Arsitektur provisi identitas aplikasi lokal Microsoft Entra

Gambaran Umum

Diagram berikut menunjukkan gambaran umum tentang cara kerja provisi aplikasi di tempat.

Diagram yang memperlihatkan arsitektur untuk penyediaan aplikasi lokal.

Ada tiga komponen utama untuk menyediakan pengguna ke dalam aplikasi lokal:

  • Agen provisi menyediakan konektivitas antara MICROSOFT Entra ID dan lingkungan lokal Anda.
  • Host Konektor Konektivitas yang Dapat Diperluas (ECMA) mengubah permintaan penyediaan dari Microsoft Entra ID menjadi permintaan untuk aplikasi target Anda. Ini berfungsi sebagai gateway antara MICROSOFT Entra ID dan aplikasi Anda. Anda dapat menggunakannya untuk mengimpor konektor ECMA2 yang ada yang digunakan dengan Microsoft Identity Manager. Host ECMA tidak diperlukan jika Anda telah membangun aplikasi SCIM atau gateway SCIM.
  • Layanan provisi Microsoft Entra berfungsi sebagai mesin sinkronisasi.

Catatan

Tidak diperlukan Sinkronisasi Manajer Identitas Microsoft. Tetapi Anda dapat menggunakannya untuk membangun dan menguji konektor ECMA2 Anda sebelum mengimpornya ke host ECMA. Konektor ECMA2 khusus untuk MIM, sedangkan host ECMA khusus digunakan dengan agen provisi.

Persyaratan firewall

Anda tidak perlu membuka koneksi masuk ke jaringan perusahaan. Agen provisi hanya menggunakan koneksi keluar ke layanan penyediaan, yang berarti bahwa tidak perlu membuka port firewall untuk koneksi masuk. Anda tidak memerlukan jaringan (DMZ) perimeter karena semua koneksi berada di luar dan terjadi pada saluran yang aman.

Titik akhir keluar yang diperlukan untuk agen provisi dirinci di sini.

Arsitektur Host Konektor ECMA

ECMA Connector Host memiliki beberapa area yang digunakan untuk mencapai penyediaan di tempat. Diagram berikut adalah gambar konseptual yang menyajikan area individual ini. Tabel di bawah ini menjelaskan area secara lebih detail.

Host ECMA konektor

Wilayah Deskripsi
Titik akhir Bertanggung jawab atas komunikasi dan transfer data dengan layanan provisi Microsoft Entra
Cache dalam memori Digunakan untuk menyimpan data yang diimpor dari sumber data lokal
Sinkronisasi otomatis Menyediakan sinkronisasi data asinkron antara Host Konektor ECMA dan sumber data lokal
Logika bisnis Digunakan untuk mengkoordinasikan semua kegiatan Host Konektor ECMA. Waktu Sinkronisasi otomatis dapat dikonfigurasi di host ECMA. Ini di halaman properti.

Tentang atribut jangkar dan nama khusus

Informasi berikut diberikan untuk lebih menjelaskan atribut jangkar dan nama khusus yang digunakan oleh konektor generikSQL.

Atribut jangkar adalah atribut unik dari jenis objek yang tidak berubah dan mewakili objek tersebut dalam cache dalam memori Host Konektor ECMA.

Nama khusus (DN) adalah nama yang unik mengidentifikasi objek dengan menunjukkan lokasi saat ini dalam hierarki direktori. Atau dengan SQL, di bagian partisi. Nama ini dibentuk dengan menggabungkan atribut jangkar pada akar partisi direktori.

Ketika kita memikirkan DN tradisional dalam format tradisional, misalnya, Direktori Aktif atau LDAP, kita memikirkan sesuatu yang mirip dengan:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Namun, untuk sumber data seperti SQL, yang datar, bukan hierarkis, DN harus sudah ada di salah satu tabel atau dibuat dari informasi yang kami berikan ke Host Konektor ECMA.

