Microsoft Entra-id configureren om gebruikers in te richten in een LDAP-directory voor Linux-verificatie

De volgende documentatie is een zelfstudie die laat zien hoe u de toegang tot een Linux-systeem kunt beheren. Microsoft Entra richt gebruikers in in een on-premises LDAP-adreslijst die wordt vertrouwd door dat Linux-systeem. Hierdoor kunnen gebruikers zich aanmelden bij een Linux-systeem dat afhankelijk is van die LDAP-directory voor gebruikersverificatie. Wanneer een gebruiker wordt verwijderd uit de Microsoft Entra-id, kunnen ze zich niet meer aanmelden bij een Linux-systeem.

Notitie

Het scenario dat in dit artikel wordt beschreven, is alleen van toepassing op bestaande Linux-systemen die al afhankelijk zijn van een NSS-module (Name Services Switch) of PAM (Pluggable Authentication Modules) voor gebruikersidentificatie en -verificatie. Linux-VM's in Azure of waarvoor Azure Arc is ingeschakeld, moeten in plaats daarvan worden geïntegreerd met Microsoft Entra-verificatie. U kunt nu Microsoft Entra ID gebruiken als een basisverificatieplatform en een certificeringsinstantie voor SSH in een Linux-VM met behulp van Microsoft Entra ID en OpenSSH-verificatie op basis van certificaten, zoals beschreven in Aanmelden bij een virtuele Linux-machine in Azure met behulp van Microsoft Entra ID en OpenSSH-.

Zie Microsoft Entra-id configureren om gebruikers in te richten in LDAP-directory'svoor andere scenario's met betrekking tot het inrichten van gebruikers in LDAP-directory's, behalve voor Linux-verificatie.

Vereisten voor het inrichten van gebruikers in een LDAP-directory voor Linux-verificatie

In dit artikel wordt ervan uitgegaan dat de LDAP-server al aanwezig is in de on-premises omgeving, die wordt gebruikt door een of meer Linux- of andere POSIX-systemen voor gebruikersverificatie.

Vereisten voor on-premises

• Een Linux- of andere POSIX-server die reageert op een adreslijstserver met behulp van een PAM- of NSS-module.
• Een LDAP-adreslijstserver die ondersteuning biedt voor het POSIX-schema, zoals OpenLDAP, waarin gebruikers kunnen worden gemaakt, bijgewerkt en verwijderd. Zie de Algemene LDAP-connectorreferentievoor meer informatie over ondersteunde adreslijstservers.
• Een computer met ten minste 3 GB RAM-geheugen om een provisioningagent te hosten. De computer moet Windows Server 2016 of een nieuwere versie van Windows Server hebben. Het moet ook verbinding hebben met de doelmapserver en uitgaande connectiviteit met login.microsoftonline.com, andere Microsoft Online Services- en Azure-domeinen. Een voorbeeld is een virtuele Windows Server 2016-machine die wordt gehost in Azure IaaS of achter een proxy. .NET Framework 4.7.2 moet op die server worden geïnstalleerd.
• Optioneel: Hoewel dit niet vereist is, is het raadzaam om Microsoft Edge voor Windows Server te downloaden en te gebruiken in plaats van Internet Explorer.

Cloudvereisten

• Een Microsoft Entra-tenant met Microsoft Entra ID P1 of Premium P2 (of EMS E3 of E5).

  Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra IDvergelijken om de juiste licentie voor uw vereisten te vinden.

• De functie Hybrid Identity Administrator voor het configureren van de toevoegingsagent.

• De rollen Toepassingsbeheerder of Cloudtoepassingsbeheerder voor het configureren van voorziening in de Azure-portal of het Microsoft Entra-admincentrum.

• Het directoryserverschema vereist specifieke kenmerken voor elke Microsoft Entra-gebruiker die moet worden ingericht voor de LDAP-directory en deze kenmerken moeten al worden ingevuld. In het bijzonder moet elke gebruiker een uniek nummer hebben als hun gebruikers-id-nummer. Voordat u de inrichtingsagent implementeert en gebruikers toewijst aan de directory, moet u dat nummer genereren op basis van een bestaand kenmerk van de gebruiker of het Microsoft Entra-schema uitbreiden. Vervolgens kunt u dat kenmerk vullen voor de betreffende gebruikers. Zie Graph-uitbreidbaarheid voor het maken van extra directory-extensies.

Meer aanbevelingen en beperkingen

De volgende opsommingstekens zijn meer aanbevelingen en beperkingen.

• Het is niet raadzaam om dezelfde agent te gebruiken voor cloudsynchronisatie en het inrichten van on-premises apps. Microsoft raadt aan om een afzonderlijke agent te gebruiken voor cloudsynchronisatie en één voor het inrichten van on-premises apps.
• Voor AD LDS kunnen gebruikers momenteel niet van wachtwoorden worden voorzien. U moet dus het wachtwoordbeleid voor AD LDS uitschakelen of de gebruikers in een uitgeschakelde status inrichten.
• Voor andere directoryservers kan een eerste willekeurig wachtwoord worden ingesteld, maar het is niet mogelijk om het wachtwoord van een Microsoft Entra-gebruiker in te richten op een adreslijstserver.
• Het inrichten van gebruikers van LDAP naar Microsoft Entra-id wordt niet ondersteund.
• Het inrichten van groepen en gebruikerslidmaatschappen voor een adreslijstserver wordt niet ondersteund.

Bepalen hoe de Microsoft Entra LDAP-connector communiceert met de adreslijstserver

Voordat u de connector implementeert op een bestaande adreslijstserver, moet u bespreken met de provider van de adreslijstserver in uw organisatie hoe u deze kunt integreren met hun adreslijstserver. De gegevens die moeten worden verzameld, omvatten:

• De netwerkinformatie over het maken van verbinding met de adreslijstserver.
• Hoe de connector zichzelf moet verifiëren bij de adreslijstserver.
• Welk schema de directoryserver heeft geselecteerd om gebruikers te modelleren.
• De basisregels voor de naamgevingscontext en directoryhiërarchie.
• Gebruikers aan de adreslijstserver koppelen aan gebruikers in Microsoft Entra-id.
• Wat moet er gebeuren wanneer een gebruiker buiten het bereik komt in Microsoft Entra-id.

Het implementeren van deze connector vereist mogelijk wijzigingen in de configuratie van de mapserver, evenals configuratiewijzigingen in Microsoft Entra-id. Voor implementaties met betrekking tot de integratie van Microsoft Entra ID met een directoryserver van derden in een productieomgeving raden we klanten aan om samen te werken met hun adreslijstserverleverancier of een implementatiepartner voor hulp, richtlijnen en ondersteuning voor deze integratie. In dit artikel worden de volgende voorbeeldwaarden voor OpenLDAP gebruikt.

