Microsoft Entra Connect Eşitleme: Bildirim Temelli Sağlamayı anlama
Bu konuda, Microsoft Entra Bağlan'daki yapılandırma modeli açıklanmaktadır. Model Bildirim temelli Sağlama olarak adlandırılır ve kolayca bir yapılandırma değişikliği yapmanıza olanak tanır. Bu konuda açıklanan birçok şey gelişmiştir ve çoğu müşteri senaryosu için gerekli değildir.
Genel Bakış
Bildirim temelli sağlama, kaynak bağlı dizinden gelen nesneleri işler ve nesnenin ve özniteliklerin kaynaktan hedefe nasıl dönüştürülmesi gerektiğini belirler. Bir nesne bir eşitleme işlem hattında işlenir ve gelen ve giden kurallar için işlem hattı aynıdır. Gelen kural, bağlayıcı alanından meta veri kümesine ve giden kural da meta veri kümesinden bağlayıcı alanınadır.
İşlem hattının birkaç farklı modülü vardır. Her biri, nesne eşitlemesindeki bir kavramdan sorumludur.
- Kaynak, Kaynak nesne
- Kapsam, Kapsamdaki tüm eşitleme kurallarını bulur
- Birleştirme, Bağlayıcı alanı ile meta veri deposu arasındaki ilişkiyi belirler
- Dönüştür, Özniteliklerin nasıl dönüştürülmesi ve akışa alınması gerektiğini hesaplar
- Öncelik, Çakışan öznitelik katkılarını çözümler
- Hedef, Hedef nesne
Kapsam
Kapsam modülü bir nesneyi değerlendirir ve kapsamda olan ve işlemeye dahil edilmesi gereken kuralları belirler. Nesnedeki öznitelik değerlerine bağlı olarak, farklı eşitleme kuralları kapsam içinde olarak değerlendirilir. Örneğin, Exchange posta kutusu olmayan devre dışı bırakılmış bir kullanıcının, posta kutusu olan etkin bir kullanıcıdan farklı kuralları vardır.
Kapsam, gruplar ve yan tümceler olarak tanımlanır. Yan tümceler bir grubun içindedir. Mantıksal AND, bir gruptaki tüm yan tümceler arasında kullanılır. Örneğin, (bölüm =BT VE ülke = Danimarka). Gruplar arasında mantıksal veya kullanılır.
Bu resimdeki kapsam (bölüm = BT VE ülke = Danimarka) VEYA (ülke=İsveç) olarak okunmalıdır. Grup 1 veya grup 2 true olarak değerlendirilirse, kural kapsamdadır.
Kapsam modülü aşağıdaki işlemleri destekler.
Operation | Açıklama |
---|---|
EQUAL, NOTEQUAL | Değerin öznitelikteki değere eşit olup olmadığını değerlendiren bir dize karşılaştırması. Çok değerli öznitelikler için bkz. ISIN ve ISNOTIN. |
LESSTHAN, LESSTHAN_OR_EQUAL | Değerin öznitelikteki değerden küçük olup olmadığını değerlendiren bir dize karşılaştırması. |
CONTAINS, NOTCONTAINS | Değerin özniteliğindeki değerin içinde bir yerde bulunup bulunamadığını değerlendiren bir dize karşılaştırması. |
STARTSWITH, NOTSTARTSWITH | Değerin özniteliğindeki değerin başında olup olmadığını değerlendiren bir dize karşılaştırması. |
ENDSWITH, NOTENDSWITH | Değerin özniteliğindeki değerin sonunda olup olmadığını değerlendiren bir dize karşılaştırması. |
GREATERTHAN, GREATERTHAN_OR_EQUAL | Değerin öznitelikteki değerden büyük olup olmadığını değerlendiren bir dize karşılaştırması. |
ISNULL, ISNOTNULL | Özniteliğin nesnede yok olup olmadığını değerlendirir. Öznitelik yoksa ve dolayısıyla null ise, kural kapsamdadır. |
ISIN, ISNOTIN | Değerin tanımlı öznitelikte mevcut olup olmadığını değerlendirir. Bu işlem, EQUAL ve NOTEQUAL değerlerinin çok değerli varyasyonudur. Özniteliğin çok değerli bir öznitelik olması gerekir ve değer öznitelik değerlerinden herhangi birinde bulunabiliyorsa kural kapsamdadır. |
ISBITSET, ISNOTBITSET | Belirli bir bitin ayarlandığını değerlendirir. Örneğin, bir kullanıcının etkin mi yoksa devre dışı mı olduğunu görmek için userAccountControl içindeki bitleri değerlendirmek için kullanılabilir. |
ISMEMBEROF, ISNOTMEMBEROF | Değer, bağlayıcı alanında bir grubun DN'sini içermelidir. Nesne belirtilen grubun bir üyesiyse, kural kapsamdadır. |
Katılın
Eşitleme işlem hattındaki birleştirme modülü, kaynaktaki nesne ile hedefteki bir nesne arasındaki ilişkiyi bulmaktan sorumludur. Gelen kuralında bu ilişki, meta veri kümesindeki bir nesneyle ilişkiyi buan bağlayıcı alanında bulunan bir nesne olabilir.
Amaç, meta veri kümesinde zaten başka bir Bağlan tarafından oluşturulmuş bir nesne olup olmadığını görmektir veya nesneyle ilişkilendirilmelidir. Örneğin, bir hesap kaynağı ormanında, hesap ormanındaki kullanıcı kaynak ormanından kullanıcıyla birleştirilmelidir.
Birleştirmeler çoğunlukla bağlayıcı alanı nesnelerini aynı meta veri deposu nesnesine birleştirmek için gelen kurallarda kullanılır.
Birleşimler bir veya daha fazla grup olarak tanımlanır. Grubun içinde yan tümceleriniz vardır. Mantıksal AND, bir gruptaki tüm yan tümceler arasında kullanılır. Gruplar arasında mantıksal veya kullanılır. Gruplar yukarıdan aşağıya doğru sırasıyla işlenir. Bir grup hedefteki bir nesneyle tam olarak bir eşleşme bulduğunda, başka birleştirme kuralları değerlendirilmez. Sıfır veya birden fazla nesne bulunursa, işleme sonraki kural grubuna devam eder. Bu nedenle, kurallar önce en açık ve sonunda daha belirsiz olacak şekilde oluşturulmalıdır.
Bu resimdeki birleşimler yukarıdan aşağıya doğru işlenir. İlk olarak eşitleme işlem hattı, employeeID üzerinde bir eşleşme olup olmadığını görür. Aksi takdirde, ikinci kural hesap adının nesneleri birleştirmek için kullanılıp kullanılamadığını görür. Bu da eşleşme değilse, üçüncü ve son kural kullanıcı adı kullanılarak daha benzer bir eşleşmedir.
Tüm birleştirme kuralları değerlendirildiyse ve tam olarak bir eşleşme yoksa, Açıklama sayfasındaki Bağlantı Türükullanılır. Bu seçenek Sağlama olarak ayarlanırsa, hedefte yeni bir nesne oluşturulur.
Bir nesnenin kapsamda birleştirme kuralları olan tek bir eşitleme kuralı olmalıdır. Birleştirmenin tanımlandığı birden çok eşitleme kuralı varsa bir hata oluşur. Öncelik, birleştirme çakışmalarını çözmek için kullanılmaz. Özniteliklerin aynı gelen/giden yönde akması için nesnenin kapsamda bir birleştirme kuralı olmalıdır. Aynı nesneye hem gelen hem de giden öznitelikleri akışı yapmanız gerekiyorsa, birleştirmeli hem gelen hem de giden eşitleme kuralına sahip olmanız gerekir.
Hedef bağlayıcı alanına nesne sağlamaya çalıştığında giden birleştirme özel bir davranışa sahiptir. DN özniteliği, önce ters birleştirmeyi denemek için kullanılır. Hedef bağlayıcı alanında aynı DN'ye sahip bir nesne zaten varsa, nesneler birleştirilir.
Birleştirme modülü, kapsama yeni bir eşitleme kuralı geldiğinde yalnızca bir kez değerlendirilir. Bir nesne katıldığında, birleştirme ölçütleri artık karşılanmasa bile nesne kopmuyordur. Bir nesneyi ayırmak istiyorsanız, nesnelere katılan eşitleme kuralı kapsamın dışına çıkmalıdır.
Meta veri silme
Bağlantı Türü Sağlama veya Yapışkan Katıl olarak ayarlanmış kapsamda bir eşitleme kuralı olduğu sürece meta veri deposu nesnesi kalır. Bir Bağlan veya meta veri kümesine yeni bir nesne sağlamasına izin verilmediğinde, ancak katıldığında metaveri nesnesi silinmeden önce kaynakta silinmesi gerektiğinde YapışkanJoin kullanılır.
Meta veri kümesi nesnesi silindiğinde, sağlama için işaretlenen bir giden eşitleme kuralıyla ilişkilendirilmiş tüm nesneler silme için işaretlenir.
Dönüşümler
Dönüştürmeler, özniteliklerin kaynaktan hedefe nasıl akması gerektiğini tanımlamak için kullanılır. Akışlar aşağıdaki akış türlerinden birine sahip olabilir: Doğrudan, Sabit veya İfade. Doğrudan akış, ek dönüştürmeler olmadan bir öznitelik değerini olduğu gibi akışa alır. Sabit bir değer belirtilen değeri ayarlar. İfade, dönüştürmenin nasıl olması gerektiğini ifade etmek için bildirim temelli sağlama ifade dilini kullanır. İfade dilinin ayrıntıları bildirim temelli sağlama ifadesi dili konusunu anlama bölümünde bulunabilir.
Bir kez uygula onay kutusu özniteliğin yalnızca nesne ilk oluşturulduğunda ayarlanması gerektiğini tanımlar. Örneğin, bu yapılandırma yeni bir kullanıcı nesnesi için başlangıç parolası ayarlamak için kullanılabilir.
Öznitelik değerlerini birleştirme
Öznitelik akışlarında, birden çok değerli özniteliklerin birkaç farklı Bağlan ordan birleştirilip birleştirilmemesi gerektiğini belirleyen bir ayar vardır. Varsayılan değer , en yüksek önceliğe sahip eşitleme kuralının kazanılması gerektiğini gösteren Güncelleştir'dir.
Merge ve MergeCaseInsensitive de vardır. Bu seçenekler farklı kaynaklardan değerleri birleştirmenizi sağlar. Örneğin, birkaç farklı ormandan proxyAddresses özniteliğini birleştirmek için kullanılabilir. Bu seçeneği kullandığınızda, bir nesnenin kapsamındaki tüm eşitleme kuralları aynı birleştirme türünü kullanmalıdır. Bir Bağlan güncelleştirme veya başka bir Bağlan Birleştir'i tanımlayamazsınız. Denerseniz bir hata alırsınız.
Merge ve MergeCaseInsensitive arasındaki fark, yinelenen öznitelik değerlerinin nasıl işlendiğidir. Eşitleme altyapısı, yinelenen değerlerin hedef özniteliğe eklenmemesini sağlar. MergeCaseInsensitive ile, yalnızca büyük/küçük harf farkı olan yinelenen değerler mevcut olmayacaktır. Örneğin, hedef öznitelikte hem "SMTP:bob@contoso.com" hem de "smtp:bob@contoso.com" ifadesini görmemeniz gerekir. Birleştirme yalnızca tam değerlere ve birden çok değere bakar ve burada yalnızca büyük/küçük harf farkları vardır.
Değiştir seçeneği Güncelleştir ile aynıdır, ancak kullanılmaz.
Öznitelik akışı işlemini denetleme
Aynı meta veri kümesi özniteliğine katkıda bulunmak için birden çok gelen eşitleme kuralı yapılandırıldığında, kazananı belirlemek için öncelik kullanılır. En yüksek önceliğe sahip eşitleme kuralı (en düşük sayısal değer) değere katkıda bulunacak. Giden kuralları için de aynı durum geçerlidir. En yüksek önceliğe sahip eşitleme kuralı kazanır ve değeri bağlı dizine katkıda bulunur.
Bazı durumlarda, bir değere katkıda bulunmak yerine, eşitleme kuralı diğer kuralların nasıl davranması gerektiğini belirlemelidir. Bu durum için kullanılan bazı özel değişmez değerler vardır.
Gelen Eşitleme Kuralları için değişmez NULL değeri, akışın katkıda bulunabilecek bir değeri olmadığını belirtmek için kullanılabilir. Daha düşük önceliğe sahip başka bir kural bir değere katkıda bulunabilir. Hiçbir kural bir değere katkıda bulunmadıysa meta veri kümesi özniteliği kaldırılır. Giden kuralı için, tüm eşitleme kuralları işlendikten sonra son değer NULL ise, değer bağlı dizinde kaldırılır.
AuthoritativeNull değişmez değeri NULL'a benzer, ancak daha düşük bir öncelik kuralının bir değere katkıda bulunamayabileceği farkını gösterir.
Öznitelik akışı IgnoreThisFlow da kullanabilir. Katkıda bulunabilecek bir şey olmadığını gösterdiği için NULL'a benzer. Fark, hedefte zaten var olan bir değeri kaldırmamasıdır. Öznitelik akışı hiç orada bulunmamış gibi.
Örnek aşağıda verilmiştir:
Ad-Dış - Kullanıcı Exchange karmasında aşağıdaki akış bulunabilir:
IIF([cloudSOAExchMailbox] = True,[cloudMSExchSafeSendersHash],IgnoreThisFlow)
Bu ifade şöyle okunmalıdır: Kullanıcı posta kutusu Microsoft Entra Kimliği'nde bulunuyorsa, özniteliği Microsoft Entra Id'den Active Directory'ye akıtın. Aksi takdirde, Active Directory'ye hiçbir şey akışı yapma. Bu durumda, AD'de mevcut değeri tutar.
ImportedValue
Öznitelik adının köşeli ayraç yerine tırnak içine alınması gerektiğinden ImportedValue işlevi diğer tüm işlevlerden farklıdır:
ImportedValue("proxyAddresses")
.
Gelen eşitleme, bağlı dizine henüz ulaşmamış bir özniteliğin belirli bir noktada bu dizine ulaşacağını varsayma kavramına sahiptir. Bu nedenle normalde eşitleme, henüz dışarı aktarılmamış olsa veya dışarı aktarma sırasında bir hata oluşsa bile ilgili bağlayıcı alanından bir öznitelik değeri alır. Ancak bazı durumlarda, yalnızca bağlı dizinden içeri aktarma sırasında dışarı aktarılan ve onaylanan bir değeri eşitlemek önemlidir. Bu işlev, özniteliğin yalnızca değerin başarıyla dışarı aktarıldığı onaylandığında eşitlenmesi gereken birden çok "Ad/AAD'den" ilk çalıştırma dönüştürme kuralında bulunabilir.
Bu işlevin bir örneği, Karma Exchange ile ProxyAddresses öznitelik akışı için AD' den gelen kullanıma hazır Eşitleme Kuralı - Exchange'den Kullanıcı Ortak içinde bulunabilir. Örneğin, kullanıcının ProxyAddresses değeri eklendiğinde ImportedValue işlevi yalnızca aşağıdaki içeri aktarma adımından onaylandıktan sonra yeni değeri döndürür:
proxyAddresses
<- RemoveDuplicates(Trim(ImportedValue("proxyAddresses")))
Bu işlev, hedef dizin dışarı aktarılan bir öznitelik değerini sessizce değiştirebileceği veya atabileceği durumlarda gereklidir ve eşitlemenin yalnızca onaylanan öznitelik değerlerini işlemesini istiyoruz.
Öncelik
Birkaç eşitleme kuralı aynı öznitelik değerini hedefe katkıda bulunmaya çalıştığında, kazananı belirlemek için öncelik değeri kullanılır. En yüksek önceliğe ve en düşük sayısal değere sahip kural, çakışmada özniteliği katkıda bulunacak.
Bu sıralama, nesnelerin küçük bir alt kümesi için daha hassas öznitelik akışları tanımlamak için kullanılabilir. Örneğin, kullanıma hazır kurallar, etkin bir hesaptan (User AccountEnabled) gelen özniteliklerin diğer hesaplardan öncelikli olduğundan emin olur.
Öncelik, Bağlan orlar arasında tanımlanabilir. Bu, Bağlan daha iyi verilere sahip olan yöneticilerin önce değerlere katkıda bulunmasını sağlar.
Aynı bağlayıcı alanından birden çok nesne
Aynı bağlayıcı alanında birden çok nesnenin aynı meta veri deposu nesnesine katılması mümkün değildir. Bu yapılandırma, kaynaktaki öznitelikler aynı değere sahip olsa bile belirsiz olarak bildirilir.
Sonraki adımlar
- Bildirim Temelli Sağlama İfadelerini Anlama bölümünde ifade dili hakkında daha fazla bilgi edinin.
- Varsayılan yapılandırmayı anlama bölümünde bildirim temelli sağlamanın kullanıma hazır olarak nasıl kullanıldığına bakın.
- Varsayılan yapılandırmada değişiklik yapma bölümünde bildirim temelli sağlamayı kullanarak pratik bir değişiklik yapmayı öğrenin.
- Kullanıcıları ve Kişileri Anlama bölümünde kullanıcıların ve kişilerin birlikte nasıl çalıştığını okumaya devam edin.
Genel bakış konuları
- Microsoft Entra Bağlan Eşitleme: Eşitlemeyi anlama ve özelleştirme
- Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme
Başvuru konuları