Condividi tramite

Microsoft Entra Connect Sync: Concetti tecnici

  • Articolo

Questo articolo è un riepilogo dell'argomento Informazioni sull'architettura.

Microsoft Entra Connect Sync si basa su una solida piattaforma di sincronizzazione metadirectory. Le sezioni seguenti illustrano i concetti per la sincronizzazione della metadirectory. Azure Active Directory Sync Services offre una piattaforma per la connessione alle origini dati, la sincronizzazione dei dati tra origini dati e il provisioning e il deprovisioning delle identità.

concetti tecnici

Le sezioni seguenti forniscono altri dettagli sugli aspetti seguenti del servizio di sincronizzazione:

  • Connettore
  • Flusso di attributi
  • Spazio connettore
  • Metaverso
  • Provisioning

Connettore

I moduli di codice usati per comunicare con una directory connessa sono denominati connettori (in precedenza noti come agenti di gestione).

Questi vengono installati nel computer che esegue Microsoft Entra Connect Sync. I connettori offrono la possibilità senza agente di conversare usando protocolli di sistema remoti anziché basarsi sulla distribuzione di agenti specializzati. Ciò significa rischio ridotto e tempi di implementazione più brevi, soprattutto quando si gestiscono applicazioni e sistemi critici.

Nell'immagine precedente, il connettore è sinonimo dello spazio connettore, ma comprende tutte le comunicazioni con il sistema esterno.

Il connettore è responsabile di tutte le funzionalità di importazione ed esportazione nel sistema e solleva gli sviluppatori dalla necessità di comprendere come connettersi a ogni sistema in modo nativo quando si utilizza il provisioning dichiarativo per personalizzare le trasformazioni dei dati.

Le importazioni e le esportazioni si verificano solo quando sono pianificate, consentendo un ulteriore isolamento dalle modifiche apportate all'interno del sistema, poiché le modifiche non vengono propagate automaticamente all'origine dati connessa. Inoltre, gli sviluppatori possono anche creare connettori personalizzati per la connessione a qualsiasi origine dati.

Flusso di attributi

Il metaverso è la visualizzazione consolidata di tutte le identità unite dagli spazi connettori adiacenti. Nella figura precedente il flusso dell'attributo è rappresentato da linee con punte di direzione per il flusso in ingresso e in uscita. Il flusso di attributi è il processo di copia o trasformazione dei dati da un sistema a un altro e tutti i flussi di attributi (in ingresso o in uscita).

Il flusso degli attributi si verifica in modo bidirezionale tra lo spazio connettore e il metaverse quando vengono pianificate le operazioni di sincronizzazione (completa o differenziale).

Il flusso degli attributi si verifica solo quando vengono eseguite queste sincronizzazioni. I flussi di attributi sono definiti in Regole di sincronizzazione. Possono essere in ingresso (ISR nell'immagine precedente) o in uscita (OSR nell'immagine precedente).

Sistema connesso

Il sistema connesso si riferisce al sistema remoto con cui Microsoft Entra Connect Sync è connesso, leggendone e scrivendone dei dati di identità da e verso di esso.

Spazio del connettore

Ogni origine dati connessa è rappresentata come subset filtrato degli oggetti e degli attributi nello spazio connettore. In questo modo il servizio di sincronizzazione può funzionare in locale senza dover contattare il sistema remoto durante la sincronizzazione degli oggetti e limita l'interazione alle importazioni e alle esportazioni.

Quando l'origine dati e il connettore hanno la possibilità di fornire un elenco di modifiche (importazione differenziale), l'efficienza operativa aumenta notevolmente man mano che vengono scambiate solo le modifiche apportate dall'ultimo ciclo di polling. Lo spazio connettore isola l'origine dati connessa dalle modifiche propagate automaticamente richiedendo che il connettore pianifichi le importazioni e le esportazioni. Questa assicurazione aggiunta garantisce tranquillità durante i test, l'anteprima o la conferma dell'aggiornamento successivo.

Metaverso

Il metaverso è la visione consolidata di tutte le identità collegate dagli spazi connettori adiacenti.

Man mano che le identità vengono collegate insieme e l'autorità viene assegnata per vari attributi tramite mapping dei flussi di importazione, l'oggetto metaverse centrale inizia ad aggregare le informazioni da più sistemi. Da questo flusso di attributi oggetto, i mapping trasportano informazioni verso i sistemi in uscita.

Gli oggetti vengono creati quando un sistema autorevole li proietta nel metaverse. Non appena vengono rimosse tutte le connessioni, l'oggetto metaverse viene eliminato.

Gli oggetti nel metaverse non possono essere modificati direttamente. Tutti i dati nell'oggetto devono essere forniti tramite il flusso di attributi. Il metaverso mantiene connettori permanenti con ogni spazio di connessione. Questi connettori non richiedono la rivalutazione per ogni esecuzione della sincronizzazione. Ciò significa che Microsoft Entra Connect Sync non deve individuare l'oggetto remoto corrispondente ogni volta. In questo modo si evita la necessità di agenti costosi per impedire modifiche agli attributi che normalmente sarebbero responsabili della correlazione degli oggetti.

Quando si individuano nuove origini dati con oggetti preesistenti che devono essere gestiti, Microsoft Entra Connect Sync usa un processo denominato regola di join per valutare i potenziali candidati con cui stabilire un collegamento. Dopo aver stabilito il collegamento, questa valutazione non viene eseguita di nuovo e il flusso normale degli attributi può verificarsi tra l'origine dati connessa remota e il metaverse.

Approvvigionamento

Quando un'origine autorevole proietta un nuovo oggetto nel metaverse, è possibile creare un nuovo oggetto spazio connettore in un altro connettore che rappresenta un'origine dati connessa downstream.

Ciò stabilisce intrinsecamente un collegamento e il flusso degli attributi può procedere in modo bidirezionale.

Ogni volta che una regola determina che è necessario creare un nuovo oggetto nello spazio del connettore, si parla di provisioning. Tuttavia, poiché questa operazione viene eseguita solo all'interno dello spazio connettore, non viene trasferita all'origine dati connessa fino a quando non viene eseguita un'esportazione.

Risorse aggiuntive