Teilen über

Microsoft Entra Connect Sync: Technische Konzepte

  • Artikel

Dieser Artikel ist eine Zusammenfassung des Themas Grundlegendes zur Architektur.

Microsoft Entra Connect Sync baut auf einer soliden Metaverzeichnissynchronisierungsplattform auf. In den folgenden Abschnitten werden die Konzepte für die Metaverzeichnissynchronisierung vorgestellt. Die Azure Active Directory-Synchronisierungsdienste bieten eine Plattform zum Herstellen einer Verbindung mit Datenquellen, zum Synchronisieren von Daten zwischen Datenquellen sowie zur Bereitstellung und Deprovision von Identitäten.

Technische Konzepte

Die folgenden Abschnitte enthalten weitere Details zu den folgenden Aspekten des Synchronisierungsdiensts:

  • Verbinder
  • Attributfluss
  • Connectorbereich
  • Metaversum
  • Bereitstellung

Verbinder

Die Codemodule, die für die Kommunikation mit einem verbundenen Verzeichnis verwendet werden, werden als Connectors (früher als Verwaltungs-Agenten (MAs)) bezeichnet.

Sie werden auf dem Computer installiert, auf dem die Microsoft Entra Connect-Synchronisierung ausgeführt wird. Mithilfe von Connectors können Konvertierungen ohne Agents mithilfe von Remotesystemprotokollen ausgeführt werden. Damit entfällt die Notwendigkeit, sich auf die Bereitstellung spezialisierter Agents zu verlassen. Dies bedeutet verringerte Risiko- und Bereitstellungszeiten, insbesondere bei kritischen Anwendungen und Systemen.

Im vorherigen Bild ist der Verbinder gleichbedeutend mit dem Verbinderraum, aber er umfasst die gesamte Kommunikation mit dem externen System.

Der Connector ist für alle Funktionen verantwortlich, die den Import in das System und den Export aus dem System verarbeiten. So müssen Entwickler nicht wissen, welche systemeigenen Informationen notwendig sind, um bei der deklarativen Bereitstellung zum Anpassen von Datentransformationen Verbindungen zu den einzelnen Systemen herzustellen.

Importe und Exporte erfolgen nur, wenn sie geplant sind, was eine weitere Isolierung von Änderungen innerhalb des Systems ermöglicht, da Änderungen nicht automatisch an die verbundene Datenquelle übertragen werden. Darüber hinaus können Entwickler auch eigene Connectors erstellen, um eine Verbindung mit praktisch jeder Datenquelle herzustellen.

Attributfluss

Das Metaverse ist die konsolidierte Ansicht sämtlicher verknüpfter Identitäten aus benachbarten Connectorbereichen. In der vorherigen Abbildung wird der eingehende und ausgehende Attributfluss durch Linien mit Pfeilspitzen dargestellt. Der Attributfluss ist der Prozess des Kopierens oder Transformierens von Daten von einem System in ein anderes und alle Attributflüsse (eingehend oder ausgehend).

Ein Attributfluss tritt bidirektional zwischen Connectorbereich und Metaverse auf, wenn die Ausführung von Synchronisierungsvorgängen (vollständig oder Delta) geplant ist.

Der Attributfluss tritt nur auf, wenn diese Synchronisierungen ausgeführt werden. Attributflüsse werden in Synchronisierungsregeln definiert. Diese können eingehend (ISR in der vorherigen Abbildung) oder ausgehend (OSR in der vorherigen Abbildung) sein.

Verbundenes System

Verbundenes System bezieht sich auf das Remotesystem, mit dem die Microsoft Entra Connect-Synchronisierung eine Verbindung hergestellt hat und aus dem sie Identitätsdaten liest bzw. in das sie diese Daten schreibt.

Connectorbereich

Jede verbundene Datenquelle wird als gefilterte Teilmenge der Objekte und Attribute im Verbinderbereich dargestellt. Dadurch kann der Synchronisierungsdienst lokal ausgeführt werden, ohne das Remotesystem bei der Synchronisierung der Objekte zu kontaktieren und die Interaktion nur auf Importe und Exporte einzuschränken.

Wenn die Datenquelle und der Connector in der Lage sind, eine Liste der Änderungen (einen Deltaimport) bereitzustellen, wird die Betriebseffizienz erheblich gesteigert, da nur seit dem letzten Abrufzyklus vorgenommene Änderungen ausgetauscht werden. Der Connectorbereich isoliert die verbundene Datenquelle von der automatischen Übertragung von Änderungen durch die Anforderung, dass Import- und Exportvorgänge gemäß dem Connectorplan erfolgen. Diese zusätzliche Absicherung gewährt Ihnen Sicherheit beim Testen, Vorschauen oder Bestätigen des nächsten Updates.

Metaverse (virtuelle Welt)

Das Metaverse ist die konsolidierte Ansicht sämtlicher verknüpfter Identitäten aus benachbarten Connectorbereichen.

Da Identitäten miteinander verknüpft sind und die Autorität für verschiedene Attribute über Importflusszuordnungen zugewiesen wird, beginnt das zentrale Metaverse-Objekt, Informationen aus mehreren Systemen zu aggregieren. Aus diesem Objektattributfluss sammeln Zuordnungen Informationen zu ausgehenden Systemen.

Objekte werden erstellt, wenn ein System mit Autorität sie in das Metaversum projiziert. Sobald alle Verbindungen entfernt werden, wird das Metaverse-Objekt gelöscht.

Objekte im Metavers können nicht direkt bearbeitet werden. Alle Daten im Objekt müssen durch den Attributfluss eingebracht werden. Das Metaverse behält persistente Connectors mit jedem Connectorbereich bei. Für diese Anschlüsse ist keine erneute Auswertung bei jedem Synchronisierungslauf erforderlich. Dies bedeutet, dass Microsoft Entra Connect Sync das entsprechende Remoteobjekt nicht jedes Mal finden muss. Dies vermeidet die Notwendigkeit kostspieliger Agents, Änderungen an Attributen zu verhindern, die normalerweise für die Korrelierung der Objekte verantwortlich wären.

Beim Ermitteln neuer Datenquellen, die bereits vorhandene Objekte aufweisen, die verwaltet werden müssen, verwendet Microsoft Entra Connect Sync einen Prozess, der als Verknüpfungsregel bezeichnet wird, um potenzielle Kandidaten auszuwerten, mit denen eine Verknüpfung hergestellt werden soll. Nach der Herstellung der Verknüpfung wird diese Auswertung nicht erneut vorgenommen, und der normale Attributfluss kann zwischen der verbundenen Remote-Datenquelle und dem Metaverse auftreten.

Bereitstellung

Wenn eine autoritative Quelle ein neues Objekt im Metaverse abbildet, kann ein neues Connectorbereichsobjekt in einem anderen Connector erstellt werden, der eine nachgelagerte verbundene Datenquelle darstellt.

So wird inhärent eine Verknüpfung hergestellt, und der Attributfluss kann bidirektional fortgeführt werden.

Wenn eine Regel feststellt, dass ein neues Connectorraumobjekt erstellt werden muss, wird sie als Bereitstellung bezeichnet. Da dieser Vorgang jedoch nur im Connectorbereich stattfindet, wird er erst in die verbundene Datenquelle übertragen, wenn ein Export vorgenommen wird.

Zusätzliche Ressourcen