Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

HINWEIS: Die Synchronisation folgender nationaler Cloudbereitstellungen mit dem Azure Active Directory Konnektor wird nicht unterstützt.

Microsoft Cloud for US Government (L5)
Microsoft Cloud Germany
Azure Active Directory und Office 365 betrieben von 21Vianet in China

Weitere Informationen finden Sie auch unter https://support.oneidentity.com/KB/312379.

Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und einem Azure Active Directory Mandanten sorgt der One Identity Manager Service.

Informieren Sie sich hier:

wie Sie die Synchronisation einrichten, um initial Daten aus einem Azure Active Directory Mandanten in die One Identity Manager-Datenbank einzulesen,
wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene Azure Active Directory Mandanten mit ein und demselben Synchronisationsprojekt zu synchronisieren,
wie Sie die Synchronisation starten und deaktivieren,
wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation mit einem Azure Active Directory Mandanten einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten

Der Synchronization Editor stellt eine Projektvorlage bereit, mit der die Synchronisation von Benutzerkonten und Berechtigungen der Azure Active Directory-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlage, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einem Azure Active Directory Mandanten in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.

Um die Objekte eines Azure Active Directory Mandanten initial in die One Identity Manager-Datenbank einzulesen

Stellen Sie sicher, dass der Azure Active Directory Mandant eine Lizenz mit dem Dienst SharePoint Online besitzt.

HINWEIS: Ist keine solche Lizenz vorhanden, tritt beim Laden der Azure Active Directory Benutzerkonten ein Fehler auf. Weitere Informationen finden Sie unter Mögliche Fehler bei der Synchronisation eines Azure Active Directory Mandanten.
Registrieren Sie für den One Identity Manager eine Anwendung in ihrem Azure Active Directory Mandanten.

Abhängig davon, wie die Anwendung für den One Identity Manager im Azure Active Directory Mandanten registriert ist, wird entweder ein Benutzerkonto mit ausreichenden Berechtigungen oder der geheime Schlüssel benötigt.
Die One Identity Manager Bestandteile für die Verwaltung von Azure Active Directory Mandanten sind verfügbar, wenn der Konfigurationsparameter TargetSystem | AzureAD aktiviert ist.
- Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.
  
  HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
- Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.

Detaillierte Informationen zum Thema

Registrieren einer Unternehmensanwendung für den One Identity Manager im Azure Active Directory Mandanten

Um die Daten zwischen One Identity Manager und Azure Active Directory zu synchronisieren, müssen Sie eine Anwendung im Azure Active Directory Mandanten registrieren. Der Azure Active Directory Konnektor authentifiziert sich über die One Identity Manager-Anwendung am Azure Active Directory Mandanten.

Registrieren Sie die One Identity Manager-Anwendung im Microsoft Azure Portal (https://portal.azure.com/) oder im Azure Active Directory Admin Center (https://admin.microsoft.com/).

HINWEIS: Beim Hinzufügen der One Identity Manager-Anwendung im Azure Active Directory wird eine Anwendungs-ID erzeugt. Die Anwendungs-ID benötigen Sie für die Einrichtung des Synchronisationsprojektes.

Ausführliche Informationen zum Registrieren einer Anwendung finden Sie unter https://docs.microsoft.com/de-de/azure/active-directory/develop/quickstart-register-app.
Für die Authentifizierung an der Anwendung stehen zwei Wege zur Auswahl.
- Authentifizierung im Kontext eines Verzeichnisbenutzers (delegierte Berechtigungen)
  
  Die Authentifizierung im Kontext eines Verzeichnisbenutzers wird empfohlen, da nur damit das Zurücksetzen von Benutzerkennwörtern möglich ist.
  
  Wenn Sie die Authentifizierung im Kontext eines Verzeichnisbenutzers nutzen, benötigen Sie bei der Einrichtung des Synchronisationsprojektes ein Benutzerkonto mit ausreichenden Berechtigungen.
- Authentifizierung im Kontext einer Anwendung (Anwendungsberechtigungen)
  
  Wenn Sie die Authentifizierung im Kontext einer Anwendung nutzen, benötigen Sie bei der Einrichtung des Synchronisationsprojektes den Wert des geheimen Schlüssels. Der geheime Schlüssel wird bei der Registrierung der One Identity Manager-Anwendung des Azure Active Directory Mandanten erzeugt.
  
  HINWEIS: Der Schlüssel ist nur begrenzte Zeit gültig und muss nach Ablauf ausgetauscht werden.

Um die Authentifizierung im Kontext eines Verzeichnisbenutzers (delegierte Berechtigungen) zu konfigurieren

Im Microsoft Azure Portal wählen Sie unter App-Registrierungen Ihre Anwendung.
Legen Sie unter Verwalten > Authentifizierung folgende Einstellungen fest.
1. Im Bereich Plattformkonfiguration klicken Sie Plattform hinzufügen und wählen Sie unter Plattformen konfigurieren die Kachel Mobilgerät- und Desktopanwendungen.
  1. Unter Benutzerdefinierte Umleitungs-URIs können Sie eine beliebige URI angeben.
  2. Klicken Sie Konfigurieren.
2. Im Bereich Unterstützte Kontotypen wählen Sie Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant).
3. Im Bereich Erweiterte Einstellungen aktivieren Sie die Option Öffentliche Clientflows zulassen.
Legen Sie unter Verwalten > API-Berechtigungen die Berechtigungen fest.
1. Im Bereich Konfigurierte Berechtigungen klicken Sie Berechtigung hinzufügen.
  1. Wählen Sie unter API-Berechtigungen anfordern > Microsoft-APIs die Kachel Microsoft Graph.
  2. Wählen Sie Delegierte Berechtigungen und wählen Sie folgende Berechtigungen aus:
    - Directory.AccessAsUser.All (Access directory as the signed in user)
    - Directory.ReadWrite.All (Read and write directory data)
    - User.ReadWrite.all (Read and write all users’ full profile)
    - Group.ReadWrite.all (Read and write all groups)
    - openid (Sign users in)
  3. Klicken Sie Berechtigungen hinzufügen.
2. Im Bereich Konfigurierte Berechtigungen klicken Sie Administratorzustimmung für ... erteilen und bestätigen Sie die Sicherheitsabfrage mit Ja.
  
