Delen via

Microsoft Entra Connect Sync: inzicht in de architectuur

  • Artikel

In dit artikel wordt de basisarchitectuur voor Microsoft Entra Connect Sync behandeld. Als u bekend bent met eerdere technologieën voor identiteitssynchronisatie, is de inhoud van dit artikel mogelijk ook bekend met u. Als u nieuw bent met synchronisatie, dan is dit artikel voor u bedoeld. Het is geen vereiste om de details van dit artikel te kennen om aanpassingen aan Microsoft Entra Connect Sync te kunnen maken (ook wel synchronisatie-engine genoemd in dit artikel).

Architectuur

De synchronisatie-engine maakt een geïntegreerde weergave van objecten die zijn opgeslagen in meerdere verbonden gegevensbronnen en beheert identiteitsgegevens in deze gegevensbronnen. De identiteitsgegevens die zijn opgehaald uit verbonden gegevensbronnen, bepalen deze geïntegreerde weergave. Een set regels bepaalt hoe deze informatie moet worden verwerkt.

Verbonden gegevensbronnen en connectoren

De synchronisatie-engine verwerkt identiteitsgegevens uit verschillende gegevensopslagplaatsen, zoals Active Directory of een SQL Server-database. Elke gegevensopslagplaats die de gegevens in een databaseachtige indeling organiseert en die standaardmethoden voor gegevenstoegang biedt, is een potentiële kandidaat voor de gegevensbron voor de synchronisatie-engine. De gegevensopslagplaatsen die door de synchronisatie-engine worden gesynchroniseerd, worden verbonden gegevensbronnen of verbonden mappen (CD) genoemd.

De synchronisatie-engine encapsuleert de interactie met een verbonden gegevensbron in een module die een Connectorwordt genoemd. Elk type verbonden gegevensbron heeft een specifieke connector. De connector vertaalt een vereiste bewerking in de indeling die de verbonden gegevensbron begrijpt.

Connectors maken API-aanroepen om identiteitsgegevens (zowel lezen als schrijven) uit te wisselen met een verbonden gegevensbron. Het is ook mogelijk om een aangepaste connector toe te voegen met behulp van het uitbreidbare connectiviteitsframework. In de volgende afbeelding ziet u hoe een connector een verbonden gegevensbron verbindt met de synchronisatie-engine.

diagram toont een verbonden gegevensbron en een synchronisatie-engine die is gekoppeld aan een lijn met de naam Connector.

Gegevens kunnen in beide richtingen stromen, maar ze kunnen niet tegelijkertijd in beide richtingen stromen. Een connector kan worden geconfigureerd om toe te staan dat gegevens stromen van de verbonden gegevensbron naar de synchronisatie-engine of van de synchronisatie-engine naar de verbonden gegevensbron. Maar slechts één van deze bewerkingen kan op elk moment worden uitgevoerd voor één object en kenmerk. De richting kan verschillen voor verschillende objecten en voor verschillende kenmerken.

Als u een connector wilt configureren, geeft u de objecttypen op die u wilt synchroniseren. Als u de objecttypen opgeeft, wordt het bereik gedefinieerd van objecten die zijn opgenomen in het synchronisatieproces. De volgende stap bestaat uit het selecteren van de kenmerken die moeten worden gesynchroniseerd. Dit wordt ook wel een lijst met insluitingskenmerken genoemd. Deze instellingen kunnen op elk gewenst moment worden gewijzigd als reactie op wijzigingen in uw bedrijfsregels. Wanneer u de installatiewizard van Microsoft Entra Connect gebruikt, worden deze instellingen voor u geconfigureerd.

Als u objecten wilt exporteren naar een verbonden gegevensbron, moet de lijst met kenmerken ten minste de minimale kenmerken bevatten die vereist zijn om een specifiek objecttype in een verbonden gegevensbron te maken. Het kenmerk sAMAccountName moet bijvoorbeeld worden opgenomen in de lijst met kenmerkopnamen om een gebruikersobject te exporteren naar Active Directory, omdat voor alle gebruikersobjecten in Active Directory een sAMAccountName- kenmerk moet zijn gedefinieerd. Nogmaals, de installatiewizard voert deze configuratie voor u uit.

Als de verbonden gegevensbron structurele onderdelen gebruikt, zoals partities of containers om objecten te ordenen, kunt u de gebieden in de verbonden gegevensbron beperken die worden gebruikt voor een bepaalde oplossing.