Configuratie-instelling	Waar de waarde is ingesteld	Voorbeeldwaarde
hostnaam van de directoryserver	Configuratiewizard Connectiviteit pagina	APP3
poortnummer van de adreslijstserver	Connectiviteitspagina van de configuratiewizard	636. Voor LDAP via SSL of TLS (LDAPS) gebruikt u poort 636. Gebruik poort 389 voor Start TLS.
rekening houden met de connector om zichzelf te identificeren bij de directoryserver	Configuratiewizard Connectiviteit pagina	cn=admin,dc=contoso,dc=lab
wachtwoord voor de connector om zichzelf te verifiëren bij de adreslijstserver	Configuratiewizard Connectiviteitspagina
structurele objectklasse voor een gebruiker in de mapserver	Configuratiewizard Objecttypen pagina	inetOrgPerson
hulpobjectklassen voor een gebruiker op de directoryserver	Azure Portal inrichten paginakenmerktoewijzingen	posixAccount enshadowAccount
kenmerken die moeten worden ingevuld voor een nieuwe gebruiker	Configuratiewizard Kenmerken pagina en Azure Portal selecteren paginakenmerken toewijzen	cn, gidNumber, homeDirectory, mail, objectClass, sn, uid, uidNumber, userPassword
Naamgevingshiërarchie vereist voor de directoryserver	Azure Portal inrichten paginakenmerktoewijzingen	Stel de DN van een zojuist gemaakte gebruiker in op direct onder DC=Contoso,DC=lab
kenmerken voor het correleren van gebruikers in Microsoft Entra ID en de adreslijstserver	Azure Portal inrichten paginakenmerktoewijzingen	mail
deprovisioning-gedrag wanneer een gebruiker buiten scope valt in Microsoft Entra ID	Configuratiewizard de inrichting van pagina ongedaan maken	De gebruiker verwijderen van de mapserver

Het netwerkadres van een adreslijstserver is een hostnaam en een TCP-poortnummer, meestal poort 389 of 636. Behalve wanneer de adreslijstserver zich samen met de connector op dezelfde Windows Server bevindt, of als u beveiliging op netwerkniveau gebruikt, moeten de netwerkverbindingen van de connector naar een adreslijstserver worden beveiligd met SSL of TLS. De connector ondersteunt het maken van verbinding met een adreslijstserver op poort 389 en het gebruik van TLS starten om TLS in te schakelen binnen de sessie. De connector biedt ook ondersteuning voor het maken van verbinding met een adreslijstserver op poort 636 voor LDAPS - LDAP via TLS.

U moet een geïdentificeerd account hebben voor de connector om te authentiseren bij de directoryserver die al is geconfigureerd in de directoryserver. Dit account wordt meestal geïdentificeerd met een distinguished name en heeft een bijbehorend wachtwoord of een clientcertificaat. Als u import- en exportbewerkingen wilt uitvoeren op de objecten in de verbonden map, moet het connectoraccount over voldoende machtigingen beschikken binnen het toegangsbeheermodel van de map. De connector moet schrijfmachtigingen hebben om te kunnen exporteren en leesmachtigingen om te kunnen importeren. De machtigingsconfiguratie wordt uitgevoerd binnen de beheerinterface van de richtdirectory zelf.

Een mapschema geeft de objectklassen en kenmerken op die een echte entiteit in de map vertegenwoordigen. De connector ondersteunt een gebruiker die wordt weergegeven met een structurele objectklasse, zoals inetOrgPerson, en optioneel aanvullende hulpobjectklassen. Als u wilt dat de connector gebruikers in de directoryserver kan inrichten, definieert u tijdens de configuratie in Azure Portal toewijzingen van het Microsoft Entra-schema aan alle verplichte kenmerken. Dit omvat de verplichte kenmerken van de structurele objectklasse, eventuele superklassen van die structurele objectklasse en de verplichte kenmerken van eventuele hulpobjectklassen.

U zult waarschijnlijk ook koppelingen configureren voor enkele van de optionele attributen van deze klassen. Voor een OpenLDAP-directoryserver met het POSIX-schema ter ondersteuning van Linux-verificatie, kan een object voor een nieuwe gebruiker kenmerken vereisen zoals in het volgende voorbeeld.

dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password

De regels voor de adreslijsthiërarchie die door een directoryserver zijn geïmplementeerd, beschrijven hoe de objecten voor elke gebruiker zich met elkaar en met bestaande objecten in de map verhouden. In de meeste implementaties heeft de organisatie ervoor gekozen om een platte hiërarchie in hun adreslijstserver te hebben, waarin elk object voor een gebruiker zich direct onder een gemeenschappelijk basisobject bevindt. Als bijvoorbeeld de basis-DN voor de naamgevingscontext in een directoryserver dc=contoso,dc=com is, zou een nieuwe gebruiker een DN zoals cn=alice,dc=contoso,dc=comhebben.

Sommige organisaties hebben echter mogelijk een complexere adreslijsthiërarchie, in welk geval u de regels moet implementeren bij het opgeven van de differentiële naamtoewijzing voor de connector. Een adreslijstserver kan bijvoorbeeld verwachten dat gebruikers zich in organisatie-eenheden per afdeling bevinden, zodat een nieuwe gebruiker een DN-naam heeft, zoals cn=alice,ou=London,dc=contoso,dc=com. Omdat de connector geen tussenliggende objecten voor organisatie-eenheden maakt, moeten eventuele tussenliggende objecten die de hiërarchie van de adreslijstserverregel verwacht, al aanwezig zijn op de adreslijstserver.

Vervolgens moet u de regels definiëren voor de wijze waarop de connector moet bepalen of er al een gebruiker in de adreslijstserver aanwezig is die overeenkomt met een Microsoft Entra-gebruiker. Elke LDAP-directory heeft een DN-naam die uniek is voor elk object in de adreslijstserver, maar die DN-naam is vaak niet aanwezig voor gebruikers in Microsoft Entra ID. In plaats daarvan kan een organisatie een ander kenmerk hebben, zoals mail of employeeId, in hun directoryserverschema dat ook aanwezig is op hun gebruikers in Microsoft Entra ID. Wanneer de connector vervolgens een nieuwe gebruiker inricht op een adreslijstserver, kan de connector zoeken of er al een gebruiker in die map is die een specifieke waarde van dat kenmerk heeft en alleen een nieuwe gebruiker op de adreslijstserver maakt als deze niet aanwezig is.

Als uw scenario betrekking heeft op het maken van nieuwe gebruikers in de LDAP-directory, niet alleen het bijwerken of verwijderen van bestaande gebruikers, moet u ook bepalen hoe de Linux-systemen die gebruikmaken van die adreslijstserver verificatie afhandelt. Sommige systemen kunnen de SSH-openbare sleutel of het certificaat van een gebruiker opvragen vanuit de directory, wat mogelijk geschikt is voor gebruikers die al over dergelijke referenties beschikken. Als uw toepassing die afhankelijk is van de adreslijstserver echter geen moderne verificatieprotocollen of sterkere referenties ondersteunt, moet u een toepassingsspecifiek wachtwoord instellen bij het maken van een nieuwe gebruiker in de directory, omdat Microsoft Entra-id het inrichten van het Microsoft Entra-wachtwoord van een gebruiker niet ondersteunt.

Ten slotte moet u het deprovisioninggedrag vastleggen. Wanneer de connector is geconfigureerd en Microsoft Entra ID is gekoppeld tussen een gebruiker in Microsoft Entra ID en een gebruiker in de directory, voor een gebruiker die al in de directory of een nieuwe gebruiker staat, kan Microsoft Entra ID kenmerkwijzigingen van de Microsoft Entra-gebruiker inrichten in de directory.

Als een gebruiker die is toegewezen aan de toepassing wordt verwijderd in Microsoft Entra ID, verzendt Microsoft Entra ID een verwijderbewerking naar de mapserver. Mogelijk wilt u ook dat microsoft Entra ID het object op de directoryserver bijwerkt wanneer een gebruiker buiten het bereik van het gebruik van de toepassing valt. Dit gedrag is afhankelijk van de toepassing die gebruikmaakt van de adreslijstserver, aangezien veel mappen, zoals OpenLDAP, mogelijk geen standaardwijze hebben om aan te geven dat het account van een gebruiker is geïnactiveerd.

