Microsoft Entra Connect Sync:技術概念
本文是主題 瞭解架構的摘要。
Microsoft Entra Connect Sync 建置在穩固的中繼目錄同步處理平臺上。 下列各節介紹中繼目錄同步處理的概念。 Azure Active Directory 同步服務提供一個平臺,可用來連線到數據源、同步處理數據源之間的數據,以及布建和取消布建身分識別。
下列各節提供有關同步處理服務下列層面的詳細數據:
- 連接器
- 屬性流動
- 連接器空間
- Metaverse
- 供應
連接器
用來與連線目錄通訊的程式代碼模組稱為連接器(先前稱為管理代理程式 (MAs) 。
這些會安裝在執行 Microsoft Entra Connect Sync 的電腦上。連接器使用遠端系統通訊協定提供無代理程式的溝通功能,而非依賴於特製化代理程式的部署。 這表示風險和部署時間降低,尤其是在處理重要應用程式和系統時。
在上圖中,連接器與連接器空間同義,但包含與外部系統的所有通訊。
連接器負責對於系統的所有匯入和匯出功能,讓開發人員在使用宣告式布建來自定義數據轉換時,不必瞭解如何以原生方式連線到每個系統。
在排定的時程中,才會執行匯入和匯出,這樣可以更好地隔離系統內發生的變更,因為變更不會自動傳播至連接的資料來源。 此外,開發人員也可以建立自己的連接器,以聯機到幾乎任何數據源。
屬性流程
元宇宙是所有鄰近連接空間中結合的身份的匯總視圖。 在上圖中,屬性的流動被描繪為帶有箭頭的線條,表示輸入和輸出流向。 屬性流程是將數據從一個系統複製或轉換到另一個系統的過程,並涵蓋所有屬性流程(無論是輸入還是輸出)。
當同步作業(完整或差異)排定執行時,連接器空間與 Metaverse 之間的屬性會雙向流動。
只有在執行這些同步處理時,才會發生屬性同步。 屬性流程定義於同步處理規則中。 這些可以是輸入 (上圖中的ISR) 或輸出 (先前圖片中的OSR)。
線上的系統
指的是Microsoft Entra Connect Sync連接到的遠端系統,該系統進行身分識別數據的讀取和寫入操作。
連接器空間
每個連接的數據源都會以連接器空間中對象的篩選子集和屬性來表示。 這可讓同步服務在本機運作,而不需要在同步處理物件時連絡遠端系統,並限制僅匯入和導出的互動。
當數據源和連接器能夠提供變更清單(差異匯入),則作業效率會大幅增加,因為只會交換上次輪詢週期后的變更。 連接器空間透過要求連接器安排匯入和匯出的方式,讓連接的數據來源免於更動自動傳播。 此新增的保險可讓您在測試、預覽或確認下一個更新時安心。
Metaverse
Metaverse 是鄰近連接器空間中所有已聯結身分識別的合併檢視。
由於身分識別相互連結,並且各種屬性都被賦予對應的權限,這些權限是透過匯入流程映射指派的,因此中央元宇宙物件開始從多個系統中彙集信息。 資訊從這個物件屬性的流動過程中,經由映射傳送至外部系統。
當授權系統將物件投影到 Metaverse 時,就會建立物件。 一旦移除所有連線,就會刪除 Metaverse 物件。
Metaverse 中的對象無法直接編輯。 物件中的所有數據都必須透過屬性流動提供。 Metaverse 會在每個連接器空間中維護持續性連接器。 這些連接器不需要重新評估每個同步處理執行。 這表示每次Microsoft Entra Connect Sync 都不需要找到相符的遠端物件。 這可避免為了防止變更通常用來關聯對象的屬性,而使用昂貴的代理程式。
在探索具有需要管理的預先存在物件的新數據來源時,Microsoft Entra Connect Sync 使用一種稱為合併規則的過程來評估建立鏈接的潛在候選對象。 建立鏈接之後,此評估不會重複進行,而遠端連線數據源與 Metaverse 之間的屬性正常流動可以發生。
供應
當授權來源將新物件投影到 Metaverse 時,可以在另一個代表下游連接數據源的連接器中建立新的連接器空間物件。
這本質上建立了一個連結,屬性的流動可以雙向進行。
每當規則判斷需要建立新的連接器空間物件時,這稱為布建。 不過,由於這項作業只會在連接器空間內進行,因此在執行匯出之前,它不會傳遞至連接的數據源。