Bagikan melalui

Arsitektur provisi identitas aplikasi lokal Microsoft Entra

  • Artikel

Gambaran Umum

Diagram berikut menunjukkan tampilan yang berlebihan tentang cara kerja provisi aplikasi lokal.

Diagram yang memperlihatkan arsitektur untuk penyediaan aplikasi lokal.

Ada tiga komponen utama untuk menyediakan pengguna ke dalam aplikasi lokal:

  • Agen provisi menyediakan konektivitas antara MICROSOFT Entra ID dan lingkungan lokal Anda.
  • Host Konektor Extensible Connectivity (ECMA) mengonversi permintaan provisi dari ID Microsoft Entra ke permintaan yang dibuat ke aplikasi target Anda. Ini berfungsi sebagai gateway antara MICROSOFT Entra ID dan aplikasi Anda. Anda dapat menggunakannya untuk mengimpor konektor ECMA2 yang ada yang digunakan dengan Microsoft Identity Manager. Host ECMA tidak diperlukan jika Anda telah membangun aplikasi SCIM atau gateway SCIM.
  • Layanan provisi Microsoft Entra berfungsi sebagai mesin sinkronisasi.

Catatan

Tidak diperlukan Sinkronisasi Manajer Identitas Microsoft. Tetapi Anda dapat menggunakannya untuk membangun dan menguji konektor ECMA2 Anda sebelum mengimpornya ke host ECMA. Konektor ECMA2 khusus untuk MIM, di mana host ECMA khusus untuk digunakan dengan agen provisi.

Persyaratan firewall

Anda tidak perlu membuka koneksi masuk ke jaringan perusahaan. Agen provisi hanya menggunakan koneksi keluar ke layanan penyediaan, yang berarti bahwa tidak perlu membuka port firewall untuk koneksi masuk. Anda tidak memerlukan jaringan (DMZ) perimeter karena semua koneksi berada di luar dan terjadi pada saluran yang aman.

Titik akhir keluar yang diperlukan untuk agen provisi dirinci di sini.

Arsitektur Host Konektor ECMA

ECMA Host Konektor memiliki beberapa area yang digunakannya untuk mencapai provisi lokal. Diagram di bawah ini adalah gambar konseptual yang menyajikan area individual ini. Tabel di bawah ini menjelaskan area secara lebih detail.

Host konektor ECMA

Area Deskripsi
Titik akhir Bertanggung jawab atas komunikasi dan transfer data dengan layanan provisi Microsoft Entra
Cache dalam memori Digunakan untuk menyimpan data yang diimpor dari sumber data lokal
Sinkronisasi otomatis Menyediakan sinkronisasi data asinkron antara Host Konektor ECMA dan sumber data lokal
Logika bisnis Digunakan untuk mengkoordinasikan semua kegiatan Host Konektor ECMA. Waktu Sinkronisasi otomatis dapat dikonfigurasi di host ECMA. Ini di halaman properti.

Tentang atribut jangkar dan nama khusus

Informasi berikut disediakan untuk lebih menjelaskan atribut jangkar dan nama khusus, terutama digunakan oleh konektor GENERICSQL.

Atribut jangkar adalah atribut unik dari jenis objek yang tidak berubah dan mewakili objek tersebut dalam cache dalam memori Host Konektor ECMA.

Nama khusus (DN) adalah nama yang unik mengidentifikasi objek dengan menunjukkan lokasi saat ini dalam hierarki direktori. Atau dengan SQL, di partisi. Nama ini dibentuk dengan menggabungkan atribut jangkar akar partisi direktori.

Ketika kita memikirkan DN tradisional dalam format tradisional, misalnya, Direktori Aktif atau LDAP, kita memikirkan sesuatu yang mirip dengan:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Namun, untuk sumber data seperti SQL, yang datar, bukan hierarkis, DN harus sudah ada di salah satu tabel atau dibuat dari informasi yang kami berikan ke Host Konektor ECMA.

Ini dapat dicapai dengan mencentang Beregenerasi otomatis di kotak centang saat mengonfigurasi konektor genericSQL. Saat Anda memilih DN untuk dibuat secara otomatis, host ECMA akan menghasilkan DN dalam format LDAP: CN=<anchorvalue>,OBJECT=<type>. Hal ini juga mengasumsikan bahwa DN adalah Jangkar tidak dicentang di halaman Konektivitas.

