Partage via

Microsoft Entra Connect Sync : Présentation de l’architecture

  • Article

Cet article décrit l’architecture de base de Microsoft Entra Connect Sync. Si vous êtes familiarisé avec les technologies de synchronisation d’identité antérieures, le contenu de cet article peut également vous être familier. Si vous débutez avec la synchronisation, cet article est destiné à vous. Il n’est pas nécessaire de connaître les détails de cet article pour réussir à effectuer des personnalisations sur Microsoft Entra Connect Sync (appelé moteur de synchronisation dans cet article).

Architecture

Le moteur de synchronisation crée une vue intégrée des objets stockés dans plusieurs sources de données connectées et gère les informations d’identité dans ces sources de données. Les informations d’identité récupérées à partir de sources de données connectées déterminent cette vue intégrée. Un ensemble de règles détermine comment traiter ces informations.

Sources de données connectées et connecteurs

Le moteur de synchronisation traite les informations d’identité à partir de différents référentiels de données, tels qu’Active Directory ou une base de données SQL Server. Chaque référentiel de données qui organise ses données dans un format de type base de données et qui fournit des méthodes d’accès aux données standard est un candidat potentiel à la source de données pour le moteur de synchronisation. Les référentiels de données synchronisés par le moteur de synchronisation sont appelés sources de données connectées ou répertoires connectés (CD).

Le moteur de synchronisation encapsule l’interaction avec une source de données connectée au sein d’un module appelé Connector. Chaque type de source de données connectée a un connecteur spécifique. Le connecteur traduit une opération requise au format que la source de données connectée comprend.

Les connecteurs effectuent des appels d’API pour échanger des informations d’identité (lecture et écriture) avec une source de données connectée. Il est également possible d’ajouter un connecteur personnalisé à l’aide de l’infrastructure de connectivité extensible. L’illustration suivante montre comment un connecteur connecte une source de données connectée au moteur de synchronisation.

Diagramme montre une source de données connectée et un moteur de synchronisation associé à une ligne appelée Connecteur.

Les données peuvent circuler dans les deux sens, mais elles ne peuvent pas circuler simultanément dans les deux sens. Un connecteur peut être configuré pour permettre aux données de circuler à partir de la source de données connectée pour synchroniser le moteur ou du moteur de synchronisation vers la source de données connectée. Toutefois, une seule de ces opérations peut se produire à tout moment pour un seul objet et un attribut. La direction peut être différente pour différents objets et pour différents attributs.

Pour configurer un connecteur, vous spécifiez les types d’objets que vous souhaitez synchroniser. La spécification des types d’objets définit l’étendue des objets inclus dans le processus de synchronisation. L’étape suivante consiste à sélectionner les attributs à synchroniser, qui est appelé liste d’inclusion d’attributs. Ces paramètres peuvent être modifiés à tout moment en réponse aux modifications apportées à vos règles d’entreprise. Lorsque vous utilisez l’Assistant Installation de Microsoft Entra Connect, ces paramètres sont configurés pour vous.

Pour exporter des objets vers une source de données connectée, la liste d’inclusion d’attributs doit inclure au moins les attributs minimum requis pour créer un type d’objet spécifique dans une source de données connectée. Par exemple, l’attribut sAMAccountName doit être inclus dans la liste d’inclusion d’attributs pour exporter un objet utilisateur vers Active Directory, car tous les objets utilisateur dans Active Directory doivent avoir un attribut sAMAccountName défini. Là encore, l’Assistant Installation effectue cette configuration pour vous.

Si la source de données connectée utilise des composants structurels, tels que des partitions ou des conteneurs pour organiser des objets, vous pouvez limiter les zones de la source de données connectée utilisée pour une solution donnée.

