Microsoft Entra Connect szinkronizálás: A deklaratív kiépítés ismertetése
Ez a témakör a Microsoft Entra Csatlakozás konfigurációs modelljét ismerteti. A modell neve Deklaratív kiépítés, és lehetővé teszi a konfiguráció egyszerű módosítását. A jelen témakörben ismertetett számos dolog fejlett, és a legtöbb ügyfélforgatókönyv esetében nem szükséges.
Áttekintés
A deklaratív kiépítés egy forráshoz csatlakoztatott könyvtárból érkező objektumokat dolgoz fel, és meghatározza, hogyan kell az objektumokat és attribútumokat forrásból célként átalakítani. A szinkronizálási folyamat egy objektumot dolgoz fel, és a folyamat megegyezik a bejövő és kimenő szabályokkal. A bejövő szabály egy összekötőtérből a metaverzumba, a kimenő szabály pedig a metaverzumból egy összekötőtérbe kerül.
A folyamat több különböző modullal rendelkezik. Mindegyik egy fogalomért felelős az objektumszinkronizálásban.
- Forrás, A forrásobjektum
- Hatókör, A hatókörben lévő összes szinkronizálási szabály keresése
- Csatlakozás, Az összekötőtér és a metaverzum közötti kapcsolat meghatározása
- Átalakítás, Az attribútumok átalakításának és folyamatának kiszámítása
- Elsőbbség, Ütköző attribútum-hozzájárulások feloldása
- Cél, A célobjektum
Scope
A hatókörmodul kiértékel egy objektumot, és meghatározza a hatókörben lévő szabályokat, és szerepelnie kell a feldolgozásban. Az objektum attribútumértékétől függően a rendszer különböző szinkronizálási szabályokat értékel ki hatókörként. Például egy Exchange-postaláda nélküli letiltott felhasználónak más szabályai vannak, mint egy postaládával rendelkező, engedélyezett felhasználónak.
A hatókör csoportokként és záradékokként van definiálva. A záradékok egy csoportban találhatók. A logikai ÉS a csoport összes záradéka között használatos. Például (department =IT AND country = Dánia). A csoportok között logikai VAGY függvényt használunk.
A képen szereplő hatókört (részleg = IT ÉS ország = Dánia) VAGY (country=Svédország) kell olvasni. Ha az 1. vagy a 2. csoport értéke igaz, akkor a szabály hatókörben van.
A hatókörmodul a következő műveleteket támogatja.
Művelet | Leírás |
---|---|
EQUAL, NOTEQUAL | Egy sztring összehasonlítása, amely kiértékeli, hogy az érték egyenlő-e az attribútum értékével. A többértékű attribútumokért lásd: ISIN és ISNOTIN. |
LESSTHAN, LESSTHAN_OR_EQUAL | Egy sztring összehasonlítása, amely kiértékeli, hogy az érték kisebb-e, mint az attribútumban lévő érték. |
CONTAINS, NOTCONTAINS | Egy sztring összehasonlítása, amely kiértékeli, hogy az érték megtalálható-e valahol az attribútumban lévő értéken belül. |
STARTSWITH, NOTSTARTSWITH | Egy sztring összehasonlítása, amely kiértékeli, hogy az érték az attribútumban lévő érték elején van-e. |
ENDSWITH, NOTENDSWITH | Egy sztring összehasonlítása, amely kiértékeli, hogy az érték az attribútum értékének végén van-e. |
GREATERTHAN, GREATERTHAN_OR_EQUAL | Egy sztring összehasonlítása, amely kiértékeli, hogy az érték nagyobb-e, mint az attribútumban lévő érték. |
ISNULL, ISNOTNULL | Kiértékeli, hogy az attribútum hiányzik-e az objektumból. Ha az attribútum nincs jelen, ezért null, akkor a szabály hatókörben van. |
ISIN, ISNOTIN | Kiértékeli, hogy az érték szerepel-e a megadott attribútumban. Ez a művelet az EQUAL és a NOTEQUAL többértékű változata. Az attribútumnak többértékű attribútumnak kell lennie, és ha az érték bármelyik attribútumértékben megtalálható, akkor a szabály hatókörben van. |
ISBIT Standard kiadás T, ISOTBIT Standard kiadás T | Kiértékeli, hogy egy adott bit be van-e állítva. Például a userAccountControl bitjeinek kiértékelésére használható annak megtekintéséhez, hogy egy felhasználó engedélyezve van-e vagy le van-e tiltva. |
ISMEMBEROF, ISNOTMEMBEROF | Az értéknek tartalmaznia kell egy DN-t az összekötőtér egy csoportjához. Ha az objektum a megadott csoport tagja, a szabály hatókörben van. |
Csatlakozás
A szinkronizálási folyamat illesztési modulja felelős a forrásban lévő objektum és a cél objektum közötti kapcsolat megtalálásáért. Bejövő szabály esetén ez a kapcsolat egy összekötőtérbeli objektum, amely kapcsolatot keres egy objektummal a metaversen belül.
