Sdílet prostřednictvím


Zřizování pomocí konektoru webových služeb

Následující dokumentace obsahuje informace o obecném konektoru webových služeb. Zásady správného řízení Microsoft Entra ID podporují zřizování účtů do různých aplikací, jako jsou SAP ECC, Oracle eBusiness Suite a obchodní aplikace, které zpřístupňují rozhraní REST nebo SOAP API. Zákazníci, kteří dříve nasadili MIM pro připojení k těmto aplikacím, se můžou snadno přepnout na použití jednoduchého zřizovacího agenta Microsoft Entra a současně znovu použít stejný konektor webových služeb vytvořený pro MIM.

Podporované funkce

  • Vytvořte uživatele ve vaší aplikaci.
  • Odeberte uživatele ve vaší aplikaci, když už nepotřebují přístup.
  • Udržujte atributy uživatele synchronizované mezi ID Microsoft Entra a vaší aplikací.
  • Zjistěte schéma vaší aplikace.

Konektor webových služeb implementuje následující funkce:

  • Zjišťování PROTOKOLU SOAP: Umožňuje správci zadat cestu WSDL vystavenou cílovou webovou službou. Zjišťování vytvoří stromovou strukturu hostovaných webových služeb aplikace s jejich vnitřními koncovými body nebo operacemi spolu s popisem metadat operace. Počet operací zjišťování, které je možné provést (krok za krokem), není nijak omezený. Zjištěné operace se později použijí ke konfiguraci toku operací, které implementují operace konektoru proti zdroji dat (jako import/export).

  • Zjišťování REST: Umožňuje správci zadat podrobnosti o službě REST, včetně koncového bodu služby, cesty prostředku, metody a podrobností parametrů. Informace o službách REST jsou uloženy v souboru discovery.xml projektu wsconfig. Později je správce použije ke konfiguraci aktivity webové služby REST v pracovním postupu.

  • Konfigurace schématu: Umožňuje správci nakonfigurovat schéma. Konfigurace schématu obsahuje seznam typů objektů a atributů pro konkrétní aplikaci. Správce může zvolit atributy, které mají být součástí schématu.

  • Konfigurace toku operací: Uživatelské rozhraní návrháře pracovního postupu pro konfiguraci implementace operací importu a exportu na typ objektu prostřednictvím vystavených funkcí operací webové služby, včetně přiřazení parametrů ze zřízeného uživatele do funkcí webové služby.

Předpoklady pro zřizování

Místní požadavky

Počítač, na kterém běží agent zřizování, by měl mít:

  • Připojení ke koncovým bodům REST nebo SOAP aplikace a odchozímu připojení k login.microsoftonline.com, dalším online službám Microsoftu a doménám Azure Příkladem je virtuální počítač s Windows Serverem 2016 hostovaným v Azure IaaS nebo za proxy serverem.
  • Alespoň 3 GB paměti RAM pro hostování zřizovacího agenta.
  • .NET Framework 4.7.2
  • Windows Server 2016 nebo novější verze

Před konfigurací zřizování se ujistěte, že:

  • Zpřístupněte v aplikaci potřebná rozhraní SOAP nebo REST API pro vytváření, aktualizaci a odstraňování uživatelů.

Požadavky na cloud

  • Tenant Microsoft Entra s Microsoft Entra ID P1 nebo Premium P2 (nebo EMS E3 nebo E5).

    Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.

  • Role Správce hybridní identity pro konfiguraci agenta zřizování a rolí Správce aplikací nebo Správce cloudových aplikací pro konfiguraci zřizování na webu Azure Portal.

  • Uživatelé Microsoft Entra, kteří mají být zřízeni pro vaši aplikaci, musí být již naplněni všemi atributy vyžadovanými vaší aplikací.

