Поделиться через

Microsoft Entra Connect Sync: общие сведения об архитектуре

  • Статья

В этой статье описывается базовая архитектура microsoft Entra Connect Sync. Если вы знакомы с более ранними технологиями синхронизации удостоверений, содержимое этой статьи также может быть знакомо вам. Если вы не знакомы с синхронизацией, эта статья подходит для вас. Не обязательно знать подробности этой статьи, чтобы успешно настроить Microsoft Entra Connect Sync (в этой статье называется подсистемой синхронизации).

Архитектура

Модуль синхронизации создает интегрированное представление объектов, хранящихся в нескольких подключенных источниках данных, и управляет сведениями об удостоверениях в этих источниках данных. Сведения об удостоверениях, полученные из подключенных источников данных, определяют это интегрированное представление. Набор правил определяет, как обрабатывать эти сведения.

Подключенные источники данных и соединители

Подсистема синхронизации обрабатывает сведения об удостоверениях из разных репозиториев данных, таких как Active Directory или база данных SQL Server. Каждый репозиторий данных, который упорядочивает свои данные в формате, аналогичном базе данных, и который предоставляет стандартные методы доступа к данным, является потенциальным кандидатом источника данных для подсистемы синхронизации. Репозитории данных, синхронизированные подсистемой синхронизации, называются подключенные источники данных или подключенные каталоги (CD).

Движок синхронизации инкапсулирует взаимодействие с подключенным источником данных в модуле, который называется коннектором. Каждый тип подключенного источника данных имеет определенный соединитель. Соединитель преобразует требуемую операцию в формат, который понимает подключенный источник данных.

Соединители вызывают API для обмена данными об удостоверениях (как для чтения, так и записи) с подключенным источником данных. Кроме того, можно добавить настраиваемый соединитель с помощью расширяемой платформы подключения. На следующем рисунке показано, как соединитель подключает подключенный источник данных к подсистеме синхронизации.

Диаграмма показывает подключенный источник данных и подсистему синхронизации, связанную линией по имени Connector.

Данные могут перемещаться в любом направлении, но они не могут перемещаться в обоих направлениях одновременно. Соединитель можно настроить, чтобы разрешить поток данных из подключенного источника данных в механизм синхронизации или из механизма синхронизации в подключенный источник данных. Но только одна из этих операций может выполняться в любое время для одного объекта и атрибута. Направление может отличаться для разных объектов и для различных атрибутов.

Чтобы настроить соединитель, укажите типы объектов, которые требуется синхронизировать. Указание типов объектов определяет область объектов, включенных в процесс синхронизации. Следующим шагом является выбор атрибутов для синхронизации, который называется списком включения атрибутов. Эти параметры можно изменить в любое время в ответ на изменения бизнес-правил. При использовании мастера установки Microsoft Entra Connect эти параметры настраиваются для вас.

Чтобы экспортировать объекты в подключенный источник данных, список включения атрибутов должен содержать по крайней мере минимальные атрибуты, необходимые для создания определенного типа объекта в подключенном источнике данных. Например, атрибут sAMAccountName должен быть включен в список включения атрибутов, чтобы экспортировать объект пользователя в Active Directory, так как все пользовательские объекты в Active Directory должны иметь определенный атрибут sAMAccountName. Опять же, мастер установки выполняет эту настройку.

Если подключенный источник данных использует структурные компоненты, такие как секции или контейнеры для упорядочивания объектов, можно ограничить области в подключенном источнике данных, используемом для данного решения.

Внутренняя структура пространства имен подсистемы синхронизации

Все пространство имен подсистемы синхронизации состоит из двух пространств имен, в которых хранятся сведения об идентификации. Эти два пространства имен следующие:

  • Пространство соединителя (CS)
  • Метавселенная (MV)

Пространство соединителя — это промежуточная область, содержащая представления назначенных объектов из подключенного источника данных и атрибуты, указанные в списке включения атрибутов. Подсистема синхронизации использует пространство подключения для определения изменений в подключенном источнике данных и подготовки входящих изменений. Подсистема синхронизации также использует область соединителя для подготовки исходящих изменений для экспорта в подключенный источник данных. Подсистема синхронизации поддерживает отдельную область соединителя как промежуточное пространство для каждого коннектора.

