Microsoft Entra Connect 同期: 技術的概念
この記事は、 アーキテクチャの理解に関するトピックの概要です。
Microsoft Entra Connect Sync は、堅牢なメタディレクトリ同期プラットフォームを基盤としています。 以下のセクションでは、メタディレクトリ同期の概念を説明します。 Azure Active Directory Sync サービスは、データ ソースへの接続、データ ソース間でのデータの同期、ID のプロビジョニングとプロビジョニング解除のためのプラットフォームを提供します。
以下のセクションでは、同期サービスの次の側面についてさらに詳しく説明します。
- コネクタ
- 属性フロー
- コネクタ スペース
- メタバース
- プロビジョニング
コネクタ
接続されたディレクトリとの通信に使用されるコード モジュールをコネクタと呼びます (以前の管理エージェント (MA) に相当)。
コネクタは、Microsoft Entra Connect Sync を実行しているコンピューターにインストールされます。コネクタを使用すると、特殊なエージェントをデプロイすることに依存せず、リモート システム プロトコルを使用することで、エージェントレスでのやり取りが可能になります。 つまり、リスクが低減され、デプロイにかかる時間が短縮されます。これは、重要なアプリケーションとシステムを扱う場合に顕著です。
上の図では、コネクタはコネクタ スペースと同じです。外部システムとのすべての通信に及んでいます。
コネクタは、システムに対するすべてのインポート機能とエクスポート機能を担うため、宣言型のプロビジョニングを使用してデータ変換をカスタマイズするときに、開発者は各システムにネイティブで接続する方法を把握する必要がなくなります。
インポートとエクスポートは、スケジュール時にのみ実行されます。接続されているデータ ソースに変更が自動的に反映されることはないため、システム内で発生する変更から分離することができます。 さらに、ほとんどすべてのデータ ソースに接続する独自のコネクタを開発することもできます。
属性フロー
メタバースは、隣接するコネクタ スペースからのすべての結合された ID の統合ビューです。 上図では、属性フローの受信フローと送信フローは矢印付きの線で示されています。 属性フローとは、あるシステムのデータを別のシステムにコピーまたは転送するプロセスであり、すべての属性フロー (受信または送信) です。
属性フローは、同期 (完全または差分) 操作の実行がスケジュールされているときに、コネクタ スペースとメタバースの間で双方向に生じます。
属性フローは、これらの同期の実行時にのみ生じます。 属性フローは同期ルールで定義されます。 インバウンド (上の図の ISR) またはアウトバウンド (上の図の OSR) があります。
接続先システム
接続先システムによって、Microsoft Entra Connect Sync の接続先のリモート システムが参照され、ID データの読み取りと書き込みが行われます。
コネクタ スペース
接続された各データ ソースは、コネクタ スペース内のフィルター処理されたオブジェクトと属性のサブセットとして表されます。 これにより、同期サービスでは、オブジェクトを同期するときに、リモート システムに通信しなくてもローカルで操作を実行できるようになり、インポートとエクスポートのやり取りのみに制限します。
データ ソースとコネクタに変更の一覧を提供する機能 (差分インポート) がある場合は、直近のポーリング サイクル以降の変更のみが交換されるので、運用効率が大幅に向上します。 コネクタ スペースでは、コネクタでのインポートとエクスポートのスケジュール設定を必要とすることにより、接続されたデータ ソースに変更が自動的に反映されないようにします。 この分離機能の追加により、次回更新のテスト、プレビュー、確認時にも安心感を得られます。
メタバース
メタバースは、隣接するコネクタ スペースからのすべての結合された ID の統合ビューです。
ID が一緒にリンクされ、インポート フローのマッピングを介してさまざまな属性に権限が割り当てられると、中央のメタバース オブジェクトでは、複数のシステムからの情報集計が始まります。 このオブジェクト属性フローから、マッピングによって送信システムに情報が伝えられます。
オブジェクトは、権限のあるシステムによってメタバースに伝えられたときに作成されます。 すべての接続が解除されるとすぐに、メタバース オブジェクトは削除されます。
メタバース内のオブジェクトを直接編集することはできません。 オブジェクト内のすべてのデータは、属性フロー経由で送信する必要があります。 メタバースは、各コネクタ スペースと共に永続的なコネクタを保持します。 永続的なコネクタは、同期が実行されるたびに再評価を実行する必要がありません。 つまり、Microsoft Entra Connect Sync では、一致するリモート オブジェクトを毎回特定する必要がありません。 そのため、通常はオブジェクトの関連付けを行う属性の変更をエージェントが防ぐという、コストのかかる処理が不要になります。
管理対象の既存オブジェクトが含まれる可能性のある新しいデータ ソースを検出した場合、Microsoft Entra Connect Sync では、結合ルールと呼ばれるプロセスを使用して、リンクの確立対象となる潜在的な候補を評価します。 リンクが確立されると、この評価が再発生することはなく、リモート接続されたデータ ソースとメタバースの間に通常の属性フローが発生します。
プロビジョニング
権限のあるソースによってメタバースに新しいオブジェクトが伝えられると、ダウンストリームの接続されたデータ ソースを表す別のコネクタに新しいコネクタ スペース オブジェクトを作成できます。
これにより、本質的にリンクが確立され、属性フローで双方向の流れが可能になります。
新しいコネクタ スペース オブジェクトの作成が必要であるとルールによって判断された場合は常に、それをプロビジョニングと呼びます。 ただし、この操作はコネクタ スペース内でのみ行われるため、エクスポートが実行されるまでは、接続されたデータ ソースに引き継がれません。