Structure interne de l’espace de noms du moteur de synchronisation

L’espace de noms du moteur de synchronisation se compose de deux espaces de noms qui stockent les informations d’identité. Ces deux espaces sont les suivants :

  • Espace connecteur (CS)
  • Métaverse (MV)

L’espace connecteur est une zone intermédiaire qui contient des représentations des objets désignés à partir d’une source de données connectée et les attributs spécifiés dans la liste d’inclusion d’attributs. Le moteur de synchronisation utilise l’espace connecteur pour déterminer ce qui a changé dans la source de données connectée et pour mettre en scène les modifications entrantes. Le moteur de synchronisation utilise également l’espace connecteur pour préparer les modifications sortantes afin de les exporter vers la source de données connectée. Le moteur de synchronisation conserve un espace de connecteur distinct en tant que zone intermédiaire pour chaque connecteur.

En utilisant une zone intermédiaire, le moteur de synchronisation reste indépendant des sources de données connectées et n’est pas affecté par leur disponibilité et leur accessibilité. Par conséquent, vous pouvez traiter les informations d’identité à tout moment à l’aide des données de la zone intermédiaire. Le moteur de synchronisation peut demander uniquement les modifications apportées à l’intérieur de la source de données connectée depuis la dernière session de communication terminée ou envoyer uniquement les modifications apportées aux informations d’identité que la source de données connectée n’a pas encore reçues, ce qui réduit le trafic réseau entre le moteur de synchronisation et la source de données connectée.

En outre, le moteur de synchronisation stocke les informations d'état sur tous les objets qu'il met en scène dans l'espace de connecteur. Lorsque de nouvelles données sont reçues, le moteur de synchronisation évalue toujours si les données ont déjà été synchronisées.

Le métaverse est une zone de stockage qui contient les informations d’identité agrégées provenant de plusieurs sources de données connectées, fournissant une vue globale et intégrée unique de tous les objets combinés. Les objets métaverses sont créés en fonction des informations d’identité récupérées à partir des sources de données connectées et d’un ensemble de règles qui vous permettent de personnaliser le processus de synchronisation.

L’illustration suivante montre l’espace de noms du connecteur et l’espace de noms du métavers dans le moteur de synchronisation.

Diagramme montre une source de données connectée et un moteur de synchronisation, séparés dans l’espace connecteur et les espaces de noms métaverses, associés à une ligne appelée Connecteur.

Synchroniser les objets d’identité du moteur

Les objets du moteur de synchronisation sont des représentations d’objets dans la source de données connectée ou de la vue intégrée dont dispose le moteur de synchronisation de ces objets. Chaque objet de moteur de synchronisation doit avoir un identificateur global unique (GUID). Les GUID fournissent l’intégrité des données et expriment les relations entre les objets.

Objets d’espace connecteur

Lorsque le moteur de synchronisation communique avec une source de données connectée, il lit les informations d’identité dans la source de données connectée et utilise ces informations pour créer une représentation de l’objet d’identité dans l’espace connecteur. Vous ne pouvez pas créer ou supprimer ces objets individuellement. Toutefois, vous pouvez supprimer manuellement tous les objets d’un espace connecteur.

Tous les objets de l’espace connecteur ont deux attributs :

  • Identificateur global unique (GUID)
  • Nom distinctif (également appelé DN)

Si la source de données connectée affecte un attribut unique à l’objet, les objets de l’espace connecteur peuvent également avoir un attribut d’ancrage. L’attribut d’ancrage identifie de façon unique un objet dans la source de données connectée. Le moteur de synchronisation utilise l’ancre pour localiser la représentation correspondante de cet objet dans la source de données connectée. Le moteur de synchronisation suppose que l’ancre d’un objet ne change jamais au cours de la durée de vie de l’objet.

La plupart des connecteurs utilisent un identificateur unique connu pour générer automatiquement une ancre pour chaque objet lorsqu’il est importé. Par exemple, le connecteur Active Directory utilise l’attribut objectGUID pour une ancre. Pour les sources de données connectées qui ne fournissent pas d’identificateur unique clairement défini, vous pouvez spécifier la génération d’ancre dans le cadre de la configuration du connecteur.

