Microsoft Entra Connect Sync: inzicht in de architectuur

  • Artikel

In dit onderwerp wordt de basisarchitectuur voor Microsoft Entra Verbinding maken Sync besproken. Als u bekend bent met eerdere technologieën voor identiteitssynchronisatie, zal de inhoud van dit onderwerp u ook vertrouwd zijn. Als synchronisatie nieuw voor u is, is dit onderwerp bedoeld voor u. Het is echter geen vereiste om te weten wat de details van dit onderwerp zijn om met succes aanpassingen te kunnen maken aan Microsoft Entra Verbinding maken Sync (ook wel synchronisatie-engine genoemd in dit onderwerp).

Architectuur

De synchronisatie-engine maakt een geïntegreerde weergave van objecten die zijn opgeslagen in meerdere verbonden gegevensbronnen en beheert identiteitsgegevens in die gegevensbronnen. Deze geïntegreerde weergave wordt bepaald door de identiteitsgegevens die zijn opgehaald uit verbonden gegevensbronnen en een set regels waarmee wordt bepaald hoe deze informatie moet worden verwerkt.

Verbonden gegevensbronnen en connectors

De synchronisatie-engine verwerkt identiteitsgegevens uit verschillende gegevensopslagplaatsen, zoals Active Directory of een SQL Server-database. Elke gegevensopslagplaats die de gegevens in een databaseachtige indeling organiseert en die standaardmethoden voor gegevenstoegang biedt, is een potentiële gegevensbronkandidaat voor de synchronisatie-engine. De gegevensopslagplaatsen die door de synchronisatie-engine worden gesynchroniseerd, worden verbonden gegevensbronnen of verbonden mappen (CD) genoemd.

De synchronisatie-engine omvat interactie met een verbonden gegevensbron in een module die een connector wordt genoemd. Elk type verbonden gegevensbron heeft een specifieke connector. De connector zet een vereiste bewerking om in de indeling die de verbonden gegevensbron begrijpt.

Connectors voeren API-aanroepen uit om identiteitsgegevens (zowel lezen als schrijven) uit te wisselen met een verbonden gegevensbron. Het is ook mogelijk om een aangepaste connector toe te voegen met behulp van het uitbreidbare connectiviteitsframework. Op de volgende afbeelding ziet u hoe een connector een verbonden gegevensbron verbindt met de synchronisatie-engine.

Diagram shows a connected data source and a sync engine associated by a line called Connector.

Gegevens kunnen in beide richtingen stromen, maar ze kunnen niet tegelijkertijd in beide richtingen stromen. Met andere woorden, een connector kan zo worden geconfigureerd dat gegevens van de verbonden gegevensbron naar de synchronisatie-engine kunnen stromen of van de synchronisatie-engine naar de verbonden gegevensbron, maar slechts één van deze bewerkingen kan op elk moment plaatsvinden voor één object en kenmerk. De richting kan verschillen voor verschillende objecten en voor verschillende kenmerken.

Als u een connector wilt configureren, geeft u de objecttypen op die u wilt synchroniseren. Met het opgeven van de objecttypen wordt het bereik gedefinieerd van objecten die zijn opgenomen in het synchronisatieproces. De volgende stap bestaat uit het selecteren van de kenmerken die moeten worden gesynchroniseerd. Dit wordt ook wel een lijst met kenmerkopnamen genoemd. Deze instellingen kunnen op elk gewenst moment worden gewijzigd als reactie op wijzigingen in uw bedrijfsregels. Wanneer u de installatiewizard van Microsoft Entra Verbinding maken gebruikt, worden deze instellingen voor u geconfigureerd.

Als u objecten wilt exporteren naar een verbonden gegevensbron, moet de lijst met kenmerken ten minste de minimale kenmerken bevatten die vereist zijn voor het maken van een specifiek objecttype in een verbonden gegevensbron. Het kenmerk sAMAccountName moet bijvoorbeeld worden opgenomen in de lijst met kenmerkopnamen om een gebruikersobject te exporteren naar Active Directory, omdat voor alle gebruikersobjecten in Active Directory het kenmerk sAMAccountName moet zijn gedefinieerd. Nogmaals, de installatiewizard voert deze configuratie voor u uit.

Als de verbonden gegevensbron structurele onderdelen gebruikt, zoals partities of containers om objecten te ordenen, kunt u de gebieden in de verbonden gegevensbron die worden gebruikt voor een bepaalde oplossing beperken.

Interne structuur van de naamruimte van de synchronisatie-engine

De volledige naamruimte van de synchronisatie-engine bestaat uit twee naamruimten waarin de identiteitsgegevens worden opgeslagen. De twee naamruimten zijn:

  • De connectorruimte (CS)
  • De metaverse (MV)

De connectorruimte is een faseringsgebied dat weergaven bevat van de aangewezen objecten uit een verbonden gegevensbron en de kenmerken die zijn opgegeven in de lijst met kenmerkopnamen. De synchronisatie-engine maakt gebruik van de connectorruimte om te bepalen wat er in de verbonden gegevensbron is gewijzigd en om binnenkomende wijzigingen te faseren. De synchronisatie-engine maakt ook gebruik van de connectorruimte om uitgaande wijzigingen voor export naar de verbonden gegevensbron uit te voeren. De synchronisatie-engine beheert een afzonderlijke connectorruimte als faseringsgebied voor elke connector.

Door een faseringsgebied te gebruiken, blijft de synchronisatie-engine onafhankelijk van de verbonden gegevensbronnen en wordt deze niet beïnvloed door de beschikbaarheid en toegankelijkheid ervan. Als gevolg hiervan kunt u op elk gewenst moment identiteitsgegevens verwerken met behulp van de gegevens in het faseringsgebied. De synchronisatie-engine kan alleen de wijzigingen aanvragen die in de verbonden gegevensbron zijn aangebracht sinds de laatste communicatiesessie is beëindigd of alleen de wijzigingen naar identiteitsgegevens pushen die de verbonden gegevensbron nog niet heeft ontvangen. Hierdoor wordt het netwerkverkeer tussen de synchronisatie-engine en de verbonden gegevensbron verminderd.

Daarnaast slaat de synchronisatie-engine statusinformatie op over alle objecten die worden gefaseerd in de connectorruimte. Wanneer er nieuwe gegevens worden ontvangen, evalueert de synchronisatie-engine altijd of de gegevens al zijn gesynchroniseerd.

De metaverse is een opslaggebied dat de geaggregeerde identiteitsgegevens van meerdere verbonden gegevensbronnen bevat, met één globale, geïntegreerde weergave van alle gecombineerde objecten. Metaverse-objecten worden gemaakt op basis van de identiteitsgegevens die worden opgehaald uit de verbonden gegevensbronnen en een set regels waarmee u het synchronisatieproces kunt aanpassen.

Op de volgende afbeelding ziet u de naamruimte van de connector en de metaverse-naamruimte in de synchronisatie-engine.

Diagram shows a connected data source and a sync engine, which is separated into connector space and metaverse namespaces, associated by a line called Connector.

Objecten van de synchronisatie-engine-id

De objecten in de synchronisatie-engine zijn weergaven van objecten in de verbonden gegevensbron of de geïntegreerde weergave die de synchronisatie-engine van deze objecten heeft. Elk synchronisatie-engine-object moet een GUID (Globally Unique Identifier) hebben. GUID's bieden gegevensintegriteit en express-relaties tussen objecten.

Connectorruimteobjecten

Wanneer de synchronisatie-engine communiceert met een verbonden gegevensbron, leest deze de identiteitsgegevens in de verbonden gegevensbron en wordt deze informatie gebruikt om een weergave van het identiteitsobject in de connectorruimte te maken. U kunt deze objecten niet afzonderlijk maken of verwijderen. U kunt echter alle objecten in een connectorruimte handmatig verwijderen.

Alle objecten in de connectorruimte hebben twee kenmerken:

  • Een GUID (Globally Unique Identifier)
  • Een DN-naam (Distinguished Name)

Als de verbonden gegevensbron een uniek kenmerk aan het object toewijst, kunnen objecten in de verbindingsruimte ook een ankerkenmerk hebben. Met het ankerkenmerk wordt een object in de verbonden gegevensbron uniek geïdentificeerd. De synchronisatie-engine gebruikt het anker om de bijbehorende weergave van dit object in de verbonden gegevensbron te vinden. De synchronisatie-engine gaat ervan uit dat het anker van een object nooit verandert gedurende de levensduur van het object.

