A Helyszíni Microsoft Entra alkalmazásidentitás-létesítési architektúrája

  • Cikk

Áttekintés

Az alábbi ábra a helyszíni alkalmazások kiépítésének működését mutatja be.

Diagram that shows the architecture for on-premises application provisioning.

A felhasználók helyszíni alkalmazásba való üzembe helyezésének három elsődleges összetevője van:

  • A kiépítési ügynök kapcsolatot biztosít a Microsoft Entra ID és a helyszíni környezet között.
  • Az Extensible Csatlakozás ivity (ECMA) Csatlakozás or gazdagép a Microsoft Entra ID-ból érkező kiépítési kérelmeket a célalkalmazásnak küldött kérelmekké alakítja át. Átjáróként szolgál a Microsoft Entra ID és az alkalmazás között. Ezzel importálhatja a Microsoft Identity Managerrel használt meglévő ECMA2-összekötőket. Ha SCIM-alkalmazást vagy SCIM-átjárót készített, nem szükséges az ECMA-gazdagép.
  • A Microsoft Entra kiépítési szolgáltatás szolgál szinkronizálási motorként.

Megjegyzés:

Nincs szükség a Microsoft Identity Manager szinkronizálására. Használhatja azonban az ECMA2-összekötő összeállítására és tesztelésére, mielőtt importálja az ECMA-gazdagépre. Az ECMA2-összekötő a MIM-re jellemző, ahol az ECMA-gazdagép a kiépítési ügynökkel való használatra alkalmas.

Tűzfalkövetelmények

Nem kell bejövő kapcsolatokat megnyitnia a vállalati hálózathoz. A kiépítési ügynökök csak kimenő kapcsolatokat használnak a kiépítési szolgáltatáshoz, ami azt jelenti, hogy nincs szükség tűzfalportok megnyitására a bejövő kapcsolatokhoz. Szegélyhálózatra (DMZ) sincs szüksége, mert minden kapcsolat kimenő, és biztonságos csatornán keresztül zajlik.

A kiépítési ügynökökhöz szükséges kimenő végpontokat itt találja.

ECMA Csatlakozás or gazdagéparchitektúra

Az ECMA Csatlakozás or gazdagép számos olyan területből áll, amelyet a helyszíni kiépítés megvalósításához használ. Az alábbi diagram egy fogalmi rajz, amely ezeket az egyes területeket mutatja be. Az alábbi táblázat részletesebben ismerteti a területeket.

ECMA connector host

Terület Leírás
Endpoints A Microsoft Entra kiépítési szolgáltatással való kommunikációért és adatátvitelért felelős
Memóriabeli gyorsítótár A helyszíni adatforrásból importált adatok tárolására szolgál
Automatikus szinkronizálás Aszinkron adatszinkronizálást biztosít az ECMA Csatlakozás or gazdagép és a helyszíni adatforrás között
Üzleti logika Az ECMA Csatlakozás or Host összes tevékenységének koordinálására szolgál. Az autoszinkron idő konfigurálható az ECMA-gazdagépen. Ez a tulajdonságok lapon található.

A horgonyattribútumok és a megkülönböztető nevek ismertetése

A következő információk a horgonyattribútumok és a megkülönböztető nevek jobb magyarázatára szolgálnak, amelyeket különösen a genericSQL-összekötő használ.

A horgonyattribútum egy olyan objektumtípus egyedi attribútuma, amely nem változik, és az objektumot az ECMA Csatlakozás or gazdagép memóriabeli gyorsítótárában jelöli.

A megkülönböztető név (DN) egy olyan név, amely egyedileg azonosít egy objektumot a címtárhierarchia aktuális helyének jelzésével. Vagy az SQL-ben, a partíción. A név a címtárpartíció gyökerénél lévő horgonyattribútum összefűzésével jön létre.

Ha hagyományos formátumú hagyományos DN-ekre gondolunk, például az Active Directoryra vagy az LDAP-ra, a következőhöz hasonlóra gondolunk:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Az olyan adatforrások esetében, mint például az SQL, amely lapos, nem hierarchikus, a DN-nek vagy már szerepelnie kell az egyik táblában, vagy létre kell hoznia az ECMA Csatlakozás or gazdagépnek megadott információkból.

