Osvědčené postupy pro Microsoft Identity Manager 2016
Toto téma popisuje osvědčené postupy pro nasazení a používání nástroje Microsoft Identity Manager 2016 (MIM).
Nastavení SQL
Poznámka
Následující doporučení pro nastavení serveru s SQL předpokládají, že máte instanci SQL vyhrazenou pro službu FIMService a instanci SQL vyhrazenou pro databázi FIMSynchronizationService. Pokud používáte FIMService v konsolidovaném prostředí, budete muset provést úpravy pro konkrétní konfiguraci.
Konfigurace SQL (Structured Query Language) serveru je naprosto nezbytná pro optimální výkon systému. Dosažení optimálního výkonu nástroje MIM v rozsáhlých implementacích závisí na použití osvědčených postupů pro server, na kterém běží SQL. Další informace o osvědčených postupech pro SQL najdete v následujících tématech:
Přizpůsobení velikosti datových souborů a souborů protokolu
Nespoléhejte na automatické zvětšení. Zvětšení těchto souborů spravujte raději ručně. Z bezpečnostních důvodů můžete nechat automatické zvětšení zapnuté, ale zvětšení datových souborů byste měli spravovat z vlastní iniciativy. Ukázkové velikosti databáze MIM najdete v příručce pro plánování kapacity nástroje FIM .
Přizpůsobení velikosti datových souborů a souborů protokolu SQL
Spusťte aplikaci SQL Server Management Studio.
Přejděte do databáze FIMService, klikněte pravým tlačítkem myši na FIMService a klikněte na Properties (Vlastnosti).
Na stránce Files (Soubory) rozbalte databázové soubory do požadované velikosti.
Izolace protokolu od datových souborů
Postupujte podle osvědčených postupů sql serveru a izolujte soubory transakčních a datových protokolů pro databáze na oddělených fyzických discích.
Vytvoření dalších souborů tempdb
Pokud chcete zajistit optimální výkon, doporučujeme vytvořit jeden datový soubor pro každé jádro procesoru v souboru tempdb.
Vytvoření dalších souborů tempdb
Spusťte aplikaci SQL Server Management Studio.
V části System Databases (Systémové databáze) přejděte na databázový soubor tempdb, pravým tlačítkem myši klikněte na tempdb a potom klikněte na Properties (Vlastnosti).
Na stránce Files (Soubory) vytvořte jeden datový soubor pro každé jádro procesoru. Nezapomeňte oddělit datové soubory a soubory protokolu tempdb a umístit je na různé jednotky a diskové jednotky.
Zajištění dostatečného místa pro soubory protokolu
Je důležité, abyste porozuměli požadavkům, které na disk klade váš model obnovení. Použití režimu jednoduchého obnovení může být vhodné během počátečního zatížení systému pro omezení využití místa na disku, ale riskujete ztrátu dat, která se vytvoří od poslední zálohování. Pokud používáte režim úplného obnovení, musíte spravovat využití disku prostřednictvím záloh, které zahrnují časté zálohování transakčního protokolu, aby se zabránilo vysokému využití místa na disku. Víc se dočtete v článku s přehledem modelů obnovení.
Omezení paměti SQL Serveru
Podle toho, kolik paměti máte na SQL serveru, a podle toho, jestli SQL server sdílíte s dalšími službami (tj. službou MIM 2016 Service a MIM 2016 Synchronization Service), můžete chtít omezit spotřebu paměti SQL serveru. Toto omezení můžete nastavit následujícím postupem.
Spusťte nástroj SQL Server Enterprise Manager.
Vyberte New Query (Nový dotaz).
Spusťte tento dotaz:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDETento příklad překonfiguruje SQL Server tak, aby nepoužít více než 12 gigabajtů (GB) paměti.
Ověřte nastavení pomocí následujícího dotazu:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Konfigurace zálohování a obnovení
Obecně byste měli spolupracovat se správcem databáze na návrhu strategie zálohování a obnovení. Mezi doporučení patří:
- Zálohování databází se provádí podle zásad zálohování vaší organizace.
- Pokud neplánujete provádět přírůstkové zálohy protokolů, měli byste databázi nastavit na režim jednoduchého obnovení.
