Azure AD Connect-synchronisatie: inzicht in de architectuur

In dit onderwerp wordt de basisarchitectuur voor Azure AD-Verbinding maken besproken. In veel opzichten is het vergelijkbaar met de voorgangers MIIS 2003, ILM 2007 en FIM 2010. Azure AD Verbinding maken sync is de evolutie van deze technologieën. Als u bekend bent met een van deze eerdere technologieën, is de inhoud van dit onderwerp u ook bekend. Als u geen tijd hebt voor synchronisatie, is dit onderwerp iets voor u. Het is echter geen vereiste om de details van dit onderwerp te kennen om aanpassingen te kunnen maken in Azure AD Verbinding maken sync (in dit onderwerp synchronisatie-engine genoemd).

Architectuur

De synchronisatie-engine maakt een geïntegreerde weergave van objecten die zijn opgeslagen in meerdere verbonden gegevensbronnen en beheert identiteitsgegevens in deze gegevensbronnen. Deze geïntegreerde weergave wordt bepaald door de identiteitsgegevens die zijn opgehaald uit verbonden gegevensbronnen en een set regels die bepalen hoe deze informatie moet worden verwerkt.

Verbonden gegevensbronnen en connectors

De synchronisatie-engine verwerkt identiteitsgegevens uit verschillende gegevens opslagplaatsen, zoals Active Directory of een SQL Server database. Elke gegevensopslagplaats die de gegevens in een database-achtige indeling organiseert en die standaardmethoden voor gegevenstoegang biedt, is een mogelijke kandidaat voor de gegevensbron voor de synchronisatie-engine. De gegevens opslagplaatsen die worden gesynchroniseerd door de synchronisatie-engine worden verbonden gegevensbronnen of verbonden directories (CD) genoemd.

De synchronisatie-engine bevat interactie met een verbonden gegevensbron in een module met de naam connector. Elk type verbonden gegevensbron heeft een specifieke connector. De connector vertaalt een vereiste bewerking in de indeling die de verbonden gegevensbron begrijpt.

Connectors maken API-aanroepen om identiteitsgegevens (zowel lezen als schrijven) uit te wisselen met een verbonden gegevensbron. Het is ook mogelijk om een aangepaste connector toe te voegen met behulp van het extensible connectivity-framework. In de volgende afbeelding ziet u hoe een connector een verbonden gegevensbron verbindt met de synchronisatie-engine.

Diagram met een verbonden gegevensbron en een synchronisatie-engine die is gekoppeld door een regel met de naam Connector.

Gegevens kunnen in beide richtingen stromen, maar ze kunnen niet in beide richtingen tegelijk stromen. Met andere woorden, een connector kan zo worden geconfigureerd dat gegevens van de verbonden gegevensbron naar de synchronisatie-engine of van de synchronisatie-engine naar de verbonden gegevensbron stromen, maar er kan slechts één van deze bewerkingen tegelijk plaatsvinden voor één object en kenmerk. De richting kan verschillen voor verschillende objecten en voor verschillende kenmerken.

Als u een connector wilt configureren, geeft u de objecttypen op die u wilt synchroniseren. Het opgeven van de objecttypen definieert het bereik van objecten die zijn opgenomen in het synchronisatieproces. De volgende stap is het selecteren van de kenmerken die moeten worden gesynchroniseerd. Dit wordt ook wel een opnamelijst met kenmerken genoemd. Deze instellingen kunnen op elk moment worden gewijzigd als reactie op wijzigingen in uw bedrijfsregels. Wanneer u de installatiewizard Verbinding maken Azure AD gebruikt, worden deze instellingen voor u geconfigureerd.

Als u objecten wilt exporteren naar een verbonden gegevensbron, moet de opnamelijst met kenmerken ten minste de minimale kenmerken bevatten die vereist zijn voor het maken van een specifiek objecttype in een verbonden gegevensbron. Het kenmerk sAMAccountName moet bijvoorbeeld worden opgenomen in de lijst met kenmerken voor het exporteren van een gebruikersobject naar Active Directory, omdat voor alle gebruikersobjecten in Active Directory een kenmerk sAMAccountName moet zijn gedefinieerd. De installatiewizard doet deze configuratie opnieuw voor u.

