Поделиться через

Архитектура подготовки удостоверений локального приложения Microsoft Entra

  • Статья

Обзор

На нижеприведенной схеме показано, как работает подготовка локальных приложений.

Схема, на которой показана архитектура подготовки локальных приложений.

Подготовка пользователей к работе с локальным приложением состоит из трех основных компонентов.

  • Агент предоставления обеспечивает подключение между Microsoft Entra ID и вашей локальной средой.
  • Узел соединителя Extensible Connectivity (ECMA) преобразует запросы на подготовку из Microsoft Entra ID в запросы, отправляемые в ваше целевое приложение. Он служит шлюзом между идентификатором Microsoft Entra и приложением. С его помощью можно импортировать существующие соединители ECMA2, используемые с Microsoft Identity Manager. Если вы создали приложение SCIM или шлюз SCIM, то узел ECMA не требуется.
  • Служба предоставления Microsoft Entra служит движком синхронизации.

Примечание.

Синхронизация Microsoft Identity Manager не требуется. Но его можно использовать для сборки и тестирования соединителя ECMA2 перед импортом в узел ECMA. Узел ECMA2 является специфическим для MIM, а хост ECMA предназначен специально для использования с агентом подготовки.

Требования к брандмауэру

Для корпоративной сети не требуется открывать входящие подключения. Агенты подготовки используют только исходящие подключения к службе подготовки, что означает, что нет необходимости открывать порты брандмауэра для входящих подключений. Вам также не требуется сеть периметра (DMZ), так как все подключения являются исходящими и осуществляются по защищенному каналу.

Необходимые исходящие конечные точки для агентов развертывания описаны здесь.

Архитектура хост-соединителя ECMA

Хост соединителя ECMA имеет несколько областей, которые он использует для развертывания на месте. На следующей схеме представлен концептуальный рисунок, представляющий эти отдельные области. В таблице ниже приводится более подробное описание каждой из них.

Узел соединителя ECMA

Область Description
Конечные точки Ответственность за коммуникацию и обмен данными с службой подготовки Microsoft Entra.
Кэш в памяти Используется для хранения данных, импортированных из локального источника данных.
Автосинхронизация Обеспечивает асинхронную синхронизацию данных между узлом соединителя ECMA и локальным источником данных.
Бизнес-логика Используется для координации всех действий хоста соединителя ECMA. Время автосинхронизации можно настроить на узле ECMA. Это выполняется на странице свойств.

Сведения об атрибутах привязки и уникальных именах

Ниже приведены сведения для более подробного объяснения атрибутов привязки и различающихся имен, используемых соединителем genericSQL.

Атрибут привязки — это уникальный атрибут типа объекта, который не изменяется и представляет этот объект в кэше соединителя ECMA в памяти.

Различающееся имя (DN) — это имя, которое однозначно идентифицирует объект, указывая его текущее расположение в иерархии каталогов Или с использованием SQL в разделе. Имя формируется путем добавления атрибута привязки к корню раздела каталога.

Когда мы думаем об удостоверяющих именах (DNs) в традиционном формате, например для Active Directory или LDAP, обычно имеем в виду что-то вроде:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Тем не менее для источника данных, такого как SQL, с плоской структурой, а не иерархической, DN должно быть либо уже представлено в одной из таблиц, либо создано на основе информации, предоставляемой хосту соединителя ECMA.

Это можно обеспечить путем установки флажка Создается автоматически при настройке соединителя genericSQL. При выборе автоматического создания DN узел ECMA создает DN в формате LDAP: CN=<anchorvalue>,OBJECT=<type>. Это также предполагает, что флажок "Уникальное имя является привязкой" на странице "Подключение" должен быть снят.

Флажок DN is Anchor (DN является привязкой) снят

Соединитель genericSQL ожидает, что DN будет заполнен, используя формат LDAP. Соединитель Generic SQL использует стиль LDAP с именем компонента "OBJECT=". Это позволяет применять секции (каждый тип объекта является секцией).

Поскольку в настоящее время узел соединителя ECMA поддерживает только тип объекта USER, OBJECT=<тип> будет OBJECT=USER. Таким образом, DN для пользователя с значением привязки ljacobson будет следующим:

CN=ljacobson,OBJECT=USER

Рабочий процесс создания пользователя

  1. Служба подготовки пользователей Microsoft Entra запрашивает хост соединителя ECMA, чтобы узнать, существует ли пользователь. Она использует в качестве фильтра атрибут сопоставления. Этот атрибут определен в портале Azure под корпоративными приложениями — подготовка для локальных систем —> подготовка —> сопоставление атрибутов. Он обозначается цифрой 1 для соответствия приоритету. Вы можете определить один или несколько соответствующих атрибутов и расставить их по приоритету на основе значимости. Если вы хотите изменить атрибут сопоставления, такая возможность также предусмотрена. Атрибут сопоставления

  2. Узел соединителя ECMA получает запрос GET и выполняет запрос к внутреннему кэшу, чтобы узнать, существует ли и импортирован ли пользователь. Для этого используются сопоставляемые атрибуты, указанные выше. Если вы определяете несколько соответствующих атрибутов, служба подготовки Microsoft Entra отправляет запрос GET для каждого атрибута, а узел ECMA проверяет его кэш на соответствие, пока он не найдет его.