- Před implementací strategie zálohování se ujistěte, že rozumíte důsledkům různých modelů obnovení. Seznamte se s požadavky na místo na disku pro tyto modely. Model úplného obnovení vyžaduje pravidelné zálohování protokolů, aby se předešlo vysoké míře využití místa na disku.
Další informace najdete v článku s přehledem modelů obnovení a příručce k zálohování a obnovení FIM 2010.
Vytvoření účtu správce zálohování pro službu FIM po instalaci
Členové sady správců FIMService mají jedinečná oprávnění, která jsou důležitá pro provoz vašeho nasazení MIM. Pokud se nemůžete přihlásit v rámci sady Správců, jediným řešením je vrátit se k předchozí záloze systému. Pokud chcete této situaci zabránit, doporučujeme v rámci konfigurace po instalaci přidat další uživatele do skupiny správců nástroje FIM.
Služba FIM Service
Konfigurace poštovní schránky Exchange služby FIM Service
Toto jsou osvědčené postupy pro konfiguraci Microsoft Exchange Serveru pro účet služby MIM 2016 Service.
- Nakonfigurujte účet služby tak, aby mohl přijímat poštu pouze z interních e-mailových adres. Konkrétně tak, aby poštovní schránka účtu služby nikdy nepřijímala poštu z externích SMTP serverů.
Konfigurace účtu služby
V Konzole pro správu serveru Exchange vyberte účet služby FIM Service.
Vyberte Vlastnosti, dále Nastavení toku pošty a potom Omezení doručování pošty.
Zaškrtněte políčko Požadovat ověření všech odesílatelů.
Další informace najdete v tématu Konfigurace omezení doručování zpráv.
Nakonfigurujte účet služby tak, aby odmítal poštu o velikosti větší než 1 MB. Postupujte podle osvědčených postupů a nakonfigurujte omezení velikosti zpráv u poštovní schránky nebo veřejné složky s povolenou poštou.
Nakonfigurujte účet služby, aby kvóta úložiště jeho poštovní schránky byla 5 GB. Optimálních výsledků dosáhnete, pokud se budete řídit osvědčenými postupy uvedenými v článku věnovaném konfiguraci kvót úložiště pro poštovní schránku.
Portál MIM
Zakázání indexování SharePointu
Doporučujeme, abyste zakázali indexování služby Microsoft Office SharePoint®. Nejsou k dispozici žádné dokumenty, které by bylo potřeba indexovat. Indexování způsobuje mnoho položek protokolu chyb a potenciální problémy s výkonem v MIM. Pokud chcete zakázat indexování SharePointu, proveďte tyto kroky:
Na serveru, který hostí MIM 2016 Portal, klikněte na Start.
Klikněte na Všechny programy.
V seznamu Všechny programy klikněte na Nástroje pro správu.
V Nástrojích pro správu klikněte na Centrální správa služby SharePoint.
Na stránce Centrální správa klikněte na Operace.
Na stránce Operace klikněte v části Globální konfigurace na Definice úloh časovače.
Na stránce Definice úloh časovače klikněte na Aktualizace Vyhledávací služby SharePoint Services.
Na stránce Upravit úlohu časovače klikněte na Zakázat.
Počáteční načtení dat MIM 2016
Tato část obsahuje seznam kroků ke zvýšení výkonu počátečního načítání dat z externího systému do MIM. Je důležité si uvědomit, že řada těchto kroků se provádí pouze během počátečního základního souboru systému. Po dokončení zatížení by se měly resetovat. Tyto kroky jsou určené pro jednorázovou operaci, nikoli pro průběžnou synchronizaci.
Důležité
Nezapomeňte použít osvědčené postupy uvedené v části věnované nastavení SQL v této příručce.
Krok 1: Konfigurace SQL serveru pro počáteční načtení dat
Počáteční načítání dat může být zdlouhavé. Když plánujete na začátku načíst velké množství dat, můžete zkrátit dobu potřebnou k naplnění databáze tím, že dočasně vypnete fulltextové vyhledávání a znovu ho zapnete po dokončení exportu v agentu pro správu MIM 2016 (FIM MA).
Dočasné vypnutí fulltextového vyhledávání:
Spusťte aplikaci SQL Server Management Studio.
