Microsoft Entra-Architektur für die lokale Bereitstellung einer Anwendungsidentität

Überblick

Das folgende Diagramm enthält eine Übersicht über die Funktionsweise der lokalen Anwendungsbereitstellung.

Diagramm, das die Architektur für die lokale Anwendungsbereitstellung zeigt.

Es gibt drei Hauptkomponenten für die Bereitstellung von Benutzern in einer lokalen Anwendung:

  • Der Bereitstellungs-Agent ermöglicht die Konnektivität zwischen Microsoft Entra ID und Ihrer lokalen Umgebung.
  • Der Extensible Connectivity (ECMA) Connector-Host konvertiert Bereitstellungsanforderungen von Microsoft Entra ID in Anforderungen, die an Ihre Zielanwendung gesendet werden. Er dient als Gateway zwischen Microsoft Entra ID und Ihrer Anwendung. Sie können es verwenden, um vorhandene ECMA2-Connectors zu importieren, die mit dem Microsoft Identity Manager verwendet werden. Der ECMA-Host ist nicht erforderlich, wenn Sie eine SCIM-Anwendung oder ein SCIM-Gateway erstellt haben.
  • Der Microsoft Entra-Bereitstellungsdienst dient als Synchronisierungs-Engine.

Hinweis

Eine Synchronisierung mit dem Microsoft Identity Manager ist nicht erforderlich. Sie können sie aber verwenden, um Ihren ECMA2-Connector zu erstellen und zu testen, bevor Sie diesen auf den ECMA-Host importieren. Der ECMA2-Connector ist MIM-spezifisch, wobei der ECMA-Host für die Verwendung mit dem Bereitstellungsagenten spezifisch ist.

Firewallanforderungen

Sie müssen keine eingehenden Verbindungen mit dem Unternehmensnetzwerk öffnen. Für die Bereitstellungs-Agenten werden nur ausgehende Verbindungen mit dem Bereitstellungsdienst verwendet. Dies bedeutet, dass keine Firewallports für eingehende Verbindungen geöffnet werden müssen. Sie benötigen auch kein Umkreisnetzwerk (DMZ), da alle Verbindungen in ausgehender Richtung verlaufen und über einen sicheren Kanal erfolgen.

Die erforderlichen ausgehenden Endpunkte für die Bereitstellungs-Agents sind hier detailliert beschrieben.

Architektur des ECMA-Connector-Hosts

Der ECMA-Verbindungs-Host hat mehrere funktionale Bereiche, die zur Umsetzung einer lokalen Bereitstellung verwendet werden. Das folgende Diagramm ist eine konzeptionelle Zeichnung, die diese einzelnen Bereiche darstellt. In der nachstehenden Tabelle werden die Bereiche ausführlicher beschrieben.

ECMA-Connectorhost

Bereich BESCHREIBUNG
Endpunkte Verantwortlich für die Kommunikation und Datenübertragung mit dem Microsoft Entra-Bereitstellungsdienst.
In-Memory-Cache Wird verwendet, um die aus der lokalen Datenquelle importierten Daten zu speichern.
Automatische Synchronisierung Ermöglicht eine asynchrone Datensynchronisierung zwischen dem ECMA-Connectorhost und der lokalen Datenquelle.
Geschäftslogik Wird verwendet, um alle ECMA-Connectorhostaktivitäten zu koordinieren. Der Autosync-Zeitpunkt kann im ECMA-Host konfiguriert werden. Dies befindet sich auf der Eigenschaftenseite.

Grundlegendes zu Ankerattributen und DNs (Distinguished Names)

Die folgenden Informationen dienen zur besseren Erläuterung der Ankerattribute und der Distinguished Names (DNs), die vom genericSQL-Connector verwendet werden.

Das Ankerattribut ist ein eindeutiges Attribut eines Objekttyps, das sich nicht ändert und dieses Objekt im In-Memory-Cache des ECMA-Connector-Hosts repräsentiert.

Der Distinguished Name (DN) ist ein Name, der ein Objekt eindeutig identifiziert, indem er dessen aktuellen Speicherort in der Verzeichnishierarchie angibt. Oder mit SQL in der Partition. Der Name wird durch Verketten des Ankerattributs am Stamm der Verzeichnispartition gebildet.

Bei klassischen DNs in einem herkömmlichen Format, z. B. für Active Directory oder LDAP, stellen wir uns einen Namen ähnlich dem folgenden vor:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Für eine Datenquelle wie beispielsweise SQL, die flach und nicht hierarchisch aufgebaut ist, muss der DN jedoch entweder bereits in einer der Tabellen vorhanden sein oder anhand der Informationen erstellt werden, die wir dem ECMA-Connectorhost bereitstellen.