Используя промежуточную область, движок синхронизации остается независимым от подключенных источников данных и не зависит от их доступности и доступности. В результате вы можете в любое время обрабатывать идентификационные данные с помощью данных в буферной зоне. Подсистема синхронизации может запрашивать только изменения, внесенные внутри подключенного источника данных, с момента завершения последнего сеанса связи или отправлять только изменения в сведения об удостоверениях, которые подключенный источник данных еще не получил, что снижает сетевой трафик между подсистемой синхронизации и подключенным источником данных.

Кроме того, подсистема синхронизации сохраняет сведения о состоянии всех объектов, которые он выполняет в пространстве соединителя. При получении новых данных подсистема синхронизации всегда оценивает, были ли данные уже синхронизированы.

метавселенная — это область хранения, содержащая агрегированную идентификационную информацию из нескольких подключенных источников данных, предоставляющая единое глобальное интегрированное представление всех объединённых объектов. Объекты метавселенной создаются на основе информации об идентичности, извлеченной из подключенных источников данных, и набора правил, позволяющих кастомизировать процесс синхронизации.

На следующем рисунке показано пространство имен соединителя и пространство имен метавселенной в рамках подсистемы синхронизации.

На диаграмме показаны подключенный источник данных и механизм синхронизации, которые разделены на пространство соединителя и пространства имен метавселенной, соединенные линией, называемой Connector.

Объекты идентичности механизмa синхронизации

Объекты в подсистеме синхронизации представляют собой либо объекты из подключенного источника данных, либо интегрированное представление этих объектов, сформированное подсистемой синхронизации. Каждый объект подсистемы синхронизации должен иметь глобальный уникальный идентификатор (GUID). Идентификаторы GUID обеспечивают целостность данных и экспресс-связи между объектами.

Объекты пространства соединителя

Когда модуль синхронизации взаимодействует с подключенным источником данных, он считывает идентификационную информацию из подключенного источника данных и использует эту информацию для создания представления объекта идентификации в пространстве соединителя. Невозможно создать или удалить эти объекты по отдельности. Однако можно вручную удалить все объекты в пространстве соединителя.

Все объекты в пространстве соединителя имеют два атрибута:

  • Глобальный уникальный идентификатор (GUID)
  • Различающееся имя (также известное как DN)

Если подключенный источник данных назначает объекту уникальный атрибут, объекты в пространстве соединителя также могут иметь атрибут привязки. Атрибут привязки однозначно идентифицирует объект в подключенном источнике данных. Подсистема синхронизации использует привязку для поиска соответствующего представления этого объекта в подключенном источнике данных. Подсистема синхронизации предполагает, что привязка объекта никогда не изменяется в течение всего времени существования объекта.

Многие соединители используют известный уникальный идентификатор для автоматического создания привязки для каждого объекта при импорте. Например, соединитель Active Directory использует атрибут objectGUID для привязки. Для подключенных источников данных, которые не предоставляют четко определенный уникальный идентификатор, можно указать создание привязки в рамках конфигурации соединителя.

В этом случае привязка создается из одного или нескольких уникальных атрибутов типа объекта, ни одного из которых не изменяется, и это однозначно идентифицирует объект в пространстве соединителя (например, номер сотрудника или идентификатор пользователя).

Объект пространства соединителя может быть одним из следующих:

  • Подготовительный объект
  • Заполнитель

Промежуточные объекты

Промежуточный объект представляет экземпляр назначенных типов объектов из подключенного источника данных. Помимо GUID и различающегося имени промежуточный объект всегда имеет значение, указывающее тип объекта.

Промежуточные объекты, которые импортированы, всегда имеют значение для атрибута привязки. Промежуточные объекты, которые недавно подготовлены подсистемой синхронизации и находятся в процессе создания в подключенном источнике данных, не имеют значения для атрибута привязки.

