Udostępnij za pośrednictwem

Architektura aprowizacji tożsamości aplikacji lokalnej firmy Microsoft

  • Artykuł

Omówienie

Na poniższym diagramie przedstawiono przegląd sposobu działania aprowizacji aplikacji lokalnych.

Diagram przedstawiający architekturę aprowizacji aplikacji lokalnych.

Istnieją trzy podstawowe składniki aprowizowania użytkowników w aplikacji lokalnej:

  • Agent aprowizacji zapewnia łączność między identyfikatorem Entra firmy Microsoft i środowiskiem lokalnym.
  • Host łącznika extensible Connectivity(ECMA) konwertuje żądania aprowizacji z identyfikatora Entra firmy Microsoft na żądania wysyłane do aplikacji docelowej. Służy jako brama między identyfikatorem Entra firmy Microsoft i aplikacją. Służy do importowania istniejących łączników ECMA2 używanych z programem Microsoft Identity Manager. Host ECMA nie jest wymagany, jeśli utworzono aplikację SCIM lub bramę SCIM.
  • Usługa aprowizacji microsoft Entra służy jako aparat synchronizacji.

Uwaga

Synchronizacja programu Microsoft Identity Manager nie jest wymagana. Można go jednak użyć do skompilowania i przetestowania łącznika ECMA2 przed zaimportowanie go do hosta ECMA. Łącznik ECMA2 jest specyficzny dla programu MIM, gdzie host ECMA jest specyficzny dla użycia z agentem aprowizacji.

Wymagania dotyczące zapory

Nie trzeba otwierać połączeń przychodzących z siecią firmową. Agenci aprowizacji używają tylko połączeń wychodzących do usługi aprowizacji, co oznacza, że nie ma potrzeby otwierania portów zapory dla połączeń przychodzących. Nie potrzebujesz również sieci obwodowej (DMZ), ponieważ wszystkie połączenia są wychodzące i odbywają się za pośrednictwem bezpiecznego kanału.

Wymagane punkty końcowe ruchu wychodzącego dla agentów aprowizacji zostały szczegółowo opisane tutaj.

Architektura hosta łącznika ECMA

Host łącznika ECMA ma kilka obszarów, których używa do osiągnięcia lokalnej aprowizacji. Na poniższym diagramie przedstawiono rysunek koncepcyjny przedstawiający te poszczególne obszary. W poniższej tabeli opisano bardziej szczegółowo obszary.

Host łącznika ECMA

Obszar opis
Punkty końcowe Odpowiedzialne za komunikację i transfer danych za pomocą usługi aprowizacji firmy Microsoft
Pamięć podręczna w pamięci Służy do przechowywania danych importowanych z lokalnego źródła danych
Autosynchronizuj Zapewnia asynchroniczną synchronizację danych między hostem łącznika ECMA i lokalnym źródłem danych
Logika biznesowa Służy do koordynowania wszystkich działań hosta łącznika ECMA. Czas autosync można skonfigurować na hoście ECMA. Znajduje się to na stronie właściwości.

Informacje o atrybutach kotwicy i nazwach wyróżniających

Poniższe informacje są udostępniane w celu lepszego wyjaśnienia atrybutów kotwicy i nazw wyróżniających, szczególnie używanych przez łącznik genericSQL.

Atrybut kotwicy jest unikatowym atrybutem typu obiektu, który nie zmienia się i reprezentuje ten obiekt w pamięci podręcznej hosta łącznika ECMA.

Nazwa wyróżniająca (DN) to nazwa, która jednoznacznie identyfikuje obiekt, wskazując jego bieżącą lokalizację w hierarchii katalogów. Lub za pomocą bazy danych SQL w partycji. Nazwa jest tworzona przez łączenie atrybutu kotwicy w katalogu głównym partycji katalogu.

Jeśli myślimy o tradycyjnych sieciach DN w tradycyjnym formacie, na przykład w usłudze Active Directory lub LDAP, myślimy o czymś podobnym do:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Jednak w przypadku źródła danych, takiego jak SQL, które jest płaskie, a nie hierarchiczne, nazwa wyróżniająca musi być już obecna w jednej z tabel lub utworzona na podstawie informacji, które udostępniamy hostowi łącznika ECMA.

Można to osiągnąć, zaznaczając pole wyboru Automatycznie wygenerowane podczas konfigurowania łącznika genericSQL. Po wybraniu wartości DN do automatycznego wygenerowania host ECMA generuje dn dn w formacie LDAP: CN=<anchorvalue,OBJECT>=<type>. Przyjęto również założenie, że nazwa wyróżniająca jest niezaznaczona na stronie Łączność.