Dans ce cas, l’ancre est générée à partir d’un ou plusieurs attributs uniques d’un type d’objet, qui ne changent pas et qui identifie de manière unique l’objet dans l’espace connecteur (par exemple, un numéro d’employé ou un ID utilisateur).

Un objet d’espace connecteur peut être l’un des éléments suivants :

  • Objet de mise en scène
  • Un espace réservé

Objets de mise en scène

Un objet intermédiaire représente une instance des types d’objets désignés à partir de la source de données connectée. Outre le GUID et le nom unique, un objet de mise en scène a toujours une valeur qui indique le type d’objet.

Les objets intermédiaires importés ont toujours une valeur pour l’attribut d’ancrage. Les objets intermédiaires nouvellement provisionnés par le moteur de synchronisation et qui sont en cours de création dans la source de données connectée n’ont pas de valeur pour l’attribut d’ancre.

Les objets intermédiaires comportent également les valeurs actuelles des attributs métier et les informations opérationnelles nécessaires par le moteur de synchronisation pour effectuer le processus de synchronisation. Les informations opérationnelles incluent des marqueurs qui indiquent le type de mises à jour en cours de préparation relatifs à l’objet de mise en scène. Si un objet intermédiaire a reçu de nouvelles informations d’identité de la source de données connectée qui n’ont pas encore été traitées, l’objet est marqué comme en attente d’importation . Si un objet intermédiaire contient de nouvelles informations d’identité qui n’ont pas encore été exportées vers la source de données connectée, il est marqué comme en attente d'exportation.

Un objet intermédiaire peut être un objet d’importation ou d’exportation. Le moteur de synchronisation crée un objet d’importation à l’aide d’informations sur l’objet reçues de la source de données connectée. Lorsque le moteur de synchronisation reçoit des informations sur l’existence d’un nouvel objet qui correspond à l’un des types d’objets sélectionnés dans le connecteur, il crée un objet d’importation dans l’espace connecteur en tant que représentation de l’objet dans la source de données connectée.

L’illustration suivante montre un objet d’importation qui représente un objet dans la source de données connectée.

Le diagramme montre un objet d’importation extrait de la source de données connectée vers l’espace de noms de l’espace connecteur dans le moteur de synchronisation.

Le moteur de synchronisation crée un objet d’exportation à l’aide d’informations sur l’objet dans le métaverse. Les objets d’exportation sont exportés vers la source de données connectée pendant la session de communication suivante. Du point de vue du moteur de synchronisation, les objets d’exportation n’existent pas encore dans la source de données connectée. Par conséquent, l’attribut d’ancrage d’un objet d’exportation n’est pas disponible. Une fois l’objet reçu du moteur de synchronisation, la source de données connectée crée une valeur unique pour l’attribut d’ancrage de l’objet.

L’illustration suivante montre comment un objet d’exportation est créé à l’aide d’informations d’identité dans le métaverse.

Le diagramme montre un objet d’exportation extrait du métaverse et remis à l’espace de noms de l’espace connecteur, puis à la source de données connectée.

Le moteur de synchronisation confirme l’exportation de l’objet en réimportant l’objet à partir de la source de données connectée. Les objets d’exportation deviennent des objets d’importation lorsque le moteur de synchronisation les reçoit lors de l’importation suivante à partir de cette source de données connectée.

Espaces réservés

Le moteur de synchronisation utilise un espace de noms plat pour stocker des objets. Toutefois, certaines sources de données connectées telles qu’Active Directory utilisent un espace de noms hiérarchique. Pour transformer les informations d’un espace de noms hiérarchique en espace de noms plat, le moteur de synchronisation utilise des espaces réservés pour conserver la hiérarchie.

Chaque espace réservé représente un composant, tel qu’une unité organisationnelle, du nom hiérarchique d’un objet qui n’est pas importé dans le moteur de synchronisation, mais qui est nécessaire pour construire le nom hiérarchique. Ces éléments comblent les vides créés par des références, dans la source de données connectée, à des objets qui ne sont pas des objets intermédiaires dans l’espace connecteur.

Le moteur de synchronisation utilise également des espaces réservés pour stocker les objets référencés qui n’ont pas encore été importés. Par exemple, si la synchronisation est configurée pour inclure l’attribut de gestionnaire pour l’objet Abbie Spencer et que la valeur reçue est un objet qui n’est pas encore importé, tel que CN=Lee Sperry,CN=Users,DC=fabrikam,DC=com, les informations du gestionnaire sont stockées en tant qu’espaces réservés dans l’espace du connecteur. Si l’objet manager est ensuite importé, l’objet de l’espace réservé est remplacé par l’objet intermédiaire qui représente le gestionnaire.

Objets métaverses

Un objet métaverse contient la vue agrégée dont dispose le moteur de synchronisation des objets intermédiaires dans l’espace connecteur. Le moteur de synchronisation crée des objets métaverses à l’aide des informations contenues dans les objets d’importation. Plusieurs objets d’espace connecteur peuvent être liés à un seul objet métaverse, mais un objet d’espace connecteur ne peut pas être lié à plusieurs objets métaverses.

Les objets métaverses ne peuvent pas être créés ou supprimés manuellement. Le moteur de synchronisation supprime automatiquement les objets métaverses qui n’ont pas de lien vers un objet d’espace connecteur dans l’espace connecteur.

Pour mapper des objets au sein d’une source de données connectée à un type d’objet correspondant dans le métaverse, le moteur de synchronisation fournit un schéma extensible avec un ensemble prédéfini de types d’objets et d’attributs associés. Vous pouvez créer de nouveaux types d’objets et attributs pour les objets métaverses. Les attributs peuvent être à valeur unique ou à valeurs multiples, et les types d’attributs peuvent être des chaînes, des références, des nombres et des valeurs booléennes.

Relations entre les objets de transition et les objets métavers

Dans l’espace de noms du moteur de synchronisation, le flux de données est activé par la relation entre les objets intermédiaires et les objets métaverse. Un objet intermédiaire lié à un objet métaverse est appelé objet joint (ou objet connecteur). Un objet intermédiaire non lié à un objet métaverse est appelé objet disjoint (ou objet déconnecteur). Les termes joints et disjoints sont préférés afin de ne pas les confondre avec les connecteurs responsables de l’importation et de l’exportation des données à partir d’un répertoire connecté.

Les espaces réservés ne sont jamais liés à un objet métaverse

Un objet joint comprend un objet de mise en scène et sa relation liée à un unique objet du métavers. Les objets joints sont utilisés pour synchroniser les valeurs d’attribut entre un objet d’espace connecteur et un objet métaverse.

Lorsqu’un objet intermédiaire devient un objet joint pendant la synchronisation, les attributs peuvent circuler entre l’objet intermédiaire et l’objet métaverse. Le flux d’attributs est bidirectionnel et est configuré à l’aide de règles d’attribut d’importation et de règles d’attribut d’exportation.

Un seul objet d’espace connecteur peut être lié à un seul objet métaverse. Toutefois, chaque objet métaverse peut être lié à plusieurs objets d’espace connecteur dans les mêmes espaces de connecteur ou dans différents espaces de connecteur, comme illustré dans l’illustration suivante.

Diagramme montre deux objets de données connectés associés par des connecteurs à un moteur de synchronisation, qui a joint des objets et un objet disjoint.

Seules les règles que vous spécifiez peuvent supprimer la relation liée persistante entre l’objet intermédiaire et un objet métaverse.

Un objet disjoint est un objet intermédiaire qui n’est lié à aucun objet métaverse. Les valeurs d’attribut d’un objet disjoint ne sont pas traitées plus loin dans le métaverse. Les valeurs d’attribut de l’objet correspondant dans la source de données connectée ne sont pas mises à jour par le moteur de synchronisation.

