Compartir a través de


Introducción a la configuración predeterminada

Actualizado: 22 de julio de 2015

Importante

Este tema se archivará pronto.
Hay un nuevo producto denominado "Azure Active Directory Conectar" que reemplaza AADSync y DirSync.
Azure AD Connect incorpora los componentes y la funcionalidad publicados previamente como Dirsync y Sincronización de AAD.
En algún momento en el futuro, finalizará la compatibilidad con Dirsync y Sincronización de AAD.
Estas herramientas ya no se actualizan individualmente con mejoras de características y todas las mejoras futuras se incluirán en las actualizaciones de Azure AD Conectar.

Para obtener la información más reciente sobre Azure Active Directory Conectar, consulte Integración de las identidades locales con Azure Active Directory

Este documento le guía a través de una configuración predeterminada de Azure Active Directory Sync. El objetivo es que el lector comprenda cómo funciona el modelo de configuración, denominado aprovisionamiento declarativo, en Azure Active Directory Sync en un ejemplo real. En este documento se da por supuesto que ya ha instalado y configurado Azure Active Directory Sync mediante el Asistente para la instalación.

Descripción del escenario

En este ejemplo usamos una implementación con un bosque de cuenta (A), un bosque de recurso (R) y un directorio AAD.

Cada directorio conectado tiene una copia almacenada en caché, denominada espacio del conector, de la información pertinente en Azure Active Directory Sync. En el medio tenemos el metaverso, la vista consolidada de los objetos que se están sincronizando.

Metaverse

Este es el mismo escenario que el escenario 2 descrito en información general del escenario de sincronización de Azure Active Directory.

Editor de reglas de sincronización

La configuración se puede ver y cambiar con la herramienta Editor de reglas de sincronización (SRE) y puede encontrar un acceso directo en el menú de inicio.

Synchronization Rules Editor

SRE es una herramienta del kit de recursos, pero se instala con Azure Active Directory Sync. Para poder iniciarlo, debe ser miembro del grupo ADSyncAdmins. Cuando se inicie, verá algo parecido a lo siguiente:

Synchronization Rules Editor

En este panel verá todas las reglas de sincronización creadas para su configuración. Cada línea de la tabla es una regla de sincronización. A la izquierda, en Tipos de regla, se enumeran los dos tipos diferentes: Entrante y Saliente. La perspectiva entrante y saliente corresponde al punto de vista del metaverso. Principalmente nos centraremos en las reglas entrantes en esta información general. La lista real de reglas de sincronización dependerá del esquema detectado en AD. En la imagen anterior al bosque de cuentas (Azure Active Directory Sync.com) no tiene ningún servicio, como Exchange y Lync, y no se ha creado ninguna regla de sincronización para estos servicios. Sin embargo, en el bosque de recursos encontraremos reglas de sincronización para estos servicios. El contenido de las reglas será diferente en función de la versión detectada. Por ejemplo, en una implementación con Exchange 2013 tendremos configurados más flujos de atributo que en Exchange 2010 y Exchange 2007.

Regla de sincronización

Una regla de sincronización es un objeto de configuración con un conjunto de atributos que se pasan cuando se cumple una condición. También se usa para describir cómo un objeto de un espacio conector está relacionado con un objeto del metaverso, conocido como unión o coincidencia. Las reglas de sincronización tienen una precedencia que indica cómo se relacionan entre sí. Una regla de sincronización con un valor numérico inferior en precedencia tiene una precedencia superior y, en caso de conflicto del flujo de atributo, la precedencia superior prevalecerá en su resolución.

Por ejemplo, tomemos la regla de sincronización “In from AD – User AccountEnabled”. Marcaremos esta línea en el SRE y seleccionarEmos Editar.Una regla de sincronización tiene cuatro secciones de configuración: Descripción, Filtro de ámbito, Reglas de combinación y Transformaciones.

Descripción

La primera sección proporciona información básica como el nombre y la descripción.

Edit inbound synchronization rule

También encontramos información sobre con qué sistema conectado está relacionada esta regla, a qué tipo de objeto del sistema conectado se aplica y el tipo de objeto del metaverso. El tipo de objeto del metaverso siempre es una persona independientemente de si el tipo de objeto de origen es un usuario, iNetOrgPerson o un contacto. El tipo de objeto del metaverso nunca debe cambiar, por lo que se crea como un tipo genérico. El tipo de vínculo se puede establecer en Unión, Unión permanente o Aprovisionamiento. Esta configuración funciona con la sección Reglas de unión y se explicará más tarde.

Filtro de ámbito

La sección Filtro de ámbito se utiliza para configurar cuándo se debe aplicar una regla de sincronización. Como el nombre de la regla de sincronización que estamos examinando indica que solo debe aplicarse para los usuarios habilitados, el ámbito se configura de modo que el atributo userAccountControl de AD no deba tener establecido el bit 2. Cuando encontremos un usuario en AD aplicaremos esta regla si userAccountControl se ha establecido en el valor decimal 512 (usuario normal habilitado) pero no se aplicará si el usuario que encontremos tiene userAccountControl establecido en 514 (usuario normal deshabilitado).

