Microsoft Entra Connect: Konsep desain

  • Artikel

Tujuan dokumen ini adalah untuk menjelaskan area yang harus dipertimbangkan saat mengonfigurasi Microsoft Entra Koneksi. Dokumen ini mendalam area tertentu dan konsep ini secara singkat dijelaskan dalam dokumen lain juga.

sourceAnchor

Atribut sourceAnchor didefinisikan sebagai atribut yang tidak dapat diubah selama masa pakai objek. Ini secara unik mengidentifikasi objek sebagai objek yang sama secara lokal dan di ID Microsoft Entra. Atribut ini juga disebut immutableId dan kedua nama tersebut dapat dipertukarkan.

Kata tidak dapat diubah, yaitu "tidak dapat diubah", penting untuk dokumen ini. Karena nilai atribut ini tidak dapat diubah setelah ditetapkan, penting untuk memilih desain yang mendukung skenario Anda.

Atribut ini digunakan untuk skenario berikut:

  • Saat server mesin sinkronisasi baru dibangun, atau dibangun kembali setelah skenario pemulihan bencana, atribut ini menautkan objek yang ada di ID Microsoft Entra dengan objek lokal.
  • Jika Anda berpindah dari identitas khusus cloud ke model identitas yang disinkronkan, atribut ini memungkinkan objek untuk "hard match" objek yang ada di ID Microsoft Entra dengan objek lokal.
  • Jika Anda menggunakan federasi, maka atribut ini bersama dengan userPrincipalName digunakan dalam klaim untuk mengidentifikasi pengguna secara unik.

Topik ini hanya membahas tentang sourceAnchor karena berkaitan dengan pengguna. Aturan yang sama berlaku untuk semua jenis objek, tetapi hanya untuk pengguna masalah ini biasanya menjadi perhatian.

Memilih atribut sourceAnchor yang baik

Nilai atribut harus mengikuti aturan berikut:

  • Panjangnya kurang dari 60 karakter
    • Karakter bukan a-z, A-Z, atau 0-9 dikodekan dan dihitung sebagai 3 karakter
  • Tidak berisi karakter khusus: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
  • Harus unik secara global
  • Harus berupa string, bilangan bulat, atau biner
  • Tidak boleh didasarkan pada nama pengguna karena ini dapat berubah
  • Seharusnya tidak peka huruf besar/kecil dan hindari nilai yang mungkin berbeda berdasarkan huruf besar/kecil
  • Harus ditetapkan saat objek dibuat

Jika sourceAnchor yang dipilih bukan dari jenis string, Maka Microsoft Entra Koneksi Base64Encode nilai atribut untuk memastikan tidak ada karakter khusus yang muncul. Jika Anda menggunakan server federasi selain ADFS, pastikan server Anda juga dapat mengkodekan atribut Base64.

Atribut sourceAnchor peka huruf besar/kecil. Nilai "JohnDoe" tidak sama dengan "johndoe". Tetapi Anda tidak boleh memiliki dua objek yang berbeda hanya dengan perbedaan dalam kasus.

Jika Anda memiliki satu forest lokal, atribut yang harus Anda gunakan adalah objectGUID. Ini juga merupakan atribut yang digunakan saat Anda menggunakan pengaturan ekspres di Microsoft Entra Koneksi dan juga atribut yang digunakan oleh DirSync.

Jika Anda memiliki beberapa forest dan tidak memindahkan pengguna antara forest dan domain, maka objectGUID adalah atribut yang baik untuk digunakan bahkan dalam hal ini.

Jika Anda memindahkan pengguna antara forest dan domain, maka Anda harus menemukan atribut yang tidak berubah atau dapat dipindahkan dengan pengguna selama pemindahan. Pendekatan yang direkomendasikan adalah memperkenalkan atribut sintetis. Atribut yang dapat menampung sesuatu yang terlihat seperti GUID akan cocok. Selama pembuatan objek, GUID baru dibuat dan dicap pada pengguna. Aturan sinkronisasi kustom dapat dibuat di server mesin sinkronisasi untuk membuat nilai ini berdasarkan objectGUID dan memperbarui atribut yang dipilih di AD DS. Saat Anda memindahkan objek, pastikan juga untuk menyalin konten dari nilai ini.