DN adalah Anchor tidak dicentang

Konektor genericSQL mengharapkan DN diisi menggunakan format LDAP. Konektor generic SQL menggunakan gaya LDAP dengan nama komponen "OBJECT =". Hal ini memungkinkan untuk menggunakan partisi (setiap jenis objek adalah partisi).

Karena Host Konektor ECMA saat ini hanya mendukung jenis objek USER, OBJECT=<type> akan menjadi OBJECT=USER. Jadi DN untuk pengguna dengan nilai jangkar ljacobson adalah:

CN=ljacobson,OBJECT=USER

Alur kerja pembuatan pengguna

  1. Layanan provisi Microsoft Entra meminta Host Konektor ECMA untuk melihat apakah pengguna ada. Fitur ini menggunakan atribut yang cocok sebagai filter. Atribut ini didefinisikan dalam portal Azure di bawah Aplikasi perusahaan -> Provisi lokal - provisi> -> pencocokan atribut. Ini ditandai dengan 1 untuk mencocokkan prioritas. Anda dapat menentukan satu atau beberapa atribut yang cocok dan memprioritaskannya berdasarkan prioritas. Jika Anda ingin mengubah atribut yang cocok, Anda juga dapat melakukannya. Atribut yang cocok

  2. Host Konektor ECMA menerima permintaan GET dan meminta cache internalnya untuk melihat apakah pengguna ada dan telah diimpor berbasis. Ini dilakukan dengan menggunakan atribut yang cocok di atas. Jika Anda menentukan beberapa atribut yang cocok, layanan provisi Microsoft Entra akan mengirim permintaan GET untuk setiap atribut dan host ECMA akan memeriksa cache-nya untuk kecocokan sampai menemukannya.

  3. Jika pengguna tidak ada, ID Microsoft Entra akan membuat permintaan POST untuk membuat pengguna. Host Konektor ECMA akan merespons kembali KE MICROSOFT Entra ID dengan HTTP 201 dan memberikan ID untuk pengguna. ID ini berasal dari nilai jangkar yang didefinisikan dalam halaman jenis objek. Jangkar ini akan digunakan oleh MICROSOFT Entra ID untuk mengkueri Host Konektor ECMA untuk permintaan mendatang dan berikutnya.

  4. Jika perubahan terjadi pada pengguna di ID Microsoft Entra, maka ID Microsoft Entra akan membuat permintaan GET untuk mengambil pengguna menggunakan jangkar dari langkah sebelumnya, daripada atribut yang cocok di langkah 1. Ini memungkinkan, misalnya, UPN berubah tanpa melanggar tautan antara pengguna di ID Microsoft Entra dan di aplikasi.

Praktik terbaik agen

  • Menggunakan agen yang sama untuk fitur provisi lokal bersama dengan sinkronisasi cloud Workday / SuccessFactors / Microsoft Entra Connect saat ini tidak didukung. Kami secara aktif berupaya mendukung provisi lokal pada agen yang sama dengan skenario provisi lainnya.
    • Hindari semua bentuk pemeriksaan sebaris pada komunikasi TLS keluar antara agen dan Azure. Jenis inspeksi inline ini menyebabkan degradasi pada aliran komunikasi.
  • Agen harus berkomunikasi dengan Azure dan aplikasi Anda, sehingga penempatan agen memengaruhi latensi kedua koneksi tersebut. Anda dapat meminimalkan latensi lalu lintas ujung ke ujung dengan mengoptimalkan setiap koneksi jaringan. Setiap koneksi dapat dioptimalkan dengan:
  • Mengurangi jarak antara kedua ujung hop.
  • Memilih jaringan yang tepat untuk dilalui. Misalnya, melintasi jaringan privat daripada Internet publik mungkin akan lebih cepat, karena tautan khusus.
  • Agen dan Host ECMA mengandalkan sertifikat untuk komunikasi. Sertifikat yang ditandatangani sendiri yang dihasilkan oleh host ECMA hanya boleh digunakan untuk tujuan pengujian. Sertifikat yang ditandatangani sendiri kedaluwarsa dalam dua tahun secara default dan tidak dapat dicabut. Microsoft merekomendasikan penggunaan sertifikat dari CA tepercaya untuk kasus penggunaan produksi.

