Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Panoramica
Il diagramma seguente illustra una panoramica del funzionamento del provisioning di applicazioni locali.
Esistono tre componenti principali per la gestione degli utenti in un'applicazione on-premise:
- L'agente di provisioning fornisce connettività tra Microsoft Entra ID e l'ambiente locale.
- L'host Extensible Connectivity (ECMA) Connector converte da Microsoft Entra ID le richieste di provisioning in richieste verso l'applicazione di destinazione. Funge da gateway tra Microsoft Entra ID e l'applicazione. È possibile usarlo per importare connettori ECMA2 esistenti usati con Microsoft Identity Manager. L'host ECMA non è necessario se è stato creato un'applicazione SCIM o un gateway SCIM.
- Il servizio di provisioning Microsoft Entra funge da motore di sincronizzazione.
Nota
La sincronizzazione di Microsoft Identity Manager non è necessaria. È tuttavia possibile usarlo per compilare e testare il connettore ECMA2 prima di importarlo nell'host ECMA. Il connettore ECMA2 è specificamente progettato per MIM, mentre l'host ECMA è destinato all'uso con l'agente di provisioning.
Requisiti del firewall
Non è necessario aprire alcuna connessione in ingresso nella rete aziendale. Gli agenti di provisioning usano solo connessioni in uscita al servizio di provisioning, il che significa che non è necessario aprire le porte del firewall per le connessioni in ingresso. Non è necessaria anche una rete perimetrale perché tutte le connessioni sono in uscita e avvengono su un canale sicuro.
Gli endpoint in uscita necessari per gli agenti di provisioning sono descritti in dettaglio qui.
Architettura dell'host del connettore ECMA
L'host del connettore ECMA include diverse aree usate per gestire il provisioning locale. Il diagramma seguente è un disegno concettuale che presenta queste singole aree. La tabella seguente descrive le aree in modo più dettagliato.
Host del connettore ECMA
| Zona | Descrizione |
|---|---|
| Endpointi | Responsabile della comunicazione e del trasferimento dei dati con il servizio di provisioning di Microsoft Entra |
| Cache in memoria | Usato per archiviare i dati importati dall'origine dati locale |
| Sincronizzazione automatica | Fornisce la sincronizzazione asincrona dei dati tra l'host del connettore ECMA e la fonte dati locale |
| Logica aziendale | Usato per coordinare tutte le attività host del connettore ECMA. L'ora di sincronizzazione automatica è configurabile nell'host ECMA. Si trova nella pagina delle proprietà. |
Informazioni sugli attributi di ancoraggio e sui nomi distinti
Le informazioni seguenti vengono fornite per illustrare meglio gli attributi di ancoraggio e i nomi distinti usati dal connettore genericSQL.
L'attributo di ancoraggio è un attributo univoco di un tipo di oggetto che non cambia e rappresenta tale oggetto nella cache in memoria dell'host del connettore ECMA.
Il nome distinto (DN) è un nome che identifica in modo univoco un oggetto indicando la posizione corrente nella gerarchia di directory. Oppure con SQL, nella partizione. Il nome viene formato concatenando l'attributo di ancoraggio nella radice della partizione di directory.
Quando si pensa a DN tradizionali in un formato tradizionale, ad esempio Active Directory o LDAP, si pensa a qualcosa di simile al seguente:
CN=Lola Jacobson,CN=Users,DC=contoso,DC=com
Tuttavia, per una sorgente dati come SQL, che è piatto, non gerarchico, il DN deve essere già presente in una delle tabelle o creato dalle informazioni fornite all'ECMA Connector Host.
A tale scopo, selezionare Autogenerated (Genera automaticamente) nella casella di controllo durante la configurazione del connettore genericSQL. Quando si sceglie DN da generare automaticamente, l'host ECMA genera un DN in un formato LDAP: CN=<anchorvalue>, OBJECT=<type>. Si presuppone inoltre che l'opzione Anchor sia deselezionata nella pagina Connettività.
Il connettore genericSQL prevede che il DN venga popolato usando un formato LDAP. Il connettore GENERIC SQL usa lo stile LDAP con il nome del componente "OBJECT=". In questo modo è possibile usare le partizioni (ogni tipo di oggetto è una partizione).
