Compartir a través de


Conceptos técnicos sobre la sincronización de Azure Active Directory

Actualizado: 21 de julio de 2015

Importante

Este tema se archivará pronto.
Hay un nuevo producto denominado "Azure Active Directory Conectar" que reemplaza AADSync y DirSync.
Azure AD Connect incorpora los componentes y la funcionalidad publicados previamente como Dirsync y Sincronización de AAD.
En algún momento en el futuro, la compatibilidad con Dirsync y Sincronización de AAD finalizará.
Estas herramientas ya no se actualizan individualmente con mejoras de características y todas las mejoras futuras se incluirán en las actualizaciones de Azure AD Conectar.

Para obtener la información más reciente sobre Azure Active Directory Conectar, consulte Integración de las identidades locales con Azure Active Directory

AADSync se basa en una sólida plataforma de sincronización de metadirectorios.
Las secciones siguientes presentan los conceptos de sincronización de metadirectorio.
Basándose en MIIS, ILM y FIM, Servicios de sincronización de Azure Active Directory proporciona la plataforma siguiente para conectarse a orígenes de datos, sincronizar datos de datos entre orígenes de datos y realizar el aprovisionamiento/desaprovisionamiento de identidades.

Technical Concepts

Las secciones siguientes proporcionan más detalles sobre los siguientes aspectos del Servicio de sincronización de FIM:

  • Conector

  • Flujo del atributo

  • Espacio del conector

  • Metaverso

  • Aprovisionamiento

Conector

Los módulos de código que se usan para comunicarse con un origen de datos conectado se llaman conectores (antes MA, o agentes de administración). Están instalados en el equipo que ejecuta AADSync.
Los conectores proporcionan la capacidad sin agente de conversar mediante protocolos del sistema remoto, en lugar de depender de la implementación de agentes especializados. Esto significa menor riesgo y el tiempo de implementación, especialmente al tratar con sistemas y aplicaciones críticas. En la figura anterior, el conector es sinónimo del espacio conector, pero engloba todas las comunicaciones con el sistema externo.

El conector es responsable de la funcionalidad de importación y exportación en el sistema y libera a los desarrolladores de la necesidad de entender cómo conectarse a cada sistema de forma nativa al usar el aprovisionamiento declarativo para personalizar las transformaciones de datos.
Las importaciones y las exportaciones solo se producen cuando están programadas, lo que permite un mayor aislamiento frente a los cambios que se producen en el sistema, ya que los cambios no se propagan automáticamente al origen de datos conectado. Además, los desarrolladores también pueden crear sus propios conectores para conectarse a prácticamente cualquier origen de datos. .

Flujo del atributo

El metaverso es la vista consolidada de todas las identidades unidas de los espacios conectores colindantes. En la figura anterior, el flujo de atributo se muestra mediante flechas, tanto para el flujo de entrada como para el de salida. El flujo de atributo es el proceso de copiar o transformar datos de un sistema a otro y todos los flujos de atributo (de entrada o de salida).

El flujo de atributos se produce entre el espacio del conector y el metaverso bidireccionalmente cuando las operaciones de sincronización (completa o delta) están programadas para ejecutarse.
El flujo de atributos solo se produce cuando se ejecutan estas sincronizaciones. Los flujos de atributos se definen en las reglas de sincronización. Pueden ser de entrada (ISR en la imagen anterior) o salida (OSR en la imagen anterior).

Espacio del conector

Cada origen de datos conectado se representa como un subconjunto filtrado de los objetos y atributos en el espacio del conector.
Esto permite que el servicio de sincronización funcione localmente sin necesidad de ponerse en contacto con el sistema remoto al sincronizar los objetos y restringe la interacción solo a las importaciones y exportaciones.

Cuando el origen de datos y el conector tienen la capacidad de proporcionar una lista de cambios (una importación delta), la eficiencia operativa aumenta significativamente porque solo se intercambian los cambios desde el último ciclo de sondeo. El espacio del conector aísla el origen de datos conectado de los cambios que se propagan automáticamente solicitando la importación y exportación de la programación del conector.
Esta seguridad adicional le proporciona tranquilidad durante las pruebas, la obtención de vista previa o la confirmación de la próxima actualización.

Metaverso

El metaverso es la vista consolidada de todas las identidades combinadas de otros espacios de conector.
Puesto que las identidades están vinculadas entra sí y la autoridad está asignada para varios atributos a través de asignaciones de flujo de importación, el objeto de metaverso central comienza a agregar información desde varios sistemas.
A partir de este flujo de atributos de objetos, las asignaciones proporcionan información a los sistemas de salida.
Los objetos se crean cuando un sistema autorizado los proyecta en el metaverso.
En cuanto se quitan todas las conexiones, se elimina el objeto de metaverso.
Los objetos del metaverso no pueden editarse directamente. Todos los datos del objeto deben aportarse mediante el flujo de atributo. El metaverso mantiene conectores persistentes con cada espacio de conector.
Estos conectores no requieren una reevaluación para cada ejecución de sincronización. Esto significa que AADSync no tiene que localizar el objeto remoto coincidente cada vez, lo que evita la necesidad de utilizar agentes costosos para impedir cambios en los atributos que normalmente serían responsables de correlacionar los objetos.
Cuando descubre nuevos orígenes de datos que podrían tener objetos preexistentes que habría que administrar, AADSync usa un proceso llamado regla de unión para evaluar los candidatos potenciales con los que establecer un vínculo.
Una vez establecido el vínculo, esta evaluación no se repite y el flujo de atributos normal puede producirse entre el origen de datos conectado remoto y el metaverso.

Aprovisionamiento

Cuando un origen autoritativo proyecta un nuevo objeto en el metaverso, puede crearse un nuevo objeto de espacio de conector en otro conector que representa un origen de datos conectado de nivel inferior.
Esto establece intrínsecamente un vínculo y el flujo de atributos puede continuar de manera bidireccional.

Siempre que una regla se determina que tiene que crearse un nuevo objeto de espacio de conector, se le denomina aprovisionamiento. Sin embargo, puesto que esta operación solo se produce dentro del espacio del conector, no se mantienen en el origen de datos conectado hasta que se realiza una exportación.

Consulte también

Conceptos

sincronización de Azure Active Directory