Ketersediaan tinggi

Informasi berikut disediakan untuk skenario ketersediaan/failover yang tinggi.

Untuk aplikasi lokal menggunakan konektor ECMA: Rekomendasinya adalah memiliki 1 agen aktif dan 1 agen pasif (dikonfigurasi, tetapi dihentikan, tidak ditetapkan ke aplikasi perusahaan di Entra) per pusat data. Saat melakukan failover, hentikan agen aktif, mulai ulang agen pasif, dan tetapkan pasif dan tetapkan agen aktif. Ini memungkinkan agen pasif untuk melakukan impor penuh identitas dalam aplikasi target sebelum menyediakan akun.

Diagram ketersediaan tinggi dengan konektor ECMA.

Untuk aplikasi lokal menggunakan konektor SCIM: Rekomendasinya adalah memiliki 2 agen aktif per aplikasi.

Diagram ketersediaan tinggi dengan konektor SCIM.

Pertanyaan Agen Penyediaan

Beberapa pertanyaan umum dijawab di sini.

Bagaimana cara mengetahui versi agen penyediaan saya?

  1. Masuk ke server Windows tempat penginstalan agen penyediaan terkait.
  2. Masuk ke Kontrol Panel>Hapus penginstalan atau Ubah Program.
  3. Cari versi yang sesuai dengan entri untuk Microsoft Entra Connect Provisioning Agent.

Dapatkah saya menginstal agen provisi di server yang sama yang menjalankan Microsoft Entra Connect atau Microsoft Identity Manager?

Ya. Anda dapat menginstal agen provisi di server yang sama yang menjalankan Microsoft Entra Connect atau Microsoft Identity Manager, tetapi tidak diperlukan.

Bagaimana cara mengonfigurasi Agen Penyediaan untuk menggunakan server proksi untuk komunikasi HTTP keluar?

Agen penyediaan mendukung penggunaan proksi keluar. Anda dapat mengonfigurasinya dengan mengedit file config agen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Tambahkan baris berikut ke dalamnya, mendekati akhir file tepat sebelum tag </configuration> penutup. Ganti variabel [proxy-server] dan [proxy-port] dengan nama server proksi dan nilai port Anda.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Bagaimana cara memastikan agen provisi dapat berkomunikasi dengan penyewa Microsoft Entra dan tidak ada firewall yang memblokir port yang diperlukan oleh agen?

Anda juga dapat memeriksa apakah semua port yang diperlukan terbuka.

Bagaimana cara menghapus instalasi agen penyediaan?

  1. Masuk ke server Windows tempat penginstalan agen penyediaan terkait.
  2. Masuk ke Kontrol Panel>Hapus penginstalan atau Ubah Program.
  3. Membongkar program berikut:
  • Agen Provisi Microsoft Entra Connect
  • Microsoft Entra Connect Agent Updater
  • Paket Agen Provisi Microsoft Entra Connect

Riwayat agen provisi

Artikel ini mencantumkan versi dan fitur Microsoft Entra Connect Provisioning Agent yang telah dirilis. Tim Microsoft Entra secara teratur memperbarui Agen Provisi dengan fitur dan fungsionalitas baru. Pastikan Anda tidak menggunakan agen yang sama untuk provisi lokal dan sinkronisasi cloud/ provisi berbasis SDM.

Microsoft memberikan dukungan langsung untuk versi agen terbaru dan satu versi sebelumnya.

Provisi aplikasi lokal telah diluncurkan ke agen provisi dan tersedia dari portal. Lihat menginstal agen provisi.

1.1.892.0

20 Mei 2022 - dirilis untuk diunduh

Memperbaiki masalah

  • Kami menambahkan dukungan untuk mengekspor perubahan pada atribut bilangan bulat, yang menguntungkan pelanggan yang menggunakan konektor LDAP generik.

1.1.846.0

11 April 2022 - dirilis untuk diunduh

Memperbaiki masalah

  • Kami menambahkan dukungan untuk ObjectGUID sebagai jangkar untuk konektor LDAP generik saat memprovisikan pengguna ke AD LDS.

Langkah berikutnya