Nazwa wyróżniająca jest niezaznaczona

Łącznik genericSQL oczekuje, że nazwa wyróżniająca zostanie wypełniona przy użyciu formatu LDAP. Ogólny łącznik SQL używa stylu LDAP o nazwie składnika "OBJECT=". Dzięki temu można używać partycji (każdy typ obiektu jest partycją).

Ponieważ host łącznika ECMA obecnie obsługuje tylko typ obiektu USER, object=type> będzie OBJECT=<USER. Dlatego dnem dla użytkownika z wartością kotwicy ljacobson będzie:

CN=ljacobson,OBJECT=USER

Przepływ pracy tworzenia użytkownika

  1. Usługa aprowizacji firmy Microsoft wysyła zapytanie do hosta łącznika ECMA, aby sprawdzić, czy użytkownik istnieje. Używa pasującego atrybutu jako filtru. Ten atrybut jest zdefiniowany w witrynie Azure Portal w obszarze Aplikacje dla przedsiębiorstw —> aprowizowanie lokalne —> aprowizowanie —> dopasowywanie atrybutów. Jest to oznaczane przez 1 dla pasującego pierwszeństwa. Można zdefiniować co najmniej jeden pasujący atrybut i określić priorytety na podstawie pierwszeństwa. Jeśli chcesz zmienić pasujący atrybut, możesz również to zrobić. Dopasowywanie atrybutu

  2. Host łącznika ECMA odbiera żądanie GET i wysyła zapytanie do wewnętrznej pamięci podręcznej, aby sprawdzić, czy użytkownik istnieje i czy został zaimportowany. Odbywa się to przy użyciu odpowiednich atrybutów powyżej. Jeśli zdefiniujesz wiele pasujących atrybutów, usługa aprowizacji firmy Microsoft wysyła żądanie GET dla każdego atrybutu, a host ECMA sprawdza jego pamięć podręczną pod kątem dopasowania, dopóki go nie znajdzie.

  3. Jeśli użytkownik nie istnieje, identyfikator Entra firmy Microsoft wysyła żądanie POST do utworzenia użytkownika. Host łącznika ECMA odpowiada z powrotem na identyfikator Entra firmy Microsoft przy użyciu protokołu HTTP 201 i podaj identyfikator użytkownika. Ten identyfikator pochodzi z wartości kotwicy zdefiniowanej na stronie typów obiektów. Ta kotwica będzie używana przez identyfikator Entra firmy Microsoft do wysyłania zapytań do hosta łącznika ECMA pod kątem przyszłych i kolejnych żądań.

  4. Jeśli zmiana ma miejsce dla użytkownika w identyfikatorze Entra firmy Microsoft, identyfikator Entra firmy Microsoft wysyła żądanie GET w celu pobrania użytkownika przy użyciu kotwicy z poprzedniego kroku, a nie pasującego atrybutu w kroku 1. Umożliwia to na przykład zmianę nazwy UPN bez przerywania połączenia między użytkownikiem w usłudze Microsoft Entra ID i w aplikacji.

Najlepsze rozwiązania dotyczące agentów

  • Używanie tego samego agenta dla funkcji aprowizacji lokalnej wraz z synchronizacją produktu Workday /SuccessFactors/ Microsoft Entra Connect w chmurze jest obecnie nieobsługiwane. Aktywnie pracujemy nad obsługą lokalnej aprowizacji na tym samym agencie co inne scenariusze aprowizacji.
    • Unikaj wszystkich form wbudowanej inspekcji komunikacji wychodzącej TLS między agentami a platformą Azure. Ten typ inspekcji wbudowanej powoduje obniżenie przepływu komunikacji.
  • Agent musi komunikować się zarówno z platformą Azure, jak i z aplikacją, więc umieszczenie agenta wpływa na opóźnienie tych dwóch połączeń. Możesz zminimalizować opóźnienie ruchu kompleksowego, optymalizując każde połączenie sieciowe. Każde połączenie można zoptymalizować za pomocą:
  • Zmniejszenie odległości między dwoma końcami przeskoku.
  • Wybieranie odpowiedniej sieci do przejścia. Na przykład przechodzenie przez sieć prywatną zamiast publicznego Internetu może być szybsze z powodu dedykowanych linków.
  • Agent i host ECMA korzystają z certyfikatu do komunikacji. Certyfikat z podpisem własnym wygenerowany przez hosta ECMA powinien być używany tylko do celów testowych. Certyfikat z podpisem własnym wygasa domyślnie za dwa lata i nie można go odwołać. Firma Microsoft zaleca używanie certyfikatu z zaufanego urzędu certyfikacji w przypadku przypadków użycia w środowisku produkcyjnym.