Als de verbonden gegevensbron structurele onderdelen gebruikt, zoals partities of containers om objecten te organiseren, kunt u de gebieden in de verbonden gegevensbron beperken die worden gebruikt voor een bepaalde oplossing.

Interne structuur van de naamruimte van de synchronisatie-engine

De volledige naamruimte van de synchronisatie-engine bestaat uit twee naamruimten die de identiteitsgegevens opslaan. De twee naamruimten zijn:

  • De connectorruimte (CS)
  • De metaverse (MV)

De connectorruimte is een faseringsgebied dat representaties bevat van de aangewezen objecten uit een verbonden gegevensbron en de kenmerken die zijn opgegeven in de lijst met kenmerkinsluitingen. De synchronisatie-engine gebruikt de connectorruimte om te bepalen wat er is gewijzigd in de verbonden gegevensbron en om binnenkomende wijzigingen te faseeren. De synchronisatie-engine maakt ook gebruik van de connectorruimte om uitgaande wijzigingen te faseeren voor export naar de verbonden gegevensbron. De synchronisatie-engine onderhoudt een afzonderlijke connectorruimte als een faseringsgebied voor elke connector.

Door een faseringsgebied te gebruiken, blijft de synchronisatie-engine onafhankelijk van de verbonden gegevensbronnen en wordt deze niet beïnvloed door hun beschikbaarheid en toegankelijkheid. Als gevolg hiervan kunt u identiteitsgegevens op elk moment verwerken met behulp van de gegevens in het faseringsgebied. De synchronisatie-engine kan alleen de wijzigingen aanvragen die zijn aangebracht in de verbonden gegevensbron sinds het beëindigen van de laatste communicatiesessie of alleen de wijzigingen naar identiteitsgegevens pushen die de verbonden gegevensbron nog niet heeft ontvangen, waardoor het netwerkverkeer tussen de synchronisatie-engine en de verbonden gegevensbron wordt beperkt.

Bovendien slaat de synchronisatie-engine statusinformatie op over alle objecten die het in de connectorruimte faseeert. Wanneer er nieuwe gegevens worden ontvangen, evalueert de synchronisatie-engine altijd of de gegevens al zijn gesynchroniseerd.

De metaverse is een opslaggebied dat de geaggregeerde identiteitsgegevens uit meerdere verbonden gegevensbronnen bevat, waardoor één globale, geïntegreerde weergave van alle gecombineerde objecten wordt gegeven. Metaverse-objecten worden gemaakt op basis van de identiteitsgegevens die worden opgehaald uit de verbonden gegevensbronnen en een set regels waarmee u het synchronisatieproces kunt aanpassen.

In de volgende afbeelding ziet u de naamruimte van de connector en de metaversenaamruimte in de synchronisatie-engine.

Diagram met een verbonden gegevensbron en een synchronisatie-engine, die zijn gescheiden in connectorruimte en metaverse-naamruimten, gekoppeld door een regel met de naam Connector.

Identiteitsobjecten van synchronisatie-engine

De objecten in de synchronisatie-engine zijn weergaven van objecten in de verbonden gegevensbron of de geïntegreerde weergave die de synchronisatie-engine van deze objecten heeft. Elk synchronisatie-engineobject moet een globally unique identifier (GUID) hebben. GUID's bieden gegevensintegriteit en express-relaties tussen objecten.

Connectorruimteobjecten

Wanneer de synchronisatie-engine communiceert met een verbonden gegevensbron, leest deze de identiteitsgegevens in de verbonden gegevensbron en gebruikt deze informatie om een weergave van het identiteitsobject in de connectorruimte te maken. U kunt deze objecten niet afzonderlijk maken of verwijderen. U kunt echter handmatig alle objecten in een connectorruimte verwijderen.

Alle objecten in de connectorruimte hebben twee kenmerken:

  • Een wereldwijd unieke id (GUID)
  • Een DN-naam (ook wel DN genoemd)

Als de verbonden gegevensbron een uniek kenmerk toewijst aan het object, kunnen objecten in de connectorruimte ook een ankerkenmerk hebben. Het ankerkenmerk identificeert een object op unieke manier in de verbonden gegevensbron. De synchronisatie-engine gebruikt het anker om de bijbehorende weergave van dit object in de verbonden gegevensbron te vinden. Synchronisatie-engine gaat ervan uit dat het anker van een object nooit verandert gedurende de levensduur van het object.