De Microsoft Entra Connect-inrichtingsagent installeren en configureren

1. Meld u aan bij Azure Portal.
2. Ga naar Bedrijfstoepassingen en selecteer Nieuwe toepassing.
3. Zoek de on-premises ECMA-toepassing, geef de toepassing een naam en selecteer Maken om deze toepassing toe te voegen aan uw tenant.
4. Navigeer in het menu naar de pagina Inrichten van uw toepassing.
5. Selecteer Aan de slag.
6. Wijzig op de pagina Inrichten de modus in Automatisch.

7. Selecteer onder on-premises connectiviteitde optie downloaden en installeren en selecteer Voorwaarden accepteren &downloaden.

8. Verlaat de portal en voer het installatieprogramma van de inrichtingsagent uit, ga akkoord met de servicevoorwaarden en selecteer Installeren.
9. Wacht op de configuratiewizard van de Microsoft Entra-voorzieningsagent en selecteer vervolgens Volgende.
10. Selecteer in de stap Extensie selectereninrichting van on-premises toepassingen en selecteer vervolgens Volgende.
11. De inrichtingsagent gebruikt de webbrowser van het besturingssysteem om een pop-upvenster weer te geven waarin u zich kunt authenticeren bij Microsoft Entra ID en mogelijk ook bij de id-provider van uw organisatie. Als u Internet Explorer als browser op Windows Server gebruikt, moet u mogelijk Microsoft-websites toevoegen aan de lijst met vertrouwde websites van uw browser om JavaScript correct te laten worden uitgevoerd.
12. Geef referenties op voor een Microsoft Entra-beheerder wanneer u wordt gevraagd om toestemming te geven. De gebruiker moet ten minste de rol Hybrid Identity Administrator hebben.
13. Selecteer Bevestig om de instelling te bevestigen. Zodra de installatie is voltooid, kunt u Exitselecteren en ook het installatieprogramma voor het inrichtingsagentpakket afsluiten.

De on-premises ECMA-app configureren

1. Selecteer in de portal in de sectie On-premises connectiviteit de agent die u hebt geïmplementeerd en selecteer Agent(en) toewijzen.

   

2. Houd dit browservenster geopend terwijl u de volgende stap van de configuratie voltooit met behulp van de configuratiewizard.

Het Microsoft Entra ECMA Connector Host-certificaat configureren

1. Op de Windows Server waarop de inrichtingsagent is geïnstalleerd, klikt u met de rechtermuisknop op de Microsoft ECMA2Host Configuration Wizard in het startmenu en voert u deze uit als beheerder. Om de benodigde Windows-gebeurtenislogboeken aan te maken, moet de wizard als Windows-beheerder worden uitgevoerd.
2. Nadat de ecma-connectorhostconfiguratie is gestart, als dit de eerste keer is dat u de wizard hebt uitgevoerd, wordt u gevraagd een certificaat te maken. Laat de standaardpoort 8585 en selecteer Certificaat genereren om een certificaat te genereren. Het automatisch gegenereerde certificaat is zelfondertekend als onderdeel van de vertrouwde root. Het SAN komt overeen met de hostnaam.
3. Selecteer opslaan.

Notitie

Als u ervoor hebt gekozen om een nieuw certificaat te genereren, moet u de vervaldatum van het certificaat vastleggen om ervoor te zorgen dat u wilt terugkeren naar de configuratiewizard en het certificaat opnieuw genereert voordat het verloopt.

De algemene LDAP-connector configureren

Afhankelijk van de opties die u selecteert, zijn sommige wizardschermen mogelijk niet beschikbaar en kunnen de gegevens enigszins afwijken. Gebruik de volgende informatie om u te helpen bij uw configuratie.

1. Genereer een geheim token dat wordt gebruikt voor het verifiëren van Microsoft Entra-id voor de connector. Het moet minimaal 12 tekens en uniek zijn voor elke toepassing. Als u nog geen geheime generator hebt, kunt u een PowerShell-opdracht zoals hieronder gebruiken om een voorbeeld van een willekeurige tekenreeks te genereren.

   -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
   

2. Als u dit nog niet hebt gedaan, start de Microsoft ECMA2Host Configuration Wizard vanuit het menu Start.

3. Selecteer de nieuwe connector.
   

4. Vul op de pagina Eigenschappen de vakken in met de waarden die zijn opgegeven in de tabel die de afbeelding volgt en selecteer Volgende.

   Eigendom	Waarde
   Naam	De naam die u hebt gekozen voor de connector, die uniek moet zijn voor alle connectors in uw omgeving. Bijvoorbeeld LDAP.
   Autosynchronisatietimer (minuten)	120
   Geheime token	Voer hier uw geheime token in. Dit moet minimaal 12 tekens zijn.
   extensie-DLL	Selecteer Microsoft.IAM.Connector.GenericLdap.dllvoor de algemene LDAP-connector.

5. Op de pagina Connectivity configureert u hoe de ECMA Connector Host communiceert met de adreslijstserver en stelt u enkele configuratieopties in. Vul de vakken in met de waarden die zijn opgegeven in de tabel die de afbeelding volgt en selecteer Volgende. Wanneer u Volgendeselecteert, ondervraagt de connector de mapserver voor zijn configuratie.
   

   Eigenschap	Beschrijving
   Gastheer	De hostnaam waar de LDAP-server zich bevindt. In dit voorbeeld wordt APP3 gebruikt als voorbeeldhostnaam.
   Haven	Het TCP-poortnummer. Als de adreslijstserver is geconfigureerd voor LDAP via SSL, gebruikt u poort 636. Gebruik poort 389 voor Start TLSof als u beveiliging op netwerkniveau gebruikt.
   Time-out voor verbinding	180
   Bindend	Met deze eigenschap specificeert u hoe de connector authenticeert bij de adreslijstserver. Met de Basic-instelling of met de SSL- of TLS-instelling, zonder dat er een clientcertificaat is geconfigureerd, verzendt de connector een eenvoudige LDAP-binding om te authenticeren met een onderscheidende naam en een wachtwoord. Met de SSL- of TLS-instelling en een opgegeven clientcertificaat verzendt de connector een LDAP SASL-EXTERNAL binding om te verifiëren met een clientcertificaat.
   Gebruikersnaam	Hoe de ECMA-connector zichzelf verifieert bij de adreslijstserver. In dit voorbeeld cn=admin,dc=contoso,dc=lab
   Wachtwoord	Het wachtwoord van de gebruiker waarmee de ECMA-connector zich authenticeert bij de adreslijstserver.
   Rijk/domein	Deze instelling is alleen vereist als u Kerberos als bindingsoptie hebt geselecteerd om het realm/domein van de gebruiker op te geven.
   Certificaat	De instellingen in deze sectie worden alleen gebruikt als u SSL of TLS als bindingsoptie hebt geselecteerd.
   Kenmerkaliassen	Het tekstvak kenmerkaliassen wordt gebruikt voor kenmerken die in het schema zijn gedefinieerd met RFC4522 syntaxis. Deze kenmerken kunnen niet worden gedetecteerd tijdens de schemadetectie en de connector heeft hulp nodig bij het identificeren van deze kenmerken. Als de directoryserver bijvoorbeeld geen userCertificate;binary publiceert en u dat kenmerk wilt inrichten, moet de volgende tekenreeks worden ingevoerd in het vak kenmerkaliassen om het kenmerk userCertificate correct te identificeren als een binair kenmerk: userCertificate;binary. Als u geen speciale eigenschappen nodig hebt die niet in het schema staan, kunt u deze leeg laten.
   Operationele kenmerken opnemen	Schakel het selectievakje Include operational attributes in schema in om ook kenmerken op te nemen die door de mapserver zijn gemaakt. Dit zijn onder andere kenmerken, zoals wanneer het object is gemaakt en de laatste updatetijd.
   Uitbreidbare kenmerken opnemen	Schakel het selectievakje Include extensible attributes in schema in als uitbreidbare objecten (RFC4512/4.3) worden gebruikt in de mapserver. Als u deze optie inschakelt, kan elk kenmerk worden gebruikt voor alle objecten. Als u deze optie selecteert, is het schema erg groot, dus tenzij de verbonden map deze functie gebruikt, is het raadzaam om de optie niet geselecteerd te houden.
   Handmatige ankerselectie toestaan	Laat het selectievakje uitgeschakeld.

