Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Identitäten zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Azure Active Directory Rollenmanagement Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Verwaltungseinheiten Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Synchronisieren einer Azure Active Directory-Umgebung

HINWEIS: Die Synchronisation folgender nationaler Cloudbereitstellungen mit dem Azure Active Directory Konnektor wird nicht unterstützt.

  • Microsoft Cloud for US Government (L5)

  • Microsoft Cloud Germany

  • Azure Active Directory und Office 365 betrieben von 21Vianet in China

Weitere Informationen finden Sie auch unter https://support.oneidentity.com/KB/312379.

Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und einem Azure Active Directory Mandanten sorgt der One Identity Manager Service.

Informieren Sie sich hier:

  • wie Sie die Synchronisation einrichten, um initial Daten aus einem Azure Active Directory Mandanten in die One Identity Manager-Datenbank einzulesen,

  • wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene Azure Active Directory Mandanten mit ein und demselben Synchronisationsprojekt zu synchronisieren,

  • wie Sie die Synchronisation starten und deaktivieren,

  • wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation mit einem Azure Active Directory Mandanten einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten

Der Synchronization Editor stellt eine Projektvorlage bereit, mit der die Synchronisation von Benutzerkonten und Berechtigungen der Azure Active Directory-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlage, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einem Azure Active Directory Mandanten in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.

Um die Objekte eines Azure Active Directory Mandanten initial in die One Identity Manager-Datenbank einzulesen

  1. Stellen Sie sicher, dass der Azure Active Directory Mandant eine Lizenz mit dem Dienst SharePoint Online besitzt.

    HINWEIS: Ist keine solche Lizenz vorhanden, tritt beim Laden der Azure Active Directory Benutzerkonten ein Fehler auf. Weitere Informationen finden Sie unter Mögliche Fehler bei der Synchronisation eines Azure Active Directory Mandanten.

  2. Registrieren Sie für den One Identity Manager eine Anwendung in ihrem Azure Active Directory Mandanten.

    Abhängig davon, wie die Anwendung für den One Identity Manager im Azure Active Directory Mandanten registriert ist, wird entweder ein Benutzerkonto mit ausreichenden Berechtigungen oder der geheime Schlüssel benötigt.

  3. Die One Identity Manager Bestandteile für die Verwaltung von Azure Active Directory Mandanten sind verfügbar, wenn der Konfigurationsparameter TargetSystem | AzureAD aktiviert ist.

    • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

      HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

    • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

  4. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  5. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Registrieren einer Unternehmensanwendung für den One Identity Manager im Azure Active Directory Mandanten

Um die Daten zwischen One Identity Manager und Azure Active Directory zu synchronisieren, müssen Sie eine Anwendung im Azure Active Directory Mandanten registrieren. Der Azure Active Directory Konnektor authentifiziert sich über die One Identity Manager-Anwendung am Azure Active Directory Mandanten.

  • Registrieren Sie die One Identity Manager-Anwendung im Microsoft Azure Portal (https://portal.azure.com/) oder im Azure Active Directory Admin Center (https://admin.microsoft.com/).

    HINWEIS: Beim Hinzufügen der One Identity Manager-Anwendung im Azure Active Directory wird eine Anwendungs-ID erzeugt. Die Anwendungs-ID benötigen Sie für die Einrichtung des Synchronisationsprojektes.

    Ausführliche Informationen zum Registrieren einer Anwendung finden Sie unter https://docs.microsoft.com/azure/active-directory/develop/quickstart-register-app.

  • Für die Authentifizierung an der Anwendung stehen zwei Wege zur Auswahl.

    • Authentifizierung im Kontext eines Verzeichnisbenutzers (delegierte Berechtigungen)

      Wenn Sie die Authentifizierung im Kontext eines Verzeichnisbenutzers nutzen, benötigen Sie bei der Einrichtung des Synchronisationsprojektes ein Benutzerkonto mit ausreichenden Berechtigungen.

