Compartilhar via

Sincronização do Microsoft Entra Connect: noções básicas sobre a arquitetura

  • Artigo

Este artigo aborda a arquitetura básica do Microsoft Entra Connect Sync. Se você estiver familiarizado com as tecnologias de sincronização de identidade anteriores, o conteúdo deste artigo também poderá ser familiar para você. Se você não estiver familiarizado com a sincronização, este artigo será para você. Não é um requisito saber os detalhes deste artigo para ter êxito em fazer personalizações para o Microsoft Entra Connect Sync (chamado de mecanismo de sincronização neste artigo).

Arquitetura

O mecanismo de sincronização cria uma exibição integrada de objetos armazenados em várias fontes de dados conectadas e gerencia informações de identidade nessas fontes de dados. As informações de identidade recuperadas de fontes de dados conectadas determinam essa exibição integrada. Um conjunto de regras determina como processar essas informações.

Fontes de dados e conectores conectados

O mecanismo de sincronização processa informações de identidade de repositórios de dados diferentes, como o Active Directory ou um banco de dados do SQL Server. Cada repositório de dados que organiza seus dados em um formato semelhante a um banco de dados e que fornece métodos padrão de acesso a dados é um potencial candidato à fonte de dados para o mecanismo de sincronização. Os repositórios de dados sincronizados pelo mecanismo de sincronização são denominados fontes de dados conectadas ou diretórios conectados (CD).

O mecanismo de sincronização encapsula a interação com uma fonte de dados conectada em um módulo chamado Connector. Cada tipo de fonte de dados conectada tem um Conector específico. O Conector converte uma operação necessária no formato que a fonte de dados conectada entende.

Os conectores fazem chamadas à API para trocar informações de identidade (leitura e gravação) com uma fonte de dados conectada. Também é possível adicionar um Conector personalizado usando a estrutura de conectividade extensível. A ilustração a seguir mostra como um Conector conecta uma fonte de dados conectada ao mecanismo de sincronização.

Diagrama mostra uma fonte de dados conectada e um mecanismo de sincronização associado por uma linha chamada Conector.

Os dados podem fluir em qualquer direção, mas não podem fluir em ambas as direções simultaneamente. Um Conector pode ser configurado para permitir que os dados fluam da fonte de dados conectada para o mecanismo de sincronização ou do mecanismo de sincronização para a fonte de dados conectada. Porém, apenas uma dessas operações pode ocorrer a qualquer momento para um objeto e atributo. A direção pode ser diferente para objetos diferentes e para atributos diferentes.

Para configurar um Conector, especifique os tipos de objeto que deseja sincronizar. Especificar os tipos de objeto define o escopo dos objetos incluídos no processo de sincronização. A próxima etapa é selecionar os atributos a serem sincronizados, o que é conhecido como uma lista de inclusão de atributos. Essas configurações podem ser alteradas a qualquer momento em resposta a alterações em suas regras de negócios. Quando você usa o assistente de instalação do Microsoft Entra Connect, essas configurações são configuradas para você.

Para exportar objetos para uma fonte de dados conectada, a lista de inclusão de atributos deve incluir pelo menos os atributos mínimos necessários para criar um tipo de objeto específico em uma fonte de dados conectada. Por exemplo, o atributo sAMAccountName deve ser incluído na lista de inclusão de atributos para exportar um objeto de usuário para o Active Directory, pois todos os objetos de usuário no Active Directory devem ter um atributo sAMAccountName definido. Novamente, o assistente de instalação faz essa configuração para você.

Se a fonte de dados conectada usar componentes estruturais, como partições ou contêineres para organizar objetos, você poderá limitar as áreas na fonte de dados conectada que são usadas para uma determinada solução.

Estrutura interna do namespace do mecanismo de sincronização

Todo o namespace do mecanismo de sincronização consiste em dois namespaces que armazenam as informações de identidade. Os dois namespaces são:

  • O espaço do conector
  • O metaverso

O espaço do conector é uma área de preparo que contém representações dos objetos designados de uma fonte de dados conectada e os atributos especificados na lista de inclusão de atributo. O mecanismo de sincronização usa o espaço do conector para determinar o que foi alterado na fonte de dados conectada e para realizar alterações de entrada. O mecanismo de sincronização também usa o espaço do conector para preparar as alterações de saída para exportação para a fonte de dados conectada. O mecanismo de sincronização mantém um espaço do conector diferente da área de preparo para cada Conector.