Solusi lain adalah memilih atribut yang ada yang Anda tahu tidak berubah. Atribut yang umum digunakan termasuk employeeID. Jika Anda mempertimbangkan atribut yang berisi huruf, pastikan tidak ada kemungkinan bahwa huruf (huruf besar vs. huruf kecil) dapat berubah untuk nilai atribut. Atribut buruk yang tidak boleh digunakan termasuk atribut dengan nama pengguna. Dalam pernikahan atau perceraian, nama diharapkan berubah, yang tidak diizinkan untuk atribut ini. Ini juga merupakan salah satu alasan mengapa atribut seperti userPrincipalName, mail, dan targetAddress bahkan tidak dapat dipilih dalam wizard penginstalan Microsoft Entra Koneksi. Atribut tersebut juga berisi karakter "@", yang tidak diizinkan di sourceAnchor.

Mengubah atribut sourceAnchor

Nilai atribut sourceAnchor tidak dapat diubah setelah objek dibuat di ID Microsoft Entra dan identitas disinkronkan.

Untuk alasan ini, pembatasan berikut berlaku untuk Microsoft Entra Koneksi:

  • Atribut sourceAnchor hanya dapat diatur selama penginstalan awal. Jika Anda menjalankan kembali wizard penginstalan, opsi ini bersifat baca-saja. Jika Anda perlu mengubah pengaturan ini, maka Anda harus menghapus dan menginstal ulang.
  • Jika Anda menginstal server Microsoft Entra Koneksi lain, maka Anda harus memilih atribut sourceAnchor yang sama seperti yang digunakan sebelumnya. Jika sebelumnya Anda telah menggunakan DirSync dan pindah ke Microsoft Entra Koneksi, maka Anda harus menggunakan objectGUID karena itu adalah atribut yang digunakan oleh DirSync.
  • Jika nilai untuk sourceAnchor diubah setelah objek diekspor ke ID Microsoft Entra, Maka Microsoft Entra Koneksi Sync melemparkan kesalahan dan tidak mengizinkan perubahan lagi pada objek tersebut sebelum masalah diperbaiki dan sourceAnchor diubah kembali di direktori sumber.

Menggunakan ms-DS-ConsistencyGuid sebagai sourceAnchor

Secara default, Microsoft Entra Koneksi (versi 1.1.486.0 dan yang lebih lama) menggunakan objectGUID sebagai atribut sourceAnchor. ObjectGUID dibuat oleh sistem. Anda tidak dapat menentukan nilainya saat membuat objek AD lokal. Seperti yang dijelaskan di bagian sourceAnchor, ada skenario ketika Anda perlu menentukan nilai sourceAnchor. Jika skenario tersebut berlaku untuk Anda, Anda harus menggunakan atribut AD yang dapat dikonfigurasi (misalnya, ms-DS-ConsistencyGuid) sebagai atribut sourceAnchor.

Microsoft Entra Koneksi (versi 1.1.524.0 dan setelahnya) sekarang memfasilitasi penggunaan ms-DS-ConsistencyGuid sebagai atribut sourceAnchor. Saat menggunakan fitur ini, Microsoft Entra Koneksi secara otomatis mengonfigurasi aturan sinkronisasi untuk:

  1. Gunakan ms-DS-ConsistencyGuid sebagai atribut sourceAnchor untuk objek Pengguna. ObjectGUID digunakan untuk tipe objek lainnya.

  2. Untuk objek Pengguna AD lokal tertentu yang atribut ms-DS-ConsistencyGuid-nya tidak diisi, Microsoft Entra Koneksi menulis nilai objectGUID-nya kembali ke atribut ms-DS-ConsistencyGuid di Active Directory lokal. Setelah atribut ms-DS-ConsistencyGuid diisi, Microsoft Entra Koneksi kemudian mengekspor objek ke ID Microsoft Entra.

Catatan

Setelah objek AD lokal diimpor ke Microsoft Entra Koneksi (yaitu, diimpor ke ruang ad Koneksi or dan diproyeksikan ke Metaverse), Anda tidak dapat mengubah nilai sourceAnchor-nya lagi. Untuk menentukan nilai sourceAnchor untuk objek AD lokal tertentu, konfigurasikan atribut ms-DS-ConsistencyGuid sebelum diimpor ke Microsoft Entra Koneksi.