En utilisant des objets disjoints, vous pouvez stocker les informations d’identité dans le moteur de synchronisation et la traiter ultérieurement. La conservation d’un objet intermédiaire en tant qu’objet disjoint dans l’espace connecteur présente de nombreux avantages. Étant donné que le système a mis en scène les informations requises sur cet objet, il n’est pas nécessaire de recréer une représentation de cet objet lors de l’importation suivante à partir de la source de données connectée. De cette façon, le moteur de synchronisation a toujours un instantané complet de la source de données connectée, même s’il n’existe aucune connexion actuelle à la source de données connectée. Les objets disjoints peuvent être convertis en objets joints, et inversement, en fonction des règles que vous spécifiez.

Un objet d’importation est créé en tant qu’objet disjoint. Un objet d’exportation doit être un objet joint. La logique système applique cette règle et supprime chaque objet d’exportation qui n’est pas un objet joint.

Processus de gestion des identités du moteur de synchronisation

Le processus de gestion des identités contrôle la façon dont les informations d’identité sont mises à jour entre différentes sources de données connectées. La gestion des identités se produit dans trois processus :

  • Importer
  • Synchronisation
  • Exporter

Pendant le processus d’importation, le moteur de synchronisation évalue les informations d’identité entrantes à partir d’une source de données connectée. Lorsque des modifications sont détectées, il crée des objets intermédiaires ou met à jour des objets intermédiaires existants dans l’espace connecteur pour la synchronisation.

Pendant le processus de synchronisation, le moteur de synchronisation met à jour le métaverse pour refléter les modifications apportées à l’espace connecteur. Il met également à jour l’espace connecteur pour refléter les modifications dans le métaverse.

Pendant le processus d’exportation, le moteur de synchronisation envoie les modifications qui sont planifiées sur les objets intermédiaires et qui sont signalées comme étant en attente d’exportation.

L’illustration suivante montre où chacun des processus se produit en tant que flux d’informations d’identité d’une source de données connectée à une autre.

Le diagramme montre le flux des informations d’identité, des données connectées à l’espace connecteur (importation), puis vers le méta-verse et l’espace connecteur (synchronisation) et enfin aux données connectées (exportation).

Processus d’importation

Pendant le processus d’importation, le moteur de synchronisation évalue les mises à jour des informations d’identité. Le moteur de synchronisation compare les informations d’identité reçues de la source de données connectée avec les informations d’identité relatives à un objet intermédiaire. Elle détermine si l’objet intermédiaire nécessite des mises à jour. S’il est nécessaire de mettre à jour l’objet intermédiaire avec de nouvelles données, l’objet intermédiaire est marqué comme étant en attente d’importation.

En mettant en lots des objets dans l’espace connecteur avant la synchronisation, le moteur de synchronisation ne peut traiter que les informations d’identité modifiées. Ce processus offre les avantages suivants :

  • Synchronisation efficace. La quantité de données traitées pendant la synchronisation est réduite.
  • Une resynchronisation efficace. Vous pouvez modifier la façon dont le moteur de synchronisation traite les informations d’identité sans reconnecter le moteur de synchronisation à la source de données.
  • La possibilité d’afficher un aperçu de la synchronisation. Vous pouvez afficher un aperçu de la synchronisation pour vérifier que vos hypothèses relatives au processus de gestion des identités sont correctes.

Pour chaque objet spécifié dans le connecteur, le moteur de synchronisation tente d’abord de localiser une représentation de l’objet dans l’espace connecteur du connecteur. Le moteur de synchronisation examine tous les objets intermédiaires dans l’espace connecteur et tente de trouver un objet intermédiaire correspondant qui a un attribut d’ancrage correspondant. Si aucun objet intermédiaire existant n’a d’attribut d’ancre correspondant, le moteur de synchronisation tente de trouver un objet intermédiaire correspondant portant le même nom unique.

Lorsque le moteur de synchronisation détecte un objet intermédiaire dont le nom unique correspond, mais non l’ancre, il adopte le comportement spécifique suivant :

  • Si l’objet situé dans l’espace connecteur n’a pas d’ancre, le moteur de synchronisation supprime cet objet de l’espace connecteur et marque l’objet métaverse auquel il est lié comme nouvelle tentative d’approvisionnement lors de l’exécution de synchronisation suivante. Ensuite, il crée le nouvel objet d’importation.
  • Si l’objet situé dans l’espace connecteur a une ancre, le moteur de synchronisation suppose que cet objet est renommé ou supprimé dans le répertoire connecté. Il assigne un nouveau nom unique temporaire à l’objet CS (Connector Space) afin de pouvoir préparer l’objet entrant. L’ancien objet devient alors temporaire; il attend que le connecteur importe l’objet renommé ou supprimé pour résoudre le problème.

Les objets temporaires ne sont pas toujours un problème et vous pouvez les voir même dans un environnement sain. Avec l’API de point de terminaison pour Microsoft Entra Connect Sync V2, les objets temporaires doivent être résolus automatiquement lors des cycles de synchronisation delta suivants. Exemple courant où vous pouvez trouver des objets temporaires générés sur des serveurs Microsoft Entra Connect installés en mode intermédiaire. Cela se produit lorsqu’un administrateur supprime définitivement un objet directement dans l’ID Microsoft Entra à l’aide de PowerShell et synchronise à nouveau l’objet.

Si le moteur de synchronisation localise un objet intermédiaire qui correspond à l’objet spécifié dans le connecteur, il détermine le type de modifications à appliquer. Par exemple, le moteur de synchronisation peut renommer ou supprimer l’objet dans la source de données connectée, ou mettre à jour uniquement les valeurs d’attribut de l’objet.

Les objets intermédiaires avec des données mises à jour sont marqués comme étant des importations en attente. Différents types d’importations en attente sont disponibles. Selon le résultat du processus d’importation, un objet intermédiaire dans l’espace connecteur a l’un des types d’importation en attente suivants :

  • Aucun. Aucune modification des attributs de l’objet intermédiaire n’est disponible. Le moteur de synchronisation n’indique pas ce type comme importation en attente.
  • Ajouter. L’objet intermédiaire est un nouvel objet d’importation dans l’espace connecteur. Le moteur de synchronisation signale ce type comme importation en attente pour un traitement supplémentaire dans le métaverse.
  • Mettre à jour. Le moteur de synchronisation recherche un objet intermédiaire correspondant dans l’espace connecteur et signale ce type comme importation en attente afin que les mises à jour des attributs puissent être traitées dans le métaverse. Les mises à jour incluent le changement de nom d’objet.
  • Supprimer. Le moteur de synchronisation recherche un objet intermédiaire correspondant dans l’espace connecteur et signale ce type comme importation en attente afin que l’objet joint puisse être supprimé.
  • Supprimer/Ajouter. Le moteur de synchronisation trouve un objet intermédiaire correspondant dans l’espace connecteur, mais les types d’objets ne correspondent pas. Dans ce cas, une modification de type suppression-ajout est préparée. Une modification delete-add indique au moteur de synchronisation qu’une resynchronisation complète de cet objet doit se produire, car différents ensembles de règles s’appliquent à cet objet lorsque le type d’objet change.

En définissant l’état d’importation en attente d’un objet intermédiaire, il est possible de réduire considérablement la quantité de données traitées pendant la synchronisation. Cela permet au système de traiter uniquement les objets qui ont mis à jour les données.

Processus de synchronisation

La synchronisation se compose de deux processus connexes :

  • Synchronisation entrante, lorsque le contenu du métaverse est mis à jour à l’aide des données de l’espace connecteur.
  • Synchronisation sortante, lorsque le contenu de l’espace connecteur est mis à jour à l’aide de données dans le métaverse.

