Konfigurera Microsoft Entra-ID för att etablera användare i en LDAP-katalog för Linux-autentisering
Följande dokumentation är en handledning som visar hur du hanterar åtkomsten till ett Linux-system. Microsoft Entra provisionerar användare i en lokal LDAP-katalog som är betrodd av Linux-systemet. På så sätt kan användare logga in på ett Linux-system som förlitar sig på den LDAP-katalogen för användarautentisering. När en användare tas bort från Microsoft Entra-ID kan de inte längre logga in på ett Linux-system.
Note
Scenariot som beskrivs i den här artikeln gäller endast för befintliga Linux-system som redan förlitar sig på en NSS-modul (Name Services Switch) eller PAM-modul (Pluggable Authentication Modules) för användaridentifiering och autentisering. Virtuella Linux-datorer i Azure eller som är Azure Arc-aktiverade bör i stället integreras med Microsoft Entra-autentisering. Nu kan du använda Microsoft Entra ID som en kärnautentiseringsplattform och certifikatutfärdare för att SSH:a in i en virtuell Linux-instans med hjälp av Microsoft Entra ID och OpenSSH-certifikatbaserad autentisering, enligt beskrivningen i Logga in på en virtuell Linux-instans i Azure med hjälp av Microsoft Entra ID och OpenSSH.
Andra scenarier som rör etablering av användare i LDAP-kataloger, förutom för Linux-autentisering, finns i konfigurera Microsoft Entra-ID för att etablera användare i LDAP-kataloger.
Krav för etablering av användare i en LDAP-katalog för Linux-autentisering
Den här artikeln förutsätter att LDAP-servern redan finns i den lokala miljön, som används av ett eller flera Linux- eller andra POSIX-system för användarautentisering.
Lokala förutsättningar
- En Linux- eller annan POSIX-server som svarar på en katalogserver med hjälp av en PAM- eller NSS-modul.
- En LDAP-katalogserver som stöder POSIX-schemat, till exempel OpenLDAP, där användare kan skapas, uppdateras och tas bort. Mer information om katalogservrar som stöds finns i referensen generic LDAP Connector.
- En dator med minst 3 GB RAM-minne för att vara värd för en provisioneringsagent. Datorn ska ha Windows Server 2016 eller en senare version av Windows Server. Den bör också ha anslutning till målkatalogservern och utgående anslutning till login.microsoftonline.com, andra Microsoft Online Services- och Azure-domäner. Ett exempel är en virtuell Windows Server 2016-dator som finns i Azure IaaS eller bakom en proxy. .NET Framework 4.7.2 måste installeras på den servern.
- Valfritt: Även om det inte krävs rekommenderar vi att du laddar ned Microsoft Edge för Windows Server och använder den i stället för Internet Explorer.
Molnkrav
En Microsoft Entra-klient med Microsoft Entra ID P1 eller Premium P2 (eller EMS E3 eller E5).
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
Rollen Hybrididentitetsadministratör för att konfigurera tillhandahållandeagenten.
Rollerna Applikationsadministratör eller Molnapplikationsadministratör för att konfigurera provisioning i Azure-portalen eller Microsoft Entra administratörscenter.
Katalogserverschemat kräver att specifika attribut för varje Microsoft Entra-användare etableras till LDAP-katalogen, och dessa attribut måste redan vara ifyllda. I synnerhet måste varje användare ha ett unikt nummer som användar-ID-nummer. Innan du distribuerar etableringsagenten och tilldelar användare till katalogen måste du antingen generera talet från ett befintligt attribut för användaren eller utöka Microsoft Entra-schemat. Sedan kan du mata in attributet för de användare som omfattas. Se Graph-utökningsbarhet för hur du skapar ytterligare katalogtillägg.
Fler rekommendationer och begränsningar
Följande punkter är fler rekommendationer och begränsningar.
- Vi rekommenderar inte att du använder samma agent för molnsynkronisering och lokal appetablering. Microsoft rekommenderar att du använder en separat agent för molnsynkronisering och en för lokal appetablering.
- För närvarande kan användare i AD LDS inte tilldelas lösenord. Därför måste du antingen inaktivera lösenordsprincipen för AD LDS eller etablera användarna i ett inaktiverat tillstånd.
- För andra katalogservrar kan ett första slumpmässigt lösenord anges, men det går inte att etablera en Microsoft Entra-användares lösenord till en katalogserver.
- Etablering av användare från LDAP till Microsoft Entra-ID stöds inte.
- Tillhandahållande av grupper och användarmedlemskap till en katalogserver stöds inte.
Fastställa hur Microsoft Entra LDAP Connector ska interagera med katalogservern
Innan du distribuerar anslutningsappen till en befintlig katalogserver måste du diskutera med katalogserveroperatören i din organisation hur du integrerar med deras katalogserver. Informationen som ska samlas in omfattar:
- Nätverksinformation om hur du ansluter till katalogservern.
- Hur anslutningsappen ska autentisera sig till katalogservern.
- Vilket schema katalogservern har valt för att modellera användare.
- Namngivningskontextens unika namn och kataloghierarkiregler.
- Så här associerar du användare i katalogservern med användare i Microsoft Entra-ID.
- Vad ska hända när en användare hamnar utanför omfånget i Microsoft Entra-ID: t.
Distribution av den här anslutningsappen kan kräva ändringar i konfigurationen av katalogservern samt konfigurationsändringar i Microsoft Entra-ID. För distributioner som omfattar integrering av Microsoft Entra-ID med en katalogserver från tredje part i en produktionsmiljö rekommenderar vi att kunderna arbetar med sin katalogserverleverantör eller en distributionspartner för hjälp, vägledning och support för den här integreringen. I den här artikeln används följande exempelvärden för OpenLDAP.
Konfigurationsinställning | Där värdet anges | Exempelvärde |
---|---|---|
värdnamn för katalogservern | Konfigurationsguiden Anslutning sidan | APP3 |
portnummer för katalogservern | På sidan för konfigurationsguiden och anslutning | 636. För LDAP över SSL eller TLS (LDAPS) använder du port 636. För Start TLS använder du port 389. |
konto för anslutningen för att identifiera sig för katalogservern | Konfigurationsguiden , anslutningssidan | cn=admin,dc=contoso,dc=lab |
lösenord för anslutningen för att autentisera sig själv mot katalogservern | Konfigurationsguiden Anslutning sidan | |
strukturell objektklass för en användare i katalogservern | Konfigurationsguiden objekttyper sidan | inetOrgPerson |
extra objektklasser för en användare i katalogservern | Azure portal Provisionering sidattributmappningar |
posixAccount ochshadowAccount |
attribut som ska fyllas i på en ny användare | Konfigurationsguidens sida Välj attribut och Azure-portalens Etablering sida för attributmappning |
cn , gidNumber , homeDirectory , mail , objectClass , sn , uid , uidNumber , userPassword |
namngivningshierarki som krävs av katalogservern | Azure portal Provisionering sidattributsmappningar | Ange DN för en nyskapade användare så att det ligger direkt under DC=Contoso,DC=lab |
attribut för korrelering av användare mellan Microsoft Entra-ID och katalogservern | Azure Portal Provisioning sidattributmappningar | mail |
avaktiveringsbeteende när en användare går utanför omfånget i Microsoft Entra ID | Konfigurationsguiden Avinstallation-sidan | Ta bort användaren från katalogservern |
Nätverksadressen för en katalogserver är ett värdnamn och ett TCP-portnummer, vanligtvis port 389 eller 636. Förutom när katalogservern finns tillsammans med anslutningsappen på samma Windows Server, eller om du använder säkerhet på nätverksnivå, måste nätverksanslutningarna från anslutningsappen till en katalogserver skyddas med hjälp av SSL eller TLS. Anslutningsappen stöder anslutning till en katalogserver på port 389 och använder Start TLS för att aktivera TLS i sessionen. Anslutningsappen stöder även anslutning till en katalogserver på port 636 för LDAPS – LDAP via TLS.