Interne structuur van de naamruimte van de synchronisatie-engine

De volledige naamruimte van de synchronisatie-engine bestaat uit twee naamruimten waarmee de identiteitsgegevens worden opgeslagen. De twee naamruimten zijn:

  • De verbindingsruimte (CS)
  • De metaverse (MV)

De connectorruimte is een voorbereidingsgebied dat representaties bevat van de aangewezen objecten uit een verbonden gegevensbron en de kenmerken die zijn opgegeven in de kenmerkenopnamelijst. De synchronisatie-engine maakt gebruik van de connectorruimte om te bepalen wat er is gewijzigd in de verbonden gegevensbron en om binnenkomende wijzigingen te fasen. De synchronisatie-engine maakt ook gebruik van de connectorruimte om uitgaande wijzigingen voor export naar de verbonden gegevensbron te fasen. De synchronisatie-engine onderhoudt een afzonderlijke connectorruimte als een faseringsgebied voor elke connector.

Door een faseringsgebied te gebruiken, blijft de synchronisatie-engine onafhankelijk van de verbonden gegevensbronnen en wordt deze niet beïnvloed door hun beschikbaarheid en toegankelijkheid. Als gevolg hiervan kunt u identiteitsgegevens op elk gewenst moment verwerken met behulp van de gegevens in het faseringsgebied. De synchronisatie-engine kan alleen de wijzigingen aanvragen die zijn aangebracht in de verbonden gegevensbron, omdat de laatste communicatiesessie is beëindigd of alleen de wijzigingen naar identiteitsgegevens pushen die de verbonden gegevensbron nog niet heeft ontvangen, waardoor het netwerkverkeer tussen de synchronisatie-engine en de verbonden gegevensbron wordt verminderd.

Daarnaast slaat de synchronisatie-engine statusinformatie op over alle objecten die het in de connectorruimte plaatst. Wanneer er nieuwe gegevens worden ontvangen, evalueert de synchronisatie-engine altijd of de gegevens al zijn gesynchroniseerd.

De metaverse is een opslaggebied dat de geaggregeerde identiteitsgegevens uit meerdere verbonden gegevensbronnen bevat en één globaal, geïntegreerd overzicht biedt van alle gecombineerde objecten. Metaverse-objecten worden gemaakt op basis van de identiteitsgegevens die worden opgehaald uit de verbonden gegevensbronnen en een set regels waarmee u het synchronisatieproces kunt aanpassen.

In de volgende illustratie ziet u het connector-space-namespace en het metaverse-namespace binnen de synchronisatie-engine.

diagram toont een verbonden gegevensbron en een synchronisatie-engine, die is gescheiden in connectorruimte en metaverse-naamruimten, gekoppeld aan een lijn met de naam Connector.

Identiteitsobjecten van de synchronisatie-engine

De objecten in de synchronisatie-engine zijn weergaven van objecten in de verbonden gegevensbron of de geïntegreerde weergave die de synchronisatie-engine van deze objecten heeft. Elk synchronisatie-engineobject moet een GUID (Globally Unique Identifier) hebben. GUID's bieden gegevensintegriteit en expresse relaties tussen objecten.

Ruimteobjecten voor verbindingslijnen

Wanneer de synchronisatie-engine communiceert met een verbonden gegevensbron, leest deze de identiteitsgegevens in de verbonden gegevensbron en gebruikt deze informatie om een weergave van het identiteitsobject in de connectorruimte te maken. U kunt deze objecten niet afzonderlijk maken of verwijderen. U kunt echter alle objecten in een verbindingslijnruimte handmatig verwijderen.

Alle objecten in de verbindingslijnruimte hebben twee kenmerken:

  • Een wereldwijd uniek identificatienummer (GUID)
  • Een onderscheiden naam (ook wel DN genoemd)

Als de verbonden gegevensbron een uniek kenmerk toewijst aan het object, kunnen objecten in de verbindingslijnruimte ook een ankerkenmerk hebben. Het ankerkenmerk identificeert een object in de verbonden gegevensbron. De synchronisatie-engine gebruikt het anker om de bijbehorende weergave van dit object in de verbonden gegevensbron te vinden. Bij de synchronisatie-engine wordt ervan uitgegaan dat het anker van een object nooit verandert gedurende de levensduur van het object.