   Notitie

   Als u een probleem ondervindt met het maken van verbinding en u niet kunt doorgaan naar de pagina Globale, controleert u of het serviceaccount op de adreslijstserver is ingeschakeld.

6. Op de pagina Global configureert u zo nodig de DN-naam van het deltawijzigingslogboek en aanvullende LDAP-functies. De pagina wordt vooraf ingevuld met de informatie van de LDAP-server. Controleer de weergegeven waarden en selecteer vervolgens Volgende.

   Eigenschap	Beschrijving
   Ondersteunde SASL-mechanismen	In de bovenste sectie ziet u informatie van de server zelf, inclusief de lijst met SASL-mechanismen.
   Servercertificaat Details	Als SSL of TLS is opgegeven, geeft de wizard het certificaat weer dat door de directoryserver is geretourneerd. Controleer of de uitgever, het onderwerp en de vingerafdruk voor de juiste adreslijstserver zijn.
   Verplichte functies gevonden	De connector controleert ook of de verplichte besturingselementen aanwezig zijn in de basis-DSE. Als deze besturingselementen niet worden weergegeven, wordt er een waarschuwing weergegeven. Sommige LDAP-directory's vermelden niet alle functies in de hoofd-DSE en het is mogelijk dat de connector zonder problemen werkt, zelfs als er een waarschuwing aanwezig is.
   Ondersteunde besturingselementen	De ondersteunde besturingselementen selectievakjes bepalen het gedrag voor bepaalde bewerkingen
   Delta Importeren	Het wijzigingslogboek-DN is de naamgevingscontext die wordt gebruikt door het deltawijzigingslogboek, bijvoorbeeld cn=changelog. Deze waarde moet worden opgegeven om deltaimport uit te voeren. Als u geen deltaimport hoeft te implementeren, kan dit veld leeg zijn.
   Wachtwoordkenmerk	Als de adreslijstserver een ander wachtwoordkenmerk of wachtwoord-hashing ondersteunt, kunt u de bestemming voor wachtwoordwijzigingen opgeven.
   Partitienamen	In de lijst met extra partities is het mogelijk om extra naamruimten toe te voegen die niet automatisch worden gedetecteerd. Deze instelling kan bijvoorbeeld worden gebruikt als meerdere servers een logisch cluster vormen, dat allemaal tegelijkertijd moet worden geïmporteerd. Net zoals Active Directory meerdere domeinen in één forest kan hebben, maar alle domeinen één schema delen, kan hetzelfde worden gesimuleerd door de extra naamruimten in dit vak in te voeren. Elke naamruimte kan worden geïmporteerd van verschillende servers en wordt verder geconfigureerd op de pagina Partities en hiërarchieën configureren pagina.

7. Houd op de pagina Partities de standaardinstelling en selecteer Volgende.

8. Controleer op de pagina Uitvoeringsprofielen of het selectievakje Exporteren en het selectievakje Volledig importeren zijn ingeschakeld. Selecteer vervolgens Volgende.
   

   Eigenschap	Beschrijving
   Exporteren	Voer een profiel uit waarmee gegevens worden geëxporteerd naar de LDAP-adreslijstserver. Dit uitvoeringsprofiel is vereist.
   Volledige import	Voer een profiel uit waarmee alle gegevens uit LDAP-bronnen worden geïmporteerd die eerder zijn opgegeven. Dit uitvoeringsprofiel is vereist.
   Delta-import	Voer een profiel uit waarmee alleen wijzigingen uit LDAP worden geladen sinds de laatste volledige import of delta-import. Schakel dit uitvoeringsprofiel alleen in als u hebt bevestigd dat de adreslijstserver voldoet aan de vereiste vereisten. Zie de Algemene LDAP-connectorreferentievoor meer informatie.

9. Laat op de pagina Exporteren de standaardwaarden ongewijzigd en selecteer Volgende.

10. Laat op de pagina Volledig Importeren de standaardwaarden ongewijzigd en klik op Volgende.

11. Laat op de pagina DeltaImport, indien aanwezig, de standaardwaarden ongewijzigd en selecteer Volgende.

12. Vul op de pagina Objecttypen de vakken in en selecteer Volgende.

    Eigenschap/Eigendom	Beschrijving
    Doelobject	Deze waarde is de structurele objectklasse van een gebruiker in de LDAP-adreslijstserver. Gebruik inetOrgPersonen geef geen hulpobjectklasse op in dit veld. Als voor de directoryserver hulpobjectklassen zijn vereist, worden deze geconfigureerd met de kenmerktoewijzingen in Azure Portal.
    Anker	De waarden van dit kenmerk moeten uniek zijn voor elk object in de doelmap. De Microsoft Entra-inrichtingsservice vraagt de ECMA-connectorhost op met behulp van dit kenmerk na de eerste cyclus. Gebruik doorgaans de Distinguished Name (DN), die kan worden geselecteerd als -dn-. Kenmerken met meerdere waarden, zoals het kenmerk uid in het OpenLDAP-schema, kunnen niet worden gebruikt als ankers.
    Querykenmerk	Dit kenmerk moet hetzelfde zijn als het anker.
    DN	De onderscheidenNaam van het doelobject. Houd -dn-.
    Automatisch gegenereerd	Niet gecontroleerd

13. De ECMA-host detecteert de kenmerken die worden ondersteund door de doelmap. U kunt kiezen welke van deze kenmerken u beschikbaar wilt maken voor Microsoft Entra-id. Deze kenmerken kunnen vervolgens worden geconfigureerd in Azure Portal voor inrichting. Voeg op de pagina Kenmerken selecteren alle kenmerken toe in de vervolgkeuzelijst, één voor één, die vereist zijn als verplichte kenmerken of die u wilt voorzien vanuit Microsoft Entra ID.
    De vervolgkeuzelijst Kenmerk bevat een kenmerk dat is gedetecteerd in de doelmap en niet is gekozen voor het vorige gebruik van de configuratiewizard pagina Kenmerken selecteren.

    Zorg ervoor dat het selectievakje Treat as single value niet is aangevinkt voor het kenmerk objectClass, en als userPassword is ingesteld, dat het niet selecteerbaar is of wel is aangevinkt voor het kenmerk userPassword.

    Zichtbaarheid configureren voor de volgende kenmerken.

    Attribuut	Behandelen als één waarde
    _distinguishedName
    -dn-
    exporteer_wachtwoord
    Cn	Y
    gidNumber
    homeDirectory
    post	Y
    objectClass
    Sn	Y
    Uid	Y
    uidNumber
    gebruikerswachtwoord	Y

    Zodra alle relevante kenmerken zijn toegevoegd, selecteert u Volgende.

