Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vue d’ensemble
Le diagramme suivant présente une vue d’ensemble du fonctionnement du provisionnement d’applications local.
Il existe trois composants principaux pour provisionner les utilisateurs dans une application locale :
- L'agent de provisionnement assure la connectivité entre Microsoft Entra ID et votre environnement local.
- Le connecteur ECMA (Extensible Connectivity) convertit les demandes d'approvisionnement provenant de Microsoft Entra ID en demandes adressées à votre application cible. Il sert de passerelle entre Microsoft Entra ID et votre application. Vous pouvez l’utiliser pour importer les connecteurs ECMA2 existants utilisés avec Microsoft Identity Manager. L’hôte ECMA n’est pas obligatoire si vous avez créé une application SCIM ou une passerelle SCIM.
- Le service de provisionnement Microsoft Entra sert de moteur de synchronisation.
Note
La synchronisation de Microsoft Identity Manager n’est pas obligatoire. Toutefois, vous pouvez l’utiliser pour créer et tester votre connecteur ECMA2 avant de l’importer dans l’hôte ECMA. Le connecteur ECMA2 est spécifique à MIM, tandis que l'hôte ECMA est spécifique à l'utilisation avec l'agent de provisionnement.
Configuration requise du pare-feu
Vous n’avez pas besoin d’ouvrir de connexion sortante sur le réseau d’entreprise. Les agents de provisionnement utilisent uniquement des connexions sortantes vers le service de provisionnement, ce qui signifie qu’il n’est pas nécessaire d’ouvrir des ports de pare-feu pour les connexions entrantes. Vous n’avez pas non plus besoin de réseau de périmètre (DMZ) parce que toutes les connexions sont sortantes et sur un canal sécurisé.
Les points de terminaison sortants requis pour les agents d’approvisionnement sont détaillés ici.
Architecture de l’hôte connecteur ECMA
L’hôte connecteur ECMA utilise plusieurs zones pour effectuer la configuration locale. Le diagramme suivant est un dessin conceptuel qui présente ces zones individuelles. La table ci-dessous décrit les zones plus en détail.
| Domaine | Descriptif |
|---|---|
| Points de terminaison | Responsable de la communication et du transfert de données avec le service d'approvisionnement Microsoft Entra |
| Cache en mémoire | Utilisé pour stocker les données importées à partir de la source de données locale |
| Synchronisation automatique | Assure la synchronisation asynchrone des données entre l’hôte connecteur ECMA et la source de données locale |
| Logique métier | Utilisé pour coordonner toutes les activités d’hôte connecteur ECMA. L’heure de synchronisation automatique est configurable dans l’hôte ECMA. Elle se trouve dans la page Propriétés. |
À propos des attributs d’ancre et des noms uniques
Les informations suivantes sont fournies pour mieux expliquer les attributs d’ancrage et les noms uniques utilisés par le connecteur genericSQL.
L'attribut d'ancre est un attribut unique d'un type d'objet qui ne change pas et représente cet objet dans le cache en mémoire de l'hôte connecteur ECMA.
Le nom unique (DN) est un nom qui identifie de façon unique un objet en indiquant son emplacement actuel dans la hiérarchie de répertoires. Ou avec SQL, dans la partition. Le nom est formé en concaténant l’attribut d’ancre à la racine de la partition du répertoire.
Lorsque nous considérons les DN traditionnels dans un format traditionnel, par exemple, Active Directory ou LDAP, nous pensons à quelque chose de similaire à :
CN=Lola Jacobson,CN=Users,DC=contoso,DC=com
Toutefois, pour une source de données telle que SQL, qui est plate et non hiérarchique, le DN doit être déjà présent dans l’une des tables ou créé à partir des informations que nous fournissons à l’hôte connecteur ECMA.
Cela peut être réalisé en cochant la case Autogenerated au moment de la configuration du connecteur genericSQL. Lorsque vous choisissez le DN a générer automatiquement, l'hôte ECMA génère un DN dans un format LDAP : CN=<anchorvalue>,OBJECT=<type>. Cela suppose également que la fonctionnalité Ancre soit décochée pour le DN dans la page Connectivité.
Le connecteur genericSQL s’attend à ce que le DN soit rempli à l’aide d’un format LDAP. Le connecteur SQL générique utilise le style LDAP avec le nom de composant « OBJECT = ». Cela lui permet d’utiliser des partitions (chaque type d’objet est une partition).
Puisque l’hôte connecteur ECMA ne prend actuellement en charge que le type d’objet USER, l’OBJECT=<type> sera OBJECT=USER. Le DN d'un utilisateur avec une valeur d'ancre ljacobson serait donc :
CN=ljacobson,OBJECT=UTILISATEUR
Workflow de création de l’utilisateur
Le service d'approvisionnement Microsoft Entra interroge l'hôte connecteur ECMA pour déterminer si l'utilisateur existe. Il utilise l’attribut correspondant comme filtre. Cet attribut est défini dans le Centre d'administration Microsoft Entra sous applications d’entreprise -> approvisionnement sur site -> approvisionnement -> jumelage d'attributs. Il est indiqué par le 1 pour la priorité de correspondante. Vous pouvez définir un ou plusieurs attributs correspondants et les hiérarchiser en fonction de la priorité. Si vous souhaitez modifier l’attribut correspondant, vous pouvez également le faire.