A cél annak megtekintése, hogy van-e már objektum a metaverzumban, amelyet egy másik Csatlakozás or hozott létre, azt hozzá kell társítani. Például egy fiókerőforrás-erdőben a fiókerdő felhasználójának csatlakoznia kell a felhasználóhoz az erőforráserdőből.
Az illesztések többnyire bejövő szabályokon alapulnak, hogy az összekötőtér-objektumokat ugyanahhoz a metaverzumobjektumhoz kapcsolják.
Az illesztések egy vagy több csoportként vannak definiálva. A csoporton belül záradékok vannak. A logikai ÉS a csoport összes záradéka között használatos. A csoportok között logikai VAGY függvényt használunk. A csoportok feldolgozása felülről lefelé haladva történik. Ha egy csoport pontosan egy egyezést talált egy objektummal a célban, akkor a rendszer nem értékel ki más illesztésszabályokat. Ha nulla vagy több objektum található, a feldolgozás a következő szabálycsoportra folytatódik. Ezért a szabályokat a leg explicitebb első és legfuzzyabb sorrendben kell létrehozni a végén.
A képen látható illesztések feldolgozása felülről lefelé történik. Először a szinkronizálási folyamat látja, hogy van-e egyezés az alkalmazotti azonosítón. Ha nem, a második szabály azt látja, hogy a fióknév használható-e az objektumok összekapcsolására. Ha ez sem egyezik, akkor a harmadik és utolsó szabály egy homályosabb egyezés a felhasználó nevével.
Ha az összes csatlakozási szabály kiértékelve van, és nincs pontosan egy egyezés, a Leírás lapon található hivatkozástípust használja a rendszer. Ha ez a beállítás Kiépítés értékre van állítva, akkor létrejön egy új objektum a célban.
Egy objektumnak csak egyetlen szinkronizálási szabálysal kell rendelkeznie a hatókörbe tartozó illesztési szabályokkal. Ha több szinkronizálási szabály van definiálva, hiba történik. Az illesztési ütközések feloldása nem az elsőbbségi sorrendet használja. Az objektumoknak olyan illesztési szabálysal kell rendelkezniük a hatókörben, amellyel az attribútumok ugyanolyan bejövő/kimenő irányban haladhatnak. Ha ugyanahhoz az objektumhoz bejövő és kimenő attribútumokat is át kell hajtania, akkor egy bejövő és egy kimenő szinkronizálási szabályt kell tartalmaznia az illesztéssel.
A kimenő illesztés különleges viselkedéssel rendelkezik, amikor objektumot próbál kiépíteni egy célösszekötő-területre. A DN attribútum használatával először megpróbálhat fordított illesztéseket. Ha már van egy objektum a célösszekötőben ugyanazzal a DN-vel, az objektumok csatlakoznak.
Az illesztési modul csak egyszer lesz kiértékelve, amikor egy új szinkronizálási szabály hatókörbe kerül. Amikor egy objektum csatlakozik, akkor sem szűnik meg a csatlakozás, ha az illesztési feltételek már nem teljesülnek. Ha egy objektum csatlakoztatását szeretné megszüntetni, az objektumokhoz csatlakozó szinkronizálási szabálynak ki kell lépnie a hatókörből.
Metaverzum törlése
A metaverzumobjektumok mindaddig megmaradnak, amíg van egy szinkronizálási szabály a hatókörben, és a Hivatkozás típusa kiépítés vagy StickyJoin értékre van állítva. A StickyJoin akkor használatos, ha egy Csatlakozás or nem építhet ki új objektumot a metaversen, de a csatlakozáskor a forrásban kell törölni a metaverse objektum törlése előtt.
