Azure Active Directory Connect: مفاهيم التصميم

الغرض من هذا المستند هو وصف المجالات التي يجب أخذها في الاعتبار أثناء تكوين Azure Active Directory Connect. يُعد هذا المستند بحث عميق في مجالات معينة ويتم وصف هذه المفاهيم بإيجاز في مستندات أخرى أيضاً.

«sourceAnchor»

يتم تعريف السمة sourceAnchor على أنها سمة غير قابلة للتغيير خلال مدة بقاء أي عنصر. ويعرّف أي عنصر بشكل فريد على أنه نفس العنصر المحلي وفي «Microsoft Azure AD». تسمى السمة أيضاً immutableId ويتم استخدام الاسمين بالتبادل.

وكلمة غير قابلة للتغيير، أي "لا يمكن تغييرها"، مهمة لهذه الوثيقة. نظراً لعدم إمكانية تغيير قيمة هذه السمة بعد تعيينها، فمن المهم اختيار تصميم يدعم السيناريو الخاص بك.

يتم استخدام السمة للسيناريوهات التالية:

  • عند إنشاء خادم مشغل مزامنة جديد أو إعادة إنشائه بعد حدوث سيناريو إصلاح عطل فادح، تقوم هذه السمة بربط العناصر الموجودة في «Microsoft Azure AD» بعناصر داخلية.
  • إذا انتقلت من هوية السحابة فقط إلى نموذج هوية متزامنة، تسمح هذه السمة للعناصر بمطابقة العناصر الموجودة في «Microsoft Azure AD» مع العناصر المحلية «مطابقة صعبة».
  • إذا كنت تستخدم نظام جهات الاتصال الخارجية، فعندئذٍ يتم استخدام هذه السمة مع "userPrincipalName" في المطالبة بتعريف مستخدم بشكل فريد.

يتحدث هذا الموضوع فقط عن sourceAnchor من حيث صلته بالمستخدمين. تنطبق نفس القواعد على جميع أنواع العناصر، ولكن عادة ما تكون هذه المشكلة مصدر قلق للمستخدمين فقط.

تحديد سمة جيدة لـ sourceAnchor

يجب أن تتبع قيمة السمة القواعد التالية:

  • أقل من 60 حرفًا في الطول
    • يتم ترميز الأحرف التي لا تكون a-z أو A-Z أو 0-9 وتحسب 3 أحرف
  • لا تحتوي على حرف خاص: \ ! # $ %&* + / = ? ^ ` { } | ~<>( ) ' ; : , [ ] " @ _
  • يجب أن تكون فريدة عالميًا
  • يجب أن تكون إما سلسلة أو عددًا صحيحًا أو ثنائيًا
  • لا ينبغي أن تستند إلى اسم المستخدم، لأنها يمكن أن تتغير
  • لا ينبغي أن تتحسس لحالة أحرف وتجنب القيم التي قد تختلف حسب الحالة
  • يجب تعيينها عند إنشاء العنصر

إذا لم يكن sourceAnchor المحدد من سلسلة النوع، فعندئذٍ سيقوم Azure Active Directory Connect بتطبيق ترميز Base64Encode على القيمة للتأكد من عدم ظهور أحرف خاصة. إذا كنت تستخدم خادم اتحاد آخر غير ADFS، فتأكد من أن الخادم الخاص بك يمكنه أيضاً تطبيق ترميز Base64Encode على السمة.

إن سمة sourceAnchor حساسة لحالة الأحرف. تختلف قيمة "JohnDoe" عن "johndoe". لكن لا ينبغي أن يكون لديك عنصران مختلفان مع وجود اختلاف في حرف فقط.

إذا كان لديك غابة أحادية محلية، فإن السمة التي يجب أن تستخدمها هي objectGUID. هذه هي السمة المستخدمة أيضًا عند استخدام إعدادات صريحة في «Azure AD Connect» وأيضًا السمة المستخدمة من قبل «DirSync».

إذا كان لديك العديد من الغابات ولا تنقل المستخدمين بين الغابات والمجالات، فإن objectGUID سمة جيدة لاستخدامها حتى في هذه الحالة.

إذا قمت بنقل المستخدمين بين الغابات والمجالات، فيجب عليك العثور على سمة لا تتغير أو يمكن نقلها مع المستخدمين أثناء النقل. ومن النُهج الموصى بها إدخال سمة اصطناعية. السمة التي يمكن أن تحتوي على شيء يبدو مثل GUID ستكون مناسبة. أثناء إنشاء عنصر، يتم إنشاء GUID جديد وختمه على المستخدم. يمكن إنشاء قاعدة مزامنة مخصصة في خادم محرك المزامنة لإنشاء هذه القيمة استناداً على objectGUID وتحديث السمة المحددة في ADDS. عند نقل الكائن، تأكد أيضًا من نسخ محتوى هذه القيمة.

