Principy výchozí konfigurace
Aktualizováno: 22. července 2015
Důležité
Toto téma bude brzy archivováno.
Existuje nový produkt s názvem "Azure Active Directory Připojení", který nahrazuje AADSync a DirSync.
Azure AD Connect zahrnuje komponenty a funkce dříve vydávané jako Dirsync a AAD Sync.
V určitém okamžiku v budoucnu skončí podpora nástroje Dirsync a AAD Sync.
Tyto nástroje se už neaktualizují jednotlivě s vylepšeními funkcí a všechna budoucí vylepšení budou zahrnuta v aktualizacích Azure AD Připojení.
Tento dokument vás provede výchozí konfigurací synchronizace Azure Active Directory. Cílem je, aby čtenář rozuměl tomu, jak model konfigurace s názvem deklarativní zřizování v Azure Active Directory Sync pracuje v reálném příkladu. Tento dokument předpokládá, že jste už nainstalovali a nakonfigurovali synchronizaci Azure Active Directory pomocí průvodce instalací.
Popis scénáře
V tomto příkladu používáme nasazení s jednou doménovou strukturou účtu (A), jednou doménovou strukturou prostředků (R) a jedním adresářem AAD.
Každý připojený adresář má kopii uloženou v mezipaměti, která se označuje jako prostor konektoru, relevantních informací v Azure Active Directory Sync. Uprostřed máme metaverse, konsolidovaný pohled na objekty, které se synchronizují.
.jpg "Metaverse")
Je to stejné jako scénář 2 popsaný v přehledu scénáře synchronizace Azure Active Directory.
Editor synchronizačních pravidel
Konfigurace a zobrazení a změna pomocí nástroje Editor synchronizačních pravidel (SRE) a zástupce k ní najdete v nabídce Start.
.jpg "Synchronization Rules Editor")
SRE je nástroj sady prostředků, ale je nainstalovaný se službou Azure Active Directory Sync. Abyste ho mohli spustit, musíte být členem skupiny ADSyncAdmins. Po spuštění se zobrazí něco podobného:
.jpg "Synchronization Rules Editor")
V tomto podokně se zobrazí všechna synchronizační pravidla vytvořená pro vaši konfiguraci. Každý řádek v tabulce je jedno synchronizační pravidlo. Vlevo v části Typy pravidel jsou uvedeny dva různé typy: Příchozí a Odchozí. Příchozí a odchozí je ze zobrazení metaverse. Zaměříme se hlavně na příchozí pravidla v tomto přehledu. Skutečný seznam synchronizačních pravidel bude záviset na zjištěném schématu ve službě AD. Na obrázku nad doménovou strukturou účtu (Azure Active Directory Sync.com) nemá žádné služby, jako jsou Exchange a Lync, a pro tyto služby se nevytvořila žádná synchronizační pravidla. V doménové struktuře prostředků ale najdeme synchronizační pravidla pro tyto služby. Obsah pravidel se bude lišit v závislosti na zjištěné verzi. Například v nasazení s Exchange 2013 budeme mít nakonfigurované více toků atributů než v Exchange 2010 a Exchange 2007.
Synchronizační pravidlo
Synchronizační pravidlo je objekt konfigurace se sadou atributů, které proudí při splnění podmínky. Používá se také k popisu toho, jak objekt v prostoru spojnice souvisí s objektem v metaverse, označovaným jako spojení nebo shoda. Pravidla synchronizace mají prioritu označující, jak spolu vzájemně souvisejí. Synchronizační pravidlo s nižší číselnou hodnotou v prioritě má vyšší prioritu a v případě konfliktu toku atributů vyhraje řešení konfliktů vyšší prioritu.
Jako příklad se podíváme na synchronizační pravidlo "In from AD – User AccountEnabled". Tento řádek označíme v SRE a vybereme Upravit.A Synchronizační pravidlo má čtyři části konfigurace: popis, filtr oborů, pravidla spojení a transformace.
