Microsoft Entra Connect szinkronizálás: A deklaratív kiépítés ismertetése

  • Cikk

Ez a témakör a Microsoft Entra Csatlakozás konfigurációs modelljét ismerteti. A modell neve Deklaratív kiépítés, és lehetővé teszi a konfiguráció egyszerű módosítását. A jelen témakörben ismertetett számos dolog fejlett, és a legtöbb ügyfélforgatókönyv esetében nem szükséges.

Áttekintés

A deklaratív kiépítés egy forráshoz csatlakoztatott könyvtárból érkező objektumokat dolgoz fel, és meghatározza, hogyan kell az objektumokat és attribútumokat forrásból célként átalakítani. A szinkronizálási folyamat egy objektumot dolgoz fel, és a folyamat megegyezik a bejövő és kimenő szabályokkal. A bejövő szabály egy összekötőtérből a metaverzumba, a kimenő szabály pedig a metaverzumból egy összekötőtérbe kerül.

Diagram that shows a sync pipeline example.

A folyamat több különböző modullal rendelkezik. Mindegyik egy fogalomért felelős az objektumszinkronizálásban.

Diagram that shows the modules in the pipeline.

  • Forrás, A forrásobjektum
  • Hatókör, A hatókörben lévő összes szinkronizálási szabály keresése
  • Csatlakozás, Az összekötőtér és a metaverzum közötti kapcsolat meghatározása
  • Átalakítás, Az attribútumok átalakításának és folyamatának kiszámítása
  • Elsőbbség, Ütköző attribútum-hozzájárulások feloldása
  • Cél, A célobjektum

Scope

A hatókörmodul kiértékel egy objektumot, és meghatározza a hatókörben lévő szabályokat, és szerepelnie kell a feldolgozásban. Az objektum attribútumértékétől függően a rendszer különböző szinkronizálási szabályokat értékel ki hatókörként. Például egy Exchange-postaláda nélküli letiltott felhasználónak más szabályai vannak, mint egy postaládával rendelkező, engedélyezett felhasználónak.
Diagram that shows the scope module for an object.

A hatókör csoportokként és záradékokként van definiálva. A záradékok egy csoportban találhatók. A logikai ÉS a csoport összes záradéka között használatos. Például (department =IT AND country = Dánia). A csoportok között logikai VAGY függvényt használunk.

Scope
A képen szereplő hatókört (részleg = IT ÉS ország = Dánia) VAGY (country=Svédország) kell olvasni. Ha az 1. vagy a 2. csoport értéke igaz, akkor a szabály hatókörben van.

A hatókörmodul a következő műveleteket támogatja.

Művelet Leírás
EQUAL, NOTEQUAL Egy sztring összehasonlítása, amely kiértékeli, hogy az érték egyenlő-e az attribútum értékével. A többértékű attribútumokért lásd: ISIN és ISNOTIN.
LESSTHAN, LESSTHAN_OR_EQUAL Egy sztring összehasonlítása, amely kiértékeli, hogy az érték kisebb-e, mint az attribútumban lévő érték.
CONTAINS, NOTCONTAINS Egy sztring összehasonlítása, amely kiértékeli, hogy az érték megtalálható-e valahol az attribútumban lévő értéken belül.
STARTSWITH, NOTSTARTSWITH Egy sztring összehasonlítása, amely kiértékeli, hogy az érték az attribútumban lévő érték elején van-e.
ENDSWITH, NOTENDSWITH Egy sztring összehasonlítása, amely kiértékeli, hogy az érték az attribútum értékének végén van-e.
GREATERTHAN, GREATERTHAN_OR_EQUAL Egy sztring összehasonlítása, amely kiértékeli, hogy az érték nagyobb-e, mint az attribútumban lévő érték.
ISNULL, ISNOTNULL Kiértékeli, hogy az attribútum hiányzik-e az objektumból. Ha az attribútum nincs jelen, ezért null, akkor a szabály hatókörben van.
ISIN, ISNOTIN Kiértékeli, hogy az érték szerepel-e a megadott attribútumban. Ez a művelet az EQUAL és a NOTEQUAL többértékű változata. Az attribútumnak többértékű attribútumnak kell lennie, és ha az érték bármelyik attribútumértékben megtalálható, akkor a szabály hatókörben van.
ISBIT Standard kiadás T, ISOTBIT Standard kiadás T Kiértékeli, hogy egy adott bit be van-e állítva. Például a userAccountControl bitjeinek kiértékelésére használható annak megtekintéséhez, hogy egy felhasználó engedélyezve van-e vagy le van-e tiltva.
ISMEMBEROF, ISNOTMEMBEROF Az értéknek tartalmaznia kell egy DN-t az összekötőtér egy csoportjához. Ha az objektum a megadott csoport tagja, a szabály hatókörben van.