Instalace a konfigurace agenta zřizování Microsoft Entra Connect

  1. Přihlaste se k portálu Azure.
  2. Přejděte do podnikových aplikací a vyberte Nová aplikace.
  3. Vyhledejte místní aplikaci aplikace ECMA, pojmenujte ji a vyberte Vytvořit a přidejte ji do svého tenanta.
  4. V nabídce přejděte na stránku Zřizování vaší aplikace.
  5. Vyberte Začínáme.
  6. Na stránce Zřizování změňte režim na Automatický.

Snímek obrazovky s výběrem možnosti Automaticky

  1. V části Místní připojení vyberte Stáhnout a nainstalovat a vyberte Přijmout podmínky a stáhnout.

  2. Nechte portál a spusťte instalační program agenta zřizování, odsouhlaste podmínky služby a vyberte Nainstalovat.

  3. Počkejte na průvodce konfigurací agenta zřizování Microsoft Entra a pak vyberte Další.

  4. V kroku Vybrat rozšíření vyberte místní zřizování aplikací a pak vyberte Další.

  5. Agent poskytování používá webový prohlížeč operačního systému k zobrazení vyskakovacího okna, díky kterému se můžete ověřit v Microsoft Entra ID a případně i u poskytovatele identity vaší organizace. Pokud používáte Internet Explorer jako prohlížeč na Windows Serveru, možná budete muset přidat weby Microsoftu do seznamu důvěryhodných webů prohlížeče, aby mohl JavaScript běžet správně.

  6. Po zobrazení výzvy k autorizaci zadejte přihlašovací údaje pro správce Microsoft Entra. Uživatel musí mít alespoň roli Správce hybridní identity.

  7. Výběrem možnosti Potvrdit potvrďte nastavení. Po úspěšném dokončení instalace můžete vybrat možnost Ukončit a také zavřít instalační program balíčku agenta zřizování.

Konfigurace místní aplikace ECMA

  1. Na portálu v části Místní připojení vyberte agenta, kterého jste nasadili, a vyberte Přiřadit agenty.

    Snímek obrazovky, který ukazuje, jak vybrat a přiřadit agenta

  2. Nechte toto okno prohlížeče otevřené, až dokončíte další krok konfigurace pomocí průvodce konfigurací.

Konfigurace certifikátu hostitele konektoru Microsoft Entra ECMA

  1. Na Windows Serveru, na kterém je nainstalovaný agent zřizování, vyberte pravým tlačítkem Průvodce konfigurací microsoft ECMA2Host z nabídky Start a spusťte ho jako správce. Spuštění jako správce Systému Windows je nezbytné k vytvoření potřebných protokolů událostí systému Windows průvodce.

  2. Po spuštění konfigurace hostitele konektoru ECMA se při prvním spuštění průvodce zobrazí žádost o vytvoření certifikátu. Ponechte výchozí port 8585 a vyberte Vygenerovat certifikát a vygenerujte certifikát. Automaticky vygenerovaný certifikát je samopodepsaný jako součást důvěryhodného kořenového certifikátu. Síť SAN certifikátu odpovídá názvu hostitele.

    Snímek obrazovky znázorňující konfiguraci nastavení

  3. Zvolte Uložit.

Vytvoření šablony konektoru webových služeb

Před vytvořením konfigurace konektoru webových služeb musíte vytvořit šablonu konektoru webových služeb a přizpůsobit ji tak, aby vyhovovala potřebám vašeho konkrétního prostředí. Ujistěte se, že název služby, název_koncového bodu a název_operace jsou správné.

Ukázkové šablony a pokyny k integraci s oblíbenými aplikacemi, jako jsou SAP ECC 7.0 a Oracle eBusiness Suite, najdete v balíčku ke stažení konektorů. Pomocí průvodce pracovním postupem pro SOAP se dozvíte, jak vytvořit nový projekt pro zdroj dat v nástroji pro konfiguraci webové služby.

Další informace o tom, jak nakonfigurovat šablonu pro připojení k rozhraní REST nebo SOAP API vlastní aplikace, najdete v tématu Přehled obecného konektoru webové služby v knihovně dokumentace MIM.