Poiché l'host del connettore ECMA supporta attualmente solo il tipo di oggetto USER, l'OBJECT=<type> sarà OBJECT=USER. Il DN per un utente con un valore di ancoraggio ljacobson sarà quindi:
CN=ljacobson,OBJECT=UTENTE
Flusso di lavoro di creazione utente
Il servizio di provisioning Di Microsoft Entra esegue una query sull'host del connettore ECMA per verificare se l'utente esiste. Usa l'attributo corrispondente come filtro. Questo attributo è definito nel centro di amministrazione di Microsoft Entra sotto Applicazioni aziendali -> Provisioning locale -> provisioning -> corrispondenza degli attributi. Viene indicato dal valore 1 per la precedenza corrispondente. È possibile definire uno o più attributi corrispondenti e classificarli in ordine di priorità in base alla precedenza. Se si vuole modificare l'attributo corrispondente, è anche possibile farlo.
L'host del connettore ECMA riceve la richiesta GET ed esegue una query sulla cache interna per verificare se l'utente esiste e ha importato. Questa operazione viene eseguita usando gli attributi corrispondenti precedenti. Se si definiscono più attributi corrispondenti, il servizio di provisioning Microsoft Entra invia una richiesta GET per ogni attributo e l'host ECMA controlla la cache per una corrispondenza finché non ne trova uno.
Se l'utente non esiste, Microsoft Entra ID effettua una richiesta POST per creare l'utente. L'host del connettore ECMA risponde all'ID Microsoft Entra con HTTP 201 e fornisce un ID per l'utente. Questo ID è derivato dal valore di ancoraggio definito nella pagina dei tipi di oggetto. Questo ancoraggio verrà usato da Microsoft Entra ID per eseguire una query sull'host del connettore ECMA per le richieste future e successive.
Se si verifica una modifica all'utente in Microsoft Entra ID, Microsoft Entra ID effettua una richiesta GET per recuperare l'utente usando l'ancoraggio del passaggio precedente, anziché l'attributo corrispondente nel passaggio 1. In questo modo, ad esempio, l'UPN può cambiare senza interrompere il collegamento tra l'utente in Microsoft Entra ID e nell'app.
Procedure consigliate per l'agente
-
- Evitare tutte le forme di ispezione inline sulle comunicazioni TLS in uscita tra agenti e Azure. Questo tipo di ispezione in linea causa una degradazione del flusso di comunicazione.
- L'agente deve comunicare con Azure e l'applicazione, quindi il posizionamento dell'agente influisce sulla latenza di queste due connessioni. È possibile ridurre al minimo la latenza del traffico end-to-end ottimizzando ognuna delle connessioni di rete. I modi in cui è possibile ottimizzare ogni connessione includono:
- Ridurre la distanza tra le due estremità dell'hop.
- Scegliere la rete appropriata da attraversare. Ad esempio, l'attraversamento di una rete privata anziché della rete Internet pubblica potrebbe essere più veloce a causa di collegamenti dedicati.
- L'agente usa i certificati per la comunicazione sicura. Per informazioni dettagliate sui due certificati usati dal sistema, inclusi il comportamento di scadenza e le raccomandazioni per l'uso in produzione, vedere Gestione dei certificati.
Gestione dei certificati
Il provisioning di applicazioni locali si basa su due certificati distinti. Comprendere entrambi i certificati consente di pianificare le distribuzioni di produzione, monitorare l'integrità dell'agente e prevenire interruzioni del servizio.
Certificato host del connettore ECMA
L'host del connettore ECMA Microsoft Entra espone un endpoint HTTPS sulla porta 8585 (https://localhost:8585/ecma2host_<connectorName>/scim) che viene chiamato dall'agente di provisioning. Il certificato TLS usato dall'host del connettore ECMA protegge tale endpoint. Quando si esegue per la prima volta Microsoft Configurazione guidata ECMA2Host, viene richiesto di creare un certificato selezionando Genera certificato. Il certificato generato automaticamente è autofirmato e il nome alternativo del soggetto del certificato corrisponde al nome host.
Informazioni chiave sul certificato host del connettore ECMA:
- Il certificato autofirmato è solo per i test. Scade in due anni di default e non può essere revocato. Microsoft consiglia di usare un certificato emesso da un'autorità di certificazione (CA) attendibile per l'uso in produzione.
- L'oggetto del certificato deve corrispondere al nome host del server Windows in cui è installato l'host del connettore ECMA. Per altre informazioni, vedere Certificati SSL.
- Sostituire manualmente i certificati scaduti. Passare alla scheda Impostazioni dell'host ECMA per visualizzare la data di scadenza del certificato. Se il certificato è scaduto, selezionare Genera certificato per crearne uno nuovo. Per istruzioni dettagliate, vedere Risolvere i problemi di test di connessione.
Certificato di registrazione dell'agente di provisioning
L'agente di provisioning usa un certificato separato per registrarsi con il servizio di gestione delle identità ibride (HIS) Microsoft durante l'installazione. L'agente crea questo certificato durante l'installazione e usa il token di Microsoft Entra per registrare sia l'agente che il certificato con il servizio di registrazione HIS. Per altre informazioni sul modo in cui l'agente viene registrato con HIS, vedere Installazione dell'agente.
