Microsoft Entra Connect-synkronisering: Förstå arkitekturen
Det här avsnittet beskriver den grundläggande arkitekturen för Microsoft Entra Anslut Sync. Om du är bekant med tidigare tekniker för identitetssynkronisering är även innehållet i det här avsnittet bekant för dig. Om du är nybörjare på synkronisering är det här ämnet för dig. Det är dock inte ett krav att känna till detaljerna i det här avsnittet för att kunna göra anpassningar till Microsoft Entra Anslut Sync (kallas synkroniseringsmotor i det här avsnittet).
Arkitektur
Synkroniseringsmotorn skapar en integrerad vy över objekt som lagras i flera anslutna datakällor och hanterar identitetsinformation i dessa datakällor. Den här integrerade vyn bestäms av identitetsinformationen som hämtas från anslutna datakällor och en uppsättning regler som bestämmer hur den här informationen ska bearbetas.
Anslut datakällor och Anslut orer
Synkroniseringsmotorn bearbetar identitetsinformation från olika datalagringsplatser, till exempel Active Directory eller en SQL Server-databas. Varje datalagringsplats som organiserar sina data i ett databasliknande format och som tillhandahåller standardmetoder för dataåtkomst är en potentiell datakällkandidat för synkroniseringsmotorn. De datalagringsplatser som synkroniseras av synkroniseringsmotorn kallas anslutna datakällor eller anslutna kataloger (CD).
Synkroniseringsmotorn kapslar in interaktion med en ansluten datakälla i en modul som kallas Anslut eller. Varje typ av ansluten datakälla har en specifik Anslut eller. Anslut eller översätter en nödvändig åtgärd till det format som den anslutna datakällan förstår.
Anslut orer gör API-anrop för att utbyta identitetsinformation (både läsa och skriva) med en ansluten datakälla. Det går också att lägga till en anpassad Anslut eller med hjälp av det utökningsbara anslutningsramverket. Följande bild visar hur en Anslut eller ansluter en ansluten datakälla till synkroniseringsmotorn.
Data kan flöda i båda riktningarna, men de kan inte flöda i båda riktningarna samtidigt. Med andra ord kan en Anslut eller konfigureras så att data kan flöda från den anslutna datakällan för att synkronisera motorn eller från synkroniseringsmotorn till den anslutna datakällan, men endast en av dessa åtgärder kan utföras samtidigt för ett objekt och attribut. Riktningen kan vara olika för olika objekt och för olika attribut.
Om du vill konfigurera en Anslut eller anger du de objekttyper som du vill synkronisera. Om du anger objekttyperna definieras omfånget för objekt som ingår i synkroniseringsprocessen. Nästa steg är att välja de attribut som ska synkroniseras, vilket kallas för en inkluderingslista för attribut. De här inställningarna kan ändras när som helst som svar på ändringar i dina affärsregler. När du använder installationsguiden för Microsoft Entra Anslut konfigureras de här inställningarna åt dig.
Om du vill exportera objekt till en ansluten datakälla måste listan med attributinkludering innehålla minst de minsta attribut som krävs för att skapa en specifik objekttyp i en ansluten datakälla. Attributet sAMAccountName måste till exempel ingå i listan med attributinkludering för att exportera ett användarobjekt till Active Directory eftersom alla användarobjekt i Active Directory måste ha ett definierat sAMAccountName-attribut. Installationsguiden gör återigen den här konfigurationen åt dig.
Om den anslutna datakällan använder strukturella komponenter, till exempel partitioner eller containrar för att ordna objekt, kan du begränsa de områden i den anslutna datakällan som används för en viss lösning.
Intern struktur för synkroniseringsmotorns namnområde
Hela namnområdet för synkroniseringsmotorn består av två namnområden som lagrar identitetsinformationen. De två namnrymderna är:
- Anslutningsutrymmet (CS)
- Metaversum (MV)
Anslutningsutrymmet är ett mellanlagringsområde som innehåller representationer av de avsedda objekten från en ansluten datakälla och de attribut som anges i listan med attributinkludering. Synkroniseringsmotorn använder anslutningsutrymmet för att avgöra vad som har ändrats i den anslutna datakällan och för att mellanlagra inkommande ändringar. Synkroniseringsmotorn använder också anslutningsutrymmet för att mellanlagra utgående ändringar för export till den anslutna datakällan. Synkroniseringsmotorn har ett distinkt anslutningsutrymme som mellanlagringsområde för varje Anslut eller.