Metaverzumobjektum törlésekor a kiépítéshez megjelölt kimenő szinkronizálási szabályhoz társított összes objektum törlésre lesz megjelölve.
Átalakítások
Az átalakításokkal meghatározhatja, hogy az attribútumok hogyan áramlanak a forrásból a célba. A folyamatok a következő folyamattípusok egyikével rendelkezhetnek: Közvetlen, Állandó vagy Kifejezés. A közvetlen folyamat az attribútumértékeket a következőképpen irányítja le, további átalakítások nélkül. Egy állandó érték beállítja a megadott értéket. A kifejezések a deklaratív kiépítési kifejezés nyelvével fejezik ki az átalakítás módját. A kifejezésnyelv részletei a deklaratív kiépítési kifejezés nyelvi témakörében találhatók.
Az Egyszer jelölőnégyzet azt határozza meg, hogy az attribútumot csak az objektum kezdeti létrehozásakor kell beállítani. Ez a konfiguráció például egy új felhasználói objektum kezdeti jelszavának beállítására használható.
Attribútumértékek egyesítése
Az attribútumfolyamatokban van egy beállítás, amely meghatározza, hogy a többértékű attribútumokat egyesíteni kell-e több különböző Csatlakozás orból. Az alapértelmezett érték a Frissítés, amely azt jelzi, hogy a legmagasabb prioritású szinkronizálási szabálynak nyernie kell.
Az Egyesítés és a MergeCaseInsensitive is létezik. Ezekkel a beállításokkal különböző forrásokból származó értékeket egyesíthet. Például a proxyAddresses attribútum egyesíthető több különböző erdőből. Ha ezt a beállítást használja, az objektum hatókörében lévő összes szinkronizálási szabálynak ugyanazt az egyesítési típust kell használnia. Nem definiálhat frissítést egyik Csatlakozás orból, és nem egyesíthető egy másikból. Ha megpróbálja, hibaüzenet jelenik meg.
Az Egyesítés és a MergeCaseInsensitive közötti különbség az ismétlődő attribútumértékek feldolgozása. A szinkronizálási motor gondoskodik arról, hogy az ismétlődő értékek ne legyenek beszúrva a célattribútumba. A MergeCaseInsensitive esetében a duplikált értékek csak abban az esetben lesznek jelen, ha nem lesznek jelen. A célattribútumban például nem jelenik meg az "SMTP:bob@contoso.com" és az "smtp:bob@contoso.com" is. Az egyesítés csak a pontos értékeket és több értéket vizsgálja, ahol csak abban az esetben van különbség, ha lehetséges.
A Csere lehetőség megegyezik a Frissítés lehetőséggel, de nincs használatban.
Az attribútumfolyamat folyamatának szabályozása
Ha több bejövő szinkronizálási szabály van konfigurálva ugyanarra a metaverzumattribútumra, akkor a rendszer elsőbbséget használ a győztes meghatározásához. A legmagasabb prioritású (legalacsonyabb numerikus értékkel) rendelkező szinkronizálási szabály hozzá fog járulni az értékhez. Ugyanez történik a kimenő szabályok esetében is. A legmagasabb prioritású szinkronizálási szabály nyer, és hozzájárul az értékhez a csatlakoztatott címtárhoz.
Bizonyos esetekben a szinkronizálási szabálynak nem kell értéket megadnia, hanem meg kell határoznia, hogy a többi szabály hogyan viselkedjen. Az esethez speciális literálokat használunk.
Bejövő szinkronizálási szabályok esetén a literális NULL használatával jelezhető, hogy a folyamatnak nincs közreműködési értéke. Egy másik alacsonyabb elsőbbséget élvező szabály is hozzájárulhat egy értékhez. Ha egyetlen szabály sem adott hozzá értéket, a metaverzum attribútum el lesz távolítva. Kimenő szabály esetén, ha a NULL a végleges érték az összes szinkronizálási szabály feldolgozása után, akkor az érték el lesz távolítva a csatlakoztatott könyvtárból.
A literális Mérvadónull a NULL értékhez hasonló, de azzal a különbséggel, hogy alacsonyabb elsőbbségi szabályok nem adhatnak hozzá értéket.
Az attribútumfolyamatok az IgnoreThisFlow parancsot is használhatják. A NULL értékhez hasonló abban az értelemben, hogy azt jelzi, hogy nincs mit tenni. A különbség az, hogy nem távolít el egy már meglévő értéket a célban. Ez olyan, mintha az attribútumfolyamat még soha nem volt ott.
