组件概述
云同步基于 Microsoft Entra 服务构建,具有两个关键组件:
- 预配代理:Microsoft Entra Connect 云预配代理与 Workday 入站代理相同,构建在与应用代理相同的服务器端技术之上。 它只需要出站连接,代理会自动更新。
- 预配服务:与出站预配和 Workday 入站预配相同的预配服务,后者使用基于计划程序的模型。 云同步预配每 2 分钟更改一次。
初始设置
在初始设置期间,会执行一些操作,以便进行云同步。
- 在代理安装过程中:为要从中预配的 AD 域配置代理。 此配置在混合身份服务中注册域,并建立与用于侦听请求的服务总线的出站连接。
- 启用预配时:选择 AD 域并启用预配,每 2 分钟运行一次。 (可选)可以取消选择密码哈希同步并定义通知电子邮件。 还可以使用Microsoft图形 API 管理属性转换。
代理安装
安装云预配代理时,会出现以下各项。
- 安装程序将安装代理二进制文件和在虚拟服务帐户(NETWORK SERVICE\AADProvisioningAgent)下运行的代理服务。 虚拟服务帐户是一种特殊类型的帐户,该帐户没有密码,并由 Windows 管理。
- 然后,安装程序将启动向导。
- 向导会提示您输入 Microsoft Entra 凭据,然后进行身份验证并获取令牌。
- 然后,向导会请求当前计算机域管理员凭据。
- 此域的代理常规托管服务帐户(GMSA)已创建或找到并重复使用(如果已存在)。
- 代理服务现已重新配置为在 GMSA 下运行。
- 该向导现在要求为希望代理服务的每个域提供域配置以及企业管理员(EA)/域管理员(DA) 帐户。
- 然后,更新 GMSA 账户的权限,使其能够访问设置过程中输入的每个域。
- 接下来,向导将触发代理注册
- 代理创建证书并使用 Microsoft Entra 令牌,将自身和证书注册到混合标识服务(HIS) 注册服务
- 向导将触发 AgentResourceGrouping 调用。 对 HIS 管理服务的此调用是将代理分配到 HIS 配置中的一个或多个 AD 域。
- 向导现在将重启代理服务。
- 代理在重启时(之后每 10 分钟调用一次 Bootstrap 服务),以检查配置更新。 启动服务会验证代理标识。 它还会更新上次启动时间。 这一点很重要,因为如果代理不进行引导,它们无法获得更新的服务总线终结点,从而可能无法接收请求。
什么是跨域标识管理系统(SCIM)?
SCIM 规范是一种标准,用于自动在标识域(如 Microsoft Entra ID)之间交换用户或组标识信息。 SCIM 正在成为预配的事实标准,在与 SAML 或 OpenID Connect 等联合标准一起使用时,为管理员提供基于端到端标准的访问管理解决方案。
Microsoft Entra Connect 云预配代理使用 SCIM 和 Microsoft Entra ID 来预配和取消预配用户和组。
同步流程
安装代理并启用配置后,将会按照以下步骤进行。
- 配置后,Microsoft Entra 预配服务将调用 Microsoft Entra 混合服务,以向服务总线添加请求。 代理持续不断维护与Service Bus的出站连接,监听请求并立即处理跨域标识管理系统(SCIM)请求。
- 代理根据对象类型将请求分解为单独的查询。
- AD 将结果返回到代理,代理先筛选此数据,然后再将其发送到 Microsoft Entra ID。
- 代理将 SCIM 响应返回到 Microsoft Entra ID。 这些响应基于智能体内部发生的筛选。 代理通过限定范围来筛选结果。
- 预配服务将更改写入 Microsoft Entra ID。
- 如果进行的是增量同步而不是完全同步,则使用 cookie/水印。 新查询从该 Cookie/水印起开始接收更改。
支持的方案:
云同步支持以下方案。
具有新林的现有混合客户:Microsoft Entra Connect Sync 用于主林。 云同步用于从 AD 林(包括断开连接)进行预配。 有关详细信息,请参阅 此处的教程。
新的混合客户:不使用 Microsoft Entra Connect Sync。 云同步用于从 AD 域森林进行资源配置。 有关详细信息,请参阅 此处的教程。
现有混合客户:Microsoft Entra Connect Sync 用于主林。 云同步针对 此处的主要林中的一小部分用户进行了试点。
有关详细信息,请参阅 支持的拓扑。