Veel connectors gebruiken een bekende unieke id om automatisch een anker te genereren voor elk object wanneer het wordt geïmporteerd. De Active Directory-connector gebruikt bijvoorbeeld het kenmerk objectGUID voor een anker. Voor verbonden gegevensbronnen die geen duidelijk gedefinieerde unieke id bieden, kunt u het genereren van ankers opgeven als onderdeel van de connectorconfiguratie.

In dat geval wordt het anker gebouwd op basis van een of meer unieke kenmerken van een objecttype, die geen van beide worden gewijzigd, en het object uniek identificeren in de connectorruimte (bijvoorbeeld een werknemersnummer of een gebruikers-id).

Een connectorruimteobject kan een van de volgende items zijn:

  • Een faseringsobject
  • Een tijdelijke aanduiding

Faseringsobjecten

Een faseringsobject vertegenwoordigt een exemplaar van de aangewezen objecttypen van de verbonden gegevensbron. Naast de GUID en de DN-naam heeft een faseringsobject altijd een waarde die het objecttype aangeeft.

Faseringsobjecten die zijn geïmporteerd, bevatten altijd een waarde voor het ankerkenmerk. Faseringsobjecten die nieuw zijn ingericht door de synchronisatie-engine en die worden gemaakt in de verbonden gegevensbron, bevatten geen waarde voor het ankerkenmerk.

Faseringsobjecten bevatten ook de huidige waarden van bedrijfskenmerken en operationele informatie die de synchronisatie-engine nodig heeft om het synchronisatieproces uit te voeren. De operationele informatie bevat vlaggen die aangeven welk type updates op het faseringsobject zijn gefaseerd. Als een faseringsobject nieuwe identiteitsgegevens heeft ontvangen van de verbonden gegevensbron die nog niet zijn verwerkt, wordt het object gemarkeerd als import in behandeling. Als een faseringsobject nieuwe identiteitsgegevens bevat die nog niet zijn geëxporteerd naar de verbonden gegevensbron, wordt het object gemarkeerd als export in behandeling.

Een faseringsobject kan een importobject of een exportobject zijn. De synchronisatie-engine maakt een importobject met behulp van objectgegevens die zijn ontvangen vanuit de verbonden gegevensbron. Wanneer de synchronisatie-engine informatie ontvangt over het bestaan van een nieuw object dat overeenkomt met een van de objecttypen die zijn geselecteerd in de connector, wordt er een importobject gemaakt in de connectorruimte als een weergave van het object in de verbonden gegevensbron.

Op de volgende afbeelding ziet u een importobject dat een object in de verbonden gegevensbron vertegenwoordigt.

Diagram shows an import object brought from the connected data source to the connector space namespace in the sync engine.

De synchronisatie-engine maakt een exportobject met behulp van objectgegevens in de metaverse. Exportobjecten worden tijdens de volgende communicatiesessie naar de verbonden gegevensbron geëxporteerd. Vanuit het perspectief van de synchronisatie-engine bestaan exportobjecten nog niet in de verbonden gegevensbron. Daarom is het ankerkenmerk voor een exportobject niet beschikbaar. Nadat het object is ontvangen van de synchronisatie-engine, maakt de verbonden gegevensbron een unieke waarde voor het ankerkenmerk van het object.

Op de volgende afbeelding ziet u hoe een exportobject wordt gemaakt met behulp van identiteitsgegevens in de metaverse.

Diagram shows an export object brought from the metaverse to the connector space namespace, then to the connected data source.

De synchronisatie-engine bevestigt de export van het object door het object opnieuw te importeren vanuit de verbonden gegevensbron. Exportobjecten worden importobjecten wanneer de synchronisatie-engine deze ontvangt tijdens de volgende import vanuit die verbonden gegevensbron.

Tijdelijke aanduidingen

De synchronisatie-engine gebruikt een ongestructureerde naamruimte om objecten op te slaan. Sommige verbonden gegevensbronnen, zoals Active Directory, gebruiken echter een hiërarchische naamruimte. Om informatie van een hiërarchische naamruimte te transformeren naar een ongestructureerde naamruimte, gebruikt de synchronisatie-engine tijdelijke aanduidingen om de hiërarchie te behouden.

Elke tijdelijke aanduiding vertegenwoordigt een onderdeel (bijvoorbeeld een organisatie-eenheid) van de hiërarchische naam van een object dat niet is geïmporteerd in de synchronisatie-engine, maar vereist is om de hiërarchische naam te maken. Ze vullen hiaten op die zijn gemaakt door verwijzingen in de verbonden gegevensbron naar objecten die geen faseringsobjecten in de connectorruimte zijn.

