Zřizování pomocí konektoru webových služeb
Následující dokumentace obsahuje informace o obecném konektoru webových služeb. Zásady správného řízení Microsoft Entra ID podporují zřizování účtů do různých aplikací, jako jsou SAP ECC, Oracle eBusiness Suite a obchodní aplikace, které zpřístupňují rozhraní REST nebo SOAP API. Zákazníci, kteří dříve nasadili MIM pro připojení k těmto aplikacím, se můžou snadno přepnout na použití jednoduchého zřizovacího agenta Microsoft Entra a současně znovu použít stejný konektor webových služeb vytvořený pro MIM.
Podporované funkce
- Vytvořte uživatele ve vaší aplikaci.
- Odeberte uživatele ve vaší aplikaci, když už nepotřebují přístup.
- Udržujte atributy uživatele synchronizované mezi ID Microsoft Entra a vaší aplikací.
- Zjistěte schéma vaší aplikace.
Konektor webových služeb implementuje následující funkce:
Zjišťování PROTOKOLU SOAP: Umožňuje správci zadat cestu WSDL vystavenou cílovou webovou službou. Zjišťování vytvoří stromovou strukturu hostovaných webových služeb aplikace s jejich vnitřními koncovými body nebo operacemi spolu s popisem metadat operace. Počet operací zjišťování, které je možné provést (krok za krokem), není nijak omezený. Zjištěné operace se později použijí ke konfiguraci toku operací, které implementují operace konektoru proti zdroji dat (jako import/export).
Zjišťování REST: Umožňuje správci zadat podrobnosti o službě REST, včetně koncového bodu služby, cesty prostředku, metody a podrobností parametrů. Informace o službách REST jsou uloženy v souboru
discovery.xml
projektuwsconfig
. Později je správce použije ke konfiguraci aktivity webové služby REST v pracovním postupu.Konfigurace schématu: Umožňuje správci nakonfigurovat schéma. Konfigurace schématu obsahuje seznam typů objektů a atributů pro konkrétní aplikaci. Správce může zvolit atributy, které mají být součástí schématu.
Konfigurace toku operací: Uživatelské rozhraní návrháře pracovního postupu pro konfiguraci implementace operací importu a exportu na typ objektu prostřednictvím vystavených funkcí operací webové služby, včetně přiřazení parametrů ze zřízeného uživatele do funkcí webové služby.
Předpoklady pro zřizování
Místní požadavky
Počítač, na kterém běží agent zřizování, by měl mít:
- Připojení ke koncovým bodům REST nebo SOAP aplikace a odchozímu připojení k login.microsoftonline.com, dalším online službám Microsoftu a doménám Azure Příkladem je virtuální počítač s Windows Serverem 2016 hostovaným v Azure IaaS nebo za proxy serverem.
- Alespoň 3 GB paměti RAM pro hostování zřizovacího agenta.
- .NET Framework 4.7.2
- Windows Server 2016 nebo novější verze
Před konfigurací zřizování se ujistěte, že:
- Zpřístupněte v aplikaci potřebná rozhraní SOAP nebo REST API pro vytváření, aktualizaci a odstraňování uživatelů.
Požadavky na cloud
Tenant Microsoft Entra s Microsoft Entra ID P1 nebo Premium P2 (nebo EMS E3 nebo E5).
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
Role Správce hybridní identity pro konfiguraci agenta zřizování a rolí Správce aplikací nebo Správce cloudových aplikací pro konfiguraci zřizování na webu Azure Portal.
Uživatelé Microsoft Entra, kteří mají být zřízeni pro vaši aplikaci, musí být již naplněni všemi atributy vyžadovanými vaší aplikací.
Instalace a konfigurace agenta zřizování Microsoft Entra Connect
- Přihlaste se k portálu Azure.
- Přejděte do podnikových aplikací a vyberte Nová aplikace.
- Vyhledejte místní aplikaci aplikace ECMA, pojmenujte ji a vyberte Vytvořit a přidejte ji do svého tenanta.
- V nabídce přejděte na stránku Zřizování vaší aplikace.
- Vyberte Začínáme.
- Na stránce Zřizování změňte režim na Automatický.
V části Místní připojení vyberte Stáhnout a nainstalovat a vyberte Přijmout podmínky a stáhnout.
Nechte portál a spusťte instalační program agenta zřizování, odsouhlaste podmínky služby a vyberte Nainstalovat.
Počkejte na průvodce konfigurací agenta zřizování Microsoft Entra a pak vyberte Další.
V kroku Vybrat rozšíření vyberte místní zřizování aplikací a pak vyberte Další.
Agent poskytování používá webový prohlížeč operačního systému k zobrazení vyskakovacího okna, díky kterému se můžete ověřit v Microsoft Entra ID a případně i u poskytovatele identity vaší organizace. Pokud používáte Internet Explorer jako prohlížeč na Windows Serveru, možná budete muset přidat weby Microsoftu do seznamu důvěryhodných webů prohlížeče, aby mohl JavaScript běžet správně.
Po zobrazení výzvy k autorizaci zadejte přihlašovací údaje pro správce Microsoft Entra. Uživatel musí mít alespoň roli Správce hybridní identity.
Výběrem možnosti Potvrdit potvrďte nastavení. Po úspěšném dokončení instalace můžete vybrat možnost Ukončit a také zavřít instalační program balíčku agenta zřizování.
Konfigurace místní aplikace ECMA
Na portálu v části Místní připojení vyberte agenta, kterého jste nasadili, a vyberte Přiřadit agenty.
Nechte toto okno prohlížeče otevřené, až dokončíte další krok konfigurace pomocí průvodce konfigurací.
Konfigurace certifikátu hostitele konektoru Microsoft Entra ECMA
Na Windows Serveru, na kterém je nainstalovaný agent zřizování, vyberte pravým tlačítkem Průvodce konfigurací microsoft ECMA2Host z nabídky Start a spusťte ho jako správce. Spuštění jako správce Systému Windows je nezbytné k vytvoření potřebných protokolů událostí systému Windows průvodce.
Po spuštění konfigurace hostitele konektoru ECMA se při prvním spuštění průvodce zobrazí žádost o vytvoření certifikátu. Ponechte výchozí port 8585 a vyberte Vygenerovat certifikát a vygenerujte certifikát. Automaticky vygenerovaný certifikát je samopodepsaný jako součást důvěryhodného kořenového certifikátu. Síť SAN certifikátu odpovídá názvu hostitele.
Zvolte Uložit.
Vytvoření šablony konektoru webových služeb
Před vytvořením konfigurace konektoru webových služeb musíte vytvořit šablonu konektoru webových služeb a přizpůsobit ji tak, aby vyhovovala potřebám vašeho konkrétního prostředí. Ujistěte se, že název služby, název_koncového bodu a název_operace jsou správné.
Ukázkové šablony a pokyny k integraci s oblíbenými aplikacemi, jako jsou SAP ECC 7.0 a Oracle eBusiness Suite, najdete v balíčku ke stažení konektorů. Pomocí průvodce pracovním postupem pro SOAP se dozvíte, jak vytvořit nový projekt pro zdroj dat v nástroji pro konfiguraci webové služby.
Další informace o tom, jak nakonfigurovat šablonu pro připojení k rozhraní REST nebo SOAP API vlastní aplikace, najdete v tématu Přehled obecného konektoru webové služby v knihovně dokumentace MIM.
Konfigurace obecného konektoru webových služeb
V této části vytvoříte konfiguraci konektoru pro vaši aplikaci.
Připojení agenta zřizování k aplikaci
Pokud chcete připojit agenta zřizování Microsoft Entra s vaší aplikací, postupujte takto:
Zkopírujte soubor šablony
.wsconfig
konektoruC:\Program Files\Microsoft ECMA2Host\Service\ECMA
webové služby do složky.Vygenerujte tajný token, který se používá k ověřování ID Microsoft Entra pro konektor. Pro každou aplikaci by mělo být minimálně 12 znaků a jedinečné.
Pokud jste to ještě neudělali, spusťte Průvodce konfigurací Microsoft ECMA2Host z windows nabídka Start.
Vyberte Nový konektor.
Na stránce Vlastnosti vyplňte pole hodnotami uvedenými v tabulce, která následuje za obrázkem, a vyberte Další.
Vlastnost Hodnota Name Název, který jste zvolili pro konektor, by měl být jedinečný pro všechny konektory ve vašem prostředí. Časovač automatické synchronizace (minuty) 120 Token tajného kódu Zadejte tajný token, který jste pro tento konektor vygenerovali. Klíč by měl obsahovat minimálně 12 znaků. Rozšiřující knihovna DLL Pro konektor webových služeb vyberte Microsoft.IdentityManagement.MA.WebServices.dll. Na stránce Připojení vyplňte pole hodnotami zadanými v tabulce, která následuje za obrázkem, a vyberte Další.
Vlastnost Popis Projekt webové služby Název šablony webových služeb Hostitelský počítač Název hostitele koncového bodu SOAP vaší aplikace, například vhcalnplci.dummy.nodomain Port Port koncového bodu SOAP vaší aplikace, například 8000 Na stránce Možnosti vyplňte pole hodnotami uvedenými v následující tabulce a vyberte Další.
Vlastnost Hodnota Rozlišující styl názvu Obecná Typ exportu ObjectReplace Normalizace dat Nic Potvrzení objektu Normální Povolit import Zkontrolováno Povolení rozdílového importu Nezaškrtnuto Povolit export Zkontrolováno Povolit úplný export Nezaškrtnuto Povolení exportu hesla v prvním průchodu Zkontrolováno Žádné referenční hodnoty v prvním průchodu exportu Nezaškrtnuto Povolit přejmenování objektu Nezaškrtnuto Delete-Add as Replace Nezaškrtnuto
Poznámka:
Pokud je šablona konektoru webových služeb otevřena pro úpravy v nástroji pro konfiguraci webové služby, zobrazí se chyba.
Na stránce Globální vyplňte pole a vyberte Další.
Na stránce Oddíly vyberte Další.
Na stránce Profily spuštění ponechte políčko Exportovat zaškrtnuté. Zaškrtněte políčko Úplný import a vyberte Další. Profil spuštění exportu se používá, když je potřeba, aby hostitel konektoru ECMA odesílal změny z Microsoft Entra ID do vaší aplikace za účelem vložení, aktualizace a odstranění záznamů. Běhový profil úplného importu se používá při startu hostitelské služby konektoru ECMA k přečtení aktuálního obsahu vaší aplikace.
Vlastnost Hodnota Export Spusťte profil, který exportuje data do vaší aplikace. Tento profil spuštění je povinný. Úplný import Spusťte profil, který importuje všechna data z vaší aplikace. Rozdílový import Spusťte profil, který importuje jenom změny z vaší aplikace od posledního úplného nebo rozdílového importu. Na stránce Typy objektů vyplňte pole a vyberte Další. Pro pokyny k jednotlivým polím použijte tabulku, která následuje za obrázkem.
Ukotvení : Hodnoty tohoto atributu by měly být jedinečné pro každý objekt v cílovém systému. Služba zřizování Microsoft Entra dotazuje hostitele konektoru ECMA pomocí tohoto atributu po počátečním cyklu. Tato hodnota je definována v šabloně konektoru webových služeb.
DN : Ve většině případů by měla být vybrána možnost Automaticky vygenerovaná. Pokud není vybraná, ujistěte se, že je atribut DN mapován na atribut v Microsoft Entra ID, který ukládá DN v tomto formátu: CN = anchorValue, Object = objectType. Další informace o ukotvení a DN naleznete v tématu o atributech ukotvení a rozlišujících názvech.
Vlastnost Hodnota Cílový objekt Uživatelská Záložka userName DN userName Automaticky vygenerováno Zkontrolováno
Hostitel konektoru ECMA zjistí atributy podporované vaší aplikací. Pak můžete zvolit, které z zjištěných atributů chcete zveřejnit pro ID Microsoft Entra. Tyto atributy je pak možné nakonfigurovat na webu Azure Portal pro zřizování. Na stránce Vybrat atributy přidejte všechny atributy v rozevíracím seznamu po jednom. Rozevírací seznam Atribut zobrazuje všechny atributy, které byly zjištěny ve vaší aplikaci a nebyly vybrány na předchozí stránce Vybrat atributy. Po přidání všech relevantních atributů vyberte Další.
Na stránce Zrušení zřízení v části Zakázat tok vyberte Odstranit. Atributy vybrané na předchozí stránce nebudou k dispozici pro výběr na stránce Zrušení zřízení. Vyberte Dokončit.
Poznámka:
Pokud použijete hodnotu atributu Set, mějte na paměti, že jsou povoleny pouze logické hodnoty.