Ez a genericSQL-összekötő konfigurálásakor az automatikusan létrehozott jelölőnégyzet bejelölésével érhető el. Ha a DN-t választja az automatikus létrehozáshoz, az ECMA-gazdagép létrehoz egy DN-t LDAP formátumban: CN=<anchorvalue,OBJECT>=<type>. Ez azt is feltételezi, hogy a DN nincs bejelölve a Csatlakozás ivity lapon.

DN is Anchor unchecked

A genericSQL-összekötő elvárja, hogy a DN LDAP-formátumban legyen feltöltve. Az általános SQL-összekötő az LDAP stílust használja az "OBJECT=" összetevőnévvel. Ez lehetővé teszi partíciók használatát (minden objektumtípus egy partíció).

Mivel az ECMA Csatlakozás or gazdagép jelenleg csak az U Standard kiadás R objektumtípust támogatja, az OBJECT=<type> az OBJECT=U Standard kiadás R lesz. Tehát egy ljacobson horgonyértékkel rendelkező felhasználó DN-címe a következő:

CN=ljacobson,OBJECT=U Standard kiadás R

Felhasználólétrehozás munkafolyamata

  1. A Microsoft Entra kiépítési szolgáltatás lekérdezi az ECMA Csatlakozás or gazdagépet, hogy ellenőrizze, létezik-e a felhasználó. Szűrőként az egyező attribútumot használja. Ez az attribútum az Azure Portalon, a Nagyvállalati alkalmazások –> Helyszíni kiépítés –> kiépítés –> attribútumegyezés alatt van definiálva. Az 1 az egyező sorrendet jelöli. Definiálhat egy vagy több egyező attribútumot, és rangsorolhatja őket a prioritás alapján. Ha módosítani szeretné a megfelelő attribútumot, azt is megteheti. Matching attribute

  2. Az ECMA Csatlakozás or gazdagép megkapja a GET kérést, és lekérdezi a belső gyorsítótárát, hogy megállapítsa, létezik-e a felhasználó, és van-e importálva. Ez a fenti egyező attribútum(ok) használatával történik. Ha több egyező attribútumot határoz meg, a Microsoft Entra kiépítési szolgáltatás get kérést küld minden attribútumhoz, és az ECMA-gazdagép ellenőrzi a gyorsítótárát, hogy megegyezik-e, amíg nem talál egyet.

  3. Ha a felhasználó nem létezik, a Microsoft Entra ID post kérést küld a felhasználó létrehozásához. Az ECMA Csatlakozás or gazdagép a HTTP 201-zel válaszol a Microsoft Entra-azonosítóra, és megadja a felhasználó azonosítóját. Ez az azonosító az objektumtípusok lapon definiált horgonyértékből származik. Ezt a horgonyt fogja használni a Microsoft Entra ID az ECMA Csatlakozás or gazdagép lekérdezéséhez a jövőbeli és az azt követő kérésekhez.

  4. Ha változás történik a felhasználóval a Microsoft Entra-azonosítóban, akkor a Microsoft Entra ID get kérést küld a felhasználó lekérésére az előző lépés horgonyával, nem pedig az 1. lépés megfelelő attribútumával. Ez lehetővé teszi például, hogy az UPN megváltozzon anélkül, hogy megszakítja a felhasználó közötti kapcsolatot a Microsoft Entra-azonosítóban és az alkalmazásban.

Az ügynökkel kapcsolatos ajánlott eljárások

  • A helyszíni kiépítési funkcióhoz és a Workday/SuccessFactors/Microsoft Entra Csatlakozás felhőszinkronizáláshoz használt ügynök jelenleg nem támogatott. Aktívan dolgozunk a helyszíni kiépítés támogatásán ugyanazon az ügynökön, mint a többi kiépítési forgatókönyv.
    • Kerülje az ügynökök és az Azure közötti kimenő TLS-kommunikáció beágyazott ellenőrzésének minden formáját. Az ilyen típusú beágyazott vizsgálat a kommunikációs folyamat romlását okozza.
  • Az ügynöknek kommunikálnia kell az Azure-ral és az alkalmazással is, így az ügynök elhelyezése befolyásolja a két kapcsolat késését. Az egyes hálózati kapcsolatok optimalizálásával minimalizálhatja a végpontok közötti forgalom késését. Minden kapcsolat optimalizálható az alábbiak szerint:
    • A komló két vége közötti távolság csökkentése.
    • Válassza ki a megfelelő hálózatot a járáshoz. Például a dedikált hivatkozások miatt a nyilvános internet helyett a magánhálózatok bejárása gyorsabb lehet.
  • Az ügynök és az ECMA-gazdagép egy kommunikációs tanúsítványra támaszkodik. Az ECMA-gazdagép által létrehozott önaláírt tanúsítványt csak tesztelési célokra szabad használni. Az önaláírt tanúsítvány alapértelmezés szerint két év múlva lejár, és nem vonható vissza. A Microsoft azt javasolja, hogy megbízható hitelesítésszolgáltatótól származó tanúsítványt használjon éles használat esetén.

