雲端同步深入探討 - 運作方式

發行項
04/27/2024

元件概觀

運作方式

雲端同步建置在 Microsoft Entra 服務之上，並具有兩個主要元件：

布建代理程式：Microsoft Entra 連線雲端布建代理程式與 Workday 輸入相同，建置在與應用程式 Proxy 和傳遞驗證相同的伺服器端技術上。它只需要輸出連線，且代理程式會自動更新。
布建服務：與輸出布建和 Workday 輸入布建相同的布建服務，其使用排程器型模型。雲端同步布建會每隔 2 分鐘變更一次。

初始設定

在初始設定期間，會執行一些可進行雲端同步處理的工作。

在代理程式安裝期間：您可以為您想要布建的 AD 網域設定代理程式。此組態會在混合式身分識別服務中註冊網域，並建立接聽要求之服務總線的輸出連線。
啟用布建時：選取 AD 網域並啟用布建，每 2 分鐘執行一次。您可以選擇性地取消選取密碼哈希同步並定義通知電子郵件。您也可以使用 Microsoft Graph API 來管理屬性轉換。

代理程式安裝

安裝雲端布建代理程式時，會發生下列專案。

安裝程式會安裝代理程式二進制檔，以及虛擬服務帳戶下執行的代理程式服務（NETWORK SERVICE\AADProvisioningAgent）。虛擬服務帳戶是一種特殊類型的帳戶，沒有密碼，而且由 Windows 管理。
安裝程式接著會啟動精靈。
精靈會提示您輸入 Microsoft Entra 認證，然後驗證並擷取令牌。
然後精靈會要求目前的計算機網域管理員 istrators 認證。
此網域的代理程式一般受控服務帳戶已建立或找到，並在該網域已經存在時重複使用。
代理程式服務現在已重新設定為在 GMSA 下執行。
精靈現在會要求網域設定，以及您想要代理程式服務的每個網域的企業管理員（EA）/網域管理員（DA）帳戶。
GMSA 帳戶接著會更新為許可權，讓其能夠存取安裝期間輸入的每個網域。
接下來，精靈會觸發代理程序註冊
代理程式會建立憑證並使用 Microsoft Entra 令牌，向混合式身分識別服務（HIS）註冊服務註冊本身和憑證
精靈會觸發 AgentResourceGrouping 呼叫。這個對 HIS 管理員服務的呼叫是將代理程式指派給 HIS 設定中的一或多個 AD 網域。
精靈現在會重新啟動代理程序服務。
代理程式會在重新啟動時呼叫 Bootstrap 服務（之後每 10 分鐘），以檢查組態更新。啟動程式服務會驗證代理程式身分識別。它也會更新上次啟動程序的時間。這很重要，因為如果代理程式沒有啟動程式，它們就不會在端點服務匯流排更新，而且可能無法接收要求。

什麼是跨網域身分識別管理系統 (SCIM)？

SCIM 規格是一種標準，可用來自動化在身分識別網域之間交換使用者或群組身分識別資訊，例如 Microsoft Entra ID。 SCIM 正成為布建的事實上標準，當搭配 SAML 或 OpenID 連線等同盟標準使用時，會為系統管理員提供端對端標準型解決方案以進行存取管理。

Microsoft Entra 連線雲端布建代理程式會使用 SCIM 搭配 Microsoft Entra ID 來布建和取消布建使用者和群組。

同步處理流程

安裝代理程式並啟用布建之後，就會發生下列流程。

設定之後，Microsoft Entra 布建服務會呼叫 Microsoft Entra 混合式服務，以將要求新增至服務總線。代理程式會持續維護對接聽要求之服務匯流排的輸出連線，並立即挑選跨網域身分識別管理（SCIM）要求的系統。
代理程式會根據物件類型將要求分割成個別的查詢。
AD 會將結果傳回給代理程式，而代理程式會在傳送至 Microsoft Entra 識別碼之前先篩選此數據。
代理程式會傳回 Microsoft Entra ID 的 SCIM 回應。這些回應是以代理程式內發生的篩選為基礎。代理程式會使用範圍來篩選結果。
布建服務會將變更寫入 Microsoft Entra ID。
如果發生差異同步，而不是完整同步處理，則會使用 Cookie/浮水印。新的查詢會從該 Cookie/水印開始變更。

支援的情節：

雲端同步支援下列案例。

具有新樹系的現有混合式客戶：Microsoft Entra 連線 Sync 用於主要樹系。雲端同步用於從AD樹系布建（包括已中斷連線）。如需詳細資訊，請參閱這裡的教學課程。

現有的混合式

新的混合式客戶：不會使用 Microsoft Entra 連線 Sync。雲端同步用於從AD樹系布建。如需詳細資訊，請參閱這裡的教學課程。

新客戶

現有的混合式客戶：Microsoft Entra 連線 Sync 用於主要樹系。雲端同步是針對這裡主要樹系中的一組小型用戶進行試驗。

現有的試驗

如需詳細資訊，請參閱支援的拓撲。