Csatlakozás

A szinkronizálási folyamat illesztési modulja felelős a forrásban lévő objektum és a cél objektum közötti kapcsolat megtalálásáért. Bejövő szabály esetén ez a kapcsolat egy összekötőtérbeli objektum, amely kapcsolatot keres egy objektummal a metaversen belül.
Join between cs and mv
A cél annak megtekintése, hogy van-e már objektum a metaverzumban, amelyet egy másik Csatlakozás or hozott létre, azt hozzá kell társítani. Például egy fiókerőforrás-erdőben a fiókerdő felhasználójának csatlakoznia kell a felhasználóhoz az erőforráserdőből.

Az illesztések többnyire bejövő szabályokon alapulnak, hogy az összekötőtér-objektumokat ugyanahhoz a metaverzumobjektumhoz kapcsolják.

Az illesztések egy vagy több csoportként vannak definiálva. A csoporton belül záradékok vannak. A logikai ÉS a csoport összes záradéka között használatos. A csoportok között logikai VAGY függvényt használunk. A csoportok feldolgozása felülről lefelé haladva történik. Ha egy csoport pontosan egy egyezést talált egy objektummal a célban, akkor a rendszer nem értékel ki más illesztésszabályokat. Ha nulla vagy több objektum található, a feldolgozás a következő szabálycsoportra folytatódik. Ezért a szabályokat a leg explicitebb első és legfuzzyabb sorrendben kell létrehozni a végén.
Join definition
A képen látható illesztések feldolgozása felülről lefelé történik. Először a szinkronizálási folyamat látja, hogy van-e egyezés az alkalmazotti azonosítón. Ha nem, a második szabály azt látja, hogy a fióknév használható-e az objektumok összekapcsolására. Ha ez sem egyezik, akkor a harmadik és utolsó szabály egy homályosabb egyezés a felhasználó nevével.

Ha az összes csatlakozási szabály kiértékelve van, és nincs pontosan egy egyezés, a Leírás lapon található hivatkozástípust használja a rendszer. Ha ez a beállítás Kiépítés értékre van állítva, akkor létrejön egy új objektum a célban.
Screenshot that shows the

Egy objektumnak csak egyetlen szinkronizálási szabálysal kell rendelkeznie a hatókörbe tartozó illesztési szabályokkal. Ha több szinkronizálási szabály van definiálva, hiba történik. Az illesztési ütközések feloldása nem az elsőbbségi sorrendet használja. Az objektumoknak olyan illesztési szabálysal kell rendelkezniük a hatókörben, amellyel az attribútumok ugyanolyan bejövő/kimenő irányban haladhatnak. Ha ugyanahhoz az objektumhoz bejövő és kimenő attribútumokat is át kell hajtania, akkor egy bejövő és egy kimenő szinkronizálási szabályt kell tartalmaznia az illesztéssel.

A kimenő illesztés különleges viselkedéssel rendelkezik, amikor objektumot próbál kiépíteni egy célösszekötő-területre. A DN attribútum használatával először megpróbálhat fordított illesztéseket. Ha már van egy objektum a célösszekötőben ugyanazzal a DN-vel, az objektumok csatlakoznak.

Az illesztési modul csak egyszer lesz kiértékelve, amikor egy új szinkronizálási szabály hatókörbe kerül. Amikor egy objektum csatlakozik, akkor sem szűnik meg a csatlakozás, ha az illesztési feltételek már nem teljesülnek. Ha egy objektum csatlakoztatását szeretné megszüntetni, az objektumokhoz csatlakozó szinkronizálási szabálynak ki kell lépnie a hatókörből.

