Condividi tramite


Architettura di provisioning delle identità dell'applicazione locale di Microsoft Entra

Panoramica

Il diagramma seguente illustra una panoramica del funzionamento del provisioning di applicazioni locali.

Diagramma che mostra l'architettura per il provisioning di applicazioni locali.

Esistono tre componenti principali per il provisioning degli utenti in un'applicazione locale:

  • L'agente di provisioning fornisce la connettività tra Microsoft Entra ID e l'ambiente locale.
  • L'host Extensible Connectivity(ECMA) Connector converte le richieste di provisioning da Microsoft Entra ID alle richieste effettuate all'applicazione di destinazione. Funge da gateway tra Microsoft Entra ID e l'applicazione. È possibile usarlo per importare connettori ECMA2 esistenti usati con Microsoft Identity Manager. L'host ECMA non è necessario se è stato creato un'applicazione SCIM o un gateway SCIM.
  • Il servizio di provisioning Microsoft Entra funge da motore di sincronizzazione.

Nota

La sincronizzazione di Microsoft Identity Manager non è necessaria. È tuttavia possibile usarlo per compilare e testare il connettore ECMA2 prima di importarlo nell'host ECMA. Il connettore ECMA2 è specifico di MIM, in cui l'host ECMA è specifico per l'uso con l'agente di provisioning.

Requisiti del firewall

Non è necessario aprire alcuna connessione in ingresso nella rete aziendale. Gli agenti di provisioning usano solo connessioni in uscita al servizio di provisioning, il che significa che non è necessario aprire le porte del firewall per le connessioni in ingresso. Non è necessaria anche una rete perimetrale perché tutte le connessioni sono in uscita e avvengono su un canale sicuro.

Gli endpoint in uscita necessari per gli agenti di provisioning sono descritti in dettaglio qui.

Architettura dell'host del connettore ECMA

L'host del connettore ECMA include diverse aree usate per ottenere il provisioning locale. Il diagramma seguente è un disegno concettuale che presenta queste singole aree. La tabella seguente descrive le aree in modo più dettagliato.

Host del connettore ECMA

Area Descrizione
Endpoint Responsabile della comunicazione e del trasferimento dei dati con il servizio di provisioning di Microsoft Entra
Cache in memoria Usato per archiviare i dati importati dall'origine dati locale
Autosync Fornisce la sincronizzazione asincrona dei dati tra l'host del connettore ECMA e l'origine dati locale
Regola business Usato per coordinare tutte le attività host del connettore ECMA. L'ora di sincronizzazione automatica è configurabile nell'host ECMA. Si trova nella pagina delle proprietà.

Informazioni sugli attributi di ancoraggio e sui nomi distinti

Le informazioni seguenti vengono fornite per illustrare meglio gli attributi di ancoraggio e i nomi distinti, in particolare usati dal connettore genericSQL.

L'attributo di ancoraggio è un attributo univoco di un tipo di oggetto che non cambia e rappresenta tale oggetto nella cache in memoria dell'host del connettore ECMA.

Il nome distinto (DN) è un nome che identifica in modo univoco un oggetto indicando la posizione corrente nella gerarchia di directory. Oppure con SQL, nella partizione. Il nome viene formato concatenando l'attributo di ancoraggio nella radice della partizione di directory.

Quando si pensa a DN tradizionali in un formato tradizionale, ad esempio Active Directory o LDAP, si pensa a qualcosa di simile al seguente:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Tuttavia, per un'origine dati come SQL, che è flat, non gerarchico, il DN deve essere già presente in una delle tabelle o creato dalle informazioni fornite all'host del connettore ECMA.

A tale scopo, selezionare Autogenerated (Genera automaticamente) nella casella di controllo durante la configurazione del connettore genericSQL. Quando si sceglie DN da generare automaticamente, l'host ECMA genererà un DN in un formato LDAP: CN=<anchorvalue,OBJECT>=<type>. Si presuppone inoltre che il DN sia ancorato deselezionato nella pagina Connettività.