Usando uma área de preparo, o mecanismo de sincronização permanece independente das fontes de dados conectadas e não é afetado por sua disponibilidade e acessibilidade. Como resultado, você pode processar informações de identidade a qualquer momento usando os dados na área de preparo. O mecanismo de sincronização pode solicitar apenas as alterações feitas dentro da fonte de dados conectada desde que a última sessão de comunicação terminou ou enviar por push apenas as alterações nas informações de identidade que a fonte de dados conectada ainda não recebeu, o que reduz o tráfego de rede entre o mecanismo de sincronização e a fonte de dados conectada.

Além disso, o mecanismo de sincronização armazena informações de status sobre todos os objetos que ele prepara no espaço do conector. Quando novos dados são recebidos, o mecanismo de sincronização sempre avalia se os dados já foram sincronizados.

O metaverso é um espaço de armazenamento que contém as informações de identidade agregadas de várias fontes de dados conectadas, fornecendo uma única visão global e integrada de todos os objetos unificados. Os objetos do Metaverso são criados com base nas informações de identidade recuperadas das fontes de dados conectadas e em um conjunto de regras que permitem personalizar o processo de sincronização.

A ilustração a seguir mostra o namespace de espaço do conector e o namespace do metaverso no mecanismo de sincronização.

O diagrama mostra uma fonte de dados conectada e um mecanismo de sincronização, que é separado no espaço do conector e nos namespaces de metaverso, associados por uma linha chamada Conector.

Objetos de identidade do mecanismo de sincronização

Os objetos no mecanismo de sincronização são representações de objetos na fonte de dados conectada ou na exibição integrada que o mecanismo de sincronização tem desses objetos. Cada objeto do mecanismo de sincronização deve ter um GUID (identificador global exclusivo). Os GUIDs fornecem integridade de dados e relações expressas entre objetos.

Objetos de espaço do conector

Quando o mecanismo de sincronização se comunica com uma fonte de dados conectada, ele lê as informações de identidade na fonte de dados conectada e usa essas informações para criar uma representação do objeto de identidade no espaço do conector. Você não pode criar ou excluir esses objetos individualmente. No entanto, você pode excluir manualmente todos os objetos em um espaço de conector.

Todos os objetos no espaço do conector têm dois atributos:

  • Um GUID (identificador global exclusivo)
  • Um nome diferenciado (também conhecido como DN)

Se a fonte de dados conectada atribuir um atributo exclusivo ao objeto, os objetos no espaço do conector também poderão ter um atributo de âncora. O atributo de âncora identifica exclusivamente um objeto na fonte de dados conectada. O mecanismo de sincronização usa a âncora para localizar a representação correspondente desse objeto na fonte de dados conectada. O mecanismo de sincronização pressupõe que a âncora de um objeto nunca muda ao longo do tempo de vida do objeto.

Muitos dos Conectores usam um identificador exclusivo conhecido para gerar uma âncora automaticamente para cada objeto quando ele é importado. Por exemplo, o Conector do Active Directory usa o atributo objectGUID como âncora. Para fontes de dados conectadas que não fornecem um identificador exclusivo claramente definido, você pode especificar a geração de âncora como parte da configuração do Conector.

Nesse caso, a âncora é criada a partir de um ou mais atributos exclusivos de um tipo de objeto, nenhum dos quais é alterado e identifica exclusivamente o objeto no espaço do conector (por exemplo, um número de funcionário ou uma ID de usuário).

Podem ser objetos de espaço do conector:

  • Um objeto de preparo
  • Um espaço reservado

Objetos de encenação

Um objeto de preparo representa uma instância dos tipos de objeto designado da fonte de dados conectada. Além do GUID e do nome distinto, um objeto de estágio sempre tem um valor que indica o tipo de objeto.

Os objetos de preparo importados sempre têm um valor para o atributo de âncora. Os objetos de preparo recém-provisionados pelo mecanismo de sincronização e que estão em processo de criação na fonte de dados conectada não têm um valor para o atributo de âncora.

