Поделиться через


Настройка идентификатора Microsoft Entra для подготовки пользователей в базу данных SQL

В этом документе описаны шаги, которые необходимо выполнить для автоматической подготовки и отмены подготовки пользователей из идентификатора Microsoft Entra в базу данных SQL.

Для получения важных сведений о том, что делает эта служба, как она работает и часто задаваемые вопросы, ознакомьтесь с статьями об автоматизации подготовки пользователей и отмене подготовки пользователей в приложениях SaaS с помощью идентификатора Microsoft Entra ID и архитектуры подготовки локальных приложений.

В следующем видео приведены общие сведения о локальной подготовке.

Необходимые условия для обеспечения доступа к Базе данных SQL

Предварительные требования для локальной среды

Приложение использует базу данных SQL, в которой записи для пользователей можно создавать, обновлять и удалять. Компьютер, на котором запущен агент подготовки, должен иметь следующее:

  • Windows Server 2016 или более поздней версии.
  • Подключение к целевой системе баз данных и с исходящим подключением к login.microsoftonline.com, другим службам Microsoft Online Services и доменам Azure . Примером может служить компьютер виртуальной машины под управлением ОС Windows Server 2016, размещенный в Azure IaaS или за прокси-сервером.
  • По крайней мере 3 ГБ ОЗУ.
  • .NET Framework 4.7.2.
  • Драйвер ODBC для базы данных SQL.

Настройка подключения к базе данных приложения осуществляется с помощью мастера. В зависимости от выбранных параметров некоторые экраны мастера могут быть недоступны, а сведения могут немного отличаться. Ниже приведены сведения, которые помогут вам в настройке.

Поддерживаемые базы данных

  • Microsoft SQL Server и База данных SQL Azure
  • IBM DB2 9.x
  • IBM DB2 10.x
  • IBM DB2 11.5
  • Oracle 10g и 11g
  • Oracle 12c и 18C
  • MySQL 5.x
  • MySQL 8.x
  • Postgres

Требования к облаку

  • Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5).

    Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

  • Роль Администратора гибридных удостоверений для настройки агента подготовки и роль Администратора приложения или Администратора облачного приложения для настройки подготовки на портале Azure.

  • Пользователи Microsoft Entra, которые должны быть подготовлены к базе данных, уже должны быть заполнены любыми атрибутами, которые будут необходимы схеме базы данных и которые не создаются самой базой данных.

Подготовка образца базы данных

В этой статье вы настроите соединитель Microsoft Entra SQL для взаимодействия с реляционной базой данных приложения. Как правило, приложения управляют доступом с помощью таблицы в базе данных SQL, где на каждого пользователя в таблице отводится одна строка. Если у вас уже есть приложение с базой данных, перейдите к следующему разделу.

Если у вас еще нет базы данных с подходящей таблицей, то для демонстрационных целей необходимо создать, какой идентификатор Microsoft Entra можно использовать. Если вы используете SQL Server, запустите сценарий SQL из Приложения А. Этот сценарий создает образец базы данных с именем CONTOSO, содержащий одну таблицу Employees. Эта таблица базы данных, в которую вы будете подготавливать пользователей.

Столбец таблицы Исходный код
ContosoLogin Имя участника-пользователя Microsoft Entra
FirstName Заданное имя Microsoft Entra
LastName Фамилия Microsoft Entra
Эл. почта Адрес электронной почты Exchange Online
InternalGUID Создается самой базой данных
AzureID Идентификатор объекта Microsoft Entra
textID Псевдоним электронной почты Идентификатора Microsoft Entra

Определение взаимодействия соединителя Microsoft Entra SQL с базой данных

У вас должна быть учетная запись пользователя в экземпляре SQL с правами на обновление данных в таблицах базы данных. Если ваша база данных SQL управляется другим пользователем, обратитесь к ним, чтобы получить имя учетной записи и пароль для идентификатора Microsoft Entra, используемого для проверки подлинности в базе данных. Если экземпляр SQL установлен на другом компьютере, необходимо также убедиться, что база данных SQL разрешает входящие подключения с драйвера ODBC на компьютере агента.