Na stránce Zrušení zřízení v části Zakázat tok vyberte Žádné, pokud budete řídit stav uživatelského účtu pomocí vlastnosti, jako je například expirationTime. V části Odstranit tok vyberte Možnost Žádné, pokud nechcete odstranit uživatele z aplikace nebo Odstranit, pokud to uděláte. Vyberte Dokončit.
Ujistěte se, že je spuštěná služba ECMA2Host.
Na serveru, na kterém běží hostitel konektoru Microsoft Entra ECMA, vyberte Spustit.
Do pole zadejte spuštění a zadejte services.msc.
V seznamu Služby se ujistěte, že je microsoft ECMA2Host přítomný a spuštěný. Pokud ne, vyberte Spustit.
Pokud jste službu nedávno spustili a máte v aplikaci mnoho uživatelských objektů, počkejte několik minut, než konektor naváže připojení k aplikaci a provede počáteční úplný import.
Konfigurace připojení aplikace na webu Azure Portal
Vraťte se do okna webového prohlížeče, ve kterém jste konfigurovali zřizování aplikací.
Poznámka:
Pokud časový limit okna vypršel, budete muset agenta znovu vybrat.
- Přihlaste se k portálu Azure.
- Přejděte do podnikových aplikací a místní aplikace ECMA.
- Vyberte Zřizování.
- Vyberte Začínáme a pak změňte režim na Automatický, v části Místní připojení vyberte agenta, kterého jste nasadili, a vyberte Přiřadit agenty. V opačném případě přejděte ke zřizování pro úpravy.
V části Přihlašovací údaje správce zadejte následující adresu URL.
{connectorName}
Část nahraďte názvem konektoru na hostiteli konektoru ECMA. V názvu konektoru se rozlišují malá a velká a malá písmena by měla být stejná jako v průvodci. Můžete také nahraditlocalhost
názvem hostitele počítače.Vlastnost Hodnota Adresa URL tenanta https://localhost:8585/ecma2host_APP1/scim
Zadejte hodnotu tajného tokenu, kterou jste definovali při vytváření konektoru.
Poznámka:
Pokud jste agentovi právě přiřadili aplikaci, počkejte 10 minut, než se registrace dokončí. Test připojení nebude fungovat, dokud se registrace nedokončí. Vynucení registrace agenta k dokončení restartováním zřizovacího agenta na vašem serveru může proces registrace urychlit. Přejděte na server, vyhledejte služby ve vyhledávacím panelu Windows, najděte Microsoft Entra Connect Provisioning Agent Service, klikněte pravým tlačítkem na službu a restartujte ji.
Vyberte Test připojení a počkejte jednu minutu.
Po úspěšném testu připojení a indikuje, že zadané přihlašovací údaje mají oprávnění k povolení zřizování, vyberte Uložit.
Konfigurace mapování atributů
Teď namapujete atributy mezi reprezentací uživatele v Microsoft Entra ID a reprezentací uživatele ve vaší aplikaci.
Pomocí webu Azure Portal nakonfigurujete mapování mezi atributy uživatele Microsoft Entra a atributy, které jste předtím vybrali v průvodci konfigurací hostitele ECMA.
Ujistěte se, že schéma Microsoft Entra obsahuje atributy, které vaše aplikace vyžaduje. Pokud vyžaduje, aby uživatelé měli atribut a tento atribut ještě není součástí vašeho schématu Microsoft Entra pro uživatele, budete muset k přidání tohoto atributu jako rozšíření použít funkci rozšíření adresáře
. V Centru pro správu Microsoft Entra v části Podnikové aplikace vyberte místní aplikaci aplikace ECMA a pak stránku Zřizování .
Vyberte Upravit zřizování a počkejte 10 sekund.
Rozbalte mapování a vyberte Zřídit uživatele Microsoft Entra. Pokud jste mapování atributů pro tuto aplikaci nakonfigurovali poprvé, bude pro zástupný symbol k dispozici pouze jedno mapování.
Chcete-li ověřit, že schéma aplikace je k dispozici v Microsoft Entra ID, zaškrtněte políčko Zobrazit pokročilé možnosti a vyberte Upravit seznam atributů pro ScimOnPremises. Ujistěte se, že jsou uvedené všechny atributy vybrané v průvodci konfigurací. Pokud ne, počkejte několik minut, než se schéma aktualizuje, a pak stránku znovu načtěte. Jakmile se zobrazí uvedené atributy, zrušte z této stránky, abyste se vrátili do seznamu mapování.