DN è ancorato deselezionato

Il connettore genericSQL prevede che il DN venga popolato usando un formato LDAP. Il connettore GENERIC SQL usa lo stile LDAP con il nome del componente "OBJECT=". In questo modo è possibile usare le partizioni (ogni tipo di oggetto è una partizione).

Poiché l'host del connettore ECMA supporta attualmente solo il tipo di oggetto USER, object=type> sarà OBJECT=<USER. Il DN per un utente con un valore di ancoraggio ljacobson sarà quindi:

CN=ljacobson,OBJECT=USER

Flusso di lavoro di creazione utente

  1. Il servizio di provisioning Di Microsoft Entra esegue una query sull'host del connettore ECMA per verificare se l'utente esiste. Usa l'attributo corrispondente come filtro. Questo attributo viene definito nella portale di Azure in Applicazioni aziendali -> Provisioning locale -> Provisioning -> Corrispondenza degli attributi. Viene indicato dal valore 1 per la precedenza corrispondente. È possibile definire uno o più attributi corrispondenti e classificarli in ordine di priorità in base alla precedenza. Se si vuole modificare l'attributo corrispondente, è anche possibile farlo. Attributo corrispondente

  2. L'host del connettore ECMA riceve la richiesta GET ed esegue una query sulla cache interna per verificare se l'utente esiste e ha importato. Questa operazione viene eseguita usando gli attributi corrispondenti precedenti. Se si definiscono più attributi corrispondenti, il servizio di provisioning Microsoft Entra invierà una richiesta GET per ogni attributo e l'host ECMA verificherà la cache per una corrispondenza finché non ne troverà una.

  3. Se l'utente non esiste, Microsoft Entra ID eseguirà una richiesta POST per creare l'utente. L'host del connettore ECMA risponderà all'ID Microsoft Entra con HTTP 201 e fornirà un ID per l'utente. Questo ID è derivato dal valore di ancoraggio definito nella pagina dei tipi di oggetto. Questo ancoraggio verrà usato da Microsoft Entra ID per eseguire una query sull'host del connettore ECMA per le richieste future e successive.

  4. Se si verifica una modifica all'utente in Microsoft Entra ID, Microsoft Entra ID effettuerà una richiesta GET per recuperare l'utente usando l'ancoraggio del passaggio precedente, anziché l'attributo corrispondente nel passaggio 1. In questo modo, ad esempio, l'UPN può cambiare senza interrompere il collegamento tra l'utente in Microsoft Entra ID e nell'app.

Procedure consigliate per l'agente

  • L'uso dello stesso agente per la funzionalità di provisioning locale insieme alla sincronizzazione cloud Workday/SuccessFactors/Microsoft Entra Connect non è attualmente supportata. Microsoft sta lavorando attivamente per supportare il provisioning locale nello stesso agente degli altri scenari di provisioning.
    • Evitare tutte le forme di ispezione inline sulle comunicazioni TLS in uscita tra agenti e Azure. Questo tipo di ispezione inline causa una riduzione del flusso di comunicazione.
  • L'agente deve comunicare con Azure e l'applicazione, quindi il posizionamento dell'agente influisce sulla latenza di queste due connessioni. È possibile ridurre al minimo la latenza del traffico end-to-end ottimizzando ognuna delle connessioni di rete. Ogni connessione può essere ottimizzata eseguendo le operazioni seguenti:
  • Ridurre la distanza tra le due estremità dell'hop.
  • Scegliere la rete appropriata da attraversare. Ad esempio, l'attraversamento di una rete privata anziché della rete Internet pubblica potrebbe essere più veloce a causa di collegamenti dedicati.
  • L'agente e l'host ECMA si basano su un certificato per la comunicazione. Il certificato autofirmato generato dall'host ECMA deve essere usato solo a scopo di test. Il certificato autofirmato scade in due anni per impostazione predefinita e non può essere revocato. Microsoft consiglia di usare un certificato da una CA attendibile per i casi d'uso di produzione.

