Azure AD Connect: Tasarım kavramları

Bu belgenin amacı, Azure AD Connect yapılandırılırken dikkate alınması gereken alanları açıklamaktır. Bu belge belirli alanlara ayrıntılı bir bakıştır ve bu kavramlar diğer belgelerde de kısaca açıklanmıştır.

sourceAnchor

sourceAnchor özniteliği, bir nesnenin yaşam süresi boyunca sabit bir öznitelik olarak tanımlanır. Bir nesneyi şirket içinde ve Azure AD'de aynı nesne olarak benzersiz olarak tanımlar. özniteliği de immutableId olarak adlandırılır ve iki ad birbirinin yerine kullanılır.

Sabit olan "değiştirilemez" sözcüğü bu belge için önemlidir. Bu özniteliğin değeri ayarlandıktan sonra değiştirilemediğinden, senaryonuzu destekleyen bir tasarım seçmek önemlidir.

özniteliği aşağıdaki senaryolar için kullanılır:

  • Bir olağanüstü durum kurtarma senaryosu sonrasında yeni bir eşitleme altyapısı sunucusu oluşturulduğunda veya yeniden oluşturulduğunda, bu öznitelik Azure AD'deki mevcut nesneleri şirket içindeki nesnelere bağlar.
  • Yalnızca bulutta bulunan bir kimlikten eşitlenmiş kimlik modeline geçerseniz, bu öznitelik nesnelerin Azure AD'deki mevcut nesneleri şirket içi nesnelerle "sabit eşleştirmesine" olanak tanır.
  • Federasyon kullanıyorsanız, bu öznitelik userPrincipalName ile birlikte bir kullanıcıyı benzersiz olarak tanımlamak için talepte kullanılır.

Bu konu yalnızca sourceAnchor'un kullanıcılarla ilgili olduğu şekilde anlatılmaktadır. Aynı kurallar tüm nesne türleri için geçerlidir, ancak yalnızca kullanıcılar için bu sorun genellikle bir sorundur.

İyi bir sourceAnchor özniteliği seçme

Öznitelik değeri aşağıdaki kurallara uymalıdır:

  • Uzunluğu 60 karakterden az
    • A-z, A-Z veya 0-9 olmayan karakterler kodlanır ve 3 karakter olarak sayılır
  • Özel karakter içermez: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
  • Genel olarak benzersiz olmalıdır
  • Dize, tamsayı veya ikili olmalıdır
  • Bunlar değişebileceğinden kullanıcının adına dayalı olmamalıdır
  • Büyük/küçük harfe duyarlı olmamalıdır ve büyük/küçük harfe göre değişiklik gösterebilecek değerlerden kaçının
  • Nesne oluşturulduğunda atanmalıdır

Seçilen sourceAnchor dize türünde değilse, Azure AD Connect Base64 Özel karakter görünmediğinden emin olmak için öznitelik değerini kodlayın. ADFS'den başka bir federasyon sunucusu kullanıyorsanız, sunucunuzun base64 Özniteliği kodlayabildiğinden emin olun.

sourceAnchor özniteliği büyük/küçük harfe duyarlıdır. "JohnDoe" değeri "johndoe" ile aynı değildir. Ancak iki farklı nesneniz olmamalıdır ve bu durumda yalnızca bir fark vardır.

Şirket içinde tek bir ormanınız varsa, kullanmanız gereken öznitelik objectGUID'dir. Bu aynı zamanda Azure AD Connect'te hızlı ayarları kullandığınızda kullanılan öznitelik ve DirSync tarafından kullanılan özniteliktir.

Birden çok ormanınız varsa ve kullanıcıları ormanlar ve etki alanları arasında taşımıyorsanız , objectGUID bu durumda bile kullanmak için iyi bir özniteliktir.

Kullanıcıları ormanlar ve etki alanları arasında taşırsanız, değişmeyen veya taşıma sırasında kullanıcılarla birlikte taşınabilecek bir öznitelik bulmanız gerekir. Yapay bir öznitelik eklemek önerilen bir yaklaşımdır. GUID gibi görünen bir öğeyi barındırabilecek bir öznitelik uygun olacaktır. Nesne oluşturma sırasında, kullanıcı üzerinde yeni bir GUID oluşturulur ve damgalanır. Bu değeri objectGUID'ye göre oluşturmak ve ADDS'de seçili özniteliği güncelleştirmek için eşitleme altyapısı sunucusunda özel bir eşitleme kuralı oluşturulabilir. Nesneyi taşıdığınızda, bu değerin içeriğini de kopyaladığınızdan emin olun.

Başka bir çözüm de değiştirmediğini bildiğiniz mevcut bir özniteliği seçmektir. Yaygın olarak kullanılan öznitelikler employeeID'leridir. Harf içeren bir özniteliği dikkate alırsanız, özniteliğin değeri için büyük/küçük harf (büyük/küçük harf) değişme olasılığının olmadığından emin olun. Kullanılmaması gereken hatalı öznitelikler, kullanıcı adıyla bu öznitelikleri içerir. Evlilikte veya boşanmada adın değişmesi beklenir ve bu öznitelik için izin verilmez. Bu ayrıca userPrincipalName, mail ve targetAddress gibi özniteliklerin Azure AD Connect yükleme sihirbazında seçilmemesinin nedenlerinden biridir. Bu öznitelikler sourceAnchor'da izin verilmeyen "@" karakterini de içerir.

sourceAnchor özniteliğini değiştirme

Nesne Azure AD'de oluşturulduktan ve kimlik eşitlendikten sonra sourceAnchor öznitelik değeri değiştirilemez.

Bu nedenle Azure AD Connect için aşağıdaki kısıtlamalar geçerlidir:

  • sourceAnchor özniteliği yalnızca ilk yükleme sırasında ayarlanabilir. Yükleme sihirbazını yeniden çalıştırırsanız, bu seçenek salt okunurdur. Bu ayarı değiştirmeniz gerekiyorsa kaldırıp yeniden yüklemeniz gerekir.
  • Başka bir Azure AD Connect sunucusu yüklerseniz, daha önce kullanılan sourceAnchor özniteliğini seçmeniz gerekir. Daha önce DirSync kullanıyor ve Azure AD Connect'e geçtiyseniz, DirSync tarafından kullanılan öznitelik olduğundan objectGUID kullanmalısınız.
  • Nesne Azure AD'ye aktarıldıktan sonra sourceAnchor değeri değiştirilirse, Azure AD Connect eşitlemesi bir hata oluşturur ve sorun düzeltilmeden ve sourceAnchor kaynak dizinde yeniden değiştirilmeden önce bu nesnede daha fazla değişikliğe izin vermez.

sourceAnchor olarak ms-DS-ConsistencyGuid kullanma

Varsayılan olarak, Azure AD Connect (sürüm 1.1.486.0 ve üzeri), sourceAnchor özniteliği olarak objectGUID kullanır. ObjectGUID sistem tarafından oluşturulur. Şirket içi AD nesneleri oluştururken değerini belirtemezsiniz. sourceAnchor bölümünde açıklandığı gibi sourceAnchor değerini belirtmeniz gereken senaryolar vardır. Senaryolar sizin için geçerliyse sourceAnchor özniteliği olarak yapılandırılabilir bir AD özniteliği (örneğin, ms-DS-ConsistencyGuid) kullanmanız gerekir.

Azure AD Connect (sürüm 1.1.524.0 ve sonrası) artık sourceAnchor özniteliği olarak ms-DS-ConsistencyGuid kullanımını kolaylaştırır. Bu özelliği kullanırken, Azure AD Connect eşitleme kurallarını otomatik olarak şu şekilde yapılandırıyor:

  1. User nesneleri için sourceAnchor özniteliği olarak ms-DS-ConsistencyGuid kullanın. ObjectGUID diğer nesne türleri için kullanılır.

  2. ms-DS-ConsistencyGuid özniteliği doldurulmayan belirli bir şirket içi AD Kullanıcı nesnesi için, Azure AD Connect objectGUID değerini şirket içi Active Directory'deki ms-DS-ConsistencyGuid özniteliğine geri yazar. ms-DS-ConsistencyGuid özniteliği dolduruldıktan sonra Azure AD Connect nesneyi Azure AD'ye aktarır.

Not

Bir şirket içi AD nesnesi Azure AD Connect'e aktarıldıktan (yani AD Bağlayıcı Alanı'na aktarıldıktan ve Metaverse'e yansıtıldıktan) sonra, artık sourceAnchor değerini değiştiremezsiniz. Belirli bir şirket içi AD nesnesi için sourceAnchor değerini belirtmek için, ms-DS-ConsistencyGuid özniteliğini Azure AD Connect'e aktarilmeden önce yapılandırın.