Du måste ha ett identifierat konto för anslutningsappen för att autentisera till katalogservern som redan har konfigurerats på katalogservern. Det här kontot identifieras vanligtvis med ett unikt namn och har ett associerat lösenord eller klientcertifikat. För att kunna utföra import- och exportåtgärder på objekten i den anslutna katalogen måste anslutningskontot ha tillräcklig behörighet i katalogens åtkomstkontrollmodell. Anslutningsappen måste ha skriva behörigheter för att kunna exportera och läsa behörigheter för att kunna importera. Behörighetskonfigurationen utförs inom hanteringsupplevelserna för själva målkatalogen.
Ett katalogschema anger de objektklasser och attribut som representerar en verklig entitet i katalogen. Anslutningsappen stöder en användare som representeras med en strukturell objektklass, till exempel inetOrgPerson
och eventuellt ytterligare extra objektklasser. För att anslutningsappen ska kunna etablera användare till katalogservern definierar du mappningar från Microsoft Entra-schemat till alla obligatoriska attribut under konfigurationen i Azure-portalen. Detta omfattar obligatoriska attribut för klassen strukturellt objekt, alla superklasser i den strukturella objektklassen och obligatoriska attribut för eventuella extra objektklasser.
Du kommer förmodligen också att konfigurera mappningar till några av de valfria attributen för dessa klasser. En OpenLDAP-katalogserver med POSIX-schemat för att stödja Linux-autentisering kan kräva ett objekt för att en ny användare ska ha attribut som i följande exempel.
dn: cn=bsimon,dc=Contoso,dc=lab
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: bsimon
gidNumber: 10000
homeDirectory: /home/bsimon
sn: simon
uid: bsimon
uidNumber: 10011
mail: bsimon@contoso.com
userPassword: initial-password
Kataloghierarkireglerna som implementeras av en katalogserver beskriver hur objekten för varje användare relaterar till varandra och till befintliga objekt i katalogen. I de flesta distributioner valde organisationen att ha en platt hierarki i sin katalogserver, där varje objekt för en användare finns direkt under ett gemensamt basobjekt. Om till exempel det unika namnet för namngivningskontexten i en katalogserver är dc=contoso,dc=com
skulle en ny användare ha ett unikt namn som cn=alice,dc=contoso,dc=com
.
Vissa organisationer kan dock ha en mer komplex kataloghierarki, i vilket fall du måste implementera reglerna när du anger den unika namnmappningen för anslutningsappen. En katalogserver kan till exempel förvänta sig att användare ska vara i organisationsenheter efter avdelning, så en ny användare skulle ha ett unikt namn som cn=alice,ou=London,dc=contoso,dc=com
. Eftersom anslutningsappen inte skapar mellanliggande objekt för organisationsenheter måste alla mellanliggande objekt som katalogserverns regelhierarki förväntar sig redan finnas på katalogservern.
Därefter måste du definiera reglerna för hur anslutningsappen ska avgöra om det redan finns en användare i katalogservern som motsvarar en Microsoft Entra-användare. Varje LDAP-katalog har ett unikt namn som är unikt för varje objekt i katalogservern, men det unika namnet finns ofta inte för användare i Microsoft Entra-ID. I stället kan en organisation ha ett annat attribut, till exempel mail
eller employeeId
, i sitt katalogserverschema som också finns på användarna i Microsoft Entra-ID. När anslutningsappen etablerar en ny användare till en katalogserver kan anslutningsappen sedan söka efter om det redan finns en användare i katalogen som har ett specifikt värde för attributet och bara skapa en ny användare på katalogservern om det inte finns någon.
Om ditt scenario innebär att skapa nya användare i LDAP-katalogen, inte bara uppdatera eller ta bort befintliga användare, måste du också bestämma hur Linux-systemen som använder den katalogservern hanterar autentisering. Vissa system kan fråga en användares offentliga SSH-nyckel eller certifikat från katalogen, vilket kan vara lämpligt för de användare som redan har autentiseringsuppgifter för dessa formulär. Men om ditt program som förlitar sig på katalogservern inte stöder moderna autentiseringsprotokoll eller starkare autentiseringsuppgifter måste du ange ett programspecifikt lösenord när du skapar en ny användare i katalogen, eftersom Microsoft Entra-ID inte stöder etablering av en användares Microsoft Entra-lösenord.
Slutligen måste du komma överens om det avinstallationsförfarandet. När anslutningsappen har konfigurerats och Microsoft Entra-ID:t har länkats mellan en användare i Microsoft Entra-ID och en användare i katalogen, antingen för en användare som redan finns i katalogen eller en ny användare, kan Microsoft Entra-ID:t etablera attributändringar från Microsoft Entra-användaren till katalogen.
Om en användare som har tilldelats programmet tas bort i Microsoft Entra-ID skickar Microsoft Entra-ID en borttagningsåtgärd till katalogservern. Du kanske också vill att Microsoft Entra-ID ska uppdatera objektet på katalogservern när en användare inte kan använda programmet. Det här beteendet beror på vilket program som ska använda katalogservern, eftersom många kataloger, till exempel OpenLDAP, kanske inte har något standardsätt för att indikera att en användares konto är inaktiverat.
Installera och konfigurera Microsoft Entra Connect-etableringsagenten
- Logga in på Azure-portalen.
- Gå till Enterprise-program och välj Nytt program.
- Sök efter lokalappen ECMA, namnge appen och välj Skapa för att lägga till den i hyresgästmiljön.
- Från menyn, navigera till sidan Etablering i din applikation.
- Välj Kom igång.
- På sidan Provisionering ändrar du läget till Automatisk.
- Under Lokal anslutningväljer du Ladda ned och installeraoch väljer Acceptera villkor & ladda ned.
- Lämna portalen och kör installationsprogrammet för etableringsagenten, godkänn villkoren för tjänsten och välj Installera.