Ini dapat dicapai dengan mencentang Beregenerasi otomatis di kotak centang saat mengonfigurasi konektor genericSQL. Saat Anda memilih DN yang akan dibuat secara otomatis, host ECMA menghasilkan DN dalam format LDAP: CN=<anchorvalue>,OBJECT=<type>. Hal ini juga mengasumsikan bahwa DN adalah penanda tidak dipilih di halaman Konektivitas.

DN adalah Anchor tidak dicentang

Konektor genericSQL mengharapkan DN diisi menggunakan format LDAP. Konektor generic SQL menggunakan gaya LDAP dengan nama komponen "OBJECT =". Hal ini memungkinkan untuk menggunakan partisi (setiap jenis objek adalah partisi).

Karena Host Konektor ECMA saat ini hanya mendukung jenis objek USER, OBJECT=<type> akan menjadi OBJECT=USER. Jadi DN untuk pengguna dengan nilai jangkar ljacobson adalah:

CN=ljacobson,OBJECT=USER

Alur kerja pembuatan pengguna

  1. Layanan provisi Microsoft Entra meminta Host Konektor ECMA untuk melihat apakah pengguna ada. Fitur ini menggunakan atribut yang cocok sebagai filter. Atribut ini didefinisikan di pusat admin Microsoft Entra di bawah Aplikasi perusahaan -> Provisi lokal -> provisi -> pencocokan atribut. Ini ditandai dengan 1 untuk mencocokkan prioritas. Anda dapat menentukan satu atau beberapa atribut yang cocok dan memprioritaskannya berdasarkan prioritas. Jika Anda ingin mengubah atribut yang cocok, Anda juga dapat melakukannya. Atribut yang cocok

  2. Host Konektor ECMA menerima permintaan GET dan memeriksa cache internalnya untuk melihat apakah pengguna ada dan sudah diimpor. Ini dilakukan dengan menggunakan atribut yang cocok di atas. Jika Anda menentukan beberapa atribut yang cocok, layanan provisi Microsoft Entra mengirimkan permintaan GET untuk setiap atribut dan host ECMA memeriksa cache-nya untuk kecocokan sampai menemukannya.

  3. Jika pengguna tidak ada, MICROSOFT Entra ID membuat permintaan POST untuk membuat pengguna. Host Konektor ECMA memberikan respons ke ID Microsoft Entra dengan HTTP 201 dan memberikan ID kepada pengguna. ID ini berasal dari nilai jangkar yang didefinisikan dalam halaman jenis objek. Jangkar ini akan digunakan oleh Microsoft Entra ID untuk mengirim permintaan ke Host Konektor ECMA untuk permintaan mendatang.

  4. Jika perubahan terjadi pada pengguna di ID Microsoft Entra, maka ID Microsoft Entra membuat permintaan GET untuk mengambil pengguna menggunakan jangkar dari langkah sebelumnya, bukan atribut yang cocok di langkah 1. Ini memungkinkan, misalnya, UPN berubah tanpa melanggar tautan antara pengguna di ID Microsoft Entra dan di aplikasi.

Praktik terbaik agen

    • Hindari semua bentuk pemeriksaan langsung pada komunikasi TLS yang keluar antara agen dan Azure. Jenis inspeksi inline ini menyebabkan degradasi pada aliran komunikasi.
  • Agen harus berkomunikasi dengan Azure dan aplikasi Anda, sehingga penempatan agen memengaruhi latensi kedua koneksi tersebut. Anda dapat meminimalkan latensi lalu lintas ujung ke ujung dengan mengoptimalkan setiap koneksi jaringan. Cara mengoptimalkan setiap koneksi meliputi:
  • Mengurangi jarak antara kedua ujung hop.
  • Memilih jaringan yang tepat untuk dilalui. Misalnya, melintasi jaringan privat daripada Internet publik mungkin akan lebih cepat, karena tautan khusus.
  • Agen menggunakan sertifikat untuk komunikasi yang aman. Untuk detail tentang dua sertifikat yang digunakan sistem, termasuk perilaku kedaluwarsa dan rekomendasi untuk penggunaan produksi, lihat Manajemen sertifikat.