Dies kann erreicht werden, indem das Kontrollkästchen Autogenerated beim Konfigurieren des genericSQL-Connectors aktiviert wird. Wenn Sie wählen, dass der DN automatisch generiert werden soll, generiert der ECMA-Host einen DN im LDAP-Format: CN=<anchorvalue>,OBJECT=<type>. Dies setzt auch voraus, dass auf der Seite für die Konnektivität die Option „DN ist Anker“ deaktiviert ist.

DN ist Anker deaktiviert

Der genericSQL-Connector erwartet, dass der DN im LDAP-Format aufgefüllt wird. Der genericSQL-Connector verwendet das LDAP-Format mit dem Komponentennamen „OBJECT=“. Dies ermöglicht die Verwendung von Partitionen (jeder Objekttyp ist eine Partition).

Da der ECMA-Connectorhost derzeit nur den USER-Objekttyp unterstützt, wird der OBJECT=<type> als OBJECT=USER festgelegt. Der DN für einen Benutzer mit dem Ankerwert „ljacobson“ würde also folgendermaßen lauten:

CN=ljacobson,OBJECT=USER

Workflow für die Benutzererstellung

  1. Der Microsoft Entra-Bereitstellungsdienst fragt den ECMA Connector Host ab, um zu ermitteln, ob der Benutzer oder die Benutzerin vorhanden ist. Es verwendet das übereinstimmende Attribut als Filter. Dieses Attribut wird im Microsoft Entra Admin Center unter „Unternehmensanwendungen“ –> „Lokale Bereitstellung“ –> „Bereitstellung“ –> „Attributabgleich“ definiert. Es wird mit der 1 für die Rangfolge für den Abgleich gekennzeichnet. Sie können ein oder mehrere übereinstimmende Attribute definieren und basierend auf der Rangfolge priorisieren. Falls Sie das Attribut für den Abgleich ändern möchten, ist dies ebenfalls möglich. Übereinstimmendes Attribut

  2. Der ECMA-Connectorhost empfängt die GET-Anforderung und fragt den internen Cache ab, um zu ermitteln, ob der Benutzer vorhanden ist und importiert wurde. Dies erfolgt mit dem/den oben genannten übereinstimmenden Attribut(n). Wenn Sie mehrere übereinstimmende Attribute definieren, sendet der Microsoft Entra-Bereitstellungsdienst eine GET-Anforderung für jedes Attribut, und der ECMA-Host überprüft seinen Cache auf eine Übereinstimmung, bis er eine findet.

  3. Wenn der Benutzende nicht existiert, stellt Microsoft Entra ID eine POST-Anfrage, um den Benutzenden anzulegen. Der ECMA Connector Host antwortet mit HTTP 201 auf die Microsoft Entra ID und gibt eine ID für den Benutzenden an. Diese ID wird vom Ankerwert abgeleitet, der auf der Seite der Objekttypen definiert ist. Microsoft Entra ID verwendet diesen Anker in nachfolgenden Anforderungen, um den ECMA-Connectorhost abzufragen.

  4. Wenn sich der Benutzende in Microsoft Entra ID ändert, stellt Microsoft Entra ID eine GET-Anfrage, um den Benutzenden unter Verwendung des Ankers aus dem vorherigen Schritt und nicht des passenden Attributs aus Schritt 1 abzurufen. So kann z. B. der UPN geändert werden, ohne dass die Verbindung zwischen dem Benutzer/der Benutzerin in Microsoft Entra ID und in der App unterbrochen wird.

Bewährte Methoden für den Agent

    • Vermeiden Sie alle Arten von Inline-Untersuchungen der ausgehenden TLS-Kommunikation zwischen den Agents und Azure. Diese Art der Inline-Untersuchung führt zu einer Verschlechterung des Kommunikationsflusses.
  • Der Agent muss sowohl mit Azure als auch mit Ihren Anwendungen kommunizieren. Daher wirkt sich die Platzierung des Agenten auf die Latenz dieser beiden Verbindungen aus. Sie können die Wartezeit des End-to-End-Datenverkehrs verringern, indem Sie die einzelnen Netzwerkverbindungen optimieren. Möglichkeiten, wie Sie jede Verbindung optimieren können, umfassen:
  • Reduzieren Sie den Abstand zwischen den beiden Enden des Hops.
  • Wählen Sie das richtige zu durchlaufende Netzwerk. Wenn beispielsweise, anstelle des öffentlichen Internets beispielsweise ein privates Netzwerk durchlaufen wird, kann dies aufgrund von dedizierten Links schneller gehen.
  • Der Agent verwendet Zertifikate für die sichere Kommunikation. Ausführliche Informationen zu den beiden zertifikaten, die das System verwendet, einschließlich Ablaufverhalten und Empfehlungen für die Produktionsverwendung, finden Sie unter Zertifikatverwaltung.