Veel connectors gebruiken een bekende unieke id om automatisch een anker te genereren voor elk object wanneer het wordt geïmporteerd. De Active Directory-connector gebruikt bijvoorbeeld het kenmerk objectGUID voor een anker. Voor verbonden gegevensbronnen die geen duidelijk gedefinieerde unieke id bieden, kunt u het genereren van ankers opgeven als onderdeel van de connectorconfiguratie.

In dat geval wordt het anker gebouwd op een of meer unieke kenmerken van een objecttype, waarbij geen van beide wordt gewijzigd en waarmee het object uniek wordt geïdentificeerd in de connectorruimte (bijvoorbeeld een werknemersnummer of een gebruikers-id).

Een connectorruimteobject kan een van de volgende zijn:

  • Een faseringsobject
  • Een tijdelijke aanduiding

Faseringsobjecten

Een faseringsobject vertegenwoordigt een exemplaar van de aangewezen objecttypen uit de verbonden gegevensbron. Naast de GUID en de DN-naam heeft een faseringsobject altijd een waarde die het objecttype aangeeft.

Faseringsobjecten die zijn geïmporteerd, hebben altijd een waarde voor het ankerkenmerk. Faseringsobjecten die nieuw zijn ingericht door de synchronisatie-engine en die in de verbonden gegevensbron worden gemaakt, hebben geen waarde voor het ankerkenmerk.

Faseringsobjecten bevatten ook de huidige waarden van bedrijfskenmerken en operationele informatie die nodig is voor de synchronisatie-engine om het synchronisatieproces uit te voeren. Operationele informatie bevat vlaggen die het type updates aangeven dat wordt gefaseerd op het faseringsobject. Als een faseringsobject nieuwe identiteitsgegevens heeft ontvangen van de verbonden gegevensbron die nog niet is verwerkt, wordt het object gemarkeerd als import in behandeling. Als een faseringsobject nieuwe identiteitsgegevens heeft die nog niet naar de verbonden gegevensbron zijn geëxporteerd, wordt dit gemarkeerd als export in behandeling.

Een faseringsobject kan een importobject of een exportobject zijn. De synchronisatie-engine maakt een importobject met behulp van objectgegevens die zijn ontvangen van de verbonden gegevensbron. Wanneer de synchronisatie-engine informatie ontvangt over het bestaan van een nieuw object dat overeenkomt met een van de objecttypen die zijn geselecteerd in de connector, wordt er een importobject gemaakt in de connectorruimte als een weergave van het object in de verbonden gegevensbron.

In de volgende afbeelding ziet u een importobject dat een object in de verbonden gegevensbron vertegenwoordigt.

Diagram met een importobject dat vanuit de verbonden gegevensbron naar de naamruimte van de connectorruimte in de synchronisatie-engine wordt gebracht.

De synchronisatie-engine maakt een exportobject met behulp van objectgegevens in de metaverse. Exportobjecten worden geëxporteerd naar de verbonden gegevensbron tijdens de volgende communicatiesessie. Vanuit het perspectief van de synchronisatie-engine bestaan exportobjecten nog niet in de verbonden gegevensbron. Daarom is het ankerkenmerk voor een exportobject niet beschikbaar. Nadat het object van de synchronisatie-engine is ontvangen, maakt de verbonden gegevensbron een unieke waarde voor het ankerkenmerk van het object.

In de volgende afbeelding ziet u hoe een exportobject wordt gemaakt met behulp van identiteitsgegevens in de metaverse.

Diagram met een exportobject dat vanuit de metaverse wordt gebracht naar de naamruimte van de connector en vervolgens naar de verbonden gegevensbron.

De synchronisatie-engine bevestigt de export van het object door het object opnieuw te importeren uit de verbonden gegevensbron. Exportobjecten worden importobjecten wanneer de synchronisatie-engine deze ontvangt tijdens de volgende import vanuit die verbonden gegevensbron.

Tijdelijke aanduidingen

De synchronisatie-engine gebruikt een platte naamruimte om objecten op te slaan. Sommige verbonden gegevensbronnen, zoals Active Directory, gebruiken echter een hiërarchische naamruimte. Om informatie van een hiërarchische naamruimte te transformeren naar een platte naamruimte, gebruikt de synchronisatie-engine tijdelijke aanduidingen om de hiërarchie te behouden.