Veel connectors gebruiken een bekende unieke id om automatisch een anker te genereren voor elk object wanneer het wordt geïmporteerd. De Active Directory-connector gebruikt bijvoorbeeld het kenmerk objectGUID voor een anker. Voor verbonden gegevensbronnen die geen duidelijk gedefinieerde unieke id bieden, kunt u het genereren van ankers opgeven als onderdeel van de connectorconfiguratie.

In dat geval wordt het anker gebouwd op basis van een of meer unieke kenmerken van een objecttype, die geen van beide worden gewijzigd en waarmee het object uniek wordt geïdentificeerd in de verbindingslijnruimte (bijvoorbeeld een werknemernummer of een gebruikers-id).

Een verbindingsruimteobject kan een van de volgende zijn:

  • Een voorbereidingsobject
  • Een tijdelijke aanduiding

Opstellingsobjecten

Een faseringsobject vertegenwoordigt een exemplaar van de aangewezen objecttypen uit de verbonden gegevensbron. Naast de GUID en de distinguished name heeft een staging-object altijd een waarde die het type van het object aangeeft.

Faseringsobjecten die worden geïmporteerd, hebben altijd een waarde voor het ankerkenmerk. Faseringsobjecten die nieuw zijn ingericht door de synchronisatie-engine en die worden gemaakt in de verbonden gegevensbron, hebben geen waarde voor het ankerkenmerk.

Faseringsobjecten bevatten ook de huidige waarden van bedrijfskenmerken en operationele informatie die nodig is voor de synchronisatie-engine om het synchronisatieproces uit te voeren. Operationele informatie bevat vlaggen die aangeven welk type updates er op het faseringsobject zijn geplaatst. Als een faseringsobject nieuwe identiteitsgegevens heeft ontvangen van de verbonden gegevensbron, die nog niet zijn verwerkt, wordt het object gemarkeerd als in afwachting van import. Wanneer een faseringsobject nieuwe identiteitsgegevens bevat die nog niet zijn geëxporteerd naar de verbonden gegevensbron, wordt het gemarkeerd als wachten op export.

Een faseringsobject kan een importobject of een exportobject zijn. De synchronisatie-engine maakt een importobject met behulp van objectgegevens die zijn ontvangen van de verbonden gegevensbron. Wanneer de synchronisatie-engine informatie ontvangt over het bestaan van een nieuw object dat overeenkomt met een van de objecttypen die zijn geselecteerd in de connector, wordt er een importobject in de connectorruimte gemaakt als een weergave van het object in de verbonden gegevensbron.

In de volgende afbeelding ziet u een importobject dat een object in de verbonden gegevensbron vertegenwoordigt.

Diagram toont een importobject dat van de verbonden gegevensbron naar de naamruimte van de connectorruimte in de synchronisatie-engine wordt gebracht.

De synchronisatie-engine maakt een exportobject met behulp van objectgegevens in de metaverse. Exportobjecten worden tijdens de volgende communicatiesessie geëxporteerd naar de verbonden gegevensbron. Vanuit het perspectief van de synchronisatie-engine zijn exportobjecten nog niet aanwezig in de verbonden gegevensbron. Daarom is het ankerkenmerk voor een exportobject niet beschikbaar. Nadat het object is ontvangen van de synchronisatie-engine, maakt de verbonden gegevensbron een unieke waarde voor het ankerkenmerk van het object.

In de volgende afbeelding ziet u hoe een exportobject wordt gemaakt met behulp van identiteitsgegevens in de metaverse.

diagram toont een exportobject dat afkomstig is van de metaverse naar de naamruimte van de connectorruimte en vervolgens naar de verbonden gegevensbron.

De synchronisatie-engine bevestigt de export van het object door het object opnieuw te importeren uit de verbonden gegevensbron. Exportobjecten worden importobjecten wanneer de synchronisatie-engine deze ontvangt tijdens de volgende import uit die verbonden gegevensbron.

Plaatsaanduidingen

De synchronisatie-engine maakt gebruik van een platte naamruimte om objecten op te slaan. Sommige verbonden gegevensbronnen, zoals Active Directory, maken echter gebruik van een hiërarchische naamruimte. Als u informatie van een hiërarchische naamruimte wilt transformeren naar een platte naamruimte, gebruikt de synchronisatie-engine tijdelijke aanduidingen om de hiërarchie te behouden.