- Vänta på att konfigurationsguiden för Microsoft Entra-tillhandahållaren öppnas och välj sedan Nästa.
- I steget Välj tillägg väljer du Lokal programetablering och väljer sedan Nästa.
- Etableringsagenten använder operativsystemets webbläsare för att visa ett popup-fönster där du kan autentisera till Microsoft Entra-ID och eventuellt även din organisations identitetsprovider. Om du använder Internet Explorer som webbläsare på Windows Server kan du behöva lägga till Microsoft-webbplatser i webbläsarens lista över betrodda webbplatser så att JavaScript kan köras korrekt.
- Ange autentiseringsuppgifter för en Microsoft Entra-administratör när du uppmanas att auktorisera. Användaren måste ha minst rollen Hybrididentitetsadministratör.
- Välj Bekräfta för att bekräfta inställningen. När installationen är klar kan du välja Avslutaoch stänga installationsprogrammet för Provisioning Agent-paketet.
Konfigurera den lokala ECMA-appen
I portalen, i avsnittet Lokal anslutningsmöjlighet, välj den agent som du distribuerade och välj sedan Tilldela agent(er).
Håll det här webbläsarfönstret öppet när du slutför nästa konfigurationssteg med hjälp av konfigurationsguiden.
Konfigurera värdcertifikatet för Microsoft Entra ECMA Connector
- På Windows Server där etableringsagenten är installerad väljer du konfigurationsguiden Microsoft ECMA2Host från Start-menyn och kör som administratör. Det är nödvändigt att köra som Windows-administratör för att guiden ska kunna skapa nödvändiga Windows-händelseloggar.
- När ecma connector-värdkonfigurationen har startats, om det är första gången du kör guiden, uppmanas du att skapa ett certifikat. Lämna standardporten 8585 och välj Generera certifikat för att generera ett certifikat. Det automatiskt genererade certifikatet är självsignerat som en del av den betrodda roten. SAN överensstämmer med värdnamnet.
- Välj Spara.
Not
Om du har valt att generera ett nytt certifikat registrerar du certifikatets förfallodatum för att säkerställa att du schemalägger att återgå till konfigurationsguiden och återskapar certifikatet innan det upphör att gälla.
Konfigurera den allmänna LDAP-anslutningsappen
Beroende på vilka alternativ du väljer kanske vissa av guideskärmarna inte är tillgängliga och informationen kan vara något annorlunda. Använd följande information för att vägleda dig i konfigurationen.
Generera en hemlig token som ska användas för att autentisera Microsoft Entra-ID till anslutningsappen. Det ska vara minst 12 tecken och unikt för varje program. Om du inte redan har en hemlig generator kan du använda ett PowerShell-kommando, till exempel följande för att generera ett exempel på en slumpmässig sträng.
-join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
Om du inte redan har gjort det startar du konfigurationsguiden för Microsoft ECMA2Host från Start-menyn.
På sidan Egenskaper fyller du i rutorna med de värden som anges i tabellen som följer bilden och väljer Nästa.
Egenskap Värde Namn Namnet du väljer för anslutningen, som ska vara unikt bland alla anslutningar i din miljö. Till exempel LDAP
.Autosynkronisering av timer (minuter) 120 Hemlig token Ange din hemliga token här. Det bör vara minst 12 tecken. Förlängnings-DLL För den generiska LDAP-anslutningen väljer du Microsoft.IAM.Connector.GenericLdap.dll. På sidan Connectivity konfigurerar du hur ECMA Connector Host kommunicerar med katalogservern och anger några av konfigurationsalternativen. Fyll i rutorna med de värden som anges i tabellen som följer bilden och välj Nästa. När du väljer Nästafrågar anslutningsappen katalogservern om dess konfiguration.
Egenskap Beskrivning Värd Värdnamnet där LDAP-servern finns. I det här exemplet används APP3
som exempelvärdnamn.Hamn TCP-portnumret. Om katalogservern har konfigurerats för LDAP över SSL använder du port 636. För Start TLS
, eller om du använder säkerhet på nätverksnivå, använder du port 389.Tidsgräns för anslutning 180 Bindande Den här egenskapen anger hur anslutningsappen autentiserar till katalogservern. Med inställningen Basic
, eller med inställningenSSL
ellerTLS
och inget klientcertifikat konfigurerat, skickar anslutningsappen en enkel LDAP-bindning för att autentisera med ett unikt namn och ett lösenord. Med inställningenSSL
ellerTLS
och ett klientcertifikat angivet skickar anslutningsappen en LDAP SASL-EXTERNAL
bindning för att autentisera med ett klientcertifikat.Användarnamn Hur ECMA Connector autentiserar sig till katalogservern. I det här exemplet cn=admin,dc=contoso,dc=lab
Lösenord Lösenordet för användaren som ECMA Connector använder för att autentisera sig mot katalogservern. Sfär/domän Den här inställningen krävs bara om du har valt Kerberos
som bindningsalternativ för att ange användarens sfär/domän.Certifikat Inställningarna i det här avsnittet används bara om du har valt SSL
ellerTLS
som bindningsalternativ.Attributaliaser Textrutan attributalias används för attribut som definierats i schemat med RFC4522 syntax. Dessa attribut kan inte identifieras under schemaidentifiering och anslutningsappen behöver hjälp med att identifiera dessa attribut. Om katalogservern till exempel inte publicerar userCertificate;binary
och du vill etablera attributet måste följande sträng anges i rutan attributalias för att korrekt identifiera attributet userCertificate som ett binärt attribut:userCertificate;binary
. Om du inte behöver några särskilda attribut som inte finns i schemat kan du lämna detta tomt.Inkludera operativa attribut Markera kryssrutan Include operational attributes in schema
för att även inkludera attribut som skapats av katalogservern. Dessa inkluderar attribut som när objektet skapades och senaste uppdateringstid.Inkludera utökningsbara attribut Markera kryssrutan Include extensible attributes in schema
om utökningsbara objekt (RFC4512/4.3) används på katalogservern. Om du aktiverar det här alternativet kan alla attribut användas för alla objekt. Om du väljer det här alternativet blir schemat mycket stort, så om inte den anslutna katalogen använder den här funktionen är rekommendationen att behålla alternativet avmarkerat.Tillåt manuell fästpunktsmarkering Lämna avmarkerat. Not
Om du får problem med att försöka ansluta och inte kan gå vidare till sidan Global kontrollerar du att tjänstkontot på katalogservern är aktiverat.
På sidan Global konfigurerar du det unika namnet på deltaändringsloggen om det behövs och ytterligare LDAP-funktioner. Sidan är ifylld i förväg med den information som tillhandahålls av LDAP-servern. Granska värdena som visas och välj sedan Nästa.
