Inrichtingsarchitectuur voor toepassing van on-premises toepassingsidentiteit van Microsoft Entra

Overzicht

In het volgende diagram wordt getoond hoe het inrichten van on-premises toepassingen in zijn werk gaat.

Diagram met de architectuur voor het inrichten van on-premises toepassingen.

Er zijn drie hoofdonderdelen voor het inrichten van gebruikers in een on-premises toepassing:

  • De inrichtingsagent biedt connectiviteit tussen Microsoft Entra-id en uw on-premises omgeving.
  • De ECMA-connectorhost (Extensible Connectivity) converteert inrichtingsaanvragen van Microsoft Entra-id naar aanvragen die zijn gedaan naar uw doeltoepassing. Het fungeert als een gateway tussen Microsoft Entra ID en uw toepassing. U kunt deze gebruiken om bestaande ECMA2-connectors te importeren die worden gebruikt met Microsoft Identity Manager. De ECMA-host is niet vereist als u een SCIM-toepassing of SCIM-gateway hebt gemaakt.
  • De Microsoft Entra voorzieningsservice fungeert als de synchronisatie-engine.

Notitie

Microsoft Identity Manager-synchronisatie is niet vereist. Maar u kunt deze gebruiken om uw ECMA2-connector te bouwen en te testen voordat u deze in de ECMA-host importeert. De ECMA2-connector is specifiek voor MIM, waarbij de ECMA-host specifiek is voor gebruik met de inrichtingsagent.

Firewallvereisten

U hoeft geen binnenkomende verbindingen met het bedrijfsnetwerk te openen. De inrichtingsagents gebruiken alleen uitgaande verbindingen met de inrichtingsservice. Dit betekent dat er geen firewallpoorten hoeven te worden geopend voor binnenkomende verbindingen. U hebt ook geen perimeternetwerk (DMZ) nodig omdat alle verbindingen uitgaand zijn en plaatsvinden via een beveiligd kanaal.

De vereiste uitgaande eindpunten voor de inrichtingsagenten worden hier beschreven.

Host-architectuur voor de ECMA-connector

De host van de ECMA-connector maakt gebruik van verschillende functies om on-premises provisioning mogelijk te maken. Het volgende diagram is een conceptuele tekening die deze afzonderlijke gebieden weergeeft. In de onderstaande tabel worden de gebieden gedetailleerder beschreven.

Host van de ECMA-connector

Oppervlakte Beschrijving
Eindpunten Verantwoordelijk voor communicatie en gegevensoverdracht met de Microsoft Entra provisioning service.
Geheugencache Wordt gebruikt voor het opslaan van de gegevens die zijn geïmporteerd uit de on-premises gegevensbron
Automatische synchronisatie Biedt asynchrone gegevenssynchronisatie tussen de host van de ECMA-connector en de on-premises gegevensbron
Bedrijfslogica Wordt gebruikt om alle activiteiten van de host van de ECMA-connector te coördineren. De autosynchronisatietijd kan worden geconfigureerd in de ECMA-host. Dit vindt plaats op de pagina met eigenschappen.

Over ankerkenmerken en onderscheiden namen

De volgende informatie wordt gegeven om beter de ankerattributen en onderscheiden namen uit te leggen die door de genericSQL-connector worden gebruikt.

Het ankerkenmerk is een uniek kenmerk van een objecttype dat niet wordt gewijzigd en vertegenwoordigt dat object in de cache van de ECMA-connectorhost in het geheugen.

De DN-naam (distinguished name) is een naam die een object uniek identificeert door de huidige locatie in de directoryhiërarchie aan te geven. Ofwel met SQL, in de partitie. De naam wordt gevormd door het ankerkenmerk samen te voegen met de wortel van de directory-partitie.

Als we denken aan traditionele DN's in een traditionele indeling, bijvoorbeeld Active Directory of LDAP, denken we aan iets als:

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

Voor een gegevensbron zoals SQL, die plat, niet hiërarchisch is, moet de DN echter al aanwezig zijn in een van de tabellen of zijn gemaakt op basis van de informatie die we aan de ECMA Connector-host verstrekken.