Egy példa:
In Out to AD – User Exchange hybrid a következő folyamat található:
IIF([cloudSOAExchMailbox] = True,[cloudMSExchSafeSendersHash],IgnoreThisFlow)
Ezt a kifejezést a következőképpen kell olvasni: ha a felhasználói postaláda a Microsoft Entra ID-ban található, akkor az attribútumot a Microsoft Entra ID-ból az Active Directoryba kell áramolnia. Ha nem, ne áramoljon vissza semmit az Active Directoryba. Ebben az esetben megtartaná a meglévő értéket az AD-ben.
ImportedValue
Az ImportedValue függvény eltér az összes többi függvényétől, mivel az attribútum nevét idézőjelek közé kell foglalni, nem szögletes zárójelekbe:
ImportedValue("proxyAddresses")
.
A bejövő szinkronizálás fogalma azt feltételezi, hogy egy olyan attribútum, amely még nem érte el a csatlakoztatott címtárat, egy bizonyos ponton eléri azt, ezért általában a szinkronizálás attribútumértéket kap a megfelelő összekötőtérből, még akkor is, ha még nem exportálták, vagy hiba történt az exportálás során. Bizonyos esetekben azonban fontos, hogy csak olyan értéket szinkronizáljon, amelyet a csatlakoztatott címtárból való importálás során exportáltak és megerősítettek. Ez a függvény több beépített "In From AD/AAD" átalakítási szabályban is megtalálható, ahol az attribútumot csak akkor kell szinkronizálni, ha meggyőződött arról, hogy az érték exportálása sikeresen megtörtént.
Erre a függvényre példa található az AD – User Common from Exchange beépített szinkronizálási szabályában, a ProxyAddresses attribútumfolyamat esetében a hibrid Exchange-lel. Ha például hozzáadja egy felhasználó ProxyAddresses elemét, az ImportedValue függvény csak azután adja vissza az új értéket, hogy az a következő importálási lépésből megerősítést nyert:
proxyAddresses
<- RemoveDuplicates(Trim(ImportedValue("proxyAddresses")))
Ez a függvény akkor szükséges, ha a célkönyvtár esetleg csendesen módosít vagy elvet egy exportált attribútumértéket, és azt szeretnénk, hogy a szinkronizálás csak a megerősített attribútumértékeket dolgozza fel.
Prioritás
Ha több szinkronizálási szabály is megpróbálja ugyanazt az attribútumértéket hozzáadni a célhoz, a rendszer az elsőbbségi értéket használja a győztes meghatározásához. A legmagasabb prioritású, legalacsonyabb numerikus értékkel rendelkező szabály az ütközések attribútumához fog hozzájárulni.
Ezzel a rendezéssel pontosabb attribútumfolyamatokat határozhat meg az objektumok egy kis részhalmazához. A beépített szabályok például biztosítják, hogy egy engedélyezett fiók (User AccountEnabled) attribútumai elsőbbséget élveznek más fiókokéval szemben.
Elsőbbséget lehet meghatározni Csatlakozás orok között. Ez lehetővé teszi, hogy a jobb adatokkal rendelkező Csatlakozás először is hozzájáruljanak az értékekhez.
Több objektum ugyanabból az összekötőtérből
Nem lehet több objektumot ugyanabban az összekötőtérben ugyanahhoz a metaverzumobjektumhoz csatlakoztatni. Ez a konfiguráció nem egyértelmű, még akkor is, ha a forrás attribútumai azonos értékkel rendelkeznek.
További lépések
- További információ a kifejezés nyelvéről a Deklaratív kiépítési kifejezések ismertetése című témakörben.
- Az alapértelmezett konfiguráció megértéséhez tekintse meg, hogyan használja a deklaratív kiépítést.
- Megtudhatja, hogyan végezhet gyakorlati módosítást deklaratív kiépítéssel az alapértelmezett konfiguráció módosításának módjában.
- A Felhasználók és névjegyek ismertetése című témakörből megtudhatja, hogyan működnek együtt a felhasználók és a partnerek.
Áttekintési témakörök
- Microsoft Entra Csatlakozás Szinkronizálás: A szinkronizálás ismertetése és testreszabása
- Helyszíni identitások integrálása a Microsoft Entra-azonosítóval
Referenciatémakörök