Промежуточные объекты также содержат текущие значения бизнес-атрибутов и операционные сведения, необходимые подсистеме синхронизации для выполнения процесса синхронизации. Операционная информация содержит флаги, указывающие тип обновлений, которые выполняются в промежуточном объекте. Если промежуточный объект получил новую идентификационную информацию из подключенного источника данных, которая еще не обработана, объект помечается как ожидает импорта. Если промежуточный объект содержит новые данные удостоверений личности, которые еще не экспортированы в подключенный источник данных, он помечается как в ожидании экспорта.

Промежуточный объект может быть объектом импорта или объектом экспорта. Подсистема синхронизации создает объект импорта с помощью информации об объекте, полученной из подключенного источника данных. Когда подсистема синхронизации получает сведения о существовании нового объекта, соответствующего одному из типов объектов, выбранных в соединителе, он создает объект импорта в пространстве соединителя в качестве представления объекта в подключенном источнике данных.

На следующем рисунке показан объект импорта, представляющий объект в подключенном источнике данных.

на схеме показан объект импорта, перенесенный из подключенного источника данных в пространство имен пространства соединителя в подсистеме синхронизации.

Подсистема синхронизации создает объект экспорта с помощью сведений об объектах в метавселенной. Объекты будут экспортированы в подключенный источник данных во время следующей коммутационной сессии. С точки зрения движка синхронизации объекты экспорта ещё не существуют в подключенном источнике данных. Поэтому атрибут привязки для объекта экспорта недоступен. После получения объекта из подсистемы синхронизации подключенный источник данных создает уникальное значение для атрибута привязки объекта.

На следующем рисунке показано, как создается экспортируемый объект с помощью идентификационных данных в метавселенной.

Схема показывает, как объект экспорта перемещается из метавселенной в пространство имен области соединения, а затем в подключенный источник данных.

Движок синхронизации подтверждает экспорт объекта путем повторного импорта объекта из подключенного источника данных. Экспортируемые объекты становятся объектами импорта, когда подсистема синхронизации получает их во время следующего импорта из соответствующего источника данных.

Заполнители

Подсистема синхронизации использует неструктурированное пространство имен для хранения объектов. Однако некоторые подключенные источники данных, такие как Active Directory, используют иерархическое пространство имен. Чтобы преобразовать сведения из иерархического пространства имен в неструктурированное пространство имен, подсистема синхронизации использует заполнители для сохранения иерархии.

Каждый заполнитель представляет собой компонент, например, организационное подразделение, из иерархического имени объекта, которое не импортируется в движок синхронизации, но необходимо для построения иерархического имени. Они заполняют пробелы, созданные ссылками в подключенном источнике данных к объектам, которые не являются промежуточными объектами в пространстве соединителя.

Обработчик синхронизации также использует заполнители для хранения ссылочных объектов, которые еще не импортированы. Например, если синхронизация настроена для включения атрибута диспетчера для объекта Abbie Spencer, а полученное значение — объект, который еще не импортирован, например CN=Lee Sperry,CN=Users,DC=fabrikam,DC=com, сведения о диспетчере хранятся в качестве заполнителей в пространстве соединителя. Если объект менеджера будет импортирован позже, объект-заполнитель будет перезаписан объектом подготовки, который представляет менеджера.

Объекты метавселенной

Объект метавселенной содержит агрегированное представление, которое имеет подсистема синхронизации о промежуточных объектах в пространстве соединителя. Подсистема синхронизации создает объекты метавселенной на основе сведений в объектах импорта. Несколько объектов пространства соединителя могут быть связаны с одним объектом метавселенной, но объект пространства соединителя не может быть связан с несколькими объектами метавселенной.

Объекты метавселенной не могут быть созданы вручную или удалены. Подсистема синхронизации автоматически удаляет объекты метавселенной, не имеющие ссылки на любой объект в пространстве соединителя.

