffset. Все даты преобразуются в строку с помощью этого формата во время импорта. Установленный формат применяется для любого атрибута, сохраняющего дату.

  • Время ожидания HTTP (секунды) — время ожидания в секундах, которое будет использоваться при каждом вызове HTTP в Graph.

  • Принудительное изменение пароля для созданного пользователя при следующем входе — этот параметр используется для нового пользователя, который будет создан во время экспорта. Если параметр включен, forceChangePasswordNextSignIn свойство будет иметь значение true, в противном случае значение равно false.

Настройка схемы и операций соединителя

  1. Настройте схему. Соединитель поддерживает следующий список типов объектов при использовании с конечной точкой Graph версии 1.0:

  • Пользователь

    • Полный/разностный импорт

    • Экспорт (добавление, обновление, удаление)

  • Группа

    • Полный/разностный импорт

    • Экспорт (добавление, обновление, удаление)

При настройке соединителя для использования бета-конечной точки Graph могут отображаться дополнительные типы объектов.

Список поддерживаемых типов атрибутов:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (строка в пространстве разъема)

  • microsoft.graph.directoryObject (ссылка в пространстве соединителя на любой из поддерживаемых объектов)

  • microsoft.graph.contact

Многозначные атрибуты (Коллекция) также поддерживаются для любого типа из приведенного выше списка.

Соединитель использует атрибут "id' для привязки и DN для всех объектов. Поэтому переименование не требуется, так как API Graph не позволяет объекту изменять его атрибут id.

Время существования маркера доступа

Приложению Graph требуется маркер доступа для доступа к API Graph. Соединитель будет запрашивать новый токен доступа для каждой итерации импортирования, которая зависит от размера страницы. Рассмотрим пример.

  • Идентификатор Microsoft Entra содержит 10000 объектов

  • Размер страницы, настроенный в соединителе, составляет 5000

В этом случае во время импорта будут две итерации, каждая из них вернет 5000 объектов в Sync. Таким образом, новый маркер доступа будет запрашиваться дважды.

Во время экспорта новый маркер доступа будет запрашиваться для каждого объекта, который необходимо добавить или обновить или удалить.

Фильтры запросов

Конечные точки API Graph предоставляют возможность ограничить количество объектов, возвращаемых запросами GET, введя $filter параметр.

Чтобы включить использование фильтров запросов для повышения производительности при полном импорте, на странице свойств соединителя Схема 1 установите флажок Добавить фильтр объектов.

Настройки соединителя на странице изображения с установленным флажком

После этого на странице схемы 2 введите выражение, которое будет использоваться для фильтрации пользователей, групп, контактов или субъектов-служб.

Настройки соединителя, страница два, изображение с примером фильтра начинается с(displayName,'J')

На снимке экрана выше фильтр startsWith(displayName,'J') установлен для чтения только пользователей, значение атрибута displayName которого начинается с "J".

Убедитесь, что атрибут, используемый в выражении фильтра, выбран в свойствах соединителя.

изображение страницы параметров соединителя с выбранным атрибутом displayName

Дополнительные сведения об использовании параметра запроса $filter см. в этой статье: Использование параметров запроса для настройки ответов.

Примечание.

В настоящее время точка доступа delta-запроса не предлагает возможности фильтрации, поэтому использование фильтров ограничено только полным импортом. При попытке запустить импорт-дельта с включенными фильтрами запросов возникнет ошибка.

Устранение неполадок

Включить журналы

Если в Graph возникли проблемы, журналы можно использовать для локализации проблемы. Таким образом, трассировки можно включить в так же, как и для универсальных соединителей. Или просто добавьте следующее в miiserver.exe.config (внутри раздела system.diagnostics/sources):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

Примечание.

Если включен параметр "Запуск этого агента управления в отдельном процессе", dllhost.exe.config следует использовать вместо miiserver.exe.config.

истек срок действия маркера доступа

Соединитель может вернуть ошибку HTTP 401 Unauthorized, сообщение "Срок действия маркера доступа истек".

изображение сведений об ошибке

Рисунок 6. "Срок действия маркера доступа истек". Ошибка

Причиной этой проблемы может быть настройка времени существования маркера доступа на стороне Azure. По умолчанию срок действия маркера доступа истекает через 1 час. Чтобы продлить срок истечения, ознакомьтесь с этой статьей.

Пример использования общедоступной предварительной версии модуля Azure AD PowerShell .

изображение времени существования токена доступа

New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1, "AccessTokenLifetime":"5:00:00"}}') -DisplayName "OrganizationDefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Дальнейшие действия