Vyberte New Query (Nový dotaz).
Spusťte následující příkazy SQL:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Důležité
Pokud tyto postupy neimplementujete, může docházet k vysoké míře využití místa na disku a můžete se dostat do situace, kdy nebude na disku žádné volné místo. Další podrobnosti o tomto tématu najdete v článku s přehledem modelů obnovení. Příručka k zálohování a obnovení FIM obsahuje další informace.
Krok 2: Použití minimální nutné konfigurace MIM během procesu načtení
Během počátečního načítání byste měli použít pouze minimální konfiguraci vyžadovanou pro konfiguraci FIM pro pravidla zásad správy a nastavit definice. Po načtení dat vytvořte další sady vyžadované pro nasazení. Pomocí nastavení Spustit při aktualizaci zásady u pracovních postupů akcí použijte tyto zásady zpětně u načtených dat.
Krok 3: Konfigurace a naplnění služby FIM Service externími údaji o identitě
V tomto okamžiku byste měli postupovat podle postupů popsaných v průvodci Jak synchronizovat uživatele z Active Directory Domain Services do FIM a nakonfigurovat a synchronizovat systém s uživateli ze služby Active Directory. Pokud potřebujete synchronizovat informace o skupině, jsou postupy pro tento proces popsány v příručce Jak synchronizovat skupiny z Active Directory Domain Services do FIM.
Posloupnost synchronizace a exportu
Z důvodu optimalizace výkonu spusťte po synchronizaci export, což bude mít za následek velký počet nevyřízených operací exportu v prostoru konektoru. Potom spusťte potvrzující import u agenta pro správu, který je přidružen k příslušnému prostoru konektoru. Když například potřebujete v rámci počátečního načtení dat spustit profily synchronizace u několika agentů pro správu, měli byste spustit export a poté rozdílový import po každé jednotlivé synchronizaci. Pro každého zdrojového agenta pro správu, který je součástí inicializačního cyklu, proveďte tento postup:
Proveďte úplný import na zdrojovém agentovi pro správu.
Proveďte úplnou synchronizaci na zdrojovém agentovi pro správu.
Pomocí fázových operacích exportu proveďte export na všech agentech pro správu, kterých se to týká.
Pomocí fázových operacích exportu proveďte rozdílový import na všech agentech pro správu, kterých se to týká.
Krok 4: Použití úplné konfigurace MIM
Po dokončení počátečního načtení dat byste měli použít úplnou konfiguraci MIM pro nasazení.
V závislosti na vašich scénářích může tento krok zahrnovat vytvoření dalších sad, pravidel zásad správy a pracovních postupů. Pro všechny zásady, které je třeba zpětně použít u všech existujících objektů v systému, použijte nastavení Spustit při aktualizaci zásady u pracovních postupů akce a použijte tyto zásady zpětně u načtených dat.
Krok 5: Rekonfigurace SQL na předchozí nastavení
Nezapomeňte změnit nastavení SQL zpět na normální nastavení. Mezi tyto změny patří:
Zapnutí fulltextového vyhledávání
Aktualizace zásad zálohování pro každou zásadu organizace
Jakmile dokončíte počáteční načtení dat, musíte znovu zapnout fulltextové vyhledávání. Fulltextové vyhledávání znovu zapnete spuštěním těchto příkazů SQL:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Pokud musíte přepnout do režimu jednoduchého obnovení, nezapomeňte znovu nakonfigurovat plán zálohování v souladu se zásadami zálohování vaší organizace. Další podrobnosti o plánech zálohování FIM najdete v příručce k zálohování a obnovení FIM.
Migrace konfigurace
Neměňte zobrazované názvy
U mnoha typů objektů, například pravidel zásad správy, skript syncproduction.ps1 používá zobrazované názvy jako jediný atribut ukotvení mezi dvěma systémy. Když tedy změníte existující zobrazovaný název pravidla zásad správy, existující pravidlo zásad správy se odstraní a vytvoří se nové pravidlo. Důvodem tohoto chování je to, že proces migrace nemůže úspěšně spojit pravidla zásad správy, jejichž kritéria spojení se změnila. Abyste tomuto problému předešli, můžete vytvořit vazbu mezi vlastním atributem a všemi typy objektů konfigurace a daný atribut používat jako kritéria připojení. Tento proces umožňuje upravit zobrazované názvy, aniž by to ovlivnilo proces migrace.
