Bagikan melalui

Arsitektur provisi identitas aplikasi lokal Microsoft Entra

Gambaran Umum

Diagram berikut menunjukkan gambaran umum tentang cara kerja provisi aplikasi di tempat.

Diagram yang memperlihatkan arsitektur untuk penyediaan aplikasi lokal.

Ada tiga komponen utama untuk menyediakan pengguna ke dalam aplikasi lokal:

  • Agen provisi menyediakan konektivitas antara MICROSOFT Entra ID dan lingkungan lokal Anda.
  • Host Konektor Konektivitas yang Dapat Diperluas (ECMA) mengubah permintaan penyediaan dari Microsoft Entra ID menjadi permintaan untuk aplikasi target Anda. Ini berfungsi sebagai gateway antara MICROSOFT Entra ID dan aplikasi Anda. Anda dapat menggunakannya untuk mengimpor konektor ECMA2 yang ada yang digunakan dengan Microsoft Identity Manager. Host ECMA tidak diperlukan jika Anda telah membangun aplikasi SCIM atau gateway SCIM.
  • Layanan provisi Microsoft Entra berfungsi sebagai mesin sinkronisasi.

Catatan

Tidak diperlukan Sinkronisasi Manajer Identitas Microsoft. Tetapi Anda dapat menggunakannya untuk membangun dan menguji konektor ECMA2 Anda sebelum mengimpornya ke host ECMA. Konektor ECMA2 khusus untuk MIM, sedangkan host ECMA khusus digunakan dengan agen provisi.

Persyaratan firewall

Anda tidak perlu membuka koneksi masuk ke jaringan perusahaan. Agen provisi hanya menggunakan koneksi keluar ke layanan penyediaan, yang berarti bahwa tidak perlu membuka port firewall untuk koneksi masuk. Anda tidak memerlukan jaringan (DMZ) perimeter karena semua koneksi berada di luar dan terjadi pada saluran yang aman.

Titik akhir keluar yang diperlukan untuk agen provisi dirinci di sini.

Arsitektur Host Konektor ECMA

ECMA Connector Host memiliki beberapa area yang digunakan untuk mencapai penyediaan di tempat. Diagram berikut adalah gambar konseptual yang menyajikan area individual ini. Tabel di bawah ini menjelaskan area secara lebih detail.

Host ECMA konektor

Wilayah Deskripsi
Titik akhir Bertanggung jawab atas komunikasi dan transfer data dengan layanan provisi Microsoft Entra
Cache dalam memori Digunakan untuk menyimpan data yang diimpor dari sumber data lokal
Sinkronisasi otomatis Menyediakan sinkronisasi data asinkron antara Host Konektor ECMA dan sumber data lokal
Logika bisnis Digunakan untuk mengkoordinasikan semua kegiatan Host Konektor ECMA. Waktu Sinkronisasi otomatis dapat dikonfigurasi di host ECMA. Ini di halaman properti.

Tentang atribut jangkar dan nama khusus

Informasi berikut diberikan untuk lebih menjelaskan atribut jangkar dan nama khusus yang digunakan oleh konektor generikSQL.

Atribut jangkar adalah atribut unik dari jenis objek yang tidak berubah dan mewakili objek tersebut dalam cache dalam memori Host Konektor ECMA.

Nama khusus (DN) adalah nama yang unik mengidentifikasi objek dengan menunjukkan lokasi saat ini dalam hierarki direktori. Atau dengan SQL, di bagian partisi. Nama ini dibentuk dengan menggabungkan atribut jangkar pada akar partisi direktori.

Ketika kita memikirkan DN tradisional dalam format tradisional, misalnya, Direktori Aktif atau LDAP, kita memikirkan sesuatu yang mirip dengan:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Namun, untuk sumber data seperti SQL, yang datar, bukan hierarkis, DN harus sudah ada di salah satu tabel atau dibuat dari informasi yang kami berikan ke Host Konektor ECMA.

Ini dapat dicapai dengan mencentang Beregenerasi otomatis di kotak centang saat mengonfigurasi konektor genericSQL. Saat Anda memilih DN yang akan dibuat secara otomatis, host ECMA menghasilkan DN dalam format LDAP: CN=<anchorvalue>,OBJECT=<type>. Hal ini juga mengasumsikan bahwa DN adalah penanda tidak dipilih di halaman Konektivitas.

DN adalah Anchor tidak dicentang

Konektor genericSQL mengharapkan DN diisi menggunakan format LDAP. Konektor generic SQL menggunakan gaya LDAP dengan nama komponen "OBJECT =". Hal ini memungkinkan untuk menggunakan partisi (setiap jenis objek adalah partisi).

Karena Host Konektor ECMA saat ini hanya mendukung jenis objek USER, OBJECT=<type> akan menjadi OBJECT=USER. Jadi DN untuk pengguna dengan nilai jangkar ljacobson adalah:

CN=ljacobson,OBJECT=USER

Alur kerja pembuatan pengguna

  1. Layanan provisi Microsoft Entra meminta Host Konektor ECMA untuk melihat apakah pengguna ada. Fitur ini menggunakan atribut yang cocok sebagai filter. Atribut ini didefinisikan di pusat admin Microsoft Entra di bawah Aplikasi perusahaan -> Provisi lokal -> provisi -> pencocokan atribut. Ini ditandai dengan 1 untuk mencocokkan prioritas. Anda dapat menentukan satu atau beberapa atribut yang cocok dan memprioritaskannya berdasarkan prioritas. Jika Anda ingin mengubah atribut yang cocok, Anda juga dapat melakukannya. Atribut yang cocok

  2. Host Konektor ECMA menerima permintaan GET dan memeriksa cache internalnya untuk melihat apakah pengguna ada dan sudah diimpor. Ini dilakukan dengan menggunakan atribut yang cocok di atas. Jika Anda menentukan beberapa atribut yang cocok, layanan provisi Microsoft Entra mengirimkan permintaan GET untuk setiap atribut dan host ECMA memeriksa cache-nya untuk kecocokan sampai menemukannya.

  3. Jika pengguna tidak ada, MICROSOFT Entra ID membuat permintaan POST untuk membuat pengguna. Host Konektor ECMA memberikan respons ke ID Microsoft Entra dengan HTTP 201 dan memberikan ID kepada pengguna. ID ini berasal dari nilai jangkar yang didefinisikan dalam halaman jenis objek. Jangkar ini akan digunakan oleh Microsoft Entra ID untuk mengirim permintaan ke Host Konektor ECMA untuk permintaan mendatang.

  4. Jika perubahan terjadi pada pengguna di ID Microsoft Entra, maka ID Microsoft Entra membuat permintaan GET untuk mengambil pengguna menggunakan jangkar dari langkah sebelumnya, bukan atribut yang cocok di langkah 1. Ini memungkinkan, misalnya, UPN berubah tanpa melanggar tautan antara pengguna di ID Microsoft Entra dan di aplikasi.

Praktik terbaik agen

    • Hindari semua bentuk pemeriksaan langsung pada komunikasi TLS yang keluar antara agen dan Azure. Jenis inspeksi inline ini menyebabkan degradasi pada aliran komunikasi.
  • Agen harus berkomunikasi dengan Azure dan aplikasi Anda, sehingga penempatan agen memengaruhi latensi kedua koneksi tersebut. Anda dapat meminimalkan latensi lalu lintas ujung ke ujung dengan mengoptimalkan setiap koneksi jaringan. Cara mengoptimalkan setiap koneksi meliputi:
  • Mengurangi jarak antara kedua ujung hop.
  • Memilih jaringan yang tepat untuk dilalui. Misalnya, melintasi jaringan privat daripada Internet publik mungkin akan lebih cepat, karena tautan khusus.
  • Agen dan Host ECMA mengandalkan sertifikat untuk komunikasi. Sertifikat yang ditandatangani sendiri yang dihasilkan oleh host ECMA hanya boleh digunakan untuk tujuan pengujian. Sertifikat yang ditandatangani sendiri kedaluwarsa dalam dua tahun secara default dan tidak dapat dicabut. Microsoft merekomendasikan penggunaan sertifikat dari CA tepercaya untuk kasus penggunaan produksi.

Ketersediaan tinggi

Informasi berikut disediakan untuk skenario ketersediaan/failover yang tinggi.

Untuk aplikasi lokal menggunakan konektor ECMA: Rekomendasinya adalah memiliki satu agen aktif dan satu agen pasif (dikonfigurasi, tetapi dihentikan, tidak ditetapkan ke aplikasi perusahaan di Microsoft Entra) per pusat data.

Saat melakukan failover, disarankan untuk melakukan hal berikut:

  1. Hentikan agen aktif (A).
  2. Batalkan penetapan agen A dari aplikasi perusahaan.
  3. Mulai ulang agen pasif (B).
  4. Tetapkan agen B ke aplikasi perusahaan.

Diagram ketersediaan tinggi dengan konektor ECMA.

Untuk aplikasi lokal menggunakan konektor SCIM: Rekomendasinya adalah memiliki dua agen aktif per aplikasi.

Diagram ketersediaan tinggi dengan konektor SCIM.

Pertanyaan Agen Penyediaan

Beberapa pertanyaan umum dijawab di sini.

Bagaimana cara mengetahui versi agen penyediaan saya?

  1. Masuk ke server Windows tempat penginstalan agen penyediaan terkait.
  2. Masuk ke Kontrol Panel>Hapus penginstalan atau Ubah Program.
  3. Cari versi yang sesuai dengan entri untuk Microsoft Entra Connect Provisioning Agent.

Dapatkah saya menginstal agen provisi di server yang sama yang menjalankan Microsoft Entra Connect atau Microsoft Identity Manager?

Ya. Anda dapat menginstal agen provisi di server yang sama yang menjalankan Microsoft Entra Connect atau Microsoft Identity Manager, tetapi tidak diperlukan.

Bagaimana cara mengonfigurasi Agen Penyediaan untuk menggunakan server proksi untuk komunikasi HTTP keluar?

Agen konfigurasi mendukung penggunaan proksi keluar. Anda dapat mengonfigurasinya dengan mengedit file config agen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Tambahkan baris berikut ke dalamnya, mendekati akhir file tepat sebelum tag </configuration> penutup. Ganti variabel [proxy-server] dan [proxy-port] dengan nama server proksi dan nilai port Anda.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Bagaimana cara memastikan agen provisi dapat berkomunikasi dengan penyewa Microsoft Entra dan tidak ada firewall yang memblokir port yang diperlukan oleh agen?

Anda juga dapat memeriksa apakah semua port yang diperlukan terbuka.

Bagaimana cara menghapus instalasi agen penyediaan?

  1. Masuk ke server Windows tempat penginstalan agen penyediaan terkait.
  2. Masuk ke Kontrol Panel>Hapus penginstalan atau Ubah Program.
  3. Membongkar program berikut:
  • Agen Penyediaan Microsoft Entra Connect
  • Pembaruan Agen Koneksi Microsoft Entra
  • Paket Agen Penyediaan Microsoft Entra Connect

Riwayat agen penyediaan

Artikel ini mencantumkan versi dan fitur Microsoft Entra Connect Provisioning Agent yang telah dirilis. Tim Microsoft Entra secara teratur memperbarui Agen Provisi dengan fitur dan fungsionalitas baru. Pastikan Anda tidak menggunakan agen yang sama untuk provisi lokal dan sinkronisasi cloud/provisi berbasis SDM.

Microsoft memberikan dukungan langsung untuk versi agen terbaru dan satu versi sebelumnya.

Penyediaan aplikasi di tempat telah dimasukkan ke dalam agen penyediaan dan tersedia dari portal. Lihat menginstal agen provisioning.

1.1.892.0

20 Mei 2022 - dirilis untuk diunduh

Memperbaiki masalah

  • Kami menambahkan dukungan untuk mengekspor perubahan pada atribut bilangan bulat, yang menguntungkan pelanggan yang menggunakan konektor LDAP generik.

1.1.846.0

11 April 2022 - dirilis untuk diunduh

Memperbaiki masalah

  • Kami menambahkan dukungan untuk ObjectGUID sebagai jangkar untuk konektor LDAP generik saat memprovisikan pengguna ke AD LDS.

Langkah berikutnya