Egenskap Beskrivning SASL-mekanismer som stöds Det översta avsnittet visar information som tillhandahålls av själva servern, inklusive listan över SASL-mekanismer. Information om servercertifikat Om SSL
ellerTLS
har angetts visar guiden certifikatet som returneras av katalogservern. Kontrollera att utfärdaren, subjektet och tumavtrycket är för rätt katalogserver.Obligatoriska funktioner hittades Anslutningen verifierar också att de obligatoriska kontrollerna finns i Root DSE. Om dessa kontroller inte visas visas en varning. Vissa LDAP-kataloger visar inte alla funktioner i root DSE och det är möjligt att anslutningen fungerar utan problem även om det finns en varning. Kontroller som stöds De stödda kontrollerna i kryssrutorna styr beteendet för vissa åtgärder. Deltaimport Ändringsloggens DN är namnkontexten som används av deltaändringsloggen, till exempel cn=changelog. Det här värdet måste anges för att deltaimporten ska kunna utföras. Om du inte behöver implementera deltaimport kan det här fältet vara tomt. Lösenordsattribut Om katalogservern stöder ett annat lösenordsattribut eller lösenordshashing kan du ange målet för lösenordsändringar. Partitionsnamn I listan med ytterligare partitioner går det att lägga till ytterligare namnområden som inte identifieras automatiskt. Den här inställningen kan till exempel användas om flera servrar utgör ett logiskt kluster som alla ska importeras samtidigt. På samma sätt som Active Directory kan ha flera domäner i en skog, men alla domäner delar ett schema, kan samma sak simuleras genom att ange ytterligare namnområden i den här rutan. Varje namnområde kan importeras från olika servrar och konfigureras ytterligare på sidan Konfigurera partitioner och hierarkier. På sidan Partitioner behåller du standardvärdet och väljer Nästa.
På sidan Kör profiler kontrollerar du att kryssrutan Exportera och kryssrutan Fullständig import är markerad. Välj sedan Nästa.
Egenskap Beskrivning Export Kör profil som exporterar data till LDAP-katalogservern. Den här körningsprofilen krävs. Fullständig import Kör profil som importerar alla data från LDAP-källor som angavs tidigare. Den här körningsprofilen krävs. Deltaimport Kör profil som endast importerar ändringar från LDAP sedan den senaste fullständiga importen eller deltaimporten. Endast aktivera den här körprofilen om du har bekräftat att katalogservern uppfyller de nödvändiga kraven. Mer information finns i referensen för generiska LDAP-anslutningen. På sidan Exportera lämnar du standardinställningarna oförändrade och väljer Nästa.
På sidan Fullständig import lämnar du standardinställningarna oförändrade och väljer Nästa.
Lämna standardvärdena oförändrade på DeltaImport-sidan och välj Nästa.
På sidan objekttyper fyller du i rutorna och väljer Nästa.
Egenskap Beskrivning Målobjekt Det här värdet är den strukturella objektklassen för en användare i LDAP-katalogservern. Använd inetOrgPerson
och ange inte någon extra objektklass i det här fältet. Om katalogservern kräver extra objektklasser konfigureras de med attributmappningarna i Azure-portalen.Ankare Värdena för det här attributet ska vara unika för varje objekt i målkatalogen. Microsoft Entra-etableringstjänsten frågar ECMA-anslutningsvärden med hjälp av det här attributet efter den första cykeln. Använd vanligtvis det unika namnet, som kan väljas som -dn-
. Flervärdesattribut, till exempel attributetuid
i OpenLDAP-schemat, kan inte användas som fästpunkter.Frågeattribut Det här attributet ska vara samma som fästpunkten. DN Målobjektets "distinguishedName". Behåll -dn-
.Genereras automatiskt Okontrollerat ECMA-värdenhet upptäcker de attribut som stöds av målkatalogen. Du kan välja vilka av de attribut som du vill exponera för Microsoft Entra-ID. Dessa attribut kan sedan konfigureras i Azure-portalen för etablering. På sidan Välj attribut lägger du till alla attribut i listrutan, en i taget, som krävs som obligatoriska attribut eller som du vill etablera från Microsoft Entra-ID.
Listrutan Attribut visar vilka attribut som identifierades i målkatalogen och inte valdes vid den tidigare användningen av konfigurationsguiden Välj Attribut-sidan.Kontrollera att kryssrutan
Treat as single value
är avmarkerad för attributetobjectClass
och omuserPassword
anges är den antingen omarkerbar eller markerad för attributetuserPassword
.Konfigurera synlighet för följande attribut.
Attribut Behandla som enskilt värde _distinguishedName -Dn- exportera_lösenord cn Y gidNumber hemkatalog e-post Y objectClass Sn Y Uid Y uidNumber användarlösenord Y När alla relevanta attribut har lagts till väljer du Nästa.
På sidan Avetablering kan du ange om du vill att Microsoft Entra-ID ska ta bort användare från katalogen när de hamnar utanför programmets omfång. I så fall under Inaktivera flödeväljer du Ta bortoch under Ta bort flödeväljer du Ta bort. Om
Set attribute value
väljs är de attribut som valts på föregående sida inte tillgängliga att välja på sidan Avetablering.
Notera
Om du använder attributet Ange vara medveten om att endast booleska värden tillåts.
- Välj Slutför.
Kontrollera att ECMA2Host-tjänsten körs och kan läsa från katalogservern
Följ de här stegen för att bekräfta att kopplingsvärden har startat och har identifierat befintliga användare från katalogservern.
- På servern som kör Microsoft Entra ECMA Connector Host väljer du Start.
- Välj kör om det behövs och ange sedan services.msc i rutan.
- I listan Services kontrollerar du att Microsoft ECMA2Host finns och körs. Om det inte är igång, välj Starta.
- Om du nyligen har startat tjänsten och har många användarobjekt på katalogservern väntar du flera minuter på att anslutningsappen ska upprätta en anslutning till katalogservern.
- Starta PowerShell på den server som kör Microsoft Entra ECMA Connector Host.
- Gå till mappen där ECMA-värdtjänst installerades, till exempel
C:\Program Files\Microsoft ECMA2Host
. - Ändra till underkatalogen
Troubleshooting
. - Kör skriptet
TestECMA2HostConnection.ps1
i den katalogen på det sätt som visas, och ange som argument anslutningens namn och värdetObjectTypePath
cache
. Om anslutningsvärden inte lyssnar på TCP-port 8585, då kan du också behöva ange argumentet-Port
. När du uppmanas till det skriver du den hemliga token som konfigurerats för anslutningsappen.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName LDAP -ObjectTypePath cache; $cout.length -gt 9 Supply values for the following parameters: SecretToken: ************
- Om skriptet visar ett felmeddelande eller varningsmeddelande kontrollerar du att tjänsten körs och att anslutningsnamnet och den hemliga token matchar de värden som du konfigurerade i konfigurationsguiden.