Manajemen sertifikat

Provisi aplikasi lokal bergantung pada dua sertifikat yang berbeda. Memahami kedua sertifikat membantu Anda merencanakan penyebaran produksi, memantau kesehatan agen, dan mencegah gangguan layanan.

Sertifikat Host Konektor ECMA

Host Konektor ECMA Microsoft Entra mengekspos titik akhir HTTPS pada port 8585 (https://localhost:8585/ecma2host_<connectorName>/scim), yang diakses oleh agen provisi. Sertifikat TLS yang digunakan Host Konektor ECMA mengamankan titik akhir tersebut. Ketika Anda pertama kali menjalankan Wizard Konfigurasi Microsoft ECMA2Host, ini meminta Anda untuk membuat sertifikat dengan memilih Buat sertifikat. Sertifikat yang dibuat secara otomatis ditandatangani sendiri, dan nama alternatif subjek sertifikat (SAN) cocok dengan nama host.

Fakta utama tentang sertifikat Host Konektor ECMA:

  • Sertifikat yang ditandatangani sendiri hanya untuk pengujian. Ini kedaluwarsa dalam dua tahun secara default dan tidak dapat dicabut. Microsoft merekomendasikan penggunaan sertifikat yang dikeluarkan oleh otoritas sertifikat tepercaya (CA) untuk penggunaan produksi.
  • Subjek sertifikat harus cocok dengan nama host server Windows tempat Host Konektor ECMA diinstal. Untuk informasi selengkapnya, lihat Sertifikat SSL.
  • Ganti sertifikat yang kedaluwarsa secara manual. Buka tab Pengaturan host ECMA untuk melihat tanggal kedaluwarsa sertifikat. Jika sertifikat kedaluwarsa, pilih Buat sertifikat untuk membuat sertifikat baru. Untuk panduan langkah demi langkah, lihat Memecahkan masalah koneksi pengujian.

Memprovisikan sertifikat pendaftaran agen

Agen provisi menggunakan sertifikat terpisah untuk mendaftarkan dirinya dengan Microsoft Hybrid Identity Service (HIS) selama penginstalan. Agen membuat sertifikat ini selama penyiapan dan menggunakan token Microsoft Entra Anda untuk mendaftarkan agen dan sertifikat dengan Layanan Pendaftaran HIS. Untuk informasi selengkapnya tentang cara agen mendaftar dengan HIS, lihat Penginstalan agen.

Important

Sinkronisasi cloud mencatat skenario pembersihan yang terkait: ketika agen sinkronisasi cloud telah dihapus instalasinya atau dihentikan dan sertifikatnya kemudian kedaluwarsa, agen tersebut dihapus secara permanen dan tidak dapat lagi berinteraksi dengan layanan Microsoft. Untuk informasi selengkapnya, lihat Penghapusan agen dari portal setelah penghapusan instalasi. Untuk provisi aplikasi lokal, hubungi dukungan Microsoft jika Anda memerlukan panduan tentang masa pakai sertifikat pendaftaran atau prosedur pemulihan.

Untuk meminimalkan risiko gangguan layanan:

  • Pantau kesehatan agen secara teratur melalui pusat admin Microsoft Entra.
  • Rencanakan penggantian sertifikat Host Konektor ECMA sebelum kedaluwarsa dua tahun yang ditandatangani sendiri.
  • Untuk penyebaran produksi, ganti sertifikat Host Konektor ECMA yang ditandatangani sendiri dengan sertifikat yang dikeluarkan oleh CA tepercaya.

Ketersediaan tinggi

Informasi berikut disediakan untuk skenario ketersediaan/failover yang tinggi.