Zertifikatverwaltung

Die lokale Anwendungsbereitstellung basiert auf zwei unterschiedlichen Zertifikaten. Das Verständnis beider Zertifikate hilft Ihnen, Produktionsbereitstellungen zu planen, die Integrität der Agenten zu überwachen und Dienstunterbrechungen zu verhindern.

ECMA Connector Host-Zertifikat

Der Microsoft Entra ECMA Connector Host macht einen HTTPS-Endpunkt auf Port 8585 (https://localhost:8585/ecma2host_<connectorName>/scim) verfügbar, den der Bereitstellungs-Agent aufruft. Das TLS-Zertifikat, das der ECMA Connector Host verwendet, sichert diesen Endpunkt. Beim ersten Ausführen des Microsoft ECMA2Host-Konfigurations-Assistenten werden Sie aufgefordert, ein Zertifikat zu erstellen, indem Sie Generate certificate auswählen. Das automatisch generierte Zertifikat ist selbstsigniert, und der Subject Alternative Name (SAN) des Zertifikats entspricht dem Hostnamen.

Wichtige Fakten zum ECMA Connector-Hostzertifikat:

  • Das selbstsignierte Zertifikat ist nur zum Testen vorgesehen. Er läuft standardmäßig in zwei Jahren ab und kann nicht widerrufen werden. Microsoft empfiehlt die Verwendung eines Zertifikats, das von einer vertrauenswürdigen Zertifizierungsstelle für die Produktionsverwendung ausgestellt wurde.
  • Der Zertifikatsbetreff muss mit dem Hostnamen des Windows Servers übereinstimmen, auf dem der ECMA Connector-Host installiert ist. Weitere Informationen finden Sie unter SSL-Zertifikate.
  • Ersetzen Sie abgelaufene Zertifikate manuell. Wechseln Sie zur Registerkarte "Einstellungen" des ECMA-Hosts, um das Ablaufdatum des Zertifikats anzuzeigen. Wenn das Zertifikat abgelaufen ist, wählen Sie " Zertifikat generieren " aus, um ein neues Zertifikat zu erstellen. Eine schrittweise Anleitung finden Sie unter "Problembehandlung bei Testverbindungsproblemen".

Bereitstellungs-Agent-Registrierungszertifikat

Der Bereitstellungs-Agent verwendet ein separates Zertifikat, um sich während der Installation beim Microsoft Hybrid Identity Service (HIS) zu registrieren. Der Agent erstellt dieses Zertifikat während des Setups und verwendet Ihr Microsoft Entra Token, um sowohl den Agent als auch das Zertifikat beim HIS-Registrierungsdienst zu registrieren. Weitere Informationen dazu, wie sich der Agent bei HIS registriert, finden Sie in der Agent-Installation.

Important

Cloudsynchronisierungsdokumente ein entsprechendes Bereinigungsszenario: Wenn ein Cloudsynchronisierungs-Agent deinstalliert oder beendet wurde und das Zertifikat dann abläuft, wird der Agent dauerhaft entfernt und kann nicht mehr mit Microsoft-Dienste interagieren. Weitere Informationen finden Sie unter Agent-Entfernung aus dem Portal nach der Deinstallation. Wenden Sie sich für die lokale Anwendungsbereitstellung an Microsoft Support, wenn Sie Anleitungen zur Lebensdauer oder Wiederherstellung von Registrierungszertifikaten benötigen.

So minimieren Sie das Risiko von Dienstunterbrechungen:

  • Überwachen Sie die Agentengesundheit regelmäßig über das Microsoft Entra Admin Center.
  • Planen Sie den Austausch des ECMA Connector Host-Zertifikats vor dem Ablauf des selbstsignierten Zertifikats, das auf zwei Jahre begrenzt ist.
  • Ersetzen Sie für Produktionsbereitstellungen das selbstsignierte ECMA Connector Host-Zertifikat durch ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Hochverfügbarkeit

Die folgenden Informationen werden für Hochverfügbarkeits-/Failoverszenarien bereitgestellt.

Für lokale Apps, die den ECMA-Connector verwenden: Die Empfehlung besteht darin, pro Rechenzentrum einen aktiven Agenten und einen passiven Agenten (konfiguriert, aber gestoppt, nicht mit der Unternehmensanwendung in Microsoft Entra verknüpft) zu haben.