Чтобы сопоставить объекты в подключенном источнике данных с соответствующим типом объекта в метавселенной, подсистема синхронизации предоставляет расширяемую схему с предопределенным набором типов объектов и связанных атрибутов. Можно создать новые типы объектов и атрибуты для метавселенной. Атрибуты могут быть однозначными или многозначными, а типы атрибутов могут быть строками, ссылками, числами и логическими значениями.

Связи между промежуточными объектами и метавселенными объектами

В пространстве имен системы синхронизации поток данных активируется за счет связи между промежуточными объектами и объектами метавселенной. Промежуточный объект, связанный с объектом метавселенной, называется присоединенным объектом (или объектом-соединителем ). Промежуточный объект, не связанный с объектом метавселенной, называется разъединённым объектом (или объектом-отсоединителем). Термины, связанные и отсоединенные, предпочитаются, чтобы не путать их с соединителями, которые отвечают за импорт и экспорт данных из подключенного каталога.

Заполнители никогда не связаны с объектом метавселенной

Объединенный объект состоит из промежуточного объекта и его связи с единичным объектом метавселенной. Присоединенные объекты используются для синхронизации значений атрибутов между объектом пространства соединителя и метавселенной.

Когда промежуточный объект становится присоединенным во время синхронизации, атрибуты могут передаваться между промежуточным объектом и метавселенной. Поток атрибутов двунаправленен и настраивается с помощью правил импорта атрибутов и правил экспорта атрибутов.

Один объект пространства соединителя может быть связан только с одним объектом метавселенной. Однако каждый объект метавселенной может быть связан с несколькими объектами пространства соединителя в одном или нескольких пространствах соединителей, как показано на следующем рисунке.

на схеме показаны два подключенных объекта данных, связанных соединителями с подсистемой синхронизации, которая объединяет объекты и несвязанный объект.

Только указанные вами правила могут удалять устойчивые связанные отношения между промежуточным объектом и объектом метавселенной.

Несоединенный объект — это промежуточный объект, который не связан с каким-либо объектом метавселенной. Значения атрибутов несвязанного объекта больше не обрабатываются в метавселенной. Значения атрибутов соответствующего объекта в подключенном источнике данных не обновляются подсистемой синхронизации.

Используя несвязанные объекты, вы можете хранить сведения об удостоверениях в подсистеме синхронизации и обрабатывать их позже. Сохранение промежуточного объекта в качестве несвязанного объекта в пространстве соединителя имеет множество преимуществ. Так как система настроили необходимые сведения об этом объекте, не обязательно создать представление этого объекта еще раз во время следующего импорта из подключенного источника данных. Таким образом, подсистема синхронизации всегда имеет полный снимок подключенного источника данных, даже если текущее подключение к подключенному источнику данных отсутствует. Несвязанные объекты можно преобразовать в присоединенные объекты, и наоборот, в зависимости от заданных правил.

Объект импорта создается как несвязанный объект. Объект экспорта должен быть присоединенным объектом. Системная логика применяет это правило и удаляет каждый объект экспорта, который не является присоединенным объектом.

Процесс управления идентичностями механизма синхронизации

Процесс управления идентификацией определяет, как информация об идентификации обновляется между различными подключенными источниками данных. Управление идентификацией осуществляется в трех процессах:

  • Импорт
  • Синхронизация
  • Экспорт

Во время процесса импорта движок синхронизации оценивает входящую информацию об идентичности из подключенного источника данных. При обнаружении изменений он создает новые промежуточные объекты или обновляет существующие промежуточные объекты в пространстве соединителя для синхронизации.

Во время процесса синхронизации подсистема синхронизации обновляет метавселенную, чтобы отразить изменения в пространстве соединителя. Он также обновляет пространство соединителя для отражения изменений в метавселенной.

Во время процесса экспорта подсистема синхронизации отправляет изменения, которые размещаются на промежуточных объектах и помечены как ожидающие экспорта.

На следующем рисунке показано, где каждый из процессов происходит по мере перемещения информации об идентификации из одного подключенного источника данных к другому.

на схеме показан поток информации об идентификации из подключенных данных в пространство соединителя (импорт), в пространство метавселенной, затем снова в пространство соединителя (синхронизация), и обратно к подключенным данным (экспорт).