Os objetos de preparação também carregam valores atuais de atributos de negócios e informações operacionais necessárias para o mecanismo de sincronização executar o processo de sincronização. As informações operacionais incluem sinalizadores que indicam o tipo de atualizações preparadas no objeto de preparo. Se um objeto de preparo tiver recebido novas informações de identidade da fonte de dados conectada que ainda não foram processadas, o objeto será sinalizado como importação pendente. Se um objeto de preparo tiver novas informações de identidade que ainda não foram exportadas para a fonte de dados conectada, ele será sinalizado como exportação pendente.

Um objeto de preparo pode ser um objeto de importação ou de exportação. O mecanismo de sincronização cria um objeto de importação usando informações de objeto recebidas da fonte de dados conectada. Quando o mecanismo de sincronização recebe informações sobre a existência de um novo objeto que corresponde a um dos tipos de objeto selecionados no Conector, ele cria um objeto de importação no espaço do conector como uma representação do objeto na fonte de dados conectada.

A ilustração a seguir mostra um objeto de importação que representa um objeto na fonte de dados conectada.

O diagrama mostra um objeto de importação trazido da fonte de dados conectada para o namespace de espaço do conector no mecanismo de sincronização.

O mecanismo de sincronização cria um objeto de exportação usando informações de objeto no metaverso. Os objetos de exportação são exportados para a fonte de dados conectada durante a próxima sessão de comunicação. Da perspectiva do mecanismo de sincronização, os objetos de exportação ainda não existem na fonte de dados conectada. Portanto, o atributo de âncora de um objeto de exportação não está disponível. Depois de receber o objeto do mecanismo de sincronização, a fonte de dados conectada criará um valor exclusivo para o atributo de âncora do objeto.

A ilustração a seguir mostra como um objeto de exportação é criado usando informações de identidade no metaverso.

O diagrama mostra um objeto de exportação trazido do metaverso para o namespace de espaço do conector e, em seguida, para a fonte de dados conectada.

O mecanismo de sincronização confirma a exportação do objeto reimportando o objeto da fonte de dados conectada. Os objetos de exportação tornam-se objetos de importação quando o mecanismo de sincronização os recebe durante a próxima importação dessa fonte de dados conectada.

Espaços reservados

O mecanismo de sincronização usa um namespace simples para armazenar objetos. No entanto, algumas fontes de dados conectadas, como o Active Directory, usam um namespace hierárquico. Para transformar informações de um namespace hierárquico em um namespace simples, o mecanismo de sincronização usa espaços reservados para preservar a hierarquia.

Cada espaço reservado representa um componente (por exemplo, uma unidade organizacional) de um nome hierárquico do objeto que não foi importado para o mecanismo de sincronização, mas é necessário para construir o nome hierárquico. Eles preenchem lacunas criadas pelas referências da fonte de dados conectada para os objetos que não são objetos de preparo no espaço do conector.

O mecanismo de sincronização também usa espaços reservados para armazenar objetos referenciados que ainda não foram importados. Por exemplo, se a sincronização estiver configurada para incluir o atributo de gerente do objeto Abbie Spencer e o valor recebido for um objeto que ainda não foi importado, como CN=Lee Sperry, CN=Users, DC=fabrikam, DC=com, as informações do gerente serão armazenadas como espaços reservados no espaço do conector. Se o objeto gerente for importado mais tarde, o objeto do espaço reservado será substituído pelo objeto de preparo que representa o gerente.

Objetos do Metaverso

Um objeto do metaverso contém a exibição agregada que o mecanismo de sincronização tem dos objetos de preparo no espaço do conector. O mecanismo de sincronização cria os objetos de metaverso usando as informações dos objetos de importação. Diversos objetos de espaço do conector podem ser vinculados a um único objeto do metaverso, mas um objeto de espaço do conector não pode ser vinculado a mais de um objeto do metaverso.

Objetos metaversos não podem ser criados ou excluídos manualmente. O mecanismo de sincronização excluirá automaticamente os objetos de metaverso que não tiverem um link para qualquer objeto de espaço do conector no espaço do conector.

Para mapear objetos dentro de uma fonte de dados conectada a um tipo de objeto correspondente dentro do metaverso, o mecanismo de sincronização fornece um esquema extensível com um conjunto predefinido de tipos de objeto e atributos associados. Você pode criar novos tipos de objeto e atributos para objetos metaversos. Os atributos podem ser de valor único ou multivalorizados, e os tipos de atributo podem ser cadeias de caracteres, referências, números e valores boolianos.

