A felhőszinkronizálás részletes bemutatása – így működik
Összetevők áttekintése
A felhőszinkronizálás a Microsoft Entra-szolgáltatásokra épül, és két fő összetevőből áll:
- Kiépítési ügynök: A Microsoft Entra Csatlakozás felhőkiépítési ügynök ugyanaz, mint a Workday bejövő ügynöke, és ugyanarra a kiszolgálóoldali technológiára épül, mint az alkalmazásproxy és az átmenő hitelesítés. Csak kimenő kapcsolatot igényel, és az ügynökök automatikusan fel vannak függesztettek.
- Kiépítési szolgáltatás: Ugyanaz a kiépítési szolgáltatás, mint a kimenő kiépítés és a Workday bejövő kiépítés, amely ütemezőalapú modellt használ. A felhőszinkronizálási rendelkezések 2 percenként változnak.
Kezdeti beállítás
A kezdeti beállítás során néhány dolog történik, ami miatt a felhő szinkronizálása megtörténik.
- Ügynök telepítése során: Konfigurálja az ügynököt azokhoz az AD-tartományokhoz, amelyeket ki szeretne telepíteni. Ez a konfiguráció regisztrálja a tartományokat a hibrid identitásszolgáltatásban, és kimenő kapcsolatot hoz létre a service bus figyeli a kéréseket.
- Amikor engedélyezi a kiépítést: Kiválasztja az AD-tartományt, és engedélyezi a kiépítést, amely 2 percenként fut. Igény szerint megszüntetheti a jelszókivonat-szinkronizálás kijelölését, és meghatározhatja az értesítési e-maileket. Az attribútumátalakítást Microsoft Graph API-k használatával is kezelheti.
Ügynök telepítése
A felhőkiépítési ügynök telepítésekor a következő elemek fordulnak elő.
- A telepítő telepíti az ügynök bináris fájljait és a virtuális szolgáltatásfiók (NETWORK Standard kiadás RVICE\AADProvisioningAgent) alatt futó ügynökszolgáltatást. A virtuális szolgáltatásfiók egy speciális fióktípus, amely nem rendelkezik jelszóval, és amelyet a Windows felügyel.
- A telepítő ezután elindítja a varázslót.
- A varázsló kéri a Microsoft Entra hitelesítő adatait, majd hitelesíti és lekéri a jogkivonatot.
- A varázsló ezután az aktuális gép tartományának Rendszergazda istrators hitelesítő adatait kéri.
- A tartományhoz tartozó általánosan felügyelt ügynökszolgáltatás-fiók (GMSA) létrehozása vagy helye és újrafelhasználása, ha már létezik.
- Az ügynökszolgáltatás most újrakonfigurálva van, hogy a GMSA alatt fusson.
- A varázsló most az Enterprise Rendszergazda (EA)/Domain Rendszergazda(DA) fiókkal együtt kéri a tartománykonfigurációt az ügynök által kiszolgálni kívánt tartományokhoz.
- A GMSA-fiók ezután olyan engedélyekkel frissül, amelyek lehetővé teszik a telepítés során megadott tartományokhoz való hozzáférést.
- Ezután a varázsló aktiválja az ügynökregisztrációt
- Az ügynök létrehoz egy tanúsítványt, és a Microsoft Entra-jogkivonat használatával regisztrálja magát és a tanúsítványt a Hybrid Identity Service (HIS) regisztrációs szolgáltatásban
- A varázsló elindít egy AgentResourceGrouping hívást. A HIS Rendszergazda szolgáltatás hívása az ügynök hozzárendelése egy vagy több AD-tartományhoz a SAJÁT konfigurációjában.
- A varázsló most újraindítja az ügynökszolgáltatást.
- Az ügynök újraindításkor (és utána 10 percenként) meghív egy Bootstrap-szolgáltatást, hogy ellenőrizze a konfigurációs frissítéseket. A bootstrap szolgáltatás ellenőrzi az ügynök identitását. Emellett frissíti az utolsó rendszerindítási időt is. Ez azért fontos, mert ha az ügynökök nem indítják el a rendszerindítást, akkor nem kapnak frissített Service Bus-végpontokat, és előfordulhat, hogy nem tudnak kéréseket fogadni.
Mi az a system for Cross-domain Identity Management (SCIM)?
Az SCIM-specifikáció egy szabvány, amellyel automatizálható a felhasználói vagy csoportidentitás-adatok cseréje identitástartományok, például a Microsoft Entra ID között. Az SCIM a kiépítés de facto szabványává válik, és ha olyan összevonási szabványokat használ, mint az SAML vagy az OpenID Csatlakozás, a rendszergazdák a hozzáférés-kezeléshez végpontok közötti szabványokon alapuló megoldást biztosítanak.
A Microsoft Entra Csatlakozás felhőkiépítési ügynök scim és Microsoft Entra ID használatával épít ki és bont ki felhasználókat és csoportokat.
Szinkronizálási folyamat
Miután telepítette az ügynököt, és engedélyezte a kiépítést, a következő folyamat következik be.
- A konfigurálás után a Microsoft Entra kiépítési szolgáltatás meghívja a Microsoft Entra hibrid szolgáltatást, hogy adjon hozzá egy kérést a Service bushoz. Az ügynök folyamatosan fenntart egy kimenő kapcsolatot a Service Bus felé, és figyeli a kéréseket, és azonnal felveszi a system for Cross-domain Identity Management (SCIM) kérést.
- Az ügynök objektumtípus alapján külön lekérdezésekre bontja a kérést.
- Az AD visszaadja az eredményt az ügynöknek, és az ügynök szűri ezeket az adatokat, mielőtt elküldené azokat a Microsoft Entra-azonosítónak.
- Az ügynök az SCIM-választ adja vissza a Microsoft Entra-azonosítóra. Ezek a válaszok az ügynökön belüli szűrésen alapulnak. Az ügynök hatókörkezelést használ az eredmények szűréséhez.
- A kiépítési szolgáltatás a Microsoft Entra-azonosító módosításait írja le.
- Ha változásszinkronizálás történik a teljes szinkronizálás helyett, akkor a rendszer a cookie-t/vízjelet használja. Az új lekérdezések a cookie/vízjel módosításait kapják meg.
Támogatott forgatókönyvek:
A felhőszinkronizálás esetében az alábbi forgatókönyvek támogatottak.
- Meglévő hibrid ügyfél új erdővel: a Microsoft Entra Csatlakozás Sync elsődleges erdőkhöz használható. A felhőszinkronizálás egy AD-erdőből való kiépítéshez használható (a leválasztottat is beleértve). További információkért tekintse meg az oktatóanyagot itt.
- Új hibrid ügyfél: A Microsoft Entra Csatlakozás Sync nem használatos. A felhőszinkronizálás egy AD-erdőből való kiépítéshez használható. További információkért tekintse meg az oktatóanyagot itt.
- Meglévő hibrid ügyfél: A Microsoft Entra Csatlakozás Sync elsődleges erdőkhöz használható. A felhőszinkronizálást az elsődleges erdőkben lévő felhasználók egy kis csoportja teszteli.
További információ: Támogatott topológiák.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: