Podrobné informace o cloudové synchronizaci – Jak to funguje

Přehled komponent

Cloudová synchronizace je založená na službách Microsoft Entra a má dvě klíčové komponenty:

• Agent zřizování: Agent zřizování cloudu Microsoft Entra Connect je stejný agent jako příchozí a založený na stejné technologii na straně serveru jako proxy aplikace a předávací ověřování. Vyžaduje pouze odchozí připojení a agenti jsou automaticky aktualizováni.
• Služba zřizování: Stejná služba zřizování jako odchozí zřizování a příchozí zřizování Workday, která používá model založený na plánovači. Zřizování synchronizace cloudu se mění každých 2 minuty.

Počáteční nastavení

Během počátečního nastavení se provede několik věcí, které způsobí, že dojde k synchronizaci cloudu.

• Během instalace agenta: Nakonfigurujete agenta pro domény AD, ze které chcete zřídit. Tato konfigurace zaregistruje domény ve službě hybridní identity a vytvoří odchozí připojení ke sběrnici service bus, která naslouchá žádostem.
• Když povolíte zřizování: Vyberete doménu AD a povolíte zřizování, které se spustí každých 2 minuty. Volitelně můžete zrušit výběr synchronizace hodnot hash hesel a definovat e-mail s oznámením. Transformace atributů můžete spravovat také pomocí rozhraní Microsoft Graph API.

Instalace agenta

Při instalaci agenta zřizování cloudu dochází k následujícím položkám.

• Instalační program nainstaluje binární soubory agenta a službu agenta spuštěnou pod účtem virtuální služby (NETWORK SERVICE\AADProvisioningAgent). Virtuální účet služby je speciální typ účtu, který nemá heslo a spravuje ho Windows.
• Instalační program pak spustí Průvodce.
• Průvodce zobrazí výzvu k zadání přihlašovacích údajů Microsoft Entra, pak se ověří a načte token.
• Průvodce pak požádá o přihlašovací údaje správce domény aktuálního počítače.
• Účet obecné spravované služby (GMSA) agenta pro tuto doménu se vytvoří nebo znovu použije, pokud už existuje.
• Služba agenta je teď překonfigurovaná tak, aby běžela v rámci GMSA.
• Průvodce teď žádá o konfiguraci domény spolu s účtem Enterprise Admin (EA)/Domain Admin(DA) pro každou doménu, kterou má agent obsluhovat.
• Účet GMSA se pak aktualizuje o oprávnění, která jí umožňují přístup ke každé doméně zadané během instalace.
• V dalším kroku průvodce aktivuje registraci agenta.
• Agent vytvoří certifikát a použije token Microsoft Entra, zaregistruje se a certifikát se zaregistruje ve službě hybrid Identity Service (HIS) Registration Service.
• Průvodce aktivuje volání AgentResourceGrouping. Toto volání služby HIS Admin Service slouží k přiřazení agenta k jedné nebo více doménám AD v konfiguraci HIS.
• Průvodce teď restartuje službu agenta.
• Agent volá službu Bootstrap při restartování (a každých 10 minut poté) a kontroluje aktualizace konfigurace. Služba bootstrap ověří identitu agenta. Aktualizuje také čas posledního spuštění. To je důležité, protože pokud se agenti nespustí, neaktualizují se koncové body služby Service Bus a nemusí být schopny přijímat požadavky.

Co je System for Cross-domain Identity Management (SCIM)?

Specifikace SCIM je standard, který se používá k automatizaci výměny informací o identitě uživatele nebo skupiny mezi doménami identit, jako je Microsoft Entra ID. SCIM se stává de facto standardem pro zřizování a při použití s federačními standardy, jako je SAML nebo OpenID Connect, poskytuje správcům ucelené řešení založené na standardech pro správu přístupu.

Agent zřizování cloudu Microsoft Entra Connect používá SCIM s ID Microsoft Entra k zřizování a rušení zřizování uživatelů a skupin.

Tok synchronizace

Po instalaci agenta a povolení zřizování dojde k následujícímu toku.

1. Po nakonfigurování služba zřizování Microsoft Entra zavolá hybridní službu Microsoft Entra, aby přidala požadavek do služby Service Bus. Agent neustále udržuje odchozí připojení ke službě Service Bus, které naslouchá požadavkům, a okamžitě převezme požadavek System for Cross-domain Identity Management (SCIM).
2. Agent rozdělí požadavek do samostatných dotazů na základě typu objektu.
3. Služba AD vrátí výsledek agentu a agent filtruje tato data před jejich odesláním do Microsoft Entra ID.
4. Agent vrátí odpověď SCIM na ID Microsoft Entra. Tyto odpovědi jsou založené na filtrování, ke kterému došlo v rámci agenta. Agent používá k filtrování výsledků obory.
5. Služba zřizování zapíše změny do ID Microsoft Entra.
6. Pokud dojde k rozdílové synchronizaci, na rozdíl od úplné synchronizace, použije se soubor cookie nebo vodoznak. Nové dotazy z těchto souborů cookie nebo vodoznaku získávají změny.

Podporované scénáře:

Pro synchronizaci cloudu se podporují následující scénáře.

• Stávající hybridní zákazník s novou doménovou strukturou: Microsoft Entra Connect Sync se používá pro primární doménové struktury. Synchronizace cloudu se používá ke zřizování z doménové struktury AD (včetně odpojení). Další informace najdete v tomto kurzu.

• Nový hybridní zákazník: Microsoft Entra Connect Sync se nepoužívá. Synchronizace cloudu se používá ke zřizování z doménové struktury AD. Další informace najdete v tomto kurzu.

• Stávající hybridní zákazník: Microsoft Entra Connect Sync se používá pro primární doménové struktury. Synchronizace cloudu je pilotní pro malou sadu uživatelů v primárních doménových strukturách.

Další informace naleznete v tématu Podporované topologie.

Další kroky

• Co je zřizování?
• Co je cloudová synchronizace Microsoft Entra?