Architektura aprowizacji tożsamości aplikacji lokalnej firmy Microsoft

  • Artykuł

Omówienie

Na poniższym diagramie przedstawiono przegląd sposobu działania aprowizacji aplikacji lokalnych.

Diagram that shows the architecture for on-premises application provisioning.

Istnieją trzy podstawowe składniki aprowizowania użytkowników w aplikacji lokalnej:

  • Agent aprowizacji zapewnia łączność między identyfikatorem Entra firmy Microsoft i środowiskiem lokalnym.
  • Host Połączenie or extensible Połączenie ivity (ECMA) konwertuje żądania aprowizacji z identyfikatora Entra firmy Microsoft na żądania wysyłane do aplikacji docelowej. Służy jako brama między identyfikatorem Entra firmy Microsoft i aplikacją. Służy do importowania istniejących łączników ECMA2 używanych z programem Microsoft Identity Manager. Host ECMA nie jest wymagany, jeśli utworzono aplikację SCIM lub bramę SCIM.
  • Usługa aprowizacji microsoft Entra służy jako aparat synchronizacji.

Uwaga

Synchronizacja programu Microsoft Identity Manager nie jest wymagana. Można go jednak użyć do skompilowania i przetestowania łącznika ECMA2 przed zaimportowanie go do hosta ECMA. Łącznik ECMA2 jest specyficzny dla programu MIM, gdzie host ECMA jest specyficzny dla użycia z agentem aprowizacji.

Wymagania dotyczące zapory

Nie trzeba otwierać połączeń przychodzących z siecią firmową. Agenci aprowizacji używają tylko połączeń wychodzących do usługi aprowizacji, co oznacza, że nie ma potrzeby otwierania portów zapory dla połączeń przychodzących. Nie potrzebujesz również sieci obwodowej (DMZ), ponieważ wszystkie połączenia są wychodzące i odbywają się za pośrednictwem bezpiecznego kanału.

Wymagane punkty końcowe ruchu wychodzącego dla agentów aprowizacji zostały szczegółowo opisane tutaj.

Architektura hosta usługi ECMA Połączenie or

Host Połączenie or ECMA ma kilka obszarów, których używa do osiągnięcia lokalnej aprowizacji. Na poniższym diagramie przedstawiono rysunek koncepcyjny przedstawiający te poszczególne obszary. W poniższej tabeli opisano bardziej szczegółowo obszary.

ECMA connector host

Obszar opis
Punkty końcowe Odpowiedzialne za komunikację i transfer danych za pomocą usługi aprowizacji firmy Microsoft
Pamięć podręczna w pamięci Służy do przechowywania danych importowanych z lokalnego źródła danych
Autosync Zapewnia asynchroniczną synchronizację danych między hostem Połączenie or ECMA i lokalnym źródłem danych
Logika biznesowa Służy do koordynowania wszystkich działań hosta ecMA Połączenie or. Czas autosync można skonfigurować na hoście ECMA. Znajduje się to na stronie właściwości.

Informacje o atrybutach kotwicy i nazwach wyróżniających

Poniższe informacje są udostępniane w celu lepszego wyjaśnienia atrybutów kotwicy i nazw wyróżniających, szczególnie używanych przez łącznik genericSQL.

Atrybut kotwicy jest unikatowym atrybutem typu obiektu, który nie zmienia się i reprezentuje ten obiekt w pamięci podręcznej hosta Połączenie or ECMA.

Nazwa wyróżniająca (DN) to nazwa, która jednoznacznie identyfikuje obiekt, wskazując jego bieżącą lokalizację w hierarchii katalogów. Lub za pomocą bazy danych SQL w partycji. Nazwa jest tworzona przez łączenie atrybutu kotwicy w katalogu głównym partycji katalogu.

Jeśli myślimy o tradycyjnych sieciach DN w tradycyjnym formacie, na przykład w usłudze Active Directory lub LDAP, myślimy o czymś podobnym do:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Jednak w przypadku źródła danych, takiego jak SQL, które jest płaskie, a nie hierarchiczne, nazwa wyróżniająca musi być już obecna w jednej z tabel lub utworzona na podstawie informacji, które udostępniamy do hosta Połączenie or ECMA.