A kiépítési ügynökkel kapcsolatos kérdések

Néhány gyakori kérdésre itt talál választ.

Hogyan ismeri a kiépítési ügynököm verzióját?

  1. Jelentkezzen be arra a Windows-kiszolgálóra, ahol a kiépítési ügynök telepítve van.
  2. Nyissa meg a Vezérlőpult A program módosítása vagy a Vezérlőpult>.> elemet.
  3. Keresse meg a Microsoft Entra Csatlakozás Provisioning Agent bejegyzésének megfelelő verziót.

Telepíthetem a kiépítési ügynököt ugyanazon a kiszolgálón, amelyen a Microsoft Entra Csatlakozás vagy a Microsoft Identity Manager fut?

Igen. A kiépítési ügynököt ugyanarra a kiszolgálóra telepítheti, amely a Microsoft Entra Csatlakozás vagy a Microsoft Identity Managert futtatja, de ezekre nincs szükség.

Hogyan konfigurálja a kiépítési ügynököt úgy, hogy proxykiszolgálót használjon a kimenő HTTP-kommunikációhoz?

A kiépítési ügynök támogatja a kimenő proxy használatát. Konfigurálhatja a C:\Program Files\Microsoft Azure AD Csatlakozás Provisioning Agent\AAD Csatlakozás ProvisioningAgent.exe.config ügynökkonfigurációs fájl szerkesztésével. Adja hozzá a következő sorokat a fájl vége felé, a záró </configuration> címke előtt. Cserélje le a változókat [proxy-server] és [proxy-port] a proxykiszolgáló nevét és portértékeit.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Hogyan győződjön meg arról, hogy a kiépítési ügynök képes kommunikálni a Microsoft Entra-bérlővel, és nincsenek tűzfalak, amelyek blokkolják az ügynök által igényelt portokat?

Azt is ellenőrizheti, hogy az összes szükséges port nyitva van-e.

Hogyan eltávolítani a kiépítési ügynököt?

  1. Jelentkezzen be arra a Windows-kiszolgálóra, ahol a kiépítési ügynök telepítve van.
  2. Nyissa meg a Vezérlőpult A program módosítása vagy a Vezérlőpult>.> elemet.
  3. Távolítsa el a következő programokat:
    • Microsoft Entra Csatlakozás kiépítési ügynök
    • Microsoft Entra Csatlakozás Agent Updater
    • Microsoft Entra Csatlakozás Kiépítési ügynökcsomag

Kiépítési ügynök előzményei

Ez a cikk a Microsoft Entra Csatlakozás kiépítési ügynök megjelent verzióit és funkcióit sorolja fel. A Microsoft Entra csapata rendszeresen frissíti a kiépítési ügynököt új funkciókkal és funkciókkal. Győződjön meg arról, hogy nem ugyanazt az ügynököt használja helyszíni kiépítéshez és felhőszinkronizáláshoz/ HR-alapú kiépítéshez.

A Microsoft közvetlen támogatást nyújt a legújabb ügynökverzióhoz és egy korábbi verzióhoz.

A helyszíni alkalmazáskiépítés bekerült a kiépítési ügynökbe, és elérhető a portálon. Lásd a kiépítési ügynök telepítését.

1.1.892.0

2022. május 20. – letölthető

Megoldott problémák

  • Támogattuk az egész szám attribútumainak módosításainak exportálását, ami az általános LDAP-összekötőt használó ügyfelek számára előnyös.

1.1.846.0

2022. április 11. – letölthető

Megoldott problémák

  • A felhasználók AD LDS-be való kiépítésekor hozzáadtuk az ObjectGUID támogatását az általános LDAP-összekötő horgonyaként.

További lépések