Microsoft Entra Connect Sync:技术概念
本文总结了 了解体系结构的主题。
Microsoft Entra Connect Sync 基于稳固的元目录同步平台进行构建。 以下部分介绍元目录同步的概念。 Azure Active Directory 同步服务提供了一个用于连接到数据源、在数据源之间同步数据以及预配和取消预配标识的平台。
以下部分提供有关同步服务的以下方面的详细信息:
- 连接器
- 属性流
- 连接器空间
- Metaverse
- 供应
连接器
用于与连接目录通信的代码模块称为连接器(以前称为管理代理 (MA))。
这些连接器安装在运行 Microsoft Entra Connect Sync 的计算机上。它们通过使用远程系统协议,无需依赖专用代理的部署,就可以实现无代理通信功能。 这意味着降低了风险和部署时间,尤其是在处理关键应用程序和系统时。
在上图中,连接器与连接器空间同义,但包含与外部系统的所有通信。
连接器负责到系统的所有导入和导出功能,并且当使用声明性设置自定义数据转换时,使开发人员无需了解如何通过本机连接到每个系统。
导入和导出仅在计划时发生,由于更改不会自动传播到已连接数据源,因此使得能够进一步避免更改发生在系统中。 此外,开发人员还可以创建自己的连接器,用于连接到几乎任何数据源。
属性流
metaverse 是相邻连接器空间中的所有已联接标识的合并视图。 在前图中,属性流是由带箭头的表示入站和出站流的线条描绘的。 属性流是数据在不同系统之间的复制或转换过程,包括所有属性流(无论是入站还是出站)。
当计划运行同步(完整或增量)操作时,属性流在连接器空间和 metaverse 之间双向发生。
仅当运行这些同步时,才会发生属性流。 属性流在同步规则中定义。 这些属性流可以是入站(前图所示 ISR)或出站(前图所示 OSR)。
连接的系统
连接的系统是指 Microsoft Entra Connect Sync 连接到的远程系统,会从该系统中读取标识数据并将其写入此数据。
连接器空间
每个连接的数据源都表示为连接器空间中对象和属性的筛选子集。 这样,同步服务就可以在本地运行,而无需在同步对象时联系远程系统,并将交互限制为仅导入和导出。
当数据源和连接器具有提供更改列表(增量导入)的功能时,则操作效率作为仅有的更改会显著增加,因为最后一个轮询周期进行了交换。 连接器空间通过要求连接器计划导入和导出保护已连接数据源免于进行自动传播的更改。 这增加了保险,可让你在测试、预览或确认下一次更新时放心。
Metaverse
metaverse 是相邻连接器空间中的所有已联接标识的合并视图。
由于标识互相关联,并通过导入流程映射为各种属性分配权限,中心元宇宙对象开始从多个系统聚合信息。 通过此对象属性流,映射将信息携带到出站系统。
对象是在权威系统将它们投影到元宇宙时创建的。 删除所有连接后,即会删除 Metaverse 对象。
无法直接编辑 Metaverse 中的对象。 对象中的所有数据都必须通过属性流提供。 metaverse 为每个连接器空间维护永久性连接器。 每次同步运行,这些连接器不需要重新评估。 这意味着 Microsoft Entra Connect Sync 每次都不必找到匹配的远程对象。 这样就避免了对成本高昂的代理的需求,以防止对通常负责关联对象的属性进行更改。
当发现有新的数据源具有先前存在且需要管理的对象时,Microsoft Entra Connect Sync 会使用一个称为“联接规则”的进程来评估要与之建立链接的潜在候选者。 建立链接后,此评估不会再次出现,远程连接的数据源和 Metaverse 之间可以进行正常的属性流动。
供应
当权威源将新对象投影到 metaverse 中时,可以在表示下游连接的数据源的另一个连接器中创建新的连接器空间对象。
这固有地建立了一个链接,属性流可以双向进行。
每当规则确定需要创建新的连接器空间对象时,都会将其称为预配。 但是,由于此操作仅在连接器空间中进行,因此在执行导出之前,它不会传递到连接的数据源中。