Genom att använda ett mellanlagringsområde förblir synkroniseringsmotorn oberoende av de anslutna datakällorna och påverkas inte av deras tillgänglighet och tillgänglighet. Därför kan du bearbeta identitetsinformation när som helst med hjälp av data i mellanlagringsområdet. Synkroniseringsmotorn kan bara begära de ändringar som gjorts i den anslutna datakällan sedan den senaste kommunikationssessionen avslutades eller push-överför endast de ändringar av identitetsinformation som den anslutna datakällan ännu inte har tagit emot, vilket minskar nätverkstrafiken mellan synkroniseringsmotorn och den anslutna datakällan.
Dessutom lagrar synkroniseringsmotorn statusinformation om alla objekt som den stegar i anslutningsutrymmet. När nya data tas emot utvärderar synkroniseringsmotorn alltid om data redan har synkroniserats.
Metaversum är ett lagringsområde som innehåller aggregerad identitetsinformation från flera anslutna datakällor, vilket ger en enda global, integrerad vy över alla kombinerade objekt. Metaverse-objekt skapas baserat på den identitetsinformation som hämtas från de anslutna datakällorna och en uppsättning regler som gör att du kan anpassa synkroniseringsprocessen.
Följande bild visar namnområdet för anslutningsutrymmet och metaversumnamnområdet i synkroniseringsmotorn.
Synkronisera motoridentitetsobjekt
Objekten i synkroniseringsmotorn är representationer av antingen objekt i den anslutna datakällan eller den integrerade vy som synkroniseringsmotorn har av dessa objekt. Varje synkroniseringsmotorobjekt måste ha en globalt unik identifierare (GUID). GUID:er ger dataintegritet och uttrycksrelationer mellan objekt.
Anslut eller blankstegsobjekt
När synkroniseringsmotorn kommunicerar med en ansluten datakälla läser den identitetsinformationen i den anslutna datakällan och använder den informationen för att skapa en representation av identitetsobjektet i anslutningsutrymmet. Du kan inte skapa eller ta bort dessa objekt individuellt. Du kan dock manuellt ta bort alla objekt i ett anslutningsutrymme.
Alla objekt i anslutningsutrymmet har två attribut:
- En globalt unik identifierare (GUID)
- Ett unikt namn (även kallat DN)
Om den anslutna datakällan tilldelar objektet ett unikt attribut kan objekt i anslutningsutrymmet också ha ett fästpunktsattribut. Fästpunktsattributet identifierar unikt ett objekt i den anslutna datakällan. Synkroniseringsmotorn använder fästpunkten för att hitta motsvarande representation av det här objektet i den anslutna datakällan. Synkroniseringsmotorn förutsätter att fästpunkten för ett objekt aldrig ändras under objektets livslängd.
Många av Anslut orerna använder en känd unik identifierare för att generera ett fästpunkt automatiskt för varje objekt när det importeras. Active Directory-Anslut eller använder till exempel attributet objectGUID för en fästpunkt. För anslutna datakällor som inte tillhandahåller en tydligt definierad unik identifierare kan du ange ankargenerering som en del av Anslut ellerkonfigurationen.
I så fall skapas fästpunkten från ett eller flera unika attribut av en objekttyp, som inte ändras, och som unikt identifierar objektet i anslutningsutrymmet (till exempel ett anställdsnummer eller ett användar-ID).
Ett kopplingsutrymmesobjekt kan vara något av följande:
- Ett mellanlagringsobjekt
- En platshållare
Mellanlagringsobjekt
Ett mellanlagringsobjekt representerar en instans av de avsedda objekttyperna från den anslutna datakällan. Förutom GUID och det unika namnet har ett mellanlagringsobjekt alltid ett värde som anger objekttypen.
Mellanlagringsobjekt som har importerats har alltid ett värde för fästpunktsattributet. Mellanlagringsobjekt som nyligen har etablerats av synkroniseringsmotorn och håller på att skapas i den anslutna datakällan har inget värde för fästpunktsattributet.
Mellanlagringsobjekt har också aktuella värden för affärsattribut och driftinformation som krävs av synkroniseringsmotorn för att utföra synkroniseringsprocessen. Driftinformation innehåller flaggor som anger vilken typ av uppdateringar som mellanlagras på mellanlagringsobjektet. Om ett mellanlagringsobjekt har tagit emot ny identitetsinformation från den anslutna datakällan som ännu inte har bearbetats flaggas objektet som väntande import. Om ett mellanlagringsobjekt har ny identitetsinformation som ännu inte har exporterats till den anslutna datakällan flaggas det som väntande export.
Ett mellanlagringsobjekt kan vara ett importobjekt eller ett exportobjekt. Synkroniseringsmotorn skapar ett importobjekt med hjälp av objektinformation som tas emot från den anslutna datakällan. När synkroniseringsmotorn tar emot information om förekomsten av ett nytt objekt som matchar en av de objekttyper som valts i Anslut eller, skapar den ett importobjekt i anslutningsutrymmet som en representation av objektet i den anslutna datakällan.
Följande bild visar ett importobjekt som representerar ett objekt i den anslutna datakällan.
Synkroniseringsmotorn skapar ett exportobjekt med hjälp av objektinformation i metaversum. Exportobjekt exporteras till den anslutna datakällan under nästa kommunikationssession. Från synkroniseringsmotorns perspektiv finns inte exportobjekt i den anslutna datakällan än. Därför är fästpunktsattributet för ett exportobjekt inte tillgängligt. När objektet har fåtts från synkroniseringsmotorn skapar den anslutna datakällan ett unikt värde för objektets fästpunktsattribut.
Följande bild visar hur ett exportobjekt skapas med hjälp av identitetsinformation i metaversum.
Synkroniseringsmotorn bekräftar exporten av objektet genom att importera objektet från den anslutna datakällan igen. Exportera objekt blir importobjekt när synkroniseringsmotorn tar emot dem under nästa import från den anslutna datakällan.
Platshållare
Synkroniseringsmotorn använder ett platt namnområde för att lagra objekt. Vissa anslutna datakällor, till exempel Active Directory, använder dock ett hierarkiskt namnområde. Om du vill omvandla information från ett hierarkiskt namnområde till ett platt namnområde använder synkroniseringsmotorn platshållare för att bevara hierarkin.
Varje platshållare representerar en komponent (till exempel en organisationsenhet) av ett objekts hierarkiska namn som inte har importerats till synkroniseringsmotorn, men som krävs för att konstruera det hierarkiska namnet. De fyller luckor som skapas av referenser i den anslutna datakällan till objekt som inte mellanlagringsobjekt i anslutningsutrymmet.
Synkroniseringsmotorn använder också platshållare för att lagra refererade objekt som ännu inte har importerats. Om synkronisering till exempel har konfigurerats för att inkludera manager-attributet för Abbie Spencer-objektet och det mottagna värdet är ett objekt som inte har importerats ännu, till exempel CN=Lee Sperry,CN=Users,DC=fabrikam,DC=com, lagras chefsinformationen som platshållare i anslutningsutrymmet. Om hanteringsobjektet importeras senare skrivs platshållarobjektet över av mellanlagringsobjektet som representerar chefen.
Metaversumobjekt
Ett metaversumobjekt innehåller den aggregerade vy som synkroniseringsmotorn har av mellanlagringsobjekten i anslutningsutrymmet. Synkroniseringsmotorn skapar metaversumobjekt med hjälp av informationen i importobjekt. Flera anslutningsobjekt kan länkas till ett enda metaversumobjekt, men ett kopplingsutrymmesobjekt kan inte länkas till fler än ett metaversumobjekt.
Metaversumobjekt kan inte skapas eller tas bort manuellt. Synkroniseringsmotorn tar automatiskt bort metaversumobjekt som inte har någon länk till något kopplingsutrymmeobjekt i anslutningsutrymmet.
Om du vill mappa objekt i en ansluten datakälla till en motsvarande objekttyp i metaversumet tillhandahåller synkroniseringsmotorn ett utökningsbart schema med en fördefinierad uppsättning objekttyper och associerade attribut. Du kan skapa nya objekttyper och attribut för metaversumobjekt. Attribut kan vara envärdes- eller flervärdestyper och attributtyperna kan vara strängar, referenser, tal och booleska värden.