Elke tijdelijke aanduiding vertegenwoordigt een onderdeel (bijvoorbeeld een organisatie-eenheid) van de hiërarchische naam van een object dat niet is geïmporteerd in de synchronisatie-engine, maar vereist is om de hiërarchische naam te maken. Ze vullen hiaten op die zijn gemaakt door verwijzingen in de verbonden gegevensbron naar objecten die geen faseringsobjecten in de connectorruimte zijn.

De synchronisatie-engine gebruikt ook tijdelijke aanduidingen voor het opslaan van objecten waarnaar wordt verwezen en die nog niet zijn geïmporteerd. Als synchronisatie bijvoorbeeld is geconfigureerd voor het opnemen van het managerkenmerk voor het Object AbbieFp en de ontvangen waarde een object is dat nog niet is geïmporteerd, zoals CN=Lee Sperry,CN=Users,DC=fabrikam,DC=com, worden de managergegevens opgeslagen als tijdelijke aanduidingen in de connectorruimte. Als het managerobject later wordt geïmporteerd, wordt het tijdelijke object overschreven door het faseringsobject dat de manager vertegenwoordigt.

Metaverse-objecten

Een metaverse-object bevat de geaggregeerde weergave die de synchronisatie-engine heeft van de faseringsobjecten in de connectorruimte. Synchronisatie-engine maakt metaverse-objecten met behulp van de informatie in importobjecten. Verschillende connectorruimteobjecten kunnen worden gekoppeld aan één metaverseobject, maar een connectorruimteobject kan niet worden gekoppeld aan meer dan één metaverseobject.

Metaverse-objecten kunnen niet handmatig worden gemaakt of verwijderd. De synchronisatie-engine verwijdert automatisch metaverseobjecten die geen koppeling hebben naar een connectorruimteobject in de connectorruimte.

Synchronisatie-engine biedt een extensible schema met een vooraf gedefinieerde set objecttypen en gekoppelde kenmerken om objecten binnen een verbonden gegevensbron toe te wijsen aan een bijbehorend objecttype binnen de metaverse. U kunt nieuwe objecttypen en -kenmerken maken voor metaverse-objecten. Kenmerken kunnen uit één waarde of met meerdere waarden bestaan en de kenmerktypen kunnen tekenreeksen, verwijzingen, getallen en Booleaanse waarden zijn.

Relaties tussen faseringsobjecten en metaverse-objecten

Binnen de naamruimte van de synchronisatie-engine wordt de gegevensstroom ingeschakeld door de koppelingsrelatie tussen faseringsobjecten en metaverse-objecten. Een faseringsobject dat is gekoppeld aan een metaverse-object wordt een gekoppeld object (of connectorobject) genoemd. Een faseringsobject dat niet is gekoppeld aan een metaverse-object, wordt een niet-aaneengekoppeld object (of disconnector-object) genoemd. De termen gekoppeld en ontvoegd mogen het beste niet worden verward met de connectors die verantwoordelijk zijn voor het importeren en exporteren van gegevens uit een verbonden directory.

Tijdelijke aanduidingen zijn nooit gekoppeld aan een metaverse-object

Een gekoppeld object bestaat uit een faseringsobject en de gekoppelde relatie met één metaverse-object. Samengevoegde objecten worden gebruikt om kenmerkwaarden te synchroniseren tussen een connectorruimteobject en een metaverse-object.

Wanneer een faseringsobject een samengevoegd object wordt tijdens de synchronisatie, kunnen kenmerken stromen tussen het faseringsobject en het metaverse-object. Kenmerkstroom is bidirectioneel en wordt geconfigureerd met behulp van kenmerkregels voor importeren en kenmerkregels exporteren.

Eén connectorruimteobject kan worden gekoppeld aan slechts één metaverseobject. Elk metaverseobject kan echter worden gekoppeld aan meerdere connectorruimteobjecten in dezelfde of in verschillende connectorruimten, zoals wordt weergegeven in de volgende afbeelding.

Diagram toont twee verbonden gegevensobjecten die door connectors zijn gekoppeld aan een synchronisatie-engine, die objecten en een niet-aaneengevoegd object heeft gekoppeld.

De gekoppelde relatie tussen het faseringsobject en een metaverse-object is permanent en kan alleen worden verwijderd door regels die u opgeeft.