Konfigurace obecného konektoru webových služeb

V této části vytvoříte konfiguraci konektoru pro vaši aplikaci.

Připojení agenta zřizování k aplikaci

Pokud chcete připojit agenta zřizování Microsoft Entra s vaší aplikací, postupujte takto:

  1. Zkopírujte soubor šablony .wsconfig konektoru C:\Program Files\Microsoft ECMA2Host\Service\ECMA webové služby do složky.

  2. Vygenerujte tajný token, který se používá k ověřování ID Microsoft Entra pro konektor. Pro každou aplikaci by mělo být minimálně 12 znaků a jedinečné.

  3. Pokud jste to ještě neudělali, spusťte Průvodce konfigurací Microsoft ECMA2Host z windows nabídka Start.

  4. Vyberte Nový konektor.

    Snímek obrazovky znázorňující volbu Nový konektor

  5. Na stránce Vlastnosti vyplňte pole hodnotami uvedenými v tabulce, která následuje za obrázkem, a vyberte Další.

    Snímek obrazovky znázorňující zadávání vlastností

    Vlastnost Hodnota
    Name Název, který jste zvolili pro konektor, by měl být jedinečný pro všechny konektory ve vašem prostředí.
    Časovač automatické synchronizace (minuty) 120
    Token tajného kódu Zadejte tajný token, který jste pro tento konektor vygenerovali. Klíč by měl obsahovat minimálně 12 znaků.
    Rozšiřující knihovna DLL Pro konektor webových služeb vyberte Microsoft.IdentityManagement.MA.WebServices.dll.
  6. Na stránce Připojení vyplňte pole hodnotami zadanými v tabulce, která následuje za obrázkem, a vyberte Další.

    Snímek obrazovky se stránkou Připojení

    Vlastnost Popis
    Projekt webové služby Název šablony webových služeb
    Hostitelský počítač Název hostitele koncového bodu SOAP vaší aplikace, například vhcalnplci.dummy.nodomain
    Port Port koncového bodu SOAP vaší aplikace, například 8000
  7. Na stránce Možnosti vyplňte pole hodnotami uvedenými v následující tabulce a vyberte Další.

    Vlastnost Hodnota
    Rozlišující styl názvu Obecná
    Typ exportu ObjectReplace
    Normalizace dat Nic
    Potvrzení objektu Normální
    Povolit import Zkontrolováno
    Povolení rozdílového importu Nezaškrtnuto
    Povolit export Zkontrolováno
    Povolit úplný export Nezaškrtnuto
    Povolení exportu hesla v prvním průchodu Zkontrolováno
    Žádné referenční hodnoty v prvním průchodu exportu Nezaškrtnuto
    Povolit přejmenování objektu Nezaškrtnuto
    Delete-Add as Replace Nezaškrtnuto

Poznámka:

Pokud je šablona konektoru webových služeb otevřena pro úpravy v nástroji pro konfiguraci webové služby, zobrazí se chyba.

  1. Na stránce Globální vyplňte pole a vyberte Další.

  2. Na stránce Oddíly vyberte Další.

  3. Na stránce Profily spuštění ponechte políčko Exportovat zaškrtnuté. Zaškrtněte políčko Úplný import a vyberte Další. Profil spuštění exportu se používá, když je potřeba, aby hostitel konektoru ECMA odesílal změny z Microsoft Entra ID do vaší aplikace za účelem vložení, aktualizace a odstranění záznamů. Běhový profil úplného importu se používá při startu hostitelské služby konektoru ECMA k přečtení aktuálního obsahu vaší aplikace.