İzin gerekiyor

Bu özelliğin çalışması için, şirket içi Active Directory ile eşitlemek için kullanılan AD DS hesabına şirket içi Active Directory'deki ms-DS-ConsistencyGuid özniteliğine yazma izni verilmelidir.

ConsistencyGuid özelliğini etkinleştirme - Yeni yükleme

Yeni yükleme sırasında sourceAnchor olarak ConsistencyGuid kullanımını etkinleştirebilirsiniz. Bu bölümde hem Express hem de Custom yüklemesi ayrıntılı olarak açıklanmıştır.

Not

Azure AD Connect'in yalnızca daha yeni sürümleri (1.1.524.0 ve sonrası) yeni yükleme sırasında sourceAnchor olarak ConsistencyGuid kullanımını destekler.

ConsistencyGuid özelliğini etkinleştirme

Hızlı Yükleme

Azure AD Connect'i Hızlı modla yüklerken, Azure AD Connect sihirbazı aşağıdaki mantığı kullanarak sourceAnchor özniteliği olarak kullanılacak en uygun AD özniteliğini otomatik olarak belirler:

  • İlk olarak, Azure AD Connect sihirbazı önceki Azure AD Connect yüklemesinde (varsa) sourceAnchor özniteliği olarak kullanılan AD özniteliğini almak için Azure AD kiracınızı sorgular. Bu bilgiler varsa, Azure AD Connect aynı AD özniteliğini kullanır.

    Not

    Azure AD Connect'in yalnızca daha yeni sürümleri (1.1.524.0 ve sonrası) yükleme sırasında kullanılan sourceAnchor özniteliği hakkındaki bilgileri Azure AD kiracınızda depolar. Azure AD Connect'in eski sürümleri bunu yapmaz.

  • Kullanılan sourceAnchor özniteliği hakkında bilgi yoksa, sihirbaz şirket içi Active Directory'nizdeki ms-DS-ConsistencyGuid özniteliğinin durumunu denetler. Öznitelik dizindeki herhangi bir nesnede yapılandırılmamışsa, sihirbaz sourceAnchor özniteliği olarak ms-DS-ConsistencyGuid kullanır. Öznitelik dizindeki bir veya daha fazla nesnede yapılandırılmışsa, sihirbaz özniteliğin diğer uygulamalar tarafından kullanıldığı ve sourceAnchor özniteliği olarak uygun olmadığı sonucuna varıyor...

  • Bu durumda sihirbaz sourceAnchor özniteliği olarak objectGUID kullanmaya geri döner.

  • sourceAnchor özniteliğine karar verildikten sonra sihirbaz bilgileri Azure AD kiracınızda depolar. Bilgiler, gelecekte Azure AD Connect yüklemesi tarafından kullanılacaktır.

Hızlı yükleme tamamlandıktan sonra sihirbaz, Kaynak Bağlantısı özniteliği olarak hangi özniteliğin seçildiğini size bildirir.

Wizard informs AD attribute picked for sourceAnchor

Özel yükleme

Azure AD Connect'i Özel modla yüklerken, Azure AD Connect sihirbazı sourceAnchor özniteliğini yapılandırırken iki seçenek sağlar:

Custom installation - sourceAnchor configuration

Ayar Açıklama
Kaynak bağlantısını benim için Azure yönetsin Azure AD’nin sizin için özniteliği seçmesini istiyorsanız bu seçeneği belirleyin. Bu seçeneği belirlerseniz, Azure AD Connect sihirbazı Hızlı yükleme sırasında kullanılan sourceAnchor özniteliği seçim mantığını uygular. Hızlı yüklemeye benzer şekilde sihirbaz, Özel yükleme tamamlandıktan sonra Kaynak Bağlayıcı özniteliği olarak hangi özniteliğin seçildiğini size bildirir.
Belirli bir öznitelik SourceAnchor özniteliği olarak mevcut bir AD özniteliğini belirtmek istiyorsanız bu seçeneği belirleyin.

ConsistencyGuid özelliğini etkinleştirme - Mevcut dağıtım

Kaynak Bağlayıcı özniteliği olarak objectGUID kullanan mevcut bir Azure AD Connect dağıtımınız varsa, bunun yerine ConsistencyGuid kullanarak bu dağıtıma geçebilirsiniz.

Not

Azure AD Connect'in (1.1.552.0 ve sonrası) yalnızca daha yeni sürümleri, Source Anchor özniteliği olarak ObjectGuid'den ConsistencyGuid'e geçmeyi destekler.

Source Anchor özniteliği olarak objectGUID'den ConsistencyGuid'e geçmek için:

  1. Azure AD Connect sihirbazını başlatın ve Yapılandır'a tıklayarak Görevler ekranına gidin.

  2. Kaynak Bağlantısı Yapılandır görev seçeneğini belirleyin ve İleri'ye tıklayın.

    Enable ConsistencyGuid for existing deployment - step 2

  3. Azure AD Yöneticisi kimlik bilgilerinizi girin ve İleri'ye tıklayın.

  4. Azure AD Connect sihirbazı, şirket içi Active Directory'nizdeki ms-DS-ConsistencyGuid özniteliğinin durumunu analiz eder. Öznitelik dizindeki herhangi bir nesnede yapılandırılmamışsa, Azure AD Connect şu anda özniteliği başka hiçbir uygulamanın kullanmadığını ve bunu Kaynak Bağlayıcı özniteliği olarak kullanmanın güvenli olduğu sonucuna varıyor. Devam etmek için İleri'ye tıklayın.

    Enable ConsistencyGuid for existing deployment - step 4

  5. Yapılandırmaya Hazır ekranında Yapılandır'a tıklayarak yapılandırma değişikliğini yapın.

    Enable ConsistencyGuid for existing deployment - step 5

  6. Yapılandırma tamamlandıktan sonra sihirbaz, kaynak bağlayıcı özniteliği olarak ms-DS-ConsistencyGuid'in kullanıldığını gösterir.

    Enable ConsistencyGuid for existing deployment - step 6

Çözümleme sırasında (4. adım), öznitelik dizindeki bir veya daha fazla nesnede yapılandırılmışsa, sihirbaz özniteliğin başka bir uygulama tarafından kullanıldığı sonucuna varıyor ve aşağıdaki diyagramda gösterildiği gibi bir hata döndürüyor. Bu hata, birincil Azure AD Connect sunucunuzda Daha önce ConsistencyGuid özelliğini etkinleştirdiyseniz ve aynı işlemi hazırlama sunucunuzda yapmaya çalışıyorsanız da oluşabilir.

Enable ConsistencyGuid for existing deployment - error

Özniteliğin diğer mevcut uygulamalar tarafından kullanılmadığından eminseniz, Azure AD Connect sihirbazını /SkipLdapSearch anahtarı belirtilen şekilde yeniden başlatarak hatayı gizleyebilirsiniz. Bunu yapmak için komut isteminde aşağıdaki komutu çalıştırın:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

AD FS veya üçüncü taraf federasyon yapılandırması üzerindeki etkisi

Şirket içi AD FS dağıtımını yönetmek için Azure AD Connect kullanıyorsanız, Azure AD Connect talep kurallarını sourceAnchor ile aynı AD özniteliğini kullanacak şekilde otomatik olarak güncelleştirir. Bu, ADFS tarafından oluşturulan ImmutableID talebin Azure AD'ye dışarı aktarılan sourceAnchor değerleriyle tutarlı olmasını sağlar.

AD FS'yi Azure AD Connect dışında yönetiyorsanız veya kimlik doğrulaması için üçüncü taraf federasyon sunucuları kullanıyorsanız, AD FS talep kurallarını değiştirme makale bölümünde açıklandığı gibi, ImmutableID talebi için talep kurallarını Azure AD'ye aktarılan sourceAnchor değerleriyle tutarlı olacak şekilde el ile güncelleştirmeniz gerekir. Sihirbaz, yükleme tamamlandıktan sonra aşağıdaki uyarıyı döndürür:

Third-party federation configuration

Mevcut dağıtıma yeni dizinler ekleme

Azure AD Connect'i ConsistencyGuid özelliği etkin olarak dağıttıysanız ve şimdi dağıtıma başka bir dizin eklemek istediğinizi varsayalım. Dizini eklemeye çalıştığınızda, Azure AD Connect sihirbazı dizindeki ms-DS-ConsistencyGuid özniteliğinin durumunu denetler. Öznitelik dizindeki bir veya daha fazla nesnede yapılandırılmışsa, sihirbaz özniteliğin diğer uygulamalar tarafından kullanıldığı sonucuna varıyor ve aşağıdaki diyagramda gösterildiği gibi bir hata döndürüyor. Özniteliğin mevcut uygulamalar tarafından kullanılmadığından eminseniz, yukarıda açıklandığı gibi belirtilen /SkipLdapSearch anahtarıyla Azure AD Connect sihirbazını yeniden başlatarak hatayı gizleyebilirsiniz veya daha fazla bilgi için Desteğe başvurmanız gerekir.

Adding new directories to existing deployment

Azure AD oturum açma

Şirket içi dizininizi Azure AD ile tümleştirirken, eşitleme ayarlarının kullanıcının kimlik doğrulama biçimini nasıl etkileyebileceğini anlamak önemlidir. Azure AD, kullanıcının kimliğini doğrulamak için userPrincipalName (UPN) kullanır. Ancak, kullanıcılarınızı eşitlerken userPrincipalName değeri için kullanılacak özniteliği dikkatle seçmeniz gerekir.

userPrincipalName özniteliğini seçme

Azure'da kullanılacak UPN değerini sağlamak için özniteliğini seçtiğinizde

  • Öznitelik değerleri UPN söz dizimine (RFC 822) uygundur, yani username@domain biçiminde olmalıdır
  • Değerlerdeki sonek, Azure AD'deki doğrulanmış özel etki alanlarından biriyle eşleşir

Hızlı ayarlarda, özniteliği için varsayılan seçenek userPrincipalName'dir. userPrincipalName özniteliği, kullanıcılarınızın Azure'da oturum açmasını istediğiniz değeri içermiyorsa , Özel Yükleme'yi seçmeniz gerekir.

Not

UPN ön ekinin birden fazla karakter içermesi en iyi yöntem olarak önerilir.

Özel etki alanı durumu ve UPN

UPN soneki için doğrulanmış bir etki alanı olduğundan emin olmak önemlidir.

John, contoso.com'da bir kullanıcıdır. Kullanıcıları Azure AD dizin contoso.onmicrosoft.com eşitledikten sonra Azure'da oturum açmak için John'un şirket içi UPN'yi john@contoso.com kullanmasını istiyorsunuz. Bunu yapmak için, kullanıcıları eşitlemeye başlamadan önce contoso.com Azure AD'de özel etki alanı olarak eklemeniz ve doğrulamanız gerekir. John'un UPN soneki, örneğin contoso.com, Azure AD'deki doğrulanmış bir etki alanıyla eşleşmiyorsa, Azure AD UPN sonekini contoso.onmicrosoft.com ile değiştirir.

Yönlendirilemeyen şirket içi etki alanları ve Azure AD için UPN

Bazı kuruluşların contoso.local gibi yönlendirilebilir olmayan etki alanları veya contoso gibi basit tek etiketli etki alanları vardır. Azure AD'de yönlendirilemeyen bir etki alanını doğrulayamazsınız. Azure AD Connect, Azure AD'de yalnızca doğrulanmış bir etki alanıyla eşitlenebilir. Bir Azure AD dizini oluşturduğunuzda, Azure AD'niz için varsayılan etki alanı olan yönlendirilebilir bir etki alanı oluşturur, örneğin contoso.onmicrosoft.com. Bu nedenle, varsayılan onmicrosoft.com etki alanıyla eşitlemek istemediğiniz durumlarda, böyle bir senaryoda başka yönlendirilebilir etki alanlarının doğrulanması gerekir.

Etki alanı ekleme ve doğrulama hakkında daha fazla bilgi için Bkz. Azure Active Directory'ye özel etki alanı adınızı ekleme .

Azure AD Connect, yönlendirilemeyen bir etki alanı ortamında çalışıp çalışmadığını algılar ve hızlı ayarlarla devam etmek için sizi uygun şekilde uyarır. Yönlendirilemeyen bir etki alanında çalışıyorsanız, büyük olasılıkla kullanıcıların UPN'sinde de yönlendirilebilir olmayan sonekler vardır. Örneğin, contoso.local altında çalıştırıyorsanız, Azure AD Connect hızlı ayarları kullanmak yerine özel ayarları kullanmanızı önerir. Özel ayarları kullanarak, kullanıcılar Azure AD ile eşitlendikten sonra Azure'da oturum açmak için UPN olarak kullanılması gereken özniteliği belirtebilirsiniz.

Sonraki adımlar

Şirket içi kimliklerinizi Azure Active Directory ile tümleştirme hakkında daha fazla bilgi edinin.