Elke tijdelijke aanduiding vertegenwoordigt een onderdeel, zoals een organisatie-eenheid, van de hiërarchische naam van een object dat niet is geïmporteerd in de synchronisatie-engine, maar is vereist om de hiërarchische naam samen te stellen. Ze vullen hiaten op die zijn gemaakt door verwijzingen in de verbonden gegevensbron naar objecten die geen faseringsobjecten in de verbindingslijnruimte zijn.

De synchronisatie-engine maakt ook gebruik van tijdelijke aanduidingen voor het opslaan van objecten waarnaar wordt verwezen en die nog niet zijn geïmporteerd. Als synchronisatie bijvoorbeeld is geconfigureerd om het managerkenmerk voor het Abbie Spencer--object op te nemen en de ontvangen waarde een object is dat nog niet is geïmporteerd, zoals CN=Lee Sperry,CN=Users,DC=fabrikam,DC=com, worden de managergegevens opgeslagen als tijdelijke aanduidingen in de connectorruimte. Als het managerobject later wordt geïmporteerd, wordt het tijdelijke aanduidingsobject overschreven door het faseringsobject dat de manager vertegenwoordigt.

Metaverse-objecten

Een metaverse-object bevat de geaggregeerde weergave die de synchronisatie-engine heeft van de staging-objecten in de koppelingruimte. Met de synchronisatie-engine worden metaverse-objecten gemaakt met behulp van de informatie in importobjecten. Meerdere verbindingslijnruimteobjecten kunnen worden gekoppeld aan één metaverse-object, maar een verbindingslijnruimteobject kan niet worden gekoppeld aan meer dan één metaverse-object.

Metaverse-objecten kunnen niet handmatig worden gemaakt of verwijderd. De synchronisatie-engine verwijdert automatisch metaverse-objecten die geen koppeling hebben met een connectorruimteobject.

Als u objecten binnen een verbonden gegevensbron wilt toewijzen aan een bijbehorend objecttype in de metaverse, biedt de synchronisatie-engine een uitbreidbaar schema met een vooraf gedefinieerde set objecttypen en bijbehorende kenmerken. U kunt nieuwe objecttypen en kenmerken maken voor metaverse-objecten. Kenmerken kunnen uit één waarde of meerdere waarden bestaan en de kenmerktypen kunnen tekenreeksen, verwijzingen, getallen en Booleaanse waarden zijn.

Relaties tussen faseringsobjecten en metaverse-objecten

Binnen de naamruimte van de synchronisatie-engine wordt de gegevensstroom ingeschakeld door de koppelingsrelatie tussen faseringsobjecten en metaverse-objecten. Een faseringsobject dat is verbonden met een metaverse-object, wordt een verbonden object genoemd (of connectorobject). Een faseringsobject dat niet is gekoppeld aan een metaverse-object, wordt een niet-aaneengekoppeld object genoemd (of disconnectorobject). De termen "gekoppeld" en "ontkoppeld" krijgen de voorkeur om verwarring te voorkomen met de connectoren die verantwoordelijk zijn voor het importeren en exporteren van gegevens uit een gekoppelde directory.

Placeholders worden nooit gekoppeld aan een metaverse-object

Een samengevoegd object bestaat uit een faseringsobject en de bijbehorende gekoppelde relatie met één metaverse-object. Gekoppelde objecten worden gebruikt om kenmerkwaarden te synchroniseren tussen een verbindingslijnruimteobject en een metaverse-object.

Wanneer een faseringsobject tijdens de synchronisatie een gekoppeld object wordt, kunnen kenmerken tussen het faseringsobject en het metaverse-object stromen. Kenmerkstroom is bidirectioneel en wordt geconfigureerd met behulp van importkenmerkregels en exportkenmerkregels.

Eén verbindingslijnruimteobject kan worden gekoppeld aan slechts één metaverse-object. Elk metaverse-object kan echter worden gekoppeld aan meerdere verbindingslijnruimteobjecten in dezelfde of in verschillende verbindingslijnruimten, zoals wordt weergegeven in de volgende afbeelding.

diagram toont twee geassocieerde gegevensobjecten die door connectoren met een synchronisatie-engine verbonden zijn, en die verbonden objecten en een niet-verbonden object heeft.

Alleen regels die u opgeeft, kunnen de permanente gekoppelde relatie tussen het faseringsobject en een metaverse-object verwijderen.