    Vlastnost Hodnota
    Export Spusťte profil, který exportuje data do vaší aplikace. Tento profil spuštění je povinný.
    Úplný import Spusťte profil, který importuje všechna data z vaší aplikace.
    Rozdílový import Spusťte profil, který importuje jenom změny z vaší aplikace od posledního úplného nebo rozdílového importu.
  4. Na stránce Typy objektů vyplňte pole a vyberte Další. Pro pokyny k jednotlivým polím použijte tabulku, která následuje za obrázkem.

    • Ukotvení : Hodnoty tohoto atributu by měly být jedinečné pro každý objekt v cílovém systému. Služba zřizování Microsoft Entra dotazuje hostitele konektoru ECMA pomocí tohoto atributu po počátečním cyklu. Tato hodnota je definována v šabloně konektoru webových služeb.

    • DN : Ve většině případů by měla být vybrána možnost Automaticky vygenerovaná. Pokud není vybraná, ujistěte se, že je atribut DN mapován na atribut v Microsoft Entra ID, který ukládá DN v tomto formátu: CN = anchorValue, Object = objectType. Další informace o ukotvení a DN naleznete v tématu o atributech ukotvení a rozlišujících názvech.

      Vlastnost Hodnota
      Cílový objekt Uživatelská
      Záložka userName
      DN userName
      Automaticky vygenerováno Zkontrolováno
  5. Hostitel konektoru ECMA zjistí atributy podporované vaší aplikací. Pak můžete zvolit, které z zjištěných atributů chcete zveřejnit pro ID Microsoft Entra. Tyto atributy je pak možné nakonfigurovat na webu Azure Portal pro zřizování. Na stránce Vybrat atributy přidejte všechny atributy v rozevíracím seznamu po jednom. Rozevírací seznam Atribut zobrazuje všechny atributy, které byly zjištěny ve vaší aplikaci a nebyly vybrány na předchozí stránce Vybrat atributy. Po přidání všech relevantních atributů vyberte Další.

    Snímek obrazovky se stránkou Vybrat atributy

  6. Na stránce Zrušení zřízení v části Zakázat tok vyberte Odstranit. Atributy vybrané na předchozí stránce nebudou k dispozici pro výběr na stránce Zrušení zřízení. Vyberte Dokončit.

Poznámka:

Pokud použijete hodnotu atributu Set, mějte na paměti, že jsou povoleny pouze logické hodnoty.

Na stránce Zrušení zřízení v části Zakázat tok vyberte Žádné, pokud budete řídit stav uživatelského účtu pomocí vlastnosti, jako je například expirationTime. V části Odstranit tok vyberte Možnost Žádné, pokud nechcete odstranit uživatele z aplikace nebo Odstranit, pokud to uděláte. Vyberte Dokončit.

Ujistěte se, že je spuštěná služba ECMA2Host.

  1. Na serveru, na kterém běží hostitel konektoru Microsoft Entra ECMA, vyberte Spustit.

  2. Do pole zadejte spuštění a zadejte services.msc.

  3. V seznamu Služby se ujistěte, že je microsoft ECMA2Host přítomný a spuštěný. Pokud ne, vyberte Spustit.

    Snímek obrazovky znázorňující, že je služba spuštěná

  4. Pokud jste službu nedávno spustili a máte v aplikaci mnoho uživatelských objektů, počkejte několik minut, než konektor naváže připojení k aplikaci a provede počáteční úplný import.

Konfigurace připojení aplikace na webu Azure Portal

  1. Vraťte se do okna webového prohlížeče, ve kterém jste konfigurovali zřizování aplikací.

    Poznámka:

    Pokud časový limit okna vypršel, budete muset agenta znovu vybrat.

    1. Přihlaste se k portálu Azure.
    2. Přejděte do podnikových aplikací a místní aplikace ECMA.
    3. Vyberte Zřizování.
    4. Vyberte Začínáme a pak změňte režim na Automatický, v části Místní připojení vyberte agenta, kterého jste nasadili, a vyberte Přiřadit agenty. V opačném případě přejděte ke zřizování pro úpravy.
  2. V části Přihlašovací údaje správce zadejte následující adresu URL. {connectorName} Část nahraďte názvem konektoru na hostiteli konektoru ECMA. V názvu konektoru se rozlišují malá a velká a malá písmena by měla být stejná jako v průvodci. Můžete také nahradit localhost názvem hostitele počítače.