Процесс импорта

Во время импорта подсистема синхронизации оценивает обновления сведений об удостоверениях. Подсистема синхронизации сравнивает сведения об удостоверениях, полученные из подключенного источника данных, с сведениями об удостоверениях промежуточного объекта. Определяется, требуется ли промежуточному объекту обновление. Если необходимо обновить промежуточный объект с новыми данными, промежуточный объект помечается как ожидающий импорт.

При промежуточном размещении объектов в пространстве соединителя перед синхронизацией, движок синхронизации может обрабатывать только измененную идентификационную информацию. Этот процесс обеспечивает следующие преимущества:

  • эффективная синхронизация. Объем данных, обработанных во время синхронизации, минимизируется.
  • эффективная повторная синхронизация. Вы можете изменить способ обработки сведений об удостоверениях в подсистеме синхронизации без необходимости её повторного подключения к источнику данных.
  • возможность предварительного просмотра синхронизации. Вы можете предварительно просмотреть синхронизацию, чтобы убедиться, что предположения о процессе управления идентификацией верны.

Для каждого объекта, указанного в Коннекторе, движок синхронизации сначала пытается найти представление объекта в пространстве коннектора. Подсистема синхронизации проверяет все промежуточные объекты в пространстве соединителя и пытается найти соответствующий промежуточный объект с соответствующим атрибутом привязки. Если у существующего промежуточного объекта нет соответствующего атрибута привязки, подсистема синхронизации пытается найти соответствующий промежуточный объект с тем же различающимся именем.

Когда движок синхронизации находит объект на этапе подготовки, соответствующий по отличительному имени, но не по привязке, наблюдается следующее особое поведение:

  • Если объект, расположенный в пространстве соединителя, не имеет привязки, подсистема синхронизации удаляет этот объект из пространства соединителя и помечает объект метавселенной, связанный с повторной подготовкой при следующем запуске синхронизации. Затем он создает новый объект импорта.
  • Если объект, расположенный в пространстве соединителя, имеет привязку, подсистема синхронизации предполагает, что этот объект переименован или удален в подключенном каталоге. Он назначает временное, новое уникальное имя для объекта пространства соединителя, чтобы обеспечить этапирование входящего объекта. Затем старый объект становится временным, ожидая, пока соединитель не выполнит импорт переименования или удаления, чтобы разрешить ситуацию.

Временные объекты не всегда являются проблемой, и их можно увидеть даже в здоровой среде. С API конечной точки Синхронизации Microsoft Entra Connect версии 2, временные объекты должны автоматически применяться в последующих циклах разностной синхронизации. Типичный пример, где можно обнаружить временные объекты, создаваемые на серверах Microsoft Entra Connect, установленных в промежуточном режиме. Это происходит, когда администратор окончательно удаляет объект непосредственно в идентификаторе Microsoft Entra с помощью PowerShell, а затем снова синхронизирует объект.

Если подсистема синхронизации находит промежуточный объект, соответствующий объекту, указанному в соединителе, он определяет, какие изменения следует применить. Например, подсистема синхронизации может переименовать или удалить объект в подключенном источнике данных или обновить только значения атрибутов объекта.

Промежуточные объекты с обновленными данными помечаются как ожидающие импорт. Доступны различные типы ожидающих импортов. В зависимости от результата процесса импорта промежуточный объект в пространстве соединителя имеет один из следующих типов импорта, ожидающих выполнения:

  • Нет. Никакие изменения в атрибутах промежуточного объекта недоступны. Подсистема синхронизации не помечает этот тип как ожидающий импорт.
  • Добавить. Промежуточный объект — это новый объект импорта в пространстве соединителя. Модуль синхронизации помечает этот тип как ожидающий импорт для дополнительной обработки в метавселенной.
  • Обновление. Подсистема синхронизации находит соответствующий промежуточный объект в пространстве соединителя и помечает этот тип как ожидающий импорт, чтобы обновления атрибутов можно было обрабатывать в метавселенной. Обновления включают переименование объектов.
  • Удалить. Подсистема синхронизации находит соответствующий промежуточный объект в пространстве соединителя и помечает этот тип как ожидающий импорт, чтобы можно было удалить присоединенный объект.
  • удалить или добавить. Подсистема синхронизации находит соответствующий промежуточный объект в пространстве соединителя, но типы объектов не соответствуют. В этом случае планируется изменение, предусматривающее удаление и добавление. Изменение типа объекта при удалении и добавлении указывает механизму синхронизации, что требуется полная повторная синхронизация этого объекта, поскольку при изменении типа применяются разные наборы правил.

Задав состояние ожидающего импорта промежуточного объекта, можно значительно сократить объем данных, обработанных во время синхронизации. Это позволяет системе обрабатывать только те объекты, которые имеют обновленные данные.

Процесс синхронизации

Синхронизация состоит из двух связанных процессов:

  • Входящая синхронизация, когда содержимое метавселенной обновляется с использованием данных из пространства соединителя.
  • Исходящая синхронизация, когда содержимое пространства соединителя обновляется с помощью данных в метавселенной.

Используя сведения, размещенные в пространстве соединителя, входящий процесс синхронизации создает интегрированное представление данных в метавселенной, хранящейся в подключенных источниках данных. Все промежуточные объекты или только те, у которых ожидается импорт данных, агрегируются в зависимости от того, как настроены правила.

Процесс исходящей синхронизации обновляет объекты экспорта при изменении метавселенной объектов.

Входящая синхронизация создает интегрированное представление в метавселенной информации об идентификации, полученной из подключенных источников данных. Подсистема синхронизации может обрабатывать информацию об идентификации в любое время, используя последние данные, которые она имеет из подключенного источника данных.

входная синхронизация

Входящие синхронизации включают следующие процессы:

  • Поставка (также называется проекция, если важно отличить этот процесс от синхронизации исходящего предоставления). Подсистема синхронизации создает новый метавселенной объект на основе промежуточного объекта и связывает их. Обеспечение — это операция уровня объекта.
  • Присоединяйся к . Подсистема синхронизации связывает промежуточный объект с существующим объектом метавселенной. Соединение — это операция уровня объекта.
  • поток импорта атрибутов. Подсистема синхронизации обновляет значения атрибутов, называемые потоком атрибутов, объекта в метавселенной. Поток атрибутов импорта — это операция на уровне атрибута, требующая связи между промежуточным объектом и объектом метавселенной.

Подготовка — это единственный процесс, который создает объекты в метавселенной. Положение влияет только на объекты импорта, которые являются разъединенными объектами. Во время подготовки подсистема синхронизации создает метавселенной объект, соответствующий типу объекта импорта, и устанавливает связь между обоими объектами, таким образом создавая присоединенный объект.

Процесс соединения также устанавливает связь между объектами импорта и метавселенной. Процесс соединения требует, чтобы объект импорта был связан с существующим метаобъектом. Однако процесс подготовки создает новый объект метавселенной.

Подсистема синхронизации пытается присоединить объект импорта к объекту метавселенной с помощью условий, указанных в конфигурации правила синхронизации.

Во время процессов предоставления и объединения движок синхронизации связывает разъединённый объект с объектом метавселенной, делая их объединёнными. После завершения этих операций на уровне объекта подсистема синхронизации может обновить значения атрибутов связанного метавселенной объекта. Этот процесс называется потоком атрибутов импорта.

Поток атрибутов импорта происходит во всех объектах импорта, которые несут новые данные и связаны с объектом метавселенной.

Исходящая синхронизация

Исходящая синхронизация обновляет экспортируемые объекты, когда метаобъект изменяется, но не удаляется. Цель исходящей синхронизации — оценить, требуются ли изменения объектам метапространства для обновления промежуточных объектов в пространстве соединителей. В некоторых случаях изменения могут потребовать, чтобы промежуточные объекты во всех пространствах соединителей были обновлены. Промежуточные объекты, измененные, помечены как ожидающие экспорта, что делает их экспортируемыми объектами. Эти объекты экспорта позже отправляются в подключенный источник данных во время процесса экспорта.

