Dela via

Identitetsförsörjningsarkitektur för lokal applikation i Microsoft Entra

  • Artikel

Översikt

Följande diagram visar en översikt över hur lokal programetablering fungerar.

Diagram som visar arkitekturen för lokal programetablering.

Det finns tre primära komponenter för att etablera användare i ett lokalt program:

  • Etableringsagenten tillhandahåller anslutning mellan Microsoft Entra-ID och din lokala miljö.
  • ECMA Connector-värden (Extensible Connectivity) konverterar vidarebefordringsförfrågningar från Microsoft Entra ID till förfrågningar som görs till din målapplikation. Den fungerar som en gateway mellan Microsoft Entra ID och ditt program. Du kan använda den för att importera befintliga ECMA2-anslutningar som används med Microsoft Identity Manager. ECMA-värden krävs inte om du har skapat ett SCIM-program eller en SCIM-gateway.
  • Microsoft Entra-etableringstjänsten fungerar som synkroniseringsmotor.

Anteckning

Microsoft Identity Manager-synkronisering krävs inte. Men du kan använda den för att skapa och testa din ECMA2-anslutningsapp innan du importerar den till ECMA-värden. ECMA2-anslutningen är specifik för MIM, medan ECMA-värden är specifik för användning med etableringsagenten.

Brandväggskrav

Du behöver inte öppna inkommande anslutningar till företagsnätverket. Etableringsagenterna använder endast utgående anslutningar till etableringstjänsten, vilket innebär att det inte finns något behov av att öppna brandväggsportar för inkommande anslutningar. Du behöver inte heller ett perimeternätverk (DMZ) eftersom alla anslutningar är utgående och sker via en säker kanal.

De nödvändiga utgående slutpunkterna för provisioneringsagenterna beskrivs här.

ECMA Connector-värdarkitektur

ECMA Connector Host har flera områden som används för att uppnå lokal etablering. Följande diagram är en konceptritning som visar dessa enskilda områden. I tabellen nedan beskrivs områdena mer detaljerat.

ECMA-anslutningsvärd

Område beskrivning
Slutpunkter Ansvarig för kommunikation och dataöverföring med Microsoft Entra-tillhandahållandetjänsten
Minnesintern cache Används för att lagra data som importerats från den lokala datakällan
Autosynkronisering Tillhandahåller asynkron synkronisering av data mellan ECMA Connector-värden och den lokala datakällan
Affärslogik Används för att samordna alla aktiviteter i ECMA Connector-värdssystemet. Autosynkroniseringstiden kan konfigureras i ECMA-värden. Detta finns på egenskapssidan.

Om fästpunktsattribut och unika namn

Följande information tillhandahålls för att bättre förklara fästpunktsattributen och de unika namn som används av genericSQL-anslutningsappen.

Fästpunktsattributet är ett unikt attribut av en objekttyp som inte ändras och representerar objektet i ECMA Connector Host in-memory cache.

Det unika namnet (DN) är ett namn som unikt identifierar ett objekt genom att ange dess aktuella plats i kataloghierarkin. Eller med SQL i partitionen. Namnet skapas genom att fästpunktsattributet sammanfogas i roten för katalogpartitionen.

När vi tänker på traditionella DN:er i ett traditionellt format, till exempel Active Directory eller LDAP, tänker vi på något som liknar:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Men för en datakälla som SQL, som är platt och inte hierarkisk, måste DN antingen redan finnas i en av tabellerna eller skapas från den information vi tillhandahåller till ECMA Connector-värd.

Detta kan uppnås genom att markera Autogenererad i kryssrutan när du konfigurerar genericSQL-anslutningsappen. När du väljer att DN ska genereras automatiskt, genererar ECMA-värden ett DN i LDAP-format: CN=<anchorvalue>,OBJECT=<type>. Detta förutsätter också att DN är avmarkerat som ankare på sidan Anslutning.

DN är fästpunkt avmarkerat

GenericSQL-anslutningsappen förväntar sig att DN fylls i med ett LDAP-format. Den generiska SQL-anslutningsappen använder LDAP-formatmallen med komponentnamnet "OBJECT=". På så sätt kan den använda partitioner (varje objekttyp är en partition).

Eftersom ECMA Connector Host för närvarande endast stöder objekttypen USER är OBJECT=<type> OBJECT=USER. DN:t för en användare med ankarvärdet ljacobson skulle därför vara:

CN=ljacobson,OBJECT=ANVÄNDARE

Arbetsflöde för att skapa användare

  1. Microsoft Entra-etableringstjänsten frågar ECMA Connector-värden för att kontrollera om användaren finns. Det använder det matchande attributet som filter. Det här attributet definieras i Azure-portalen under Enterprise-applikationer –> Lokalt provisionering –> provisionering –> attributmatchning. Den är markerad med en 1 för rådande prioritet. Du kan definiera ett eller flera matchande attribut och prioritera dem baserat på prioriteten. Om du vill ändra det matchande attributet kan du också göra det. Matchande attribut

  2. ECMA Connector Host tar emot GET-begäran och frågar dess interna cache för att se om användaren finns och har importerats. Detta görs med hjälp av de matchande attributen ovan. Om du definierar flera matchande attribut skickar Microsoft Entra-etableringstjänsten en GET-begäran för varje attribut och ECMA-värden kontrollerar dess cache för en matchning tills den hittar en.

  3. Om användaren inte finns skickar Microsoft Entra-ID en POST-begäran om att skapa användaren. ECMA Connector Host svarar tillbaka på Microsoft Entra-ID med HTTP 201 och anger ett ID för användaren. Det här ID:t härleds från det fästpunktsvärde som definierats på sidan objekttyper. Det här ankaret kommer att användas av Microsoft Entra ID för att göra förfrågningar till ECMA Connector Host om framtida och efterföljande begäranden.

  4. Om en ändring sker för användaren i Microsoft Entra-ID gör Microsoft Entra-ID en GET-begäran om att hämta användaren med hjälp av fästpunkten från föregående steg i stället för det matchande attributet i steg 1. Detta gör till exempel att UPN kan ändras utan att länken mellan användaren i Microsoft Entra-ID och i appen bryts.

Metodtips för agent

  • Användning av samma agent för den lokala etableringsfunktionen tillsammans med Workday/SuccessFactors/Microsoft Entra Connect-molnsynkronisering stöds för närvarande inte. Vi arbetar aktivt med att stödja lokal etablering på samma agent som de andra etableringsscenarierna.
    • Undvik alla former av infogad inspektion av utgående TLS-kommunikation mellan agenter och Azure. Den här typen av inlinjeinspektion orsakar försämring av kommunikationsflödet.
  • Agenten måste kommunicera med både Azure och ditt program, så placeringen av agenten påverkar svarstiden för dessa två anslutningar. Du kan minimera svarstiden för slutpunkt-till-slutpunkt-trafiken genom att optimera varje nätverksanslutning. Du kan optimera varje anslutning på följande sätt:
  • Minska avståndet mellan de två ändarna av hoppet.
  • Välja rätt nätverk för att traversera. Till exempel kan det gå snabbare att korsa ett privat nätverk i stället för det offentliga Internet på grund av dedikerade länkar.
  • Agenten och ECMA-värd förlitar sig på ett certifikat för kommunikation. Det självsignerade certifikatet som genereras av ECMA-värden ska endast användas i testsyfte. Det självsignerade certifikatet upphör att gälla om två år som standard och kan inte återkallas. Microsoft rekommenderar att du använder ett certifikat från en betrodd certifikatutfärdare för produktionsanvändningsfall.

Hög tillgänglighet

Följande information tillhandahålls för scenarier med hög tillgänglighet/redundans.

För lokala appar som använder ECMA-anslutningsappen: Rekommendationen är att ha en aktiv agent och en passiv agent (konfigurerad, men stoppad, inte tilldelad till företagsappen i Microsoft Entra) per datacenter.

När du gör en redundansväxling rekommenderar vi att du gör följande:

  1. Stoppa den aktiva agenten (A).
  2. Ta bort agent A från företagsapplikationen.
  3. Starta om den passiva agenten (B).
  4. Tilldela agent B till företagsprogrammet.

Diagram över hög tillgänglighet med ECMA-koppling.

För lokala appar som använder SCIM-anslutningsappen: Rekommendationen är att ha två aktiva agenter per program.

Diagram över hög tillgänglighet med SCIM-koppling.

Frågor om etableringsagent

Här besvaras några vanliga frågor.

Hur vet jag versionen av min provisioneringsagent?

  1. Logga in på Windows-servern där etableringsagenten är installerad.
  2. Gå till Kontrollpanelen> Installera eller ändra ett program.
  3. Leta efter den version som motsvarar posten för Microsoft Entra Connect Provisioning Agent.

Kan jag installera etableringsagenten på samma server som kör Microsoft Entra Connect eller Microsoft Identity Manager?

Ja. Du kan installera etableringsagenten på samma server som kör Microsoft Entra Connect eller Microsoft Identity Manager, men de krävs inte.

Hur gör jag för att konfigurera etableringsagenten så att den använder en proxyserver för utgående HTTP-kommunikation?

Etableringsagenten stöder användning av utgående proxy. Du kan konfigurera det genom att redigera agentkonfigurationsfilen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Lägg till följande rader i den mot slutet av filen precis före den avslutande </configuration> taggen. Ersätt variablerna [proxy-server] och [proxy-port] med proxyserverns namn och portvärden.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Hur gör jag för att se till att etableringsagenten kan kommunicera med Microsoft Entra-klienten och att inga brandväggar blockerar portar som krävs av agenten?

Du kan också kontrollera om alla nödvändiga portar är öppna.

Hur gör jag för att avinstallera provisioneringsagenten?

  1. Logga in på Windows-servern där etableringsagenten är installerad.
  2. Gå till Kontrollpanelen> Installera eller ändra ett program.
  3. Avinstallera följande program:
  • Microsoft Entra Connect-provisioneringsagent
  • Microsoft Entra Connect Agent-uppdaterare
  • Paket för provisioneringsagent för Microsoft Entra Connect

Tilldelningsagenthistorik

I den här artikeln visas de versioner och funktioner i Microsoft Entra Connect Provisioning Agent som har släppts. Microsoft Entra-teamet uppdaterar regelbundet etableringsagenten med nya funktioner. Se till att du inte använder samma agent för lokal etablering och molnsynkronisering/HR-driven etablering.

Microsoft tillhandahåller direkt support för den senaste agentversionen och en version tidigare.

Lokal installation av apptilldelning har integrerats i tilldelningsagenten och är tillgänglig från portalen. Se installationen av konfigureringsagenten.

1.1.892.0

20 maj 2022 – släpps för nedladdning

Åtgärdade problem

  • Vi har lagt till stöd för export av ändringar i heltalsattribut, vilket gynnar kunder som använder den allmänna LDAP-anslutningsappen.

1.1.846.0

11 april 2022 – släpps för nedladdning

Åtgärdade problem

  • Vi har lagt till stöd för ObjectGUID som fästpunkt för den generiska LDAP-anslutningsappen när användare etableras i AD LDS.

Nästa steg