Edit inbound synchronization rule

El filtro de ámbito tiene grupos y cláusulas que se pueden anidar. Deben cumplirse todas las cláusulas dentro de un grupo para que se aplique una regla de sincronización. Cuando se definen varios grupos, se debe cumplir al menos un grupo para que se aplique la regla. Es decir, un OR lógico se evalúa entre grupos y un AND lógico se evalúa dentro de un grupo. Un ejemplo de esto se puede encontrar en la regla de sincronización saliente Out to AAD – Group Join, que se muestra a continuación. Hay dos grupos de filtros de sincronización, uno para los grupos de seguridad (securityEnabled EQUAL True) y otro para los grupos de distribución (securityEnabled EQUAL False).

Edit outbound synchronization rule

Esta regla se usa para definir qué grupos se deben aprovisionar a ADD. Los grupos de distribución deben tener el correo habilitado para sincronizarse con ADD, pero esto no es necesario para los grupos de seguridad. Como se puede ver además, también se evalúan bastantes atributos más.

Reglas de unión

La tercera sección se usa para configurar cómo se relacionan los objetos del espacio conector con los objetos del metaverso. La regla que hemos examinado antes no tiene ninguna configuración para Reglas de unión, por lo que vamos a examinar la regla In from AD – User Join en su lugar.

Edit intbound synchronization rule

El contenido de las reglas de unión dependerá de la opción de coincidencia seleccionada en el asistente para instalación. Para una regla entrante, la evaluación se inicia con un objeto en el espacio conector de origen y cada grupo de las reglas de unión se evalúa en secuencia. Si se evalúa si un objeto de origen coincide exactamente con un objeto del metaverso usando una de las reglas de unión, los objetos se unen. Si se han evaluado todas las reglas y no hay coincidencia, se usa el tipo de vínculo de la página de descripción. Si este valor se establece en Provision, se crea un nuevo objeto en el destino, el metaverso. Aprovisionar un nuevo objeto al metaverso también se denomina proyectar un objeto en el metaverso. Las reglas de unión solo se evalúan una vez. Cuando un objeto del espacio conector y un objeto del metaverso se unen, permanecerán unidos mientras el ámbito de la regla de sincronización se siga satisfaciendo. Cuando se evalúan reglas de sincronización, solo debe haber en el ámbito una regla de sincronización con reglas de unión definidas. Si se encuentran varias reglas de sincronización con reglas de unión para un objeto, se emite un error. Por este motivo, la mejor práctica es tener solo una regla de sincronización con una unión definida cuando haya varias reglas de sincronización en el ámbito para un objeto. En la configuración lista para usar para Azure Active Directory Sincronizar estas reglas, examine el nombre y busque aquellos con la palabra Join al final del nombre. Una regla de sincronización sin ninguna regla de unión definida aplicará los flujos de atributo si otra regla de sincronización ha unido los objetos o ha aprovisionado un nuevo objeto en el destino.

Transformaciones

La sección sobre las transformaciones define todos los flujos de atributo que se aplicarán al objeto de destino cuando se unan los objetos y se satisfaga el filtro de ámbito. Volviendo a nuestra regla de sincronización In from AD – User AccountEnabled, encontraremos las transformaciones siguientes:

Edit intbound synchronization rule

Para ponerlo en contexto, en una implementación de bosque cuenta-recurso esperamos encontrar una cuenta habilitada en el bosque de cuenta y una cuenta deshabilitada en el bosque de recurso con la configuración de Exchange y Lync. La regla de sincronización que estamos examinando contiene los atributos necesarios para el inicio de sesión y queremos que fluyan desde el bosque en el que hemos encontrado una cuenta habilitada. Todos estos flujos de atributos se reúnen en una regla de sincronización. Una transformación puede tener tipos diferentes: Constante, Directo y Expresión. En un flujo constante siempre fluirá un valor en particular, en el caso anterior estableceremos siempre el valor True en el atributo del metaverso denominado accountEnabled. En un flujo directo fluirá el valor del atributo del origen hacia el atributo de destino. El tercer flujo es de tipo expresión y permite configuraciones más avanzadas. El lenguaje de la expresión es VBA (Visual Basic for Applications) por lo que un usuario con experiencia de Microsoft Office o VBScript reconocerá el formato. Los atributos se especifican entre corchetes, [nombreAtributo]. Los nombres de atributo y los nombres de función distinguen entre mayúsculas y minúsculas, pero el editor de reglas de sincronización evaluará las expresiones y proporcionará una advertencia si la expresión no es válida. Todas las expresiones se expresan en una única línea con funciones anidadas. Para mostrar la eficacia del lenguaje de configuración, encontrará a continuación el flujo para pwdLastSet, pero con comentarios adicionales insertados:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD? 
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .Net datetime, change it to the time format used by AAD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

El tema de transformación es grande y proporciona una gran parte de la configuración personalizada posible con Azure Active Directory Sync. La configuración personalizada no se tratará en este documento de información general, pero veremos algunos flujos de atributos adicionales más adelante en este documento.

Prioridad

Hemos examinado algunas reglas de sincronización individuales, pero las reglas se utilizan combinadas en la configuración. En algunos casos se aporta un valor de atributo desde varias reglas de sincronización al mismo atributo de destino. En este caso se usa la precedencia de atributos para determinar qué atributo prevalecerá. Por ejemplo, tomemos el atributo sourceAnchor. Este atributo es importante para poder iniciar sesión en Azure AD. Podemos encontrar un flujo de atributo para este atributo en dos reglas de sincronización diferentes, In from AD – User AccountEnabled e In from AD – User Common. Debido a la precedencia de las reglas de sincronización, el atributo sourceAnchor se aportará desde el árbol con una cuenta habilitada primero si hay varios objetos unidos al objeto del metaverso. Si no hay cuentas habilitadas, usaremos la regla de sincronización para capturar todo In from AD – User Common. Esto asegurará que proporcionamos un sourceAnchor incluso para las cuentas que están deshabilitadas. El asistente para instalación establece la precedencia para las reglas de sincronización en grupos. En un grupo de reglas, todas tienen el mismo nombre, pero se conectan a diferentes directorios conectados. El asistente para instalación dará a la regla In from AD – User Join la precedencia más alta e iterará sobre todos los directorios AD conectados. Después continuará con los grupos de reglas siguientes en un orden predefinido. Dentro de un grupo, las reglas se agregan en el orden en que los conectores se han agregado en el asistente. Si se agrega otro conector a través del asistente, las reglas de sincronización se reordenarán y las reglas del nuevo conector se insertarán al final de cada grupo.

Resumen

Ahora conocemos lo suficiente de las reglas de sincronización para poder comprender cómo funciona la configuración con las distintas reglas de sincronización. Si tomamos un usuario y los atributos que se aportan al metaverso, las reglas se aplican en el orden siguiente:

Nombre

Comment

In from AD – User Join

Regla para unir objetos del espacio del conector con el metaverso.

In from AD – UserAccount Enabled

Atributos necesarios para el inicio de sesión en Azure AD y Office 365. Estos atributos deben ser de la cuenta habilitada.

In from AD – User Common from Exchange

Atributos encontrados en la lista global de direcciones Suponemos que la calidad de los datos es mejor en el bosque donde encontramos el buzón del usuario.

In from AD – User Common

Atributos encontrados en la lista global de direcciones En caso de que no encontremos un buzón, cualquier otro objeto unido puede aportar el valor de atributo.

In from AD – User Exchange

Solo existirá si se ha detectado Exchange. Hará fluir todos los atributos de Exchange de la infraestructura.

In from AD – User Lync

Solo existirá si se ha detectado Lync. Hará fluir todos los atributos de Lync de la infraestructura.

Otros puntos a tener en cuenta

Finalizaremos este documento examinando un flujo de atributo en particular.

cloudFiltered

Este flujo de atributo se puede encontrar en In from AD – Join User. Aunque no es necesario para la unión, se coloca en esta regla ya que es importante. Todas las reglas de sincronización salientes tienen un filtro de ámbito en el atributo cloudFiltered y veremos cómo usarlo para filtrar más un documento diferente. Este flujo filtrará de forma predeterminada unos cuantos objetos que no aparecerán en la nube. La barra vertical doble || en la expresión siguiente es un OR lógico.

// if-then-else
IIF(
// Don’t synchronize default AD objects, such as Administrator
IsPresent([isCriticalSystemObject]) || 
// Don’t synchronize objects with no sAMAccountName set
IsPresent([sAMAccountName]) = False || 
// Don’t synchronize these special Exchange mailboxes
[sAMAccountName] = "SUPPORT_388945a0" || 
Left([mailNickname], 14) = "SystemMailbox{" || 
(Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)) || 
(Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}") > 0)) ||  
// Don’t synchronize Exchange system mailboxes
CBool(IIF(IsPresent([msExchRecipientTypeDetails]), 
BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL)) ||
// Don’t synchronize the Azure Active Directory Sync/DirSync service accounts
Left([sAMAccountName], 4) = "AAD_" || Left([sAMAccountName], 5) = "MSOL_" ||
// Don’t synchronize replication conflict objects
CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0), 
// Then, If any of these OR clauses is True, then flow “True”
True, 
// Else, if not, then don’t flow anything
NULL
)

Consulte también

Conceptos

sincronización de Azure Active Directory