Untuk aplikasi lokal menggunakan konektor ECMA: Rekomendasinya adalah memiliki satu agen aktif dan satu agen pasif (dikonfigurasi, tetapi dihentikan, tidak ditetapkan ke aplikasi perusahaan di Microsoft Entra) per pusat data.

Saat melakukan failover, disarankan untuk melakukan hal berikut:

  1. Hentikan agen aktif (A).
  2. Batalkan penetapan agen A dari aplikasi perusahaan.
  3. Mulai ulang agen pasif (B).
  4. Tetapkan agen B ke aplikasi perusahaan.

Diagram ketersediaan tinggi dengan konektor ECMA.

Untuk aplikasi lokal menggunakan konektor SCIM: Rekomendasinya adalah memiliki dua agen aktif per aplikasi.

Diagram ketersediaan tinggi dengan konektor SCIM.

Pertanyaan Agen Penyediaan

Beberapa pertanyaan umum dijawab di sini.

Bagaimana cara mengetahui versi agen penyediaan saya?

  1. Masuk ke server Windows tempat penginstalan agen penyediaan terkait.
  2. Masuk ke Kontrol Panel>Hapus penginstalan atau Ubah Program.
  3. Cari versi yang sesuai dengan entri untuk Microsoft Entra Connect Provisioning Agent.

Dapatkah saya menginstal agen provisi di server yang sama yang menjalankan Microsoft Entra Connect atau Microsoft Identity Manager?

Ya. Anda dapat menginstal agen provisi di server yang sama yang menjalankan Microsoft Entra Connect atau Microsoft Identity Manager, tetapi tidak diperlukan.

Bagaimana cara mengonfigurasi Agen Penyediaan untuk menggunakan server proksi untuk komunikasi HTTP keluar?

Agen konfigurasi mendukung penggunaan proksi keluar. Anda dapat mengonfigurasinya dengan mengedit file config agen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Tambahkan baris berikut ke dalamnya, mendekati akhir file tepat sebelum tag </configuration> penutup. Ganti variabel [proxy-server] dan [proxy-port] dengan nama server proksi dan nilai port Anda.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Bagaimana cara memastikan agen provisi dapat berkomunikasi dengan penyewa Microsoft Entra dan tidak ada firewall yang memblokir port yang diperlukan oleh agen?

Anda juga dapat memeriksa apakah semua port yang diperlukan terbuka.

Bagaimana cara menghapus instalasi agen penyediaan?

  1. Masuk ke server Windows tempat penginstalan agen penyediaan terkait.
  2. Masuk ke Kontrol Panel>Hapus penginstalan atau Ubah Program.
  3. Membongkar program berikut:
  • Agen Penyediaan Microsoft Entra Connect
  • Pembaruan Agen Koneksi Microsoft Entra
  • Paket Agen Penyediaan Microsoft Entra Connect

Pembaruan agen

Microsoft secara teratur merilis versi baru agen provisi dengan fitur, perbaikan, dan pembaruan. Untuk riwayat versi saat ini dan catatan rilis, lihat Microsoft Entra Connect Provisioning Agent: Riwayat rilis versi.

Important

Agen provisi saat ini tidak mendukung pembaruan otomatis untuk skenario provisi aplikasi lokal. Anda perlu memperbarui agen secara manual saat versi baru dirilis. Untuk informasi selengkapnya, lihat Agen provisi di artikel masalah yang diketahui.

Untuk menjaga agen Anda tetap terkini:

  • Periksa versi terbaru secara berkala melalui pusat admin Microsoft Entra atau riwayat rilis agen provisioning.
  • Rencanakan pembaruan agen selama jendela pemeliharaan yang terjadwal untuk meminimalkan dampak pada penyediaan.
  • Microsoft memberikan dukungan langsung untuk versi agen terbaru dan satu versi sebelumnya. Tetap dalam versi yang didukung ini sehingga Anda bisa mendapatkan bantuan saat Anda membutuhkannya.

Langkah berikutnya

  • Last updated on