En utilisant les informations préparées dans l'espace connecteur, le processus de synchronisation entrante crée une vue intégrée des données dans le métavers, qui sont stockées dans les sources de données connectées. Tous les objets intermédiaires ou uniquement ceux avec des informations d’importation en attente sont agrégés, selon la façon dont les règles sont configurées.

Le processus de synchronisation sortante met à jour les objets d’exportation lorsque les objets métaverses changent.

La synchronisation entrante crée la vue intégrée dans le métaverse des informations d’identité reçues des sources de données connectées. Le moteur de synchronisation peut traiter les informations d’identité à tout moment à l’aide des informations d’identité les plus récentes qu’il contient à partir de la source de données connectée.

Synchronisation entrante

La synchronisation entrante inclut les processus suivants :

  • Provision (également appelé Projection s’il est important de distinguer ce processus du provisionnement de synchronisation sortante). Le moteur de synchronisation crée un objet métaverse basé sur un objet intermédiaire et les lie. L’approvisionnement est une opération au niveau de l’objet.
  • Jointure. Le moteur de synchronisation lie un objet intermédiaire à un objet métaverse existant. Une jointure est une opération au niveau de l’objet.
  • Importer un flux d’attributs. Le moteur de synchronisation met à jour les valeurs d’attribut, appelées flux d’attributs, de l’objet dans le métaverse. Le flux de valeur d’attribut d’importation est une opération au niveau de l’attribut, qui nécessite un lien entre un objet intermédiaire et un objet de métaverse.

L’approvisionnement est le seul processus qui crée des objets dans le métaverse. L’approvisionnement affecte uniquement les objets d’importation qui sont disjoints. Pendant l’approvisionnement, le moteur de synchronisation crée un objet métaverse qui correspond au type d’objet de l’objet d’importation et établit un lien entre les deux objets, créant ainsi un objet joint.

Le processus de jointure établit également un lien entre les objets d’importation et un objet métaverse. Le processus de jointure nécessite que l’objet d’importation soit lié à un objet métaverse existant. Toutefois, le processus d’approvisionnement crée un nouvel objet métaverse.

Le moteur de synchronisation tente de joindre un objet d’importation à un objet métaverse à l’aide de critères spécifiés dans la configuration de la règle de synchronisation.

Pendant les processus d’approvisionnement et de jointure, le moteur de synchronisation lie un objet disjoint à un objet métaverse, ce qui les rend joints. Une fois ces opérations au niveau de l’objet terminées, le moteur de synchronisation peut mettre à jour les valeurs d’attribut de l’objet métaverse associé. Ce processus est appelé flux d’attribut d’importation.

Le flux d’attribut d’importation se produit sur tous les objets d’importation qui contiennent de nouvelles données et sont liés à un objet métaverse.

Synchronisation sortante

La synchronisation sortante met à jour les objets d’exportation lorsqu’un objet métaverse change, mais n’est pas supprimé. L’objectif de la synchronisation sortante consiste à évaluer si les modifications apportées aux objets métaverses nécessitent des mises à jour des objets intermédiaires dans les espaces de connecteur. Dans certains cas, les modifications peuvent exiger que les objets intermédiaires dans tous les espaces connecteur soient mis à jour. Les objets intermédiaires changés sont marqués comme étant en attente d'exportation, ce qui les rend prêts à l'exportation. Ces objets d’exportation sont ensuite envoyés à la source de données connectée pendant le processus d’exportation.

La synchronisation sortante a trois processus :

  • Approvisionnement
  • Désapprovisionnement
  • Exporter le flux d’attributs

L’approvisionnement et le déprovisionnement sont des opérations au niveau de l’objet. La déprovisionnement dépend de l’approvisionnement, car seul l’approvisionnement peut l’initier. Le déprovisionnement est déclenché lorsque le provisionnement supprime le lien entre un objet métaverse et un objet d’exportation.

