Sincronizzazione Microsoft Entra Connect: concetti tecnici

Questo articolo è un riepilogo dell'argomento Informazioni sull'architettura.

Microsoft Entra Connessione Sync si basa su una solida piattaforma di sincronizzazione metadirectory. Le sezioni seguenti presentano i concetti relativi alla sincronizzazione di metadirectory. Azure Active Directory Sync Services offre una piattaforma per la connessione alle origini dati, la sincronizzazione dei dati tra origini dati e il provisioning e il deprovisioning delle identità.

Le sezioni seguenti forniscono altri dettagli sugli aspetti seguenti del servizio di sincronizzazione:

• Connettore
• Flusso di attributi
• Spazio connettore
• Metaverse
• Provisioning

Connettore

I moduli di codice utilizzati per comunicare con una directory connessa sono chiamati connettori (definiti in precedenza agenti di gestione (MA)).

Questi vengono installati nel computer che esegue Microsoft Entra Connessione Sync. I connettori offrono la possibilità senza agente di conversare usando protocolli di sistema remoti anziché basarsi sulla distribuzione di agenti specializzati. Ciò comporta una riduzione del rischio e dei tempi di distribuzione, in particolare in caso di applicazioni e sistemi critici.

Nell'immagine precedente il connettore è sinonimo di spazio connettore, ma include tutte le comunicazioni con il sistema esterno.

Il connettore è responsabile di tutte le funzionalità di importazione ed esportazione nel sistema. Gli sviluppatori potranno quindi evitare di concentrarsi su come connettere ogni sistema in modalità nativa quando usano il provisioning dichiarativo per personalizzare le trasformazioni dei dati.

Le importazioni e le esportazioni si verificano solo quando sono pianificate, consentendo un ulteriore isolamento dalle modifiche apportate all'interno del sistema, poiché le modifiche non vengono propagate automaticamente all'origine dati connessa. Gli sviluppatori, inoltre, possono creare connettori personalizzati per connettersi praticamente a qualsiasi origine dati.

Flusso di attributi

Per metaverse si intende la visualizzazione consolidata di tutte le identità unite dagli spazi connettore vicini. Nella figura precedente il flusso di attributi è rappresentato tramite linee con frecce per il flusso in entrata e in uscita. Il flusso di attributi è il processo di copia o trasformazione dei dati da un sistema a un altro e tutti gli attributi sono associati a flussi di attributi in entrata o in uscita.

Il flusso dell'attributo si verifica in modo bidirezionale tra lo spazio connettore e il metaverse quando è pianificata l'esecuzione di operazioni di sincronizzazione (completa o delta).

Il flusso dell'attributo si verifica solo quando vengono eseguite le sincronizzazioni. I flussi di attributi sono definiti nelle regole di sincronizzazione. Le regole possono essere in entrata (ISR nella figura precedente) o in uscita (OSR nella figura precedente).

Sistema connesso

Connessione ed system fa riferimento al sistema remoto Microsoft Entra Connessione Sync è connesso a e lettura e scrittura dei dati di identità da e verso.

Spazio connettore

Ogni origine dati connessa è rappresentata come sottoinsieme filtrato di oggetti e attributi nello spazio connettore. Ciò permette al servizio di sincronizzazione di funzionare localmente, senza che sia necessario contattare il sistema remoto durante la sincronizzazione di oggetti, e limita le interazioni alle sole importazioni ed esportazioni.

Quando l'origine dati e il connettore sono in grado di fornire un elenco di modifiche (importazione delta), l'efficienza operativa aumenta in modo drastico, poiché saranno scambiate solo le modifiche successive all'ultimo ciclo di polling. Lo spazio connettore isola l'origine dati connessa dalla propagazione automatica delle modifiche, richiedendo che il connettore pianifichi le importazioni e le esportazioni. Ciò offre una maggiore sicurezza durante il test, l'anteprima o la conferma dell'aggiornamento successivo.

Metaverse

Per metaverse si intende la visualizzazione consolidata di tutte le identità unite dagli spazi connettore vicini.

Poiché le identità sono collegate tra loro e l'autorità è assegnata a diversi attributi tramite i mapping di flusso di importazione, l'oggetto metaverse centrale inizia ad aggregare informazioni da più sistemi. Da questo flusso di attributi dell'oggetto, i mapping portano le informazioni ai sistemi in uscita.

Gli oggetti sono creati quando un sistema autorevole li proietta nel metaverse. Non appena vengono rimosse tutte le connessioni, l'oggetto metaverse sarà eliminato.

Gli oggetti nel metaverse non possono essere modificati direttamente. Tutti i dati nell'oggetto devono essere forniti tramite il flusso di attributi. Il metaverse mantiene connettori permanenti con ogni spazio connettore. Questi connettori non richiedono la rivalutazione per ogni esecuzione della sincronizzazione. Ciò significa che Microsoft Entra Connessione Sync non deve individuare l'oggetto remoto corrispondente ogni volta. Sarà quindi possibile evitare la necessità di usare agenti costosi per impedire modifiche ad attributi che sarebbero normalmente responsabili della correlazione degli oggetti.

Quando si individuano nuove origini dati che possono avere oggetti preesistenti che devono essere gestiti, Microsoft Entra Connessione Sync usa un processo denominato regola di join per valutare i potenziali candidati con cui stabilire un collegamento. Dopo aver stabilito il collegamento, questa valutazione non viene eseguita di nuovo e il flusso normale degli attributi può verificarsi tra l'origine dati connessa remota e il metaverse.

Provisioning

Quando un'origine autorevole proietta un nuovo oggetto nel metaverse, un nuovo oggetto spazio connettore può essere creato in un altro connettore che rappresenta un'origine dati connessa successiva.

In questo modo sarà stabilito implicitamente un collegamento e il flusso dell'attributo potrà procedere in modo bidirezionale.

Ogni volta che una regola determina che è necessario creare un nuovo oggetto spazio connettore, viene chiamato provisioning. Tuttavia, poiché questa operazione viene eseguita solo all'interno dello spazio connettore, non viene eseguita nell'origine dati connessa fino a quando non viene eseguita un'esportazione.

Risorse aggiuntive

• Sincronizzazione di Microsoft Entra Connessione: personalizzazione delle opzioni di sincronizzazione
• Integrazione delle identità locali con Microsoft Entra ID