共用方式為

雲端同步深入探討 - 運作方式

  • 發行項

元件概觀

運作方式

雲端同步是建置在 Microsoft Entra 服務之上,並有 2 個主要元件:

  • 佈建代理程式:Microsoft Entra Connect 雲端佈建代理程式是與 Workday 輸入相同的代理程式,並基於與應用程式 Proxy 和傳遞驗證相同的伺服器端技術建置。 其只需要輸出連線,且代理程式會自動更新。
  • 佈建服務:與輸出佈建和 Workday 輸入佈建相同的佈建服務,其會使用排程器型模型。 雲端同步佈建會每 2 分鐘變更一次。

初始設定

在初始設定期間,會完成幾個工作,以進行雲端同步處理。

  • 在代理程式安裝期間:為您要從中佈建的 AD 網域設定代理程式。 此設定會在混合式身分識別服務中註冊網域,並為接聽要求的服務匯流排建立輸出連線。
  • 當您啟用佈建時:選取 AD 網域,並啟用每 2 分鐘執行一次的佈建。 (選擇性) 您可以取消選取密碼雜湊同步處理並定義通知電子郵件。 您也可以使用 Microsoft Graph API 來管理屬性轉換。

代理程式安裝

安裝雲端佈建代理程式時會出現下列情況。

  • 安裝程式會安裝代理程式二進位檔,以及在虛擬服務帳戶下執行的代理程式服務 (NETWORK SERVICE\AADProvisioningAgent)。 虛擬服務帳戶是特殊的帳戶類型,這種帳戶沒有密碼且由 Windows 管理。
  • 然後,安裝程式會啟動精靈。
  • 精靈會提示輸入 Microsoft Entra 認證,然後驗證並擷取權杖。
  • 然後,精靈會要求目前的電腦網域管理員認證。
  • 系統會建立或找出此網域的代理程式一般受管理服務帳戶 (GMSA),而且如果已存在,則會重複使用。
  • 代理程式服務現在已重新設定為在 GMSA 下執行。
  • 此精靈現在會要求您為希望代理程式提供服務的每個網域提供網域設定,以及 Enterprise 管理員 (EA) /網域管理員 (DA) 帳戶。
  • 然後,會以可讓其存取設定期間所輸入每個網域的權限更新 GMSA 帳戶。
  • 接下來,精靈會觸發代理程式註冊
  • 代理程式會建立憑證,並使用 Microsoft Entra 權杖,搭配混合式身分識別服務 (HIS) 註冊服務註冊其本身和憑證
  • 精靈會觸發 AgentResourceGrouping 呼叫。 此 HIS 管理服務的呼叫會將代理程式指派給 HIS 設定中的一或多個 AD 網域。
  • 精靈現在會重新啟動代理程式服務。
  • 代理程式會在重新啟動 (以及之後每隔 10 分鐘) 時呼叫啟動程序服務,以檢查是否有設定更新。 啟動程序服務會驗證代理程式身分識別。 其也會更新上次啟動的時間。 這點很重要,因為如果代理程式未啟動,就不會取得更新的服務匯流排端點,而且可能無法接收要求。

什麼是跨網域身分識別管理系統 (SCIM)?

SCIM 規格是一種標準,用來自動交換身分識別網域 (例如 Microsoft Entra ID) 之間的使用者或群組身分識別資訊。 SCIM 逐漸成為佈建的既定標準;與 SAML 或 OpenID Connect 等同盟標準搭配使用時,SCIM 可為管理員提供端對端標準型存取管理解決方案。

Microsoft Entra Connect 雲端佈建代理程式會使用 SCIM 搭配 Microsoft Entra,來佈建和取消佈建使用者與群組。

同步處理流程

佈建

一旦您安裝了代理程式並啟用了佈建,就會發生以下流程。

  1. 一旦設定,Microsoft Entra 佈建服務就會呼叫 Microsoft Entra 混合式服務,以將要求新增至服務匯流排。 代理程式會持續維持對接聽要求服務匯流排的輸出連線,並立即收取跨網域身分識別管理系統 (SCIM) 要求。
  2. 代理程式會根據物件類型,將要求細分為個別的查詢。
  3. AD 會將結果傳回至代理程式,而代理程式會先篩選此資料,再將其傳送至 Microsoft Entra ID。
  4. 代理程式會將 SCIM 回應傳回至 Microsoft Entra ID。 這些回應是以代理程式內發生的篩選為基礎。 代理程式使用範圍來篩選結果。
  5. 佈建服務會將變更寫入至 Microsoft Entra ID。
  6. 如果發生差異同步,而不是完整同步,則會使用 Cookie/浮水印。 新的查詢會從該 Cookie/浮水印開始進行變更。

支援的情節:

支援下列雲端同步處理情節。

  • 具有新樹系的現有混合式客戶:Microsoft Entra Connect 同步用於主要樹系。 雲端同步處理可用來從 AD 樹系 (包括已中斷連線的樹系) 進行佈建。 如需詳細資訊,請參閱此處的教學課程。

現有的混合式

  • 新的混合式客戶:不會使用 Microsoft Entra Connect 同步。 雲端同步處理可用來從 AD 樹系進行佈建。 如需詳細資訊,請參閱此處的教學課程。

新客戶

  • 現有的混合式客戶:Microsoft Entra Connect 同步用於主要樹系。 我們會在此針對主要樹系中的一小部分使用者試驗雲端同步處理。

現有的試驗

如需詳細資訊,請參閱支援的拓撲

下一步