Disponibilità elevata

Per scenari di disponibilità elevata/failover vengono fornite le informazioni seguenti.

Per le app locali che usano il connettore ECMA: la raccomandazione prevede 1 agente attivo e 1 agente passivo (configurato, ma arrestato, non assegnato all'app aziendale in Entra) per ogni data center. Quando si esegue un failover, arrestare l'agente attivo, riavviare l'agente passivo e assegnare il passivo e assegnare l'agente attivo. In questo modo l'agente passivo può eseguire un'importazione completa delle identità nell'applicazione di destinazione prima del provisioning degli account.

Diagramma della disponibilità elevata con il connettore ECMA.

Per le app locali che usano il connettore SCIM: la raccomandazione prevede 2 agenti attivi per ogni applicazione.

Diagramma della disponibilità elevata con il connettore SCIM.

Domande relative all'agente di provisioning

Alcune domande comuni sono risposte qui.

Ricerca per categorie conoscere la versione dell'agente di provisioning?

  1. Accedere al server Windows in cui è installato l'agente di provisioning.
  2. Passare a Pannello di controllo> Uninstalla o Modifica programma.
  3. Cercare la versione corrispondente alla voce per Microsoft Entra Connect Provisioning Agent.

È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect o Microsoft Identity Manager?

Sì. È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect o Microsoft Identity Manager, ma non sono necessari.

Ricerca per categorie configurare l'agente di provisioning per l'uso di un server proxy per le comunicazioni HTTP in uscita?

L'agente di provisioning supporta l'uso del proxy in uscita. È possibile configurarla modificando il file di configurazione dell'agente C:\Programmi\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Aggiungere le righe seguenti verso la fine del file subito prima del tag di chiusura </configuration> . Sostituire le variabili [proxy-server] e [proxy-port] con i valori di porta e nome del server proxy.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Ricerca per categorie assicurarsi che l'agente di provisioning possa comunicare con il tenant di Microsoft Entra e che nessun firewall blocchi le porte richieste dall'agente?

È anche possibile verificare se tutte le porte necessarie sono aperte.

Ricerca per categorie disinstallare l'agente di provisioning?

  1. Accedere al server Windows in cui è installato l'agente di provisioning.
  2. Passare a Pannello di controllo> Uninstalla o Modifica programma.
  3. Disinstallare i programmi seguenti:
  • Microsoft Entra Connect Provisioning Agent
  • Microsoft Entra Connect Agent Updater
  • Pacchetto dell'agente di provisioning Microsoft Entra Connect

Cronologia dell'agente di provisioning

Questo articolo elenca le versioni e le funzionalità di Microsoft Entra Connect Provisioning Agent rilasciate. Il team di Microsoft Entra aggiorna regolarmente l'agente di provisioning con nuove funzionalità e funzionalità. Assicurarsi di non usare lo stesso agente per il provisioning locale e il provisioning cloud/provisioning basato sulle risorse umane.

Microsoft fornisce supporto diretto per la versione più recente dell'agente e una versione precedente.

Il provisioning di app locali è stato eseguito nell'agente di provisioning ed è disponibile nel portale. Vedere Installazione dell'agente di provisioning.

1.1.892.0

20 maggio 2022 - Data di rilascio per il download

Problemi risolti

  • È stato aggiunto il supporto per l'esportazione delle modifiche agli attributi integer, che trae vantaggio dai clienti che usano il connettore LDAP generico.

1.1.846.0

11 aprile 2022 - Data di rilascio per il download

Problemi risolti

  • È stato aggiunto il supporto per ObjectGUID come ancoraggio per il connettore LDAP generico durante il provisioning degli utenti in AD LDS.

Passaggi successivi