Relacionamentos entre objetos de preparo e objetos de metaverso

Dentro do namespace do mecanismo de sincronização, o fluxo de dados é habilitado pela relação de vínculo entre objetos de preparo e objetos de metaverso. Um objeto de preparo vinculado a um objeto de metaverso é chamado de objeto unido (ou objeto conector). Um objeto de preparo não vinculado a um objeto de metaverso é chamado de objeto separado (ou objeto desconector). Os termos unido e separado são preferíveis para não confundir com os Conectores responsáveis pela importação e pela exportação de dados de um diretório conectado.

Marcadores de posição nunca estão vinculados a um objeto do metaverso

Um objeto unido consiste em um objeto de preparo e em seu relacionamento vinculado com um objeto de metaverso único. Objetos vinculados são usados para sincronizar valores de atributo entre um objeto no espaço do conector e um objeto no metaverso.

Quando um objeto de estágio se torna um objeto unido durante a sincronização, os atributos podem fluir entre o objeto de estágio e o objeto metaverso. O fluxo de atributo é bidirecional e é configurado usando regras de atributo de importação e regras de atributo de exportação.

Um único objeto de espaço do conector pode ser vinculado a apenas um objeto de metaverso. No entanto, cada objeto de metaverso pode ser vinculado a vários objetos de espaço do conector no mesmo ou em espaços do conector diferentes, como mostrado na ilustração a seguir.

Diagrama mostra dois objetos de dados conectados associados por conectores a um mecanismo de sincronização, que uniu objetos e um objeto desarticulado.

Somente as regras que você especificar podem remover o relacionamento vinculado persistente entre o objeto de preparo e um objeto do metaverso.

Um objeto desconectado é um objeto de estágio que não está vinculado a nenhum objeto do metaverso. Os valores de atributo de um objeto desarticulado não são processados mais dentro do metaverso. Os valores de atributo do objeto correspondente na fonte de dados conectada não são atualizados pelo mecanismo de sincronização.

Usando objetos desarticulados, você pode armazenar informações de identidade no mecanismo de sincronização e processá-los posteriormente. Manter um objeto de preparo como um objeto separado no espaço do conector tem muitas vantagens. Como o sistema armazenou as informações necessárias sobre esse objeto, não é necessário criar novamente uma representação desse objeto na próxima importação da fonte de dados conectada. Dessa forma, o mecanismo de sincronização sempre tem um instantâneo completo da fonte de dados conectada, mesmo que não haja nenhuma conexão atual com a fonte de dados conectada. Objetos desarticulados podem ser convertidos em objetos unidos e vice-versa, dependendo das regras especificadas.

Um objeto de importação é criado como um objeto desarticulado. Um objeto de exportação deve ser um objeto unido. A lógica do sistema impõe essa regra e exclui todos os objetos de exportação que não são um objeto unido.

Processo de gerenciamento de identidades do mecanismo de sincronização

O processo de gerenciamento de identidade controla como as informações de identidade são atualizadas entre diferentes fontes de dados conectadas. O gerenciamento de identidade ocorre em três processos:

  • Importação
  • Sincronização
  • Exportação

Durante o processo de importação, o mecanismo de sincronização avalia as informações de identidade de entrada de uma fonte de dados conectada. Quando as alterações são detectadas, ela cria novos objetos de preparo ou atualiza objetos de preparo existentes no espaço do conector para sincronização.

Durante o processo de sincronização, o mecanismo de sincronização atualiza o metaverso para refletir as alterações no espaço do conector. Ele também atualiza o espaço do conector para refletir as alterações no metaverso.

Durante o processo de exportação, o mecanismo de sincronização envia as alterações preparadas nos objetos de preparo e as alterações sinalizadas como exportação pendente.

A ilustração a seguir mostra onde cada um dos processos ocorre à medida que as informações de identidade fluem de uma fonte de dados conectada para outra.

O diagrama mostra o fluxo de informações de identidade dos dados conectados para o espaço do conector (importação) para o metaverso do espaço do conector (sincronização) para os dados conectados (exportação).

