Djupdykning i molnsynkronisering – så här fungerar det

Översikt över komponenter

Molnsynkronisering bygger på Microsoft Entra-tjänsterna och har två viktiga komponenter:

• Etableringsagent: Microsoft Entra Connect-molnetableringsagenten är samma agent som Workday inkommande och bygger på samma teknik på serversidan som appproxy och direktautentisering. Det kräver endast en utgående anslutning och agenter är automatiskt inaktuella.
• Etableringstjänst: Samma etableringstjänst som utgående etablering och Workday-inkommande etablering, som använder en scheduler-baserad modell. Molnsynkroniseringsbestämmelser ändras var 2:e minut.

Inledande installation

Under den inledande installationen görs några saker som gör att molnsynkronisering sker.

• Under agentinstallationen: Du konfigurerar agenten för de AD-domäner som du vill etablera från. Den här konfigurationen registrerar domänerna i hybrididentitetstjänsten och upprättar en utgående anslutning till servicebussen som lyssnar efter begäranden.
• När du aktiverar etablering: Du väljer AD-domänen och aktiverar etablering, som körs var 2:e minut. Du kan också avmarkera synkronisering av lösenordshash och definiera e-postavisering. Du kan också hantera attributtransformering med hjälp av Microsoft Graph-API:er.

Agentinstallation

Följande objekt inträffar när molnetableringsagenten installeras.

• Installationsprogrammet installerar binärfilerna Agent och agenttjänsten som körs under det virtuella tjänstkontot (NETWORK SERVICE\AADProvisioningAgent). Ett virtuellt tjänstkonto är en särskild typ av konto som inte har något lösenord och som hanteras av Windows.
• Installationsprogrammet startar sedan guiden.
• Guiden frågar efter Microsoft Entra-autentiseringsuppgifter, autentiserar och hämtar sedan en token.
• Guiden frågar sedan efter de aktuella autentiseringsuppgifterna för datordomänadministratörer.
• Agentens allmänna hanterade tjänstkonto (GMSA) för den här domänen skapas eller finns och återanvänds om det redan finns.
• Agenttjänsten har nu konfigurerats om för att köras under GMSA.
• Guiden ber nu om domänkonfiguration tillsammans med Enterprise Admin (EA)/Domain Admin(DA)-kontot för varje domän som du vill att agenten ska betjäna.
• GMSA-kontot uppdateras sedan med behörigheter som ger det åtkomst till varje domän som angavs under installationen.
• Därefter utlöser guiden agentregistrering
• Agenten skapar ett certifikat och använder Microsoft Entra-token, registrerar sig och certifikatet med registreringstjänsten Hybrid Identity Service (HIS)
• Guiden utlöser ett AgentResourceGrouping-anrop. Det här anropet till HIS Admin Service är att tilldela agenten till en eller flera AD-domäner i HIS-konfigurationen.
• Nu startar guiden om agenttjänsten.
• Agenten anropar en Bootstrap-tjänst vid omstart (och var 10:e minut efteråt) för att söka efter konfigurationsuppdateringar. Bootstrap-tjänsten validerar agentidentiteten. Den uppdaterar också den senaste bootstrap-tiden. Det här är viktigt eftersom om agenter inte startar, får de inte uppdaterade Service Bus-slutpunkter och kanske inte kan ta emot begäranden.

Vad är System for Cross-domain Identity Management (SCIM)?

SCIM-specifikationen är en standard som används för att automatisera utbytet av användar- eller gruppidentitetsinformation mellan identitetsdomäner som Microsoft Entra-ID. SCIM håller på att bli standard för etablering och ger administratörer en standardbaserad lösning för åtkomsthantering från slutpunkt till slutpunkt när den används med federationsstandarder som SAML eller OpenID Connect.

Microsoft Entra Connect-molnetableringsagenten använder SCIM med Microsoft Entra-ID för att etablera och avetablera användare och grupper.

Synkroniseringsflöde

När du har installerat agenten och aktiverat etablering sker följande flöde.

1. När microsoft Entra-etableringstjänsten har konfigurerats anropas Microsoft Entra-hybridtjänsten för att lägga till en begäran i Service Bus. Agenten underhåller ständigt en utgående anslutning till Service Bus som lyssnar efter begäranden och hämtar SCIM-begäran (System for Cross-Domain Identity Management) omedelbart.
2. Agenten delar upp begäran i separata frågor baserat på objekttyp.
3. AD returnerar resultatet till agenten och agenten filtrerar dessa data innan de skickas till Microsoft Entra-ID.
4. Agenten returnerar SCIM-svaret till Microsoft Entra-ID. Dessa svar baseras på filtreringen som skedde i agenten. Agenten använder omfång för att filtrera resultatet.
5. Etableringstjänsten skriver ändringarna i Microsoft Entra-ID:t.
6. Om en deltasynkronisering inträffar, i motsats till en fullständig synkronisering, används cookien/vattenstämpeln. Nya frågor får ändringar från cookien/vattenstämpeln och framåt.

Scenarier som stöds:

Följande scenarier stöds för molnsynkronisering.

• Befintlig hybridkund med en ny skog: Microsoft Entra Connect Sync används för primära skogar. Molnsynkronisering används för etablering från en AD-skog (inklusive frånkopplad). Mer information finns i självstudien här.

• Ny hybridkund: Microsoft Entra Connect Sync används inte. Molnsynkronisering används för etablering från en AD-skog. Mer information finns i självstudien här.

• Befintlig hybridkund: Microsoft Entra Connect Sync används för primära skogar. Molnsynkronisering testas för en liten uppsättning användare i de primära skogarna här.

Mer information finns i Topologier som stöds.

Nästa steg

• Vad är etablering?
• Vad är Microsoft Entra molnsynkronisering?