14. Op de pagina Verwijderen kunt u opgeven of u wilt dat Microsoft Entra ID gebruikers uit de directory verwijdert wanneer ze niet langer binnen het toepassingsgebied vallen. Als dat het zo is, selecteert u onder Stroom uitschakelenVerwijderenen selecteert u onder Stroom verwijderenVerwijderen. Als Set attribute value is gekozen, zijn de kenmerken die op de vorige pagina zijn geselecteerd niet beschikbaar om te selecteren op de Deprovisioning-pagina.

Notitie

Als u de kenmerkwaarde instellen gebruikt er rekening mee te houden dat alleen booleaanse waarden zijn toegestaan.

15. Selecteer voltooien.

Zorg ervoor dat de ECMA2Host-service wordt uitgevoerd en kan worden gelezen vanaf de adreslijstserver

Volg deze stappen om te controleren of de connectorhost is gestart en eventuele bestaande gebruikers van de directoryserver heeft geïdentificeerd.

1. Selecteer op de server waarop de Microsoft Entra ECMA Connector-host wordt uitgevoerd Start.
2. Selecteer voer indien nodig uit en voer services.msc in het vak in.
3. Zorg ervoor dat Microsoft ECMA2Host- aanwezig is en wordt uitgevoerd in de Services lijst. Als het niet draait, selecteert u Start.
4. Als u de service onlangs hebt gestart en veel gebruikersobjecten op de adreslijstserver hebt, wacht u enkele minuten totdat de connector verbinding heeft gemaakt met de adreslijstserver.
5. Start PowerShell op de server waarop de Microsoft Entra ECMA Connector Host wordt uitgevoerd.
6. Ga naar de map waarin de ECMA-host is geïnstalleerd, zoals C:\Program Files\Microsoft ECMA2Host.
7. Wissel naar de submap Troubleshooting.
8. Voer het script TestECMA2HostConnection.ps1 uit in die map zoals getoond, en geef de naam van de connector en de waarde ObjectTypePath op cacheop. Als uw connectorhost niet luistert op TCP-poort 8585, moet u mogelijk ook het argument -Port opgeven. Wanneer u hierom wordt gevraagd, typt u het geheime token dat is geconfigureerd voor die connector.

   PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9
   Supply values for the following parameters:
   SecretToken: ************
   

9. Als in het script een foutbericht of waarschuwingsbericht wordt weergegeven, controleert u of de service wordt uitgevoerd en of de naam en het geheime token van de connector overeenkomen met de waarden die u in de configuratiewizard hebt geconfigureerd.
10. Als het script de uitvoer Falseweergeeft, heeft de connector geen vermeldingen in de bron-directoryserver voor de bestaande gebruikers gezien. Als dit een nieuwe installatie van de adreslijstserver is, wordt dit gedrag verwacht en kunt u doorgaan in de volgende sectie.
11. Echter, als de mapserver al een of meer gebruikers bevat, maar het script Falseweergaf, geeft deze status aan dat de connector niet van de mapserver kon lezen. Als u probeert te voorzien, kunnen gebruikers in die bronmap mogelijk niet goed overeenkomen met gebruikers in Microsoft Entra ID. Wacht enkele minuten totdat de connectorhost klaar is met het lezen van objecten van de bestaande directoryserver, en voer het script vervolgens opnieuw uit. Als de uitvoer nog steeds Falseis, controleert u de configuratie van uw connector en of de machtigingen op de directoryserver toestaan dat de connector bestaande gebruikers kan lezen.

De verbinding van Microsoft Entra-id testen met de connectorhost

1. Ga terug naar het browservenster waarin u de inrichting van de toepassing in de portal hebt geconfigureerd.

   Notitie

   Als het venster was verlopen, moet u de agent opnieuw selecteren.

   1. Meld u aan bij Azure Portal.
   2. Ga naar Enterprise-toepassingen en de on-premises ECMA-app toepassing.
   3. Selecteer inrichten.
   4. Als Aan de slag wordt weergegeven, verander de modus naar Automatisch, selecteer in de sectie On-Premises Connectiviteit de agent die u zojuist hebt geïmplementeerd en selecteer Agent(en) toewijzenen wacht 10 minuten. Ga anders naar Inrichting bewerken.

2. Voer in de sectie Admin-referenties de volgende URL in. Vervang het connectorName gedeelte door de naam van de connector op de ECMA-host, zoals LDAP. Als u een certificaat hebt opgegeven van uw certificeringsinstantie voor de ECMA-host, vervangt u localhost door de hostnaam van de server waarop de ECMA-host is geïnstalleerd.

   Eigenschap	Waarde
   Tenant-URL	https://localhost:8585/ecma2host_connectorName/scim

3. Voer de waarde van de geheime token in die u hebt bepaald toen u de connector maakte.

   Notitie

   Als u de agent zojuist aan de toepassing hebt toegewezen, wacht u tien minuten totdat de registratie is voltooid. De connectiviteitstest werkt pas als de registratie is voltooid. Door de agentregistratie te versnellen door de provisioning agent op uw server opnieuw op te starten, kan het registratieproces worden versneld. Ga naar uw server, zoek naar services in de zoekbalk van Windows, identificeer de Microsoft Entra Connect Provisioning Agent-service, selecteer de service met de rechtermuisknop en start opnieuw.

4. Selecteer Verbinding testenen wacht een minuut.

5. Nadat is aangetoond dat de verbindingstest geslaagd is en de opgegeven referenties zijn geautoriseerd om provisioning in te schakelen, selecteert u Opslaan.
   

Het Microsoft Entra-schema uitbreiden

Als voor uw adreslijstserver aanvullende kenmerken zijn vereist die geen deel uitmaken van het standaard Microsoft Entra-schema voor gebruikers, kunt u bij het inrichten configureren om waarden van deze kenmerken op te geven van een constante, van een expressie die is getransformeerd vanuit andere Microsoft Entra-kenmerken of door het Microsoft Entra-schema uit te breiden.

Als de directoryserver vereist dat gebruikers een kenmerk hebben, zoals uidNumber voor het OpenLDAP POSIX-schema en dat kenmerk nog geen deel uitmaakt van uw Microsoft Entra-schema voor een gebruiker, en moet uniek zijn voor elke gebruiker, moet u dat kenmerk genereren op basis van andere kenmerken van de gebruiker via een expressie, of gebruik de mapextensiefunctie om dat kenmerk toe te voegen als een extensie.

Als uw gebruikers afkomstig zijn uit Active Directory Domain Services en het kenmerk in die directory hebben, kunt u Microsoft Entra Connect of Microsoft Entra Connect-cloudsynchronisatie gebruiken. Hiermee configureert u het kenmerk dat moet worden gesynchroniseerd vanuit Active Directory Domain Services naar Microsoft Entra-id, waardoor het beschikbaar wordt gemaakt voor inrichting naar andere systemen.

Als uw gebruikers afkomstig zijn van Microsoft Entra-id, moet u een mapextensie definiëren voor elk nieuw kenmerk dat moet worden opgeslagen op een gebruiker. Vervolgens de Microsoft Entra-gebruikers die moeten worden ingericht, bijwerken om elke gebruiker een waarde van deze kenmerken te geven.

Configureren van kenmerktoewijzing

In dit gedeelte configureert u de toewijzing tussen de attributen van de Microsoft Entra-gebruiker en de attributen die u eerder hebt geselecteerd in de ECMA Host-configuratiewizard. Wanneer de connector later een object in een mapserver maakt, worden de gebruikerskenmerken van Microsoft Entra via de connector naar de mapserver verzonden om deel uit te maken van dat nieuwe object.

1. Selecteer in het Microsoft Entra-beheercentrum onder Enterprise-toepassingende on-premises ECMA-app toepassing en selecteer vervolgens de pagina Inrichten.

2. Selecteer Voorziening bewerken.

3. Vouw toewijzingen uit en selecteer Microsoft Entra-gebruikers inrichten. Als dit de eerste keer is dat u de kenmerktoewijzingen voor deze toepassing hebt geconfigureerd, is er slechts één toewijzing aanwezig als tijdelijke aanduiding.

4. Als u wilt controleren of het schema van de mapserver beschikbaar is in Microsoft Entra ID, schakelt u het selectievakje Geavanceerde opties weergeven in en selecteert u kenmerklijst bewerken voor ScimOnPremises. Zorg ervoor dat alle kenmerken die in de configuratiewizard zijn geselecteerd, worden vermeld. Als dat niet het geval is, wacht een paar minuten totdat het schema is vernieuwd, selecteer vervolgens attributentoewijzing in de navigatielijn en selecteer daarna opnieuw attributenlijst bewerken voor ScimOnPremises om de pagina te herladen. Zodra u de vermelde kenmerken ziet, annuleert u deze pagina om terug te keren naar de lijst met toewijzingen.

5. Elke gebruiker in een directory moet een unieke distinguished name hebben. U kunt opgeven hoe de connector een onderscheiden naam moet maken met behulp van een attribuuttoewijzing. Selecteer Voeg nieuwe toewijzing toe. Gebruik de volgende waarden om de toewijzing te maken, waarbij u de onderscheiden namen aanpast in de expressie om deze te laten overeenkomen met die van de organisatie-eenheid of een andere container in uw doeldirectory.

   • Toewijzingstype: expressie
   • Expressie: Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
   • Doelkenmerk: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
   • Pas deze toewijzing toe: alleen tijdens het maken van een object

6. Als de directoryserver meerdere structurele objectklassewaarden of hulpobjectklassewaarden in het kenmerk objectClass vereist, moet u deze opgeven en vervolgens een toewijzing aan dat kenmerk toevoegen. Als u een toewijzing voor objectClasswilt toevoegen, selecteert u Nieuwe toewijzing toevoegen. Gebruik de volgende waarden om de toewijzing te maken, waarbij u de objectklassenamen in de expressie wijzigt zodat deze overeenkomen met die van het doeldirectoryschema.

   • Toewijzingstype: expressie
   • Expressie, als het POSIX-schema wordt geconfigureerd: Split("inetOrgPerson,posixAccount,shadowAccount",",")
   • Doelkenmerk: urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
   • Pas deze toewijzing toe: alleen tijdens het aanmaken van een object

7. Selecteer voor elk van de toewijzingen in de volgende tabel voor uw directoryserver Nieuwe toewijzing toevoegenen geef de bron- en doelkenmerken op. Als u implementeert in een bestaande directory met bestaande gebruikers, moet u de mapping bewerken van het gemeenschappelijke kenmerk om de Objecten te matchen met behulp van dit kenmerk voor dat kenmerk. Meer informatie over kenmerktoewijzingen hier.

   Voor OpenLDAP met het POSIX-schema moet u ook de kenmerken gidNumber, homeDirectory, uid en uidNumber opgeven. Elke gebruiker heeft een unieke uid en een unieke uidNumbernodig. Doorgaans wordt de homeDirectory ingesteld door een expressie die is afgeleid van de gebruikers-id van de gebruiker. Als bijvoorbeeld de uid van een gebruiker wordt gegenereerd door een expressie die is afgeleid van hun gebruikershoofdnamen, kan de waarde voor de thuismap van die gebruiker worden gegenereerd door een vergelijkbare expressie die ook is afgeleid van hun gebruikershoofdnamen. En afhankelijk van uw use-case wilt u mogelijk dat alle gebruikers zich in dezelfde groep bevinden, dus wijst u de gidNumber toe vanuit een constante.

   Toewijzingstype	Bronkenmerk	Doelkenmerk
   Rechtstreeks	displayName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn
   Rechtstreeks	surname	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn
   Rechtstreeks	userPrincipalName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail
   Uitdrukking	ToLower(Word([userPrincipalName], 1, "@"), )	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid
   Rechtstreeks	(kenmerk specifiek voor uw directory)	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber
   Uitdrukking	Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory
   Constant	10000	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber

8. Voeg een toewijzing toe aan urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword waarmee een eerste willekeurig wachtwoord voor de gebruiker wordt ingesteld.

9. Selecteer opslaan.

Zorg ervoor dat gebruikers die in de directory worden opgenomen, de vereiste attributen hebben.

Als er personen zijn die bestaande gebruikersaccounts hebben in de LDAP-directory, moet u ervoor zorgen dat de Microsoft Entra-gebruikersweergave beschikt over de kenmerken die vereist zijn voor overeenkomende gebruikers.

Als u van plan bent om nieuwe gebruikers te maken in de LDAP-directory, moet u ervoor zorgen dat de Microsoft Entra-weergaven van deze gebruikers de bronkenmerken hebben die vereist zijn voor het gebruikersschema van de doelmap. Elke gebruiker heeft een unieke uid en een unieke uidNumbernodig.

Als uw gebruikers afkomstig zijn uit Active Directory Domain Services en het kenmerk in die directory hebben, kunt u Microsoft Entra Connect of Microsoft Entra Connect-cloudsynchronisatie gebruiken om te configureren dat het kenmerk moet worden gesynchroniseerd van Active Directory Domain Services naar Microsoft Entra-id, zodat het beschikbaar is voor inrichting naar andere systemen.

Als uw gebruikers afkomstig zijn uit Microsoft Entra-id, moet u voor elk nieuw kenmerk dat u moet opslaan op een gebruiker, u een mapextensiedefiniëren. Vervolgens de Microsoft Entra-gebruikers die moeten worden ingericht, bijwerken om elke gebruiker een waarde van deze kenmerken te geven.

Gebruikers bevestigen via PowerShell

Zodra u de gebruikers hebt bijgewerkt in Microsoft Entra ID, kunt u de Microsoft Graph PowerShell-cmdlets gebruiken om te automatiseren of gebruikers alle vereiste kenmerken hebben.

Stel dat uw inrichting vereist dat gebruikers drie kenmerken hebben DisplayName,surname en extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty. Dit derde kenmerk wordt gebruikt om de uidNumberte bevatten. U kunt de Get-MgUser cmdlet gebruiken om elke gebruiker op te halen en te controleren of de vereiste kenmerken aanwezig zijn. Houd er rekening mee dat de cmdlet Graph v1.0 Get-MgUser standaard geen directory-extensiekenmerken van een gebruiker retourneert, tenzij de kenmerken in de aanvraag zijn opgegeven als een van de eigenschappen die moeten worden geretourneerd.

In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID met behulp van Microsoft Graph PowerShell cmdlets.

De eerste keer dat uw organisatie deze cmdlets voor dit scenario gebruikt, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell in uw tenant te kunnen gebruiken. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals:

• Gebruikersbeheerder, als u verwacht nieuwe gebruikers te maken.
• Toepassingsbeheerder of Identity Governance Administrator, als u alleen roltoewijzingen van toepassingen beheert.

1. Open PowerShell.

2. Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeert u de Microsoft.Graph.Users-module en anderen met behulp van deze opdracht:

   Install-Module Microsoft.Graph
   

   Als u de modules al hebt geïnstalleerd, controleert u of u een recente versie gebruikt:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Verbinding maken met Microsoft Entra-id:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.Read.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Maak de lijst met gebruikers en de kenmerken die u wilt controleren.

   $userPrincipalNames = (
    "alice@contoso.com",
    "bob@contoso.com",
    "carol@contoso.com" )
   
   $requiredBaseAttributes = ("DisplayName","surname")
   $requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")
   

5. Voer een query uit op de map voor elk van de gebruikers.

   $select = "id"
   foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;}
   foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;}
   
   foreach ($un in $userPrincipalNames) {
      $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop
      foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} }
      foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } }
   }
   

Bestaande gebruikers verzamelen uit de LDAP-directory

1. Bepaal welke van de gebruikers in die directory binnen het bereik vallen voor gebruikers met Linux-verificatie. Deze keuze is afhankelijk van de configuratie van uw Linux-systeem. Voor sommige configuraties is elke gebruiker die in een LDAP-directory bestaat een geldige gebruiker. Voor andere configuraties moet de gebruiker mogelijk een bepaald kenmerk hebben of lid zijn van een groep in die map.

2. Voer een opdracht uit waarmee die subset van gebruikers uit uw LDAP-directory wordt opgehaald in een CSV-bestand. Zorg ervoor dat de uitvoer de kenmerken bevat van gebruikers die worden gebruikt om te voldoen aan de Microsoft Entra-id. Voorbeelden van deze kenmerken zijn werknemers-id, accountnaam of uiden e-mailadres.

3. Breng indien nodig het CSV-bestand met de lijst met gebruikers over naar een systeem met de Microsoft Graph PowerShell-cmdlets geïnstalleerd.

4. Nu u een lijst hebt met alle gebruikers die zijn verkregen uit de directory, komt u deze gebruikers uit de directory overeen met gebruikers in Microsoft Entra ID. Voordat u verdergaat, bekijkt u de informatie over overeenkomende gebruikers in de bron- en doelsystemen.

De id's van de gebruikers in Microsoft Entra-id ophalen

In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID met behulp van Microsoft Graph PowerShell cmdlets.

De eerste keer dat uw organisatie deze cmdlets voor dit scenario gebruikt, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell in uw tenant te kunnen gebruiken. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals:

• Gebruikersbeheerder, als u verwacht nieuwe gebruikers te maken.
• Toepassingsbeheerder of Identity Governance Administrator, als u alleen roltoewijzingen van toepassingen beheert.

1. Open PowerShell.

2. Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeert u de Microsoft.Graph.Users-module en anderen met behulp van deze opdracht:

   Install-Module Microsoft.Graph
   

   Als u de modules al hebt geïnstalleerd, controleert u of u een recente versie gebruikt:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Verbinding maken met Microsoft Entra-id:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Als dit de eerste keer is dat u deze opdracht hebt gebruikt, moet u mogelijk toestemming geven voor de Microsoft Graph-opdrachtregelprogramma's om deze machtigingen te hebben.

5. Lees de lijst met gebruikers die zijn verkregen uit het gegevensarchief van de toepassing in de PowerShell-sessie. Als de lijst met gebruikers zich in een CSV-bestand bevindt, kunt u de PowerShell-cmdlet Import-Csv gebruiken en de naam van het bestand uit de vorige sectie opgeven als argument.

   Als het bestand dat is verkregen uit SAP Cloud Identity Services bijvoorbeeld de naam Users-exported-from-sap.csv heeft en zich in de huidige map bevindt, voert u deze opdracht in.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Als u een database of map gebruikt, voert u de volgende opdracht in als het bestand de naam users.csv heeft en zich in de huidige map bevindt:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Kies de kolom van het users.csv-bestand dat overeenkomt met een kenmerk van een gebruiker in Microsoft Entra ID.

   Als u SAP Cloud Identity Services gebruikt, dan is de standaardtoewijzing het SAP SCIM-kenmerk userName met het Microsoft Entra ID-kenmerk userPrincipalName:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Als u bijvoorbeeld een database of map gebruikt, kunt u gebruikers hebben in een database waar de waarde in de kolom genaamd EMail dezelfde waarde heeft als in het Microsoft Entra Kenmerk userPrincipalName.

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Haal de id's van die gebruikers op in Microsoft Entra ID.

   In het volgende PowerShell-script worden de eerder opgegeven waarden $dbusers, $db_match_column_nameen $azuread_match_attr_name gebruikt. Er wordt een query uitgevoerd op De Microsoft Entra-id om een gebruiker te zoeken die een kenmerk heeft met een overeenkomende waarde voor elke record in het bronbestand. Als er veel gebruikers zijn in het bestand dat is verkregen uit de bron-SAP Cloud Identity Services, -database of -map, kan het enkele minuten duren voordat dit script is voltooid. Als u geen kenmerk in Microsoft Entra ID hebt dat de waarde heeft, en een contains of een andere filterexpressie moet gebruiken, moet u dit script aanpassen en dat in stap 11 hieronder om een andere filterexpressie toe te passen.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Bekijk de resultaten van de vorige query's. Kijk of een van de gebruikers in SAP Cloud Identity Services, de database of map zich niet in Microsoft Entra ID kan bevinden vanwege fouten of ontbrekende overeenkomsten.

   In het volgende PowerShell-script worden de aantallen records weergegeven die niet zijn gevonden.

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Wanneer het script is voltooid, wordt er een fout weergegeven als records uit de gegevensbron zich niet in Microsoft Entra-id bevinden. Als niet alle records voor gebruikers uit de datastore van de toepassing gevonden kunnen worden als gebruikers in Microsoft Entra ID, moet u onderzoeken welke records niet overeenkomen en waarom.

   Iemands e-mailadres en userPrincipalName zijn bijvoorbeeld gewijzigd in Microsoft Entra-id zonder dat de bijbehorende mail eigenschap wordt bijgewerkt in de gegevensbron van de toepassing. Of de gebruiker heeft de organisatie mogelijk al verlaten, maar bevindt zich nog steeds in de gegevensbron van de toepassing. Of er is mogelijk een leverancier- of superbeheerdersaccount in de gegevensbron van de toepassing die niet overeenkomt met een specifieke persoon in Microsoft Entra-id.

10. Als er gebruikers zijn die niet gelokaliseerd konden worden in Microsoft Entra ID, of niet actief waren en zich niet konden aanmelden, maar u hun toegang wilt laten controleren of hun kenmerken wilt laten bijwerken in SAP Cloud Identity Services, de database of directory, moet u de toepassing, de bijpassende regel bijwerken of Microsoft Entra-gebruikers voor hen bijwerken of aanmaken. Zie toewijzingen en gebruikersaccounts beheren in toepassingen die niet overeenkomen met gebruikers in Microsoft Entra IDvoor meer informatie over welke wijziging moet worden aangebracht.

    Als u de optie kiest om gebruikers te maken in Microsoft Entra ID, kunt u gebruikers bulksgewijs maken met behulp van:

    • Een CSV-bestand, zoals beschreven in Gebruikers bulksgewijs maken in het Microsoft Entra-beheercentrum
    • De cmdlet New-MgUser

    Zorg ervoor dat deze nieuwe gebruikers worden gevuld met de kenmerken die nodig zijn voor Microsoft Entra-id om ze later te koppelen aan de bestaande gebruikers in de toepassing en de kenmerken die zijn vereist voor Microsoft Entra-id, waaronder userPrincipalName, mailNickname en displayName. De userPrincipalName moet uniek zijn voor alle gebruikers in de directory.