Processo de importação

Durante o processo de importação, o mecanismo de sincronização avalia as atualizações para informações de identidade. O mecanismo de sincronização compara as informações de identidade recebidas da fonte de dados conectada com as informações de identidade sobre um objeto de preparo. Determina se o objeto de preparo requer atualizações. Se for necessário atualizar o objeto de preparação com novos dados, o objeto de preparação será sinalizado como importação pendente.

Ao organizar objetos no espaço do conector antes da sincronização, o mecanismo de sincronização pode processar apenas as informações de identidade que foram alteradas. Esse processo oferece os seguintes benefícios:

  • Sincronização eficiente. A quantidade de dados processados durante a sincronização é minimizada.
  • Ressincronização eficiente. Você pode alterar como o mecanismo de sincronização processa informações de identidade sem reconectar o mecanismo de sincronização à fonte de dados.
  • Oportunidade de pré-visualizar a sincronização. Você pode visualizar a sincronização para verificar se suas suposições sobre o processo de gerenciamento de identidade estão corretas.

Para cada objeto especificado no Conector, o mecanismo de sincronização primeiro tenta localizar uma representação do objeto no espaço do conector do Conector. O mecanismo de sincronização examina todos os objetos de preparo no espaço do conector e tenta localizar um objeto de preparação correspondente que tenha um atributo de âncora correspondente. Se nenhum objeto de preparo existente tiver um atributo de âncora correspondente, o mecanismo de sincronização tentará encontrar um objeto de preparação correspondente com o mesmo nome diferenciado.

Quando o mecanismo de sincronização encontrar um objeto de preparo que corresponda ao nome diferenciado, mas não por âncora, ocorrerá o seguinte comportamento especial:

  • Se o objeto localizado no espaço do conector não tiver âncoras, o mecanismo de sincronização removerá o objeto do espaço do conector e marcará o objeto de metaverso ao qual ele está vinculado como tentar provisionar novamente na próxima execução de sincronização. Em seguida, ele cria o novo objeto de importação.
  • Se o objeto localizado no espaço do conector tiver uma âncora, o mecanismo de sincronização pressupõe que esse objeto seja renomeado ou excluído no diretório conectado. Ele atribui um novo nome diferenciado temporário ao objeto de espaço do conector para que ele possa preparar o objeto de entrada. Em seguida, o objeto antigo torna-se transitório, aguardando que o Conector importe a renomeação ou exclusão para resolver a situação.

Objetos transitórios nem sempre são um problema, e você pode vê-los mesmo em um ambiente saudável. Com a API de ponto de extremidade V2 de Sincronização do Microsoft Entra Connect, os objetos transitórios devem ser resolvidos automaticamente nos ciclos de sincronização delta subsequentes. Um exemplo comum em que você pode encontrar objetos transitórios sendo gerados ocorre em servidores do Microsoft Entra Connect instalados no modo de preparo. Isso acontece quando um administrador exclui permanentemente um objeto diretamente na ID do Microsoft Entra usando o PowerShell e, posteriormente, sincroniza o objeto novamente.

Se o mecanismo de sincronização localizar um objeto de preparação que corresponda ao objeto especificado no Conector, ele determinará que tipo de alterações aplicar. Por exemplo, o mecanismo de sincronização pode renomear ou excluir o objeto na fonte de dados conectada ou pode atualizar apenas os valores de atributo do objeto.

Os objetos de preparo com os dados atualizados são marcados como importação pendente. Diferentes tipos de importações pendentes estão disponíveis. Dependendo do resultado do processo de importação, um objeto de preparo no espaço do conector terá um dos seguintes tipos de importação pendente:

  • None. Nenhuma alteração em qualquer um dos atributos do objeto de preparo está disponível. O mecanismo de sincronização não sinaliza esse tipo como importação pendente.
  • Adicionar. O objeto de preparo é um objeto de importação novo no espaço do conector. O mecanismo de sincronização sinaliza esse tipo como importação pendente para processamento adicional no metaverso.
  • Atualizar. O mecanismo de sincronização encontra um objeto de preparo correspondente no espaço do conector e sinaliza esse tipo como importação pendente para que as atualizações dos atributos possam ser processadas no metaverso. As atualizações incluem renomeação de objeto.
  • Excluir. O mecanismo de sincronização encontra um objeto de preparo correspondente no espaço do conector e sinaliza esse tipo como importação pendente para que o objeto unido possa ser excluído.
  • Excluir/Adicionar. O mecanismo de sincronização localiza um objeto de estágio correspondente no espaço do conector, mas os tipos de objeto não são compatíveis. Nesse caso, uma modificação excluir-adicionar é preparada. Uma modificação de adição de exclusão indica ao mecanismo de sincronização que uma ressincronização completa desse objeto deve ocorrer porque diferentes conjuntos de regras se aplicam a esse objeto quando o tipo de objeto é alterado.