Wysoka dostępność

Poniżej przedstawiono informacje dotyczące scenariuszy wysokiej dostępności/trybu failover.

W przypadku aplikacji lokalnych korzystających z łącznika ECMA: Zaleceniem jest posiadanie 1 aktywnego agenta i 1 agenta pasywnego (skonfigurowanego, ale zatrzymanego, nieprzypisanego do aplikacji przedsiębiorstwa w usłudze Entra) na centrum danych.

Podczas pracy w trybie failover zaleca się wykonanie następujących czynności:

  1. Zatrzymaj aktywnego agenta (A).
  2. Anuluj przypisanie agenta A z aplikacji dla przedsiębiorstw.
  3. Uruchom ponownie agenta pasywnego (B).
  4. Przypisz agenta B do aplikacji dla przedsiębiorstw.

Diagram wysokiej dostępności z łącznikiem ECMA.

W przypadku aplikacji lokalnych korzystających z łącznika SCIM: zalecenie dotyczy 2 aktywnych agentów na aplikację.

Diagram wysokiej dostępności z łącznikiem SCIM.

Pytania dotyczące agenta aprowizacji

Odpowiedzi na niektóre typowe pytania znajdują się tutaj.

Jak mogę znać wersję mojego agenta aprowizacji?

  1. Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
  2. Przejdź do Panel sterowania> Uninstall lub Zmień program.
  3. Wyszukaj wersję odpowiadającą wpisowi microsoft Entra Connect Provisioning Agent.

Czy mogę zainstalować agenta aprowizacji na tym samym serwerze z programem Microsoft Entra Connect lub Microsoft Identity Manager?

Tak. Agenta aprowizacji można zainstalować na tym samym serwerze, na którym działa program Microsoft Entra Connect lub Microsoft Identity Manager, ale nie są one wymagane.

Jak mogę skonfigurować agenta aprowizacji do korzystania z serwera proxy na potrzeby wychodzącej komunikacji HTTP?

Agent aprowizacji obsługuje korzystanie z wychodzącego serwera proxy. Można go skonfigurować, edytując plik konfiguracji agenta C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Dodaj do niego następujące wiersze na końcu pliku tuż przed tagiem zamykającym </configuration> . Zastąp zmienne [proxy-server] i [proxy-port] wartościami nazwy serwera proxy i portu.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Jak mogę upewnić się, że agent aprowizacji może komunikować się z dzierżawą firmy Microsoft Entra i żadne zapory nie blokują portów wymaganych przez agenta?

Możesz również sprawdzić, czy wszystkie wymagane porty są otwarte.

Jak mogę odinstalować agenta aprowizacji?

  1. Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
  2. Przejdź do Panel sterowania> Uninstall lub Zmień program.
  3. Odinstaluj następujące programy:
  • Microsoft Entra Connect Provisioning Agent
  • Microsoft Entra Connect Agent Updater
  • Pakiet agenta aprowizacji programu Microsoft Entra Connect

Historia agenta aprowizacji

W tym artykule wymieniono wersje i funkcje programu Microsoft Entra Connect Provisioning Agent, które zostały wydane. Zespół firmy Microsoft Entra regularnie aktualizuje agenta aprowizacji przy użyciu nowych funkcji i funkcji. Upewnij się, że nie używasz tego samego agenta do aprowizacji lokalnej i synchronizacji w chmurze/ aprowizacji opartej na hr.

Firma Microsoft zapewnia bezpośrednią obsługę najnowszej wersji agenta i jedną wersję wcześniej.

Aprowizowanie aplikacji lokalnych zostało wprowadzone do agenta aprowizacji i jest dostępne w portalu. Zobacz instalowanie agenta aprowizacji.

1.1.892.0

20 maja 2022 r. — wydany do pobrania

Naprawione problemy

  • Dodaliśmy obsługę eksportowania zmian do atrybutów liczb całkowitych, co przynosi korzyści klientom korzystającym z ogólnego łącznika LDAP.

1.1.846.0

11 kwietnia 2022 r. — wydany do pobrania

Naprawione problemy

  • Dodaliśmy obsługę identyfikatora ObjectGUID jako kotwicy dla ogólnego łącznika LDAP podczas aprowizacji użytkowników w usługach AD LDS.

Następne kroki