Description
První část obsahuje základní informace, jako je název a popis.
.jpg "Edit inbound synchronization rule")
Najdeme také informace o tom, ke kterému připojenému systému toto pravidlo souvisí, ke kterému typu objektu v připojeném systému se vztahuje, a typu objektu metaverse. Typ objektu metaverse je vždy osoba bez ohledu na to, jestli je typ zdrojového objektu uživatelem, iNetOrgPerson nebo kontaktem. Typ objektu metaverse by se nikdy neměl měnit, aby byl vytvořen jako obecný typ. Typ propojení lze nastavit na Join (Připojit), StickyJoin (Připojit), StickyJoin (Připojit) nebo Provision (Zřídit). Toto nastavení funguje společně s částí Pravidla spojení a budeme ho probírat později.
Filtr oborů
Oddíl Filtr oborů se používá ke konfiguraci, kdy se má použít synchronizační pravidlo. Vzhledem k tomu, že název synchronizačního pravidla, na které se díváme, označuje, že se má použít pouze pro povolené uživatele, obor je nakonfigurovaný tak, aby atribut userAccountControl služby AD neměl mít nastavenou bitovou sadu 2. Když zjistíme uživatele v AD, použijeme toto pravidlo, pokud je vlastnost userAccountControl nastavená na desetinnou hodnotu 512 (povolený normální uživatel), ale nebude platit, pokud uživatel, který najdeme, má vlastnost userAccountControl nastavenou na hodnotu 514 (zakázáno normálního uživatele).
.jpg "Edit inbound synchronization rule")
Filtr oborů obsahuje skupiny a klauzule, které je možné vnořit. Aby se pravidlo synchronizace použilo, musí být splněny všechny klauzule uvnitř skupiny. Pokud je definováno více skupin, musí být splněna alespoň jedna skupina, aby se pravidlo použilo. Tj. logický operátor OR se vyhodnocuje mezi skupinami a logickou funkcí AND se vyhodnocuje uvnitř skupiny. Příklad najdete v odchozím synchronizačním pravidlu pro AAD – připojení ke skupině, jak je znázorněno níže. Existují dvě skupiny filtrů synchronizace, jednu pro skupiny zabezpečení (securityEnabled EQUAL True) a jednu pro distribuční skupiny (securityEnabled EQUAL False).
.jpg "Edit outbound synchronization rule")
Toto pravidlo slouží k definování skupin, které mají být zřízeny pro AAD. Distribuční skupiny musí být povolené, aby se synchronizovaly s AAD, ale pro skupiny zabezpečení to není nutné. Jak vidíte, také se vyhodnocuje mnoho dalších atributů.
Pravidla spojení
Třetí část slouží ke konfiguraci způsobu, jakým objekty v prostoru konektoru souvisejí s objekty v metaverse. Pravidlo, na které jsme se podívali dříve, nemá žádnou konfiguraci pro pravidla připojení, takže místo toho se podíváme na In z AD – Připojení uživatele.
.jpg "Edit intbound synchronization rule")
Obsah pravidel spojení bude záviset na odpovídající možnosti vybrané v průvodci instalací. V případě příchozího pravidla vyhodnocení začíná objektem ve zdrojovém prostoru konektoru a každá skupina v pravidlech spojení se vyhodnocuje postupně. Pokud je zdrojový objekt vyhodnocen tak, aby odpovídal přesně jednomu objektu v metaverse pomocí jednoho z pravidel spojení, objekty jsou spojeny dohromady. Pokud byla vyhodnocena všechna pravidla a neexistuje shoda, použije se typ odkazu na stránce popisu. Pokud je toto nastavení nastavené na Zřízení, vytvoří se v cíli nový objekt, metaverse. Pokud chcete zřídit nový objekt pro metaverse, označuje se také jako projekt objektu na metaverse. Pravidla spojení se vyhodnocují pouze jednou. Pokud se objekt prostoru spojnice a objekt metaverse spojí dohromady, zůstanou připojeny, pokud je rozsah synchronizačního pravidla stále splněný. Při vyhodnocování pravidel synchronizace musí být v oboru pouze jedno synchronizační pravidlo s definovanými pravidly spojení. Pokud se pro jeden objekt najde více synchronizačních pravidel s pravidly spojení, vyvolá se chyba. Z tohoto důvodu je osvědčeným postupem mít pouze jedno synchronizační pravidlo s spojením definované, pokud je v oboru více synchronizačních pravidel pro objekt. V předem připravenou konfiguraci pro Azure Active Directory Synchronizovat tato pravidla najdete tak, že se podíváte na název a najdete je se slovem Join (Připojit se) na konci názvu. Synchronizační pravidlo bez definovaných pravidel spojení použije toky atributů, pokud jiné synchronizační pravidlo spojilo objekty dohromady nebo zřídilo nový objekt v cíli.
Transformace
Oddíl transformace definuje všechny toky atributů, které se použijí na cílový objekt, když jsou objekty spojené a filtr oboru je splněn. Vraťte se k našemu příchozímu z AD – synchronizační pravidlo uživatele AccountEnabled, najdeme následující transformace:
.jpg "Edit intbound synchronization rule")
Pokud to chcete vložit do kontextu, v nasazení doménové struktury Account-Resource očekáváme, že v doménové struktuře účtu najdete povolený účet a zakázaný účet v doménové struktuře prostředků s nastavením Exchange a Lyncu. Synchronizační pravidlo, na které se díváme, obsahuje atributy vyžadované pro přihlášení a chceme, aby tok z doménové struktury, kde jsme našli povolený účet. Všechny tyto toky atributů jsou spojeny do jednoho synchronizačního pravidla.Transformace může mít různé typy: Konstanta, Přímé a Výrazy. Konstantní tok bude vždy tok konkrétní hodnoty, v případě výše vždy nastavíme hodnotu True v atributu metaverse s názvem accountEnabled. Přímý tok projde hodnotou atributu ve zdroji do cílového atributu. Třetí typ toku je Expression a umožňuje pokročilejší konfigurace. Jazyk výrazu je jazyk VBA (Visual Basic for Applications), takže uživatel s prostředím Microsoft Office nebo VBScript rozpozná formát. Atributy jsou uzavřeny v hranatých závorkách [ attributeName]. V názvech atributů a názvech funkcí se rozlišují malá a velká písmena, ale Editor synchronizačních pravidel vyhodnotí výrazy a poskytne upozornění, pokud výraz není platný. Všechny výrazy jsou vyjádřeny na jednom řádku s vnořenými funkcemi. Pokud chcete zobrazit výkon jazyka konfigurace, tady je tok pro pwdLastSet, ale s vloženými dalšími komentáři:
// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .Net datetime, change it to the time format used by AAD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)
Téma transformace je velké a poskytuje velkou část vlastní konfigurace, kterou je možné pomocí synchronizace Azure Active Directory. V tomto dokumentu s přehledem se nebudeme zabývat vlastní konfigurací, ale později v tomto dokumentu se podíváme na některé další toky atributů.