Dit kan worden bereikt door automatisch gegenereerd te controleren in het selectievakje bij het configureren van de genericSQL-connector. Wanneer u kiest dat DN automatisch wordt gegenereerd, genereert de ECMA-host een DN in een LDAP-indeling: CN=<anchorvalue>,OBJECT=<type>. Hierbij wordt ervan uitgegaan dat het DN-anker niet is ingeschakeld op de pagina Connectiviteit.

DN is Anker uitgeschakeld

De genericSQL connector gaat ervan uit dat de DN wordt ingevuld in een LDAP-indeling. De algemene SQL-connector gebruikt de LDAP-stijl met de onderdeelnaam 'OBJECT='. Op die manier kan het partities gebruiken (elk objecttype is een partitie).

Omdat de host van de ECMA-connector momenteel alleen het objecttype USER ondersteunt, resulteert OBJECT=<type> in OBJECT=USER. De DN voor een gebruiker met een ankerwaarde van ljacobson is dus:

CN=ljacobson,OBJECT=GEBRUIKER

Gebruikersaanmaakwerkstroom

  1. De Microsoft Entra-inrichtingsservice voert een query uit op de ECMA Connector-host om te zien of de gebruiker bestaat. Hierbij wordt het overeenkomende kenmerk als filter gebruikt. Dit kenmerk wordt gedefinieerd in het Microsoft Entra-beheercentrum onder Bedrijfstoepassingen -> On-premises inrichting -> voorziening -> kenmerkkoppeling. Dit wordt aangegeven door de 1 voor overeenkomende prioriteit. U kunt een of meer overeenkomende kenmerken definiëren en prioriteit geven op basis van de prioriteit. Als u het overeenkomende kenmerk wilt wijzigen, kunt u dit ook doen. Overeenkomend kenmerk

  2. De host van de ECMA-connector ontvangt de GET-aanvraag en controleert bij de interne cache of de gebruiker bestaat en is geïmporteerd. Dit gebeurt met behulp van de bovenstaande overeenkomende kenmerken. Als u meerdere overeenkomende kenmerken definieert, verzendt de Microsoft Entra-inrichtingsservice een GET-aanvraag voor elk kenmerk en controleert de ECMA-host de cache op een overeenkomst totdat er een wordt gevonden.

  3. Als de gebruiker niet bestaat, doet Microsoft Entra ID een POST-aanvraag om de gebruiker te maken. De ECMA Connector Host reageert terug naar Microsoft Entra ID met de HTTP 201 en geeft een id op voor de gebruiker. Deze id is afgeleid van de ankerwaarde die is gedefinieerd op de pagina met objecttypen. Dit anker wordt gebruikt door Microsoft Entra ID om een query uit te voeren op de ECMA Connector-host voor toekomstige en volgende aanvragen.

  4. Als er een wijziging optreedt in de gebruiker in Microsoft Entra ID, doet Microsoft Entra ID een GET-aanvraag om de gebruiker op te halen met behulp van het anker uit de vorige stap, in plaats van het overeenkomende kenmerk in stap 1. Hierdoor kan de UPN bijvoorbeeld worden gewijzigd zonder dat de koppeling tussen de gebruiker in Microsoft Entra ID en in de app wordt onderbroken.

Aanbevolen procedures voor de agents

    • Vermijd alle soorten inline-inspectie bij uitgaande TLS-communicatie tussen agents en Azure. Dit type inline inspectie veroorzaakt een verslechtering van de communicatiestroom.
  • De agent moet communiceren met zowel Azure als uw toepassing, zodat de plaatsing van de agent van invloed is op de wachttijd van deze twee verbindingen. U kunt de wachttijd van het end-to-end-verkeer minimaliseren door elke netwerkverbinding te optimaliseren. Manieren waarop u elke verbinding kunt optimaliseren, zijn onder andere:
  • De afstand tussen de twee uiteinden van de hop verminderen.
  • Het juiste netwerk kiezen om te doorkruisen. Het doorkruisen van een privénetwerk in plaats van het openbare internet kan bijvoorbeeld sneller zijn vanwege speciaal toegewezen koppelingen.
  • De agent gebruikt certificaten voor beveiligde communicatie. Zie Certificaatbeheer voor meer informatie over de twee certificaten die het systeem gebruikt, inclusief verloopgedrag en aanbevelingen voor productiegebruik.

