Подробное знакомство с облачной синхронизацией
Общие сведения о компонентах
Облачная синхронизация основана на службах Microsoft Entra и имеет два ключевых компонента:
- Агент подготовки: агент подготовки облака Microsoft Entra Connect является тем же агентом, что и входящий трафик Workday и построен на той же серверной технологии, что и прокси приложения и сквозная проверка подлинности. Для этого требуется только исходящее подключение, а агенты автоматически обучены.
- Служба подготовки: та же служба подготовки, что и исходящая подготовка и входящий трафик Workday, которая использует модель на основе планировщика. Облачная синхронизация подготавливает изменения каждые 2 минуты.
Начальная настройка
Во время начальной настройки выполняется несколько действий, которые выполняют облачную синхронизацию.
- Во время установки агента вы указываете для него домены AD, из которых будете выполнять подготовку к работе. Эта конфигурация регистрирует домены в гибридной службе идентификации и настраивает исходящее подключение к служебной шине для ожидания передачи данных.
- При включении подготовки: выберите домен AD и включите подготовку, которая выполняется каждые 2 минуты. При желании можно отменить синхронизацию для хэша паролей и определить адрес электронной почты для отправки уведомлений. Также вы можете управлять преобразованием атрибутов с помощью API Microsoft Graph.
Установка агента
Следующие элементы возникают при установке агента подготовки облака.
- Установщик устанавливает двоичные файлы агента и службу агента, запущенную в учетной записи виртуальной службы (NETWORK SERVICE\AADProvisioningAgent). Учетная запись виртуальной службы — это специальный тип учетной записи, которая не имеет пароля и управляется Windows.
- Затем установщик запускает мастер.
- Мастер запрашивает учетные данные Microsoft Entra, а затем выполняет проверку подлинности и извлекает маркер.
- Затем мастер запросит учетные данные администратора домена на компьютере, где он выполняется.
- Общая управляемая учетная запись службы агента (GMSA) для этого домена создается или размещается и повторно используется, если она уже существует.
- Параметры службы агента изменяются так, чтобы она выполнялась от имени этой GMSA.
- Затем мастер запрашивает конфигурацию домена и учетную запись администратора предприятия (домена) для каждого домена, который будет обслуживаться этим агентом.
- Затем учетная запись GMSA обновляется с разрешениями, которые обеспечивают доступ к каждому домену, введенном во время установки.
- Затем мастер запускает регистрацию агента.
- Агент создает сертификат и использует токен Microsoft Entra, регистрирует себя и сертификат в службе регистрации гибридной службы удостоверений (HIS)
- Мастер запускает вызов AgentResourceGrouping. Этот вызов к службе администратора службы гибридной идентификации нужен для того, чтобы назначить агенту один или несколько доменов AD в конфигурации службы гибридной идентификации.
- Затем мастер перезапускает службу агента.
- При перезапуске (и затем каждые 10 минут) агент вызывает службу начальной загрузки, чтобы проверить наличие обновлений конфигурации. Служба начальной загрузки проверяет удостоверение агента. Также она обновляет время последней начальной загрузки. Это важно, так как если агенты не загрузятся, они не обновляются служебная шина конечных точек и могут не получать запросы.
Что такое System for Cross-domain Identity Management (SCIM)?
Спецификация SCIM — это стандарт, используемый для автоматизации обмена данными об удостоверениях пользователей или групп между доменами удостоверений, такими как идентификатор Microsoft Entra. SCIM становится де-факто стандартом подготовки и при использовании с стандартами федерации, такими как SAML или OpenID Connect, предоставляет администраторам комплексное решение на основе стандартов для управления доступом.
Агент подготовки облака Microsoft Entra Connect использует SCIM с идентификатором Microsoft Entra для подготовки и отмены подготовки пользователей и групп.
Поток синхронизации
После установки агента и включения подготовки происходит следующий поток.
- После настройки служба подготовки Microsoft Entra вызывает гибридную службу Microsoft Entra, чтобы добавить запрос в служебную шину. Агент постоянно поддерживает исходящее подключение к служебной шине, ожидая передачи данных запросов, и немедленно принимает каждый запрос SCIM (System for Cross-domain Identity Management).
- Агент разбивает полученный запрос на несколько запросов с разными типами объектов.
- AD возвращает результат агенту и агент фильтрует эти данные перед отправкой в идентификатор Microsoft Entra.
- Агент возвращает ответ SCIM на идентификатор Microsoft Entra. В ответах также учитывается фильтрация, которая была ранее выполнена в агенте. Агент использует области для фильтрации результатов.
- Служба подготовки записывает изменения в идентификатор Microsoft Entra.
- Если происходит разностная синхронизация, а не полная синхронизация, используется файл cookie или водяной знак. Новые запросы получают изменения из этого файла cookie или водяного знака.
Поддерживаемые сценарии
Для облачной синхронизации поддерживаются следующие сценарии.
- Существующий гибридный клиент с новым лесом: синхронизация Microsoft Entra Connect используется для основных лесов. Облачная синхронизация используется для подготовки к работе ресурсов (в том числе отключенных) из леса AD. Дополнительные сведения см. в этом руководстве.
- Новый гибридный клиент: синхронизация Microsoft Entra Connect не используется. Облачная синхронизация используется для подготовки ресурсов к работе из леса AD. Дополнительные сведения см. в этом руководстве.
- Существующий гибридный клиент: синхронизация Microsoft Entra Connect используется для основных лесов. Облачная синхронизация используется в пилотном режиме для небольшого числа пользователей в основных лесах, как описано здесь.
Дополнительные сведения см. в статье Поддерживаемые топологии.