Beim Ausführen eines Failovers wird folgendes empfohlen:

  1. Beenden Sie den aktiven Agent (A).
  2. Heben Sie die Zuweisung von Agent A aus der Unternehmensanwendung auf.
  3. Starten Sie den passiven Agent (B) neu.
  4. Weisen Sie Agent B der Unternehmensanwendung zu.

Diagramm der hohen Verfügbarkeit mit ECMA-Verbinder.

Für lokale Apps, die den SCIM-Connector verwenden: Die Empfehlung besteht darin, zwei aktive Agents pro Anwendung zu verwenden.

Diagramm der hohen Verfügbarkeit mit SCIM-Verbinder.

Fragen zum Bereitstellungs-Agent

Hier werden einige häufig gestellte Fragen beantwortet.

Wie kann ich die Version meines Bereitstellungsagenten ermitteln?

  1. Melden Sie sich bei dem Windows Server an, auf dem der Bereitstellungs-Agent installiert ist.
  2. Wechseln Sie zur Systemsteuerung>deinstallieren oder ändern Sie ein Programm.
  3. Suchen Sie nach der Version, die dem Eintrag für den Microsoft Entra Connect-Bereitstellungs-Agent entspricht.

Kann ich den Bereitstellungs-Agent auf demselben Server installieren, auf dem Microsoft Entra Connect oder Microsoft Identity Manager ausgeführt wird?

Ja. Sie können den Bereitstellungs-Agent auf demselben Server installieren, auf dem Microsoft Entra Connect oder Microsoft Identity Manager ausgeführt wird, aber das ist nicht zwingend erforderlich.

Wie konfiguriere ich den Bereitstellungs-Agent, damit dieser einen Proxyserver für die ausgehende HTTP-Kommunikation verwendet?

Der Bereitstellungs-Agent unterstützt die Verwendung von Proxys für ausgehenden Datenverkehr. Sie können sie konfigurieren, indem Sie die Agent-Konfigurationsdatei C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.configbearbeiten. Fügen Sie die folgenden Zeilen am Ende der Datei direkt vor dem schließenden </configuration> Tag hinzu. Ersetzen Sie die Variablen [proxy-server] und [proxy-port] durch den Namen Ihres Proxyservers und die Portwerte.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Wie stelle ich sicher, dass der Bereitstellungs-Agent mit dem Microsoft Entra-Mandanten kommunizieren kann und dass keine Firewalls die vom Agenten benötigten Ports blockieren?

Sie können auch überprüfen, ob alle erforderlichen Ports geöffnet sind.

Wie deinstalliere ich den Bereitstellungs-Agent?

  1. Melden Sie sich bei dem Windows Server an, auf dem der Bereitstellungs-Agent installiert ist.
  2. Wechseln Sie zur Systemsteuerung>deinstallieren oder ändern Sie ein Programm.
  3. Deinstallieren Sie die folgenden Programme:
  • Microsoft Entra Connect-Bereitstellungs-Agent
  • Microsoft Entra Connect Agent Updater (Software zur Aktualisierung des Entra-Connect-Agents)
  • Paket für Microsoft Entra Connect-Bereitstellungs-Agent

Updates für Agenten

Microsoft veröffentlicht regelmäßig neue Versionen des Bereitstellungs-Agents mit Features, Fixes und Updates. Die aktuellen Versionsverlauf- und Versionshinweise finden Sie unter Microsoft Entra Connect Provisioning Agent: Versionsverlauf.

Important

Der Bereitstellungs-Agent unterstützt derzeit keine automatischen Updates für das Szenario der lokalen Anwendungsbereitstellung. Sie müssen den Agent manuell aktualisieren, wenn eine neue Version veröffentlicht wird. Weitere Informationen finden Sie im Artikel zu "Bekannte Probleme", siehe Bereitstellungs-Agent.

So halten Sie Ihren Agent auf dem laufenden:

  • Überprüfen Sie regelmäßig im Microsoft Entra Admin Center oder im Veröffentlichungsverlauf des Bereitstellungsagents auf neue Versionen.
  • Planen Sie Agentupdates während geplanter Wartungsfenster, um auswirkungen auf die Bereitstellung zu minimieren.
  • Microsoft stellt direkte Unterstützung für die neueste Agent-Version und eine Version davor bereit. Bleiben Sie in diesen unterstützten Versionen, damit Sie Hilfe erhalten können, wenn Sie sie benötigen.

Nächste Schritte

  • Last updated on