云同步深入探讨 - 工作原理
组件概览
云同步建立在 Microsoft Entra 服务之上,有两个关键组件:
- 预配代理:Microsoft Entra Connect 云预配代理与 Workday 入站相同,建立在与应用代理和直通身份验证相同的服务器端技术上。 它只需要出站连接,而代理会自动更新。
- 预配服务:与出站预配和 Workday 入站预配相同的预配服务,它使用基于计划程序的模型。 云同步预配每 2 分钟更改一次。
初始设置
在初始安装过程中,将完成一些操作,使云同步发生。
- 在代理安装过程中:为要从中进行预配的 AD 域配置代理。 此配置将在混合标识服务中注册域,并建立与侦听请求的服务总线的出站连接。
- 在启用预配时:选择 AD 域并启用预配,它每 2 分钟运行一次。 或者,你可以取消选择“密码哈希同步”和“定义通知电子邮件”。 你还可以使用 Microsoft Graph API 来管理属性转换。
代理安装
在安装云预配代理时,会出现以下情况。
- 安装程序将安装代理二进制文件和在虚拟服务帐户下运行的代理服务 (NETWORK SERVICE\AADProvisioningAgent)。 虚拟服务帐户是一种特殊类型的帐户,它没有密码且由 Windows 管理。
- 然后,安装程序将启动向导。
- 向导会提示输入 Microsoft Entra 凭据,然后进行身份验证并检索令牌。
- 然后,向导要求提供当前计算机域管理员凭据。
- 可以创建或查找此域的代理常规托管服务帐户 (GMSA),如果该帐户已存在,则重复使用。
- 现在,将重新配置代理服务以在 GMSA 下运行。
- 向导现在要求提供域配置,同时为你希望代理服务的每个域提供企业管理员 (EA)/域管理员 (DA) 帐户。
- 然后,使用支持其访问设置期间输入的每个域的权限更新 GMSA 帐户。
- 接下来,向导将触发代理注册
- 代理会创建一个证书并使用 Microsoft Entra 令牌,使用混合标识服务 (HIS) 注册服务注册自己和证书
- 向导将触发 AgentResourceGrouping 调用。 对 HIS 管理服务的此调用是将代理分配给 HIS 配置中的一个或多个 AD 域。
- 向导现在会重启代理服务。
- 代理会在重启时(此后每 10 分钟一次)调用启动服务,以检查配置更新。 启动服务将验证代理标识。 它还会更新上次启动时间。 这一点非常重要,因为如果代理未启动,则它们不会获取更新的服务总线终结点,并且可能无法接收请求。
什么是跨域身份管理系统 (SCIM)?
SCIM 规范是一种标准,用于在标识域(如 Aicrosoft Entra ID)之间自动交换用户或组标识信息。 SCIM 正在成为事实上的预配标准,在与联合标准(例如 SAML 或 OpenID Connect)结合使用时,可为管理员提供基于标准的端到端访问权限管理解决方案。
Microsoft Entra Connect 云预配代理使用具有Microsoft Entra ID 的 SCIM 以预配和取消预配用户和组。
同步流
安装代理并启用预配后,会发生以下流。
- 配置后,Microsoft Entra 预配服务将调用 Microsoft Entra 混合服务,以将请求添加到服务总线。 代理会持续保持与侦听请求的服务总线的出站连接,并立即选取跨域身份管理系统 (SCIM) 请求。
- 代理会根据对象类型将请求分解为单独的查询。
- AD 会将结果返回给代理,代理会在将此数据发送到 Microsoft Entra ID 之前对其进行筛选。
- 代理将 SCIM 响应返回到 Microsoft Entra ID。 这些响应基于在代理内进行的筛选。 代理使用范围来筛选结果。
- 预配服务会将更改写入 Microsoft Entra ID。
- 如果发生增量同步,而不是完全同步,则使用 Cookie/水印。 新查询会从该 Cookie/水印获取更改。
支持的方案:
云同步支持以下方案。
- 具有新林的现有混合客户:Microsoft Entra Connect 同步用于主林。 云同步用于从 AD 林进行预配(包括断开连接)。 有关详细信息,请参阅此处的教程。
- 新的混合客户:不使用 Microsoft Entra Connect 同步。 云同步用于从 AD 林进行预配。 有关详细信息,请参阅此处的教程。
- 现有混合客户:Microsoft Entra Connect 同步用于主林。 此处将对主林中的一小部分用户进行云同步试验。
有关详细信息,请参阅支持的拓扑。