Można to osiągnąć, zaznaczając pole wyboru Automatycznie wygenerowane podczas konfigurowania łącznika genericSQL. Po wybraniu wartości DN do automatycznego wygenerowania host ECMA wygeneruje dn dn w formacie LDAP: CN=<anchorvalue,OBJECT>=<type>. Przyjęto również założenie, że nazwa wyróżniająca jest niezaznaczona na stronie Połączenie ivity.

DN is Anchor unchecked

Łącznik genericSQL oczekuje, że nazwa wyróżniająca zostanie wypełniona przy użyciu formatu LDAP. Ogólny łącznik SQL używa stylu LDAP o nazwie składnika "OBJECT=". Dzięki temu można używać partycji (każdy typ obiektu jest partycją).

Ponieważ host Połączenie or ECMA obecnie obsługuje tylko typ obiektu USER, object=type> będzie OBJECT=<USER. W związku z tym dnem dla użytkownika z wartością anchorvalue ljacobson będzie:

CN=ljacobson,OBJECT=USER

Przepływ pracy tworzenia użytkownika

  1. Usługa aprowizacji firmy Microsoft wysyła zapytanie do hosta ecMA Połączenie or, aby sprawdzić, czy użytkownik istnieje. Używa pasującego atrybutu jako filtru. Ten atrybut jest zdefiniowany w witrynie Azure Portal w obszarze Aplikacje dla przedsiębiorstw —> aprowizowanie lokalne —> aprowizowanie —> dopasowywanie atrybutów. Jest to oznaczane przez 1 dla pasującego pierwszeństwa. Można zdefiniować co najmniej jeden pasujący atrybut i określić priorytety na podstawie pierwszeństwa. Jeśli chcesz zmienić pasujący atrybut, możesz również to zrobić. Matching attribute

  2. Host ecMA Połączenie or odbiera żądanie GET i wysyła zapytanie do wewnętrznej pamięci podręcznej, aby sprawdzić, czy użytkownik istnieje i czy został zaimportowany. Odbywa się to przy użyciu odpowiednich atrybutów powyżej. Jeśli zdefiniujesz wiele pasujących atrybutów, usługa aprowizacji firmy Microsoft wyśle żądanie GET dla każdego atrybutu, a host ECMA sprawdzi jego pamięć podręczną pod kątem dopasowania do momentu znalezienia.

  3. Jeśli użytkownik nie istnieje, identyfikator Entra firmy Microsoft wyśle żądanie POST, aby utworzyć użytkownika. Host Połączenie or ECMA odpowie na identyfikator Microsoft Entra ID przy użyciu protokołu HTTP 201 i podaj identyfikator użytkownika. Ten identyfikator pochodzi z wartości kotwicy zdefiniowanej na stronie typów obiektów. Ta kotwica będzie używana przez identyfikator entra firmy Microsoft do wykonywania zapytań dotyczących hosta Połączenie or ECMA pod kątem przyszłych i kolejnych żądań.

  4. Jeśli użytkownik w identyfikatorze Entra firmy Microsoft zmieni się na zmianę, usługa Microsoft Entra ID wyśle żądanie GET, aby pobrać użytkownika przy użyciu kotwicy z poprzedniego kroku, a nie pasującego atrybutu w kroku 1. Umożliwia to na przykład zmianę nazwy UPN bez przerywania połączenia między użytkownikiem w usłudze Microsoft Entra ID i w aplikacji.

Najlepsze rozwiązania dotyczące agentów

  • Używanie tego samego agenta dla funkcji aprowizacji lokalnej wraz z rozwiązaniem Workday / SuccessFactors / Microsoft Entra Połączenie synchronizacji w chmurze jest obecnie nieobsługiwane. Aktywnie pracujemy nad obsługą lokalnej aprowizacji na tym samym agencie co inne scenariusze aprowizacji.
    • Unikaj wszystkich form wbudowanej inspekcji komunikacji wychodzącej TLS między agentami a platformą Azure. Ten typ inspekcji wbudowanej powoduje obniżenie przepływu komunikacji.
  • Agent musi komunikować się zarówno z platformą Azure, jak i z aplikacją, więc umieszczenie agenta wpływa na opóźnienie tych dwóch połączeń. Możesz zminimalizować opóźnienie ruchu kompleksowego, optymalizując każde połączenie sieciowe. Każde połączenie można zoptymalizować za pomocą:
    • Zmniejszenie odległości między dwoma końcami przeskoku.
    • Wybieranie odpowiedniej sieci do przejścia. Na przykład przechodzenie przez sieć prywatną zamiast publicznego Internetu może być szybsze z powodu dedykowanych linków.
  • Agent i host ECMA korzystają z certyfikatu do komunikacji. Certyfikat z podpisem własnym wygenerowany przez hosta ECMA powinien być używany tylko do celów testowych. Certyfikat z podpisem własnym wygasa domyślnie za dwa lata i nie można go odwołać. Firma Microsoft zaleca używanie certyfikatu z zaufanego urzędu certyfikacji w przypadku przypadków użycia w środowisku produkcyjnym.

Pytania dotyczące agenta aprowizacji

Odpowiedzi na niektóre typowe pytania znajdują się tutaj.

Jak mogę znać wersję mojego agenta aprowizacji?

  1. Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
  2. Przejdź do Panel sterowania> Uninstall lub Zmień program.
  3. Wyszukaj wersję odpowiadającą wpisowi microsoft Entra Połączenie Provisioning Agent.

Czy mogę zainstalować agenta aprowizacji na tym samym serwerze z systemem Microsoft Entra Połączenie lub Microsoft Identity Manager?

Tak. Agenta aprowizacji można zainstalować na tym samym serwerze, na którym działa program Microsoft Entra Połączenie lub Microsoft Identity Manager, ale nie są one wymagane.

Jak mogę skonfigurować agenta aprowizacji do korzystania z serwera proxy na potrzeby wychodzącej komunikacji HTTP?

Agent aprowizacji obsługuje korzystanie z wychodzącego serwera proxy. Można go skonfigurować, edytując plik konfiguracji agenta C:\Program Files\Microsoft Azure AD Połączenie Provisioning Agent\AAD Połączenie ProvisioningAgent.exe.config. Dodaj do niego następujące wiersze na końcu pliku tuż przed tagiem zamykającym</configuration>. Zastąp zmienne [proxy-server] i [proxy-port] wartościami nazwy serwera proxy i portu.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Jak mogę upewnić się, że agent aprowizacji może komunikować się z dzierżawą firmy Microsoft Entra i żadne zapory nie blokują portów wymaganych przez agenta?

Możesz również sprawdzić, czy wszystkie wymagane porty są otwarte.

Jak mogę odinstalować agenta aprowizacji?

  1. Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
  2. Przejdź do Panel sterowania> Uninstall lub Zmień program.
  3. Odinstaluj następujące programy:
    • Microsoft Entra Połączenie Provisioning Agent
    • Microsoft Entra Połączenie Agent Updater
    • Microsoft Entra Połączenie Provisioning Agent Package

Historia agenta aprowizacji

W tym artykule wymieniono wersje i funkcje programu Microsoft Entra Połączenie Provisioning Agent, które zostały wydane. Zespół firmy Microsoft Entra regularnie aktualizuje agenta aprowizacji przy użyciu nowych funkcji i funkcji. Upewnij się, że nie używasz tego samego agenta do aprowizacji lokalnej i synchronizacji w chmurze/ aprowizacji opartej na hr.

Firma Microsoft zapewnia bezpośrednią obsługę najnowszej wersji agenta i jedną wersję wcześniej.

Aprowizowanie aplikacji lokalnych zostało wprowadzone do agenta aprowizacji i jest dostępne w portalu. Zobacz instalowanie agenta aprowizacji.

1.1.892.0

20 maja 2022 r. — wydany do pobrania

Naprawione problemy

  • Dodaliśmy obsługę eksportowania zmian do atrybutów liczb całkowitych, co przynosi korzyści klientom korzystającym z ogólnego łącznika LDAP.

1.1.846.0

11 kwietnia 2022 r. — wydany do pobrania

Naprawione problemy

  • Dodaliśmy obsługę identyfikatora ObjectGUID jako kotwicy dla ogólnego łącznika LDAP podczas aprowizacji użytkowników w usługach AD LDS.

Następne kroki