هناك حل آخر وهو اختيار سمة موجودة تعرف أنها لا تتغير. تتضمن السمات شائعة الاستخدام "employeeID". إذا كنت تعتبر أن أي سمة تحتوي على أحرف، فتأكد من عدم وجود فرصة تغير الحالة (الحالة العليا مقابل الحالة السفلى) لقيمة السمة. تتضمن السمات السيئة التي لا يجب استخدامها تلك السمات باسم المستخدم. في الزواج أو الطلاق، من المتوقع أن يتغير الاسم، وهو أمر غير مسموح به لهذه السمة. هذا أيضاً أحد أسباب عدم إمكانية تحديد سمات مثل userPrincipalName وmail وtargetAddress في معالج تثبيت Azure Active Directory Connect. تحتوي هذه السمات أيضًا على الحرف «@»، وهو غير مسموح به في sourceAnchor.

تغيير السمة sourceAnchor

لا يمكن تغيير قيمة السمة sourceAnchor بعد إنشاء العنصر في Microsoft Azure Active Directory ومزامنة الهوية.

لهذا السبب، تنطبق القيود التالية على Azure Active Directory Connect:

  • لا يمكن تعيين سمة sourceAnchor إلا أثناء التثبيت الأولي. إذا أعدت تشغيل معالج التثبيت، فسيكون هذا الخيار للقراءة فقط. إذا كنت بحاجة إلى تغيير هذا الإعداد، فيجب عليك إلغاء التثبيت وإعادة تثبيته.
  • إذا قمت بتثبيت خادم Azure Active Directory Connect آخر، فيجب عليك تحديد سمة sourceAnchor كما تم استخدامها سابقاً. إذا كنت تستخدم DirSync مسبقاً وانتقلت إلى Azure Active Directory Connect، فيجب عليك استخدام objectGUID لأن هذه هي السمة التي يستخدمها DirSync.
  • إذا تم تغيير قيمة sourceAnchor بعد تصدير العنصر إلى Azure Active Directory Connect، فإن مزامنة Azure Active Directory Connect تطرح خطأ ولا تسمح بأي تغييرات أخرى على هذا العنصر قبل إصلاح المشكلة وتغيير sourceAnchor مرة أخرى في الدليل المصدر.

استخدام ms-DS-ConsistencyGuid كـ sourceAnchor

بشكل افتراضي، يستخدم Azure Active Directory Connect (الإصدار 1.1.486.0 والإصدارات الأقدم) objectGUID كسمة sourceAnchor. ObjectGUID تم إنشاؤه بواسطة النظام. لا يمكنك تحديد قيمته عند إنشاء عناصر AD محلية. كما هو موضح في القسم sourceAnchor، هناك سيناريوهات تحتاج فيها إلى تحديد قيمة sourceAnchor. إذا كانت السيناريوهات قابلة للتطبيق، فيجب عليك استخدام سمة AD قابلة للتكوين (على سبيل المثال، ms-DS-ConsistencyGuid) كسمة sourceAnchor.

يعمل Azure Active Directory Connect (الإصدار 1.1.524.0 وما بعده) الآن على تسهيل استخدام ms-DS-ConsistencyGuid كسمة sourceAnchor. عند استخدام هذه الميزة، يقوم Azure Active Directory Connect تلقائياً بتكوين قواعد المزامنة إلى:

  1. استخدام ms-DS-ConsistencyGuid كسمة sourceAnchor لعناصر المستخدم. يُستخدم ObjectGUID لأنواع العناصر الأخرى.

  2. بالنسبة لأي عنصر مستخدم AD محلي معين لم يتم تعبئة السمة ms-DS-ConsistencyGuid الخاصة به، يكتب Azure Active Directory Connect قيمة objectGUID مرة أخرى إلى سمة ms-DS-ConsistencyGuid في Active Directory محلي. بعد تعبئة السمة ms-DS-ConsistencyGuid، يقوم Azure Active Directory Connect بعد ذلك بتصدير العنصر إلى Microsoft Azure AD.