    Vlastnost Hodnota
    Adresa URL tenanta https://localhost:8585/ecma2host_APP1/scim
  3. Zadejte hodnotu tajného tokenu, kterou jste definovali při vytváření konektoru.

    Poznámka:

    Pokud jste agentovi právě přiřadili aplikaci, počkejte 10 minut, než se registrace dokončí. Test připojení nebude fungovat, dokud se registrace nedokončí. Vynucení registrace agenta k dokončení restartováním zřizovacího agenta na vašem serveru může proces registrace urychlit. Přejděte na server, vyhledejte služby ve vyhledávacím panelu Windows, najděte Microsoft Entra Connect Provisioning Agent Service, klikněte pravým tlačítkem na službu a restartujte ji.

  4. Vyberte Test připojení a počkejte jednu minutu.

  5. Po úspěšném testu připojení a indikuje, že zadané přihlašovací údaje mají oprávnění k povolení zřizování, vyberte Uložit.

    Snímek obrazovky znázorňující testování agenta

Konfigurace mapování atributů

Teď namapujete atributy mezi reprezentací uživatele v Microsoft Entra ID a reprezentací uživatele ve vaší aplikaci.

Pomocí webu Azure Portal nakonfigurujete mapování mezi atributy uživatele Microsoft Entra a atributy, které jste předtím vybrali v průvodci konfigurací hostitele ECMA.

  1. Ujistěte se, že schéma Microsoft Entra obsahuje atributy, které vaše aplikace vyžaduje. Pokud vyžaduje, aby uživatelé měli atribut a tento atribut ještě není součástí vašeho schématu Microsoft Entra pro uživatele, budete muset k přidání tohoto atributu jako rozšíření použít funkci rozšíření adresáře .

  2. V Centru pro správu Microsoft Entra v části Podnikové aplikace vyberte místní aplikaci aplikace ECMA a pak stránku Zřizování .

  3. Vyberte Upravit zřizování a počkejte 10 sekund.

  4. Rozbalte mapování a vyberte Zřídit uživatele Microsoft Entra. Pokud jste mapování atributů pro tuto aplikaci nakonfigurovali poprvé, bude pro zástupný symbol k dispozici pouze jedno mapování.

    Snímek obrazovky znázorňující zřízení uživatele

  5. Chcete-li ověřit, že schéma aplikace je k dispozici v Microsoft Entra ID, zaškrtněte políčko Zobrazit pokročilé možnosti a vyberte Upravit seznam atributů pro ScimOnPremises. Ujistěte se, že jsou uvedené všechny atributy vybrané v průvodci konfigurací. Pokud ne, počkejte několik minut, než se schéma aktualizuje, a pak stránku znovu načtěte. Jakmile se zobrazí uvedené atributy, zrušte z této stránky, abyste se vrátili do seznamu mapování.

  6. Teď vyberte mapování userPrincipalName PLACEHOLDER. Toto mapování se ve výchozím nastavení přidá při první konfiguraci místního zřizování.

Snímek obrazovky se zástupným symbolem

Změňte hodnotu tak, aby odpovídala následujícímu:

Typ mapování Zdrojový atribut Cílový atribut
Direct userPrincipalName (Hlavní název uživatele) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName
  1. Teď vyberte Přidat nové mapování a opakujte další krok pro každé mapování.