Certificaatbeheer

Het inrichten van on-premises toepassingen is afhankelijk van twee afzonderlijke certificaten. Als u beide certificaten begrijpt, kunt u productie-implementaties plannen, de status van de agent bewaken en serviceonderbrekingen voorkomen.

ECMA Connector Host-certificaat

De Microsoft Entra ECMA Connector Host maakt een HTTPS-eindpunt beschikbaar op poort 8585 (https://localhost:8585/ecma2host_<connectorName>/scim) dat de voorzieningsagent aanroept. Het TLS-certificaat dat de ECMA Connector-host gebruikt, beveiligt dat eindpunt. Wanneer u de wizard Microsoft ECMA2Host-configuratie voor het eerst uitvoert, wordt u gevraagd een certificaat te maken door Certificaat genereren te selecteren. Het automatisch gegenereerde certificaat is zelfondertekend en de alternatieve naam (SAN) van het certificaat komt overeen met de hostnaam.

Belangrijke feiten over het ECMA Connector Host-certificaat:

  • Het zelfondertekende certificaat is alleen bedoeld voor testen. Deze verloopt standaard over twee jaar en kan niet worden ingetrokken. Microsoft raadt aan een certificaat te gebruiken dat is uitgegeven door een vertrouwde certificeringsinstantie (CA) voor productiegebruik.
  • Het certificaatonderwerp moet overeenkomen met de hostnaam van de Windows-server waarop de ECMA Connector-host is geïnstalleerd. Zie SSL-certificaten voor meer informatie.
  • Verlopen certificaten handmatig vervangen. Ga naar het tabblad Instellingen van de ECMA-host om de vervaldatum van het certificaat weer te geven. Als het certificaat is verlopen, selecteert u Certificaat genereren om een nieuw certificaat te maken. Zie Testverbindingsproblemen oplossen voor stapsgewijze instructies.

Registratiecertificaat voor provisioneringsagent

De voorzieningsagent gebruikt een afzonderlijk certificaat om zich tijdens de installatie te registreren bij de Microsoft Hybrid Identity Service (HIS). De agent maakt dit certificaat tijdens de installatie en gebruikt uw Microsoft Entra token om zowel de agent als het certificaat te registreren bij de HIS-registratieservice. Zie agentinstallatie voor meer informatie over hoe de agent zich registreert bij HIS.

Belangrijk

Cloudsynchronisatie documenten een gerelateerd opschoningsscenario: wanneer een cloudsynchronisatieagent is verwijderd of gestopt en het bijbehorende certificaat verloopt, wordt de agent definitief verwijderd en kan deze niet meer communiceren met Microsoft-services. Zie Agent verwijderen uit de portal na verwijdering voor meer informatie. Neem voor het inrichten van on-premises toepassingen contact op met Microsoft ondersteuning als u hulp nodig hebt bij de levensduur of herstelprocedures van het registratiecertificaat.

Het risico op serviceonderbreking minimaliseren:

  • Bewaak de agentstatus regelmatig via de Microsoft Entra-beheercentrum.
  • Plan voor vervanging van het ECMA Connector Host-certificaat voordat de zelf-ondertekende certificaatperiode van twee jaar verloopt.
  • Voor productie-implementaties vervangt u het zelfondertekende ECMA Connector Host-certificaat door een certificaat dat is uitgegeven door een vertrouwde CERTIFICERINGsinstantie.

Hoge beschikbaarheid

De volgende informatie wordt verstrekt voor scenario's met hoge beschikbaarheid/failover.

