Exploration approfondie de la synchronisation cloud – Fonctionnement

  • Article

Présentation des composants

Fonctionnement

La synchronisation cloud est basée sur les services Microsoft Entra et comporte deux composants clés :

  • Agent d’approvisionnement : L’agent d’approvisionnement cloud de Microsoft Entra Connect est le même agent que celui entrant de Workday et est basé sur la même technologie côté serveur que le proxy d’application et l’authentification directe. Elle ne nécessite qu’une connexion sortante et les agents sont mis à jour automatiquement.
  • Service d’approvisionnement : il s’agit du même service d’approvisionnement que l’approvisionnement sortant et l’approvisionnement entrant de Workday qui utilise un modèle basé sur le planificateur. Les dispositions de synchronisation cloud changent toutes les 2 minutes.

Configuration initiale

Lors de la configuration initiale, quelques opérations sont effectuées pour permettre la synchronisation cloud.

  • Pendant l’installation de l’agent : Vous configurez l’agent pour les domaines AD à partir desquels vous souhaitez approvisionner. Cette configuration inscrit les domaines dans le service d’identité hybride et établit une connexion sortante vers le bus de service à l’écoute des demandes.
  • Lorsque vous activez l’approvisionnement : vous sélectionnez le domaine AD et activez l’approvisionnement qui s’exécute toutes les 2 minutes. Si vous le souhaitez, vous pouvez désélectionner la synchronisation du hachage de mot de passe et définir une adresse e-mail de notification. Vous pouvez également gérer la transformation des attributs à l’aide d’API Microsoft Graph.

Installation de l’agent

Voici ce qu’il se produit lorsque l’agent d’approvisionnement cloud est installé.

  • Le programme d’installation installe les fichiers binaires de l’agent et le service d’agent s’exécutant sous le compte de service virtuel (NETWORK SERVICE\AADProvisioningAgent). Un compte de service virtuel est un type spécial de compte qui ne dispose pas d’un mot de passe et qui est géré par Windows.
  • Le programme d’installation démarre ensuite l’Assistant.
  • L’Assistant vous invite à entrer les informations d’identification de Microsoft Entra, puis s’authentifie, puis récupère un jeton.
  • L’Assistant demande ensuite les informations d’identification des administrateurs de domaine de l’ordinateur actuel.
  • Le compte de service géré général de l’agent (GMSA) pour ce domaine est soit créé, soit localisé et réutilisé s’il existe déjà.
  • Le service de l’agent est maintenant reconfiguré pour s’exécuter sous le GMSA.
  • L’Assistant demande à présent la configuration du domaine avec le compte Administrateur d’entreprise (EA)/Administrateur de domaine (DA) pour chaque domaine que l’agent doit traiter.
  • Le compte GMSA est ensuite mis à jour avec des autorisations qui lui permettent d’accéder à chaque domaine entré lors de la configuration.
  • Ensuite, l’Assistant déclenche l’inscription de l’agent.
  • L’agent crée un certificat et utilise le jeton Microsoft Entra, s’inscrit lui-même et le certificat auprès du service d’inscription du service d’identité hybride (HIS)
  • L’Assistant déclenche un appel AgentResourceGrouping. Cet appel au service d’administration du HIS consiste à attribuer l’agent à un ou plusieurs domaines AD dans la configuration du HIS.
  • L’Assistant redémarre maintenant le service de l’agent.
  • L’agent appelle un service de démarrage au redémarrage (et toutes les 10 minutes par la suite) pour vérifier les mises à jour de la configuration. Le service de démarrage valide l’identité de l’agent. Il met également à jour la dernière heure de démarrage. Cela est important, car si les agents ne démarrent pas, ils n’obtiennent pas les points de terminaison Service Bus mis à jour et peuvent ne pas être en mesure de recevoir les demandes.

Qu’est-ce que SCIM (System for Cross-Domain Identity Management) ?

La spécification SCIM est une norme utilisée pour automatiser l’échange d’informations d’identité d’utilisateur ou de groupe entre des domaines d’identité tels que Microsoft Entra ID. SCIM devient la norme de facto pour l’approvisionnement et, lorsqu’elle est utilisée avec des normes de fédération comme SAML ou OpenID Connect, fournit aux administrateurs une solution de bout en bout basée sur des normes pour la gestion de l’accès.

L’agent d’approvisionnement cloud de Microsoft Entra Connect utilise SCIM avec Microsoft Entra ID pour attribuer et supprimer les privilèges d’accès d’utilisateurs et de groupes.

Flux de synchronisation

approvisionnement Une fois que vous avez installé l’agent et activé l’approvisionnement, le processus suivant se produit.

  1. Une fois configuré, le service d’approvisionnement Microsoft Entra appelle le service hybride Microsoft Entra pour ajouter une requête au bus de service. L’agent maintient en permanence une connexion sortante vers le bus de service à l’écoute des demandes et récupère immédiatement la demande SCIM (System for Cross-domain Identity Management).
  2. L’agent décompose la demande en plusieurs requêtes distinctes basées sur le type d’objet.
  3. Active Directory renvoie le résultat à l’agent, et l’agent filtre ces données avant de les envoyer à Microsoft Entra ID.
  4. L’agent retourne la réponse SCIM à Microsoft Entra ID. Ces réponses sont basées sur le filtrage qui s’est produit au sein de l’agent. L’agent utilise l’étendue pour filtrer les résultats.
  5. Le service d’approvisionnement écrit les modifications dans Microsoft Entra ID.
  6. Si une synchronisation différentielle se produit, par opposition à une synchronisation complète, le cookie/filigrane est utilisé. Les nouvelles requêtes obtiennent dorénavant des modifications depuis ce cookie/filigrane.

Scénarios pris en charge :

Les scénarios suivants sont pris en charge pour la synchronisation cloud.

  • Client hybride existant avec une nouvelle forêt : Microsoft Entra Connect Sync est utilisé pour les forêts principales. La synchronisation cloud est utilisée pour l’approvisionnement à partir d’une forêt AD (y compris déconnectée). Pour plus d’informations, consultez le tutoriel ici.

Hybride actuel

  • Nouveau client hybride : Microsoft Entra Connect Sync n’est pas utilisé. La synchronisation cloud est utilisée pour l’approvisionnement à partir d’une forêt AD. Pour plus d’informations, consultez le tutoriel ici.

Nouveaux clients

  • Client hybride existant : Microsoft Entra Connect Sync est utilisé pour les forêts principales. La synchronisation cloud est pilotée par un petit ensemble d’utilisateurs dans les forêts principales ici.

Pilote actuel

Pour en savoir plus, consultez Topologies prises en charge.

Étapes suivantes