L’hôte connecteur ECMA reçoit la requête GET et interroge son cache interne pour déterminer si l’utilisateur existe et s’il a été importé. Cette opération s’effectue à l’aide du ou des attributs correspondants ci-dessus. Si vous définissez plusieurs attributs correspondants, le service d'approvisionnement Microsoft Entra envoie une requête GET pour chaque attribut et l'hôte ECMA recherche une correspondance dans son cache jusqu'à ce qu'il en trouve une.
Si l'utilisateur n'existe pas, Microsoft Entra ID envoie une requête POST pour le créer. L'hôte du connecteur ECMA répond à Microsoft Entra ID avec le code HTTP 201 et fournit un identifiant à l'utilisateur. Cet ID est dérivé de la valeur d’ancre définie dans la page Types d’objets. Cette ancre sera utilisée par Microsoft Entra ID pour interroger l'hôte connecteur ECMA pour les requêtes ultérieures et suivantes.
Si une modification est apportée à l'utilisateur dans Microsoft Entra ID, Microsoft Entra ID effectue une requête GET pour récupérer l'utilisateur à l'aide de l'ancre de l'étape précédente, plutôt que l'attribut correspondant à l'étape 1. Cela permet, par exemple, de modifier l'UPN sans rompre le lien entre l'utilisateur dans Microsoft Entra ID et dans l'application.
Bonnes pratiques concernant l’agent
-
- Évitez toute forme d’inspection inline sur les communications TLS sortantes établies entre les agents et Azure. Ce type d’inspection inline entraîne une dégradation du flux de communication.
- L’agent doit communiquer avec Azure et votre application, donc le placement de l’agent affecte la latence de ces deux connexions. Vous pouvez réduire la latence du trafic de bout en bout en optimisant chaque connexion réseau. Les façons dont vous pouvez optimiser chaque connexion sont les suivantes :
- Réduisant la distance entre les deux extrémités du tronçon.
- Choisissant le réseau approprié à parcourir. Par exemple, parcourir un réseau privé au lieu de l’Internet public peut être plus rapide en raison des liaisons dédiées.
- L’agent utilise des certificats pour la communication sécurisée. Pour plus d’informations sur les deux certificats utilisés par le système, notamment le comportement d’expiration et les recommandations en matière d’utilisation de production, consultez Gestion des certificats.
Gestion des certificats
Le provisionnement d’applications local s’appuie sur deux certificats distincts. Comprendre les deux certificats vous aide à planifier les déploiements de production, à surveiller l’intégrité de l’agent et à empêcher les interruptions de service.
Certificat hôte du connecteur ECMA
L’hôte de connecteur ECMA Microsoft Entra expose un point de terminaison HTTPS sur le port 8585 (https://localhost:8585/ecma2host_<connectorName>/scim) que l’agent d’approvisionnement appelle. Le certificat TLS que l’hôte du connecteur ECMA utilise pour sécuriser ce point de terminaison. Lorsque vous exécutez l'Assistant Configuration Microsoft ECMA2Host, il vous invite à créer un certificat en sélectionnant Générer un certificat. Le certificat généré automatiquement est auto-signé et le nom alternatif de l'objet du certificat correspond au nom d'hôte.
Informations clés sur le certificat hôte du connecteur ECMA :
- Le certificat auto-signé est à des fins de test uniquement. Il expire dans deux ans par défaut et ne peut pas être révoqué. Microsoft recommande d’utiliser un certificat émis par une autorité de certification approuvée pour une utilisation en production.
- Le sujet du certificat doit correspondre au nom d’hôte du serveur Windows où l’hôte du connecteur ECMA est installé. Pour plus d’informations, consultez certificats SSL.
- Remplacez manuellement les certificats expirés. Accédez à l’onglet Paramètres de l’hôte ECMA pour afficher la date d’expiration du certificat. Si le certificat a expiré, sélectionnez Générer un certificat pour en créer un nouveau. Pour obtenir des instructions pas à pas, consultez Résoudre les problèmes de connexion de test.
Certificat d’inscription de l’agent d’approvisionnement
L’agent d’approvisionnement utilise un certificat distinct pour s’inscrire auprès du service d’identité hybride (HIS) Microsoft lors de l’installation. L’agent crée ce certificat pendant l’installation et utilise votre jeton de Microsoft Entra pour inscrire l’agent et le certificat auprès du service d’inscription HIS. Pour plus d’informations sur la façon dont l’agent s’inscrit auprès de HIS, consultez Installation de l’agent.