Een niet-aaneengekoppeld object is een faseringsobject dat niet is gekoppeld aan een metaverse-object. De kenmerkwaarden van een niet-aaneengesloten object worden niet verder verwerkt binnen de metaverse. De kenmerkwaarden van het bijbehorende object in de verbonden gegevensbron worden niet bijgewerkt door de synchronisatie-engine.

Door niet-aaneengekoppelde objecten te gebruiken, kunt u identiteitsgegevens opslaan in de synchronisatie-engine en deze later verwerken. Het behouden van een faseringsobject als een niet-verbonden object in de connectorruimte heeft veel voordelen. Omdat het systeem de vereiste informatie over dit object heeft gefaseerd, is het niet nodig om opnieuw een weergave van dit object te maken tijdens de volgende import uit de verbonden gegevensbron. Op deze manier heeft de synchronisatie-engine altijd een volledige momentopname van de verbonden gegevensbron, zelfs als er geen huidige verbinding met de verbonden gegevensbron is. Niet-samengevoegde objecten kunnen worden geconverteerd naar gekoppelde objecten en omgekeerd, afhankelijk van de regels die u opgeeft.

Er wordt een importobject gemaakt als een losgekoppeld object. Een exportobject moet een gekoppeld object zijn. De systeemlogica dwingt deze regel af en verwijdert elk exportobject dat geen gekoppeld object is.

Proces voor identiteitsbeheer van synchronisatie-engine

Het identiteitsbeheerproces bepaalt hoe identiteitsgegevens worden bijgewerkt tussen verschillende verbonden gegevensbronnen. Identiteitsbeheer vindt plaats in drie processen:

  • Importeren
  • Synchronisatie
  • Exporteren

Tijdens het importproces evalueert de synchronisatie-engine de binnenkomende identiteitsgegevens uit een verbonden gegevensbron. Wanneer er wijzigingen worden gedetecteerd, worden er nieuwe faseringsobjecten gemaakt of worden bestaande faseringsobjecten bijgewerkt in de connectorruimte voor synchronisatie.

Tijdens het synchronisatieproces werkt de synchronisatie-engine de metaverse bij om wijzigingen in de connectorruimte weer te geven. De connectorruimte wordt ook bijgewerkt om wijzigingen in de metaverse weer te geven.

Gedurende het exportproces voert de synchronisatie-engine wijzigingen uit die zijn voorbereid op objecten en zijn gemarkeerd als in afwachting van export.

In de volgende afbeelding ziet u waar elk van de processen plaatsvindt als identiteitsgegevens stromen van de ene verbonden gegevensbron naar de andere.

Diagram toont de stroom van identiteitsgegevens van verbonden data naar connectorruimte (import) naar Metaverse naar verbindingsruimte (synchronisatie) naar verbonden data (export).

Importproces

Tijdens het importproces evalueert de synchronisatie-engine updates voor identiteitsgegevens. De synchronisatie-engine vergelijkt de identiteitsgegevens die zijn ontvangen van de verbonden gegevensbron met de identiteitsinformatie over een faseringsobject. Hiermee wordt bepaald of voor het faseringsobject updates zijn vereist. Als het nodig is om het faseringsobject bij te werken met nieuwe gegevens, wordt het faseringsobject gemarkeerd als in afwachting van import.

Door objecten te faseren in de ruimte van de connector vóór de synchronisatie, kan de synchronisatie-engine alleen de identiteitsgegevens verwerken die worden gewijzigd. Dit proces biedt de volgende voordelen:

  • Efficiënte synchronisatie. De hoeveelheid gegevens die tijdens de synchronisatie wordt verwerkt, wordt geminimaliseerd.
  • Efficiënte hersynchronisatie. U kunt wijzigen hoe de synchronisatie-engine identiteitsgegevens verwerkt zonder de synchronisatie-engine opnieuw te verbinden met de gegevensbron.
  • mogelijkheid om een voorbeeld van synchronisatie te bekijken. U kunt een voorbeeld van synchronisatie bekijken om te controleren of uw veronderstellingen over het identiteitsbeheerproces juist zijn.

Voor elk object dat is opgegeven in de connector, probeert de synchronisatie-engine eerst een weergave van het object te vinden in de connectorruimte van de connector. De synchronisatie-engine onderzoekt alle faseringsobjecten in de connectorruimte en probeert een bijbehorend faseringsobject te vinden dat een overeenkomend ankerkenmerk heeft. Als er geen bestaand faseringsobject met een overeenkomend ankerkenmerk is, probeert de synchronisatie-engine een overeenkomend faseringsobject met dezelfde DN te vinden.

