Microsoft Entra Connect Sync: 技術的な概念
この記事は、トピック アーキテクチャの概要を説明します。
Microsoft Entra Connect Sync は、強固なメタディレクトリ同期プラットフォームに基づいています。 次のセクションでは、メタディレクトリ同期の概念について説明します。 Azure Active Directory Sync Services には、データ ソースに接続したり、データ ソース間でデータを同期したり、ID のプロビジョニングとプロビジョニング解除を行うプラットフォームが用意されています。
以降のセクションでは、同期サービスの次の側面について詳しく説明します。
- コネクタ
- 属性フロー
- コネクタ領域
- メタバース
- プロビジョニング
コネクタ
接続されたディレクトリとの通信に使用されるコード モジュールは、コネクタ (旧称管理エージェント (MA)) と呼ばれます。
これらは、Microsoft Entra Connect Sync を実行しているコンピューターにインストールされます。コネクタは、特殊なエージェントのデプロイに依存するのではなく、リモート システム プロトコルを使用して会話するエージェントレス機能を提供します。 これは、特に重要なアプリケーションやシステムを扱う場合に、リスクとデプロイ時間が短縮されたことを意味します。
前の図では、コネクタはコネクタ スペースと同義ですが、外部システムとのすべての通信が含まれています。
コネクタは、システムへのすべてのインポートおよびエクスポート機能を担当し、宣言型プロビジョニングを使用してデータ変換をカスタマイズする場合に、開発者が各システムにネイティブに接続する方法を理解する必要をなくします。
インポートとエクスポートは、スケジュールされたときにのみ行われ、システム内で発生する変更からさらに絶縁できます。これは、変更が接続されたデータ ソースに自動的に反映されないためです。 さらに、開発者は、ほぼすべてのデータ ソースに接続するための独自のコネクタを作成することもできます。
属性フロー
メタバースは、隣接するコネクタ スペースから結合されたすべての ID の統合ビューです。 前の図では、属性フローは、受信フローと送信フローの両方の矢印が付いた線で示されています。 属性フローは、あるシステムから別のシステムおよびすべての属性フロー (受信または送信) にデータをコピーまたは変換するプロセスです。
同期 (完全または差分) 操作の実行がスケジュールされている場合、コネクタ スペースとメタバースの双方向の間で属性フローが発生します。
属性フローは、これらの同期が実行されるときにのみ発生します。 属性フローは、同期規則で定義されます。 受信 (前の図の ISR) または送信 (前の図の OSR) を指定できます。
接続システム
接続されたシステムは、Microsoft Entra Connect Sync が接続されているリモート システムを参照し、ID データの送受信を行います。
コネクタ スペース
接続されている各データ ソースは、コネクタ スペース内のオブジェクトと属性のフィルター処理されたサブセットとして表されます。 これにより、同期サービスは、オブジェクトを同期するときにリモート システムに接続しなくてもローカルで動作し、インポートとエクスポートのみに操作を制限できます。
データ ソースとコネクタが変更の一覧 (差分インポート) を提供できる場合、最後のポーリング サイクル以降の変更のみが交換されるため、運用効率が大幅に向上します。 コネクタ スペースは、コネクタがインポートとエクスポートをスケジュールすることを要求することで、接続されたデータ ソースを変更が自動的に反映されないようにします。 これにより、次の更新プログラムのテスト、プレビュー、または確認中に安心できる保険が追加されました。
メタバース
メタバースは、隣接するコネクタ スペースから結合されたすべての ID の統合ビューです。
ID がリンクされ、インポート フロー マッピングを通じてさまざまな属性に権限が割り当てられると、中央メタバース オブジェクトは複数のシステムからの情報の集計を開始します。 このオブジェクト属性フローから、マッピングは送信システムに情報を伝達します。
オブジェクトは、権限のあるシステムによってメタバースに投影されるときに作成されます。 すべての接続が削除されるとすぐに、メタバース オブジェクトが削除されます。
メタバース内のオブジェクトを直接編集することはできません。 オブジェクト内のすべてのデータは、属性フローを通じて提供される必要があります。 メタバースは、各コネクタスペースと永続的に接続を維持します。 これらのコネクタでは、同期の実行ごとに再評価は必要ありません。 つまり、Microsoft Entra Connect Sync は、毎回一致するリモート オブジェクトを見つける必要はありません。 これにより、通常はオブジェクトを関連付ける必要がある属性に対する変更を防ぐために、コストの高いエージェントが不要になります。
管理する必要がある既存のオブジェクトを持つ新しいデータ ソースを検出する場合、Microsoft Entra Connect Sync は結合ルールと呼ばれるプロセスを使用して、リンクを確立する候補を評価します。 リンクが確立されると、この評価は繰り返されません。また、リモート接続されたデータ ソースとメタバースの間で通常の属性フローが発生する可能性があります。
プロビジョニング
権限のあるソースがメタバースに新しいオブジェクトを射影すると、ダウンストリーム接続データ ソースを表す別のコネクタで新しいコネクタ スペース オブジェクトを作成できます。
これは本質的にリンクを確立し、属性フローは双方向に進むことができます。
新しいコネクタ スペース オブジェクトを作成する必要があるとルールで判断されるたびに、プロビジョニングと呼ばれます。 ただし、この操作はコネクタスペース内でのみ行われるため、エクスポートが実行されるまでは接続されたデータソースに引き継がれません。