ملاحظة

بمجرد استيراد عنصر AD محلي إلى Azure Active Directory Connect (أي استيراده إلى AD Connector Space وعرضه في Metaverse)، لا يمكنك تغيير قيمة SourceAnchor الخاصة به بعد الآن. لتحديد قيمة sourceAnchor لعنصر AD محلي معين، قم بتكوين سمة ms-DS-ConsistencyGuid الخاصة به قبل استيرادها إلى Azure Active Directory Connect.

الإذن مطلوب

لكي تعمل هذه الميزة، يجب منح حساب AD DS المستخدم للمزامنة مع Active Directory المحلي إذن الكتابة إلى السمة ms-DS-ConsistencyGuid في Active Directory المحلي.

كيفية تمكين ميزة ConsistencyGuid - تثبيت جديد

يمكنك تمكين استخدام ConsistencyGuid كـ sourceAnchor أثناء التثبيت الجديد. يغطي هذا القسم كل من التثبيت السريع والتثبيت المخصص بالتفصيل.

ملاحظة

تدعم الإصدارات الأحدث فقط من Azure Active Directory Connect (1.1.524.0 وما بعده) استخدام ConsistencyGuid كـ sourceAnchor أثناء التثبيت الجديد.

كيفية تمكين ميزة ConsistencyGuid

التثبيت السريع

عند تثبيت Azure Active Directory Connect مع وضع Express، يحدد معالج Azure Active Directory Connect تلقائياً السمة AD الأكثر ملاءمة لاستخدامها كسمة sourceAnchor باستخدام المنطق التالي:

  • أولا، يستعلم معالج Azure Active Directory Connect عن مستأجر Microsoft Azure AD لاسترداد سمة AD المستخدمة كسمة sourceAnchor في تثبيت Azure Active Directory Connect السابق (إن وجد). إذا كانت هذه المعلومات متوفرة، يستخدم Azure Active Directory Connect نفس سمة AD.

    ملاحظة

    فقط الإصدارات الأحدث من Azure Active Directory Connect (1.1.524.0 وما بعده) تخزن المعلومات في مستأجر Microsoft Azure AD الخاص بك حول سمة sourceAnchor المستخدمة أثناء التثبيت. لا يتوفر ذلك في إصدارات Azure Active Directory Connect القديمة.

  • إذا لم تتوفر معلومات حول سمة sourceAnchor المستخدمة، يتحقق المعالج من حالة سمة ms-DS-ConsistencyGuid في Active Directory المحلي. إذا لم يتم تكوين السمة على أي عنصر في الدليل، يستخدم المعالج ms-DS-ConsistencyGuid كسمة sourceAnchor. إذا تم تكوين السمة على عنصر واحد أو أكثر في الدليل، ينتهي المعالج إلى أن السمة مستخدمة من قِبل تطبيقات أخرى وغير مناسبة كسمة sourceAnchor.

  • في هذه الحالة، يعود المعالج إلى استخدام objectGUID كسمة sourceAnchor.

  • بمجرد تحديد السمة «sourceAnchor»، يقوم المعالج بتخزين المعلومات في مستأجر «Microsoft Azure AD» الخاص بك. ستستخدم المعلومات من خلال التثبيت المستقبلي لـ«Azure AD Connect».

بمجرد اكتمال التثبيت السريع، يعلمك المعالج بالسمة التي تم اختيارها كسمة Source Anchor.

Wizard informs AD attribute picked for sourceAnchor

التثبيت المخصص

عند تثبيت Azure Active Directory Connect باستخدام الوضع المخصص، يوفر معالج Azure Active Directory Connect خيارين عند تكوين سمة sourceAnchor:

Custom installation - sourceAnchor configuration

الإعداد الوصف
اسمح لـ Azure بإدارة ارتساء المصدر نيابة عني حدد هذا الخيار إذا كنت تريد أن يختار Microsoft Azure AD السمة لك. إذا قمت بتحديد هذا الخيار، يطبق معالج Azure Active Directory Connect نفس منطق تحديد سمة sourceAnchor المستخدم أثناء التثبيت السريع. على غرار التثبيت السريع، يُعلمك المعالج بالسمة التي تم اختيارها كسمة Source Anchor بعد اكتمال التثبيت المخصص.
سمة محددة حدد هذا الخيار إذا كنت ترغب في تحديد سمة AD موجودة كسمة sourceAnchor.

كيفية تمكين ميزة ConsistencyGuid - النشر الحالي

إذا كان لديك نشر Azure Active Directory Connect موجود يستخدم objectGUID كسمة Source Anchor، يمكنك التبديل إلى استخدام ConsistencyGuid بدلاً من ذلك.