Een niet-aaneenge koppelen object is een faseringsobject dat niet is gekoppeld aan een metaverse-object. De kenmerkwaarden van een niet-aaneengeeerd object worden niet verder verwerkt binnen de metaverse. De kenmerkwaarden van het bijbehorende object in de verbonden gegevensbron worden niet bijgewerkt door de synchronisatie-engine.

Door niet-aaneengeketende objecten te gebruiken, kunt u identiteitsgegevens opslaan in de synchronisatie-engine en deze later verwerken. Het behouden van een faseringsobject als een niet-aaneenge sluitend object in de connectorruimte heeft veel voordelen. Omdat het systeem de vereiste informatie over dit object al heeft gefaseerd, is het niet nodig om opnieuw een weergave van dit object te maken tijdens de volgende import vanuit de verbonden gegevensbron. Op deze manier beschikt de synchronisatie-engine altijd over een volledige momentopname van de verbonden gegevensbron, zelfs als er geen actuele verbinding is met de verbonden gegevensbron. Niet-samengevoegde objecten kunnen worden geconverteerd naar samengevoegde objecten en omgekeerd, afhankelijk van de regels die u opgeeft.

Een importobject wordt gemaakt als een niet-aaneengeeerd object. Een exportobject moet een samengevoegd object zijn. De systeemlogica dwingt deze regel af en verwijdert elk exportobject dat geen lid is van het object.

Identiteitsbeheerproces van synchronisatie-engine

Het identiteitsbeheerproces bepaalt hoe identiteitsgegevens worden bijgewerkt tussen verschillende verbonden gegevensbronnen. Identiteitsbeheer vindt plaats in drie processen:

  • Importeren
  • Synchronisatie
  • Exporteren

Tijdens het importproces evalueert de synchronisatie-engine de binnenkomende identiteitsgegevens van een verbonden gegevensbron. Wanneer er wijzigingen worden gedetecteerd, worden er nieuwe faseringsobjecten gemaakt of worden bestaande faseringsobjecten in de connectorruimte bijgewerkt voor synchronisatie.

Tijdens het synchronisatieproces werkt de synchronisatie-engine de metaverse bij met wijzigingen die zijn opgetreden in de connectorruimte en werkt de connectorruimte bij om wijzigingen weer te geven die in de metaverse zijn opgetreden.

Tijdens het exportproces pusht de synchronisatie-engine wijzigingen die zijn gefaseerd op faseringsobjecten en die zijn gemarkeerd als export in behandeling.

In de volgende afbeelding ziet u waar elk van de processen plaatsvindt wanneer identiteitsgegevens van de ene verbonden gegevensbron naar de andere stromen.

Diagram toont de stroom identiteitsgegevens van verbonden gegevens naar connectorruimte (importeren) naar metaverse naar connectorruimte (synchronisatie) naar verbonden gegevens (exporteren).

Importproces

Tijdens het importproces evalueert de synchronisatie-engine updates van identiteitsgegevens. De synchronisatie-engine vergelijkt de identiteitsgegevens die van de verbonden gegevensbron zijn ontvangen met de identiteitsinformatie over een faseringsobject en bepaalt of het faseringsobject updates vereist. Als het faseringsobject moet worden bijgewerkt met nieuwe gegevens, wordt het faseringsobject gemarkeerd als in behandeling zijnde import.

Door objecten in de connectorruimte te faseren vóór synchronisatie, kan de synchronisatie-engine alleen de identiteitsgegevens verwerken die zijn gewijzigd. Dit proces biedt de volgende voordelen:

  • Efficiënte synchronisatie. De hoeveelheid gegevens die tijdens de synchronisatie wordt verwerkt, wordt geminimaliseerd.
  • Efficiënte hersynchronisatie. U kunt wijzigen hoe de synchronisatie-engine identiteitsgegevens verwerkt zonder de synchronisatie-engine opnieuw te verbinden met de gegevensbron.
  • Mogelijkheid om een voorbeeld van synchronisatie te bekijken. U kunt een voorbeeld van synchronisatie bekijken om te controleren of uw veronderstellingen over het identiteitsbeheerproces juist zijn.