- Om skriptet visar resultat
False
, då har anslutningen inte sett några poster i källkatalogservern för befintliga användare. Om det här är en ny katalogserverinstallation kan du förvänta dig det här beteendet och du kan fortsätta i nästa avsnitt. - Men om katalogservern redan innehåller en eller flera användare men skriptet visade
False
, anger den här statusen att anslutningen inte kunde läsa från katalogservern. Om du försöker provisionera kanske Microsoft Entra ID inte korrekt matchar användarna i källkatalogen med användare i Microsoft Entra ID. Vänta några minuter tills anslutningsvärden har läst klart objekt från den befintliga katalogservern och kör sedan skriptet igen. Om utdata fortsätter att varaFalse
, kontrollera då att konfigurationen av din anslutning och att behörigheterna på katalogservern tillåter anslutningen att läsa befintliga användare.
Testa anslutningen från Microsoft Entra ID till kontaktvärden
Gå tillbaka till webbläsarfönstret där du konfigurerade programetablering i portalen.
Not
Om tidsgränsen för fönstret hade överskridits behöver du välja agenten på nytt.
- Logga in på Azure-portalen.
- Gå till Enterprise-applikationer och lokala ECMA-programmet.
- Välj på Provisionering.
- Om Kom igång visas ändrar du läget till Automatisk. I avsnittet Lokal anslutning väljer du den agent som du nyss distribuerade och väljer Tilldela agenteroch väntar 10 minuter. Annars går du till Redigera tilldelning.
Under avsnittet Administratörsautentiseringsuppgifter anger du följande URL. Ersätt delen
connectorName
med namnet på kontakten på ECMA-värden, till exempelLDAP
. Om du har tillhandahållit ett certifikat från en certifikatutfärdare för ECMA-värden, ersätt dålocalhost
med värdnamnet på den server där ECMA-värden är installerad.Egenskap Värde Tenant-URL https://localhost:8585/ecma2host_connectorName/scim Ange värdet hemlig token som du definierade när du skapade anslutningen.
Obs!
Om du precis har tilldelat agenten till programmet väntar du 10 minuter tills registreringen har slutförts. Anslutningstestet fungerar inte förrän registreringen har slutförts. Att tvinga agentregistreringen att slutföras genom att starta om etableringsagenten på servern kan påskynda registreringsprocessen. Gå till servern, sök efter tjänster i Sökfältet i Windows, identifiera Microsoft Entra Connect Provisioning Agent-tjänsten, högerklicka på tjänsten och starta om.
Välj Testa anslutningoch vänta en minut.
När anslutningstestet har slutförts och anger att de angivna autentiseringsuppgifterna har behörighet att aktivera etablering väljer du Spara.
Utöka Microsoft Entra-schemat
Om katalogservern kräver ytterligare attribut som inte ingår i standardschemat för Microsoft Entra för användare, kan du när du etablerar konfigurera för att ange värden för dessa attribut från en konstant, från ett uttryck som transformeras från andra Microsoft Entra-attribut eller genom att utöka Microsoft Entra-schemat.
Om katalogservern kräver att användarna har ett attribut, till exempel uidNumber
för OpenLDAP POSIX-schemat, och det attributet inte redan ingår i ditt Microsoft Entra-schema för en användare, och måste vara unikt för varje användare, måste du antingen generera attributet från andra attribut för användaren via ett uttryck, eller använd -katalogtilläggsfunktionen för att lägga till attributet som ett tillägg.
Om dina användare har sitt ursprung i Active Directory Domain Services och har attributet i den katalogen kan du använda Microsoft Entra Connect eller Microsoft Entra Connect-molnsynkronisering. Detta konfigurerar attributet som ska synkroniseras från Active Directory Domain Services till Microsoft Entra ID, vilket gör det tillgängligt för etablering till andra system.
Om dina användare har sitt ursprung i Microsoft Entra-ID måste du definiera ett katalogtillägg för varje nytt attribut som ska lagras på en användare. Sedan uppdatera Microsoft Entra-användare som planeras att tillhandahållas med ett värde för dessa attribut till varje användare.
Konfigurera attributmappning
I det här avsnittet konfigurerar du mappningen mellan Microsoft Entra-användarens attribut och de attribut som du tidigare valde i konfigurationsguiden för ECMA Host. Senare, när anslutningsappen skapar ett objekt på en katalogserver, skickas Microsoft Entra-användarattributen via anslutningsappen till katalogservern för att ingå i det nya objektet.
I administrationscentret för Microsoft Entra, under Enterprise-applikationer, väljer du applikationen lokal ECMA-app och sedan sidan Provisionering.
Välj Redigera tillhandahållande.
Expandera Mappningar och välj Etablera Microsoft Entra-användare. Om det är första gången du konfigurerar attributmappningarna för det här programmet finns det bara en mappning som platshållare.
Bekräfta att schemat för katalogservern är tillgängligt i Microsoft Entra-ID genom att markera kryssrutan Visa avancerade alternativ och välja Redigera attributlista för ScimOnPremises. Kontrollera att alla attribut som valts i konfigurationsguiden visas. Om inte, vänta några minuter tills schemat uppdateras. Välj sedan Attributmappning i navigeringsraden och därefter Redigera attributlista för ScimOnPremises igen för att läsa in sidan på nytt. När du har sett attributen i listan, avbryt denna sida för att återgå till mappningslistan.
Varje användare i en katalog måste ha ett unikt unikt namn. Du kan ange hur anslutningsappen ska konstruera ett unikt namn med hjälp av en attributmappning. Välj Lägg till ny mappning. Använd följande värden för att skapa mappningen och ändra de distinkta namnen i uttrycket så att de överensstämmer med organisationsenheten eller en annan behållare i din målkatalog.
- Mappningstyp: uttryck
- Uttryck:
Join("", "CN=", Word([userPrincipalName], 1, "@"), ",DC=Contoso,DC=lab")
- Målattribut:
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:-dn-
- Använd den här mappningen: endast när objekt skapas
Om katalogservern kräver att flera strukturella objektklassvärden eller extra objektklassvärden anges i attributet
objectClass
lägger du till en mappning till attributet. Om du vill lägga till en mappning förobjectClass
väljer du Lägg till ny mappning. Använd följande värden för att skapa mappningen och ändra objektklassnamnen i uttrycket så att de matchar målkatalogschemat.- Mappningstyp: uttryck
- Uttryck, vid etablering av POSIX-schemat:
Split("inetOrgPerson,posixAccount,shadowAccount",",")
- Målattribut:
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:objectClass
- Använd den här mappningen: endast när objekt skapas
För var och en av mappningarna i följande tabell för katalogservern väljer du Lägg till ny mappningoch anger käll- och målattributen. Om du ska provisionera till en befintlig katalog med befintliga användare måste du redigera mappningen för attributet som är gemensamt för att ställa in Matcha objekt med hjälp av det här attributet. Läs mer om attributmappning här.