Izin diperlukan

Agar fitur ini berfungsi, akun AD DS yang digunakan untuk menyinkronkan dengan Active Directory lokal harus diberi izin menulis ke atribut ms-DS-ConsistencyGuid di Active Directory lokal.

Cara mengaktifkan fitur ConsistencyGuid - Penginstalan baru

Anda dapat mengaktifkan penggunaan ConsistencyGuid sebagai sourceAnchor selama penginstalan baru. Bagian ini membahas penginstalan Ekspres dan Kustom secara detail.

Catatan

Hanya versi Microsoft Entra Koneksi yang lebih baru (1.1.524.0 dan setelahnya) yang mendukung penggunaan ConsistencyGuid sebagai sourceAnchor selama penginstalan baru.

Cara mengaktifkan fitur ConsistencyGuid

Penginstalan Ekspres

Saat menginstal Microsoft Entra Koneksi dengan mode Ekspres, wizard Microsoft Entra Koneksi secara otomatis menentukan atribut AD yang paling tepat untuk digunakan sebagai atribut sourceAnchor menggunakan logika berikut:

  • Pertama, wizard Microsoft Entra Koneksi meminta penyewa Microsoft Entra Anda untuk mengambil atribut AD yang digunakan sebagai atribut sourceAnchor di penginstalan microsoft Entra Koneksi sebelumnya (jika ada). Jika informasi ini tersedia, Microsoft Entra Koneksi menggunakan atribut AD yang sama.

    Catatan

    Hanya versi Microsoft Entra Koneksi (1.1.524.0 dan setelahnya) yang lebih baru yang menyimpan informasi di penyewa Microsoft Entra Anda tentang atribut sourceAnchor yang digunakan selama penginstalan. Versi Lama Microsoft Entra Koneksi tidak.

  • Jika informasi tentang atribut sourceAnchor yang digunakan tidak tersedia, wizard akan memeriksa status atribut ms-DS-ConsistencyGuid di Active Directory lokal Anda. Jika atribut tidak dikonfigurasi pada objek apa pun di direktori, wizard akan menggunakan ms-DS-ConsistencyGuid sebagai atribut sourceAnchor. Jika atribut dikonfigurasi pada satu atau beberapa objek di direktori, wizard menyimpulkan atribut sedang digunakan oleh aplikasi lain dan tidak cocok sebagai atribut sourceAnchor...

  • Dalam hal ini, wizard akan kembali menggunakan objectGUID sebagai atribut sourceAnchor.

  • Setelah atribut sourceAnchor diputuskan, wizard menyimpan informasi di penyewa Microsoft Entra Anda. Informasi akan digunakan oleh penginstalan Microsoft Entra Koneksi di masa mendatang.

Setelah penginstalan Ekspres selesai, wizard akan memberi tahu Anda atribut mana yang telah dipilih sebagai atribut Source Anchor.

Wizard informs AD attribute picked for sourceAnchor

Penginstalan Kustom

Saat menginstal Microsoft Entra Koneksi dengan mode Kustom, wizard Microsoft Entra Koneksi menyediakan dua opsi saat mengonfigurasi atribut sourceAnchor:

Custom installation - sourceAnchor configuration

Pengaturan Deskripsi
Biarkan MICROSOFT Entra ID mengelola jangkar sumber untuk saya Pilih opsi ini jika Anda ingin MICROSOFT Entra ID memilih atribut untuk Anda. Jika Anda memilih opsi ini, wizard Microsoft Entra Koneksi menerapkan logika pemilihan atribut sourceAnchor yang sama yang digunakan selama penginstalan Ekspres. Mirip dengan penginstalan Ekspres, wizard akan memberi tahu Anda atribut mana yang telah dipilih sebagai atribut Source Anchor setelah penginstalan Kustom selesai.
Atribut tertentu Pilih opsi ini jika Anda ingin menentukan atribut AD yang ada sebagai atribut sourceAnchor.

Cara mengaktifkan fitur ConsistencyGuid - Penyebaran yang sudah ada

Jika Anda memiliki penyebaran Microsoft Entra Koneksi yang sudah ada yang menggunakan objectGUID sebagai atribut Jangkar Sumber, Anda dapat mengalihkannya ke menggunakan ConsistencyGuid sebagai gantinya.

Catatan

Hanya versi Microsoft Entra Koneksi yang lebih baru (1.1.552.0 dan setelahnya) yang mendukung peralihan dari ObjectGuid ke ConsistencyGuid sebagai atribut Source Anchor.