Metaverzum törlése

A metaverzumobjektumok mindaddig megmaradnak, amíg van egy szinkronizálási szabály a hatókörben, és a Hivatkozás típusa kiépítés vagy StickyJoin értékre van állítva. A StickyJoin akkor használatos, ha egy Csatlakozás or nem építhet ki új objektumot a metaversen, de a csatlakozáskor a forrásban kell törölni a metaverse objektum törlése előtt.

Metaverzumobjektum törlésekor a kiépítéshez megjelölt kimenő szinkronizálási szabályhoz társított összes objektum törlésre lesz megjelölve.

Átalakítások

Az átalakításokkal meghatározhatja, hogy az attribútumok hogyan áramlanak a forrásból a célba. A folyamatok a következő folyamattípusok egyikével rendelkezhetnek: Közvetlen, Állandó vagy Kifejezés. A közvetlen folyamat az attribútumértékeket a következőképpen irányítja le, további átalakítások nélkül. Egy állandó érték beállítja a megadott értéket. A kifejezések a deklaratív kiépítési kifejezés nyelvével fejezik ki az átalakítás módját. A kifejezésnyelv részletei a deklaratív kiépítési kifejezés nyelvi témakörében találhatók.

Provision or join

Az Egyszer jelölőnégyzet azt határozza meg, hogy az attribútumot csak az objektum kezdeti létrehozásakor kell beállítani. Ez a konfiguráció például egy új felhasználói objektum kezdeti jelszavának beállítására használható.

Attribútumértékek egyesítése

Az attribútumfolyamatokban van egy beállítás, amely meghatározza, hogy a többértékű attribútumokat egyesíteni kell-e több különböző Csatlakozás orból. Az alapértelmezett érték a Frissítés, amely azt jelzi, hogy a legmagasabb prioritású szinkronizálási szabálynak nyernie kell.

Screenshot that shows the

Az Egyesítés és a MergeCaseInsensitive is létezik. Ezekkel a beállításokkal különböző forrásokból származó értékeket egyesíthet. Például a proxyAddresses attribútum egyesíthető több különböző erdőből. Ha ezt a beállítást használja, az objektum hatókörében lévő összes szinkronizálási szabálynak ugyanazt az egyesítési típust kell használnia. Nem definiálhat frissítést egyik Csatlakozás orból, és nem egyesíthető egy másikból. Ha megpróbálja, hibaüzenet jelenik meg.

Az Egyesítés és a MergeCaseInsensitive közötti különbség az ismétlődő attribútumértékek feldolgozása. A szinkronizálási motor gondoskodik arról, hogy az ismétlődő értékek ne legyenek beszúrva a célattribútumba. A MergeCaseInsensitive esetében a duplikált értékek csak abban az esetben lesznek jelen, ha nem lesznek jelen. A célattribútumban például nem jelenik meg az "SMTP:bob@contoso.com" és az "smtp:bob@contoso.com" is. Az egyesítés csak a pontos értékeket és több értéket vizsgálja, ahol csak abban az esetben van különbség, ha lehetséges.

A Csere lehetőség megegyezik a Frissítés lehetőséggel, de nincs használatban.

Az attribútumfolyamat folyamatának szabályozása

Ha több bejövő szinkronizálási szabály van konfigurálva ugyanarra a metaverzumattribútumra, akkor a rendszer elsőbbséget használ a győztes meghatározásához. A legmagasabb prioritású (legalacsonyabb numerikus értékkel) rendelkező szinkronizálási szabály hozzá fog járulni az értékhez. Ugyanez történik a kimenő szabályok esetében is. A legmagasabb prioritású szinkronizálási szabály nyer, és hozzájárul az értékhez a csatlakoztatott címtárhoz.

Bizonyos esetekben a szinkronizálási szabálynak nem kell értéket megadnia, hanem meg kell határoznia, hogy a többi szabály hogyan viselkedjen. Az esethez speciális literálokat használunk.

Bejövő szinkronizálási szabályok esetén a literális NULL használatával jelezhető, hogy a folyamatnak nincs közreműködési értéke. Egy másik alacsonyabb elsőbbséget élvező szabály is hozzájárulhat egy értékhez. Ha egyetlen szabály sem adott hozzá értéket, a metaverzum attribútum el lesz távolítva. Kimenő szabály esetén, ha a NULL a végleges érték az összes szinkronizálási szabály feldolgozása után, akkor az érték el lesz távolítva a csatlakoztatott könyvtárból.