Teď vyberte mapování userPrincipalName PLACEHOLDER. Toto mapování se ve výchozím nastavení přidá při první konfiguraci místního zřizování.
Změňte hodnotu tak, aby odpovídala následujícímu:
Typ mapování | Zdrojový atribut | Cílový atribut |
---|---|---|
Direct | userPrincipalName (Hlavní název uživatele) | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
Teď vyberte Přidat nové mapování a opakujte další krok pro každé mapování.
Zadejte zdrojové a cílové atributy pro každý z atributů, které vaše aplikace vyžaduje. Příklad:
Atribut Microsoft Entra Atribut ScimOnPremises Odpovídající priorita Použít toto mapování ToUpper(Word([userPrincipalName], 1; "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 0 Pouze během vytváření objektu Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Pouze během vytváření objektu city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Always companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Always department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Always pošta urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Always Switch([IsSoftDeleted], , "False", "9999-12-31"; "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Always givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Always surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Always telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Always jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Always Po přidání všech mapování vyberte Uložit.
Přiřazení uživatelů k aplikaci
Nyní, když vám hostitel konektoru Microsoft Entra ECMA komunikuje s identitou Microsoft Entra a máte nakonfigurované mapování atributů, můžete přejít ke konfiguraci toho, kdo bude zahrnut do oblasti zřizování.
Důležité
Pokud jste byli přihlášení pomocí role Správce hybridní identity, musíte se odhlásit a přihlásit pomocí účtu, který má alespoň roli správce aplikace pro tuto část. Role Správce hybridní identity nemá oprávnění k přiřazování uživatelů k aplikacím.
Pokud ve vaší aplikaci existují uživatelé, měli byste pro tyto stávající uživatele vytvořit přiřazení rolí aplikace. Další informace o hromadném vytváření přiřazení rolí aplikace najdete v tématu Řízení stávajících uživatelů aplikace v Microsoft Entra ID.
V opačném případě, pokud neexistují žádní aktuální uživatelé aplikace, vyberte testovacího uživatele z Microsoft Entra, který bude zřízen pro aplikaci.
Ujistěte se, že uživatel, kterého vyberete, má všechny vlastnosti, které se mají namapovat na požadované atributy vaší aplikace.
Na webu Azure Portal vyberte Podnikové aplikace.
Vyberte místní aplikaci aplikace ECMA.
Na levé straně v části Spravovat vyberte Uživatelé a skupiny.
Vyberte Přidat uživatele nebo skupinu.
V části Uživatelé vyberte Možnost Žádná vybrána.
Vyberte uživatele zprava a vyberte tlačítko Vybrat .
Teď vyberte Přiřadit.
Testování zřizování
Teď, když jsou atributy mapované a uživatelé jsou přiřazeni, můžete otestovat zřizování na vyžádání u jednoho z vašich uživatelů.
Na webu Azure Portal vyberte Podnikové aplikace.
Vyberte místní aplikaci aplikace ECMA.
Na levé straně vyberte Zřizování.
Vyberte Zřídit na vyžádání.
Vyhledejte jednoho z testovacích uživatelů a vyberte Zřídit.
Po několika sekundách se zobrazí zpráva Úspěšně vytvořený uživatel v cílovém systému se seznamem atributů uživatele.
Zahájení zřizování uživatelů
Po úspěšném zřízení na vyžádání se vraťte na stránku konfigurace zřizování. Ujistěte se, že je obor nastavený jenom na přiřazené uživatele a skupiny, zapněte zřizování a vyberte Uložit.
Počkejte až 40 minut, než se služba zřizování spustí. Po dokončení úlohy zřizování, jak je popsáno v další části, pokud jste dokončili testování, můžete změnit stav zřizování na Vypnuto a vybrat Uložit. Tato akce zastaví spuštění služby zřizování v budoucnu.
Řešení chyb zřizování
Pokud se zobrazí chyba, vyberte Zobrazit protokoly zřizování. Vyhledejte v protokolu řádek, ve kterém je Stav selhání, a vyberte na daném řádku.
Další informace najdete na kartě Poradce při potížích a doporučení .