  Die konfigurierten Berechtigungen werden damit aktiv.

Um die Authentifizierung im Kontext einer Anwendung (Anwendungsberechtigungen) zu konfigurieren

Im Microsoft Azure Portal wählen Sie unter App-Registrierungen Ihre Anwendung.
Legen Sie unter Verwalten > Authentifizierung folgende Einstellungen fest.
1. Im Bereich Plattformkonfiguration klicken Sie Plattform hinzufügen wählen Sie unter Plattformen konfigurieren die Kachel Web.
  1. Unter Umleitungs-URIs können Sie eine beliebige URI angeben.
  2. Klicken Sie Konfigurieren.
2. Im Bereich Unterstützte Kontotypen wählen Sie Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant).
3. Im Bereich Erweiterte Einstellungen aktivieren Sie die Option Öffentliche Clientflows zulassen.
Legen Sie unter Verwalten > API-Berechtigungen die Berechtigungen fest.
1. Im Bereich Konfigurierte Berechtigungen klicken Sie Berechtigung hinzufügen.
  1. Wählen Sie unter API-Berechtigungen anfordern > Microsoft-APIs die Kachel Microsoft Graph.
  2. Wählen Sie Anwendungsberechtigungen und wählen Sie folgende Berechtigungen aus:
    - Application.ReadWrite.All (Read and write all applications)
    - Directory.ReadWrite.All (Read directory data)
    - Group.ReadWrite.All (Read and write all groups)
    - Policy.Read.All (Read your organization's policies)
    - RoleManagement.ReadWrite.Directory (Read and write all directory RBAC settings)
    - User.ReadWrite.All (Read and write all users’ full profile)
  3. Klicken Sie Berechtigungen hinzufügen.
2. Im Bereich Konfigurierte Berechtigungen klicken Sie Administratorzustimmung für ... erteilen und bestätigen Sie die Sicherheitsabfrage mit Ja.
  
  Die konfigurierten Berechtigungen werden damit aktiv.
Erzeugen Sie unter Verwalten > Zertifikate & Geheimnisse einen geheimen Schlüssel.
1. Im Bereich Geheime Clientschlüssel klicken Sie Neuer geheimer Schlüssel.
  1. Erfassen Sie eine Beschreibung und die Gültigkeitsdauer für den geheimen Schlüssel.
  2. Klicken Sie Hinzufügen.
2. Der geheime Schlüssel wird generiert und im Bereich Geheime Clientschlüssel angezeigt.

Verwandte Themen

Benutzer und Berechtigungen für die Synchronisation mit dem Azure Active Directory

Bei der Synchronisation des One Identity Manager mit einem Azure Active Directory Mandanten spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer	Berechtigungen
Benutzer für den Zugriff auf Azure Active Directory oder Wert des geheimen Schlüssels	Abhängig davon, wie die One Identity Manager-Anwendung im Azure Active Directory Mandanten registriert ist, wird entweder ein Benutzerkonto mit ausreichenden Berechtigungen oder der geheime Schlüssel benötigt. Wenn Sie die Authentifizierung im Kontext eines Verzeichnisbenutzers nutzen (delegierte Berechtigungen), benötigen Sie bei der Einrichtung des Synchronisationsprojektes ein Benutzerkonto, welches Mitglied in der Azure Active Directory Administratorrolle Globaler Administrator ist. Die Zuweisung der Azure Active Directory Administratorrolle an das Benutzerkonto nehmen Sie im Azure Active Directory Admin Center vor. Ausführliche Informationen zum Verwalten von Berechtigungen in Azure Active Directory finden Sie in der Microsoft Dokumentation. HINWEIS: Das Benutzerkonto für den Zugriff auf Azure Active Directory darf keine Multifaktor-Authentifizierung nutzen, damit automatisierte Anmeldungen in einem Benutzerkontext möglich sind. Wenn Sie die Authentifizierung im Kontext einer Anwendung nutzen (Anwendungsberechtigungen), benötigen Sie bei der Einrichtung des Synchronisationsprojektes den Wert des geheimen Schlüssels. Der geheime Schlüssel, wird bei der Registrierung der One Identity Manager-Anwendung des Azure Active Directory Mandanten erzeugt. HINWEIS: Der Schlüssel ist nur begrenzte Zeit gültig und muss nach Ablauf ausgetauscht werden.
Benutzerkonto des One Identity Manager Service	Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten. Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören. Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst. Das Benutzerkonto benötigt Berechtigungen für den internen Webservice. HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben: netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE" Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis. In der Standardinstallation wird der One Identity Manager installiert unter: %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen) %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)
Benutzer für den Zugriff auf die One Identity Manager-Datenbank	Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Bitte w&auml;hlen Sie Ihr Produkt aus:

Damit wir Ihnen besser helfen können, geben Sie den Grund Ihres Chats an:

Empfohlene Lösungen für Ihr Problem

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Synchronisieren einer Azure Active Directory-Umgebung

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten

Detaillierte Informationen zum Thema

Registrieren einer Unternehmensanwendung für den One Identity Manager im Azure Active Directory Mandanten

Verwandte Themen

Benutzer und Berechtigungen für die Synchronisation mit dem Azure Active Directory

Verwandte Themen

Bitte wählen Sie Ihr Produkt aus: