Entender a configuração predefinida
Atualizado: 22 de julho de 2015
Importante
Este tópico será arquivado em breve.
Há um novo produto chamado "Azure Ative Directory Ligação" que substitui AADSync e DirSync.
O Azure AD Connect inclui os componentes e as funcionalidades já disponibilizadas como o Dirsync e o AAD Sync.
Em algum momento no futuro, o apoio a Dirsync e AAD Sync terminará.
Estas ferramentas já não estão a ser atualizadas individualmente com melhorias de funcionalidades, e todas as melhorias futuras serão incluídas em atualizações para Azure AD Ligação.
Este documento percorre uma configuração padrão de Azure Ative Directory Sync. O objetivo é que o leitor compreenda como a configuração modelo, denominada disposição declarativa, em Azure Ative Directory Sync está a funcionar num exemplo real. Este documento pressupõe que já instalou e configura Azure Ative Directory Sync utilizando o assistente de instalação.
Descrição do cenário
Neste exemplo estamos a usar uma implantação com uma floresta de conta (A), uma floresta de recursos (R) e um diretório AAD.
Cada diretório conectado tem uma cópia em cache, chamada espaço de conector, das informações relevantes em Azure Ative Directory Sync. No meio temos o metaverso, a visão consolidada dos objetos sendo sincronizados.
.jpg "Metaverse")
Isto é o mesmo que o cenário 2 descrito na visão geral do cenário de Azure Ative Directory Sync.
Editor de Regras de Sincronização
A configuração e ser visualizada e alterada com a ferramenta Synchronization Rules Editor (SRE) e um atalho para a presente pode ser encontrado no menu inicial.
.jpg "Synchronization Rules Editor")
O SRE é uma ferramenta de kit de recursos, mas está instalado com Azure Ative Directory Sync. Para poder iniciá-lo deve ser membro do grupo ADSyncAdmins. Quando começar, verá algo assim:
.jpg "Synchronization Rules Editor")
Neste painel verá todas as Regras de Sincronização criadas para a sua configuração. Cada linha na tabela é uma Regra de Sincronização. À esquerda nos tipos de regras, os dois tipos diferentes estão listados: Entrada e Saída. Entrada e Saída é da vista do metaverso. Concentrar-nos-emos principalmente nas regras de entrada nesta visão geral. A lista real de Regras de Sincronização dependerá do esquema detetado em AD. Na imagem acima da floresta de contas (Azure Ative Directory Sync.com) não tem quaisquer serviços, como Exchange e Lync, e não foram criadas regras de sincronização para estes serviços. No entanto, na floresta de recursos encontraremos Regras de Sincronização para estes serviços. O conteúdo das regras será diferente consoante a versão detetada. Por exemplo, numa implantação com Exchange 2013 teremos mais fluxos de atributos configurados do que em Exchange 2010 e Exchange 2007.
Regra de sincronização
Uma Regra de Sincronização é um objeto de configuração com um conjunto de atributos fluindo quando uma condição é satisfeita. Também é usado para descrever como um objeto em um espaço de conector está relacionado com um objeto no metaverso, conhecido como junção ou correspondência. As Regras de Sincronização têm uma precedência que indica como se relacionam entre si. Uma Regra de Sincronização com um menor valor numérico em precedência tem uma precedência maior e em caso de conflito de fluxo de atributos, uma precedência maior ganhará a resolução do conflito.
Como exemplo, vamos olhar para a Regra de Sincronização "In from AD – User AccountEnabled". Vamos marcar esta linha na SRE e selecionamos Edit.A Regra de Sincronização tem quatro secções de configuração: Descrição, filtro de scoping, regras de junção e transformações.
Description
A primeira secção fornece informações básicas, como um nome e descrição.
.jpg "Edit inbound synchronization rule")
Também encontramos informações sobre o sistema conectado a que esta regra está relacionada, que tipo de objeto no sistema conectado a que se aplica, e o tipo de objeto metaverso. O tipo de metaverso é sempre pessoa, independentemente de o tipo de objeto de origem ser um utilizador, iNetOrgPerson ou contacto. O tipo de metaverso nunca deve mudar, por isso é criado como um tipo genérico. O Tipo de Ligação pode ser definido para Juntar, StickyJoin ou Provision. Esta definição funciona em conjunto com a secção Regras de União e vamos cobri-lo mais tarde.
Filtro de escotagem
A secção filtro de deteção é utilizada para configurar quando deve ser aplicada uma Regra de Sincronização. Uma vez que o nome da Regra de Sincronização que estamos a analisar indica que deve ser aplicada apenas para utilizadores ativados, o âmbito está configurado para que o utilizador de atributos ADControl não tenha o conjunto bit 2. Quando encontrarmos um utilizador em AD aplicaremos esta regra se o userAccountControl for definido para o valor decimal 512 (utilizador normal ativado), mas não se aplicará se o utilizador que encontrarmos tiver o userAccountControl definido para 514 (utilizador normal desativado).
.jpg "Edit inbound synchronization rule")
O filtro de deteção tem Grupos e Cláusulas que podem ser aninhados. Todas as cláusulas dentro de um grupo devem ser satisfeitas para que uma Regra de Sincronização seja aplicada. Quando vários grupos são definidos, pelo menos um grupo deve ser satisfeito para que a regra se aplique. Ou seja, um OR lógico é avaliado entre grupos e um AND lógico é avaliado dentro de um grupo. Um exemplo disso pode ser encontrado na regra de sincronização de saída para a AAD – Group Join, mostrada abaixo. Existem dois grupos de filtros de sincronização, um para grupos de segurança (securityEnabled EQUAL True) e outro para grupos de distribuição (securityEnabled EQUAL False).
.jpg "Edit outbound synchronization rule")
Esta regra é utilizada para definir quais grupos devem ser a provisionados à AAD. Os grupos de distribuição devem ser sincronizados com a AAD, mas para grupos de segurança isso não é necessário. Como também pode ver, muitos atributos adicionais também são avaliados.
Aderir às Regras
A terceira secção é usada para configurar como os objetos no espaço do conector se relacionam com objetos no metaverso. A regra que analisámos anteriormente não tem qualquer configuração para As Regras de Aderir, por isso vamos olhar para In a partir da AD – User Join.
.jpg "Edit intbound synchronization rule")
O conteúdo das regras de junção dependerá da opção de correspondência selecionada no assistente de instalação. Para uma regra de entrada, a avaliação começa com um objeto no espaço do conector de origem e cada grupo em regras de junção é avaliado em sequência. Se um objeto de origem for avaliado para corresponder exatamente a um objeto no metaverso usando uma das regras de junção, os objetos são unidos. Se todas as regras tiverem sido avaliadas e não houver correspondência, o Link Type na página de descrição é utilizado. Se esta definição estiver definida como Provisão, então um novo objeto é criado no alvo, o metaverso. A disponibilização de um novo objeto ao metaverso também é conhecida como para projetar um objeto no metaverso. As regras de junção só são avaliadas uma vez. Quando um objeto de espaço de conector e um objeto metaverso estiverem unidos, permanecerão unidos enquanto o âmbito da Regra de Sincronização ainda estiver satisfeito. Ao avaliar as Regras de Sincronização, apenas uma Regra de Sincronização com regras de junção definidas deve estar no âmbito. Se várias regras de sincronização com regras de junção forem encontradas para um objeto, um erro é lançado. Por esta razão, a melhor prática é ter apenas uma Regra de Sincronização com a junção definida quando várias Regras de Sincronização estão no âmbito de um objeto. Na configuração fora da caixa para Azure Ative Directory Sync estas regras podem ser encontradas olhando para o nome e encontrando aquelas com a palavra 'Juntar-se' no final do nome. Uma Regra de Sincronização sem regras de junção definidas aplicará os fluxos de atributos se outra Regra de Sincronização unir os objetos ou fortar um novo objeto no alvo.
Transformações
A secção de transformação define todos os fluxos de atributos que se aplicarão ao objecto-alvo quando os objetos são unidos e o filtro de âmbito é satisfeito. Voltando à nossa Regra de Sincronização In ad – User AccountEnabled Synchronization, encontraremos as seguintes transformações:
.jpg "Edit intbound synchronization rule")
Para contextualizar, numa Account-Resource implantação florestal esperamos encontrar uma conta ativada na floresta de contas e uma conta desativada na floresta de recursos com Exchange e lync. A Regra de Sincronização que estamos a analisar contém os atributos necessários para o login e queremos que estes fluam da floresta onde encontramos uma conta ativada. Todos estes fluxos de atributos são montados numa Regra de Sincronização.Uma transformação pode ter diferentes tipos: Constante, Direta e Expressão. Um fluxo constante fluirá sempre um valor particular, no caso acima vamos sempre definir o valor Verdadeiro no atributo metaverso nomeado contaEnabled. Um fluxo direto fluirá o valor do atributo na fonte para o atributo alvo. O terceiro tipo de fluxo é Expression e permite configurações mais avançadas. O idioma de expressão é VBA (Visual Basic for Applications) pelo que o utilizador com experiência de Microsoft Office ou VBScript reconhecerá o formato. Os atributos são fechados em parênteses quadrados, [nome de atributos]. Os nomes e nomes de funções atribuídos são sensíveis a casos, mas o Editor de Regras de Sincronização avaliará as expressões e fornecerá um aviso se a expressão não for válida. Todas as expressões são expressas numa única linha com funções aninhadas. Para mostrar o poder do idioma de configuração, aqui está o fluxo para pwdLastSet, mas com comentários adicionais inseridos:
// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .Net datetime, change it to the time format used by AAD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)
O tópico de transformação é grande e fornece uma grande parte da configuração personalizada possível com Azure Ative Directory Sync. A configuração personalizada não será abrangida por este documento de visão geral, mas vamos analisar alguns fluxos de atributos adicionais mais tarde neste documento.