A literális Mérvadónull a NULL értékhez hasonló, de azzal a különbséggel, hogy alacsonyabb elsőbbségi szabályok nem adhatnak hozzá értéket.

Az attribútumfolyamatok az IgnoreThisFlow parancsot is használhatják. A NULL értékhez hasonló abban az értelemben, hogy azt jelzi, hogy nincs mit tenni. A különbség az, hogy nem távolít el egy már meglévő értéket a célban. Ez olyan, mintha az attribútumfolyamat még soha nem volt ott.

Egy példa:

In Out to AD – User Exchange hybrid a következő folyamat található:
IIF([cloudSOAExchMailbox] = True,[cloudMSExchSafeSendersHash],IgnoreThisFlow)
Ezt a kifejezést a következőképpen kell olvasni: ha a felhasználói postaláda a Microsoft Entra ID-ban található, akkor az attribútumot a Microsoft Entra ID-ból az Active Directoryba kell áramolnia. Ha nem, ne áramoljon vissza semmit az Active Directoryba. Ebben az esetben megtartaná a meglévő értéket az AD-ben.

ImportedValue

Az ImportedValue függvény eltér az összes többi függvényétől, mivel az attribútum nevét idézőjelek közé kell foglalni, nem szögletes zárójelekbe:

ImportedValue("proxyAddresses").

A bejövő szinkronizálás fogalma azt feltételezi, hogy egy olyan attribútum, amely még nem érte el a csatlakoztatott címtárat, egy bizonyos ponton eléri azt, ezért általában a szinkronizálás attribútumértéket kap a megfelelő összekötőtérből, még akkor is, ha még nem exportálták, vagy hiba történt az exportálás során. Bizonyos esetekben azonban fontos, hogy csak olyan értéket szinkronizáljon, amelyet a csatlakoztatott címtárból való importálás során exportáltak és megerősítettek. Ez a függvény több beépített "In From AD/AAD" átalakítási szabályban is megtalálható, ahol az attribútumot csak akkor kell szinkronizálni, ha meggyőződött arról, hogy az érték exportálása sikeresen megtörtént.

Erre a függvényre példa található az AD – User Common from Exchange beépített szinkronizálási szabályában, a ProxyAddresses attribútumfolyamat esetében a hibrid Exchange-lel. Ha például hozzáadja egy felhasználó ProxyAddresses elemét, az ImportedValue függvény csak azután adja vissza az új értéket, hogy az a következő importálási lépésből megerősítést nyert:

proxyAddresses<- RemoveDuplicates(Trim(ImportedValue("proxyAddresses")))

Ez a függvény akkor szükséges, ha a célkönyvtár esetleg csendesen módosít vagy elvet egy exportált attribútumértéket, és azt szeretnénk, hogy a szinkronizálás csak a megerősített attribútumértékeket dolgozza fel.

Prioritás

Ha több szinkronizálási szabály is megpróbálja ugyanazt az attribútumértéket hozzáadni a célhoz, a rendszer az elsőbbségi értéket használja a győztes meghatározásához. A legmagasabb prioritású, legalacsonyabb numerikus értékkel rendelkező szabály az ütközések attribútumához fog hozzájárulni.

Merge Types

Ezzel a rendezéssel pontosabb attribútumfolyamatokat határozhat meg az objektumok egy kis részhalmazához. A beépített szabályok például biztosítják, hogy egy engedélyezett fiók (User AccountEnabled) attribútumai elsőbbséget élveznek más fiókokéval szemben.

Elsőbbséget lehet meghatározni Csatlakozás orok között. Ez lehetővé teszi, hogy a jobb adatokkal rendelkező Csatlakozás először is hozzájáruljanak az értékekhez.

Több objektum ugyanabból az összekötőtérből

Nem lehet több objektumot ugyanabban az összekötőtérben ugyanahhoz a metaverzumobjektumhoz csatlakoztatni. Ez a konfiguráció nem egyértelmű, még akkor is, ha a forrás attribútumai azonos értékkel rendelkeznek.

Diagram that shows multiple objects joined to the same mv object with a transparent red X overlay.

További lépések

Áttekintési témakörök

Referenciatémakörök