Voor elk object dat is opgegeven in de connector, probeert de synchronisatie-engine eerst een weergave van het object te vinden in het connectorruimte van de connector. De synchronisatie-engine onderzoekt alle faseringsobjecten in de connectorruimte en probeert een bijbehorend faseringsobject te vinden dat een overeenkomend ankerkenmerk heeft. Als geen bestaand faseringsobject een overeenkomend ankerkenmerk heeft, probeert de synchronisatie-engine een bijbehorend faseringsobject met dezelfde DN-naam te vinden.

Wanneer de synchronisatie-engine een faseringsobject vindt dat overeenkomt met een DN-naam, maar niet door anker, treedt het volgende speciale gedrag op:

  • Als het object in de connectorruimte geen anker heeft, verwijdert de synchronisatie-engine dit object uit de connectorruimte en markeert het metaverse-object waar het aan is gekoppeld als opnieuw proberen in terichten bij de volgende synchronisatie. Vervolgens wordt het nieuwe importobject gemaakt.
  • Als het object in de connectorruimte een anker heeft, gaat de synchronisatie-engine ervan uit dat dit object de naam van dit object heeft gewijzigd of verwijderd in de verbonden map. Er wordt een tijdelijke, nieuwe DN-naam toegewezen voor het connectorruimteobject, zodat het binnenkomende object kan worden gefaseeerd. Het oude object wordt vervolgens tijdelijk en wacht tot de connector de naam of verwijdering heeft geïmporteerd om de situatie op te lossen.

Als de synchronisatie-engine een faseringsobject zoekt dat overeenkomt met het object dat is opgegeven in de connector, wordt bepaald welk soort wijzigingen moeten worden toegepast. Synchronisatie-engine kan bijvoorbeeld de naam van het object in de verbonden gegevensbron wijzigen of verwijderen, of alleen de kenmerkwaarden van het object bijwerken.

Faseringsobjecten met bijgewerkte gegevens worden gemarkeerd als import in behandeling. Er zijn verschillende typen in behandeling zijnde importen beschikbaar. Afhankelijk van het resultaat van het importproces heeft een faseringsobject in de connectorruimte een van de volgende importtypen in behandeling:

  • Geen. Er zijn geen wijzigingen in een van de kenmerken van het faseringsobject beschikbaar. De synchronisatie-engine geeft dit type niet aan als import in behandeling.
  • Voeg toe. Het faseringsobject is een nieuw importobject in de connectorruimte. Synchronisatie-engine markeert dit type als in behandeling zijnde import voor aanvullende verwerking in de metaverse.
  • Werk bij. De synchronisatie-engine zoekt een bijbehorend faseringsobject in de connectorruimte en markeert dit type als in behandeling zijnde import, zodat updates van de kenmerken in de metaverse kunnen worden verwerkt. Updates omvatten het wijzigen van de naam van objecten.
  • Delete. De synchronisatie-engine zoekt een bijbehorend faseringsobject in de connectorruimte en markeert dit type als in behandeling zijnde import, zodat het samengevoegde object kan worden verwijderd.
  • Verwijderen/toevoegen. De synchronisatie-engine vindt een bijbehorend faseringsobject in de connectorruimte, maar de objecttypen komen niet overeen. In dit geval wordt een wijziging delete-add gefaseerd. Een wijziging delete-add geeft aan de synchronisatie-engine aan dat een volledige hersynchronisatie van dit object moet plaatsvinden omdat verschillende sets regels op dit object van toepassing zijn wanneer het objecttype verandert.

Door de importstatus in behandeling van een faseringsobject in te stellen, is het mogelijk om de hoeveelheid gegevens die tijdens de synchronisatie wordt verwerkt aanzienlijk te verminderen, omdat het systeem hierdoor alleen de objecten kan verwerken die bijgewerkte gegevens hebben.

Synchronisatieproces

Synchronisatie bestaat uit twee gerelateerde processen:

  • Inkomende synchronisatie, wanneer de inhoud van de metaverse wordt bijgewerkt met behulp van de gegevens in het connectorruimte.
  • Uitgaande synchronisatie, wanneer de inhoud van de connectorruimte wordt bijgewerkt met behulp van gegevens in de metaverse.