Priorita
Teď jsme se podívali na některá jednotlivá synchronizační pravidla, ale pravidla spolupracují v konfiguraci. V některých případech se hodnota atributu přispívá z více synchronizačních pravidel do stejného cílového atributu. V tomto případě se priorita atributu používá k určení, který atribut bude vyhrát. Podívejme se například na atribut sourceAnchor. Tento atribut je důležitým atributem pro přihlášení k Azure AD. Tok atributu pro tento atribut můžeme najít ve dvou různých synchronizačních pravidlech: In z AD – User AccountEnabled a In z AD – User Common. Kvůli prioritě synchronizačního pravidla se atribut sourceAnchor nejprve přidá z doménové struktury s povoleným účtem, pokud je k objektu metaverse připojeno několik objektů. Pokud neexistují žádné povolené účty, použijeme synchronizační pravidlo catch-all z AD – Společné. Tím zajistíte, že i pro účty, které jsou zakázané, stále poskytneme zdrojAnchor. Priorita pravidel synchronizace je nastavena ve skupinách průvodcem instalací. Skupina pravidel má stejný název, ale jsou připojená k různým připojeným adresářům. Průvodce instalací poskytne pravidlo In z AD – Připojení uživatele s nejvyšší prioritou a iterace nad všemi připojenými adresáři AD. Pak bude pokračovat s dalšími skupinami pravidel v předdefinovaném pořadí. Ve skupině se pravidla přidají v pořadí, ve kterém jsou konektory přidány v průvodci. Pokud průvodce přidá další konektor, změní se pořadí pravidel synchronizace a nová pravidla konektoru se vloží do každé skupiny.
Spojení všech součástí dohromady
Teď víme dost o pravidlech synchronizace, abychom mohli pochopit, jak konfigurace funguje s různými synchronizačními pravidly. Pokud se podíváme na uživatele a atributy, které jsou přispěly k metaverzi, pravidla se použijí v následujícím pořadí:
Název |
Komentář |
In from AD – User Join |
Pravidlo pro spojení objektů prostoru konektoru s metaverse |
In from AD – UserAccount Enabled |
Atributy vyžadované pro přihlášení k Azure AD a Office 365 Chceme tyto atributy z povoleného účtu. |
In from AD – User Common from Exchange |
Atributy nalezené v globálním seznamu adres Předpokládáme, že kvalita dat je nejlepší v doménové struktuře, kde jsme našli poštovní schránku uživatele. |
In from AD – User Common |
Atributy nalezené v globálním seznamu adres V případě, že jsme poštovní schránku nenašli, může jakýkoli jiný připojený objekt přispívat hodnotou atributu. |
In from AD – user Exchange |
Bude existovat pouze v případě, že bylo zjištěno Exchange. Tok všech atributů infrastruktury Exchange. |
In from AD – User Lync |
Bude existovat jenom v případě, že byl Lync zjištěn. Bude tokovat všechny atributy Lyncu infrastruktury. |
Další věci, které je potřeba si poznamenat
Tento dokument dokončíme tak, že se podíváme na jeden konkrétní tok atributů.
cloudFiltered
Tento tok atributu najdete v části In z AD – Join User. I když není potřeba připojit se, je toto pravidlo vloženo, protože je jádrem. Všechna pravidla odchozí synchronizace mají filtr oboru pro atribut cloudFiltered a uvidíme, jak to použít pro další filtrování v jiném dokumentu. Tento tok ve výchozím nastavení vyfiltruje řadu objektů, které se nezobrazí v cloudu. Dvojitý svislý pruh || v následujícím výrazu je logický operátor OR.
// if-then-else
IIF(
// Don’t synchronize default AD objects, such as Administrator
IsPresent([isCriticalSystemObject]) ||
// Don’t synchronize objects with no sAMAccountName set
IsPresent([sAMAccountName]) = False ||
// Don’t synchronize these special Exchange mailboxes
[sAMAccountName] = "SUPPORT_388945a0" ||
Left([mailNickname], 14) = "SystemMailbox{" ||
(Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)) ||
(Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}") > 0)) ||
// Don’t synchronize Exchange system mailboxes
CBool(IIF(IsPresent([msExchRecipientTypeDetails]),
BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL)) ||
// Don’t synchronize the Azure Active Directory Sync/DirSync service accounts
Left([sAMAccountName], 4) = "AAD_" || Left([sAMAccountName], 5) = "MSOL_" ||
// Don’t synchronize replication conflict objects
CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0),
// Then, If any of these OR clauses is True, then flow “True”
True,
// Else, if not, then don’t flow anything
NULL
)