För OpenLDAP med POSIX-schemat måste du också ange attributen
gidNumber
,homeDirectory
,uid
ochuidNumber
. Varje användare kräver en unikuid
och en unikuidNumber
. Vanligtvis angeshomeDirectory
av ett uttryck som härleds från användarens userID. Om en användaresuid
till exempel genereras av ett uttryck som härleds från användarens huvudnamn, kan värdet för användarens hemkatalog genereras av ett liknande uttryck som också härleds från användarens huvudnamn. Och beroende på ditt användningsfall kanske du vill att alla användare ska vara i samma grupp, så skulle tilldelagidNumber
från en konstant.Mappningstyp Källattribut Målattribut Direkt displayName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:cn
Direkt surname
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:sn
Direkt userPrincipalName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:mail
Uttryck ToLower(Word([userPrincipalName], 1, "@"), )
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uid
Direkt (attribut som är specifikt för din katalog) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:uidNumber
Uttryck Join("/", "/home", ToLower(Word([userPrincipalName], 1, "@"), ))
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:homeDirectory
Konstant 10000
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:gidNumber
Lägg till en mappning i
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userPassword
som anger ett första slumpmässigt lösenord för användaren.Välj Spara.
Se till att användare som ska etableras i katalogen har obligatoriska attribut
Om det finns personer som har befintliga användarkonton i LDAP-katalogen måste du se till att Microsoft Entra-användarrepresentationen har de attribut som krävs för matchning.
Om du planerar att skapa nya användare i LDAP-katalogen måste du se till att Microsoft Entra-representationerna av dessa användare har de källattribut som krävs av användarschemat för målkatalogen. Varje användare kräver en unik uid
och en unik uidNumber
.
Om dina användare har sitt ursprung i Active Directory Domain Services och har attributet i katalogen kan du använda Microsoft Entra Connect eller Microsoft Entra Connect-molnsynkronisering för att konfigurera att attributet ska synkroniseras från Active Directory Domain Services till Microsoft Entra ID, så att det är tillgängligt för etablering till andra system.
Om dina användare har sitt ursprung i Microsoft Entra-ID du definiera ett katalogtilläggför varje nytt attribut som du behöver lagra på en användare. Sedan uppdatera Microsoft Entra-användare som planeras att etableras för att ge varje användare ett värde för dessa attribut.
Bekräfta användare via PowerShell
När du har uppdaterat användarna i Microsoft Entra-ID kan du använda Microsoft Graph PowerShell-cmdletar för att automatisera kontrollen av att användarna har alla nödvändiga attribut.
Anta till exempel att din tilldelning krävde att användarna hade tre attribut DisplayName
,surname
och extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty
. Det tredje attributet används för att innehålla uidNumber
. Du kan använda cmdleten Get-MgUser
för att hämta varje användare och kontrollera om de obligatoriska attributen finns. Observera att cmdleten Graph v1.0 Get-MgUser
som standard inte returnerar något av en användares katalogtilläggsattribut, såvida inte attributen anges i begäran som en av egenskaperna som ska returneras.
Det här avsnittet visar hur du interagerar med Microsoft Entra-ID med hjälp av Microsoft Graph PowerShell-cmdletar.
Första gången din organisation använder dessa cmdletar för det här scenariot måste du ha en global administratörsroll så att Microsoft Graph PowerShell kan användas i din klientorganisation. Efterföljande interaktioner kan använda en lägre privilegierad roll, till exempel:
- Användaradministratör, om du förväntar dig att skapa nya användare.
- Programadministratör eller administratör för identitetsstyrning, om du bara hanterar programrolltilldelningar.
Öppna PowerShell.
Om du inte redan har installerat Microsoft Graph PowerShell-moduler installerar du
Microsoft.Graph.Users
-modulen och andra med hjälp av det här kommandot:Install-Module Microsoft.Graph
Om du redan har installerat modulerna kontrollerar du att du använder en ny version:
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
Anslut till Microsoft Entra ID:
$msg = Connect-MgGraph -ContextScope Process -Scopes "User.Read.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
Skapa listan över användare och de attribut som ska kontrolleras.
$userPrincipalNames = ( "alice@contoso.com", "bob@contoso.com", "carol@contoso.com" ) $requiredBaseAttributes = ("DisplayName","surname") $requiredExtensionAttributes = ("extension_656b1c479a814b1789844e76b2f459c3_MyNewProperty")
Sök i katalogen efter var och en av användarna.
$select = "id" foreach ($a in $requiredExtensionAttributes) { $select += ","; $select += $a;} foreach ($a in $requiredBaseAttributes) { $select += ","; $select += $a;} foreach ($un in $userPrincipalNames) { $nu = Get-MgUser -UserId $un -Property $select -ErrorAction Stop foreach ($a in $requiredBaseAttributes) { if ($nu.$a -eq $null) { write-output "$un missing $a"} } foreach ($a in $requiredExtensionAttributes) { if ($nu.AdditionalProperties.ContainsKey($a) -eq $false) { write-output "$un missing $a" } } }
Samla in befintliga användare från LDAP-katalogen
Identifiera vilka av användarna i katalogen som ska vara användare med Linux-autentisering. Det här valet beror på linux-systemets konfiguration. För vissa konfigurationer är alla användare som finns i en LDAP-katalog en giltig användare. Andra konfigurationer kan kräva att användaren har ett visst attribut eller är medlem i en grupp i katalogen.
Kör ett kommando som hämtar den delmängden av användare från din LDAP-katalog till en CSV-fil. Se till att utdata innehåller attributen för användare som används för matchning med Microsoft Entra-ID. Exempel på dessa attribut är medarbetar-ID, kontonamn eller
uid
och e-postadress.Om det behövs överför du CSV-filen som innehåller listan över användare till ett system med Microsoft Graph PowerShell-cmdletar installerade.
Nu när du har en lista över alla användare som hämtats från katalogen matchar du dessa användare från katalogen med användare i Microsoft Entra-ID. Innan du fortsätter bör du granska informationen om matchande användare i käll- och målsystemen.
Hämta ID:t för användarna i Microsoft Entra-ID
Det här avsnittet visar hur du interagerar med Microsoft Entra-ID med hjälp av Microsoft Graph PowerShell-cmdletar.
Första gången din organisation använder dessa cmdletar för det här scenariot måste du ha en global administratörsroll så att Microsoft Graph PowerShell kan användas i din klientorganisation. Efterföljande interaktioner kan använda en lägre privilegierad roll, till exempel:
- Användaradministratör, om du förväntar dig att skapa nya användare.
- Programadministratör eller administratör för identitetsstyrning, om du bara hanterar programrolltilldelningar.
Öppna PowerShell.
Om du inte redan har installerat Microsoft Graph PowerShell-moduler installerar du
Microsoft.Graph.Users
-modulen och andra med hjälp av det här kommandot:Install-Module Microsoft.Graph
Om du redan har installerat modulerna kontrollerar du att du använder en ny version:
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
Anslut till Microsoft Entra ID:
$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
Om det är första gången du använder det här kommandot kan du behöva godkänna att Microsoft Graph-kommandoradsverktygen har dessa behörigheter.