Neměňte obsah zprostředkujících souborů
I když jsou formáty souborů a rozhraní API (Application Programming Interface) u objektů nízké úrovně veřejné a vývojáři práci s nimi podporují, nedoporučujeme při migraci měnit obsah zprostředkujících formátů. Může být ale nutné odebrat celé objekty importu ze souboru changes.xml nebo v souboru pilot.xml vyhledat a nahradit čísla verzí nebo pilotní informace DNS (Domain Name System) pro produkční informace DNS.
Při migraci mezi různými verzemi zkontrolujte správnost čísla verze v souboru pilot.xml
I když se migrace mezi čísly verzí nedoporučují ani nepodporují, často můžete tuto migraci provést tak, že v pilot.xml nahradíte číslo pilotní verze číslem produkční verze. Objekty WorkflowDefinition a
ActivityInformationConfiguration konkrétně vyžadují, aby číslo verze přesně odkazovalo na aktivity pracovního postupu v produkčním prostředí. Pokud nedojde k nahrazení čísla verze, rutina Compare-FIMConfig zjistí rozdíly mezi atributy XOML (Extensible Object Markup Language) u objektů WorkflowDefinition a provede migraci čísla pilotní verze. V případě, že nebude číslo verze správné, nemusí produkční služba FIM Service spustit aktivity pracovního postupu.
Nepoužívejte cyklické odkazy
Obecně platí, že použití cyklických odkazů se v konfiguraci MIM nedoporučuje. K cyklickým závislostem ale někdy dochází, když Sada A odkazuje na Sadu B a Sada B odkazuje na Sadu A. Pokud chcete předejít problémům s cyklickými odkazy, změňte definici Sady A nebo B tak, aby neodkazovaly na sebe navzájem. Potom restartujte proces migrace. Pokud používáte cyklické odkazy a v důsledku toho rutina Compare-FIMConfig vrátí chybu, je třeba cyklus přerušit ručně. Protože výstupem rutiny Compare-FIMConfig je seznam změn v pořadí podle priority, nesmí existovat žádné cyklické závislosti mezi odkazy objektů konfigurace.
Zabezpečení
Účet MIM MA
Účet MIM MA se nepovažuje za účet služby a měl by představovat normální uživatelský účet. Účty se musí přihlašovat místně, aby je účet služby FIM Synchronization Service mohl zosobnit.
Povolení místního přihlašování účtu MIM MA
Klikněte na Start, Nástroje pro správu a potom na Místní zásady zabezpečení.
Otevřete uzel Místní zásady a klikněte na Přiřazení uživatelských práv.
V zásadě Povolit místní přihlášení zkontrolujte, že je účet FIM MA explicitně zadán nebo ho přidejte do jedné ze skupiny, která už má udělen přístup.
Účty služeb FIM Synchronization Service a FIM Services
Pokud chcete nakonfigurovat servery, na kterých běží komponenty serveru MIM v zabezpečeném režimu, musíte účty služeb omezit. Pomocí předchozího postupu pro zapnutí účtu MIM MA nastavte u účtů služeb FIM Synchronization Service a FIM Service následující omezení:
Odepřít přihlášení se jako dávková úloha
Odepřít místní přihlášení
Odepřít přístup k tomuto počítači ze sítě
Účty služeb nesmí být členy místní skupiny Administrators.
Účet služby FIM Synchronization Service nesmí být členem skupiny zabezpečení, která slouží pro řízení přístupu ke službě FIM Synchronization Service (jedná se o skupiny začínající FIMSync, jako je například FIMSyncAdmins, atd.).
Důležité
Pokud vyberete možnosti pro použití stejného účtu pro oba účty služby a službu FIM Service a FIM Synchronization Service oddělíte, nemůžete nastavit odepření přístupu k tomuto počítači ze sítě na serveru mms Synchronization Service. Odepření přístupu znamená, že služba FIM Service nebude moct kontaktovat službu FIM Synchronization Service a změnit konfiguraci a spravovat hesla.