Untuk beralih dari objectGUID ke ConsistencyGuid sebagai atribut Source Anchor:

  1. Mulai wizard Microsoft Entra Koneksi dan klik Konfigurasi untuk masuk ke layar Tugas.

  2. Pilih opsi tugas Konfigurasi Source Anchor, lalu klik Berikutnya.

    Enable ConsistencyGuid for existing deployment - step 2

  3. Masukkan kredensial Microsoft Entra Administrator Anda dan klik Berikutnya.

  4. Wizard Microsoft Entra Koneksi menganalisis status atribut ms-DS-ConsistencyGuid di Active Directory lokal Anda. Jika atribut tidak dikonfigurasi pada objek apa pun di direktori, Microsoft Entra Koneksi menyimpulkan bahwa tidak ada aplikasi lain yang saat ini menggunakan atribut dan aman untuk menggunakannya sebagai atribut Source Anchor. Pilih Berikutnya untuk melanjutkan.

    Enable ConsistencyGuid for existing deployment - step 4

  5. Di layar Siap Dikonfigurasi, klik Konfigurasi untuk membuat perubahan konfigurasi.

    Enable ConsistencyGuid for existing deployment - step 5

  6. Setelah konfigurasi selesai, wizard menunjukkan bahwa ms-DS-ConsistencyGuid sekarang digunakan sebagai atribut Source Anchor.

    Enable ConsistencyGuid for existing deployment - step 6

Selama analisis (langkah 4), jika atribut dikonfigurasi pada satu atau lebih objek dalam direktori, wizard akan menyimpulkan bahwa atribut sedang digunakan oleh aplikasi lain dan akan mengembalikan kesalahan seperti yang diilustrasikan pada diagram di bawah ini. Kesalahan ini juga dapat terjadi jika sebelumnya Anda telah mengaktifkan fitur ConsistencyGuid di server Koneksi Microsoft Entra utama Dan Anda mencoba melakukan hal yang sama di server penahapan Anda.

Enable ConsistencyGuid for existing deployment - error

Jika Anda yakin bahwa atribut tidak digunakan oleh aplikasi lain yang ada, Anda dapat menekan kesalahan dengan memulai ulang wizard Microsoft Entra Koneksi dengan sakelar /SkipLdapSearch yang ditentukan. Untuk melakukannya, jalankan perintah berikut di perintah:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Dampak pada Layanan Federasi Direktori Aktif atau konfigurasi federasi pihak ketiga

Jika Anda menggunakan Microsoft Entra Koneksi untuk mengelola penyebaran Layanan Federasi Direktori Aktif lokal, Microsoft Entra Koneksi secara otomatis memperbarui aturan klaim untuk menggunakan atribut AD yang sama dengan sourceAnchor. Ini memastikan bahwa klaim ImmutableID yang dihasilkan oleh ADFS konsisten dengan nilai sourceAnchor yang diekspor ke ID Microsoft Entra.

Jika Anda mengelola Layanan Federasi Direktori Aktif di luar Microsoft Entra Koneksi atau Anda menggunakan server federasi pihak ketiga untuk autentikasi, Anda harus memperbarui aturan klaim secara manual untuk klaim ImmutableID agar konsisten dengan nilai sourceAnchor yang diekspor ke ID Microsoft Entra seperti yang dijelaskan di bagian artikel Mengubah aturan klaim Ad FS. Wizard mengembalikan peringatan berikut setelah penginstalan selesai:

Third-party federation configuration

Menambahkan direktori baru ke penyebaran yang ada

Misalkan Anda telah menyebarkan Microsoft Entra Koneksi dengan fitur ConsistencyGuid diaktifkan, dan sekarang Anda ingin menambahkan direktori lain ke penyebaran. Saat Anda mencoba menambahkan direktori, wizard Microsoft Entra Koneksi memeriksa status atribut ms-DS-ConsistencyGuid di direktori. Jika atribut dikonfigurasi pada satu atau lebih objek dalam direktori, wizard akan menyimpulkan bahwa atribut sedang digunakan oleh aplikasi lain dan akan mengembalikan kesalahan seperti yang diilustrasikan pada diagram di bawah ini. Jika Anda yakin bahwa atribut tidak digunakan oleh aplikasi yang ada, Anda dapat menekan kesalahan dengan memulai ulang wizard Microsoft Entra Koneksi dengan sakelar /SkipLdapSearch yang ditentukan seperti yang dijelaskan di atas atau Anda perlu menghubungi Dukungan untuk informasi selengkapnya.

