Azure Active Directory 同期の技術的概念
更新日: 2015 年 7 月 21 日
重要
このトピックは間もなくアーカイブされます。
AADSyncと DirSync を置き換える "Azure Active Directory Connect" という新しい製品があります。
Azure AD Connect には、以前 Dirsync と AAD Sync としてリリースされたコンポーネントと機能が組み込まれています。
将来のある時点で、Dirsync と AAD Sync のサポートは終了します。
これらのツールは機能改善によって個別に更新されなくなり、今後のすべての機能強化は Azure AD Connectの更新プログラムに含まれます。
AADsync は、堅牢なメタディレクトリ同期プラットフォームを基盤としています。
以下のセクションでは、メタディレクトリ同期の概念を説明します。
Azure Active Directory Sync Services は、MIIS、ILM、FIM を基盤とし、データ ソースへの接続、データ ソース間でのデータの同期、ID のプロビジョニングとプロビジョニング解除のための次期型プラットフォームを提供します。
.jpg "Technical Concepts")
以下のセクションでは、FIM 同期サービスの次の側面についてさらに詳しく説明します。
コネクタ
属性フロー
コネクタ スペース
メタバース
プロビジョニング
コネクタ
接続されたデータ ソースとの通信に使用されるコード モジュールをコネクタと呼びます。これは、以前の管理エージェント (MA) に相当します。 コネクタは、AADSync を実行しているコンピューターにインストールされます。
コネクタを使用すると、特殊なエージェントをデプロイすることに依存せず、リモート システム プロトコルを使用することで、エージェントレスでのやり取りが可能になります。 つまり、リスクが低減され、デプロイにかかる時間が短縮されます。これは、重要なアプリケーションとシステムを扱う場合に顕著です。 上の図では、コネクタは Connector space (コネクタ スペース) と同じであり、外部システムとのすべての通信に及んでいます。
コネクタは、システムに対するすべてのインポート機能とエクスポート機能を担うため、宣言型のプロビジョニングを使用してデータ変換をカスタマイズするときに、開発者は各システムにネイティブで接続する方法を把握する必要がなくなります。
インポートとエクスポートはスケジュールされたときにのみ行われ、システム内で発生した変更が接続されたデータ ソースに自動的に反映されることはないので、それらの変更からの分離が可能になります。さらに、開発者は、実質的にあらゆるデータ ソースに接続するために、独自のコネクタを作成することもできます。 .
属性フロー
メタバースは、隣接するコネクタ スペースからのすべての結合された ID の統合ビューです。上の図では、属性フローは、インバウンドとアウトバウンドの両方のフローを示す矢印付きの線で表現されています。属性フローは、あるシステムから別のシステムへとデータをコピーまたは変換するプロセスです。すべての属性フローはインバウンドまたはアウトバウンドです。
属性フローは、同期 (完全または差分) 操作の実行がスケジュールされているときに、コネクタ スペースとメタバースの間で双方向に生じます。
属性フローは、これらの同期の実行時にのみ生じます。 属性フローは同期ルールで定義されます。 インバウンド (上の図の ISR) またはアウトバウンド (上の図の OSR) があります。
コネクタ スペース
接続された各データ ソースは、コネクタ スペース内のフィルター処理されたオブジェクトと属性のサブセットとして表されます。
これにより、同期サービスでは、オブジェクトを同期するときに、リモート システムに通信しなくてもローカルで操作を実行できるようになり、インポートとエクスポートのやり取りのみに制限します。
データ ソースとコネクタに変更の一覧を提供する機能 (差分インポート) がある場合は、直近のポーリング サイクル以降の変更のみが交換されるので、運用効率が大幅に向上します。 コネクタ スペースでは、コネクタでのインポートとエクスポートのスケジュール設定を必要とすることにより、接続されたデータ ソースに変更が自動的に反映されないようにします。
この分離機能の追加により、次回更新のテスト、プレビュー、確認時にも安心感を得られます。
メタバース
メタバースは、隣接するコネクタ スペースからのすべての結合された ID の統合ビューです。
ID が一緒にリンクされ、インポート フローのマッピングを介してさまざまな属性に権限が割り当てられると、中央のメタバース オブジェクトでは、複数のシステムからの情報集計が始まります。
このオブジェクト属性フローから、マッピングによって送信システムに情報が伝えられます。
オブジェクトは、権限のあるシステムによってメタバースに伝えられたときに作成されます。
すべての接続が解除されるとすぐに、メタバース オブジェクトは削除されます。
メタバースのオブジェクトを直接編集することはできません。オブジェクト内のすべてのデータは、属性フローを介して提供される必要があります。メタバースは、各コネクタ スペースと共に永続的なコネクタを保持します。
これらのコネクタでは、同期を実行するたびに再評価を必要とすることはありません。つまり、AADsync では一致するリモート オブジェクトを毎回見つける必要はありません。これにより、負担の大きいエージェントにとっては、オブジェクトの相互関連付けに通常関与する属性に変更が加わることを回避する必要がなくなります。
管理する必要のある以前からのオブジェクトが含まれる可能性のある新しいデータ ソースを検出した場合、AADSync では、結合ルールと呼ばれるプロセスを使用して、リンクの確立相手となる潜在的な候補を評価します。
リンクが確立すると、この評価が再び発生することはなく、リモート接続されたデータ ソースとメタバースの間に通常の属性フローが発生します。
プロビジョニング
権限のあるソースによってメタバースに新しいオブジェクトが伝えられると、ダウンストリームの接続されたデータ ソースを表す別のコネクタに新しいコネクタ スペース オブジェクトを作成できます。
これにより、本質的にリンクが確立され、属性フローで双方向の流れが可能になります。
新しいコネクタ スペース オブジェクトを作成する必要があるとルールによって判断された場合は常に、それをプロビジョニングと呼びます。 ただし、この操作はコネクタ スペース内でのみ行われるため、エクスポートが実行されるまでは、接続されたデータ ソースに引き継がれません。