Ao definir o status de importação pendente de um objeto de estágio, é possível reduzir significativamente a quantidade de dados processados durante a sincronização. Isso permite que o sistema processe apenas os objetos que têm dados atualizados.

Processo de sincronização

A sincronização consiste em dois processos relacionados:

  • A sincronização de entrada, quando o conteúdo do metaverso é atualizado com os dados no espaço do conector.
  • A sincronização de saída, quando o conteúdo do espaço do conector é atualizado com os dados no metaverso.

Usando as informações preparadas no espaço do conector, o processo de sincronização de entrada cria uma exibição integrada dos dados no metaverso que é armazenada nas fontes de dados conectadas. Todos os objetos de preparo ou apenas aqueles com informações de importação pendente são agregados, dependendo de como as regras forem configuradas.

O processo de sincronização de saída atualiza os objetos de exportação quando os objetos metaversos são alterados.

A sincronização de entrada cria a exibição integrada no metaverso das informações de identidade recebidas das fontes de dados conectadas. O mecanismo de sincronização pode processar informações de identidade a qualquer momento usando as informações de identidade mais recentes que ele tem da fonte de dados conectada.

Sincronização de entrada

A sincronização de entrada inclui os seguintes processos:

  • Provisionamento (também chamado de Projeção se for importante distinguir este processo do provisionamento de sincronização de saída). O mecanismo de sincronização cria um novo objeto de metaverso com base em um objeto de preparo e os vincula. O provisionamento é uma operação no nível do objeto.
  • entre em. O mecanismo de sincronização vincula um objeto de preparo a um objeto de metaverso existente. Uma junção é uma operação no nível do objeto.
  • Fluxo de atributos de importação. O mecanismo de sincronização atualiza os valores de atributo, chamados de fluxo de atributo, do objeto no metaverso. O fluxo de atributos de importação é uma operação que ocorre no nível do atributo que exige um vínculo entre um objeto de preparo e um objeto de metaverso.

A provisão é o único processo que cria objetos no metaverso. O provisionamento afeta apenas os objetos de importação separados. Durante o provisionamento, o mecanismo de sincronização cria um objeto de metaverso que corresponde ao tipo de objeto de importação e estabelece um vínculo entre ambos os objetos, criando assim um objeto unido.

O processo de junção também estabelece um vínculo entre objetos de importação e um objeto metaverso. O processo de junção requer que o objeto de importação seja vinculado a um objeto de metaverso existente. No entanto, o processo de provisionamento cria um novo objeto de metaverso.

O mecanismo de sincronização tenta unir um objeto de importação a um objeto de metaverso usando critérios especificados na configuração da Regra de Sincronização.

Durante os processos de provisionamento e junção, o mecanismo de sincronização vincula um objeto desarticulado a um objeto de metaverso, tornando-os unidos. Depois que essas operações no nível do objeto forem concluídas, o mecanismo de sincronização poderá atualizar os valores de atributo do objeto metaverso associado. Esse processo é chamado de fluxo de atributo de importação.

O fluxo de atributos de importação ocorre em todos os objetos de importação que contêm novos dados e estão vinculados a um objeto no metaverso.

Sincronização de saída

A sincronização de saída atualiza os objetos de exportação quando um objeto de metaverso é alterado, mas não é excluído. O objetivo da sincronização de saída é avaliar se as alterações feitas em objetos de metaverso exigem atualizações de objetos de preparo nos espaços do conector. Em alguns casos, as alterações podem exigir que os objetos de preparo em todos os espaços do conector sejam atualizados. Os objetos de estágio que são alterados são sinalizados como pendentes de exportação, tornando-os objetos de exportação. Esses objetos de exportação são enviados posteriormente para a fonte de dados conectada durante o processo de exportação.

