Análisis detallado de la sincronización en la nube: cómo funciona

Información general de los componentes

La sincronización en la nube se basa en los servicios de Microsoft Entra y tiene dos componentes clave:

• Agente de aprovisionamiento: el agente de aprovisionamiento en la nube de Microsoft Entra Connect es el mismo que el de aprovisionamiento de entrada de Workday y se basa en la misma tecnología de servidor que el proxy de aplicaciones y la autenticación transferida. Requiere una conexión saliente solo y los agentes se actualizan automáticamente.
• Servicio de aprovisionamiento: el mismo servicio de aprovisionamiento que el aprovisionamiento saliente y el aprovisionamiento de entrada de Workday que usa un modelo basado en un programador. Las aprovisionamientos de sincronización en la nube cambian cada 2 minutos.

Configuración inicial

Durante la configuración inicial, tienen lugar algunas actividades que hacen posible la sincronización de la nube.

• Durante la instalación del agente: se configura el agente de los dominios de AD desde los que quiere realizar el aprovisionamiento. Esta configuración registra los dominios en el servicio de identidad híbrida y establece una conexión saliente con el bus de servicio que escucha las solicitudes.
• Al habilitar el aprovisionamiento: seleccione el dominio de AD y habilite el aprovisionamiento, que se ejecuta cada dos minutos. Opcionalmente, puede anular la selección de la sincronización del hash de contraseña y definir el correo electrónico de notificación. También puede administrar la transformación de atributos mediante instancias de Microsoft Graph API.

Instalación del agente

Los siguientes elementos ocurren cuando se instala el agente de aprovisionamiento en la nube.

• El instalador instala los archivos binarios del agente y el servicio del agente que se ejecuta en la cuenta de servicio virtual (NETWORK SERVICE\AADProvisioningAgent). Una cuenta de servicio virtual es un tipo especial de cuenta que no tiene contraseña y está administrada por Windows.
• A continuación, el instalador inicia el asistente.
• El Asistente solicita las credenciales de Microsoft Entra y a continuación, se autentica y recupera un token.
• Luego, el asistente solicita las credenciales actuales de administrador de dominio de la máquina.
• La cuenta de servicio administrada general del agente (GMSA) para este dominio se crea o se vuelve a usar si ya existe.
• El servicio del agente se ha reconfigurado para ejecutarse con la cuenta GMSA.
• El asistente solicita ahora la configuración de dominio junto con la cuenta de administrador de empresa (EA) o administrador de dominio (DA) de cada dominio que quiera que atienda el agente.
• La cuenta GMSA se actualiza entonces con los permisos que permiten el acceso a cada dominio especificado durante la configuración.
• Luego, el asistente desencadena el registro del agente.
• El agente crea un certificado y, con el token de Microsoft Entra, se registra a sí mismo y registra el certificado con el servicio de registro del servicio de identidad híbrida (HIS).
• El asistente desencadena una llamada a AgentResourceGrouping. Esta llamada a su servicio de administración de HIS es para asignar el agente a uno o varios dominios de AD en la configuración de HIS.
• Ahora el asistente reinicia el servicio de agente.
• El agente llama a un servicio de arranque durante el reinicio (y después cada 10 minutos) para comprobar si hay actualizaciones de configuración. El servicio de arranque valida la identidad del agente. También actualiza la hora del último arranque. Esto es importante porque, si los agentes no arrancan, no reciben puntos de conexión de Service Bus actualizados y es posible que no puedan recibir solicitudes.

¿Qué es el sistema de administración de identidades entre dominios (SCIM)?

La especificación SCIM es un estándar que se usa para automatizar el intercambio de información de identidad de usuarios o grupos entre dominios de identidad, como Microsoft Entra ID. SCIM se está convirtiendo en el estándar de facto para aprovisionar y, cuando se utiliza con estándares de federación como SAML u OpenID Connect, ofrece a los administradores una solución de un extremo a otro basada en estándares para la administración del acceso.

El agente de aprovisionamiento en la nube de Microsoft Entra Connect usa SCIM con Microsoft Entra ID para aprovisionar y desaprovisionar usuarios y grupos.

Flujo de sincronización

Cuando haya instalado el agente y habilitado el aprovisionamiento, se produce el siguiente flujo.

1. Una vez configurado, el servicio de aprovisionamiento de Microsoft Entra llama al servicio híbrido Microsoft Entra para agregar una solicitud a Service Bus. El agente mantiene constantemente una conexión saliente con la instancia de Service Bus que escucha las solicitudes y recopila la solicitud de System for Cross-domain Identity Management (SCIM) inmediatamente.
2. El agente divide la solicitud en consultas independientes según el tipo de objeto.
3. AD devuelve el resultado al agente y este filtra los datos antes de enviarlos a Microsoft Entra ID.
4. El agente devuelve la respuesta de SCIM a Microsoft Entra ID. Esta respuesta se basa en el filtrado que se produjo dentro del agente. El agente usa la determinación del ámbito para filtrar los resultados.
5. El servicio de aprovisionamiento escribe los cambios en Microsoft Entra ID.
6. Si se trata de una sincronización diferencial en lugar de una sincronización completa, se usa la cookie o la marca de agua. Las nuevas consultas obtienen cambios de esa cookie o marca de agua en adelante.

Escenarios admitidos:

Se admiten los siguientes escenarios de sincronización en la nube.

• Cliente híbrido actual con un bosque nuevo: la sincronización de Microsoft Entra Connect se usa con los bosques principales. La sincronización en la nube se usa para el aprovisionamiento desde un bosque de AD (incluso si está desconectado). Para más información, consulte el tutorial aquí.

• Cliente híbrido nuevo: no se usa la sincronización de Microsoft Entra Connect. La sincronización en la nube se usa para el aprovisionamiento desde un bosque de AD. Para más información, consulte el tutorial aquí.

• Cliente híbrido actual: se usa la sincronización de Microsoft Entra Connect con los bosques principales. Se pone a prueba la sincronización en la nube para un pequeño conjunto de usuarios de los bosques principales aquí.

Para más información, consulte Topologías admitidas.

Pasos siguientes

• ¿Qué es el aprovisionamiento?
• ¿Qué es la sincronización en la nube de Microsoft Entra?