Microsoft Entra 內部部署應用程式身分識別佈建架構
概觀
下圖概要說明內部部署應用程式佈建的運作方式。
有三個主要元件可將使用者佈建到內部部署應用程式:
- 佈建代理程式會提供 Microsoft Entra ID 和內部部署環境之間的連線。
- [可延伸連線能力 (ECMA)] 連接器主機會將佈建要求從 Microsoft Entra ID 轉換為對目標應用程式提出的要求。 其功用為 Microsoft Entra ID 與應用程式之間的閘道。 您可以用它匯入與 Microsoft Identity Manager 搭配使用的現有 ECMA2 連接器。 如已建置 SCIM 應用程式或 SCIM 閘道,則不需要 ECMA 主機。
- Microsoft Entra 佈建服務的作用為同步引擎。
注意
不需要 Microsoft Identity Manager 同步。 但是,您可以用它建置及測試 ECMA2 連接器,然後將其匯入 ECMA 主機。 ECMA2 連接器專屬於 MIM,其中 ECMA 主機指定用於佈建代理程式。
防火牆需求
不需要開啟連往公司網路的輸入連線。 佈建代理程式只會使用佈建服務的輸出連線,這表示不需要開啟輸入連線的防火牆連接埠。 您也不需要周邊 (DMZ) 網路,因為所有連線皆為輸出方向,並且是透過安全通道傳輸。
佈建代理程式所需的輸出端點詳細資料在這裡。
ECMA 連接器主機架構
ECMA 連接器主機有數個用來達到內部部署佈建的區域。 下圖是呈現這些個別區域的概念繪圖。 下表會更加詳細描述這些區域。
區域 | 描述 |
---|---|
端點 | 負責 Microsoft Entra 佈建服務的通訊和資料傳輸 |
記憶體內部快取 | 用以儲存從內部部署資料來源匯入的資料 |
自動同步 | 同步 ECMA 連接器主機與內部部署資料來源之間的非同步資料 |
商務規則 | 用以協調所有 ECMA 連接器主機活動。 自動同步時間可在 ECMA 主機中設定。 位在 [屬性] 頁面中。 |
關於錨點屬性和辨別名稱
提供下列資訊以進一步說明泛型SQL 連接器所使用的錨點屬性和辨別名稱。
錨點屬性是物件類型的唯一屬性,不會變更,且代表記憶體內部快取中的 ECMA 連接器主機物件。
辨別名稱 (DN) 能指出物件目前在目錄階層中的位置,是唯一識別物件的名稱。 或者,在磁碟分割中使用 SQL。 此名稱是由目錄資料分割根目錄的錨點屬性串連而成。
當以傳統格式想像傳統 DN 時,例如,Active Directory 或 LDAP,我們想到的是類似以下的內容:
CN=Lola Jacobson,CN=Users,DC=contoso,DC=com
但是,像 SQL 這種非階層式的單層資料來源,DN 必須已經存在於其中一份資料表中,或使用我們向 ECMA 連接器主機提供的資訊建立。
只要在設定 genericSQL 連接器時勾選 [自動產生] 核取方塊即可達成。 當您選擇自動產生 DN 時,ECMA 主機會以 LDAP 格式產生 DN:CN=<anchorvalue,OBJECT>=<type>。 這也會假設未勾選 [連線能力] 頁面中的 [DN 為錨點]。
genericSQL 連接器預期填入 LDAP 格式的 DN。 一般 SQL 連接器使用的是 LDAP 樣式加元件名稱 "OBJECT="。 這可讓它使用資料分割 (每個物件類型都是一個資料分割)。
因為 ECMA 連接器主機目前僅支援 USER 物件類型,所以 OBJECT=<類型> 會是 OBJECT=USER。 因此,使用者 DN 加上錨點值 ljacobson 會是:
CN=ljacobson,OBJECT=USER
使用者建立工作流程
Microsoft Entra 佈建服務會查詢 ECMA 連接器主機,查看是否存在使用者。 其會使用相符的屬性作為篩選。 這個屬性是在 Azure 入口網站的 [企業應用程式] ->[內部部署佈建]->[佈建] -> [屬性相符] 下定義。 以 1 表示比對的優先順序。 您可以定義一或多個相符的屬性,並根據優先順序來設定其優先順序。 如果想要,您也可以變更相符的屬性。
ECMA 連接器主機會收到 GET 要求並查詢其內部快取,以查看使用者是否存在且是否已匯入基礎。 這是使用上述比對屬性所完成。 如果您定義多個相符屬性,Microsoft Entra 布建服務會為每個屬性傳送 GET 要求,而 ECMA 主機會檢查其快取是否有相符專案,直到找到相符項目為止。
如果使用者不存在,Microsoft Entra ID 提出 POST 要求以建立使用者。 ECMA 連接器主機會以 HTTP 201 回應Microsoft Entra 識別碼,併為使用者提供標識符。 此識別碼衍生自 [物件類型] 頁面中定義的錨點值。 Microsoft Entra ID 會使用此錨點查詢 ECMA 連接器主機是否有未來和後續的要求。