Door gebruik te maken van de informatie die is gefaseerd in de connectorruimte, maakt het inkomende synchronisatieproces een geïntegreerde weergave van de gegevens in de metaverse die is opgeslagen in de verbonden gegevensbronnen. Alle faseringsobjecten of alleen objecten met een in behandeling zijnde importgegevens worden geaggregeerd, afhankelijk van hoe de regels zijn geconfigureerd.

Met het uitgaande synchronisatieproces worden exportobjecten bijgewerkt wanneer metaverseobjecten worden gewijzigd.

Met binnenkomende synchronisatie wordt de geïntegreerde weergave gemaakt in de metaverse van de identiteitsgegevens die worden ontvangen van de verbonden gegevensbronnen. De synchronisatie-engine kan identiteitsgegevens op elk moment verwerken met behulp van de meest recente identiteitsgegevens van de verbonden gegevensbron.

Binnenkomende synchronisatie

Inkomende synchronisatie omvat de volgende processen:

  • Inrichten (ook wel Projectie genoemd als het belangrijk is om dit proces te onderscheiden van het inrichten van uitgaande synchronisatie). De Synchronisatie-engine maakt een nieuw metaverse-object op basis van een faseringsobject en koppelt deze. Inrichten is een bewerking op objectniveau.
  • Voeg toe aan . De synchronisatie-engine koppelt een faseringsobject aan een bestaand metaverse-object. Een join is een bewerking op objectniveau.
  • Kenmerkstroom importeren. Synchronisatie-engine werkt de kenmerkwaarden, kenmerkstroom genoemd, bij van het object in de metaverse. De importkenmerkstroom is een bewerking op kenmerkniveau die een koppeling vereist tussen een faseringsobject en een metaverse-object.

Inrichten is het enige proces dat objecten maakt in de metaverse. Inrichten is alleen van invloed op importobjecten die niet-aaneenge dus geen objecten zijn. Tijdens het inrichten maakt de synchronisatie-engine een metaverse-object dat overeenkomt met het objecttype van het importobject en brengt het een koppeling tot leven tussen beide objecten, waardoor een gekoppeld object wordt gemaakt.

Het join-proces brengt ook een koppeling tot leven tussen importobjecten en een metaverse-object. Het verschil tussen koppelen en inrichten is dat het join-proces vereist dat het importobject is gekoppeld aan een bestaand metaverseobject, waarbij het inrichtingsproces een nieuw metaverseobject maakt.

Synchronisatie-engine probeert een importobject aan een metaverse-object toe te sluiten met behulp van criteria die zijn opgegeven in de configuratie van de synchronisatieregel.

Tijdens de inrichtings- en samenvoegingsprocessen koppelt de synchronisatie-engine een niet-aaneengevoegd object aan een metaverse-object, waardoor ze worden samengevoegd. Nadat deze bewerkingen op objectniveau zijn voltooid, kan de synchronisatie-engine de kenmerkwaarden van het gekoppelde metaverseobject bijwerken. Dit proces wordt een importkenmerkstroom genoemd.

De importkenmerkstroom vindt plaats op alle importobjecten die nieuwe gegevens bevatten en zijn gekoppeld aan een metaverseobject.

Uitgaande synchronisatie

Met uitgaande synchronisatie worden exportobjecten bijgewerkt wanneer een metaverseobject wordt gewijzigd, maar niet wordt verwijderd. Het doel van uitgaande synchronisatie is om te evalueren of wijzigingen in metaverseobjecten updates vereisen voor faseringsobjecten in de connectorruimten. In sommige gevallen kunnen de wijzigingen vereisen dat faseringsobjecten in alle connectorruimten worden bijgewerkt. Faseringsobjecten die worden gewijzigd, worden gemarkeerd als export in behandeling, waardoor ze objecten exporteren. Deze exportobjecten worden later naar de verbonden gegevensbron ge pusht tijdens het exportproces.

Uitgaande synchronisatie heeft drie processen:

  • Inrichten
  • Deprovisioning
  • Kenmerkstroom exporteren

Inrichting en de inrichting van de inrichting zijn beide bewerkingen op objectniveau. De inrichting van de inrichting is afhankelijk van inrichting, omdat alleen inrichting dit kan initiëren. De inrichting wordt geactiveerd wanneer met het inrichten de koppeling tussen een metaverseobject en een exportobject wordt verwijderd.

