Tinjauan mendalam sinkronisasi awan - cara kerjanya

Ringkasan komponen

Sinkronisasi cloud dibangun di atas layanan Microsoft Entra dan memiliki dua komponen utama:

• Agen Penyediaan: Agen penyediaan cloud Microsoft Entra Connect adalah agen yang sama dengan Workday inbound dan dibangun dengan teknologi sisi server yang sama seperti proksi aplikasi dan Autentikasi Pass Through. Ini hanya memerlukan koneksi keluar dan agen diperbarui secara otomatis.
• Layanan penyediaan: Layanan penyediaan yang sama dengan layanan penyediaan keluar dan layanan penyediaan masuk Workday, yang menggunakan model berbasis penjadwalan. Ketentuan sinkronisasi cloud berubah setiap 2 menit.

Penyiapan awal

Selama penyiapan awal, beberapa hal dilakukan yang membuat sinkronisasi cloud terjadi.

• Selama penginstalan agen: Anda mengonfigurasi agen untuk domain AD yang ingin Anda provisikan. Konfigurasi ini mendaftarkan domain dalam layanan identitas hibrida dan membuat koneksi keluar ke bus layanan yang mendengarkan permintaan.
• Saat Mengaktifkan provisi: Anda memilih domain AD dan mengaktifkan provisi, yang berjalan setiap 2 menit. Secara opsional, Anda dapat membatalkan pilihan sinkronisasi hash kata sandi dan menentukan email pemberitahuan. Anda juga dapat mengelola transformasi atribut menggunakan Microsoft Graph API.

Penginstalan Agen

Hal-hal berikut ini terjadi saat agen provisi cloud diinstal.

• Penginstal memasang biner Agen dan Layanan Agen yang berjalan di bawah Akun Layanan Virtual (NETWORK SERVICE\AADProvisioningAgent). Akun layanan virtual adalah jenis akun khusus yang tidak memiliki kata sandi dan dikelola oleh Windows.
• Alat penginstal kemudian memulai Wizard.
• Wizard meminta kredensial Microsoft Entra, lalu mengautentikasi, dan mengambil token.
• Wizard kemudian meminta kredensial Administrator Domain dari mesin saat ini.
• Akun Layanan Terkelola Umum Agen (GMSA) untuk domain ini dibuat atau ditemukan dan digunakan kembali jika sudah ada.
• Layanan agen kini dikonfigurasi ulang untuk berjalan di bawah GMSA.
• Wizard sekarang meminta konfigurasi domain bersama dengan Akun Admin Perusahaan (EA)/Admin Domain (DA) untuk setiap domain yang ingin Anda agen layani.
• Akun GMSA kemudian diperbarui dengan izin yang memungkinkannya mengakses setiap domain yang dimasukkan selama penyiapan.
• Selanjutnya, panduan memicu pendaftaran agen
• Agen membuat sertifikat dan menggunakan token Microsoft Entra, mendaftarkan dirinya sendiri dan sertifikat dengan Layanan Pendaftaran Hybrid Identity Service (HIS)
• Wizard memicu panggilan AgentResourceGrouping. Panggilan ke Layanan Admin HIS ini adalah untuk menetapkan agen untuk satu atau beberapa Domain AD dalam konfigurasi HIS.
• Panduan sekarang memulai ulang layanan agen.
• Agen memanggil Layanan Bootstrap saat restart (dan setiap 10 menit setelahnya) untuk memeriksa pembaruan konfigurasi. Layanan bootstrap memvalidasi identitas agen. Ini juga memperbarui waktu bootstrap terakhir. Ini penting karena jika agen tidak melakukan bootstrap, mereka tidak mendapatkan pembaruan titik akhir Service Bus dan mungkin tidak dapat menerima permintaan.

Apa yang dimaksud dengan System for Cross-domain Identity Management (SCIM)?

Spesifikasi SCIM adalah standar yang digunakan untuk mengotomatiskan pertukaran informasi identitas pengguna atau grup antara domain identitas seperti ID Microsoft Entra. SCIM menjadi standar de facto untuk provisi dan, ketika digunakan dengan standar federasi seperti SAML atau OpenID Connect, memberi administrator solusi berbasis standar end-to-end untuk manajemen akses.

Agen provisi cloud Microsoft Entra Connect menggunakan SCIM dengan ID Microsoft Entra untuk memprovisikan dan mendeprovisi pengguna dan grup.

Alur sinkronisasi

Setelah Anda menginstal agen dan mengaktifkan penyediaan, alur berikut terjadi.

1. Setelah dikonfigurasi, layanan provisi Microsoft Entra memanggil layanan hibrid Microsoft Entra untuk menambahkan permintaan ke bus Layanan. Agen terus mempertahankan koneksi keluar ke Service Bus, mendengarkan permintaan, dan langsung mengambil permintaan System for Cross-domain Identity Management (SCIM).
2. Agen membagi permintaan menjadi kueri terpisah berdasarkan jenis objek.
3. AD mengembalikan hasilnya ke agen dan agen memfilter data ini sebelum mengirimkannya ke ID Microsoft Entra.
4. Agen mengembalikan respons SCIM ke ID Microsoft Entra. Respons ini didasarkan pada pemfilteran yang terjadi di dalam agen. Agen menggunakan penyaringan untuk memfilter hasil.
5. Layanan penyediaan mengimplementasikan perubahan pada Microsoft Entra ID.
6. Jika sinkronisasi delta terjadi, alih-alih sinkronisasi penuh, maka cookie atau penanda digunakan. Kueri baru mendapatkan perubahan mulai dari cookie/penanda air tersebut dan selanjutnya.

Skenario yang didukung:

Skenario berikut ini didukung untuk sinkronisasi cloud.

• Pelanggan hibrid yang sudah ada dengan forest baru: Sinkronisasi Microsoft Entra Connect digunakan untuk forest utama. Penyelarasan cloud digunakan untuk penyediaan dari hutan AD (termasuk yang tidak terhubung). Untuk informasi selengkapnya, lihat tutorial di sini.

• Pelanggan hibrid baru: Microsoft Entra Connect Sinkronisasi tidak digunakan. Sinkronisasi awan digunakan untuk melakukan provisi dari hutan AD. Untuk informasi selengkapnya, lihat tutorial di sini.

• Pelanggan hibrid yang ada: Microsoft Entra Connect Sync digunakan untuk hutan primer. Sinkronisasi cloud diujicobakan untuk sekumpulan kecil pengguna di hutan utama di sini.

Untuk informasi selengkapnya, lihat Topologi yang didukung.

Langkah berikutnya

• Apa itu penyediaan?
• Apa itu Sinkronisasi Cloud Microsoft Entra?