Wanneer de synchronisatie-engine een faseringsobject vindt dat overeenkomt met een DN-naam, maar niet op anker, treedt het volgende speciale gedrag op:

  • Als het object in de verbindingsruimte geen anker heeft, verwijdert de synchronisatie-engine dit object uit de verbindingsruimte en markeert het metaverse-object waaraan het is gekoppeld als het inrichten opnieuw probeert uit te voeren bij volgende synchronisatie. Vervolgens wordt het nieuwe importobject gemaakt.
  • Als het object in de connectorruimte een anker heeft, neemt de synchronisatie-engine aan dat dit object hernoemd of verwijderd is in de verbonden directory. Er wordt een tijdelijke, nieuwe onderscheidende naam toegewezen aan het object in de verbindingsruimte, zodat het binnenkomende object kan worden voorbereid. Het oude object wordt vervolgens tijdelijk, wachtend op de connector om de naamswijziging of verwijdering te importeren om de situatie op te lossen.

Tijdelijke objecten zijn niet altijd een probleem en u ziet ze mogelijk zelfs in een gezonde omgeving. Met Microsoft Entra Connect Sync V2-eindpunt-API, moeten tijdelijke objecten automatisch worden opgelost in de volgende deltasynchronisatiecycli. Een veelvoorkomend voorbeeld waarin u tijdelijke objecten kunt vinden die worden gegenereerd, vindt plaats op Microsoft Entra Connect-servers die zijn geïnstalleerd in de faseringsmodus. Dit gebeurt wanneer een beheerder een object permanent verwijdert rechtstreeks in Microsoft Entra ID met behulp van PowerShell en later het object opnieuw synchroniseert.

Als de synchronisatie-engine een faseringsobject zoekt dat overeenkomt met het object dat is opgegeven in de connector, wordt bepaald welk soort wijzigingen moeten worden toegepast. De synchronisatie-engine kan bijvoorbeeld de naam van het object in de verbonden gegevensbron wijzigen of verwijderen, of de kenmerkwaarden van het object alleen bijwerken.

Faseringsobjecten met bijgewerkte gegevens worden gemarkeerd als in afwachting van import. Verschillende soorten lopende invoer zijn beschikbaar. Afhankelijk van het resultaat van het importproces heeft een faseringsobject in de connectorruimte een van de volgende importtypen die in behandeling zijn:

  • Geen. Er zijn geen wijzigingen in een van de kenmerken van het faseringsobject beschikbaar. De synchronisatie-engine markeert dit type niet als te importeren.
  • toevoegen. Het stagingobject is een nieuw importobject in de connectorruimte. De synchronisatie-engine markeert dit type als wachtend op import voor verdere verwerking in de metaverse.
  • bijwerken. De synchronisatie-engine vindt een bijbehorend stageringsobject in de connectorruimte en markeert dit type als 'in behandeling voor import', zodat updates van de kenmerken in de metaverse kunnen worden verwerkt. Updates omvatten het wijzigen van de naam van objecten.
  • verwijderen. De synchronisatie-engine vindt een bijbehorend stagingobject in de connectorruimte en markeert dit als 'in afwachting van import' zodat het gekoppelde object kan worden verwijderd.
  • verwijderen/toevoegen. De synchronisatie-engine vindt een bijbehorend faseringsobject in de verbindingslijnruimte, maar de objecttypen komen niet overeen. In dit geval wordt een wijziging van verwijderen-toevoegen in fases uitgevoerd. Een wijziging voor verwijderen/toevoegen geeft aan aan de synchronisatie-engine dat een volledige hersynchronisatie van dit object moet plaatsvinden omdat verschillende sets regels van toepassing zijn op dit object wanneer het objecttype wordt gewijzigd.

Door de importstatus in afwachting van een stageringsobject in te stellen, is het mogelijk om de hoeveelheid gegevens die tijdens de synchronisatie worden verwerkt aanzienlijk te verminderen. Hierdoor kan het systeem alleen objecten verwerken die bijgewerkte gegevens hebben.

Synchronisatieproces

Synchronisatie bestaat uit twee gerelateerde processen:

  • Inkomende synchronisatie wanneer de inhoud van de metaverse wordt bijgewerkt met behulp van de gegevens in de connectorruimte.
  • Uitgaande synchronisatie wanneer de inhoud van de connectorruimte wordt bijgewerkt met behulp van gegevens in de metaverse.