Tijdelijke aanduidingen worden door de synchronisatie-engine ook gebruikt om objecten waarnaar wordt verwezen en die nog niet zijn geïmporteerd op te slaan. Als synchronisatie bijvoorbeeld is geconfigureerd om het managerkenmerk voor het object Abbie Spencer op te nemen en de ontvangen waarde een object is dat nog niet is geïmporteerd, zoals CN=Lee Sperry, CN=Users,DC=fabrikam,DC=com, worden de gegevens van de manager als tijdelijke aanduidingen in de connectorruimte opgeslagen. Als het managerobject later wordt geïmporteerd, wordt het tijdelijke-aanduidingsobject overschreven door het faseringsobject dat de manager vertegenwoordigt.

Metaverse-objecten

Een metaverse-object bevat de geaggregeerde weergave die de synchronisatie-engine van de faseringsobjecten in de connectorruimte heeft. Met de synchronisatie-engine worden metaverse-objecten gemaakt met behulp van de informatie in importobjecten. Meerdere connectorruimteobjecten kunnen worden gekoppeld aan één metaverse-object, maar een connectorruimteobject kan niet worden gekoppeld aan meer dan één metaverse-object.

Metaverse-objecten kunnen niet handmatig worden gemaakt of verwijderd. De synchronisatie-engine verwijdert automatisch metaverse-objecten die geen koppeling hebben naar een connectorruimteobject in de connectorruimte.

Als u objecten in een verbonden gegevensbron wilt toewijzen aan een overeenkomend objecttype in de metaverse, biedt de synchronisatie-engine een uitbreidbaar schema met een vooraf gedefinieerde set objecttypen en bijbehorende kenmerken. U kunt nieuwe objecttypen en -kenmerken maken voor metaverse-objecten. Kenmerken kunnen uit één waarde of meerdere waarden bestaan en de kenmerktypen kunnen tekenreeksen, verwijzingen, getallen en booleaanse waarden zijn.

Relaties tussen faseringsobjecten en metaverse-objecten

In de naamruimte van de synchronisatie-engine wordt de gegevensstroom mogelijk gemaakt door de koppelingsrelatie tussen faseringsobjecten en metaverse-objecten. Een faseringsobject dat is gekoppeld aan een metaverse-object wordt een gekoppeld object (of connectorobject) genoemd. Een faseringsobject dat is gekoppeld aan een metaverse-object wordt een niet-gekoppeld object (of disconnectorobject) genoemd. De termen gekoppeld en niet-gekoppeld hebben de voorkeur, zodat er geen verwarring kan ontstaan met de connectors die verantwoordelijk zijn voor het importeren en exporteren van gegevens uit een verbonden map.

Tijdelijke aanduidingen worden nooit gekoppeld aan een metaverse-object

Een gekoppeld object bestaat uit een faseringsobject en de gekoppelde relatie met één metaverse-object. Gekoppelde objecten worden gebruikt voor het synchroniseren van kenmerkwaarden tussen een connectorruimteobject en een metaverse-object.

Als een faseringsobject tijdens de synchronisatie een gekoppeld object wordt, kunnen kenmerken tussen het faseringsobject en het metaverse-object stromen. De kenmerkstroom is bidirectioneel en wordt geconfigureerd met behulp van importkenmerkregels en exportkenmerkregels.

Eén connectorruimteobject kan worden gekoppeld aan slechts één metaverse-object. Elk metaverse-object kan echter worden gekoppeld aan meerdere connectorruimteobjecten in dezelfde of in verschillende verbindingsruimten, zoals wordt weergegeven op de volgende afbeelding.

Diagram shows two connected data objects associated by connectors to a sync engine, which has joined objects and a disjoined object.

De koppelingsrelatie tussen het faseringsobject en een metaverse-object is permanent en kan alleen worden verwijderd door regels die u opgeeft.

Een niet-gekoppeld object is een faseringsobject dat niet aan een metaverse-object is gekoppeld. De kenmerkwaarden van een niet-gekoppeld object worden niet verder verwerkt in de metaverse. De kenmerkwaarden van het bijbehorende object in de verbonden gegevensbron worden niet bijgewerkt door de synchronisatie-engine.

Met behulp van niet-gekoppelde objecten kunt u identiteitsgegevens opslaan in de synchronisatie-engine en deze later verwerken. Het behouden van een faseringsobject als een niet-gekoppeld object in de connectorruimte heeft veel voordelen. Omdat het systeem de vereiste gegevens over dit object al heeft gefaseerd, is het niet nodig om tijdens de volgende import uit de verbonden gegevensbron opnieuw een weergave van dit object te maken. Op deze manier heeft de synchronisatie-engine altijd een volledige momentopname van de verbonden gegevensbron, zelfs als er geen huidige verbinding met de verbonden gegevensbron is. Niet-gekoppelde objecten kunnen worden geconverteerd naar gekoppelde objecten en omgekeerd, afhankelijk van de regels die u opgeeft.

Een importobject wordt gemaakt als een niet-gekoppeld object. Een exportobject moet een gekoppeld object zijn. De systeemlogica dwingt deze regel af en verwijdert elk exportobject dat geen gekoppeld object is.

Het proces voor identiteitsbeheer van de synchronisatie-engine

Het identiteitsbeheerproces bepaalt hoe identiteitsgegevens worden bijgewerkt tussen verschillende verbonden gegevensbronnen. Identiteitsbeheer vindt plaats in drie processen:

  • Importeren
  • Synchronisatie
  • Export

Tijdens het importproces evalueert de synchronisatie-engine de binnenkomende identiteitsgegevens van een verbonden gegevensbron. Wanneer wijzigingen worden gedetecteerd, worden er nieuwe faseringsobjecten gemaakt of worden bestaande faseringsobjecten bijgewerkt in de connectorruimte voor synchronisatie.

Tijdens het synchronisatieproces werkt de synchronisatie-engine de metaverse bij met wijzigingen die zijn opgetreden in de connectorruimte en werkt de synchronisatie-engine de connectorruimte bij om wijzigingen weer te geven die zijn opgetreden in de metaverse.

Tijdens het exportproces pusht de synchronisatie-engine wijzigingen die zijn gefaseerd in faseringsobjecten en die zijn gemarkeerd als 'export in behandeling'.

Op de volgende afbeelding ziet u waar elk van de processen plaatsvindt als identiteitsgegevens van de ene verbonden gegevensbron naar de andere stromen.

Diagram shows the flow of identity information from connected data to connector space (import) to metaverse to connector space (synchronization) to connected data (export).

Importproces

Tijdens het importproces evalueert de synchronisatie-engine updates voor identiteitsgegevens. De synchronisatie-engine vergelijkt de identiteitsgegevens die zijn ontvangen van de verbonden gegevensbron met de identiteitsgegevens over een faseringsobject en bepaalt of het faseringsobject updates vereist. Als het nodig is om het faseringsobject bij te werken met nieuwe gegevens, wordt het faseringsobject gemarkeerd als 'import in behandeling'.

Door objecten in de connectorruimte te faseren vóór de synchronisatie, kan de synchronisatie-engine alleen de identiteitsgegevens verwerken die zijn gewijzigd. Dit proces biedt de volgende voordelen:

  • Efficiënte synchronisatie. De hoeveelheid gegevens die tijdens de synchronisatie wordt verwerkt, wordt geminimaliseerd.
  • Efficiënte hersynchronisatie. U kunt wijzigen hoe de synchronisatie-engine identiteitsgegevens verwerkt zonder de synchronisatie-engine opnieuw te verbinden met de gegevensbron.
  • Mogelijkheid om een voorbeeld van de synchronisatie te bekijken. U kunt een voorbeeld van de synchronisatie bekijken om te controleren of uw veronderstellingen over het identiteitsbeheerproces juist zijn.

Voor elk object dat is opgegeven in de connector, probeert de synchronisatie-engine eerst een weergave van het object te vinden in de connectorruimte van de connector. De synchronisatie-engine onderzoekt alle faseringsobjecten in de connectorruimte en probeert een overeenkomend faseringsobject met een overeenkomend ankerkenmerk te vinden. Als geen van de aanwezige faseringsobjecten een overeenkomend ankerkenmerk heeft, probeert de synchronisatie-engine een corresponderend faseringsobject met dezelfde DN-naam te vinden.

Wanneer de synchronisatie-engine een faseringsobject vindt dat overeenkomt met een DN-naam, maar niet met een anker, treedt het volgende speciale gedrag op:

  • Als het object in de connectorruimte geen anker heeft, verwijdert de synchronisatie-engine dit object uit de verbindingsruimte en markeert deze het metaverse-object waaraan het is gekoppeld wanneer het inrichting opnieuw uitvoeren tijdens volgende synchronisatieuitvoering. Vervolgens wordt het nieuwe importobject gemaakt.
  • Als het object in de connectorruimte een anker heeft, gaat de synchronisatie-engine ervan uit dat dit object de naam van dit object is gewijzigd of dat het object is verwijderd in de verbonden map. Er wordt een tijdelijke, nieuwe DN-naam toegewezen voor het connectorruimteobject, zodat dit het binnenkomende object kan faseren. Het oude object wordt vervolgens tijdelijk en wacht totdat de connector de nieuwe naam of verwijdering importeert om de situatie op te lossen.

Tijdelijke objecten zijn niet altijd een probleem en u ziet ze mogelijk zelfs in een stabiele omgeving. Met Microsoft Entra Verbinding maken Sync V2 endpoint API moeten tijdelijke objecten automatisch worden omgezet in volgende deltasynchronisatiecycli. Een veelvoorkomend voorbeeld waarin u tijdelijke objecten kunt vinden die worden gegenereerd, vindt plaats op Microsoft Entra Verbinding maken servers die zijn geïnstalleerd in de faseringsmodus, wanneer een beheerder een object permanent verwijdert rechtstreeks in Microsoft Entra-id met behulp van PowerShell en later het object opnieuw synchroniseert.

Als de synchronisatie-engine een faseringsobject vindt dat overeenkomt met het object dat is opgegeven in de connector, wordt bepaald welk soort wijzigingen moeten worden toegepast. De synchronisatie-engine kan bijvoorbeeld de naam van het object in de verbonden gegevensbron wijzigen of het object verwijderen, of alleen de kenmerkwaarden van het object bijwerken.

Faseringsobjecten met bijgewerkte gegevens worden gemarkeerd als 'import in behandeling'. Er zijn verschillende soorten importen in behandeling beschikbaar. Afhankelijk van het resultaat van het importproces heeft een faseringsobject in de connectorruimte een van de volgende typen 'import in behandeling':

  • Geen. Er zijn geen wijzigingen in de kenmerken van het faseringsobject beschikbaar. De synchronisatie-engine markeert dit type niet als 'import in behandeling'.
  • Toevoegen. Het faseringsobject is een nieuw importobject in de connectorruimte. De synchronisatie-engine markeert dit type als 'import in behandeling' voor aanvullende verwerking in de metaverse.
  • Bijwerken. De synchronisatie-engine vindt een overeenkomend faseringsobject in de connectorruimte en markeert dit type als 'import in behandeling', zodat updates van de kenmerken in de metaverse kunnen worden verwerkt. Updates omvatten het wijzigen van de objectnaam.
  • Verwijderen. De synchronisatie-engine vindt een overeenkomend faseringsobject in de connectorruimte en markeert dit type als 'import in behandeling', zodat het gekoppelde object kan worden verwijderd.
  • Verwijderen/toevoegen. De synchronisatie-engine vindt een corresponderend faseringsobject in de connectorruimte, maar de objecttypen komen niet overeen. In dit geval wordt een 'delete-add'-wijziging gefaseerd. Een 'delete-add'-wijziging geeft aan de synchronisatie-engine aan dat een volledige hersynchronisatie van dit object moet plaatsvinden omdat verschillende sets regels van toepassing zijn op dit object wanneer het objecttype wordt gewijzigd.

Door de status 'import in behandeling' van een faseringsobject in te stellen, is het mogelijk om de hoeveelheid gegevens die tijdens de synchronisatie wordt verwerkt aanzienlijk te verminderen, omdat het systeem hierdoor alleen objecten kan verwerken die bijgewerkte gegevens hebben.

Synchronisatieproces

Synchronisatie bestaat uit twee gerelateerde processen:

  • Inkomende synchronisatie, wanneer de inhoud van de metaverse wordt bijgewerkt met behulp van de gegevens in de connectorruimte.
  • Uitgaande synchronisatie, wanneer de inhoud van de connectorruimte wordt bijgewerkt met behulp van gegevens in de metaverse.

Met behulp van de informatie die is gefaseerd in de connectorruimte, maakt het inkomende synchronisatieproces een geïntegreerde weergave van de gegevens in de metaverse die is opgeslagen in de verbonden gegevensbronnen. Alle faseringsobjecten of alleen de objecten met gegevens over 'import in behandeling', worden geaggregeerd, afhankelijk van de configuratie van de regels.

Het uitgaande synchronisatieproces werkt exportobjecten bij wanneer metaverse-objecten worden gewijzigd.

Met inkomende synchronisatie wordt de geïntegreerde weergave gemaakt in de metaverse van de identiteitsgegevens die vanuit de verbonden gegevensbronnen worden ontvangen. De synchronisatie-engine kan op elk gewenst moment identiteitsgegevens verwerken met behulp van de meest recente identiteitsgegevens uit de verbonden gegevensbron.

Inkomende synchronisatie

Inkomende synchronisatie omvat de volgende processen:

  • Inrichten (ook wel Projectie genoemd als het belangrijk is om dit proces te onderscheiden van inrichting van uitgaande synchronisatie). De synchronisatie-engine maakt een nieuw metaverse-object op basis van een faseringsobject en koppelt deze. Inrichten is een bewerking op objectniveau.
  • Join. De synchronisatie-engine koppelt een faseringsobject aan een bestaand metaverse-object. Koppelen is een bewerking op objectniveau.
  • Kenmerkstroom importeren. De synchronisatie-engine werkt de kenmerkwaarden, de kenmerkstroom genoemd, van het object in de metaverse bij. Kenmerkstroom importeren is een bewerking op kenmerkniveau waarvoor een koppeling tussen een faseringsobject en een metaverse-object vereist is.

Inrichten is het enige proces waarmee objecten in de metaverse worden gemaakt. Inrichten is alleen van invloed op importobjecten die niet aan elkaar zijn gekoppeld. Tijdens het inrichten maakt de synchronisatie-engine een metaverse-object dat overeenkomt met het objecttype van het importobject en brengt deze een koppeling tot stand tussen beide objecten, waardoor een samengevoegd object wordt gemaakt.

Het koppelingsproces brengt ook een koppeling tot stand tussen importobjecten en een metaverse-object. Het verschil tussen koppelen en inrichten is dat het koppelingsproces vereist dat het importobject is gekoppeld aan een bestaand metaverse-object, waarbij het inrichtingsproces een nieuw metaverse-object maakt.

De synchronisatie-engine probeert een importobject te koppelen aan een metaverse-object met behulp van criteria die zijn opgegeven in de configuratie van de synchronisatieregel.

Tijdens de inrichtings- en koppelingsprocessen koppelt de synchronisatie-engine een niet-gekoppeld object aan een metaverse-object, waardoor ze worden samengevoegd. Nadat deze bewerkingen op objectniveau zijn voltooid, kan de synchronisatie-engine de kenmerkwaarden van het bijbehorende metaverse-object bijwerken. Dit proces wordt het importeren van de kenmerkstroom genoemd.

Het importeren van de kenmerkstroom vindt plaats op alle importobjecten die nieuwe gegevens bevatten en aan een metaverse-object zijn gekoppeld.

Uitgaande synchronisatie

Bij uitgaande synchronisatie worden exportobjecten bijgewerkt wanneer een metaverse-object wordt gewijzigd, maar niet wordt verwijderd. Het doel van uitgaande synchronisatie is om te evalueren of wijzigingen in metaverse-objecten updates vereisen voor faseringsobjecten in de connectorruimten. In sommige gevallen kunnen de wijzigingen vereisen dat faseringsobjecten in alle verbindingsruimten worden bijgewerkt. Faseringsobjecten die worden gewijzigd, worden gemarkeerd als 'export in behandeling', waardoor ze exportobjecten worden. Deze exportobjecten worden later tijdens het exportproces naar de verbonden gegevensbron gepusht.

Uitgaande synchronisatie omvat drie processen:

  • Inrichten
  • Inrichting ongedaan maken
  • Kenmerkstroom exporteren

Inrichten en ongedaan maken van inrichting zijn beide bewerkingen op objectniveau. Het ongedaan maken van de inrichting is afhankelijk van inrichting, omdat dit alleen kan worden geïnitieerd als er een inrichting is. Ongedaan maken van de inrichting wordt geactiveerd wanneer inrichting de koppeling tussen een metaverse-object en een exportobject verwijdert.

Inrichting wordt altijd geactiveerd wanneer wijzigingen worden toegepast op objecten in de metaverse. Wanneer er wijzigingen worden aangebracht in metaverse-objecten, kan de synchronisatie-engine een van de volgende taken uitvoeren als onderdeel van het inrichtingsproces:

  • Gekoppelde objecten maken, waarbij een metaverse-object aan een nieuw exportobject wordt gekoppeld.
  • De naam van een gekoppeld object wijzigen.
  • Koppelingen tussen een metaverse-object en faseringsobjecten verwijderen, waardoor een niet-gekoppeld object wordt gemaakt.

Als inrichting vereist dat de synchronisatie-engine een nieuw connectorobject maakt, is het faseringsobject waaraan het metaverse-object is gekoppeld altijd een exportobject, omdat het object nog niet in de verbonden gegevensbron bestaat.

Als inrichting vereist dat de synchronisatie-engine een gekoppeld object te ontkoppelen, wordt het ongedaan maken van de inrichting geactiveerd. Met het ongedaan maken van de inrichting wordt het object verwijderd.

Tijdens het ongedaan maken van de inrichting wordt als u een exportobject verwijdert het object niet fysiek verwijderd. Het object wordt gemarkeerd als verwijderd, wat betekent dat de verwijderbewerking voor dat object is gefaseerd.

Het exporteren van de kenmerkstroom vindt ook plaats tijdens het uitgaande synchronisatieproces, en is vergelijkbaar met de manier waarop het importeren van de kenmerkstroom plaatsvindt tijdens inkomende synchronisatie. Het exporteren van de kenmerkstroom vindt alleen plaats tussen metaverse- en exportobjecten die gekoppeld zijn.

Exportproces

Tijdens het exportproces onderzoekt de synchronisatie-engine alle exportobjecten die zijn gemarkeerd als 'export in behandeling' in de connectorruimte en worden vervolgens updates naar de verbonden gegevensbron verzonden.

De synchronisatie-engine kan het succes van een export bepalen, maar kan niet voldoende bepalen of het identiteitsbeheerproces voltooid is. Objecten in de verbonden gegevensbron kunnen namelijk altijd worden gewijzigd door andere processen. Omdat de synchronisatie-engine geen permanente verbinding heeft met de verbonden gegevensbron, is het niet voldoende om op basis van een melding dat de export is geslaagd aannamen te doen over de eigenschappen van een object in de verbonden gegevensbron.

Een proces in de verbonden gegevensbron kan bijvoorbeeld de kenmerken van het object weer wijzigen in de oorspronkelijke waarden (de verbonden gegevensbron kan de waarden dus meteen overschrijven nadat de gegevens door de synchronisatie-engine zijn gepusht en met succes in de verbonden gegevensbron zijn toegepast).

De synchronisatie-engine slaat informatie over export- en importstatus op over elk faseringsobject. Als de waarden van de kenmerken die zijn opgegeven in de lijst met kenmerkopnamen sinds de laatste export zijn gewijzigd, kan de synchronisatie-engine op de juiste wijze reageren dankzij de opslag van de import- en exportstatus. De synchronisatie-engine gebruikt het importproces om kenmerkwaarden te bevestigen die naar de verbonden gegevensbron zijn geëxporteerd. Met een vergelijking tussen de geïmporteerde en geëxporteerde gegevens, zoals wordt weergegeven op de volgende afbeelding, kan de synchronisatie-engine bepalen of de export is geslaagd of dat deze moet worden herhaald.

Diagram shows the synchronization of an object between connector space and connected data over the connector.

Als de synchronisatie-engine bijvoorbeeld kenmerk C exporteert, met een waarde van 5, naar een verbonden gegevensbron, wordt C=5 in het exportstatusgeheugen opgeslagen. Elke extra export voor dit object resulteert in een poging om C=5 opnieuw te exporteren naar de verbonden gegevensbron, omdat de synchronisatie-engine ervan uitgaat dat deze waarde niet permanent is toegepast op het object (dat wil zeggen, tenzij er onlangs een andere waarde uit de verbonden gegevensbron is geïmporteerd). Het exportgeheugen wordt gewist wanneer C=5 tijdens een importbewerking voor het object wordt ontvangen.

Volgende stappen

Meer informatie over de configuratie van Microsoft Entra Verbinding maken Sync.

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.