Importante
La sincronizzazione cloud documenta uno scenario di pulizia correlato: quando un agente di sincronizzazione cloud è stato disinstallato o arrestato e il relativo certificato scade, l'agente viene rimosso definitivamente e non può più interagire con servizi Microsoft. Per altre informazioni, vedere Rimozione dell'agente dal portale dopo la disinstallazione. Per il provisioning di applicazioni locali, contattare il supporto Microsoft se sono necessarie indicazioni sulla durata di un certificato di registrazione o sulle procedure di ripristino.
Per ridurre al minimo il rischio di interruzione del servizio:
- Monitorare regolarmente lo stato di salute dell'agente tramite il centro di amministrazione di Microsoft Entra.
- Pianificare la sostituzione del certificato host del connettore ECMA prima della scadenza di due anni dell'autofirma.
- Per le distribuzioni di produzione, sostituire il certificato host del connettore ECMA autofirmato con un certificato rilasciato da una CA attendibile.
Disponibilità elevata
Per scenari di disponibilità elevata/failover vengono fornite le informazioni seguenti.
Per le app locali che usano il connettore ECMA: la raccomandazione prevede un agente attivo e un agente passivo (configurato, ma arrestato, non assegnato all'app aziendale in Microsoft Entra) per ogni data center.
Quando si esegue un failover, è consigliabile eseguire le operazioni seguenti:
- Arrestare l'agente attivo (A).
- Annullare l'assegnazione dell'agente A dall'applicazione aziendale.
- Riavviare l'agente passivo (B).
- Assegnare l'agente B all'applicazione aziendale.
Per le app locali che usano il connettore SCIM: la raccomandazione prevede due agenti attivi per ogni applicazione.
Domande relative all'agente di provisioning
Alcune domande comuni sono risposte qui.
Come posso sapere la versione del mio agente di provisionamento?
- Accedere al server Windows in cui è installato l'agente di provisioning.
- Passare a Pannello di> controlloDisinstalla o Cambia programma.
- Trova la versione che corrisponde alla voce per Microsoft Entra Connect Provisioning Agent.
È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect o Microsoft Identity Manager?
Sì. È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect o Microsoft Identity Manager, ma non sono necessari.
Come configurare l'agente di provisioning per l'uso di un server proxy per le comunicazioni HTTP in uscita.
L'agente di provisioning supporta l'uso del proxy in uscita. È possibile configurarlo modificando il file di configurazione dell'agente C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Aggiungere le righe seguenti verso la fine del file subito prima del tag di chiusura </configuration> . Sostituire le variabili [proxy-server] e [proxy-port] con i valori del nome del server proxy e delle porte.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Assicurarsi che l'agente di provisioning possa comunicare con il tenant di Microsoft Entra e che i firewall non blocchino le porte richieste dall'agente.
È anche possibile verificare se tutte le porte necessarie sono aperte.
Come posso disinstallare l'agente di provisioning?
- Accedere al server Windows in cui è installato l'agente di provisioning.
- Passare a Pannello di> controlloDisinstalla o Cambia programma.
- Disinstallare i programmi seguenti:
- Agente di Provisioning di Microsoft Entra Connect
- Aggiornamento dell'agente di Microsoft Entra Connect
- Pacchetto dell'agente di provisioning Microsoft Entra Connect
Aggiornamenti dell'agente
Microsoft rilascia regolarmente nuove versioni dell'agente di provisioning con funzionalità, correzioni e aggiornamenti. Per le note sulla cronologia delle versioni e sulla versione correnti, vedere Microsoft Entra Connect Provisioning Agent: Version release history.
Importante
L'agente di provisioning attualmente non supporta gli aggiornamenti automatici per lo scenario di provisioning delle applicazioni locale. È necessario aggiornare manualmente l'agente quando viene rilasciata una nuova versione. Per ulteriori informazioni, consultare Agente di provisioning nell'articolo problemi conosciuti.
Per mantenere aggiornato l'agente:
- Verificare periodicamente la presenza di nuove versioni tramite il Interfaccia di amministrazione di Microsoft Entra o la cronologia delle versioni dell'agente di provisioning.
- Pianificare gli aggiornamenti dell'agente durante le finestre di manutenzione programmate per ridurre al minimo l'impatto sul provisioning.
- Microsoft fornisce supporto diretto per la versione più recente dell'agente e una versione precedente. Rimanere all'interno di queste versioni supportate per ottenere assistenza quando necessario.