Door gebruik te maken van de informatie die in de connectorruimte is gefaseerd, maakt het binnenkomende synchronisatieproces een geïntegreerde weergave van de gegevens in de metaverse die is opgeslagen in de verbonden gegevensbronnen. Alle faseringsobjecten of alleen objecten met importinformatie die in behandeling is worden samengevoegd, afhankelijk van hoe de regels zijn geconfigureerd.

Het uitgaande synchronisatieproces werkt exportobjecten bij wanneer metaverse-objecten worden gewijzigd.

Inkomende synchronisatie maakt de geïntegreerde weergave in de metaverse van de identiteitsgegevens die worden ontvangen van de verbonden gegevensbronnen. De synchronisatie-engine kan op elk gewenst moment identiteitsgegevens verwerken met behulp van de meest recente identiteitsgegevens uit de verbonden gegevensbron.

binnenkomende synchronisatie

Binnenkomende synchronisatie omvat de volgende processen:

  • Voorziening (ook wel Projectie genoemd als het belangrijk is dit proces te onderscheiden van het voorzien van uitgaande synchronisatie). De synchronisatie-engine maakt een nieuw metaverse-object op basis van een faseringsobject en koppelt deze. Voorziening is een bewerking op objectniveau.
  • Deelnemen aan. De synchronisatie-engine koppelt een faseringsobject aan een bestaand metaverse-object. Een join is een bewerking op objectniveau.
  • kenmerkstroom importeren. De synchronisatie-engine werkt de kenmerkwaarden, de kenmerkstroom genaamd, van het object in de metaverse bij. Kenmerkstroom importeren is een bewerking op kenmerkniveau waarvoor een koppeling tussen een faseringsobject en een metaverse-object is vereist.

Voorziening is het enige proces dat objecten in de metaverse creëert. Bepaling is alleen van invloed op importobjecten die niet gekoppeld zijn. Tijdens de inrichting maakt de synchronisatie-engine een metaverse-object dat overeenkomt met het objecttype van het importobject en brengt een koppeling tot stand tussen beide objecten, waardoor een samengevoegd object wordt gemaakt.

Het joinproces brengt ook een koppeling tot stand tussen importobjecten en een metaverse-object. Voor het joinproces moet het importobject worden gekoppeld aan een bestaand metaverse-object. Tijdens het inrichtingsproces wordt echter een nieuw metaverse-object gemaakt.

De synchronisatie-engine probeert een importobject toe te voegen aan een metaverse-object met behulp van criteria die zijn opgegeven in de configuratie van de synchronisatieregel.

Tijdens de inrichtings- en joinprocessen koppelt de synchronisatie-engine een niet-samengevoegd object aan een metaverse-object, waardoor ze worden samengevoegd. Nadat deze bewerkingen op objectniveau zijn voltooid, kan de synchronisatie-engine de kenmerkwaarden van het bijbehorende metaverse-object bijwerken. Dit proces wordt de importkenmerkstroom genoemd.

De importkenmerkstroom vindt plaats op alle importobjecten die nieuwe gegevens bevatten en zijn gekoppeld aan een metaverse-object.

uitgaande synchronisatie

Met uitgaande synchronisatie worden exportobjecten bijgewerkt wanneer een metaverse-object wordt gewijzigd, maar niet wordt verwijderd. Het doel van uitgaande synchronisatie is om te evalueren of wijzigingen in metaverse-objecten updates vereisen voor faseringsobjecten in de connectorruimten. In sommige gevallen kunnen de wijzigingen vereisen dat staging objecten in alle connectorruimtes worden bijgewerkt. Faseringsobjecten die worden gewijzigd, worden gemarkeerd als in afwachting van export, waardoor ze exportobjecten worden. Deze exportobjecten worden later tijdens het exportproces naar de verbonden gegevensbron gepusht.

Uitgaande synchronisatie heeft drie processen:

  • Voorziening
  • inrichting van ongedaan maken
  • kenmerkstroom exporteren

Inrichting en ongedaan maken van inrichting zijn beide bewerkingen op objectniveau. Deïntegreren is afhankelijk van inrichting, omdat alleen inrichting het kan initiëren. Deprovisionering wordt geactiveerd wanneer provisioning de koppeling tussen een metaverse-object en een exportobject verwijdert.