  3. Если пользователь не существует, идентификатор Microsoft Entra выполняет запрос POST для создания пользователя. Хост соединителя ECMA отвечает Microsoft Entra ID с ответом HTTP 201 и предоставляет идентификатор для пользователя. Этот идентификатор является производным от значения привязки, определенного на странице типов объектов. Эта привязка будет использоваться системой Microsoft Entra ID для запроса узла соединителя ECMA для будущих запросов.

  4. Если изменение происходит с пользователем в идентификаторе Microsoft Entra, то идентификатор Microsoft Entra делает запрос GET для получения пользователя с помощью привязки из предыдущего шага, а не соответствующего атрибута на шаге 1. Это позволяет, например, имя участника-пользователя изменять, не нарушая связь между пользователем в идентификаторе Microsoft Entra и в приложении.

Лучшие практики агента

  • Использование того же агента для локальной функции подготовки вместе с Workday / SuccessFactors / Microsoft Entra Connect облачной синхронизацией в настоящее время не поддерживается. Мы активно работаем над поддержкой локальной подготовки в том же агенте, что и другие сценарии подготовки.
    • Избегайте любых форм встроенной проверки исходящей связи TLS между агентами и Azure. Этот тип встроенной проверки приводит к ухудшению потока обмена данными.
  • Агент должен взаимодействовать как с Azure, так и с вашим приложением, поэтому размещение агента влияет на задержку этих двух подключений. Вы можете уменьшить задержку сквозного трафика, оптимизировав каждое из сетевых подключений. Способы оптимизации каждого подключения:
  • уменьшить расстояние между двумя конечными точками прыжка;
  • выбрать нужную сеть для передачи данных Например, проход по частной сети, а не через общедоступный Интернет, может выполняться быстрее ввиду выделенных каналов связи.
  • Агент и хост ECMA полагаются на сертификат для связи. Самозаверяющий сертификат, созданный узлом ECMA, должен использоваться только для тестирования. Самозаверяющий сертификат истекает через два года по умолчанию и не может быть отменен. Корпорация Майкрософт рекомендует использовать сертификат из доверенного ЦС для рабочих вариантов использования.

Высокая доступность

Следующая информация предоставляется для ситуаций высокой доступности и отказоустойчивости.

Для локальных приложений с помощью соединителя ECMA рекомендуется использовать один активный агент и один пассивный агент (настроенный, но остановленный, не назначенный корпоративному приложению в Microsoft Entra) для каждого центра обработки данных.

При переключении в случае отказа рекомендуется выполнить следующие действия:

  1. Остановите активный агент (A).
  2. Отмена назначения агента A из корпоративного приложения.
  3. Перезапустите пассивный агент (B).
  4. Назначьте агент B корпоративному приложению.

Схема высокой доступности с соединителем ECMA.

Для локальных приложений с помощью соединителя SCIM рекомендуется использовать два активных агента для каждого приложения.

Схема высокой доступности с соединителем SCIM.

Вопросы по настройке агента

Здесь вы найдете ответы на некоторые распространенные вопросы.

Как узнать версию моего агента конфигурирования?

  1. Войдите на сервер Windows, где установлен агент подготовки.
  2. Выберите Панель управления>Удаление или изменение программ.
  3. Найдите версию, соответствующую записи агента подготовки Microsoft Entra Connect.

Можно ли установить агент подготовки на том же сервере, где работает Microsoft Entra Connect или Microsoft Identity Manager?

Да. Агент подготовки можно установить на том же сервере, где работает Microsoft Entra Connect или Microsoft Identity Manager, однако это необязательно.

Как мне настроить агент подготовки, чтобы использовать прокси-сервер для исходящей HTTP-коммуникации?

Агент предоставления поддерживает использование исходящего прокси. Его можно настроить, изменив файл конфигурации агента C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Добавьте следующие строки в конце файла непосредственно перед закрывающим тегом </configuration>. Замените переменные [proxy-server] и [proxy-port] значениями имени прокси-сервера и номера порта.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Как я могу убедиться, что агент предоставления ресурсов может взаимодействовать с клиентом Microsoft Entra и что брандмауэры не блокируют порты, необходимые агенту?

Можно также проверить, открыты ли все необходимые порты.

Как удалить агент подготовки?

  1. Войдите на сервер Windows, где установлен агент подготовки.
  2. Выберите Панель управления>Удаление или изменение программ.
  3. Удалите следующие программы:
  • Агент управления подготовкой Microsoft Entra Connect
  • Microsoft Entra Connect Agent Updater
  • Пакет агента подготовки Microsoft Entra Connect

История агента настройки

В этой статье перечислены версии и функции агента подготовки Microsoft Entra Connect, выпущенные. Команда Microsoft Entra регулярно обновляет агент обеспечения новыми характеристиками и функциональностью. Убедитесь, что вы не используете тот же агент для локальной подготовки и облачной синхронизации или подготовки на основе кадров.

Корпорация Майкрософт предоставляет прямую поддержку для последней и предпоследней версий агента.

Подготовка локальных приложений развернута в агент подготовки и доступна на портале. См. установку агента предоставления.

1.1.892.0

20 мая 2022 г. — выпущено для скачивания

Устраненные проблемы

  • Мы добавили поддержку экспорта изменений в целые атрибуты, что дает клиентам преимущества с помощью универсального соединителя LDAP.

1.1.846.0

11 апреля 2022 г. — выпущено для скачивания

Устраненные проблемы

  • Мы добавили поддержку ObjectGUID в качестве якоря для универсального соединителя LDAP при размещении пользователей в AD LDS.

Следующие шаги