Szczegółowe omówienie synchronizacji z chmurą — jak to działa

Omówienie składników

Synchronizacja w chmurze jest oparta na usługach Firmy Microsoft Entra i ma dwa kluczowe składniki:

• Agent aprowizacji: agent aprowizacji w chmurze microsoft Entra Connect jest tym samym agentem co przychodzący program Workday i oparty na tej samej technologii po stronie serwera co serwer proxy aplikacji i uwierzytelnianie przekazywane. Wymaga tylko połączenia wychodzącego, a agenci są automatycznie zaktualizowani.
• Usługa aprowizacji: ta sama usługa aprowizacji co aprowizacja ruchu wychodzącego i aprowizacja ruchu przychodzącego produktu Workday, która korzysta z modelu opartego na harmonogramie. Aprowizuj aprowizacje synchronizacji w chmurze zmieniają się co 2 minuty.

Konfiguracja początkowa

Podczas początkowej konfiguracji wykonywane jest kilka czynności, które sprawiają, że odbywa się synchronizacja w chmurze.

• Podczas instalacji agenta: należy skonfigurować agenta dla domen usługi AD, z których chcesz aprowizować. Ta konfiguracja rejestruje domeny w usłudze tożsamości hybrydowej i ustanawia połączenie wychodzące z magistralą usług nasłuchuje żądań.
• Po włączeniu aprowizacji: wybierz domenę usługi AD i włącz aprowizację, która jest uruchamiana co 2 minuty. Opcjonalnie możesz usunąć zaznaczenie synchronizacji skrótów haseł i zdefiniować wiadomość e-mail z powiadomieniem. Przekształcanie atrybutów można również zarządzać przy użyciu interfejsów API programu Microsoft Graph.

Instalacja agenta

Podczas instalowania agenta aprowizacji w chmurze występują następujące elementy.

• Instalator instaluje pliki binarne agenta i usługę agenta działającą w ramach konta usługi wirtualnej (NETWORK SERVICE\AADProvisioningAgent). Konto usługi wirtualnej to specjalny typ konta, które nie ma hasła i jest zarządzane przez system Windows.
• Następnie Instalator uruchamia Kreatora.
• Kreator monituje o poświadczenia firmy Microsoft Entra, a następnie uwierzytelnia się i pobiera token.
• Następnie kreator prosi o podanie bieżących poświadczeń administratorów domeny komputera.
• Konto usługi zarządzanej przez agenta ogólnego (GMSA) dla tej domeny jest tworzone lub ponownie używane, jeśli już istnieje.
• Usługa agenta jest teraz ponownie skonfigurowana do uruchamiania w ramach usługi GMSA.
• Kreator prosi teraz o konfigurację domeny wraz z kontem Administratora przedsiębiorstwa (EA)/Administrator domeny (DA) dla każdej domeny, która ma obsługiwać agenta.
• Konto GMSA jest następnie aktualizowane z uprawnieniami, które umożliwiają dostęp do każdej domeny wprowadzonej podczas instalacji.
• Następnie kreator wyzwala rejestrację agenta
• Agent tworzy certyfikat i używa tokenu Firmy Microsoft Entra, rejestruje się i certyfikat w usłudze rejestracji hybrydowej usługi tożsamości (HIS)
• Kreator wyzwala wywołanie AgentResourceGrouping. To wywołanie usługi administracyjnej HIS polega na przypisaniu agenta do co najmniej jednej domeny usługi AD w konfiguracji HIS.
• Kreator uruchamia teraz ponownie usługę agenta.
• Agent wywołuje usługę Bootstrap po ponownym uruchomieniu (i co 10 minut później), aby sprawdzić dostępność aktualizacji konfiguracji. Usługa bootstrap weryfikuje tożsamość agenta. Aktualizuje również czas ostatniego uruchomienia. Jest to ważne, ponieważ jeśli agenci nie uruchamiają się, nie są one aktualizowane punktów końcowych usługi Service Bus i mogą nie być w stanie odbierać żądań.

Co to jest system zarządzania tożsamościami między domenami (SCIM)?

Specyfikacja SCIM jest standardem używanym do automatyzowania wymiany informacji o tożsamości użytkownika lub grupy między domenami tożsamości, takimi jak Microsoft Entra ID. SCIM staje się de facto standardem aprowizacji i, w przypadku użycia ze standardami federacyjnymi, takimi jak SAML lub OpenID Connect, zapewnia administratorom kompleksowe rozwiązanie oparte na standardach na potrzeby zarządzania dostępem.

Agent aprowizacji chmury Microsoft Entra Connect używa protokołu SCIM z identyfikatorem Entra firmy Microsoft do aprowizacji i anulowania aprowizacji użytkowników i grup.

Przepływ synchronizacji

Po zainstalowaniu agenta i włączeniu aprowizacji następuje następujący przepływ.

1. Po skonfigurowaniu usługa aprowizacji firmy Microsoft wywołuje hybrydową usługę Microsoft Entra, aby dodać żądanie do magistrali usług. Agent stale utrzymuje połączenie wychodzące z usługą Service Bus nasłuchuje żądań i natychmiast odbiera żądanie System for Cross-domain Identity Management (SCIM).
2. Agent dzieli żądanie na oddzielne zapytania na podstawie typu obiektu.
3. Usługa AD zwraca wynik do agenta, a agent filtruje te dane przed wysłaniem go do identyfikatora Entra firmy Microsoft.
4. Agent zwraca odpowiedź SCIM na identyfikator Entra firmy Microsoft. Te odpowiedzi są oparte na filtrowaniu, które miało miejsce w obrębie agenta. Agent używa określania zakresu do filtrowania wyników.
5. Usługa aprowizacji zapisuje zmiany w identyfikatorze Entra firmy Microsoft.
6. Jeśli wystąpi synchronizacja różnicowa, w przeciwieństwie do pełnej synchronizacji, używany jest plik cookie/znak wodny. Nowe zapytania pobierają zmiany z tego pliku cookie/znaku wodnego.

Obsługiwane scenariusze:

Następujące scenariusze są obsługiwane w przypadku synchronizacji z chmurą.

• Istniejący klient hybrydowy z nowym lasem: usługa Microsoft Entra Connect Sync jest używana w lasach podstawowych. Synchronizacja w chmurze służy do aprowizowania z lasu usługi AD (w tym rozłączonego). Aby uzyskać więcej informacji, zobacz samouczek tutaj.

• Nowy klient hybrydowy: usługa Microsoft Entra Connect Sync nie jest używana. Synchronizacja w chmurze służy do aprowizacji z lasu usługi AD. Aby uzyskać więcej informacji, zobacz samouczek tutaj.

• Istniejący klient hybrydowy: program Microsoft Entra Connect Sync jest używany w lasach podstawowych. Synchronizacja z chmurą jest pilotowana dla małego zestawu użytkowników w lasach podstawowych w tym miejscu.

Aby uzyskać więcej informacji, zobacz Obsługiwane topologie.

Następne kroki

• Co to jest aprowizacja?
• Co to jest usługa Microsoft Entra Cloud Sync?