Voorzieningen worden altijd geactiveerd wanneer er wijzigingen worden toegepast op objecten in de metaverse. Wanneer er wijzigingen worden aangebracht in metaverse-objecten, kan de synchronisatie-engine een van de volgende taken uitvoeren als onderdeel van het inrichtingsproces:

  • Gekoppelde objecten maken, waarbij een metaverse-object is gekoppeld aan een nieuw gemaakt exportobject.
  • Wijzig de naam van een gekoppeld object.
  • Ontkoppel de verbindingen tussen een metaverse-object en faseringsobjecten, waardoor een losgekoppeld object wordt gemaakt.

Als voor de provisioning een synchronisatiemotor vereist is om een nieuw connectorobject te maken, is het staging-object dat gekoppeld is aan het metaverse-object altijd een export. Dit komt doordat het object nog niet bestaat in de verbonden gegevensbron.

Als provisioning vereist dat de synchronisatiemotor een gekoppeld object loskoppelt, waardoor een ontkoppeld object ontstaat, wordt deprovisioning geactiveerd. Het deprovisioneren verwijdert het object.

Tijdens het ongedaan maken van de inrichting wordt door het verwijderen van een exportobject het object fysiek niet verwijderd. Het object wordt gemarkeerd als verwijderd, wat betekent dat de verwijderbewerking is gefaseerd op het object.

De exportkenmerkstroom vindt ook plaats tijdens het uitgaande synchronisatieproces, vergelijkbaar met de manier waarop de importkenmerkstroom plaatsvindt tijdens binnenkomende synchronisatie. De exportkenmerkstroom vindt alleen plaats tussen metaverse en exportobjecten die zijn gekoppeld.

Exportproces

Tijdens het exportproces onderzoekt de synchronisatie-engine alle exportobjecten die zijn gemarkeerd als export in behandeling in de connectorruimte en verzendt vervolgens updates naar de verbonden gegevensbron.

De synchronisatie-engine kan het succes van een export bepalen, maar kan niet voldoende bepalen of het identiteitsbeheerproces is voltooid. Andere processen kunnen altijd objecten in de verbonden gegevensbron wijzigen. Omdat de synchronisatie-engine geen permanente verbinding heeft met de verbonden gegevensbron, is het niet voldoende om veronderstellingen te maken over de eigenschappen van een object in de verbonden gegevensbron op basis van een geslaagde exportmelding.

Een proces in de verbonden gegevensbron kan bijvoorbeeld de kenmerken van het object weer wijzigen in de oorspronkelijke waarden (dat wil gezegd, de verbonden gegevensbron kan de waarden overschrijven direct nadat de gegevens zijn gepusht door de synchronisatie-engine en met succes worden toegepast in de verbonden gegevensbron).

De synchronisatie-engine slaat informatie over de export- en importstatus op voor elk faseringsobject. Als de waarden van de kenmerken die zijn opgegeven in de lijst met kenmerken zijn gewijzigd sinds de laatste export, zorgt de opslag van de import- en exportstatus ervoor dat de synchronisatie-engine op de juiste wijze reageert. De synchronisatie-engine maakt gebruik van het importproces om kenmerkwaarden te bevestigen die zijn geëxporteerd naar de verbonden gegevensbron. Een vergelijking tussen de geïmporteerde en geëxporteerde gegevens, zoals wordt weergegeven in de volgende afbeelding, stelt de synchronisatie-engine in staat om te bepalen of de export is geslaagd of als deze moet worden herhaald.

Diagram toont de synchronisatie van een object tussen verbindingsruimte en verbonden gegevens via de connector.

Als de synchronisatie-engine bijvoorbeeld het attribuut C met een waarde van 5 exporteert naar een verbonden gegevensbron, slaat het C=5 op in het exportstatusgeheugen. Elke extra export op dit object resulteert in een poging om C=5 opnieuw te exporteren naar de verbonden gegevensbron, omdat de synchronisatie-engine ervan uitgaat dat deze waarde niet permanent op het object is toegepast (dat wil gezegd, tenzij onlangs een andere waarde is geïmporteerd uit de verbonden gegevensbron). Het exportgeheugen wordt gewist wanneer C=5 wordt ontvangen tijdens een importbewerking op het object.

Volgende stappen

Meer informatie over de Microsoft Entra Connect Sync configuratie.

Meer informatie over uw on-premises identiteiten integreren met Microsoft Entra ID.