Если у вас уже есть база данных для приложения, необходимо определить, как идентификатор Microsoft Entra должен взаимодействовать с этой базой данных: прямое взаимодействие с таблицами и представлениями, с помощью хранимых процедур, уже присутствующих в базе данных, или с помощью инструкций SQL, предоставляемых для запроса и обновлений. Этот параметр связан с тем, что более сложное приложение может иметь в базе данных другие вспомогательные таблицы, требовать разбиение по страницам для таблиц с тысячами пользователей или может потребоваться идентификатор Microsoft Entra для вызова хранимой процедуры, которая выполняет дополнительную обработку данных, например шифрование, хэширование или проверки действительности.

При создании конфигурации соединителя для взаимодействия с базой данных приложения сначала можно настроить подход к тому, как узел соединителя считывает схему базы данных, а затем настроить подход, который соединитель должен использовать на постоянной основе с помощью профилей запуска. Каждый профиль запуска указывает, как соединитель должен создавать инструкции SQL. Выбор профилей запуска и метода в профиле запуска зависит от того, что поддерживает ядро СУБД и что требуется приложению.

  • После настройки запущенная служба подготовки автоматически выполняет взаимодействия, настроенные в профиле запуска Полный импорт. В этом профиле запуска соединитель будет выполнять чтение во всех записях пользователей из базы данных приложения (обычно с помощью инструкции SELECT). Этот профиль выполнения необходим, чтобы позже, если идентификатор Microsoft Entra ID должен внести изменения для пользователя, идентификатор Microsoft Entra id будет знать, чтобы обновить существующую запись для этого пользователя в базе данных, а не создать новую запись для этого пользователя.

  • Каждый раз при внесении изменений в идентификатор Microsoft Entra, например назначение нового пользователя приложению или обновление существующего пользователя, служба подготовки будет выполнять взаимодействие с базой данных SQL, настроенным профилем выполнения экспорта . В профиле выполнения экспорта идентификатор Microsoft Entra выдает инструкции SQL для вставки, обновления и удаления записей в базе данных, чтобы привести содержимое базы данных в синхронизацию с идентификатором Microsoft Entra.

  • Если база данных поддерживает эту возможность, можно также настроить профиль запуска Разностный импорт. В этом профиле выполнения идентификатор Microsoft Entra будет считывать изменения, внесенные в базу данных, кроме идентификатора Microsoft Entra с момента последнего полного или разностного импорта. Этот профиль запуска является необязательным, так как для чтения изменений требуется структурированная база данных.

В конфигурации каждого профиля выполнения соединителя необходимо указать, должен ли соединитель Microsoft Entra создавать собственные инструкции SQL для таблицы или представления, вызывать хранимые процедуры или использовать пользовательские запросы SQL. Обычно вы будете использовать один и тот же метод для всех профилей запуска в соединителе.

  • Если выбрать метод таблицы или представления для профиля выполнения, соединитель Microsoft Entra создаст необходимые инструкции SQL, SELECT, INSERT, UPDATE и DELETE, чтобы взаимодействовать с таблицей или представлением в базе данных. Этот метод является самым простым подходом, если база данных имеет одну таблицу или обновляемое представление с несколькими существующими строками.
  • Если выбрать метод хранимой процедуры, то в базе данных потребуется четыре хранимых процедуры: чтение страницы пользователей, добавление пользователя, обновление пользователя и удаление пользователя, вы настроите соединитель Microsoft Entra с именами и параметрами этих хранимых процедур для вызова. Этот подход требует большей конфигурации в базе данных SQL и обычно требуется только в том случае, если приложению требуется больше обработки для каждого изменения пользователя для разбиения по страницам с помощью больших результирующих наборов.
  • Если выбрать метод SQL Query, вы введете определенные инструкции SQL, которые вы хотите, чтобы соединитель выполнялся во время запуска профиля. Вы настроите для соединителя параметры, которые он должен указать в инструкциях SQL, например разбиения на страницы наборов результатов во время импорта или установки атрибутов нового пользователя, создаваемого во время экспорта.

В этой статье показано, как использовать метод на основе таблицы для взаимодействия с примером таблицы базы данных Employees в профилях запуска Экспорт и Полный импорт. Дополнительные сведения о настройке методов на основе хранимой процедуры или SQL-запроса и конкретные требования см. в руководстве по настройке универсального соединителя SQL.

