Megosztás a következőn keresztül:

A felhőszinkronizálás részletes bemutatása – így működik

  • Cikk

Összetevők áttekintése

Hogyan működik?

A felhőszinkronizálás a Microsoft Entra-szolgáltatásokra épül, és két fő összetevőből áll:

  • Kiépítési ügynök: A Microsoft Entra Csatlakozás felhőkiépítési ügynök ugyanaz, mint a Workday bejövő ügynöke, és ugyanarra a kiszolgálóoldali technológiára épül, mint az alkalmazásproxy és az átmenő hitelesítés. Csak kimenő kapcsolatot igényel, és az ügynökök automatikusan fel vannak függesztettek.
  • Kiépítési szolgáltatás: Ugyanaz a kiépítési szolgáltatás, mint a kimenő kiépítés és a Workday bejövő kiépítés, amely ütemezőalapú modellt használ. A felhőszinkronizálási rendelkezések 2 percenként változnak.

Kezdeti beállítás

A kezdeti beállítás során néhány dolog történik, ami miatt a felhő szinkronizálása megtörténik.

  • Ügynök telepítése során: Konfigurálja az ügynököt azokhoz az AD-tartományokhoz, amelyeket ki szeretne telepíteni. Ez a konfiguráció regisztrálja a tartományokat a hibrid identitásszolgáltatásban, és kimenő kapcsolatot hoz létre a service bus figyeli a kéréseket.
  • Amikor engedélyezi a kiépítést: Kiválasztja az AD-tartományt, és engedélyezi a kiépítést, amely 2 percenként fut. Igény szerint megszüntetheti a jelszókivonat-szinkronizálás kijelölését, és meghatározhatja az értesítési e-maileket. Az attribútumátalakítást Microsoft Graph API-k használatával is kezelheti.

Ügynök telepítése

A felhőkiépítési ügynök telepítésekor a következő elemek fordulnak elő.

  • A telepítő telepíti az ügynök bináris fájljait és a virtuális szolgáltatásfiók (NETWORK Standard kiadás RVICE\AADProvisioningAgent) alatt futó ügynökszolgáltatást. A virtuális szolgáltatásfiók egy speciális fióktípus, amely nem rendelkezik jelszóval, és amelyet a Windows felügyel.
  • A telepítő ezután elindítja a varázslót.
  • A varázsló kéri a Microsoft Entra hitelesítő adatait, majd hitelesíti és lekéri a jogkivonatot.
  • A varázsló ezután az aktuális gép tartományának Rendszergazda istrators hitelesítő adatait kéri.
  • A tartományhoz tartozó általánosan felügyelt ügynökszolgáltatás-fiók (GMSA) létrehozása vagy helye és újrafelhasználása, ha már létezik.
  • Az ügynökszolgáltatás most újrakonfigurálva van, hogy a GMSA alatt fusson.
  • A varázsló most az Enterprise Rendszergazda (EA)/Domain Rendszergazda(DA) fiókkal együtt kéri a tartománykonfigurációt az ügynök által kiszolgálni kívánt tartományokhoz.
  • A GMSA-fiók ezután olyan engedélyekkel frissül, amelyek lehetővé teszik a telepítés során megadott tartományokhoz való hozzáférést.
  • Ezután a varázsló aktiválja az ügynökregisztrációt
  • Az ügynök létrehoz egy tanúsítványt, és a Microsoft Entra-jogkivonat használatával regisztrálja magát és a tanúsítványt a Hybrid Identity Service (HIS) regisztrációs szolgáltatásban
  • A varázsló elindít egy AgentResourceGrouping hívást. A HIS Rendszergazda szolgáltatás hívása az ügynök hozzárendelése egy vagy több AD-tartományhoz a SAJÁT konfigurációjában.
  • A varázsló most újraindítja az ügynökszolgáltatást.
  • Az ügynök újraindításkor (és utána 10 percenként) meghív egy Bootstrap-szolgáltatást, hogy ellenőrizze a konfigurációs frissítéseket. A bootstrap szolgáltatás ellenőrzi az ügynök identitását. Emellett frissíti az utolsó rendszerindítási időt is. Ez azért fontos, mert ha az ügynökök nem indítják el a rendszerindítást, akkor nem kapnak frissített Service Bus-végpontokat, és előfordulhat, hogy nem tudnak kéréseket fogadni.

Mi az a system for Cross-domain Identity Management (SCIM)?

Az SCIM-specifikáció egy szabvány, amellyel automatizálható a felhasználói vagy csoportidentitás-adatok cseréje identitástartományok, például a Microsoft Entra ID között. Az SCIM a kiépítés de facto szabványává válik, és ha olyan összevonási szabványokat használ, mint az SAML vagy az OpenID Csatlakozás, a rendszergazdák a hozzáférés-kezeléshez végpontok közötti szabványokon alapuló megoldást biztosítanak.

A Microsoft Entra Csatlakozás felhőkiépítési ügynök scim és Microsoft Entra ID használatával épít ki és bont ki felhasználókat és csoportokat.

Szinkronizálási folyamat

üzembe helyezés

Miután telepítette az ügynököt, és engedélyezte a kiépítést, a következő folyamat következik be.

  1. A konfigurálás után a Microsoft Entra kiépítési szolgáltatás meghívja a Microsoft Entra hibrid szolgáltatást, hogy adjon hozzá egy kérést a Service bushoz. Az ügynök folyamatosan fenntart egy kimenő kapcsolatot a Service Bus felé, és figyeli a kéréseket, és azonnal felveszi a system for Cross-domain Identity Management (SCIM) kérést.
  2. Az ügynök objektumtípus alapján külön lekérdezésekre bontja a kérést.
  3. Az AD visszaadja az eredményt az ügynöknek, és az ügynök szűri ezeket az adatokat, mielőtt elküldené azokat a Microsoft Entra-azonosítónak.
  4. Az ügynök az SCIM-választ adja vissza a Microsoft Entra-azonosítóra. Ezek a válaszok az ügynökön belüli szűrésen alapulnak. Az ügynök hatókörkezelést használ az eredmények szűréséhez.
  5. A kiépítési szolgáltatás a Microsoft Entra-azonosító módosításait írja le.
  6. Ha változásszinkronizálás történik a teljes szinkronizálás helyett, akkor a rendszer a cookie-t/vízjelet használja. Az új lekérdezések a cookie/vízjel módosításait kapják meg.

Támogatott forgatókönyvek:

A felhőszinkronizálás esetében az alábbi forgatókönyvek támogatottak.

  • Meglévő hibrid ügyfél új erdővel: a Microsoft Entra Csatlakozás Sync elsődleges erdőkhöz használható. A felhőszinkronizálás egy AD-erdőből való kiépítéshez használható (a leválasztottat is beleértve). További információkért tekintse meg az oktatóanyagot itt.

Meglévő hibrid

  • Új hibrid ügyfél: A Microsoft Entra Csatlakozás Sync nem használatos. A felhőszinkronizálás egy AD-erdőből való kiépítéshez használható. További információkért tekintse meg az oktatóanyagot itt.

Új ügyfelek

  • Meglévő hibrid ügyfél: A Microsoft Entra Csatlakozás Sync elsődleges erdőkhöz használható. A felhőszinkronizálást az elsődleges erdőkben lévő felhasználók egy kis csoportja teszteli.

Meglévő próbaüzem

További információ: Támogatott topológiák.

Következő lépések