Pendalaman sinkronisasi cloud - cara kerjanya

Ringkasan komponen

Sinkronisasi cloud dibangun di atas layanan Microsoft Entra dan memiliki dua komponen utama:

• Agen provisi: Agen provisi cloud Microsoft Entra Connect adalah agen yang sama dengan Workday masuk dan dibangun pada teknologi sisi server yang sama dengan proksi aplikasi dan Autentikasi Pass Through. Ini hanya memerlukan koneksi keluar dan agen diupdasi otomatis.
• Layanan provisi: Layanan provisi yang sama dengan provisi keluar dan provisi masuk Workday, yang menggunakan model berbasis penjadwal. Ketentuan sinkronisasi cloud berubah setiap 2 menit.

Penyiapan awal

Selama penyiapan awal, beberapa hal dilakukan yang membuat sinkronisasi cloud terjadi.

• Selama penginstalan agen: Anda mengonfigurasi agen untuk domain AD tempat asal yang ingin Anda provisikan. Konfigurasi ini mendaftarkan domain dalam layanan identitas hibrida dan membuat koneksi keluar ke bus layanan yang mendengarkan permintaan.
• Saat Mengaktifkan provisi: Anda memilih domain AD dan mengaktifkan provisi, yang berjalan setiap 2 menit. Secara opsional, Anda dapat membatalkan pilihan sinkronisasi hash kata sandi dan menentukan email pemberitahuan. Anda juga dapat mengelola transformasi atribut menggunakan Microsoft Graph API.

Penginstalan agen

Item berikut terjadi saat agen provisi cloud diinstal.

• Alat Penginstal menginstal biner Agen dan Layanan Agen yang berjalan di bawah Akun Layanan Virtual (NETWORK SERVICE\AADProvisioningAgent). Akun layanan virtual adalah jenis akun khusus yang tidak memiliki kata sandi dan dikelola oleh Windows.
• Alat penginstal kemudian memulai Wizard.
• Wizard meminta kredensial Microsoft Entra, lalu mengautentikasi, dan mengambil token.
• Wizard kemudian meminta info masuk Administrator Domain komputer saat ini.
• Akun layanan terkelola umum agen (GMSA) untuk domain ini dibuat atau ditemukan dan digunakan kembali jika sudah ada.
• Layanan agen kini dikonfigurasi ulang untuk dijalankan di RUPSA.
• Wizard sekarang meminta konfigurasi domain bersama dengan Akun Admin Domain (DA)/Admin Perusahaan (EA) untuk setiap domain yang agennya ingin dilayani.
• Akun GMSA kemudian diperbarui dengan izin yang memungkinkannya mengakses setiap domain yang dimasukkan selama penyiapan.
• Selanjutnya, wizard memicu pendaftaran agen
• Agen membuat sertifikat dan menggunakan token Microsoft Entra, mendaftarkan dirinya sendiri dan sertifikat dengan Layanan Pendaftaran Hybrid Identity Service (HIS)
• Wizard memicu panggilan AgenResourceGrouping. Panggilan ke Layanan Admin HIS ini adalah untuk menetapkan agen untuk satu atau beberapa Domain AD dalam konfigurasi HIS.
• Wizard sekarang memulai-ulang layanan agen.
• Agen memanggil Layanan Bootstrap saat restart (dan setiap 10 menit setelahnya) untuk memeriksa pembaruan konfigurasi. Layanan bootstrap memvalidasi identitas agen. Ini juga memperbarui waktu bootstrap terakhir. Ini penting karena jika agen tidak melakukan bootstrap, agen tidak diperbarui Bus Layanan titik akhir dan mungkin tidak dapat menerima permintaan.

Apa yang dimaksud dengan System for Cross-domain Identity Management (SCIM)?

Spesifikasi SCIM adalah standar yang digunakan untuk mengotomatiskan pertukaran informasi identitas pengguna atau grup antara domain identitas seperti ID Microsoft Entra. SCIM menjadi standar de facto untuk provisi dan, ketika digunakan dengan standar federasi seperti SAML atau OpenID Connect, memberi administrator solusi berbasis standar end-to-end untuk manajemen akses.

Agen provisi cloud Microsoft Entra Connect menggunakan SCIM dengan ID Microsoft Entra untuk memprovisikan dan mendeprovisi pengguna dan grup.

Alur sinkronisasi

Setelah Anda menginstal agen dan mengaktifkan provisi, alur berikut terjadi.

1. Setelah dikonfigurasi, layanan provisi Microsoft Entra memanggil layanan hibrid Microsoft Entra untuk menambahkan permintaan ke bus Layanan. Agen tetap mempertahankan koneksi keluar ke Azure Service Bus yang mendengarkan permintaan dan segera mengambil permintaan System for Cross-domain Identity Management (SCIM).
2. Agen membagi permintaan menjadi kueri terpisah berdasarkan jenis objek.
3. AD mengembalikan hasilnya ke agen dan agen memfilter data ini sebelum mengirimkannya ke ID Microsoft Entra.
4. Agen mengembalikan respons SCIM ke ID Microsoft Entra. Respons ini didasarkan pada pemfilteran yang terjadi di dalam agen. Agen menggunakan pencakupan untuk memfilter hasil.
5. Layanan provisi menulis perubahan pada ID Microsoft Entra.
6. Jika Sinkronisasi delta terjadi, dibandingkan dengan sinkronisasi penuh, maka cookie/marka air digunakan. Kueri baru mendapatkan perubahan dari cookie/marka air tersebut dan seterusnya.

Skenario yang didukung:

Skenario berikut ini didukung untuk sinkronisasi cloud.

• Pelanggan hibrid yang ada dengan forest baru: Sinkronisasi Microsoft Entra Connect digunakan untuk forest utama. Sinkronisasi cloud digunakan untuk melakukan provisi dari forest AD (termasuk terputus). Untuk informasi selengkapnya, lihat tutorial di sini.

• Pelanggan hibrid baru: Sinkronisasi Microsoft Entra Connect tidak digunakan. Sinkronisasi cloud digunakan untuk melakukan provisi dari forest AD. Untuk informasi selengkapnya, lihat tutorial di sini.

• Pelanggan hibrid yang ada: Sinkronisasi Microsoft Entra Connect digunakan untuk forest utama. Sinkronisasi cloud dirintis untuk sekumpulan kecil pengguna di forest utama di sini.

Untuk informasi selengkapnya, lihat Topologi yang didukung.

Langkah berikutnya

• Apa itu penyediaan?
• Apa itu Sinkronisasi Cloud Microsoft Entra?