Выбор уникальных идентификаторов в схеме базы данных приложения

Большинство приложений будет иметь уникальный идентификатор для каждого пользователя приложения. Если вы подготавливаете в существующую таблицу базы данных, следует определить столбец этой таблицы с значением для каждого пользователя, где это значение уникально и не изменяется. Этот столбец будет привязкой, которую идентификатор Microsoft Entra использует для идентификации существующих строк для их обновления или удаления. Дополнительные сведения о привязках см. в статье Сведения об атрибутах привязки и различающихся именах.

Если база данных приложения уже существует, в ней есть пользователи, и вы хотите, чтобы идентификатор Microsoft Entra обновлял этих пользователей, вам потребуется идентификатор для каждого пользователя, который совпадает с базой данных приложения и схемой Microsoft Entra. Например, если вы назначите пользователю приложение в идентификаторе Microsoft Entra ID, а этот пользователь уже находится в этой базе данных, то изменения этого пользователя в идентификаторе Microsoft Entra должны обновить существующую строку для этого пользователя, а не добавить новую строку. Так как идентификатор Microsoft Entra, скорее всего, не хранит внутренний идентификатор приложения для этого пользователя, необходимо выбрать другой столбец для запроса базы данных. Значение этого столбца может быть именем участника-пользователя или адресом электронной почты, идентификатором сотрудника или другим идентификатором, присутствующих в идентификаторе Microsoft Entra для каждого пользователя, который находится в области приложения. Если идентификатор пользователя, который использует приложение, не является атрибутом, хранящимся в представлении пользователя Microsoft Entra, то вам не нужно расширить схему пользователя Microsoft Entra с атрибутом расширения и заполнить этот атрибут из базы данных. Можно расширить схему Microsoft Entra и задать значения расширений с помощью PowerShell.

Сопоставление атрибутов в идентификаторе Microsoft Entra с схемой базы данных

Если идентификатор Microsoft Entra id установил связь между пользователем в идентификаторе Microsoft Entra и записью в базе данных, либо для пользователя, уже в базе данных, либо нового пользователя, идентификатор Microsoft Entra может подготавливать изменения атрибутов от пользователя Microsoft Entra в базу данных. Помимо уникальных идентификаторов, проверьте базу данных на наличие других обязательных свойств. При их наличии убедитесь, что пользователи, которые будут подготовлены в базе данных, имеют атрибуты, которые можно сопоставить с необходимыми свойствами.

Кроме того, вы можете настроить поведение отзыва. Если пользователь, назначенный приложению, удаляется в идентификаторе Microsoft Entra, идентификатор Microsoft Entra отправит операцию удаления в базу данных. Вы также можете обновить идентификатор Microsoft Entra, когда пользователь выходит из области возможности использовать приложение. Если пользователь не назначен из приложения, обратимого удаления в идентификаторе Microsoft Entra или заблокирован при входе, можно настроить идентификатор Microsoft Entra для отправки изменения атрибута. Если вы подготавливаете в существующую таблицу базы данных, то необходимо иметь столбец этой таблицы для сопоставления с isSoftDeleted. Когда пользователь выходит из области, идентификатор Microsoft Entra задает значение true для этого пользователя.

1. Установка драйвера ODBC

В Windows Server, где вы будете устанавливать агент подготовки, требуется драйвер ODBC для целевой базы данных. Если вы планируете подключиться к SQL Server или Базе данных SQL Azure, необходимо скачать драйвер ODBC для SQL Server (x64) и установить его в Windows Server. Сведения о других базах данных SQL см. в руководстве независимого поставщика программного обеспечения по установке драйвера ODBC.

2. Создание файла подключения DSN

Универсальному соединителю SQL требуется файл имени источника данных (DSN) для подключения к конечной точке SQL. Сначала необходимо создать файл с данными подключения ODBC.

  1. Запустите программу управления ODBC на сервере. Используйте 64-разрядную версию.

    Снимок экрана: управление ODBC.

  2. Перейдите на вкладку Файл DSN и выберите Добавить.

    Снимок экрана: вкладка

  3. Если вы используете SQL Server или Azure SQL, выберите SQL Server Native Client 11.0 и нажмите кнопку Далее. Если вы используете другую базу данных, выберите ее драйвер ODBC.

    Снимок экрана: выбор клиента.

  4. Присвойте файлу имя, например GenericSQL, и нажмите Далее. Снимок экрана: присвоение соединителю имени.

  5. Выберите Готово.

    Снимок экрана с кнопкой

  6. Теперь настройте подключение. Следующие шаги будут отличаться в зависимости от того, какой драйвер ODBC вы используете. На этом рисунке предполагается, что драйвер используется для подключения к SQL Server. Если SQL Server находится на компьютере другого сервера, введите имя сервера. Затем выберите Далее.

    Снимок экрана: ввод имени сервера.

  7. Если пользователь, на котором выполняется этот шаг, имеет разрешения на подключение к базе данных, сохраните проверка подлинности Windows. Если администратору SQL Server требуется локальная учетная запись SQL, вместо этого укажите соответствующие учетные данные. Затем выберите Далее.

    Снимок экрана: выбор проверки подлинности Windows.

  8. Введите имя базы данных, которым в этом примере является CONTOSO.

    Снимок экрана: ввод имени базы данных.

  9. На этом экране оставьте настройки по умолчанию и нажмите кнопку Готово.

    Снимок экрана с кнопкой

  10. Чтобы убедиться, что все работает должным образом, нажмите кнопку Проверить источник данных.

    Снимок экрана с кнопкой

  11. Убедитесь, что проверка прошла успешно.

    Снимок экрана с сообщением об успешной проверке.

  12. Нажмите дважды кнопку ОК. Закройте администратор источника данных ODBC. Файл подключения DSN сохраняется по умолчанию в папке "Документы ".

3. Установка и настройка агента подготовки Microsoft Entra Connect

Если вы уже скачали агент подготовки и настроили его для другого локального приложения, перейдите к следующему разделу.

  1. Войдите на портал Azure.
  2. Перейдите в корпоративные приложения и выберите "Создать приложение".
  3. Найдите локальное приложение ECMA , присвойте приложению имя и нажмите кнопку "Создать ", чтобы добавить его в клиент.
  4. В меню перейдите на страницу подготовки приложения.
  5. Выберите Приступая к работе.
  6. На странице Подготовка измените режим на автоматический.

Снимок экрана: выбор автоматического.

  1. В разделе "Локальное подключение" выберите "Скачать и установить" и выберите "Принять условия" и "Скачать".

Снимок экрана: расположение скачивания для агента.

  1. Оставьте портал и запустите установщик агента подготовки, примите условия обслуживания и выберите " Установить".
  2. Дождитесь мастера настройки агента подготовки Microsoft Entra, а затем нажмите кнопку "Далее".
  3. На шаге выбора расширения выберите " Подготовка локальных приложений" и нажмите кнопку "Далее".
  4. Агент подготовки будет использовать веб-браузер операционной системы для отображения всплывающего окна для проверки подлинности в идентификаторе Microsoft Entra, а также поставщика удостоверений вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы позволить JavaScript работать правильно.
  5. Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется по крайней мере роль администратора гибридных удостоверений.
  6. Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать " Выйти", а также закрыть установщик пакета агента подготовки.

4. Настройка локального приложения ECMA

  1. На портале в разделе "Локальное подключение" выберите развернутый агент и выберите "Назначить агенты".

    Снимок экрана: выбор и назначение и агент.

  2. Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.

5. Настройка сертификата узла соединителя ECMA для Microsoft Entra

  1. На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши мастер настройки Microsoft ECMA2Host в меню "Пуск" и запустите от имени администратора. Запуск от имени администратора Windows необходим для создания необходимых журналов событий Windows.

  2. После запуска конфигурации узла соединителя ECMA, если вы впервые запустите мастер, попросите создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически созданный сертификат будет самозаверяющим как часть доверенного корневого сертификата. Сертификат SAN соответствует имени узла.

    Снимок экрана: настройка параметров.

  3. Выберите Сохранить.

Примечание.

Если вы решили создать новый сертификат, запишите дату окончания срока действия сертификата, чтобы убедиться, что вы планируете вернуться в мастер конфигурации и повторно создать сертификат до истечения срока его действия.

6. Создание универсального соединителя SQL

В этом разделе вы создадите конфигурацию соединителя для базы данных.

6.1 Настройка подключения к SQL

Чтобы создать универсальный соединитель SQL, выполните следующие действия.

  1. Создайте секретный маркер, который будет использоваться для проверки подлинности идентификатора Microsoft Entra в соединителе. Для каждого приложения должно быть 12 символов и уникальных.

  2. Если этого еще не сделано, запустите мастер настройки Microsoft ECMA2Host из меню Windows.

  3. Выберите Новый соединитель.

    Снимок экрана: выбор нового соединителя.

  4. На странице Свойства заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: ввод значений свойств.

    Свойство Значение
    Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде. Например, если у вас есть только одна база данных SQL, SQL
    Таймер автосинхронизации (в минутах) 120
    Секретный токен Введите секретный маркер, созданный для этого соединителя. Ключ должен быть не менее 12 символов.
    Библиотека DLL расширения Для универсального соединителя SQL выберите Microsoft.IAM.Connector.GenericSql.dll.
  5. На странице Подключение заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Description
    Файл DSN Файл имени источника данных, созданный на предыдущем шаге и используемый для подключения к экземпляру SQL.
    Имя пользователя Имя пользователя учетной записи с правами на изменение таблицы в экземпляре SQL. Если целевая база данных — SQL Server, и вы используете проверка подлинности Windows, имя пользователя должно находиться в виде имени узла\sqladminaccount для автономных серверов или домена\sqladminaccount для серверов-членов домена. Для других баз данных имя пользователя будет локальной учетной записью в базе данных.
    Пароль Пароль предоставленного имени пользователя.
    DN является привязкой Если для вашей среды не требуются иные значения, не устанавливайте флажки DN — Anchor и Export Type:Object Replace.

6.2 Получение схемы из базы данных

После предоставления учетных данных узел соединителя ECMA будет готов получить схему базы данных. Перейдите к конфигурации подключения SQL:

  1. На странице Схема 1 нужно привести список типов объектов. В этом примере существует один тип Userобъекта. Заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Значение
    Метод определения типа объекта Фиксированное значение
    Список фиксированных значений, таблица, представление, хранимая процедура User
  2. После нажатия кнопки Далее будет автоматически отображаться следующая страница для настройки User типа объекта. На странице Схема 2 вы укажете, как представлены пользователи в вашей базе данных. В данном примере это одна таблица SQL с именем Employees. Заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Значение
    User:обнаружение атрибутов Таблица
    User:таблица, представление или хранимая процедура Имя таблицы в базе данных, например Employees

    Примечание.

    Если возникает ошибка, проверьте конфигурацию базы данных, чтобы убедиться, что пользователь, указанный на странице Подключение, имеет доступ на чтение к схеме базы данных.

  3. После нажатия кнопки "Далее" будет автоматически отображаться следующая страница, чтобы выбрать столбцы указанной ранее таблицы, например Employees таблицу в этом примере, которая будет использоваться в качестве Anchor пользователей и DN пользователей. Эти столбцы содержат уникальные идентификаторы в базе данных. Вы можете использовать одни и те же или разные столбцы, но убедитесь, что все строки, уже имеющиеся в этой базе данных, имеют уникальные значения в этих столбцах. На странице Схема 3 заполните поля значениями, указанными в таблице под снимком экрана, и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Description
    Выбор привязки для пользователя Столбец таблицы базы данных, используемой для привязки, например User:ContosoLogin
    Выбор атрибута различающегося имени для User Столбец базы данных, используемый для атрибута DN, например AzureID
  4. После нажатия кнопки "Далее" появится следующая страница, чтобы подтвердить тип данных каждой Employee из столбцов таблицы и импортировать или экспортировать их соединитель. На странице Схема 4 оставьте значения по умолчанию и нажмите Далее.

    Снимок экрана: страница

  5. На странице Глобальные заполните поля и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана: страница глобальных настроек.

    Свойство Description
    Разностная стратегия Для IBM DB2 выберите None
    Запрос предела Для IBM DB2 введите SELECT CURRENT TIMESTAMP FROM SYSIBM.SYSDUMMY1;
    Формат даты и времени источника данных Для SQL Server yyyy-MM-dd HH:mm:ss и IBM DB2 YYYY-MM-DD
  6. На странице Секции нажмите кнопку Далее.

    Снимок экрана: страница

6.3. Настройка профилей запуска

Далее предстоит настроить профили запуска Экспорт и Полный импорт. Профиль выполнения экспорта будет использоваться, когда узел соединителя ECMA должен отправлять изменения из идентификатора Microsoft Entra в базу данных, вставлять, обновлять и удалять записи. Профиль запуска Полный импорт будет использоваться при запуске службы узла соединителя ECMA для считывания текущего содержимого базы данных. В этом примере вы будете использовать метод на основе таблицы в обоих профилях запуска, чтобы узел соединителя ECMA создал необходимые инструкции SQL.

Перейдите к конфигурации подключения SQL:

  1. На странице Профили запуска оставьте флажок Экспорт. Установите флажок Полный импорт и нажмите кнопку Далее.

    Снимок экрана: страница

    Свойство Description
    Экспорт (Export) Профиль запуска, который будет экспортировать данные в SQL. Этот профиль запуска является обязательным.
    Полный импорт Профиль запуска, который будет импортировать все данные из источников SQL, указанных ранее.
    Импорт изменений Профиль запуска, который будет импортировать только изменения в SQL с момента последнего полного или разностного импорта.
  2. После нажатия кнопки "Далее" откроется следующая страница, чтобы настроить метод для профиля выполнения экспорта . Заполните поля на странице Экспорт и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана: страница

    Свойство Description
    Метод операции Таблица
    Таблица, представление, хранимая процедура Та же таблица, что и на вкладке "Схема 2", например Employees
  3. Заполните поля на странице Полный импорт и нажмите Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    Снимок экрана: страница

    Свойство Description
    Метод операции Таблица
    Таблица, представление, хранимая процедура Та же таблица, что и на вкладке "Схема 2", например Employees

6.4 Настройка того, как атрибуты отображаются в идентификаторе Microsoft Entra

На последнем шаге параметров подключения SQL настройте, как атрибуты отображаются в идентификаторе Microsoft Entra ID:

  1. Заполните поля на странице Типы объектов и нажмите кнопку Далее. Указания относительно заполнения отдельных полей приведены в таблице под снимком экрана.

    • Привязка. Значения этого атрибута должны быть уникальными для каждого объекта в целевой базе данных. Служба подготовки Microsoft Entra запрашивает узел соединителя ECMA с помощью этого атрибута после начального цикла. Это значение привязки должно совпадать с столбцом привязки, настроенным ранее на странице схемы 3 .
    • Атрибут запроса. Этот атрибут должен совпадать с привязкой.
    • DN (Различающееся имя). В большинстве случаев следует выбрать параметр Autogenerated (Созданное автоматически). Если он не выбран, убедитесь, что атрибут DN сопоставлен с атрибутом в идентификаторе Microsoft Entra, который хранит DN в этом формате: CN = anchorValue, Object = objectType Дополнительные сведения о привязках и различающихся именах см. здесь.
    Свойство Description
    Целевой объект User
    Привязка Столбец, настроенный на вкладке "Схема 3", например ContosoLogin
    Атрибут запроса Тот же столбец, что и привязка, например ContosoLogin
    DN Тот же столбец, что и на вкладке "Схема 3", например ContosoLogin
    Созданный автоматически Флажок установлен
  2. Узел соединителя ECMA обнаруживает атрибуты, поддерживаемые целевой базой данных. Вы можете выбрать, какие из этих атрибутов вы хотите предоставить идентификатору Microsoft Entra. Затем эти атрибуты можно настроить на портале Azure для подготовки. На странице Выбор атрибутов поочередно добавьте все атрибуты из раскрывающегося списка.

В раскрывающемся списке атрибутов отображается любой атрибут, обнаруженный в целевой базе данных и не выбранный на предыдущей странице выбора атрибутов . После добавления всех соответствующих атрибутов нажмите кнопку Далее.

Снимок экрана: раскрывающийся список атрибутов.

  1. На странице Отзыв в разделе Отключить потоквыберите Удалить. Атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице отзыва. Нажмите Готово.

Примечание.

Если вы используете значение атрибута Set, следует учитывать, что разрешены только логические значения.

Снимок экрана: страница

7. Убедитесь, что служба ECMA2Host запущена

  1. На сервере, на котором запущен узел соединителя Microsoft Entra ECMA, нажмите кнопку "Пуск".

  2. Введите run, а потом введите в поле services.msc.

  3. Убедитесь, что Microsoft ECMA2Host отображается в списке служб и она запущена. В противном случае нажмите Start (Запустить).

    Снимок экрана c запущенной службой.

Если вы подключаетесь к новой базе данных или той, которая пуста и не имеет пользователей, перейдите к следующему разделу. В противном случае выполните следующие действия, чтобы убедиться, что соединитель определил существующих пользователей из базы данных.

  1. Если вы недавно запустили службу и имеете много объектов пользователей в базе данных, подождите несколько минут, пока соединитель установит соединение с базой данных.

8. Настройка подключения приложения в портал Azure

  1. Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.

    Примечание.

    Если истекло время ожидания окна, выберите агент повторно.

    1. Войдите на портал Azure.
    2. Перейдите в раздел Корпоративные приложения и выберите локальное приложение ECMA.
    3. Выберите " Подготовка".
    4. Если появится режим "Начало работы", измените режим на "Автоматический" в разделе "Локальное подключение", выберите агент, который вы развернули, и выберите "Назначить агенты". Если окно не появится, перейдите к разделу Изменение подготовки.
  2. Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените {connectorName} часть именем соединителя на узле соединителя ECMA, например SQL. Имя соединителя учитывает регистр и должно быть таким же, как и в мастере. Вы также можете заменить localhost имя узла компьютера.

    Свойство Значение
    URL-адрес клиента https://localhost:8585/ecma2host_{connectorName}/scim
  3. Введите значение секретного токена, которое вы определили при создании соединителя.

    Примечание.

    Если вы назначили агент для приложения только что, подождите 10 минут, пока не завершится регистрация. Проверку подключения можно произвести только после завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите службу агента подготовки Microsoft Entra Connect, щелкните правой кнопкой мыши службу и перезапустите ее.

  4. Нажмите Проверить соединение и подождите одну минуту.

    Снимок экрана: назначение агента

  5. После успешного тестирования подключения и указывает, что предоставленные учетные данные разрешены для включения подготовки, нажмите кнопку "Сохранить".

    Снимок экрана, тестирование агента

9. Настройка сопоставлений атрибутов

Теперь необходимо сопоставить атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в локальной базе данных SQL приложения.

Вы будете использовать портал Azure для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.

  1. Убедитесь, что схема Microsoft Entra содержит атрибуты, необходимые базе данных. Если база данных требует, чтобы пользователи имели атрибут, например uidNumber, и этот атрибут еще не является частью схемы Microsoft Entra для пользователя, необходимо использовать функцию расширения каталога для добавления этого атрибута в качестве расширения.

  2. В Центре администрирования Microsoft Entra в разделе "Корпоративные приложения" выберите локальное приложение приложения ECMA, а затем страницу подготовки .

  3. Выберите Изменить подготовку и подождите 10 секунд.

  4. Разверните сопоставления и выберите сопоставление пользователей идентификатора Microsoft Entra ID. Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, это будет единственным сопоставлением для заполнителя.

    Снимок экрана: подготовка пользователя.

  5. Чтобы убедиться, что схема базы данных доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, закройте страницу, чтобы вернуться к списку сопоставлений.

  6. Теперь щелкните сопоставление userPrincipalName PLACEHOLDER. Это сопоставление добавляется по умолчанию при первой настройке локальной подготовки.

Снимок экрана: заполнитель. Измените значения атрибута следующим образом:

Тип сопоставления Атрибут источника Целевой атрибут
Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin

Снимок экрана: изменение значения.

  1. Теперь выберите " Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.

    Снимок экрана: добавление сопоставления.

  2. Укажите исходные и целевые атрибуты для каждого сопоставления в следующей таблице.

    Снимок экрана: сохранение сопоставлений.

    Тип сопоставления Атрибут источника Целевой атрибут
    Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:ContosoLogin
    Напрямую objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureID
    Напрямую mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Напрямую givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:FirstName
    Напрямую surname; urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:LastName
    Напрямую mailNickname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:textID
  3. После добавления всех сопоставлений нажмите кнопку Сохранить.

10. Назначение пользователей приложению

Теперь, когда у вас есть узел соединителя Microsoft Entra ECMA, который разговаривает с идентификатором Microsoft Entra и настроен сопоставление атрибутов, можно перейти к настройке, которая находится в области подготовки.

Внимание

Если вы вошли с помощью роли администратора гибридных удостоверений, необходимо выйти и войти с учетной записью, которая имеет по крайней мере роль администратора приложений для этого раздела. Роль администратора гибридных удостоверений не имеет разрешений на назначение пользователей приложениям.