Исходящая синхронизация состоит из трех процессов:

  • обеспечение
  • отключение ресурсов
  • поток атрибутов экспорта

Провизия и депровизия являются операциями на уровне объектов. Отмена назначения зависит от назначения, так как только назначение может инициировать ее. Отмена предоставления ресурсов происходит при удалении связи между объектом метавселенной и объектом экспорта.

Наладка всегда активируется при применении изменений к объектам в метавселенной. При внесении изменений в объекты метавселенной подсистема синхронизации может выполнять любые из следующих задач в рамках процесса подготовки:

  • Создайте связанные объекты, где объект метавселенной связан с вновь созданным объектом экспорта.
  • Переименуйте присоединенный объект.
  • Разъедините ссылки между объектом метавселенной и промежуточными объектами, создавая несвязанный объект.

Если для подготовки требуется обработчик синхронизации для создания нового объекта соединителя, промежуточный объект, связанный с объектом метавселенной, всегда является экспортом. Это связано с тем, что объект еще не существует в подключенном источнике данных.

Если для подготовки требуется, чтобы движок синхронизации отсоединил присоединенный объект, создавая несвязанный объект, отмена подготовки инициируется. Процесс депровизования удаляет объект.

При деактивации удаление объекта экспорта физически не удаляет объект. Объект помечен как подготовленный к удалению, что означает, что на объекте запланирована операция удаления.

Поток атрибутов экспорта также происходит во время процесса исходящей синхронизации, аналогично тому, как поток импорта атрибутов происходит во время входящего синхронизации. Поток атрибутов экспорта происходит только между метавселенной и экспортными объектами, связанными.

Процесс экспорта

Во время процесса экспорта подсистема синхронизации проверяет все объекты экспорта, помеченные как ожидающий экспорт в пространстве соединителя, а затем отправляет обновления в подключенный источник данных.

Подсистема синхронизации может определить успешность экспорта, но недостаточно определить, что процесс управления удостоверениями завершен. Другие процессы всегда могут изменять объекты в подключенном источнике данных. Так как подсистема синхронизации не имеет постоянного соединения с подключенным источником данных, недостаточно делать предположения о свойствах объекта в подключенном источнике данных, основанном только на успешном уведомлении об экспорте.

Например, процесс в подключенном источнике данных может изменить атрибуты объекта обратно на их исходные значения (т. е. подключенный источник данных может перезаписать значения сразу после отправки данных подсистемой синхронизации и успешно применяться в подключенном источнике данных).

Подсистема синхронизации хранит информацию о состоянии экспорта и импорта для каждого промежуточного объекта. Если значения атрибутов, указанные в списке включения атрибутов, изменились с момента последнего экспорта, хранилище состояния импорта и экспорта позволяет подсистеме синхронизации реагировать соответствующим образом. Подсистема синхронизации использует процесс импорта для подтверждения значений атрибутов, экспортированных в подключенный источник данных. Сравнение импортированных и экспортированных сведений, как показано на следующем рисунке, позволяет подсистеме синхронизации определить, был ли экспорт успешным или должен повторяться.

схема показывает синхронизацию объекта между пространством соединителя и подключенными данными через соединитель.

Например, если подсистема синхронизации экспортирует атрибут C, имеющий значение 5, в подключенный источник данных, он сохраняет C=5 в памяти состояния экспорта. Каждый дополнительный экспорт этого объекта приводит к попытке экспортировать C=5 в подключенный источник данных снова, так как подсистема синхронизации предполагает, что это значение не было постоянно применено к объекту (т. е. если не было импортировано другое значение недавно из подключенного источника данных). Память экспорта очищается при получении C=5 во время операции импорта объекта.

Дальнейшие действия

Дополнительные сведения о конфигурации синхронизации Microsoft Entra Connect.

Узнайте больше о интеграции локальных удостоверений с идентификатором Microsoft Entra ID.