    • Authentifizierung im Kontext einer Anwendung (Anwendungsberechtigungen)

      Wenn Sie die Authentifizierung im Kontext einer Anwendung nutzen, benötigen Sie bei der Einrichtung des Synchronisationsprojektes den Wert des geheimen Schlüssels. Der geheime Schlüssel wird bei der Registrierung der One Identity Manager-Anwendung des Azure Active Directory Mandanten erzeugt.

      HINWEIS: Der Schlüssel ist nur begrenzte Zeit gültig und muss nach Ablauf ausgetauscht werden.

Um die Authentifizierung im Kontext eines Verzeichnisbenutzers (delegierte Berechtigungen) zu konfigurieren

  1. Im Microsoft Azure Portal wählen Sie unter App-Registrierungen Ihre Anwendung.

  2. Legen Sie unter Verwalten > Authentifizierung folgende Einstellungen fest.

    1. Im Bereich Plattformkonfiguration klicken Sie Plattform hinzufügen und wählen Sie unter Plattformen konfigurieren die Kachel Mobilgerät- und Desktopanwendungen.

      1. Unter Benutzerdefinierte Umleitungs-URIs können Sie eine beliebige URI angeben.

      2. Klicken Sie Konfigurieren.

    2. Im Bereich Unterstützte Kontotypen wählen Sie Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant).

    3. Im Bereich Erweiterte Einstellungen aktivieren Sie die Option Öffentliche Clientflows zulassen.

  3. Legen Sie unter Verwalten > API-Berechtigungen die Berechtigungen fest.

    1. Im Bereich Konfigurierte Berechtigungen klicken Sie Berechtigung hinzufügen.

      1. Wählen Sie unter API-Berechtigungen anfordern > Microsoft-APIs die Kachel Microsoft Graph.

      2. Wählen Sie Delegierte Berechtigungen und wählen Sie folgende Berechtigungen aus:

        • Directory.AccessAsUser.All (Access directory as the signed in user)

        • Directory.ReadWrite.All (Read and write directory data)

        • AuditLog.Read.All (Read all login times)

        • User.ReadWrite.all (Read and write all users’ full profile)

        • Group.ReadWrite.all (Read and write all groups)

        • openid (Sign users in)

      3. Klicken Sie Berechtigungen hinzufügen.

    2. Im Bereich Konfigurierte Berechtigungen klicken Sie Administratorzustimmung für ... erteilen und bestätigen Sie die Sicherheitsabfrage mit Ja.

      Die konfigurierten Berechtigungen werden damit aktiv.

Um die Authentifizierung im Kontext einer Anwendung (Anwendungsberechtigungen) zu konfigurieren

  1. Im Microsoft Azure Portal wählen Sie unter App-Registrierungen Ihre Anwendung.

  2. Legen Sie unter Verwalten > Authentifizierung folgende Einstellungen fest.

    1. Im Bereich Plattformkonfiguration klicken Sie Plattform hinzufügen wählen Sie unter Plattformen konfigurieren die Kachel Web.

      1. Unter Umleitungs-URIs können Sie eine beliebige URI angeben.

      2. Klicken Sie Konfigurieren.

    2. Im Bereich Unterstützte Kontotypen wählen Sie Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant).

    3. Im Bereich Erweiterte Einstellungen aktivieren Sie die Option Öffentliche Clientflows zulassen.

  3. Legen Sie unter Verwalten > API-Berechtigungen die Berechtigungen fest.

    1. Im Bereich Konfigurierte Berechtigungen klicken Sie Berechtigung hinzufügen.

      1. Wählen Sie unter API-Berechtigungen anfordern > Microsoft-APIs die Kachel Microsoft Graph.

      2. Wählen Sie Anwendungsberechtigungen und wählen Sie folgende Berechtigungen aus:

        • Application.ReadWrite.All (Read and write all applications)

        • Directory.ReadWrite.All (Read directory data)

        • Group.ReadWrite.All (Read and write all groups)

        • Policy.Read.All (Read your organization's policies)

        • RoleManagement.ReadWrite.Directory (Read and write all directory RBAC settings)

        • User.ReadWrite.All (Read and write all users’ full profile)

      3. Klicken Sie Berechtigungen hinzufügen.

    2. Im Bereich Konfigurierte Berechtigungen klicken Sie Administratorzustimmung für ... erteilen und bestätigen Sie die Sicherheitsabfrage mit Ja.