Если в базе данных SQL есть существующие пользователи, вам следует создать в приложении назначения ролей для этих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом режиме, см. в разделе управления существующими пользователями приложения в идентификаторе Microsoft Entra.

В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.

  1. Убедитесь, что у пользователя есть все свойства, которые будут сопоставлены с необходимыми атрибутами схемы базы данных.

  2. На портале Azure выберите элемент Корпоративные приложения.

  3. Выберите вариант Локальное приложение ECMA.

  4. В левой части экрана последовательно выберите Управление и Пользователи и группы.

  5. Выберите Добавить пользователя или группу.

    Снимок экрана: добавление пользователя.

  6. В меню Пользователи нажмите Не выбрано.

    Снимок экрана: пункт

  7. Выберите нужных пользователей справа и нажмите кнопку Выбрать.

    Снимок экрана: выбор пользователей

  8. Теперь нажмите Назначить.

    Снимок экрана: назначение пользователей.

11. Тестирование подготовки

Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.

  1. На портале Azure выберите элемент Корпоративные приложения.

  2. Выберите вариант Локальное приложение ECMA.

  3. В левой части экрана выберите элемент Подготовка.

  4. Выберите Подготовка по требованию.

  5. Найдите одного из тестовых пользователей и выберите Подготовить.

    Снимок экрана: проверка подготовки.

  6. Через несколько секунд появится сообщение Пользователь в целевой системе создан со списком атрибутов пользователя.

12. Начало подготовки пользователей

  1. После успешной подготовки по запросу вернитесь на страницу настройки подготовки. Убедитесь, что в качестве области выбраны только назначенные пользователи и группы, активируйте подготовку и нажмите кнопку Сохранить.

    Снимок экрана: начало подготовки.

  2. Подождите несколько минут, пока начнется подготовка. Она может занять до 40 минут. После завершения задания подготовки, как описано в следующем разделе, вы можете изменить состояние подготовки на "Выкл." и нажмите кнопку "Сохранить". После этого служба подготовки перестанет запускаться.

Устранение ошибок подготовки

Если отображается сообщение об ошибке, выберите команду Просмотреть журналы подготовки. Найдите в журнале строку, в которой находится состояние сбоя, и выберите ее.

Если появляется сообщение об ошибке Не удалось создать пользователя, проверьте атрибуты, отображаемые в требованиях схемы базы данных.

Дополнительные сведения см. на вкладке "Устранение неполадок и рекомендации ". Если драйвер ODBC вернул сообщение, его можно отобразить здесь. Например, сообщение ERROR [23000] [Microsoft][ODBC SQL Server Driver][SQL Server]Cannot insert the value NULL into column 'FirstName', table 'CONTOSO.dbo.Employees'; column does not allow nulls. свидетельствует об ошибке драйвера ODBC. В этом случае column does not allow nulls может указывать, что FirstName столбец в базе данных является обязательным, но у пользователя, подготовленного не было givenName атрибута, поэтому пользователь не мог быть подготовлен.

Проверка подготовки пользователей

Спустя время проверьте базу данных SQL, чтобы убедиться, что пользователи подготавливаются должным образом.

Снимок экрана: проверка подготовки пользователей.

Приложение А

Если вы используете SQL Server, для создания примера базы данных можно использовать следующий сценарий SQL.

---Creating the Database---------
Create Database CONTOSO
Go
-------Using the Database-----------
Use [CONTOSO]
Go
-------------------------------------

/****** Object:  Table [dbo].[Employees]    Script Date: 1/6/2020 7:18:19 PM ******/
SET ANSI_NULLS ON
GO

SET QUOTED_IDENTIFIER ON
GO

CREATE TABLE [dbo].[Employees](
	[ContosoLogin] [nvarchar](128) NULL,
	[FirstName] [nvarchar](50) NOT NULL,
	[LastName] [nvarchar](50) NOT NULL,
	[Email] [nvarchar](128) NULL,
	[InternalGUID] [uniqueidentifier] NULL,
	[AzureID] [uniqueidentifier] NULL,
	[textID] [nvarchar](128) NULL
) ON [PRIMARY]
GO

ALTER TABLE [dbo].[Employees] ADD  CONSTRAINT [DF_Employees_InternalGUID]  DEFAULT (newid()) FOR [InternalGUID]
GO

Следующие шаги