Voor on-premises apps die gebruikmaken van de ECMA-connector: de aanbeveling is om één actieve agent en één passieve agent (geconfigureerd, maar gestopt, niet toegewezen aan de bedrijfstoepassing in Microsoft Entra) per data center te hebben.

Wanneer u een failover uitvoert, is het raadzaam om het volgende te doen:

  1. Stop de actieve agent (A).
  2. De toewijzing van agent A uit de bedrijfstoepassing ongedaan maken.
  3. Start de passieve agent (B) opnieuw op.
  4. Wijs agent B toe aan de bedrijfstoepassing.

Diagram van hoge beschikbaarheid met ECMA-connector.

Voor on-premises apps die gebruikmaken van de SCIM-connector: de aanbeveling is om twee actieve agents per toepassing te hebben.

Diagram van hoge beschikbaarheid met SCIM-connector.

Vragen over inrichtingsagents

Hier volgen enkele veelgestelde vragen en de bijbehorende antwoorden.

Hoe kan ik zien welke versie mijn provisioning-agent heeft?

  1. Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.
  2. Ga naar Het Configuratiescherm>verwijderen of een programma wijzigen.
  3. Zoek naar de versie die overeenkomt met de vermelding voor Microsoft Entra Connect Provisioning Agent.

Kan ik de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Connect of Microsoft Identity Manager wordt uitgevoerd?

Ja. U kunt de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Connect of Microsoft Identity Manager wordt uitgevoerd, maar deze zijn niet vereist.

Hoe kan ik de inrichtingsagent zo configureren dat een proxyserver voor uitgaande HTTP-communicatie wordt gebruikt?

De voorzieningsagent ondersteunt het gebruik van een outbound proxy. U kunt dit configureren door het configuratiebestand van de agent te bewerkenC:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Voeg de volgende regels toe aan het einde van het bestand vlak voor de afsluitende </configuration> tag. Vervang de variabelen [proxy-server] en [proxy-port] door de naam- en poortwaarden van de proxyserver.

 <system.net>
  <defaultProxy enabled="true" useDefaultCredentials="true">
    <proxy
     usesystemdefault="true"
     proxyaddress="http://[proxy-server]:[proxy-port]"
     bypassonlocal="true"
    />
   </defaultProxy>
 </system.net>

Hoe kan ik ervoor zorgen dat de inrichtingsagent kan communiceren met de Microsoft Entra-tenant en dat er geen firewalls poorten blokkeren die vereist zijn voor de agent?

U kunt ook controleren of alle vereiste poorten geopend zijn.

Hoe verwijder ik de provisioning-agent?

  1. Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.
  2. Ga naar Het Configuratiescherm>verwijderen of een programma wijzigen.
  3. Verwijder de volgende programma's:
  • Voorzieningsagent voor Microsoft Entra Connect
  • Updater voor Microsoft Entra Connect-agent
  • Microsoft Entra Connect Inrichtingsagentpakket

Agentupdates

Microsoft publiceert regelmatig nieuwe versies van de provisioneringsagent met functies, oplossingen en updates. Zie Microsoft Entra Connect Provisioning Agent: Versieversiegeschiedenis voor de huidige versiegeschiedenis en releaseopmerkingen.

Belangrijk

De provisioning-agent biedt momenteel geen ondersteuning voor automatische updates voor het provisioning-scenario van de on-premises toepassing. U moet de agent handmatig bijwerken wanneer er een nieuwe versie wordt uitgebracht. Zie de inrichtingsagent in het artikel over bekende problemen voor meer informatie.

Uw agent actueel houden:

  • Controleer regelmatig op nieuwe versies via de Microsoft Entra-beheercentrum of de releasegeschiedenis van de provisioning agent.
  • Plan agent-updates tijdens geplande onderhoudsperiodes om de impact op de provisioning te minimaliseren.
  • Microsoft biedt rechtstreekse ondersteuning voor de nieuwste agentversie en één versie daarvoor. Blijf binnen deze ondersteunde versies, zodat u hulp kunt krijgen wanneer u deze nodig hebt.

Volgende stappen

  • Last updated on