  2. Zadejte zdrojové a cílové atributy pro každý z atributů, které vaše aplikace vyžaduje. Příklad:

    Atribut Microsoft Entra Atribut ScimOnPremises Odpovídající priorita Použít toto mapování
    ToUpper(Word([userPrincipalName], 1; "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 0 Pouze během vytváření objektu
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Pouze během vytváření objektu
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Always
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Always
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Always
    pošta urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Always
    Switch([IsSoftDeleted], , "False", "9999-12-31"; "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Always
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Always
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Always
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Always
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Always
  3. Po přidání všech mapování vyberte Uložit.

Přiřazení uživatelů k aplikaci

Nyní, když vám hostitel konektoru Microsoft Entra ECMA komunikuje s identitou Microsoft Entra a máte nakonfigurované mapování atributů, můžete přejít ke konfiguraci toho, kdo bude zahrnut do oblasti zřizování.

Důležité

Pokud jste byli přihlášení pomocí role Správce hybridní identity, musíte se odhlásit a přihlásit pomocí účtu, který má alespoň roli správce aplikace pro tuto část. Role Správce hybridní identity nemá oprávnění k přiřazování uživatelů k aplikacím.

Pokud ve vaší aplikaci existují uživatelé, měli byste pro tyto stávající uživatele vytvořit přiřazení rolí aplikace. Další informace o hromadném vytváření přiřazení rolí aplikace najdete v tématu Řízení stávajících uživatelů aplikace v Microsoft Entra ID.

V opačném případě, pokud neexistují žádní aktuální uživatelé aplikace, vyberte testovacího uživatele z Microsoft Entra, který bude zřízen pro aplikaci.

  1. Ujistěte se, že uživatel, kterého vyberete, má všechny vlastnosti, které se mají namapovat na požadované atributy vaší aplikace.

  2. Na webu Azure Portal vyberte Podnikové aplikace.

  3. Vyberte místní aplikaci aplikace ECMA.

  4. Na levé straně v části Spravovat vyberte Uživatelé a skupiny.

  5. Vyberte Přidat uživatele nebo skupinu.

    Snímek obrazovky znázorňující přidání uživatele

  6. V části Uživatelé vyberte Možnost Žádná vybrána.

    Snímek obrazovky s vybranou možností Žádná

  7. Vyberte uživatele zprava a vyberte tlačítko Vybrat .

    Snímek obrazovky znázorňující výběr uživatelů

  8. Teď vyberte Přiřadit.

    Snímek obrazovky znázorňující přiřazení uživatelů

Testování zřizování

Teď, když jsou atributy mapované a uživatelé jsou přiřazeni, můžete otestovat zřizování na vyžádání u jednoho z vašich uživatelů.

  1. Na webu Azure Portal vyberte Podnikové aplikace.

  2. Vyberte místní aplikaci aplikace ECMA.

  3. Na levé straně vyberte Zřizování.

  4. Vyberte Zřídit na vyžádání.

  5. Vyhledejte jednoho z testovacích uživatelů a vyberte Zřídit.

    Snímek obrazovky znázorňující testování zřizování

  6. Po několika sekundách se zobrazí zpráva Úspěšně vytvořený uživatel v cílovém systému se seznamem atributů uživatele.

Zahájení zřizování uživatelů

  1. Po úspěšném zřízení na vyžádání se vraťte na stránku konfigurace zřizování. Ujistěte se, že je obor nastavený jenom na přiřazené uživatele a skupiny, zapněte zřizování a vyberte Uložit.

    Snímek obrazovky znázorňující spuštění zřizování

  2. Počkejte až 40 minut, než se služba zřizování spustí. Po dokončení úlohy zřizování, jak je popsáno v další části, pokud jste dokončili testování, můžete změnit stav zřizování na Vypnuto a vybrat Uložit. Tato akce zastaví spuštění služby zřizování v budoucnu.

Řešení chyb zřizování

Pokud se zobrazí chyba, vyberte Zobrazit protokoly zřizování. Vyhledejte v protokolu řádek, ve kterém je Stav selhání, a vyberte na daném řádku.

Další informace najdete na kartě Poradce při potížích a doporučení .

Další kroky