Resetování hesla nasazené na počítače, které slouží jako veřejný terminál, by mělo mít místní zabezpečení nastaveno na vymazání stránkovacího souboru virtuální paměti
Při nasazování resetování hesla FIM na pracovní stanici, která Shutdown: Clear virtual memory pagefile má být beznabídkovým režimem, doporučujeme zapnout nastavení místních zásad zabezpečení, aby se zajistilo, že citlivé informace z paměti procesu nebudou k dispozici neoprávněným uživatelům.
Implementace SSL pro FIM Portal
Důrazně doporučujeme, abyste na serveru FIM Portal používali SSL (Secure Sockets Layer) a zabezpečili tak komunikaci mezi klienty a serverem.
Implementace SSL:
Na serveru MIM Portal otevřete Správce služby IIS.
Klikněte na název místního počítače.
Klikněte na Certifikáty serveru.
Klikněte na Vytvořit žádost o certifikát.
Do textového pole Běžný název zadejte název serveru.
Klikněte na Další a pak na Další.
Uložte soubor do libovolného umístění. V dalších krocích bude třeba, abyste měli k tomuto umístění přístup.
Přejít na https://servername/certsrv. Nahraďte název_serveru názvem serveru, který vydává certifikáty.
Klikněte na Požádat o nový certifikát.
Klikněte na Odeslat rozšířenou žádost.
Klikněte na Odeslat žádost o certifikát pomocí kódování base64.
Vložte obsah souboru, který jste si uložili v předchozím kroku.
V šabloně certifikátu vyberte Webový server.
Klikněte na Odeslat.
Uložte si certifikát na plochu.
Ve Správci služby IIS klikněte na Dokončit žádost o certifikát.
Nasměrujte Správce služby IIS na certifikát, který jste si právě uložili na plochu.
Jako popisný název zadejte název serveru.
Klikněte na Weby a potom vyberte SharePoint – 80.
Klikněte na Vazby a potom klikněte na Přidat.
Vyberte protokol https.
Jako certifikát vyberte ten, který má stejný název jako server– certifikát, který jste právě naimportovali.
Klikněte na tlačítko OK.
Odeberte vazbu HTTP.
Klikněte na Nastavení SSL a potom zaškrtněte políčko Požadovat protokol SSL.
Uložte nastavení.
Klikněte na Start, na Nástroje pro správu a pak klikněte na Centrální správa služby SharePoint 3.0.
Klikněte na Operace a potom na Mapování alternativních adres URL.
Klikněte na https://servername..
Změňte https://servername na https://servernamea klikněte na OK.
Klikněte na Start, na Spustit, zadejte iisreset a potom klikněte na OK.
Výkon
Konfigurace pro optimální výkon:
Použijte osvědčené postupy pro nastavení SQL, jak jsou popsané v části věnované nastavení SQL v tomto dokumentu.
Vypněte indexování SharePointu na webu portálu MIM. Další informace najdete v části Zákaz indexování SharePointu .
Osvědčené postupy pro konkrétní funkce
Správa žádostí
Ve výchozím nastavení nástroj MIM 2016 každých 30 dnů vymaže systémové objekty s ukončenou platností, včetně dokončených žádostí s přidruženými schváleními, odpovědí na žádosti o schválení a instancí pracovního postupu. Pokud potřebujete uchovat delší historii žádostí, musíte exportovat žádosti z nástroje MIM a uložit je v pomocné databázi, abyste o ně po 30 dnech nepřišli. Přestože je možné 30denní interval odstraňování žádostí nakonfigurovat, jeho prodloužení může mít negativní dopad na výkon, protože systém bude obsahovat další objekty.
Pravidla zásad správy
Použití správného typu pravidel zásad správy
MIM poskytuje dva typy pravidel zásad správy – pro žádosti a přechod sady:
Pravidla zásad správy žádostí
- Slouží k definování zásad řízení přístupu (ověřování, autorizace a akce) pro operace CRUD (Create, Read, Update nebo Delete) s prostředky.
- Použije se při vydání operace CRUD pro cílový prostředek v MIM a
- Vymezeno odpovídajícími kritérii definovanými v pravidle, tj. pro které žádosti CRUD pravidlo platí.