Relationer mellan mellanlagringsobjekt och metaversumobjekt
I namnområdet för synkroniseringsmotorn aktiveras dataflödet av länkrelationen mellan mellanlagringsobjekt och metaversumobjekt. Ett mellanlagringsobjekt som är länkat till ett metaversumobjekt kallas för ett kopplat objekt (eller anslutningsobjekt). Ett mellanlagringsobjekt som inte är länkat till ett metaversumobjekt kallas för ett osammanhängande objekt (eller frånkopplingsobjekt). De termer som är kopplade till och från varandra bör inte förväxlas med de Anslut orer som ansvarar för att importera och exportera data från en ansluten katalog.
Platshållare länkas aldrig till ett metaversumobjekt
Ett kopplat objekt består av ett mellanlagringsobjekt och dess länkade relation till ett enda metaversumobjekt. Anslutna objekt används för att synkronisera attributvärden mellan ett anslutningsutrymmesobjekt och ett metaversumobjekt.
När ett mellanlagringsobjekt blir ett kopplat objekt under synkroniseringen kan attribut flöda mellan mellanlagringsobjektet och metaversumobjektet. Attributflödet är dubbelriktat och konfigureras med hjälp av importattributregler och exportattributregler.
Ett enda anslutningsutrymmesobjekt kan bara länkas till ett metaversumobjekt. Varje metaversumobjekt kan dock länkas till flera anslutningsobjekt i samma eller i olika kopplingsutrymmen, som du ser i följande bild.
Den länkade relationen mellan mellanlagringsobjektet och ett metaversumobjekt är beständig och kan endast tas bort av regler som du anger.
Ett disjoinerat objekt är ett mellanlagringsobjekt som inte är länkat till något metaversumobjekt. Attributvärdena för ett disjoinerat objekt bearbetas inte längre i metaversumet. Attributvärdena för motsvarande objekt i den anslutna datakällan uppdateras inte av synkroniseringsmotorn.
Genom att använda olika objekt kan du lagra identitetsinformation i synkroniseringsmotorn och bearbeta den senare. Det finns många fördelar med att behålla ett mellanlagringsobjekt som ett osammanslagat objekt i anslutningsutrymmet. Eftersom systemet redan har mellanlagrat nödvändig information om det här objektet, är det inte nödvändigt att skapa en representation av objektet igen under nästa import från den anslutna datakällan. På så sätt har synkroniseringsmotorn alltid en fullständig ögonblicksbild av den anslutna datakällan, även om det inte finns någon aktuell anslutning till den anslutna datakällan. Uppdelade objekt kan konverteras till anslutna objekt och vice versa, beroende på de regler som du anger.
Ett importobjekt skapas som ett osammanslutet objekt. Ett exportobjekt måste vara ett kopplat objekt. Systemlogik framtvingar den här regeln och tar bort alla exportobjekt som inte är ett kopplat objekt.
Identitetshanteringsprocess för synkroniseringsmotor
Identitetshanteringsprocessen styr hur identitetsinformation uppdateras mellan olika anslutna datakällor. Identitetshantering sker i tre processer:
- Importera
- Synkronisering
- Export
Under importen utvärderar synkroniseringsmotorn inkommande identitetsinformation från en ansluten datakälla. När ändringar identifieras skapar den antingen nya mellanlagringsobjekt eller uppdaterar befintliga mellanlagringsobjekt i anslutningsprogrammets utrymme för synkronisering.
Under synkroniseringsprocessen uppdaterar synkroniseringsmotorn metaversum för att återspegla ändringar som har inträffat i anslutningsprogrammets utrymme och uppdaterar anslutningsutrymmet så att det återspeglar ändringar som har inträffat i metaversumet.
Under exportprocessen push-överför synkroniseringsmotorn ändringar som mellanlagras på mellanlagringsobjekt och som flaggas som väntande export.
Följande bild visar var var och en av processerna sker när identitetsinformation flödar från en ansluten datakälla till en annan.
Importprocess
Under importprocessen utvärderar synkroniseringsmotorn uppdateringar av identitetsinformation. Synkroniseringsmotorn jämför identitetsinformationen som tas emot från den anslutna datakällan med identitetsinformationen om ett mellanlagringsobjekt och avgör om mellanlagringsobjektet kräver uppdateringar. Om det är nödvändigt att uppdatera mellanlagringsobjektet med nya data flaggas mellanlagringsobjektet som väntande import.
