Architettura di provisioning delle identità dell'applicazione locale di Microsoft Entra
Panoramica
Il diagramma seguente illustra una panoramica del funzionamento del provisioning di applicazioni locali.
Esistono tre componenti principali per il provisioning degli utenti in un'applicazione locale:
- L'agente di provisioning fornisce la connettività tra Microsoft Entra ID e l'ambiente locale.
- L'host extensible Connessione ivity(ECMA) Connessione or converte le richieste di provisioning da Microsoft Entra ID alle richieste effettuate all'applicazione di destinazione. Funge da gateway tra Microsoft Entra ID e l'applicazione. È possibile usarlo per importare connettori ECMA2 esistenti usati con Microsoft Identity Manager. L'host ECMA non è necessario se è stato creato un'applicazione SCIM o un gateway SCIM.
- Il servizio di provisioning Microsoft Entra funge da motore di sincronizzazione.
Nota
La sincronizzazione di Microsoft Identity Manager non è necessaria. È tuttavia possibile usarlo per compilare e testare il connettore ECMA2 prima di importarlo nell'host ECMA. Il connettore ECMA2 è specifico di MIM, in cui l'host ECMA è specifico per l'uso con l'agente di provisioning.
Requisiti del firewall
Non è necessario aprire alcuna connessione in ingresso nella rete aziendale. Gli agenti di provisioning usano solo connessioni in uscita al servizio di provisioning, il che significa che non è necessario aprire le porte del firewall per le connessioni in ingresso. Non è necessaria anche una rete perimetrale perché tutte le connessioni sono in uscita e avvengono su un canale sicuro.
Gli endpoint in uscita necessari per gli agenti di provisioning sono descritti in dettaglio qui.
Architettura host ECMA Connessione or
L'host ecMA Connessione or include diverse aree usate per ottenere il provisioning locale. Il diagramma seguente è un disegno concettuale che presenta queste singole aree. La tabella seguente descrive le aree in modo più dettagliato.
| Area | Descrizione |
|---|---|
| Endpoint | Responsabile della comunicazione e del trasferimento dei dati con il servizio di provisioning di Microsoft Entra |
| Cache in memoria | Usato per archiviare i dati importati dall'origine dati locale |
| Autosync | Fornisce la sincronizzazione asincrona dei dati tra l'host Connessione or ECMA e l'origine dati locale |
| Regola business | Usato per coordinare tutte le attività dell'host ecma Connessione or. L'ora di sincronizzazione automatica è configurabile nell'host ECMA. Si trova nella pagina delle proprietà. |
Informazioni sugli attributi di ancoraggio e sui nomi distinti
Le informazioni seguenti vengono fornite per illustrare meglio gli attributi di ancoraggio e i nomi distinti, in particolare usati dal connettore genericSQL.
L'attributo di ancoraggio è un attributo univoco di un tipo di oggetto che non cambia e rappresenta tale oggetto nella cache in memoria dell'host Connessione or ECMA.
Il nome distinto (DN) è un nome che identifica in modo univoco un oggetto indicando la posizione corrente nella gerarchia di directory. Oppure con SQL, nella partizione. Il nome viene formato concatenando l'attributo di ancoraggio nella radice della partizione di directory.
Quando si pensa a DN tradizionali in un formato tradizionale, ad esempio Active Directory o LDAP, si pensa a qualcosa di simile al seguente:
CN=Lola Jacobson,CN=Users,DC=contoso,DC=com
Tuttavia, per un'origine dati come SQL, che è flat, non gerarchico, il DN deve essere già presente in una delle tabelle o creato dalle informazioni fornite all'host ecma Connessione or.
A tale scopo, selezionare Autogenerated (Genera automaticamente) nella casella di controllo durante la configurazione del connettore genericSQL. Quando si sceglie DN da generare automaticamente, l'host ECMA genererà un DN in un formato LDAP: CN=<anchorvalue,OBJECT>=<type>. Si presuppone anche che il DN sia ancorato deselezionato nella pagina Connessione ivity.
Il connettore genericSQL prevede che il DN venga popolato usando un formato LDAP. Il connettore GENERIC SQL usa lo stile LDAP con il nome del componente "OBJECT=". In questo modo è possibile usare le partizioni (ogni tipo di oggetto è una partizione).
Poiché ECMA Connessione or Host supporta attualmente solo il tipo di oggetto U edizione Standard R, object=type> sarà OBJECT=<U edizione Standard R. Quindi il DN per un utente con un anchorvalue di ljacobson sarebbe:
CN=ljacobson,OBJECT=U edizione Standard R
Flusso di lavoro di creazione utente
Il servizio di provisioning Di Microsoft Entra esegue una query sull'host ecma Connessione or per verificare se l'utente esiste. Usa l'attributo corrispondente come filtro. Questo attributo viene definito nella portale di Azure in Applicazioni aziendali -> Provisioning locale -> Provisioning -> Corrispondenza degli attributi. Viene indicato dal valore 1 per la precedenza corrispondente. È possibile definire uno o più attributi corrispondenti e classificarli in ordine di priorità in base alla precedenza. Se si vuole modificare l'attributo corrispondente, è anche possibile farlo.
ECMA Connessione or Host riceve la richiesta GET ed esegue una query sulla cache interna per verificare se l'utente esiste e ha importato. Questa operazione viene eseguita usando gli attributi corrispondenti precedenti. Se si definiscono più attributi corrispondenti, il servizio di provisioning Microsoft Entra invierà una richiesta GET per ogni attributo e l'host ECMA verificherà la cache per una corrispondenza finché non ne troverà una.