Läs listan över användare som hämtats från programmets datalager i PowerShell-sessionen. Om listan över användare fanns i en CSV-fil kan du använda PowerShell-cmdleten
Import-Csv
och ange namnet på filen från föregående avsnitt som ett argument.Om filen som hämtas från SAP Cloud Identity Services till exempel heter Users-exported-from-sap.csv och finns i den aktuella katalogen anger du det här kommandot.
$filename = ".\Users-exported-from-sap.csv" $dbusers = Import-Csv -Path $filename -Encoding UTF8
Om du till exempel använder en databas eller katalog, om filen heter users.csv och finns i den aktuella katalogen, anger du följande kommando:
$filename = ".\users.csv" $dbusers = Import-Csv -Path $filename -Encoding UTF8
Välj kolumnen i den users.csv fil som ska matcha med ett attribut för en användare i Microsoft Entra-ID.
Om du använder SAP Cloud Identity Services är standardmappningen SAP SCIM-attributet
userName
med Microsoft Entra ID-attributetuserPrincipalName
:$db_match_column_name = "userName" $azuread_match_attr_name = "userPrincipalName"
Om du till exempel använder en databas eller katalog kan du ha användare i en databas där värdet i kolumnen med namnet
EMail
är samma värde som i Microsoft Entra-attributetuserPrincipalName
:$db_match_column_name = "EMail" $azuread_match_attr_name = "userPrincipalName"
Hämta ID:t för dessa användare i Microsoft Entra-ID.
Följande PowerShell-skript använder värdena
$dbusers
,$db_match_column_name
och$azuread_match_attr_name
som angavs tidigare. Den frågar Microsoft Entra-ID för att hitta en användare som har ett attribut med ett matchande värde för varje post i källfilen. Om det finns många användare i filen som hämtas från SAP Cloud Identity Services, databasen eller katalogen för källan kan det ta flera minuter att slutföra det här skriptet. Om du inte har ett attribut i Microsoft Entra-ID som har värdet och behöver använda ettcontains
eller annat filteruttryck måste du anpassa skriptet och det i steg 11 nedan för att använda ett annat filteruttryck.$dbu_not_queried_list = @() $dbu_not_matched_list = @() $dbu_match_ambiguous_list = @() $dbu_query_failed_list = @() $azuread_match_id_list = @() $azuread_not_enabled_list = @() $dbu_values = @() $dbu_duplicate_list = @() foreach ($dbu in $dbusers) { if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { $val = $dbu.$db_match_column_name $escval = $val -replace "'","''" if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval } $filter = $azuread_match_attr_name + " eq '" + $escval + "'" try { $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop) if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else { $id = $ul[0].id; $azuread_match_id_list += $id; if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id } } } catch { $dbu_query_failed_list += $dbu } } else { $dbu_not_queried_list += $dbu } }
Visa resultatet av tidigare frågor. Se om någon av användarna i SAP Cloud Identity Services, databasen eller katalogen inte kunde finnas i Microsoft Entra-ID på grund av fel eller saknade matchningar.
Följande PowerShell-skript kommer att visa antalet poster som inte hittades.
$dbu_not_queried_count = $dbu_not_queried_list.Count if ($dbu_not_queried_count -ne 0) { Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name." } $dbu_duplicate_count = $dbu_duplicate_list.Count if ($dbu_duplicate_count -ne 0) { Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value" } $dbu_not_matched_count = $dbu_not_matched_list.Count if ($dbu_not_matched_count -ne 0) { Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name." } $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count if ($dbu_match_ambiguous_count -ne 0) { Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous." } $dbu_query_failed_count = $dbu_query_failed_list.Count if ($dbu_query_failed_count -ne 0) { Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors." } $azuread_not_enabled_count = $azuread_not_enabled_list.Count if ($azuread_not_enabled_count -ne 0) { Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in." } if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) { Write-Output "You will need to resolve those issues before access of all existing users can be reviewed." } $azuread_match_count = $azuread_match_id_list.Count Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."
När skriptet är klart anger det ett fel om några poster från datakällan inte hittades i Microsoft Entra ID. Om inte alla poster för användare från programmets datalager kunde finnas som användare i Microsoft Entra-ID måste du undersöka vilka poster som inte matchade och varför.
Till exempel kan någons e-postadress och userPrincipalName ha ändrats i Microsoft Entra-ID utan att motsvarande
mail
egenskap uppdateras i programmets datakälla. Eller så kanske användaren redan har lämnat organisationen men fortfarande finns i programmets datakälla. Eller så kan det finnas ett leverantörs- eller superadministratörskonto i programmets datakälla som inte motsvarar någon specifik person i Microsoft Entra-ID.Om det fanns användare som inte kunde hittas i Microsoft Entra-ID eller inte var aktiva och kunde logga in, men du vill att deras åtkomst ska granskas eller deras attribut uppdateras i SAP Cloud Identity Services, databasen eller katalogen, måste du uppdatera programmet, matchningsregeln eller uppdatera eller skapa Microsoft Entra-användare åt dem. Mer information om vilka ändringar som ska utföras finns i hantera mappningar och användarkonton i program som inte matchade användare i Microsoft Entra-ID.
Om du väljer alternativet att skapa användare i Microsoft Entra-ID kan du skapa användare i grupp med hjälp av antingen:
- En CSV-fil, enligt beskrivningen i Massskapa användare i administrationscentret för Microsoft Entra
- Cmdlet-kommandot New-MgUser
Se till att dessa nya användare är ifyllda med de attribut som krävs för att Microsoft Entra-ID ska matcha dem senare med de befintliga användarna i programmet och de attribut som krävs av Microsoft Entra-ID, inklusive
userPrincipalName
,mailNickname
ochdisplayName
. DenuserPrincipalName
måste vara unik bland alla användare i katalogen.Du kan till exempel ha användare i en databas där värdet i kolumnen med namnet
EMail
är det värde som du vill använda som Microsoft Entra-användarens huvudnamn, värdet i kolumnenAlias
innehåller Microsoft Entra ID-e-post smeknamn och värdet i kolumnenFull name
innehåller användarens visningsnamn:$db_display_name_column_name = "Full name" $db_user_principal_name_column_name = "Email" $db_mail_nickname_column_name = "Alias"
Sedan kan du använda det här skriptet för att skapa Microsoft Entra-användare för användare i SAP Cloud Identity Services, databasen eller katalogen som inte matchade med användare i Microsoft Entra-ID. Observera att du kan behöva ändra det här skriptet för att lägga till ytterligare Microsoft Entra-attribut som behövs i din organisation, eller om
$azuread_match_attr_name
varken ärmailNickname
elleruserPrincipalName
för att kunna ange attributet Microsoft Entra.$dbu_missing_columns_list = @() $dbu_creation_failed_list = @() foreach ($dbu in $dbu_not_matched_list) { if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) { $params = @{ accountEnabled = $false displayName = $dbu.$db_display_name_column_name mailNickname = $dbu.$db_mail_nickname_column_name userPrincipalName = $dbu.$db_user_principal_name_column_name passwordProfile = @{ Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_}) } } try { New-MgUser -BodyParameter $params } catch { $dbu_creation_failed_list += $dbu; throw } } else { $dbu_missing_columns_list += $dbu } }
När du har lagt till användare som saknas i Microsoft Entra-ID kör du skriptet från steg 7 igen. Kör sedan skriptet från steg 8. Kontrollera att inga fel rapporteras.