Inrichting wordt altijd geactiveerd wanneer wijzigingen worden toegepast op objecten in de metaverse. Wanneer er wijzigingen worden aangebracht in metaverse-objecten, kan de synchronisatie-engine een van de volgende taken uitvoeren als onderdeel van het inrichtingsproces:

  • Maak gekoppelde objecten, waarbij een metaverseobject is gekoppeld aan een nieuw gemaakt exportobject.
  • Wijzig de naam van een samengevoegd object.
  • Koppel de koppelingen tussen een metaverse-object en faseringsobjecten los, waardoor een niet-aaneengeeerd object wordt gemaakt.

Als voor het inrichten van een synchronisatie-engine een nieuw connectorobject moet worden gemaakt, is het faseringsobject waaraan het metaverseobject is gekoppeld altijd een exportobject, omdat het object nog niet bestaat in de verbonden gegevensbron.

Als voor het inrichten is vereist dat de synchronisatie-engine een samengevoegd object ontvoegt en een niet-aaneengevoegd object maakt, wordt de inrichting van het object geactiveerd. Tijdens het uitprovisioningsproces wordt het object verwijderd.

Als u een exportobject verwijdert tijdens het verwijderen van deprovisioning, wordt het object niet fysiek verwijderd. Het object wordt gemarkeerd als verwijderd, wat betekent dat de verwijderbewerking op het object is gefaseerd.

Kenmerkstroom exporteren treedt ook op tijdens het uitgaande synchronisatieproces, vergelijkbaar met de manier waarop de importkenmerkstroom plaatsvindt tijdens de binnenkomende synchronisatie. Kenmerkstroom exporteren treedt alleen op tussen metaverse- en exportobjecten die zijn samengevoegd.

Exportproces

Tijdens het exportproces onderzoekt de synchronisatie-engine alle exportobjecten die zijn gemarkeerd als export in behandeling in de connectorruimte en verzendt vervolgens updates naar de verbonden gegevensbron.

De synchronisatie-engine kan het succes van een export bepalen, maar kan niet voldoende bepalen of het identiteitsbeheerproces is voltooid. Objecten in de verbonden gegevensbron kunnen altijd door andere processen worden gewijzigd. Omdat de synchronisatie-engine geen permanente verbinding heeft met de verbonden gegevensbron, is het niet voldoende om veronderstellingen over de eigenschappen van een object in de verbonden gegevensbron te doen, alleen op basis van een geslaagde exportmelding.

Een proces in de verbonden gegevensbron kan bijvoorbeeld de kenmerken van het object terug wijzigen in de oorspronkelijke waarden (dat wil zeggen, de verbonden gegevensbron kan de waarden overschrijven onmiddellijk nadat de gegevens door de synchronisatie-engine zijn ge pusht en succesvol zijn toegepast in de verbonden gegevensbron).

De synchronisatie-engine slaat statusinformatie over exporteren en importeren op over elk faseringsobject. Als de waarden van de kenmerken die zijn opgegeven in de lijst met kenmerken zijn gewijzigd sinds de laatste export, kan de synchronisatie-engine op de juiste manier reageren met de opslag van de import- en exportstatus. De synchronisatie-engine gebruikt het importproces om kenmerkwaarden te bevestigen die zijn geëxporteerd naar de verbonden gegevensbron. Een vergelijking tussen de geïmporteerde en geëxporteerde gegevens, zoals wordt weergegeven in de volgende afbeelding, stelt de synchronisatie-engine in staat om te bepalen of de export is geslaagd of dat deze moet worden herhaald.

Diagram met de synchronisatie van een object tussen connectorruimte en verbonden gegevens via de connector.

Als de synchronisatie-engine bijvoorbeeld kenmerk C, met een waarde van 5, exporteert naar een verbonden gegevensbron, wordt C=5 opgeslagen in het geheugen van de exportstatus. Elke extra export op dit object resulteert in een poging C=5 opnieuw te exporteren naar de verbonden gegevensbron, omdat de synchronisatie-engine ervan uit gaat dat deze waarde niet permanent is toegepast op het object (dat wil zeggen, tenzij onlangs een andere waarde is geïmporteerd uit de verbonden gegevensbron). Het exportgeheugen wordt gew cleared wanneer C=5 wordt ontvangen tijdens een importbewerking op het -object.

Volgende stappen

Meer informatie over de Configuratie van Azure AD Verbinding maken-synchronisatie.

Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.