Genom att mellanlagringsobjekt i anslutningsprogrammets utrymme före synkroniseringen kan synkroniseringsmotorn endast bearbeta den identitetsinformation som har ändrats. Den här processen ger följande fördelar:
- Effektiv synkronisering. Mängden data som bearbetas under synkroniseringen minimeras.
- Effektiv omsynkronisering. Du kan ändra hur synkroniseringsmotorn bearbetar identitetsinformation utan att återansluta synkroniseringsmotorn till datakällan.
- Möjlighet att förhandsgranska synkronisering. Du kan förhandsgranska synkroniseringen för att kontrollera att dina antaganden om identitetshanteringsprocessen är korrekta.
För varje objekt som anges i Anslut eller försöker synkroniseringsmotorn först hitta en representation av objektet i Anslut orns kopplingsutrymme. Synkroniseringsmotorn undersöker alla mellanlagringsobjekt i anslutningsutrymmet och försöker hitta ett motsvarande mellanlagringsobjekt som har ett matchande fästpunktsattribut. Om inget befintligt mellanlagringsobjekt har ett matchande fästpunktsattribut försöker synkroniseringsmotorn hitta ett motsvarande mellanlagringsobjekt med samma unika namn.
När synkroniseringsmotorn hittar ett mellanlagringsobjekt som matchar med unikt namn men inte efter fästpunkt, inträffar följande speciella beteende:
- Om objektet som finns i anslutningsprogrammets utrymme inte har något fästpunkt tar synkroniseringsmotorn bort det här objektet från anslutningsutrymmet och markerar det metaversumobjekt som det är länkat till som etablering vid nästa synkroniseringskörning. Sedan skapas det nya importobjektet.
- Om objektet som finns i anslutningsprogrammets utrymme har en fästpunkt förutsätter synkroniseringsmotorn att objektet antingen har bytt namn eller tagits bort i den anslutna katalogen. Det tilldelar ett tillfälligt, nytt unikt namn för anslutningsobjektet så att det kan mellanlagra det inkommande objektet. Det gamla objektet blir sedan tillfälligt och väntar på att Anslut eller ska importera namnbytet eller borttagningen för att lösa situationen.
Tillfälliga objekt är inte alltid ett problem, och du kan se dem även i en felfri miljö. Med Microsoft Entra Anslut Sync V2-slutpunkts-API bör tillfälliga objekt matcha automatiskt i efterföljande deltasynkroniseringscykler. Ett vanligt exempel där du kan hitta tillfälliga objekt som genereras sker på Microsoft Entra Anslut servrar som är installerade i mellanlagringsläge, när en administratör permanent tar bort ett objekt direkt i Microsoft Entra-ID med PowerShell och senare synkroniserar objektet igen.
Om synkroniseringsmotorn letar upp ett mellanlagringsobjekt som motsvarar det objekt som anges i Anslut eller avgör den vilken typ av ändringar som ska tillämpas. Synkroniseringsmotorn kan till exempel byta namn på eller ta bort objektet i den anslutna datakällan, eller så kanske den bara uppdaterar objektets attributvärden.
Mellanlagringsobjekt med uppdaterade data markeras som väntande import. Det finns olika typer av väntande importer. Beroende på resultatet av importprocessen har ett mellanlagringsobjekt i anslutningsutrymmet någon av följande väntande importtyper:
- Ingen. Inga ändringar av något av attributen för mellanlagringsobjektet är tillgängliga. Synkroniseringsmotorn flaggar inte den här typen som väntande import.
- Lägg till. Mellanlagringsobjektet är ett nytt importobjekt i anslutningsutrymmet. Synkroniseringsmotorn flaggar den här typen som väntande import för ytterligare bearbetning i metaversum.
- Uppdatera. Synkroniseringsmotorn hittar ett motsvarande mellanlagringsobjekt i anslutningsutrymmet och flaggar den här typen som väntande import så att uppdateringar av attributen kan bearbetas i metaversumet. Uppdateringar inkludera objektbyte.