      Die konfigurierten Berechtigungen werden damit aktiv.

  4. Erzeugen Sie unter Verwalten > Zertifikate & Geheimnisse einen geheimen Schlüssel oder verwenden Sie ein Zertifikat.

    1. Verwendung eines geheimen Schlüssels:

      1. Im Bereich Geheime Clientschlüssel klicken Sie Neuer geheimer Schlüssel.
      2. Erfassen Sie eine Beschreibung und die Gültigkeitsdauer für den geheimen Schlüssel.

      3. Klicken Sie Hinzufügen.

      4. Der geheime Schlüssel wird generiert und im Bereich Geheime Clientschlüssel angezeigt.

    2. Verwendung eines Verbindungszertifikats:

      1. Sie benötigen ein X.509 Zertifikat inklusive privaten Schlüssels als *.CER oder *.PFX - Datei.

      2. Die Verwendung eines selbstsignierten Zertifikats ist möglich. Informationen zur Erstellung finden Sie unter Erstellen Sie ein selbstsigniertes öffentliches Zertifikat zum Authentifizieren Ihrer Anwendung.

      3. Importieren Sie das Zertifikat (*.PFX) in den Zertifikatsspeicher des Jobservers und der administrativen Arbeitsstation, welche zur Einrichtung der Synchronisation verwendet wird.

        - ODER -

        Öffnen Sie die *.CER - Datei und kopieren sich den Wert "Thumbprint" aus den Eigenschaften. Dieser wird im Verbindungsdialog benötigt.

  5. Zuweisen der Rolle Benutzeradministrator im Azure Active Directory Portal.

    1. Im Bereich Rollen und Administratoren wählen Sie die Rolle Benutzeradministrator.

    2. Wählen Sie unter Zuweisung hinzufügen die gewünschte Anwendung.

    3. Klicken Sie Zuweisen.

Verwandte Themen

Benutzer und Berechtigungen für die Synchronisation mit dem Azure Active Directory

Bei der Synchronisation des One Identity Manager mit einem Azure Active Directory Mandanten spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen

Benutzer für den Zugriff auf Azure Active Directory

oder

Wert des geheimen Schlüssels

Abhängig davon, wie die One Identity Manager-Anwendung im Azure Active Directory Mandanten registriert ist, wird entweder ein Benutzerkonto mit ausreichenden Berechtigungen oder der geheime Schlüssel benötigt.

  • Wenn Sie die Authentifizierung im Kontext eines Verzeichnisbenutzers nutzen (delegierte Berechtigungen), benötigen Sie bei der Einrichtung des Synchronisationsprojektes ein Benutzerkonto, welches Mitglied in der Azure Active Directory Administratorrolle Globaler Administrator ist.

    Die Zuweisung der Azure Active Directory Administratorrolle an das Benutzerkonto nehmen Sie im Azure Active Directory Admin Center vor. Ausführliche Informationen zum Verwalten von Berechtigungen in Azure Active Directory finden Sie in der Microsoft Dokumentation.

    HINWEIS: Das Benutzerkonto für den Zugriff auf Azure Active Directory darf keine Multifaktor-Authentifizierung nutzen, damit automatisierte Anmeldungen in einem Benutzerkontext möglich sind.

  • Wenn Sie die Authentifizierung im Kontext einer Anwendung nutzen (Anwendungsberechtigungen), benötigen Sie bei der Einrichtung des Synchronisationsprojektes den Wert des geheimen Schlüssels. Der geheime Schlüssel, wird bei der Registrierung der One Identity Manager-Anwendung des Azure Active Directory Mandanten erzeugt.

    HINWEIS: Der Schlüssel ist nur begrenzte Zeit gültig und muss nach Ablauf ausgetauscht werden.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating