Microsoft Entra 內部部署應用程式身分識別布建架構

  • 發行項

概觀

下圖顯示內部部署應用程式布建運作方式的概觀。

Diagram that shows the architecture for on-premises application provisioning.

將使用者布建至內部部署應用程式有三個主要元件:

  • 布建代理程式提供 Microsoft Entra ID 與內部部署環境之間的連線。
  • Extensible 連線ivity(ECMA) 連線or 主機會將布建要求從 Microsoft Entra ID 轉換為對目標應用程式提出的要求。 它可作為 Microsoft Entra ID 與應用程式之間的閘道。 您可以使用它來匯入與 Microsoft Identity Manager 搭配使用的現有 ECMA2 連接器。 如果您已建置 SCIM 應用程式或 SCIM 閘道,則不需要 ECMA 主機。
  • Microsoft Entra 布建服務可作為同步處理引擎。

注意

不需要 Microsoft Identity Manager 同步處理。 但是,您可以在將 ECMA2 連接器匯入 ECMA 主機之前,先使用它來建置及測試您的 ECMA2 連接器。 ECMA2 連接器專屬於 MIM,其中 ECMA 主機是專用於布建代理程式。

防火牆需求

您不需要開啟公司網路的輸入連線。 布建代理程式只會使用對布建服務的輸出連線,這表示不需要開啟連入連線的防火牆埠。 您也不需要周邊 (DMZ) 網路,因為所有連線都是輸出且透過安全通道進行。

布建代理程式所需的輸出端點詳述 于此處

ECMA 連線or 主機架構

ECMA 連線or Host 有數個區域可用來達成內部部署布建。 下圖是呈現這些個別區域的概念繪圖。 下表詳細說明這些區域。

ECMA connector host

區域 描述
端點 負責與 Microsoft Entra 布建服務的通訊和資料傳輸
記憶體內部快取 用來儲存從內部部署資料來源匯入的資料
自動同步 提供 ECMA 連線or Host 與內部部署資料來源之間的非同步資料同步處理
商務規則 用來協調所有 ECMA 連線or Host 活動。 自動同步時間可在 ECMA 主機中設定。 這位於屬性頁面中。

關於錨點屬性和辨別名稱

提供下列資訊以進一步說明錨點屬性和辨別名稱,特別是泛型SQL 連接器所使用的名稱。

錨點屬性是物件類型的唯一屬性,不會變更,而且代表 ECMA 連線or Host 記憶體內部快取中的該物件。

辨別名稱 (DN) 是可唯一識別物件的名稱,其方式是在目錄階層中指出其目前位置。 或者,在分割區中使用 SQL。 名稱的形成方式是串連目錄分割區根目錄的錨點屬性。

我們認為傳統格式的傳統 DN 時,例如 Active Directory 或 LDAP,我們會想出類似如下的內容:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

不過,對於 SQL 之類的資料來源,例如一般、非階層式的資料來源,DN 必須已存在於其中一個資料表中,或從我們提供給 ECMA 連線or 主機的資訊建立。

設定泛型SQL 連接器時,勾選 核取方塊中的 [自動產生 ] 即可達成此目的。 當您選擇自動產生 DN 時,ECMA 主機會以 LDAP 格式產生 DN:CN= < anchorvalue,OBJECT > = < type > 。 這也假設 DN 在 [連線ivity] 頁面中未核取 [錨點 ]。

DN is Anchor unchecked

泛型SQL 連接器預期 DN 會使用 LDAP 格式填入。 一般 SQL 連接器使用 LDAP 樣式搭配元件名稱 「OBJECT=」。 這可讓它使用分割區(每個物件類型都是分割區)。

由於 ECMA 連線or Host 目前僅支援 USER 物件類型,因此 OBJECT= < type > 會是 OBJECT=USER。 因此,具有 ljacobson 錨點值之使用者的 DN 會是:

CN=ljacobson,OBJECT=USER

使用者建立工作流程

  1. Microsoft Entra 布建服務會查詢 ECMA 連線or Host,以查看使用者是否存在。 它會使用比對 屬性 做為篩選準則。 此屬性定義于企業應用程式 - 內部部署布 > 建 - > 布建 - 布建 - > 屬性比對下的 Azure 入口網站。 其表示為比對優先順序的 1。 您可以定義一或多個相符的屬性,並根據優先順序來設定優先順序。 如果您想要變更比對屬性,您也可以這麼做。 Matching attribute

  2. ECMA 連線or 主機會收到 GET 要求,並查詢其內部快取,以查看使用者是否存在並已匯入。 這是使用上述相符屬性來完成的。 如果您定義多個比對屬性,Microsoft Entra 布建服務會針對每個屬性傳送 GET 要求,而 ECMA 主機會檢查其快取是否有相符專案,直到找到相符專案為止。

  3. 如果使用者不存在,Microsoft Entra ID 會提出 POST 要求以建立使用者。 ECMA 連線or 主機會以 HTTP 201 回應 Microsoft Entra 識別碼,並為使用者提供識別碼。 此識別碼衍生自物件類型頁面中定義的錨點值。 Microsoft Entra ID 會使用此錨點來查詢 ECMA 連線or Host,以取得未來和後續的要求。

  4. 如果 Microsoft Entra ID 中的使用者發生變更,則 Microsoft Entra ID 會提出 GET 要求,以使用上一個步驟中的錨點擷取使用者,而不是步驟 1 中的相符屬性。 例如,這可讓 UPN 變更,而不會中斷 Microsoft Entra ID 與應用程式中使用者之間的連結。

代理程式最佳做法

  • 目前不支援將相同的代理程式用於內部部署布建功能,以及 Workday / SuccessFactors / Microsoft Entra 連線雲端同步處理。 我們正積極致力於支援與其他布建案例相同的代理程式上的內部部署布建。
    • 避免代理程式與 Azure 之間輸出 TLS 通訊的所有內嵌檢查形式。 這種類型的內嵌檢查會導致通訊流程降低。
  • 代理程式必須與 Azure 和您的應用程式通訊,因此代理程式的位置會影響這兩個連線的延遲。 您可以藉由優化每個網路連線,將端對端流量的延遲降到最低。 每個連線都可以透過:
    • 減少躍點兩端之間的距離。
    • 選擇要周遊的正確網路。 例如,由於專用連結,周遊私人網路而非公用網際網路可能會更快。
  • 代理程式和 ECMA 主機依賴憑證進行通訊。 ECMA 主機所產生的自我簽署憑證應該僅用於測試目的。 自我簽署憑證預設會在兩年內到期,且無法撤銷。 Microsoft 建議針對生產使用案例使用來自受信任 CA 的憑證。

布建代理程式問題

這裡已回答一些常見問題。

如何?知道我的布建代理程式版本嗎?

  1. 登入安裝布建代理程式的 Windows 伺服器。
  2. 移至 主控台 > Uninstall 或變更程式。
  3. 尋找對應至 Microsoft Entra 連線 布建代理程式 專案 的版本。

我可以在執行 Microsoft Entra 連線 或 Microsoft Identity Manager 的相同伺服器上安裝布建代理程式嗎?

是。 您可以在執行 Microsoft Entra 連線 或 Microsoft Identity Manager 的相同伺服器上安裝布建代理程式,但並非必要。

如何?將布建代理程式設定為使用 Proxy 伺服器進行輸出 HTTP 通訊?

布建代理程式支援使用輸出 Proxy。 您可以編輯代理程式設定檔 C:\Program Files\Microsoft Azure AD 連線 Provisioning Agent\AAD連線ProvisioningAgent.exe.config 來設定它。在結尾 </configuration> 標記之前,將下列幾行新增至檔案結尾。 將 變數 [proxy-server] 取代 [proxy-port] 為您的 Proxy 伺服器名稱和埠值。

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

如何?確保布建代理程式可以與 Microsoft Entra 租使用者通訊,而且代理程式不需要任何防火牆?

您也可以檢查所有必要的埠是否開啟。

如何?卸載布建代理程式嗎?

  1. 登入安裝布建代理程式的 Windows 伺服器。
  2. 移至 主控台 > Uninstall 或變更程式。
  3. 卸載下列程式:
    • Microsoft Entra 連線布建代理程式
    • Microsoft Entra 連線 Agent Updater
    • Microsoft Entra 連線布建代理程式套件

布建代理程式歷程記錄

本文列出已發行的 Microsoft Entra 連線布建代理程式版本和功能。 Microsoft Entra 小組會定期以新功能更新布建代理程式。 請確定您不會針對內部部署布建和雲端同步/HR 驅動布建使用相同的代理程式。

Microsoft 提供最新代理程式版本和之前一個版本的直接支援。

內部部署應用程式布建已導入布建代理程式,可從入口網站取得。 請參閱 安裝布建代理程式

1.1.892.0

2022 年 5 月 20 日 - 已發行以供下載

已修正的問題

  • 我們新增了將變更匯出至整數屬性的支援,這有利於使用一般 LDAP 連接器的客戶。

1.1.846.0

2022 年 4 月 11 日 - 已發行以供下載

已修正的問題

  • 我們在將使用者布建到 AD LDS 時,新增了 ObjectGUID 作為泛型 LDAP 連接器錨點的支援。

下一步