- Ta bort. Synkroniseringsmotorn hittar ett motsvarande mellanlagringsobjekt i anslutningsprogrammets utrymme och flaggar den här typen som väntande import så att det anslutna objektet kan tas bort.
- Ta bort/lägg till. Synkroniseringsmotorn hittar ett motsvarande mellanlagringsobjekt i anslutningsutrymmet, men objekttyperna matchar inte. I det här fallet mellanlagras en ändring av borttagningstillägget. En ändring av borttagningstillägget anger för synkroniseringsmotorn att en fullständig omsynkronisering av det här objektet måste ske eftersom olika regeluppsättningar gäller för det här objektet när objekttypen ändras.
Genom att ange den väntande importstatusen för ett mellanlagringsobjekt är det möjligt att avsevärt minska mängden data som bearbetas under synkroniseringen eftersom det gör att systemet endast kan bearbeta de objekt som har uppdaterade data.
Synkroniseringsprocess
Synkronisering består av två relaterade processer:
- Inkommande synkronisering när innehållet i metaversumet uppdateras med hjälp av data i anslutningsutrymmet.
- Utgående synkronisering, när innehållet i anslutningsprogrammets utrymme uppdateras med hjälp av data i metaversum.
Genom att använda den information som mellanlagras i anslutningsprogrammets utrymme skapar den inkommande synkroniseringsprocessen en integrerad vy av data i metaversum som lagras i de anslutna datakällorna. Antingen aggregeras alla mellanlagringsobjekt eller endast de med väntande importinformation, beroende på hur reglerna konfigureras.
Den utgående synkroniseringsprocessen uppdaterar exportobjekt när metaversumobjekt ändras.
Inkommande synkronisering skapar den integrerade vyn i metaversum för den identitetsinformation som tas emot från de anslutna datakällorna. Synkroniseringsmotorn kan bearbeta identitetsinformation när som helst med hjälp av den senaste identitetsinformationen som den har från den anslutna datakällan.
Inkommande synkronisering
Inkommande synkronisering innehåller följande processer:
- Etablera (kallas även Projektion om det är viktigt att skilja den här processen från utgående synkroniseringsetablering). Sync-motorn skapar ett nytt metaversumobjekt baserat på ett mellanlagringsobjekt och länkar dem. Etablering är en åtgärd på objektnivå.
- Join. Sync-motorn länkar ett mellanlagringsobjekt till ett befintligt metaversumobjekt. En koppling är en åtgärd på objektnivå.
- Importera attributflöde. Synkroniseringsmotorn uppdaterar attributvärdena, som kallas attributflöde, för objektet i metaversum. Importattributflöde är en åtgärd på attributnivå som kräver en länk mellan ett mellanlagringsobjekt och ett metaversumobjekt.
Etablering är den enda process som skapar objekt i metaversum. Etableringen påverkar endast importobjekt som är uppdelade objekt. Under etableringen skapar synkroniseringsmotorn ett metaversumobjekt som motsvarar objekttypen för importobjektet och upprättar en länk mellan båda objekten, vilket skapar ett kopplat objekt.
Kopplingsprocessen upprättar också en länk mellan importobjekt och ett metaversumobjekt. Skillnaden mellan koppling och etablering är att kopplingsprocessen kräver att importobjektet är länkat till ett befintligt metaversumobjekt, där etableringsprocessen skapar ett nytt metaversumobjekt.
Synkroniseringsmotorn försöker ansluta ett importobjekt till ett metaversumobjekt med hjälp av villkor som anges i konfigurationen av synkroniseringsregeln.
Under etablerings- och kopplingsprocesserna länkar synkroniseringsmotorn ett disjoinerat objekt till ett metaversumobjekt, vilket gör dem anslutna. När dessa åtgärder på objektnivå har slutförts kan synkroniseringsmotorn uppdatera attributvärdena för det associerade metaversumobjektet. Den här processen kallas för importattributflöde.
Importattributflödet sker på alla importobjekt som innehåller nya data och som är länkade till ett metaversumobjekt.
