Microsoft Entra Connect Sync: conceptos técnicos
Este artículo es un resumen del tema Descripción de la arquitectura.
Microsoft Entra Connect Sync se basa en una sólida plataforma de sincronización de metadirectorios. Las secciones siguientes presentan los conceptos de sincronización de metadirectorio. Los Servicios de sincronización de Azure Active Directory proporcionan una plataforma para conectarse a orígenes de datos, sincronizar datos de datos entre orígenes de datos y realizar el aprovisionamiento/desaprovisionamiento de identidades.
Las secciones siguientes proporcionan más detalles sobre los siguientes aspectos del Servicio de sincronización:
- Conector
- Flujo del atributo
- Espacio del conector
- Metaverso
- Aprovisionamiento
Conector
Los módulos de código que se usan para comunicarse con un directorio conectado se denominan conectores (conocidos anteriormente como agentes de administración o MA).
Se instalan en el equipo donde se ejecuta la Microsoft Entra Connect Sync. Los conectores proporcionan la capacidad sin agente de inversión mediante protocolos de sistema remoto en lugar de depender de la implementación de agentes especializados. Esto significa menor riesgo y el tiempo de implementación, especialmente al tratar con sistemas y aplicaciones críticas.
En la figura anterior, el conector es sinónimo del espacio del conector, pero abarca toda la comunicación con el sistema externo.
El conector es responsable de la funcionalidad de importación y exportación en el sistema y libera a los desarrolladores de la necesidad de entender cómo conectarse a cada sistema de forma nativa al usar el aprovisionamiento declarativo para personalizar las transformaciones de datos.
Las importaciones y exportaciones solo se producen cuando se programan, lo que permite un mejor aislamiento de los cambios que ocurren en el sistema, ya que estos no se propagan automáticamente al origen de datos conectado. Además, los desarrolladores pueden crear también sus propios conectores para conectarse a prácticamente cualquier origen de datos.
Flujo del atributo
El metaverso es la vista consolidada de todas las identidades combinadas de otros espacios de conector. En la ilustración anterior, el flujo de atributos se representa mediante líneas con puntas de flecha para el flujo entrante y saliente. El flujo de atributos es el proceso de copiar o transformar los datos entre un sistema y otro y todos los flujos de atributos (entrantes o salientes).
El flujo de atributos se produce entre el espacio del conector y el metaverso bidireccionalmente cuando las operaciones de sincronización (completa o delta) están programadas para ejecutarse.
El flujo de atributos solo se produce cuando se ejecutan estas sincronizaciones. Los flujos de atributos se definen en las reglas de sincronización. Pueden ser de entrada (ISR en la imagen anterior) o salida (OSR en la imagen anterior).
Sistema conectado
Se denomina sistema conectado al sistema remoto al que se ha conectado Microsoft Entra Connect Sync y en el que se leen y escriben datos de identidad.
Espacio del conector
Cada origen de datos conectado se representa como un subconjunto filtrado de los objetos y atributos en el espacio del conector. Esto permite que el servicio de sincronización funcione localmente sin necesidad de ponerse en contacto con el sistema remoto al sincronizar los objetos y restringe la interacción solo a las importaciones y exportaciones.
Cuando el origen de datos y el conector tienen la capacidad de proporcionar una lista de cambios (una importación delta), la eficiencia operativa aumenta significativamente porque solo se intercambian los cambios desde el último ciclo de sondeo. El espacio del conector aísla el origen de datos conectado de los cambios que se propagan automáticamente solicitando la importación y exportación de la programación del conector. Esta seguridad adicional le proporciona tranquilidad durante las pruebas, la obtención de vista previa o la confirmación de la próxima actualización.
Metaverso
El metaverso es la vista consolidada de todas las identidades combinadas de otros espacios de conector.
Puesto que las identidades están vinculadas entra sí y la autoridad está asignada para varios atributos a través de asignaciones de flujo de importación, el objeto de metaverso central comienza a agregar información desde varios sistemas. A partir de este flujo de atributos de objetos, las asignaciones proporcionan información a los sistemas de salida.
Los objetos se crean cuando un sistema autorizado los proyecta en el metaverso. En cuanto se quitan todas las conexiones, se elimina el objeto de metaverso.
Los objetos del metaverso no se pueden editar directamente. Todos los datos del objeto se deben aportar mediante el flujo de atributos. El metaverso mantiene conectores persistentes con cada espacio de conector. Estos conectores no requieren que se realice una nueva evaluación cada vez que se ejecute la sincronización. Esto significa que Microsoft Entra Connect Sync no tiene que buscar sistemáticamente el objeto remoto coincidente. De esta forma se evita la necesidad de costosos agentes para impedir cambios en los atributos que normalmente serían responsable de la correlación de los objetos.
Durante la detección de nuevos orígenes de datos que pueden tener objetos ya existentes que deban administrarse, Microsoft Entra Connect Sync usa un proceso llamado regla de combinación para evaluar los posibles candidatos con los que se va a establecer un vínculo. Una vez establecido el vínculo, la evaluación no se repite y puede producirse un flujo de atributos normal entre el origen de datos conectado remoto y el metaverso.
Aprovisionamiento
Cuando un origen autoritativo proyecta un nuevo objeto en el metaverso, puede crearse un nuevo objeto de espacio de conector en otro conector que representa un origen de datos conectado de nivel inferior.
Esto establece intrínsecamente un vínculo y el flujo de atributos puede continuar de manera bidireccional.
Siempre que una regla determina que tiene que crearse un nuevo objeto de espacio de conector, se le denomina aprovisionamiento. Sin embargo, dado que esta operación solo se produce dentro del espacio del conector, no se mantienen en el origen de datos conectado hasta que se realiza una exportación.