Azure Active Directory Sync – Technische Konzepte
Aktualisiert: 21. Juli 2015
Wichtig
Dieses Thema wird bald archiviert.
Es gibt ein neues Produkt namens "Azure Active Directory Verbinden", das AADSync und DirSync ersetzt.
Azure AD Connect umfasst die Komponenten und Funktionen, die zuvor als DirSync und AAD Sync veröffentlicht wurden.
Irgendwann wird die Unterstützung für Dirsync und AAD Sync beendet.
Diese Tools werden nicht mehr einzeln mit Featureverbesserungen aktualisiert, und alle zukünftigen Verbesserungen werden in Updates für Azure AD Verbinden eingeschlossen.
AADsync basiert auf einer zuverlässigen Metaverzeichnis-Synchronisierungsplattform.
In den folgenden Abschnitte werden die Konzepte für die Metaverzeichnissynchronisierung erläutert.
Die auf MIIS, ILM und FIM basierenden Azure Active Directory-Synchronisierungsdienste bieten die nächste Plattform für die Verbindung mit Datenquellen, die Synchronisierung von Daten zwischen Datenquellen und die Bereitstellung von Identitäten sowie deren Aufhebung.
.jpg "Technical Concepts")
Die folgenden Abschnitte bieten weitere Details zu den folgenden Aspekten des FIM-Synchronisierungsdiensts:
Connector
Attributfluss
Connectorbereich
Metaverse
Bereitstellung
Connector
Die Codemodule, die für die Kommunikation mit einer verbundenen Datenquelle verwendet werden, werden Connector genannt (zuvor hießen sie verwaltete Agents). Diese werden auf dem Computer unter AADSync installiert.
Die Connectors bieten die Möglichkeit, ohne Agent eine Konvertierung vorzunehmen, indem Remotesystemprotokolle verwendet werden und somit die Notwendigkeit entfällt, sich auf die Bereitstellung spezialisierter Agents zu verlassen. Dies hat ein vermindertes Risiko und geringere Bereitstellungszeiten zur Folge, insbesondere wenn es um die Arbeit mit kritischen Anwendungen und Systemen geht. In der obigen Abbildung ist der Connector mit dem Connectorbereich gleichbedeutend, aber er umgibt die gesamte Kommunikation mit dem externen System.
Der Connector ist für alle Funktionen verantwortlich, die den Import in das System und den Export aus dem System verarbeiten. So müssen Entwickler nicht wissen, welche systemeigenen Informationen notwendig sind, um bei der deklarativen Bereitstellung zum Anpassen von Datentransformationen Verbindungen zu den einzelnen Systemen herzustellen.
Import- und Exportvorgänge treten nur entsprechend der Planung auf, was eine weitere Isolierung der im System auftretenden Änderungen ermöglicht, da Änderungen nicht automatisch zur verbundenen Datenquelle aufgefüllt werden. Zusätzlich müssen Entwickler möglicherweise ihre eigenen Connectors erstellen, um sich mit praktisch jeder Datenquelle verbinden zu können. .
Attributfluss
Der Metaverse ist die konsolidierte Ansicht sämtlicher verknüpfter Identitäten von benachbarten Connectorbereichen. Im obigen Beispiel wird der Attributfluss nach Linien mit Pfeilspitzen für den eingehenden und den ausgehenden Fluss dargestellt. Beim Attributfluss handelt es sich um den Vorgang des Kopierens oder Umwandelns von Daten und von allen Attributflüssen (eingehend oder ausgehend) aus einem System in ein anderes.
Ein Attributfluss tritt bidirektional zwischen Connectorbereich und Metaverse auf, wenn die Ausführung von Synchronisierungsvorgängen (vollständig oder Delta) geplant ist.
Ein Attributfluss tritt nur auf, wenn diese Synchronisierungen ausgeführt werden. Attributflüsse werden in Synchronisierungsregeln definiert. Diese können eingehend (ISR im obigen Bild) oder ausgehend (OSR im obigen Bild) sein.
Connectorbereich
Jede verbundene Datenquelle wird als gefilterte Teilmenge der Objekte und Attribute im Connectorbereich dargestellt.
So kann der Synchronisierungsdienst lokal ausgeführt werden, ohne das Remotesystem beim Synchronisieren der Objekte zu kontaktieren, und die Interaktion wird auf Importe und Exporte beschränkt.
Wenn die Datenquelle und der Connector in der Lage sind, eine Liste der Änderungen (einen Deltaimport) bereitzustellen, wird die Betriebseffizienz erheblich gesteigert, da nur seit dem letzten Abrufzyklus vorgenommene Änderungen ausgetauscht werden. Der Connectorbereich isoliert die verbundene Datenquelle von der automatischen Übertragung von Änderungen durch die Anforderung, dass Import- und Exportvorgänge gemäß dem Connectorplan erfolgen.
Mit dieser zusätzlichen Versicherung können Sie unbesorgt testen, die Vorschau anzeigen oder das nächste Update bestätigen.
Metaverse
Das Metaverse ist die konsolidierte Ansicht sämtlicher verknüpfter Identitäten aus benachbarten Connectorbereichen.
Da Identitäten miteinander verknüpft sind und die Autorität für verschiedene Attribute durch Importflusszuordnungen zugewiesen ist, beginnt das zentrale Metaverseobjekt, die Informationen aus mehreren Systemen zu aggregieren.
Aus diesem Objektattributfluss sammeln Zuordnungen Informationen zu ausgehenden Systemen.
Objekte werden erstellt, wenn ein autoritatives System sie im Metaverse abbildet.
Sobald alle Verbindungen entfernt sind, wird das Metaverseobjekt gelöscht.
Objekte im Metaverse können nicht direkt bearbeitet werden. Alle Daten im Objekt müssen über den Attributfluss beigesteuert werden. Der Metaverse behält persistente Connectors mit jedem Connectorbereich bei.
Diese Connectors erfordern keine erneute Auswertung für jede Synchronisierungsausführung. AADSync muss demnach nicht jedes Mal nach dem übereinstimmenden Remoteobjekt suchen. Dadurch erübrigen sich kostspielige Agents, um Änderungen an Attributen zu verhindern, die normalerweise für das Korrelieren der Objekte verantwortlich wären.
Beim Ermitteln neuer Datenquellen, die möglicherweise vorhandene Objekte aufweisen, die verwaltete werden müssen, verwendet AADSync den Vorgang, der als Verknüpfungsregel bezeichnet wird, um potenzielle Kandidaten auszuwerten, mit den ein Link hergestellt werden soll.
Nach der Herstellung des Links wird diese Auswertung nicht erneut vorgenommen, und der normale Attributfluss kann zwischen der remote verbundenen Datenquelle und dem Metaverse auftreten.
Bereitstellung
Wenn eine autoritative Quelle ein neues Objekt im Metaverse abbildet, kann ein neues Connectorbereichsobjekt in einem anderen Connector erstellt werden, der eine per Downstream verbundene Datenquelle darstellt.
So wird inhärent eine Verknüpfung hergestellt, und der Attributfluss kann bidirektional fortgeführt werden.
Wenn eine Regel bestimmt, dass ein neues Connectorbereichsobjekt erstellt werden muss, wird dies als Bereitstellung bezeichnet. Da dieser Vorgang nur im Connectorbereich stattfindet, wird er erst in die verbundene Datenquelle übertragen, wenn ein Export vorgenommen wird.