Utgående synkronisering
Utgående synkronisering uppdaterar exportobjekt när ett metaversumobjekt ändras men inte tas bort. Målet med utgående synkronisering är att utvärdera om ändringar i metaversumobjekt kräver uppdateringar av mellanlagringsobjekt i anslutningsutrymmena. I vissa fall kan ändringarna kräva att mellanlagringsobjekt i alla anslutningsutrymmen uppdateras. Mellanlagringsobjekt som ändras flaggas som väntande export, vilket gör att de exporterar objekt. Dessa exportobjekt skickas senare ut till den anslutna datakällan under exportprocessen.
Utgående synkronisering har tre processer:
- Etablering
- Avetablering
- Exportera attributflöde
Etablering och avetablering är båda åtgärder på objektnivå. Avetablering beror på etablering eftersom endast etablering kan initiera den. Avetablering utlöses när etableringen tar bort länken mellan ett metaversumobjekt och ett exportobjekt.
Etablering utlöses alltid när ändringar tillämpas på objekt i metaversum. När ändringar görs i metaversumobjekt kan synkroniseringsmotorn utföra någon av följande uppgifter som en del av etableringsprocessen:
- Skapa kopplade objekt, där ett metaversumobjekt är länkat till ett nyligen skapat exportobjekt.
- Byt namn på ett kopplat objekt.
- Koppla samman länkar mellan ett metaversumobjekt och mellanlagringsobjekt, vilket skapar ett osammanslutet objekt.
Om etablering kräver att synkroniseringsmotorn skapar ett nytt anslutningsobjekt är mellanlagringsobjektet som metaversumobjektet är länkat till alltid ett exportobjekt, eftersom objektet ännu inte finns i den anslutna datakällan.
Om etableringen kräver synkroniseringsmotor för att koppla från ett kopplat objekt utlöses avetablering när ett osammanslutet objekt skapas. Avetableringsprocessen tar bort objektet.
När ett exportobjekt tas bort tas inte objektet bort fysiskt under avetablering. Objektet flaggas som borttaget, vilket innebär att borttagningsåtgärden mellanlagras på objektet.
Exportattributflödet sker också under den utgående synkroniseringsprocessen, på samma sätt som importattributflödet sker under inkommande synkronisering. Exportattributflödet sker endast mellan metaversum- och exportobjekt som är anslutna.
Exportprocess
Under exportprocessen undersöker synkroniseringsmotorn alla exportobjekt som flaggas som väntande export i anslutningsprogrammets utrymme och skickar sedan uppdateringar till den anslutna datakällan.
Synkroniseringsmotorn kan avgöra om en export lyckades, men den kan inte tillräckligt fastställa att identitetshanteringsprocessen är klar. Objekt i den anslutna datakällan kan alltid ändras av andra processer. Eftersom synkroniseringsmotorn inte har en beständig anslutning till den anslutna datakällan räcker det inte att göra antaganden om egenskaperna för ett objekt i den anslutna datakällan baserat på ett lyckat exportmeddelande.
En process i den anslutna datakällan kan till exempel ändra objektets attribut tillbaka till sina ursprungliga värden (det vill säga att den anslutna datakällan kan skriva över värdena omedelbart efter att data har push-överförts av synkroniseringsmotorn och tillämpats i den anslutna datakällan).
Synkroniseringsmotorn lagrar export- och importstatusinformation om varje mellanlagringsobjekt. Om värdena för de attribut som anges i listan över attributinkludering har ändrats sedan den senaste exporten, gör lagringen av import- och exportstatus att synkroniseringsmotorn kan reagera på rätt sätt. Synkroniseringsmotorn använder importprocessen för att bekräfta attributvärden som har exporterats till den anslutna datakällan. En jämförelse mellan den importerade och exporterade informationen, som visas i följande bild, gör det möjligt för synkroniseringsmotorn att avgöra om exporten lyckades eller om den behöver upprepas.
Om synkroniseringsmotorn till exempel exporterar attributet C, som har värdet 5, till en ansluten datakälla, lagrar den C=5 i sitt exportstatusminne. Varje ytterligare export av det här objektet resulterar i ett försök att exportera C=5 till den anslutna datakällan igen eftersom synkroniseringsmotorn förutsätter att det här värdet inte har tillämpats beständigt på objektet (det vill säga om inte ett annat värde nyligen importerades från den anslutna datakällan). Exportminnet rensas när C=5 tas emot under en importåtgärd på objektet.
Nästa steg
Läs mer om Microsoft Entra Anslut Sync-konfigurationen.
Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.