    U hebt bijvoorbeeld gebruikers in een database waarin de waarde in de kolom met de naam EMail de waarde is die u wilt gebruiken als de microsoft Entra user principal Name, de waarde in de kolom Alias de e-mailnaam van Microsoft Entra-id bevat en de waarde in de kolom Full name de weergavenaam van de gebruiker bevat:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Vervolgens kunt u dit script gebruiken om Microsoft Entra-gebruikers te maken voor gebruikers in SAP Cloud Identity Services, de database of directory die niet overeenkomen met gebruikers in Microsoft Entra ID. Mogelijk moet u dit script wijzigen om extra Microsoft Entra-kenmerken toe te voegen die nodig zijn in uw organisatie, of als de $azuread_match_attr_name niet mailNickname noch userPrincipalNameis, om dat Microsoft Entra-kenmerk op te geven.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Nadat u ontbrekende gebruikers aan Microsoft Entra ID hebt toegevoegd, voert u het script opnieuw uit vanaf stap 7. Voer vervolgens het script uit vanaf stap 8. Controleer of er geen fouten worden gerapporteerd.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Gebruikers toewijzen aan de applicatie in Microsoft Entra ID

Nu u de Microsoft Entra ECMA Connector-host met Microsoft Entra ID laat communiceren en de kenmerktoewijzing is geconfigureerd, kunt u verdergaan met het bepalen wie binnen het bereik van de inrichting valt.

Belangrijk

Als u bent aangemeld met de rol Hybrid Identity Administrator, moet u zich afmelden en aanmelden met een account met ten minste de rol Toepassingsbeheerder voor deze sectie. De rol Hybrid Identity Administrator heeft geen machtigingen om gebruikers toe te wijzen aan toepassingen.

Als er bestaande gebruikers in de LDAP-directory staan, moet u toepassingsroltoewijzingen maken voor die bestaande gebruikers. Om meer te leren over het bulksgewijs maken van toepassingsroltoewijzingen met behulp van New-MgServicePrincipalAppRoleAssignedTo, zie over het beheren van de bestaande gebruikers van een toepassing in Microsoft Entra ID.

Als u bestaande gebruikers in de LDAP-adreslijst nog niet wilt bijwerken, selecteert u een testgebruiker van Microsoft Entra-id die de vereiste kenmerken heeft en wordt ingericht voor de adreslijstserver.

1. Zorg ervoor dat de gebruiker die zal worden geselecteerd alle eigenschappen heeft die worden toegewezen aan de vereiste kenmerken van het directoryserverschema.
2. Selecteer in de Azure Portal Enterprise-applicaties.
3. Selecteer de on-premise ECMA-app toepassing.
4. Selecteer onder Beherenop de linkerkant Gebruikers en groepen.
5. Selecteer gebruiker/groep toevoegen.
6. Onder Gebruikers, selecteer Geen geselecteerd.
7. Selecteer een gebruiker aan de rechterkant en selecteer de knop .
   
8. Selecteer nu toewijzen.

Testvoorzieningen

Nu uw attributen zijn toegewezen en er een eerste gebruiker is toegewezen, kunt u on-demand provisioning testen met een van uw gebruikers.

1. Selecteer op de server waarop de Microsoft Entra ECMA Connector Host wordt uitgevoerd Start.

2. Voer uit, voer uit en voer services.msc in het tekstvak in.

3. Controleer in de lijst Services of zowel de Microsoft Entra Connect Provisioning Agent-service als de Microsoft ECMA2Host--services worden uitgevoerd. Als dat niet het geval is, selecteert u Start.

4. Selecteer in de Azure-portal Enterprise-toepassingen.

5. Selecteer de on-premises ECMA-app toepassing.

6. Selecteer aan de linkerkant Provisioning.

7. Selecteer Voorziening op aanvraag.

8. Zoek een van uw testgebruikers en selecteer Inrichten.
   

9. Na enkele seconden zal het bericht Succesvol gebruiker aangemaakt in het doelsysteem verschijnen, met een lijst van gebruikerskenmerken. Als er in plaats daarvan een fout wordt weergegeven, raadpleegt u het oplossen van inrichtingsfouten.

Beginnen met het inrichten van gebruikers

Nadat de test van het inrichten op aanvraag is geslaagd, voegt u de overige gebruikers toe. Om meer te weten te komen over het in bulk aanmaken van toepassingsroltoewijzingen met behulp van New-MgServicePrincipalAppRoleAssignedTo, zie voor het beheren van de bestaande gebruikers van een toepassing in Microsoft Entra ID.

1. Selecteer de toepassing in Azure Portal.
2. Aan de linkerkant, onder Beheren, selecteer je Gebruikers en groepen.
3. Zorg ervoor dat alle gebruikers zijn toegewezen aan de toepassingsrol.
4. Ga terug naar de configuratiepagina van de voorziening.
5. Zorg ervoor dat het bereik is ingesteld op alleen toegewezen gebruikers en groepen, stel de inrichtingsstatus in op Open selecteer Opslaan.
6. Wacht enkele minuten totdat het inrichten is gestart. Het kan tot 40 minuten duren. Nadat de inrichtingstaak is voltooid, zoals beschreven in de volgende sectie,

Inrichtingsfouten oplossen

Als er een fout wordt weergegeven, selecteert u Inrichtingslogboeken weergeven. Zoek in het logboek naar een rij waarin de status is Fouten selecteer deze rij.

Als het foutbericht is Kan gebruiker niet maken, controleert u de kenmerken die worden weergegeven op basis van de vereisten van het directoryschema.

Ga naar het tabblad Troubleshooting & Recommendations voor meer informatie.

Als de foutmelding voor probleemoplossing aangeeft dat een objectClass-waarde invalid per syntaxis, zorg er dan voor dat de toewijzing van het toewijzingskenmerk naar het objectClass-kenmerk alleen namen van objectklassen bevat die door de directoryserver worden herkend.

Zie het oplossen van problemen met het inrichten van on-premises toepassingenvoor andere fouten.

Als u de inrichting voor deze toepassing wilt onderbreken, kunt u op de configuratiepagina van de inrichting de inrichtingsstatus wijzigen in Uiten Opslaanselecteren. Met deze actie wordt de inrichtingsservice in de toekomst niet meer uitgevoerd.

Controleer of gebruikers succesvol zijn voorzien

Nadat u hebt gewacht, controleert u de directoryserver om ervoor te zorgen dat gebruikers worden toegevoegd. De query die u op de directoryserver uitvoert, is afhankelijk van de opdrachten die uw directoryserver biedt.

De volgende instructies laten zien hoe u OpenLDAP controleert op Linux.

1. Open een terminalvenster met een opdrachtshell op het systeem met OpenLDAP.
2. Typ de opdracht ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson)
3. Controleer of de resulterende LDIF de gebruikers bevat die zijn voorzien vanuit Microsoft Entra ID.

Volgende stappen

• Zie voor meer informatie over wat de inrichtingsservice doet, hoe deze werkt en voor veelgestelde vragen, Gebruikersinrichting automatiseren en deprovisioning voor SaaS-toepassingen met Microsoft Entra ID, en de architectuur voor het inrichten van on-premises toepassingen.