ملاحظة

تدعم الإصدارات الأحدث فقط من Azure Active Directory Connect (1.1.552.0 وما بعده) التبديل من ObjectGuid إلى ConsistencyGuid كسمة Source Anchor.

للتبديل من objectGUID إلى ConsistencyGuid كسمة Source Anchor:

  1. ابدأ تشغيل معالج Azure Active Directory Connect ثم انقر فوق "Configure" للانتقال إلى شاشة "Tasks".

  2. حدد خيار المهمة "Configure Source Anchor" وانقر فوق "Next" .

    Enable ConsistencyGuid for existing deployment - step 2

  3. أدخل بيانات اعتماد مسؤول Microsoft Azure AD وانقر فوق "Next" .

  4. يحلل معالج Azure Active Directory Connect حالة السمة ms-DS-ConsistencyGuid في Active Directory المحلي. إذا لم يتم تكوين السمة على أي عنصر في الدليل، يخلص Azure Active Directory Connect إلى عدم وجود تطبيق آخر يستخدم السمة حالياً وأنه آمن لاستخدامها كسمة Source Anchor. انقر فوق "Next" للمتابعة.

    Enable ConsistencyGuid for existing deployment - step 4

  5. في الشاشة "Ready to Configure" انقر فوق "Configure" لإجراء تغيير التكوين.

    Enable ConsistencyGuid for existing deployment - step 5

  6. بمجرد اكتمال التكوين، يشير المعالج إلى أن ms-DS-ConsistencyGuid يتم استخدامه الآن كسمة Source Anchor.

    Enable ConsistencyGuid for existing deployment - step 6

أثناء التحليل (الخطوة 4)، إذا تم تكوين السمة على عنصر واحد أو أكثر في الدليل، يستنتج المعالج أن السمة قيد الاستخدام من قِبل تطبيق آخر ويعيد خطأ كما هو موضح في الرسم التخطيطي أدناه. يمكن أن يحدث هذا الخطأ أيضاً إذا قمت مسبقاً بتمكين ميزة ConsistencyGuid على خادم Azure Active Directory Connect الأساسي، وكنت تحاول أن تفعل الشيء نفسه على خادم التقسيم المرحلي.

Enable ConsistencyGuid for existing deployment - error

إذا كنت متأكداً من عدم استخدام السمة من قِبل التطبيقات الموجودة الأخرى، يمكنك منع الخطأ عن طريق إعادة تشغيل معالج Azure Active Directory Connect مع تحديد مفتاح التبديل /SkipLdapSearch. لتنفيذ ذلك، شغّل الأمر التالي في موجه الأوامر:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

التأثير على AD FS أو تكوين اتحاد الجهات الخارجية

إذا كنت تستخدم Azure Active Directory Connect لإدارة نشر AD FS المحلي، يقوم Azure Active Directory Connect تلقائياً بتحديث قواعد المطالبة لاستخدام نفس سمة AD كـ sourceAnchor. هذا يضمن أن مطالبة ImmutableID التي تم إنشاؤها بواسطة ADFS متسقة مع قيم SourceAnchor التي تم تصديرها إلى Microsoft Azure AD.

إذا كنت تدير AD FS خارج Azure Active Directory Connect أو كنت تستخدم خوادم اتحاد الجهات الخارجية للمصادقة، يجب تحديث قواعد المطالبة يدوياً لمطالبة ImmutableID لتتوافق مع قيم sourceAnchor التي تم تصديرها إلى Microsoft Azure AD كما هو موضح في قسم المقالة تعديل قواعد مطالبة AD FS. يقوم المعالج بإرجاع التحذير التالي بعد اكتمال التثبيت:

Third-party federation configuration

إضافة دلائل جديدة إلى النشر الحالي

افترض أنك قمت بنشر Azure Active Directory Connect مع تمكين ميزة ConsistencyGuid، والآن تريد إضافة دليل آخر إلى النشر. عند محاولة إضافة الدليل، يتحقق معالج Azure Active Directory Connect من حالة سمة ms-DS-ConsistencyGuid في الدليل. إذا تم تكوين السمة على عنصر واحد أو أكثر في الدليل، يستنتج المعالج أن السمة قيد الاستخدام من قِبل تطبيق آخر ويعيد خطأ كما هو موضح في الرسم التخطيطي أدناه. إذا كنت متأكداً من عدم استخدام السمة من قِبل التطبيقات الموجودة، يمكنك منع الخطأ عن طريق إعادة تشغيل معالج Azure Active Directory Connect مع تحديد مفتاح التبديل /SkipLdapSearch كما هو موضح أعلاه أو تحتاج إلى الاتصال بالدعم لمزيد من المعلومات.

Adding new directories to existing deployment

تسجيل دخول «Microsoft Azure AD»

أثناء تكامل الدليل المحلي الخاص بك مع Microsoft Azure AD، من المهم فهم كيفية تأثير إعدادات المزامنة على طريقة مصادقة المستخدم. يستخدم «Microsoft Azure AD» «userPrincipalName» لمصادقة المستخدم. ومع ذلك، عند مزامنة المستخدمين لديك، عليك اختيار السمة التي ستستخدم لقيمة «userPrincipalName» بعناية.

اختيار السمة لـ userPrincipalName

عند تحديد السمة لتوفير قيمة «UPN» لاستخدامها في «Azure» يجب أن يضمنها أحد

  • تتوافق قيم السمة مع بناء جملة UPN (RFC 822)، أي يجب أن تكون من تنسيق username@domain
  • تطابق اللاحقة في القيم أحد المجالات المخصصة التي تم التحقق منها في «Microsoft Azure AD»

في الإعدادات السريعة، الاختيار المفترض للسمة هو «userPrincipalName». إذا لم تحتوِ السمة userPrincipalName على القيمة التي تريد من المستخدمين لديك تسجيل الدخول إلى Azure بها، فعندئذٍ يجب عليك اختيار "Custom Installation".

ملاحظة

أفضل ممارسة مقترحة هي أن تحتوي بادئة UPN على أكثر من حرف واحد.

حالة المجال المخصص وUPN

من المهم التأكد من وجود مجال تم التحقق منه للاحقة UPN.

«John» هو مستخدم في contoso.com. أنت تريد من John استخدام UPN المحلي john@contoso.com لتسجيل الدخول إلى Azure بعد مزامنة المستخدمين إلى دليل Azure AD لديك contoso.onmicrosoft.com. للقيام بذلك، تحتاج إلى إضافة contoso.com والتحقق منها كمجال مخصص في «Microsoft Azure AD» قبل البدء في مزامنة المستخدمين. إذا لم تطابق لاحقة «UPN» لـJohn، على سبيل المثال contoso.com، مجالاً تم التحقق منه في «Microsoft Azure AD»، يستبدل «Microsoft Azure AD» لاحقة «UPN» بـcontoso.onmicrosoft.com.

المجالات المحلية غير القابلة للتوجيه وUPN لـ Microsoft Azure AD

بعض المؤسسات لها مجالات غير قابلة للتوجيه، مثل contoso.local، أو مجالات تسمية واحدة بسيطة مثل contoso. لن تستطيع التحقق من أي مجال غير قابل للتوجيه في «Microsoft Azure AD». يمكن «Azure AD Connect» مزامنة مجال تم التحقق منه فقط في «Microsoft Azure AD». عند إنشاء دليل «Microsoft Azure AD»، فإنه ينشئ مجالاً قابلاً للتوجيه يصبح مجالاً افتراضيًا لـ«Microsoft Azure AD» الخاص بك على سبيل المثال، contoso.onmicrosoft.com. لذلك، يصبح من الضروري التحقق من أي مجال آخر قابل للتوجيه في مثل هذا السيناريو في حالة عدم رغبتك في المزامنة إلى المجال الافتراضي onmicrosoft.com.

اقرأ إضافة اسم المجال المخصص إلى Microsoft Azure Active Directory للحصول على مزيد من المعلومات حول إضافة المجالات والتحقق منها.

يكتشف «Azure AD Connect» ما إذا كنت تعمل في بيئة مجال غير قابل للتوجيه، كما أنه سيحذرك بشكل مناسب من المضي قدمًا في الإعدادات السريعة. إذا كنت تعمل في مجال غير قابل للتوجيه، فمن المحتمل أن يكون «UPN» للمستخدمين له لاحقات غير قابلة للتوجيه أيضا. على سبيل المثال، إذا كنت تعمل ضمن contoso.local، فإن Azure Active Directory Connect يقترح عليك استخدام إعدادات مخصصة بدلاً من استخدام الإعدادات السريعة. باستخدام الإعدادات المخصصة، يمكنك تحديد السمة التي يجب استخدامها كـ «UPN» لتسجيل الدخول إلى Azure بعد مزامنة المستخدمين إلى «Microsoft Azure AD».

الخطوات التالية

لمزيدٍ من المعلومات حولتكامل هوياتك المحلية مع Azure Active Directory.