Se l'utente non esiste, Microsoft Entra ID eseguirà una richiesta POST per creare l'utente. L'host ecma Connessione or risponderà all'ID Entra Microsoft con HTTP 201 e fornirà un ID per l'utente. Questo ID è derivato dal valore di ancoraggio definito nella pagina dei tipi di oggetto. Questo ancoraggio verrà usato da Microsoft Entra ID per eseguire una query sull'host ecma Connessione or per le richieste future e successive.
Se si verifica una modifica all'utente in Microsoft Entra ID, Microsoft Entra ID effettuerà una richiesta GET per recuperare l'utente usando l'ancoraggio del passaggio precedente, anziché l'attributo corrispondente nel passaggio 1. In questo modo, ad esempio, l'UPN può cambiare senza interrompere il collegamento tra l'utente in Microsoft Entra ID e nell'app.
Procedure consigliate per l'agente
- L'uso dello stesso agente per la funzionalità di provisioning locale insieme a Workday/SuccessFactors/Microsoft Entra Connessione sincronizzazione cloud non è attualmente supportata. Microsoft sta lavorando attivamente per supportare il provisioning locale nello stesso agente degli altri scenari di provisioning.
-
- Evitare tutte le forme di ispezione inline sulle comunicazioni TLS in uscita tra agenti e Azure. Questo tipo di ispezione inline causa una riduzione del flusso di comunicazione.
- L'agente deve comunicare con Azure e l'applicazione, quindi il posizionamento dell'agente influisce sulla latenza di queste due connessioni. È possibile ridurre al minimo la latenza del traffico end-to-end ottimizzando ognuna delle connessioni di rete. Ogni connessione può essere ottimizzata in base a:
- Ridurre la distanza tra le due estremità dell'hop.
- Scegliere la rete appropriata da attraversare. Ad esempio, l'attraversamento di una rete privata anziché della rete Internet pubblica potrebbe essere più veloce a causa di collegamenti dedicati.
- L'agente e l'host ECMA si basano su un certificato per la comunicazione. Il certificato autofirmato generato dall'host ECMA deve essere usato solo a scopo di test. Il certificato autofirmato scade in due anni per impostazione predefinita e non può essere revocato. Microsoft consiglia di usare un certificato da una CA attendibile per i casi d'uso di produzione.
Domande relative all'agente di provisioning
Alcune domande comuni sono risposte qui.
Ricerca per categorie conoscere la versione dell'agente di provisioning?
- Accedere al server Windows in cui è installato l'agente di provisioning.
- Passare a Pannello di controllo> Uninstalla o Modifica programma.
- Cercare la versione corrispondente alla voce per Microsoft Entra Connessione Provisioning Agent.
È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connessione o Microsoft Identity Manager?
Sì. È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connessione o Microsoft Identity Manager, ma non sono necessari.
Ricerca per categorie configurare l'agente di provisioning per l'uso di un server proxy per le comunicazioni HTTP in uscita?
L'agente di provisioning supporta l'uso del proxy in uscita. È possibile configurarlo modificando il file di configurazione dell'agente C:\Programmi\Microsoft Azure AD Connessione Provisioning Agent\AAD Connessione ProvisioningAgent.exe.config. Aggiungere le righe seguenti verso la fine del file subito prima del tag di chiusura</configuration>. Sostituire le variabili [proxy-server] e [proxy-port] con i valori di porta e nome del server proxy.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Ricerca per categorie assicurarsi che l'agente di provisioning possa comunicare con il tenant di Microsoft Entra e che nessun firewall blocchi le porte richieste dall'agente?
È anche possibile verificare se tutte le porte necessarie sono aperte.
Ricerca per categorie disinstallare l'agente di provisioning?
- Accedere al server Windows in cui è installato l'agente di provisioning.
- Passare a Pannello di controllo> Uninstalla o Modifica programma.
- Disinstallare i programmi seguenti:
- Microsoft Entra Connessione Provisioning Agent
- Microsoft Entra Connessione Agent Updater
- Pacchetto dell'agente di provisioning di Microsoft Entra Connessione
Cronologia dell'agente di provisioning
Questo articolo elenca le versioni e le funzionalità di Microsoft Entra Connessione Provisioning Agent rilasciate. Il team di Microsoft Entra aggiorna regolarmente l'agente di provisioning con nuove funzionalità e funzionalità. Assicurarsi di non usare lo stesso agente per il provisioning locale e il provisioning cloud/provisioning basato sulle risorse umane.
Microsoft fornisce supporto diretto per la versione più recente dell'agente e una versione precedente.
Collegamento per il download
Il provisioning di app locali è stato eseguito nell'agente di provisioning ed è disponibile nel portale. Vedere Installazione dell'agente di provisioning.
1.1.892.0
20 maggio 2022 - Data di rilascio per il download
Problemi risolti
- È stato aggiunto il supporto per l'esportazione delle modifiche agli attributi integer, che trae vantaggio dai clienti che usano il connettore LDAP generico.
1.1.846.0
11 aprile 2022 - Data di rilascio per il download
Problemi risolti
- È stato aggiunto il supporto per ObjectGUID come ancoraggio per il connettore LDAP generico durante il provisioning degli utenti in AD LDS.