Adding new directories to existing deployment

Masuk Microsoft Entra

Saat mengintegrasikan direktori lokal Anda dengan ID Microsoft Entra, penting untuk memahami bagaimana pengaturan sinkronisasi dapat memengaruhi cara pengguna mengautentikasi. MICROSOFT Entra ID menggunakan userPrincipalName (UPN) untuk mengautentikasi pengguna. Namun, saat Anda menyinkronkan pengguna, Anda harus memilih atribut yang akan digunakan untuk nilai userPrincipalName dengan hati-hati.

Memilih atribut untuk userPrincipalName

Saat Anda memilih atribut untuk memberikan nilai UPN yang akan digunakan di MICROSOFT Entra ID, seseorang harus memastikan

  • Nilai atribut sesuai dengan sintaks UPN (RFC 822), harus dalam format username@domain
  • Akhiran dalam nilai cocok dengan salah satu domain kustom terverifikasi di ID Microsoft Entra

Dalam pengaturan ekspres, pilihan yang diasumsikan untuk atribut adalah userPrincipalName. Jika atribut userPrincipalName tidak berisi nilai yang Anda inginkan untuk masuk ke ID Microsoft Entra, Maka Anda harus memilih Penginstalan Kustom.

Catatan

Praktik terbaik adalah prefiks UPN berisi lebih dari satu karakter.

Status domain kustom dan nama prinsipal pengguna

Penting untuk memastikan bahwa ada domain terverifikasi untuk akhiran UPN.

John adalah pengguna di contoso.com. Anda ingin John menggunakan UPN john@contoso.com lokal untuk masuk ke ID Microsoft Entra setelah Menyinkronkan pengguna ke direktori Microsoft Entra Anda contoso.onmicrosoft.com. Untuk melakukannya, Anda perlu menambahkan dan memverifikasi contoso.com sebagai domain kustom di ID Microsoft Entra sebelum Anda dapat mulai menyinkronkan pengguna. Jika akhiran UPN John, misalnya contoso.com, tidak cocok dengan domain terverifikasi di ID Microsoft Entra, maka ID Microsoft Entra mengganti akhiran UPN dengan contoso.onmicrosoft.com.

Domain lokal dan UPN yang tidak dapat dirutekan untuk ID Microsoft Entra

Beberapa organisasi memiliki domain yang tidak dapat dirutekan, seperti contoso.local atau domain label tunggal sederhana seperti contoso. Anda tidak dapat memverifikasi domain yang tidak dapat dirutekan di ID Microsoft Entra. Microsoft Entra Koneksi hanya dapat menyinkronkan ke domain terverifikasi di ID Microsoft Entra. Saat Anda membuat direktori Microsoft Entra, direktori tersebut membuat domain yang dapat dirutekan yang menjadi domain default untuk ID Microsoft Entra Anda misalnya, contoso.onmicrosoft.com. Oleh karena itu, menjadi penting untuk memverifikasi domain yang dapat dirutekan lainnya dalam skenario seperti itu jika Anda tidak ingin menyinkronkan ke domain onmicrosoft.com default.

Baca Menambahkan nama domain kustom Anda ke ID Microsoft Entra untuk informasi selengkapnya tentang menambahkan dan memverifikasi domain.

Microsoft Entra Koneksi mendeteksi apakah Anda menjalankan di lingkungan domain yang tidak dapat dirutekan dan akan memperingatkan Anda dengan tepat agar tidak melanjutkan pengaturan ekspres. Jika Anda beroperasi di domain yang tidak dapat dirutekan, kemungkinan UPN, pengguna juga memiliki akhiran yang tidak dapat dirutekan. Misalnya, jika Anda menjalankan di bawah contoso.local, Microsoft Entra Koneksi menyarankan Anda untuk menggunakan pengaturan kustom daripada menggunakan pengaturan ekspres. Dengan menggunakan pengaturan kustom, Anda dapat menentukan atribut yang harus digunakan sebagai UPN untuk masuk ke ID Microsoft Entra setelah pengguna disinkronkan ke ID Microsoft Entra.

Langkah berikutnya

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.