A sincronização de saída tem três processos:

  • Provisionamento
  • Desprovisionamento
  • Exportar fluxo de atributos

Provisionamento e desprovisionamento são operações no nível do objeto. O desprovisionamento depende do provisionamento porque somente o provisionamento pode iniciá-lo. O desprovisionamento é disparado quando o provisionamento remove o vínculo entre um objeto metaverso e um objeto de exportação.

O provisionamento é sempre disparado quando as alterações são aplicadas a objetos no metaverso. Quando são feitas alterações em objetos de metaverso, o mecanismo de sincronização pode executar qualquer uma das seguintes tarefas como parte do processo de provisionamento:

  • Crie objetos unidos, em que um objeto de metaverso está vinculado a um objeto de exportação recém-criado.
  • Renomeie um objeto combinado.
  • Separar os vínculos entre um objeto de metaverso e objetos de preparo, criando um objeto separado.

Se o provisionamento exigir que o mecanismo de sincronização crie um objeto conector, o objeto em preparo vinculado ao objeto metaverso sempre será exportado. Isso ocorre porque o objeto ainda não existe na fonte de dados conectada.

Se o provisionamento exigir que o mecanismo de sincronização desacople um objeto unido, criando um objeto desacoplado, o desprovisionamento será disparado. O processo de desprovisionamento exclui o objeto.

Durante o desprovisionamento, a exclusão de um objeto de exportação não exclui fisicamente o objeto. O objeto é sinalizado como excluído, o que significa que a operação de exclusão foi preparada no objeto.

O fluxo de atributo de exportação também ocorre durante o processo de sincronização de saída, semelhante à maneira como o fluxo de atributo de importação ocorre durante a sincronização de entrada. O fluxo de atributos de exportação ocorre apenas entre os objetos de metaverso e os objetos de exportação unidos.

Processo de exportação

Durante o processo de exportação, o mecanismo de sincronização examina todos os objetos de exportação sinalizados como exportação pendente no espaço do conector e envia atualizações para a fonte de dados conectada.

O mecanismo de sincronização pode determinar o sucesso de uma exportação, mas não pode determinar suficientemente que o processo de gerenciamento de identidade está concluído. Outros processos sempre podem alterar objetos na fonte de dados conectada. Como o mecanismo de sincronização não tem uma conexão persistente com a fonte de dados conectada, não é suficiente fazer suposições sobre as propriedades de um objeto na fonte de dados conectada com base apenas em uma notificação de exportação bem-sucedida.

Por exemplo, um processo na fonte de dados conectada pode alterar os atributos do objeto de volta para seus valores originais (ou seja, a fonte de dados conectada pode substituir os valores imediatamente após os dados serem enviados pelo mecanismo de sincronização e aplicados com êxito na fonte de dados conectada).

O mecanismo de sincronização armazena as informações sobre o status de exportação e de importação sobre cada objeto de preparo. Se os valores dos atributos especificados na lista de inclusão de atributos forem alterados desde a última exportação, o armazenamento do status de importação e exportação permitirá que o mecanismo de sincronização reaja adequadamente. O mecanismo de sincronização usa o processo de importação para confirmar valores de atributo que foram exportados para a fonte de dados conectada. Uma comparação entre as informações importadas e exportadas, conforme mostrado na ilustração a seguir, permite que o mecanismo de sincronização determine se a exportação foi bem-sucedida ou se precisa ser repetida.

Diagrama mostra a sincronização de um objeto entre o espaço do conector e os dados conectados pelo conector.

Por exemplo, se o mecanismo de sincronização exportar o atributo C, que tem um valor de 5, para uma fonte de dados conectada, ele armazenará C=5 em sua memória de status de exportação. Cada exportação adicional nesse objeto resulta em uma tentativa de exportar C=5 para a fonte de dados conectada novamente porque o mecanismo de sincronização pressupõe que esse valor não tenha sido aplicado persistentemente ao objeto (ou seja, a menos que um valor diferente tenha sido importado recentemente da fonte de dados conectada). A memória de exportação é limpada quando C=5 é recebido durante uma operação de importação no objeto.

Próximas etapas

Saiba mais sobre a configuração do Microsoft Entra Connect Sync .

Saiba mais sobre Integrando suas identidades locais com o Microsoft Entra ID.