如果Microsoft Entra ID 中的用戶發生變更,則 Microsoft Entra ID 會提出 GET 要求,以使用上一個步驟中的錨點擷取使用者,而不是步驟 1 中的相符屬性。 這可變更 UPN 等項目,但不會中斷使用者在 Microsoft Entra ID 和應用程式之間的連結。
代理程式最佳做法
- 目前不支援使用相同的代理程式取得內部部署佈建功能以及 Workday/SuccessFactors/Microsoft Entra Connect 雲端同步。 我們正積極努力,期盼能像其他佈建案例一樣支援相同代理程式上的內部部署佈建。
-
- 避免在代理程式與 Azure 之間的輸出 TLS 通訊上執行所有形式的內嵌檢查。 此類型的內嵌檢查會導致通訊流程降級。
- 代理程式必須能與 Azure 和應用程式通訊,因此放置代理程式會影響這兩條連線的延遲。 最佳化每個網路連線,即可將端對端流量的延遲降至最低。 您可以優化每個連線的方式包括:
- 減少躍點兩端之間的距離。
- 選擇正確的網路來周遊。 例如,周遊私人網路而非公用網際網路,可能會因為專用連結而更快。
- 代理程式和 ECMA 主機依賴憑證進行通訊。 ECMA 主機產生的自我簽署憑證應只用於測驗用途。 自我簽署憑證預設兩年後過期,且無法撤銷。 Microsoft 建議針對生產使用案例使用來自受信任 CA 的認證。
高可用性
下列資訊適用於高可用性/容錯移轉案例。
對於使用 ECMA 連接器的內部部署應用程式:建議每個資料中心應有一個主動代理程式和一個被動代理程式(已設定但已停止,且未指派給 Microsoft Entra 的企業應用程式)。
執行故障轉移時,建議您執行下列動作:
- 停止作用中的代理程式 (A)。
- 從企業應用程式取消指派代理程式 A。
- 重新啟動被動代理程式 (B)。
- 將代理程式 B 指派給企業應用程式。
對於使用 SCIM 連接器的內部部署應用程式:建議每個應用程式都有兩個作用中的代理程式。
佈建代理程式問題
這裡有一些常見問題的解答。
如何得知我的佈建代理程式版本?
- 登入已安裝佈建代理程式的 Windows Server。
- 移至 [控制台]>[解除安裝或變更程式]。
- 尋找與 Microsoft Entra Connect 佈建代理程式 項目對應的版本。
我可以將佈建代理程式安裝在執行 Microsoft Entra Connect 或 Microsoft Identity Manager 的同一部伺服器上嗎?
是。 您可以將佈建代理程式安裝在執行 Microsoft Entra Connect 或 Microsoft Identity Manager 的同一部伺服器上,但非必要。
如何將佈建代理程式設定成使用 Proxy 伺服器進行輸出 HTTP 通訊?
佈建代理程式支援使用輸出 Proxy。 您可以透過編輯代理程式設定檔 C:\Program Files\Microsoft Azure AD Connect 佈建代理程式\AADConnectProvisioningAgent.exe.config 來設定它。請將下列各行新增至該檔案中靠近檔案結尾處的 </configuration>
結尾標記正前方。 將變數 [proxy-server]
和 [proxy-port]
更換成您的 Proxy 伺服器名稱和連接埠值。
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
如何確保佈建代理程式能夠與 Microsoft Entra 租用戶進行通訊,而且沒有任何防火牆會封鎖代理程式所需的連接埠?
您也可以檢查所需連接埠是否全都開啟。
如何解除安裝佈建代理程式?
- 登入已安裝佈建代理程式的 Windows Server。
- 移至 [控制台]>[解除安裝或變更程式]。
- 將下列程式解除安裝:
- Microsoft Entra Connect 佈建代理程式
- Microsoft Entra Connect 代理程式更新程式
- Microsoft Entra Connect 佈建代理程式套件
佈建代理程式歷程記錄
此文章列出已發行的 Microsoft Entra Connect 佈建代理程式的版本和功能。 Microsoft Entra 小組會定期以新的特性和功能來更新佈建代理程式。 請確定您不會針對內部部署布建和雲端同步/HR 驅動布建使用相同的代理程式。
Microsoft 直接支援最新代理程式版本及前一個版本。
下載連結
內部部署應用程式佈建已導入佈建代理程式,並可從入口網站取得。 查看安裝佈建代理程式。
1.1.892.0
2022 年 5 月 20 日 - 已發行以供下載
已修正的問題
- 我們已新增將變更匯出至整數屬性的支援,這可讓客戶使用一般 LDAP 連接器。
1.1.846.0
2022 年 4 月 11 日 - 已發行以供下載
已修正的問題
- 我們已新增 ObjectGUID,作為將使用者佈建至 AD LDS 時的泛型 LDAP 連接器錨點支援。