Important
La synchronisation cloud documente un scénario de nettoyage associé : lorsqu’un agent de synchronisation cloud a été désinstallé ou arrêté et que son certificat expire, l’agent est définitivement supprimé et ne peut plus interagir avec services Microsoft. Pour plus d’informations, consultez La suppression de l’agent du portail après la désinstallation. Pour l’approvisionnement d’applications locale, contactez Microsoft support si vous avez besoin d’aide sur la durée de vie du certificat d’inscription ou les procédures de récupération.
Pour réduire le risque d’interruption de service :
- Surveillez régulièrement l’intégrité de l’agent via le centre d’administration Microsoft Entra.
- Planifiez le remplacement du certificat hôte du connecteur ECMA avant l’expiration auto-signée de deux ans.
- Pour les déploiements de production, remplacez le certificat hôte du connecteur ECMA auto-signé par un certificat émis par une autorité de certification approuvée.
Haute disponibilité
Les informations suivantes sont fournies pour les scénarios de haute disponibilité/basculement.
Pour les applications locales utilisant le connecteur ECMA : la recommandation consiste à avoir un agent actif et un agent passif (configuré, mais arrêté, non affecté à l’application d’entreprise dans Microsoft Entra) par centre de données.
Lors d'un basculement, il est recommandé de procéder comme suit :
- Arrêtez l'agent actif (A).
- Désaffectez l'agent A de l'application d'entreprise.
- Redémarrez l'agent passif (B).
- Affectez l'agent B à l'application d'entreprise.
Pour les applications locales utilisant le connecteur SCIM : il est recommandé d’avoir deux agents actifs par application.
Questions relatives à l'agent d'approvisionnement
Certaines questions courantes sont traitées ici.
Comment connaître la version de mon agent d'approvisionnement ?
- Connectez-vous au serveur Windows sur lequel l’agent d’approvisionnement est installé.
- Accédez à Panneau de configuration>Désinstaller ou modifier un programme.
- Recherchez la version correspondant à l'entrée Agent d'approvisionnement Microsoft Entra Connect.
Est-ce que je peux installer l'agent de provisionnement sur le même serveur qui exécute Microsoft Entra Connect ou Microsoft Identity Manager ?
Oui. Vous pouvez installer l'agent de provisionnement sur le même serveur qui exécute Microsoft Entra Connect ou Microsoft Identity Manager, mais ils ne sont pas requis.
Comment configurer l'agent d'approvisionnement afin qu'il utilise un serveur proxy pour la communication HTTP sortante ?
L'agent d'approvisionnement prend en charge l'utilisation du proxy sortant. Vous pouvez le configurer en modifiant le fichier de configuration C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config de l'agent. Ajoutez les lignes suivantes à la fin du fichier, juste avant la balise </configuration> de fermeture. Remplacez les variables [proxy-server] et [proxy-port] par le nom de votre serveur proxy et les valeurs de port.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Comment savoir que l'agent d'approvisionnement peut communiquer avec le locataire Microsoft Entra et qu'aucun pare-feu ne bloque les ports requis par l'agent ?
Vous pouvez également vérifier si tous les ports requis sont ouverts.
Comment désinstaller l'agent d'approvisionnement ?
- Connectez-vous au serveur Windows sur lequel l’agent d’approvisionnement est installé.
- Accédez à Panneau de configuration>Désinstaller ou modifier un programme.
- Désinstallez les programmes suivants :
- Agent d'approvisionnement Microsoft Entra Connect
- Microsoft Entra Connect Agent Updater (mise à jour de l'agent de connexion)
- Package Agent d'approvisionnement Microsoft Entra Connect
Mises à jour des agents
Microsoft publie régulièrement de nouvelles versions de l’agent d’approvisionnement avec des fonctionnalités, des correctifs et des mises à jour. Pour connaître l’historique des versions et les notes de publication actuelles, consultez Microsoft Entra Connect Provisioning Agent : Version release history.
Important
L’agent d’approvisionnement ne prend actuellement pas en charge les mises à jour automatiques pour le scénario d’approvisionnement d’applications local. Vous devez mettre à jour l’agent manuellement lorsqu’une nouvelle version est publiée. Pour plus d’informations, consultez l’agent d’approvisionnement dans l’article sur les problèmes connus.
Pour maintenir votre agent actif :
- Recherchez régulièrement les nouvelles versions via le centre d'administration Microsoft Entra ou l’historique de publication de l’agent de provisionnement.
- Planifiez les mises à jour de l’agent pendant les fenêtres de maintenance planifiées pour réduire l’impact sur l’approvisionnement.
- Microsoft offre une prise en charge directe de la version la plus récente de l’agent et de la version précédente. Restez dans ces versions prises en charge afin de pouvoir obtenir de l’aide quand vous en avez besoin.