L’approvisionnement est toujours déclenché lorsque les modifications sont appliquées aux objets dans le métaverse. Lorsque des modifications sont apportées aux objets métaverses, le moteur de synchronisation peut effectuer l’une des tâches suivantes dans le cadre du processus d’approvisionnement :

  • Créez des objets joints, où un objet métaverse est lié à un objet d’exportation nouvellement créé.
  • Renommez un objet joint.
  • Dissocier les liens entre un objet métaverse et des objets intermédiaires, créant ainsi un objet dissocié.

Si la mise en service nécessite qu’un moteur de synchronisation crée un nouvel objet de connecteur, l’objet intermédiaire lié à l’objet du métavers est toujours un export. Cela est dû au fait que l’objet n’existe pas encore dans la source de données connectée.

Si l’approvisionnement nécessite qu’un moteur de synchronisation disjoigne un objet joint, créant ainsi un objet disjoint, le déprovisionnement est déclenché. Le processus de déprovisionnement supprime l’objet.

Lors de la déprovisionnement, la suppression d’un objet d’exportation ne supprime pas physiquement l’objet. L’objet est marqué comme supprimé, ce qui signifie que l’opération de suppression est en attente sur l’objet.

Le flux d’attributs d’exportation se produit également pendant le processus de synchronisation sortante, similaire à la façon dont le flux d’attribut d’importation se produit pendant la synchronisation entrante. Le flux d’attribut d’exportation se produit uniquement entre les métaverses et les objets d’exportation joints.

Processus d’exportation

Pendant le processus d’exportation, le moteur de synchronisation examine tous les objets d’exportation marqués comme étant en attente d’exportation dans l’espace connecteur, puis envoie des mises à jour à la source de données connectée.

Le moteur de synchronisation peut déterminer le succès d’une exportation, mais il ne peut pas suffisamment déterminer que le processus de gestion des identités est terminé. D’autres processus peuvent toujours modifier des objets dans la source de données connectée. Étant donné que le moteur de synchronisation n’a pas de connexion persistante à la source de données connectée, il n’est pas suffisant de faire des hypothèses sur les propriétés d’un objet dans la source de données connectée uniquement en fonction d’une notification d’exportation réussie.

Par exemple, un processus dans la source de données connectée peut remplacer les attributs de l’objet par leurs valeurs d’origine (autrement dit, la source de données connectée peut remplacer les valeurs immédiatement après que les données sont envoyées par le moteur de synchronisation et appliquées avec succès dans la source de données connectée).

Le moteur de synchronisation stocke les informations d'état d'exportation et d'importation concernant chaque objet intermédiaire. Si les valeurs des attributs spécifiés dans la liste d’inclusion d’attributs ont changé depuis la dernière exportation, le stockage de l’état d’importation et d’exportation permet au moteur de synchronisation de réagir de manière appropriée. Le moteur de synchronisation utilise le processus d’importation pour confirmer les valeurs d’attribut exportées vers la source de données connectée. Une comparaison entre les informations importées et exportées, comme illustré dans l’illustration suivante, permet au moteur de synchronisation de déterminer si l’exportation a réussi ou si elle doit être répétée.

Diagramme montre la synchronisation d’un objet entre l’espace connecteur et les données connectées sur le connecteur.

Par exemple, si le moteur de synchronisation exporte l’attribut C, qui a la valeur 5, vers une source de données connectée, il stocke C=5 dans sa mémoire d’état d’exportation. Chaque exportation supplémentaire sur cet objet entraîne une tentative d’exportation C=5 vers la source de données connectée, car le moteur de synchronisation suppose que cette valeur n’a pas été appliquée de manière permanente à l’objet (autrement dit, sauf si une valeur différente a été importée récemment à partir de la source de données connectée). La mémoire d’exportation est effacée lorsque C=5 est reçu pendant une opération d’importation sur l’objet.

Étapes suivantes

En savoir plus sur la configuration Microsoft Entra Connect Sync.

En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.