Gedetailleerde informatie over cloudsynchronisatie - hoe het werkt

Overzicht van onderdelen

Cloudsynchronisatie is gebouwd op basis van de Microsoft Entra-services en heeft twee belangrijke onderdelen:

• Inrichtingsagent: de Microsoft Entra Connect-cloudinrichtingsagent is dezelfde agent als workday-inkomend en gebouwd op dezelfde technologie aan de serverzijde als app-proxy en Pass Through-verificatie. Hiervoor is alleen een uitgaande verbinding vereist en worden agents automatisch bijgewerkt.
• Inrichtingsservice: Dezelfde inrichtingsservice als uitgaande inrichting en Binnenkomende inrichting van Workday, die gebruikmaakt van een op scheduler gebaseerd model. De inrichting van cloudsynchronisatie verandert elke 2 minuten.

Eerste configuratie

Tijdens de eerste installatie worden enkele dingen gedaan waardoor cloudsynchronisatie plaatsvindt.

• Tijdens de installatie van de agent: u configureert de agent voor de AD-domeinen waaruit u wilt inrichten. Tijdens deze configuratie worden de domeinen in de hybride identiteitsservice geregistreerd en wordt een uitgaande verbinding tot stand gebracht met de servicebus die luistert naar aanvragen.
• Wanneer u inrichten inschakelt: u selecteert het AD-domein en schakelt inrichting in, die elke 2 minuten wordt uitgevoerd. U kunt desgewenst de selectie van Hashsynchronisatie wachtwoord opheffen en E-mailmelding definiëren. U kunt ook kenmerktransformatie beheren met behulp van Microsoft Graph API's.

Agentinstallatie

De volgende items vinden plaats wanneer de cloudinrichtingsagent is geïnstalleerd.

• Het installatieprogramma installeert de binaire agentbestanden en de agentservice die wordt uitgevoerd onder het virtuele serviceaccount (NETWORK SERVICE\AADProvisioningAgent). Een virtueel serviceaccount is een speciaal type account dat geen wachtwoord heeft en wordt beheerd door Windows.
• Vervolgens wordt de wizard gestart door het installatieprogramma.
• De wizard vraagt om Microsoft Entra-referenties, verifieert en haalt een token op.
• Vervolgens wordt gevraagd om de referenties van de huidige computerdomeinbeheerders.
• Het algemene beheerde serviceaccount van de agent (GMSA) voor dit domein wordt gemaakt of opnieuw gebruikt als het al bestaat.
• De agentservice is nu opnieuw geconfigureerd voor uitvoering onder het GMSA.
• Nu wordt gevraagd om een domeinconfiguratie en het EA/DA-account (Enterprise Admin/Domain Admin) voor elk domein dat u door de agent wilt laten beheren.
• Het GMSA-account wordt vervolgens bijgewerkt met machtigingen waarmee toegang wordt verleend tot elk domein dat tijdens de installatie is ingevoerd.
• Vervolgens wordt de registratie van de agent geactiveerd
• De agent maakt een certificaat en gebruikt het Microsoft Entra-token, registreert zichzelf en het certificaat met de Registratieservice hybrid identity service (HIS)
• Vanuit de wizard wordt een AgentResourceGrouping-aanroep geactiveerd. Deze aanroep van de HIS-beheerservice is bedoeld om de agent toe te wijzen aan een of meer AD-domeinen in de HIS-configuratie.
• Nu wordt de agentservice opnieuw opgestart.
• Via de agent wordt een bootstrapservice aangeroepen bij opnieuw opstarten (en elke 10 minuten daarna) om te controleren of er configuratie-updates zijn. De agent-id wordt geverifieerd door de bootstrapservice. Ook wordt de laatste bootstraptijd bijgewerkt. Dit is belangrijk omdat als agents geen bootstrap uitvoeren, ze geen bijgewerkte Service Bus-eindpunten krijgen en mogelijk geen aanvragen kunnen ontvangen.

Wat is System for Cross-domain Identity Management (SCIM)?

De SCIM-specificatie is een standaard die wordt gebruikt om het uitwisselen van gebruikers- of groepsidentiteitsgegevens tussen identiteitsdomeinen zoals Microsoft Entra-id te automatiseren. SCIM wordt de feitelijke standaard voor het inrichten en biedt beheerders, wanneer ze worden gebruikt met federatiestandaarden zoals SAML of OpenID Connect, een end-to-end oplossing op basis van standaarden voor toegangsbeheer.

De Microsoft Entra Connect-agent voor cloudinrichting maakt gebruik van SCIM met Microsoft Entra-id om gebruikers en groepen in te richten en de inrichting ervan ongedaan te maken.

Synchronisatiestroom

Zodra u de agent hebt geïnstalleerd en inrichting hebt ingeschakeld, vindt de volgende stroom plaats.

1. Zodra deze is geconfigureerd, roept de Microsoft Entra-inrichtingsservice de hybride Service van Microsoft Entra aan om een aanvraag toe te voegen aan de Service Bus. Via de agent wordt voortdurend een uitgaande verbinding onderhouden met de Service Bus die luistert naar aanvragen en wordt onmiddellijk de SCIM-aanvraag (System for Cross Domain Identity Management) opgehaald.
2. De aanvraag wordt op basis van het objecttype opgebroken in afzonderlijke query's.
3. AD retourneert het resultaat aan de agent en de agent filtert deze gegevens voordat deze naar Microsoft Entra-id wordt verzonden.
4. Agent retourneert het SCIM-antwoord op Microsoft Entra-id. Deze antwoorden zijn gebaseerd op het filteren dat is uitgevoerd binnen de agent. Via de agent wordt scoping gebruikt om de resultaten te filteren.
5. De inrichtingsservice schrijft de wijzigingen naar de Microsoft Entra-id.
6. Als een deltasynchronisatie plaatsvindt in plaats van een volledige synchronisatie, wordt het cookie/watermerk gebruikt. Nieuwe query's krijgen wijzigingen vanaf dat cookie/watermerk.

Ondersteunde scenario's:

De volgende scenario's worden ondersteund voor cloudsynchronisatie.

• Bestaande hybride klant met een nieuw forest: Microsoft Entra Connect Sync wordt gebruikt voor primaire forests. Cloudsynchronisatie wordt gebruikt voor het inrichten vanuit een AD-forest (ook als de verbinding verbroken is). Zie de zelfstudie hier voor meer informatie.

• Nieuwe hybride klant: Microsoft Entra Connect Sync wordt niet gebruikt. Cloudsynchronisatie wordt gebruikt voor inrichting vanuit een AD-forest. Zie de zelfstudie hier voor meer informatie.

• Bestaande hybride klant: Microsoft Entra Connect Sync wordt gebruikt voor primaire forests. Cloudsynchronisatie bevindt zich hier in de testfase voor een kleine set gebruikers in de primaire forests.

Zie Ondersteunde topologieën voor meer informatie.

Volgende stappen

• Wat is inrichting?
• Wat is Microsoft Entra-cloudsynchronisatie?