Azure AD Connect-synkronisering: Förstå arkitekturen

Det här avsnittet beskriver den grundläggande arkitekturen för Azure AD Connect-synkronisering. I många aspekter liknar det sina föregångare MIIS 2003, ILM 2007 och FIM 2010. Azure AD Connect-synkronisering är utvecklingen av dessa tekniker. Om du är bekant med någon av dessa tidigare tekniker kommer innehållet i det här avsnittet också att vara bekant för dig. Om du är nybörjare på synkronisering är det här avsnittet för dig. Det är dock inte ett krav att känna till informationen i det här avsnittet för att lyckas göra anpassningar för att Azure AD Connect-synkronisering (kallas synkroniseringsmotor i det här avsnittet).

Arkitektur

Synkroniseringsmotorn skapar en integrerad vy över objekt som lagras i flera anslutna datakällor och hanterar identitetsinformation i dessa datakällor. Den här integrerade vyn bestäms av identitetsinformationen som hämtas från anslutna datakällor och en uppsättning regler som bestämmer hur den här informationen ska bearbetas.

Anslutna datakällor och anslutningsappar

Synkroniseringsmotorn bearbetar identitetsinformation från olika datalagringsplatser, till exempel Active Directory eller en SQL Server databas. Varje datalagringsplats som organiserar sina data i ett databasliknande format och som tillhandahåller standardmetoder för dataåtkomst är en potentiell kandidat för datakällan för synkroniseringsmotorn. De datalagringsplatser som synkroniseras av synkroniseringsmotorn kallas anslutna datakällor eller anslutna kataloger (CD).

Synkroniseringsmotorn kapslar in interaktion med en ansluten datakälla i en modul som kallas anslutningsprogram. Varje typ av ansluten datakälla har en specifik anslutningsapp. Anslutningsappen översätter en nödvändig åtgärd till det format som den anslutna datakällan förstår.

Anslutningsappar gör API-anrop för att utbyta identitetsinformation (både läsa och skriva) med en ansluten datakälla. Det går också att lägga till en anpassad anslutningsapp med hjälp av det utökningsbara anslutningsramverket. Följande bild visar hur ett anslutningsprogram ansluter en ansluten datakälla till synkroniseringsmotorn.

Diagram som visar en ansluten datakälla och en synkroniseringsmotor som är associerad med en rad med namnet Connector.

Data kan flöda i båda riktningarna, men de kan inte flöda i båda riktningarna samtidigt. Med andra ord kan ett anslutningsprogram konfigureras för att tillåta data att flöda från den anslutna datakällan till synkroniseringsmotorn eller från synkroniseringsmotorn till den anslutna datakällan, men endast en av dessa åtgärder kan utföras samtidigt för ett objekt och attribut. Riktningen kan vara olika för olika objekt och för olika attribut.

Om du vill konfigurera ett anslutningsprogram anger du de objekttyper som du vill synkronisera. Om du anger objekttyperna definieras omfånget för objekt som ingår i synkroniseringsprocessen. Nästa steg är att välja de attribut som ska synkroniseras, vilket kallas för en lista över attributinkludering. De här inställningarna kan ändras när som helst som svar på ändringar i dina affärsregler. När du använder installationsguiden för Azure AD Connect konfigureras de här inställningarna åt dig.

Om du vill exportera objekt till en ansluten datakälla måste listan med attributinkludering innehålla minst de minsta attribut som krävs för att skapa en specifik objekttyp i en ansluten datakälla. Till exempel måste attributet sAMAccountName ingå i attributinkluderingslistan för att exportera ett användarobjekt till Active Directory eftersom alla användarobjekt i Active Directory måste ha ett definierat sAMAccountName-attribut . Återigen gör installationsguiden den här konfigurationen åt dig.

Om den anslutna datakällan använder strukturella komponenter, till exempel partitioner eller containrar för att organisera objekt, kan du begränsa de områden i den anslutna datakällan som används för en viss lösning.

Intern struktur för synkroniseringsmotorns namnområde

Hela namnområdet för synkroniseringsmotorn består av två namnrymder som lagrar identitetsinformationen. De två namnrymderna är:

  • Anslutningsplatsen (CS)
  • Metaversum (MV)

Anslutningsplatsen är ett mellanlagringsområde som innehåller representationer av de avsedda objekten från en ansluten datakälla och de attribut som anges i listan över attributinkludering. Synkroniseringsmotorn använder anslutningsplatsen för att avgöra vad som har ändrats i den anslutna datakällan och för att mellanlagra inkommande ändringar. Synkroniseringsmotorn använder också anslutningsplatsen för att mellanlagra utgående ändringar för export till den anslutna datakällan. Synkroniseringsmotorn har ett distinkt anslutningsutrymme som mellanlagringsområde för varje anslutningsapp.

Genom att använda ett mellanlagringsområde förblir synkroniseringsmotorn oberoende av de anslutna datakällorna och påverkas inte av deras tillgänglighet och tillgänglighet. Därför kan du bearbeta identitetsinformation när som helst med hjälp av data i mellanlagringsområdet. Synkroniseringsmotorn kan bara begära de ändringar som gjorts i den anslutna datakällan sedan den senaste kommunikationssessionen avslutades eller push-överför endast de ändringar av identitetsinformation som den anslutna datakällan ännu inte har tagit emot, vilket minskar nätverkstrafiken mellan synkroniseringsmotorn och den anslutna datakällan.

Dessutom lagrar synkroniseringsmotorn statusinformation om alla objekt som den faser i anslutningsplatsen. När nya data tas emot utvärderar synkroniseringsmotorn alltid om data redan har synkroniserats.

Metaversumet är ett lagringsområde som innehåller aggregerad identitetsinformation från flera anslutna datakällor, vilket ger en enda global, integrerad vy över alla kombinerade objekt. Metaversumobjekt skapas baserat på identitetsinformationen som hämtas från de anslutna datakällorna och en uppsättning regler som gör att du kan anpassa synkroniseringsprocessen.

Följande bild visar namnområdet för anslutningsappens utrymme och metaversumnamnområdet i synkroniseringsmotorn.

Diagram som visar en ansluten datakälla och en synkroniseringsmotor, som är uppdelad i anslutningsutrymmen och metaversumnamnrymder som är associerade med en linje som heter Connector.

Synkronisera motoridentitetsobjekt

Objekten i synkroniseringsmotorn är representationer av antingen objekt i den anslutna datakällan eller den integrerade vy som synkroniseringsmotorn har av dessa objekt. Varje synkroniseringsmotorobjekt måste ha en globalt unik identifierare (GUID). GUID ger dataintegritet och uttrycker relationer mellan objekt.

Utrymmesobjekt för koppling

När synkroniseringsmotorn kommunicerar med en ansluten datakälla läser den identitetsinformationen i den anslutna datakällan och använder den informationen för att skapa en representation av identitetsobjektet i anslutningsprogrammets utrymme. Du kan inte skapa eller ta bort dessa objekt individuellt. Du kan dock manuellt ta bort alla objekt i ett kopplingsutrymme.

Alla objekt i kopplingsutrymmet har två attribut:

  • En globalt unik identifierare (GUID)
  • Ett unikt namn (även kallat DN)

Om den anslutna datakällan tilldelar ett unikt attribut till objektet kan objekt i kopplingsutrymmet också ha ett fästpunktsattribut. Fästpunktsattributet identifierar unikt ett objekt i den anslutna datakällan. Synkroniseringsmotorn använder fästpunkten för att hitta motsvarande representation av det här objektet i den anslutna datakällan. Synkroniseringsmotorn förutsätter att fästpunkten för ett objekt aldrig ändras under objektets livslängd.

Många av kopplingarna använder en känd unik identifierare för att generera en fästpunkt automatiskt för varje objekt när det importeras. Active Directory Connector använder till exempel attributet objectGUID för en fästpunkt. För anslutna datakällor som inte tillhandahåller en tydligt definierad unik identifierare kan du ange ankargenerering som en del av anslutningskonfigurationen.

I så fall skapas fästpunkten från ett eller flera unika attribut av en objekttyp, som inte ändras, och som unikt identifierar objektet i kopplingsutrymmet (till exempel ett medarbetarnummer eller ett användar-ID).

Ett kopplingsutrymmesobjekt kan vara något av följande:

  • Ett mellanlagringsobjekt
  • En platshållare

Mellanlagringsobjekt

Ett mellanlagringsobjekt representerar en instans av de avsedda objekttyperna från den anslutna datakällan. Förutom GUID och det unika namnet har ett mellanlagringsobjekt alltid ett värde som anger objekttypen.

Mellanlagringsobjekt som har importerats har alltid ett värde för fästpunktsattributet. Mellanlagringsobjekt som nyligen har etablerats av synkroniseringsmotorn och håller på att skapas i den anslutna datakällan har inget värde för fästpunktsattributet.

Mellanlagringsobjekt har också aktuella värden för affärsattribut och driftinformation som krävs av synkroniseringsmotorn för att utföra synkroniseringsprocessen. Driftinformation innehåller flaggor som anger vilken typ av uppdateringar som mellanlagras på mellanlagringsobjektet. Om ett mellanlagringsobjekt har tagit emot ny identitetsinformation från den anslutna datakällan som ännu inte har bearbetats flaggas objektet som väntande import. Om ett mellanlagringsobjekt har ny identitetsinformation som ännu inte har exporterats till den anslutna datakällan flaggas det som väntande export.

Ett mellanlagringsobjekt kan vara ett importobjekt eller ett exportobjekt. Synkroniseringsmotorn skapar ett importobjekt med hjälp av objektinformation som tas emot från den anslutna datakällan. När synkroniseringsmotorn tar emot information om förekomsten av ett nytt objekt som matchar en av de objekttyper som valts i anslutningsappen, skapas ett importobjekt i anslutningsprogrammets utrymme som en representation av objektet i den anslutna datakällan.

Följande bild visar ett importobjekt som representerar ett objekt i den anslutna datakällan.

Diagram som visar ett importobjekt som hämtats från den anslutna datakällan till namnområdet för anslutningsappens utrymme i synkroniseringsmotorn.

Synkroniseringsmotorn skapar ett exportobjekt med hjälp av objektinformation i metaversumet. Exportobjekt exporteras till den anslutna datakällan under nästa kommunikationssession. Från synkroniseringsmotorns perspektiv finns exportobjekt inte i den anslutna datakällan ännu. Därför är inte fästpunktsattributet för ett exportobjekt tillgängligt. När objektet har fåtts från synkroniseringsmotorn skapar den anslutna datakällan ett unikt värde för objektets fästpunktsattribut.

Följande bild visar hur ett exportobjekt skapas med hjälp av identitetsinformation i metaversumet.

Diagram som visar ett exportobjekt som hämtats från metaversumet till namnområdet för anslutningsappen och sedan till den anslutna datakällan.

Synkroniseringsmotorn bekräftar exporten av objektet genom att importera objektet från den anslutna datakällan igen. Exportobjekt blir importobjekt när synkroniseringsmotorn tar emot dem under nästa import från den anslutna datakällan.

Platshållare

Synkroniseringsmotorn använder ett platt namnområde för att lagra objekt. Vissa anslutna datakällor, till exempel Active Directory, använder dock ett hierarkiskt namnområde. Om du vill omvandla information från ett hierarkiskt namnområde till ett platt namnområde använder synkroniseringsmotorn platshållare för att bevara hierarkin.

Varje platshållare representerar en komponent (till exempel en organisationsenhet) för ett objekts hierarkiska namn som inte har importerats till synkroniseringsmotorn, men som krävs för att skapa det hierarkiska namnet. De fyller luckor som skapas av referenser i den anslutna datakällan till objekt som inte mellanlagringsobjekt i anslutningsprogrammets utrymme.

Synkroniseringsmotorn använder också platshållare för att lagra refererade objekt som ännu inte har importerats. Om synkronisering till exempel har konfigurerats för att inkludera chefsattributet för Abbie Spencer-objektet och det mottagna värdet är ett objekt som ännu inte har importerats, till exempel CN=Lee Sperry,CN=Users,DC=fabrikam,DC=com, lagras hanteringsinformationen som platshållare i anslutningsprogrammets utrymme. Om hanteringsobjektet importeras senare skrivs platshållarobjektet över av mellanlagringsobjektet som representerar hanteraren.

Metaversumobjekt

Ett metaversumobjekt innehåller den aggregerade vy som synkroniseringsmotorn har av mellanlagringsobjekten i anslutningsplatsen. Synkroniseringsmotorn skapar metaversumobjekt med hjälp av informationen i importobjekt. Flera anslutningsobjekt kan länkas till ett enda metaversumobjekt, men ett kopplingsutrymmesobjekt kan inte länkas till fler än ett metaversumobjekt.

Metaversumobjekt kan inte skapas eller tas bort manuellt. Synkroniseringsmotorn tar automatiskt bort metaversumobjekt som inte har någon länk till något kopplingsutrymmesobjekt i anslutningsplatsen.

Om du vill mappa objekt i en ansluten datakälla till en motsvarande objekttyp i metaversumet tillhandahåller synkroniseringsmotorn ett utökningsbart schema med en fördefinierad uppsättning objekttyper och associerade attribut. Du kan skapa nya objekttyper och attribut för metaversumobjekt. Attribut kan vara envärdes- eller flervärdesattribut och attributtyperna kan vara strängar, referenser, tal och booleska värden.

Relationer mellan mellanlagringsobjekt och metaversumobjekt

I namnområdet för synkroniseringsmotorn aktiveras dataflödet av länkrelationen mellan mellanlagringsobjekt och metaversumobjekt. Ett mellanlagringsobjekt som är länkat till ett metaversumobjekt kallas för ett kopplat objekt (eller anslutningsobjekt). Ett mellanlagringsobjekt som inte är länkat till ett metaversumobjekt kallas för ett osammanhängande objekt (eller frånkopplingsobjekt). De termer som är kopplade till och som inte är kopplade till varandra bör inte förväxlas med de anslutningsappar som ansvarar för att importera och exportera data från en ansluten katalog.

Platshållare länkas aldrig till ett metaversumobjekt

Ett kopplat objekt består av ett mellanlagringsobjekt och dess länkade relation till ett enda metaversumobjekt. Anslutna objekt används för att synkronisera attributvärden mellan ett kopplingsutrymmesobjekt och ett metaversumobjekt.

När ett mellanlagringsobjekt blir ett kopplat objekt under synkroniseringen kan attribut flöda mellan mellanlagringsobjektet och metaversumobjektet. Attributflödet är dubbelriktat och konfigureras med hjälp av importattributregler och exportattributregler.

Ett enda kopplingsutrymmesobjekt kan bara länkas till ett metaversumobjekt. Varje metaversumobjekt kan dock länkas till flera kopplingsobjekt i samma eller i olika anslutningsutrymmen, som du ser i följande bild.

Diagram visar två anslutna dataobjekt som är associerade med anslutningsappar till en synkroniseringsmotor, som har kopplade objekt och ett osammanslaget objekt.

Den länkade relationen mellan mellanlagringsobjektet och ett metaversumobjekt är beständig och kan endast tas bort av regler som du anger.

Ett fristående objekt är ett mellanlagringsobjekt som inte är länkat till något metaversumobjekt. Attributvärdena för ett disjoinerat objekt bearbetas inte ytterligare i metaversumet. Attributvärdena för motsvarande objekt i den anslutna datakällan uppdateras inte av synkroniseringsmotorn.

Genom att använda olika objekt kan du lagra identitetsinformation i synkroniseringsmotorn och bearbeta den senare. Det finns många fördelar med att behålla ett mellanlagringsobjekt som ett fristående objekt i anslutningsområdet. Eftersom systemet redan har mellanlagrat nödvändig information om det här objektet, är det inte nödvändigt att skapa en representation av objektet igen under nästa import från den anslutna datakällan. På så sätt har synkroniseringsmotorn alltid en fullständig ögonblicksbild av den anslutna datakällan, även om det inte finns någon aktuell anslutning till den anslutna datakällan. Uppdelade objekt kan konverteras till anslutna objekt, och vice versa, beroende på de regler som du anger.

Ett importobjekt skapas som ett osammanslutet objekt. Ett exportobjekt måste vara ett kopplat objekt. Systemlogik tillämpar den här regeln och tar bort alla exportobjekt som inte är ett kopplat objekt.

Synkroniseringsmotorns identitetshanteringsprocess

Identitetshanteringsprocessen styr hur identitetsinformation uppdateras mellan olika anslutna datakällor. Identitetshantering sker i tre processer:

  • Importera
  • Synkronisering
  • Exportera

Under importen utvärderar synkroniseringsmotorn inkommande identitetsinformation från en ansluten datakälla. När ändringar identifieras skapar den antingen nya mellanlagringsobjekt eller uppdaterar befintliga mellanlagringsobjekt i anslutningsprogrammets utrymme för synkronisering.

Under synkroniseringsprocessen uppdaterar synkroniseringsmotorn metaversumet så att det återspeglar ändringar som har inträffat i anslutningsprogrammets utrymme och uppdaterar anslutningsområdet så att det återspeglar ändringar som har inträffat i metaversumet.

Under exportprocessen skickar synkroniseringsmotorn ut ändringar som mellanlagras på mellanlagringsobjekt och som flaggas som väntande export.

Följande bild visar var och en av processerna sker när identitetsinformation flödar från en ansluten datakälla till en annan.

Diagram visar flödet av identitetsinformation från anslutna data till anslutningsutrymme (import) till metaversum till anslutningsutrymme (synkonisering) till anslutna data (export).

Importprocess

Under importen utvärderar synkroniseringsmotorn uppdateringar av identitetsinformation. Synkroniseringsmotorn jämför identitetsinformationen från den anslutna datakällan med identitetsinformationen om ett mellanlagringsobjekt och avgör om mellanlagringsobjektet kräver uppdateringar. Om det är nödvändigt att uppdatera mellanlagringsobjektet med nya data flaggas mellanlagringsobjektet som väntande import.

Genom att mellanlagringsobjekt i anslutningsprogrammets utrymme före synkroniseringen kan synkroniseringsmotorn endast bearbeta identitetsinformationen som har ändrats. Den här processen ger följande fördelar:

  • Effektiv synkronisering. Mängden data som bearbetas under synkroniseringen minimeras.
  • Effektiv omsynkronisering. Du kan ändra hur synkroniseringsmotorn bearbetar identitetsinformation utan att återansluta synkroniseringsmotorn till datakällan.
  • Möjlighet att förhandsgranska synkronisering. Du kan förhandsgranska synkroniseringen för att kontrollera att dina antaganden om identitetshanteringsprocessen är korrekta.

För varje objekt som anges i anslutningsappen försöker synkroniseringsmotorn först hitta en representation av objektet i anslutningsprogrammets utrymme. Synkroniseringsmotorn undersöker alla mellanlagringsobjekt i anslutningsplatsen och försöker hitta ett motsvarande mellanlagringsobjekt som har ett matchande fästpunktsattribut. Om inget befintligt mellanlagringsobjekt har ett matchande fästpunktsattribut försöker synkroniseringsmotorn hitta ett motsvarande mellanlagringsobjekt med samma unika namn.

När synkroniseringsmotorn hittar ett mellanlagringsobjekt som matchar med unikt namn, men inte efter fästpunkt, inträffar följande speciella beteende:

  • Om objektet som finns i anslutningsprogrammets utrymme inte har något fästpunkt, tar synkroniseringsmotorn bort objektet från anslutningsplatsen och markerar det metaversumobjekt som det är länkat till som etablering av återförsök vid nästa synkroniseringskörning. Sedan skapas det nya importobjektet.
  • Om objektet i anslutningsprogrammets utrymme har ett fästpunkt förutsätter synkroniseringsmotorn att objektet antingen har bytt namn eller tagits bort i den anslutna katalogen. Det tilldelar ett tillfälligt, nytt unikt namn för anslutningsappens utrymmesobjekt så att det kan mellanlagra det inkommande objektet. Det gamla objektet blir sedan tillfälligt och väntar på att anslutningsappen ska importera namnbytet eller borttagningen för att lösa situationen.

Tillfälliga objekt är inte alltid ett problem och du kan se dem även i en felfri miljö. Med Azure AD Connect sync V2-slutpunkts-API bör tillfälliga objekt matcha automatiskt i efterföljande deltasynkroniseringscykler. Ett vanligt exempel där du kan hitta tillfälliga objekt som genereras finns på Azure AD Anslut servrar som är installerade i mellanlagringsläge, när en administratör permanent tar bort ett objekt direkt i Azure AD med PowerShell och senare synkroniserar objektet igen.

Om synkroniseringsmotorn hittar ett mellanlagringsobjekt som motsvarar objektet som anges i anslutningsappen avgör den vilken typ av ändringar som ska tillämpas. Synkroniseringsmotorn kan till exempel byta namn på eller ta bort objektet i den anslutna datakällan, eller så kanske den bara uppdaterar objektets attributvärden.

Mellanlagringsobjekt med uppdaterade data markeras som väntande import. Det finns olika typer av väntande importer. Beroende på resultatet av importprocessen har ett mellanlagringsobjekt i anslutningsprogrammet någon av följande väntande importtyper:

  • Ingen. Inga ändringar av något av attributen för mellanlagringsobjektet är tillgängliga. Synkroniseringsmotorn flaggar inte den här typen som väntande import.
  • Lägg till. Mellanlagringsobjektet är ett nytt importobjekt i anslutningsplatsen. Synkroniseringsmotorn flaggar den här typen som väntande import för ytterligare bearbetning i metaversumet.
  • Uppdatera. Synkroniseringsmotorn hittar ett motsvarande mellanlagringsobjekt i anslutningsplatsen och flaggar den här typen som väntande import så att uppdateringar av attributen kan bearbetas i metaversumet. Uppdateringar inkludera objektbyte.
  • Delete (Ta bort). Synkroniseringsmotorn hittar ett motsvarande mellanlagringsobjekt i anslutningsplatsen och flaggar den här typen som väntande import så att det anslutna objektet kan tas bort.
  • Ta bort/lägg till. Synkroniseringsmotorn hittar ett motsvarande mellanlagringsobjekt i anslutningsplatsen, men objekttyperna matchar inte. I det här fallet mellanlagras en ändring av borttagningstillägget. En ändring av borttagningstillägget anger för synkroniseringsmotorn att en fullständig omsynkronisering av objektet måste ske eftersom olika uppsättningar regler gäller för det här objektet när objekttypen ändras.

Genom att ange väntande importstatus för ett mellanlagringsobjekt är det möjligt att avsevärt minska mängden data som bearbetas under synkroniseringen eftersom det gör att systemet endast kan bearbeta de objekt som har uppdaterade data.

Synkroniseringsprocess

Synkronisering består av två relaterade processer:

  • Inkommande synkronisering, när innehållet i metaversum uppdateras med hjälp av data i anslutningsprogrammets utrymme.
  • Utgående synkronisering när innehållet i anslutningsprogrammets utrymme uppdateras med hjälp av data i metaversumet.

Genom att använda den information som mellanlagras i anslutningsprogrammets utrymme skapar den inkommande synkroniseringsprocessen en integrerad vy av data i metaversum som lagras i de anslutna datakällorna. Antingen aggregeras alla mellanlagringsobjekt eller endast de med väntande importinformation, beroende på hur reglerna konfigureras.

Den utgående synkroniseringsprocessen uppdaterar exportobjekt när metaversumobjekt ändras.

Inkommande synkronisering skapar den integrerade vyn i metaversum för identitetsinformationen som tas emot från de anslutna datakällorna. Synkroniseringsmotorn kan bearbeta identitetsinformation när som helst med hjälp av den senaste identitetsinformationen som den har från den anslutna datakällan.

Inkommande synkronisering

Inkommande synkronisering innehåller följande processer:

  • Etablera (kallas även Projektion om det är viktigt att skilja den här processen från utgående synkroniseringsetablering). Sync-motorn skapar ett nytt metaversumobjekt baserat på ett mellanlagringsobjekt och länkar dem. Etablering är en åtgärd på objektnivå.
  • Anslut. Sync-motorn länkar ett mellanlagringsobjekt till ett befintligt metaversumobjekt. En koppling är en åtgärd på objektnivå.
  • Importera attributflöde. Synkroniseringsmotorn uppdaterar attributvärdena, som kallas attributflöde, för objektet i metaversumet. Importattributflödet är en åtgärd på attributnivå som kräver en länk mellan ett mellanlagringsobjekt och ett metaversumobjekt.

Etablering är den enda process som skapar objekt i metaversum. Etableringen påverkar endast importobjekt som är uppdelade objekt. Under etableringen skapar synkroniseringsmotorn ett metaversumobjekt som motsvarar objekttypen för importobjektet och upprättar en länk mellan båda objekten, vilket skapar ett kopplat objekt.

Kopplingsprocessen upprättar också en länk mellan importobjekt och ett metaversumobjekt. Skillnaden mellan koppling och etablering är att kopplingsprocessen kräver att importobjektet är länkat till ett befintligt metaversumobjekt, där etableringsprocessen skapar ett nytt metaversumobjekt.

Synkroniseringsmotorn försöker ansluta ett importobjekt till ett metaversumobjekt med hjälp av kriterier som anges i konfigurationen av synkroniseringsregeln.

Under etablerings- och kopplingsprocesserna länkar synkroniseringsmotorn ett osammanslutet objekt till ett metaversumobjekt, vilket gör dem anslutna. När dessa åtgärder på objektnivå har slutförts kan synkroniseringsmotorn uppdatera attributvärdena för det associerade metaversumobjektet. Den här processen kallas för importattributflöde.

Importattributflödet sker på alla importobjekt som innehåller nya data och som är länkade till ett metaversumobjekt.

Utgående synkronisering

Utgående synkronisering uppdaterar exportobjekt när ett metaversumobjekt ändras men inte tas bort. Målet med utgående synkronisering är att utvärdera om ändringar i metaversumobjekt kräver uppdateringar av mellanlagringsobjekt i anslutningsutrymmena. I vissa fall kan ändringarna kräva att mellanlagringsobjekt i alla anslutningsappar uppdateras. Mellanlagringsobjekt som ändras flaggas som väntande export, vilket gör att de exporterar objekt. Dessa exportobjekt skickas senare ut till den anslutna datakällan under exportprocessen.

Utgående synkronisering har tre processer:

  • Etablering
  • Avetablering
  • Exportera attributflöde

Etablering och avetablering är båda åtgärder på objektnivå. Avetablering beror på etablering eftersom endast etablering kan initiera den. Avetablering utlöses när etableringen tar bort länken mellan ett metaversumobjekt och ett exportobjekt.

Etablering utlöses alltid när ändringar tillämpas på objekt i metaversum. När ändringar görs i metaversumobjekt kan synkroniseringsmotorn utföra någon av följande uppgifter som en del av etableringsprocessen:

  • Skapa anslutna objekt, där ett metaversumobjekt är länkat till ett nyligen skapat exportobjekt.
  • Byt namn på ett kopplat objekt.
  • Koppla samman länkar mellan ett metaversumobjekt och mellanlagringsobjekt, vilket skapar ett osammanslutet objekt.

Om etablering kräver synkroniseringsmotor för att skapa ett nytt anslutningsobjekt är mellanlagringsobjektet som metaversumobjektet är länkat till alltid ett exportobjekt, eftersom objektet ännu inte finns i den anslutna datakällan.

Om etablering kräver synkroniseringsmotor för att koppla från ett kopplat objekt utlöses avetablering för att skapa ett osammanslutet objekt. Avetableringsprocessen tar bort objektet.

Om du tar bort ett exportobjekt tas objektet inte bort fysiskt under avetablering. Objektet flaggas som borttaget, vilket innebär att borttagningsåtgärden mellanlagras på objektet.

Exportattributflödet sker också under den utgående synkroniseringsprocessen, på samma sätt som importattributflödet sker under inkommande synkronisering. Exportattributflödet sker endast mellan metaversum- och exportobjekt som är anslutna.

Exportprocess

Under exportprocessen undersöker synkroniseringsmotorn alla exportobjekt som flaggas som väntande export i anslutningsprogrammets utrymme och skickar sedan uppdateringar till den anslutna datakällan.

Synkroniseringsmotorn kan avgöra om en export lyckas, men den kan inte tillräckligt fastställa att identitetshanteringsprocessen är klar. Objekt i den anslutna datakällan kan alltid ändras av andra processer. Eftersom synkroniseringsmotorn inte har en beständig anslutning till den anslutna datakällan räcker det inte att göra antaganden om egenskaperna för ett objekt i den anslutna datakällan baserat på ett lyckat exportmeddelande.

En process i den anslutna datakällan kan till exempel ändra objektets attribut tillbaka till sina ursprungliga värden (det vill säga att den anslutna datakällan kan skriva över värdena direkt efter att data har push-överförts av synkroniseringsmotorn och tillämpats i den anslutna datakällan).

Synkroniseringsmotorn lagrar export- och importstatusinformation om varje mellanlagringsobjekt. Om värdena för de attribut som anges i listan över attributinkludering har ändrats sedan den senaste exporten, gör lagringen av import- och exportstatus att synkroniseringsmotorn kan reagera på rätt sätt. Synkroniseringsmotorn använder importprocessen för att bekräfta attributvärden som har exporterats till den anslutna datakällan. En jämförelse mellan importerad och exporterad information, som du ser i följande bild, gör det möjligt för synkroniseringsmotorn att avgöra om exporten lyckades eller om den behöver upprepas.

Diagrammet visar synkroniseringen av ett objekt mellan anslutningsutrymme och anslutna data över anslutningsappen.

Om synkroniseringsmotorn till exempel exporterar attributet C, som har värdet 5, till en ansluten datakälla lagrar den C=5 i exportstatusminnet. Varje ytterligare export av det här objektet resulterar i ett försök att exportera C=5 till den anslutna datakällan igen eftersom synkroniseringsmotorn förutsätter att det här värdet inte har tillämpats beständigt på objektet (dvs. såvida inte ett annat värde nyligen importerades från den anslutna datakällan). Exportminnet rensas när C=5 tas emot under en importåtgärd på objektet.

Nästa steg

Läs mer om synkroniseringskonfigurationen för Azure AD Connect.

Läs mer om hur du integrerar dina lokala identiteter med Azure Active Directory.