$dbu_not_queried_list = @() $dbu_not_matched_list = @() $dbu_match_ambiguous_list = @() $dbu_query_failed_list = @() $azuread_match_id_list = @() $azuread_not_enabled_list = @() $dbu_values = @() $dbu_duplicate_list = @() foreach ($dbu in $dbusers) { if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { $val = $dbu.$db_match_column_name $escval = $val -replace "'","''" if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval } $filter = $azuread_match_attr_name + " eq '" + $escval + "'" try { $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop) if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else { $id = $ul[0].id; $azuread_match_id_list += $id; if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id } } } catch { $dbu_query_failed_list += $dbu } } else { $dbu_not_queried_list += $dbu } } $dbu_not_queried_count = $dbu_not_queried_list.Count if ($dbu_not_queried_count -ne 0) { Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name." } $dbu_duplicate_count = $dbu_duplicate_list.Count if ($dbu_duplicate_count -ne 0) { Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value" } $dbu_not_matched_count = $dbu_not_matched_list.Count if ($dbu_not_matched_count -ne 0) { Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name." } $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count if ($dbu_match_ambiguous_count -ne 0) { Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous." } $dbu_query_failed_count = $dbu_query_failed_list.Count if ($dbu_query_failed_count -ne 0) { Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors." } $azuread_not_enabled_count = $azuread_not_enabled_list.Count if ($azuread_not_enabled_count -ne 0) { Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in." } if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) { Write-Output "You will need to resolve those issues before access of all existing users can be reviewed." } $azuread_match_count = $azuread_match_id_list.Count Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."
Tilldela användare till programmet i Microsoft Entra-ID
Nu när du har Microsoft Entra ECMA Connector-värden som pratar med Microsoft Entra-ID och attributmappningen är konfigurerad kan du fortsätta med att konfigurera vem som är i omfånget för tillhandahållande.
Viktig
Om du har loggat in med rollen Hybrididentitetsadministratör måste du logga ut och logga in med ett konto som har minst rollen Programadministratör för det här avsnittet. Rollen Hybrididentitetsadministratör har inte behörighet att tilldela användare till program.
Om det finns befintliga användare i LDAP-katalogen bör du skapa programrolltilldelningar för dessa befintliga användare. Mer information om hur du skapar programrolltilldelningar i grupp med New-MgServicePrincipalAppRoleAssignedTo
finns i som styr ett programs befintliga användare i Microsoft Entra ID.
Om du inte vill uppdatera befintliga användare i LDAP-katalogen ännu väljer du en testanvändare från Microsoft Entra-ID som har de attribut som krävs och som etableras till katalogservern.
- Kontrollera att den användare som ska väljas har alla egenskaper som ska mappas till de nödvändiga attributen i katalogserverschemat.
- I Azure-portalen väljer du Enterprise-program.
- Välj den lokala ECMA-appen.
- Till vänster under Hanteraväljer du Användare och grupper.
- Välj Lägg till användare/grupp.
- Under Användareväljer du Ingen vald.
- Välj en användare till höger och välj knappen Välj.
- Välj nu Tilldela.
Testtillhandahållande
Nu när dina attribut har mappats och en första användare har tilldelats kan du testa etablering på begäran med en av dina användare.
På servern som kör Microsoft Entra ECMA Connector Host, välj Start.
Ange kör och skriv services.msc i rutan.
I listan Services kontrollerar du att både Microsoft Entra Connect Provisioning Agent-tjänsten och Microsoft ECMA2Host-tjänsterna körs. Om inte väljer du Starta.
I Azure-portalen väljer du Enterprise-program.
Välj applikationen lokala ECMA-appen.
Till vänster väljer du Provisionering.
Välj Tillhandahållande på begäran.
Efter flera sekunder visas meddelandet Användare har skapats i målsystemet med en lista över användarattributen. Om ett fel visas kan du i stället läsa om felsökning av etableringsfel .
Börja konfigurationsprocessen för användare
När testet av etablering på begäran har slutförts lägger du till de återstående användarna. Mer information om hur du skapar programrolltilldelningar i grupp med New-MgServicePrincipalAppRoleAssignedTo
finns i som styr ett programs befintliga användare i Microsoft Entra ID.
- I Azure-portalen väljer du programmet.
- Till vänster under Hanteraväljer du Användare och grupper.
- Kontrollera att alla användare är tilldelade till programrollen.
- Byt tillbaka till konfigurationssidan för tillhandahållande.
- Kontrollera att omfånget endast är inställt på tilldelade användare och grupper, slå på tilldelningsstatus till Påoch välj Spara.
- Vänta i flera minuter på att etableringen ska starta. Det kan ta upp till 40 minuter. När konfigureringsjobbet har slutförts, som beskrivs i nästa avsnitt,
Felsöka tilldelningsfel
Om ett fel visas väljer du Visa tilldelningsloggar. Leta i loggen efter en rad där Status är Feloch välj på den raden.
Om felmeddelandet är Det gick inte att skapa användar-kontrollerar du de attribut som visas mot kraven i katalogschemat.
Mer information finns i fliken Felsökning & Rekommendationer.
Om felsökningsfelmeddelandet innehåller att ett objectClass-värde är invalid per syntax
kontrollerar du att etableringsattributmappningen till attributet objectClass
endast innehåller namn på objektklasser som identifieras av katalogservern.
För andra fel, se felsökning av programförsörjning på plats.
Om du vill pausa etableringen av det här programmet kan du på konfigurationssidan för etablering ändra etableringsstatusen till Avoch välja Spara. Den här åtgärden hindrar provisioneringstjänsten från att köras i framtiden.
Kontrollera att användarna har provisionerats framgångsrikt
Efter att ha väntat kontrollerar du katalogservern för att se till att användarna tilldelas. Vilken fråga du utför till katalogservern beror på vilka kommandon katalogservern tillhandahåller.
Följande instruktioner visar hur du kontrollerar OpenLDAP i Linux.
- Öppna ett terminalfönster med ett kommandogränssnitt i systemet med OpenLDAP.
- Skriv kommandot
ldapsearch -D "cn=admin,dc=contoso,dc=lab" -W -s sub -b dc=contoso,dc=lab -LLL (objectclass=inetOrgPerson)
- Kontrollera att den resulterande LDIF:en innehåller de användare som tillhandahållits från Microsoft Entra ID.
Nästa steg
- Mer information om vad etableringstjänsten gör, hur den fungerar och vanliga frågor finns i Automatisera användaretablering och avetablering till SaaS-program med Microsoft Entra ID och lokal programetableringsarkitektur.