Precedência
Analisámos agora algumas regras individuais de sincronização, mas as regras funcionam em conjunto na configuração. Em alguns casos, um valor de atributo é contribuído de várias regras de sincronização para o mesmo atributo alvo. Neste caso, é utilizada a precedência do atributo para determinar qual o atributo que ganhará. Como exemplo, vejamos a fonte de atributosAnchor. Este atributo é um atributo importante para ser capaz de iniciar sessão a Azure AD. Podemos encontrar um fluxo de atributos para este atributo em duas regras de sincronização diferentes, in from AD – User AccountEnabled e In from AD – User Common. Devido à precedência da Regra de Sincronização, o atributo origemAnchor será contribuído da floresta com uma conta ativada primeiro se houver vários objetos unidos ao objeto metaverso. Se não houver contas ativadas, utilizaremos a regra de sincronização catch-all in a partir de AD – User Common. Isto irá garantir que, mesmo para as contas desativadas, continuaremos a fornecer uma fonteAnchor.A precedência das Regras de Sincronização é definida em grupo pelo assistente de instalação. Um grupo de regras têm todos o mesmo nome, mas estão ligados a diferentes diretórios ligados. O assistente de instalação dará a regra In a partir de AD – User Join precedência mais alta e iterar sobre todos os diretórios de AD conectados. Em seguida, continuará com os próximos grupos de regras numa ordem predefinida. Dentro de um grupo, as regras são adicionadas na ordem dos Conectores onde são adicionadas no assistente. Se for adicionado outro Conector através do assistente, as Regras de Sincronização serão reordenadas e as regras do novo Conector serão inseridas por último em cada grupo.
Juntar tudo
Agora sabemos o suficiente sobre as Regras de Sincronização para sermos capazes de entender como a configuração funciona com as diferentes Regras de Sincronização. Se olharmos para um utilizador e para os atributos que são contribuídos para o metaverso, as regras são aplicadas na seguinte ordem:
Nome |
Comentário |
In from AD – User Join |
Regra para unir objetos espaciais do conector com metaverso. |
In from AD – UserAccount Enabled |
Atributos necessários para o início de sessão Azure AD e Office 365. Queremos estes atributos a partir da conta ativada. |
In from AD – User Common from Exchange |
Atributos encontrados na Lista Global de Endereços. Assumimos que a qualidade dos dados é a melhor na floresta onde encontramos a caixa de correio do utilizador. |
In from AD – User Common |
Atributos encontrados na Lista Global de Endereços. Caso não tenhamos encontrado uma caixa de correio, qualquer outro objeto associado pode contribuir com o valor do atributo. |
In from AD – User Exchange |
Só existirá se Exchange for detetado. Fluirá todas as infraestruturas Exchange atributos. |
In from AD – User Lync |
Só existirá se lync for detetado. Irá fluir todos os atributos da Lync em infraestrutura. |
Outras coisas a notar
Terminaremos este documento olhando para um fluxo de atributos particular.
cloudFiltered
Este fluxo de atributos pode ser encontrado no In a partir de AD – Junte-se ao Utilizador. Apesar de não ser necessário aderir, é colocada nesta regra, uma vez que é fundamental. Todas as Regras de Sincronização de saída têm um filtro de âmbito no atributo cloudFiltered e veremos como usá-lo para filtragem adicional em um documento diferente. Este fluxo irá por predefinição filtrar uma série de objetos que não aparecerão na nuvem. A barra vertical dupla || na expressão abaixo é um OR lógico.
// if-then-else
IIF(
// Don’t synchronize default AD objects, such as Administrator
IsPresent([isCriticalSystemObject]) ||
// Don’t synchronize objects with no sAMAccountName set
IsPresent([sAMAccountName]) = False ||
// Don’t synchronize these special Exchange mailboxes
[sAMAccountName] = "SUPPORT_388945a0" ||
Left([mailNickname], 14) = "SystemMailbox{" ||
(Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)) ||
(Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}") > 0)) ||
// Don’t synchronize Exchange system mailboxes
CBool(IIF(IsPresent([msExchRecipientTypeDetails]),
BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL)) ||
// Don’t synchronize the Azure Active Directory Sync/DirSync service accounts
Left([sAMAccountName], 4) = "AAD_" || Left([sAMAccountName], 5) = "MSOL_" ||
// Don’t synchronize replication conflict objects
CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0),
// Then, If any of these OR clauses is True, then flow “True”
True,
// Else, if not, then don’t flow anything
NULL
)