Análise da sincronização de cloud – como funciona

  • Artigo

Visão geral dos componentes

Como funciona

A sincronização na nuvem é construída sobre os serviços do Microsoft Entra e tem dois componentes principais:

  • Agente de provisionamento: o agente de provisionamento de nuvem do Microsoft Entra Connect é o mesmo agente que o Workday inbound e foi criado na mesma tecnologia do lado do servidor que o proxy de aplicativo e a Autenticação de Passagem. Ele requer apenas uma conexão de saída e os agentes são atualizados automaticamente.
  • Serviço de provisionamento: mesmo serviço de provisionamento que o provisionamento de saída e o provisionamento de entrada de dia útil, que usa um modelo baseado em agendador. As provisões de sincronização na nuvem mudam a cada 2 minutos.

Configuração inicial

Durante a configuração inicial, algumas coisas são feitas para que a sincronização na nuvem aconteça.

  • Durante a instalação do agente: você configura o agente para os domínios do AD dos quais deseja provisionar. Essa configuração registra os domínios no serviço de identidade híbrida e estabelece uma conexão de saída com o barramento de serviço escutando solicitações.
  • Ao habilitar o provisionamento: selecione o domínio do AD e habilite o provisionamento, que é executado a cada 2 minutos. Opcionalmente, pode desselecionar a sincronização do hash de palavras-passe e definir o e-mail de notificação. Você também pode gerenciar a transformação de atributos usando APIs do Microsoft Graph.

Instalação do agente

Os seguintes itens ocorrem quando o agente de provisionamento de nuvem é instalado.

  • O Instalador instala os binários do Agente e o Serviço do Agente em execução na Conta de Serviço Virtual (NETWORK SERVICE\AADProvisioningAgent). Uma conta de serviço virtual é um tipo especial de conta que não tem uma senha e é gerenciada pelo Windows.
  • Em seguida, o instalador inicia o assistente.
  • O Assistente solicita credenciais do Microsoft Entra, autentica e recupera um token.
  • Em seguida, o assistente solicita as credenciais de Administradores de Domínio da máquina atual.
  • A conta de serviço gerenciada geral do agente (GMSA) para este domínio é criada ou localizada e reutilizada se já existir.
  • O serviço do agente agora está reconfigurado para ser executado sob o GMSA.
  • O assistente agora solicita a configuração do domínio junto com a Conta Enterprise Admin (EA)/Domain Admin(DA) para cada domínio que você deseja que o agente atenda.
  • A conta GMSA é então atualizada com permissões que lhe permitem aceder a cada domínio introduzido durante a configuração.
  • Em seguida, o assistente aciona o registro do agente
  • O agente cria um certificado e, usando o token Microsoft Entra, registra-se e o certificado com o Serviço de Registro do Serviço de Identidade Híbrida (HIS)
  • O Assistente dispara uma chamada AgentResourceGrouping. Esta chamada ao HIS Admin Service é para atribuir o agente a um ou mais Domínios AD na configuração HIS.
  • O assistente agora reinicia o serviço do agente.
  • O agente chama um Serviço de Bootstrap na reinicialização (e a cada 10 minutos depois) para verificar se há atualizações de configuração. O serviço de bootstrap valida a identidade do agente. Ele também atualiza o último tempo de bootstrap. Isso é importante porque, se os agentes não inicializarem, eles não receberão pontos de extremidade atualizados do Service Bus e talvez não consigam receber solicitações.

O que é o System for Cross-domain Identity Management (SCIM)?

A especificação SCIM é um padrão usado para automatizar a troca de informações de identidade de usuário ou grupo entre domínios de identidade, como o Microsoft Entra ID. O SCIM está se tornando o padrão de fato para provisionamento e, quando usado com padrões de federação como SAML ou OpenID Connect, fornece aos administradores uma solução baseada em padrões de ponta a ponta para gerenciamento de acesso.

O agente de provisionamento de nuvem do Microsoft Entra Connect usa SCIM com ID do Microsoft Entra para provisionar e desprovisionar usuários e grupos.

Fluxo de sincronização

aprovisionamento Depois de instalar o agente e habilitar o provisionamento, ocorre o seguinte fluxo.

  1. Uma vez configurado, o serviço de provisionamento do Microsoft Entra chama o serviço híbrido do Microsoft Entra para adicionar uma solicitação ao barramento de serviço. O agente mantém constantemente uma conexão de saída com o Service Bus, escutando solicitações e pega a solicitação SCIM (System for Cross-domain Identity Management) imediatamente.
  2. O agente divide a solicitação em consultas separadas com base no tipo de objeto.
  3. O AD retorna o resultado para o agente e o agente filtra esses dados antes de enviá-los para o Microsoft Entra ID.
  4. O agente retorna a resposta SCIM para o Microsoft Entra ID. Essas respostas são baseadas na filtragem que aconteceu dentro do agente. O agente usa o escopo para filtrar os resultados.
  5. O serviço de provisionamento grava as alterações na ID do Microsoft Entra.
  6. Se ocorrer uma sincronização delta, em vez de uma sincronização completa, o cookie/marca d'água será usado. Novas consultas recebem alterações a partir desse cookie/marca d'água.

Cenários suportados:

Os cenários a seguir são suportados para sincronização na nuvem.

  • Cliente híbrido existente com uma nova floresta: o Microsoft Entra Connect Sync é usado para florestas primárias. A sincronização na nuvem é usada para provisionamento de uma floresta do AD (inclusive desconectada). Para obter mais informações, consulte o tutorial aqui.

Híbrido existente

  • Novo cliente híbrido: o Microsoft Entra Connect Sync não é usado. A sincronização na nuvem é usada para provisionamento de uma floresta do AD. Para obter mais informações, consulte o tutorial aqui.

Novos clientes

  • Cliente híbrido existente: o Microsoft Entra Connect Sync é usado para florestas primárias. A sincronização na nuvem é pilotada para um pequeno conjunto de usuários nas florestas primárias aqui.

Projeto-piloto existente

Para obter mais informações, consulte Topologias suportadas.

Próximos passos