Pravidla zásad správy přechodu sady
- Slouží k definování zásad bez ohledu na tom, jak objekt vstoupil do aktuálního stavu reprezentovaného sadou přechodu. Pravidla zásad správy přechodu sady použijte pro zásady nároku modelu.
- Použije se, když prostředek vstoupí do přidružené sady nebo ji opustí.
- Omezeno na členy sady.
Poznámka
Další informace najdete v tématu Návrh pravidel obchodních zásad.
Povolení pravidel zásad správy jenom v případě potřeby
Při použití konfigurace uplatněte princip nejnižšího možného oprávnění. Zásady správy řídí zásady přístupu k nasazení MIM. Povolte jenom funkce, které využívá většina uživatelů. Například ne všichni uživatelé používají MIM pro správu skupin, takže přidružené zásady správy skupin by měly být zakázané. Ve výchozím nastavení se MIM dodává s většinou zakázaných oprávnění bez oprávnění správce.
Duplikujte integrovaná pravidla zásad správy místo přímé změny
Když potřebujete změnit integrovaná pravidla zásad správy, měli byste vytvořit nové pravidlo zásad správy s požadovanou konfigurací a vypnout integrované pravidlo zásad správy. Vytvoření této nové sady ZÁSAD správy zajistí, že jakékoli budoucí změny integrovaných zásad správy, které jsou zavedeny prostřednictvím procesu upgradu, nebudou mít negativní vliv na konfiguraci systému.
Oprávnění koncových uživatelů by měla používat seznamy explicitních atributů podle firemních potřeb uživatelů
Použití seznamů explicitních atributů vám pomůže zabránit náhodnému udělení oprávnění neoprávněným uživatelům při přidávání atributů do objektů. Správci by měli explicitně udělovat přístup k novým atributům na základě potřeby, a nikoli přístup odebírat.
Přístup k datům by měl být omezen na firemní potřeby uživatelů. Členové skupiny by například neměli mít přístup k atributu filtrování skupiny, do které sami patří. Filtr může nedopatřením odhalit firemní data, ke kterým by uživatel normálně neměl mít přístup.
Pravidla zásad správy by měla odrážet účinná oprávnění v systému
Vyhněte se udělení oprávnění k atributům, které uživatel nikdy nepoužije. Neměli byste například udělovat oprávnění ke změně základních atributů prostředku, jako je objectType. Bez ohledu na zásadu správy bude systém jakýkoli pokus o úpravu typu prostředku po vytvoření prostředku zamítnut.
Při použití explicitních atributů v pravidlech zásad správy by oprávnění ke čtení měla být oddělena od oprávnění ke změnám a vytváření
Když explicitně uvedete seznam atributů v pravidlech zásad správy, budou se atributy vyžadované pro oprávnění ke čtení a změnám obvykle lišit od oprávnění ke čtení. Oprávnění ke čtení je možné udělit například pro systémové atributy, jako jsou Creator nebo objectId, ale pro systémové atributy není možné zadat oprávnění k vytváření a změnám.
Při použití explicitních atributů v pravidlech by oprávnění k vytváření měla být oddělena od oprávnění ke změnám
Operace vytvoření vyžaduje, aby uživatel vybral objectType jako součást operace. Tento atribut je základní systémový atribut, který nelze po operaci Vytvoření upravit.
Použijte jedno pravidlo zásad správy žádostí pro všechny atributy se stejnými požadavky na přístup
Pokud máte atributy se stejnými požadavky na přístup, u nichž se nepředpokládají změny, můžete je z důvodu efektivity zkombinovat v jednom pravidle zásad správy žádostí.
Vyhněte se poskytování neomezeného přístupu u vybraných skupin objektů zabezpečení
V MIM jsou oprávnění definovaná jako pozitivní kontrolní výraz. Vzhledem k tomu, že MIM nepodporuje oprávnění Odepřít, poskytnutí neomezeného přístupu k prostředku komplikuje poskytování všech vyloučení v oprávněních. Osvědčeným postupem je udělit pouze nezbytná oprávnění.
Definujte vlastní nároky pomocí pravidel zásad správy přechodu
Vlastní nároky definujte raději pomocí pravidel zásad správy přechodu sady než pomocí pravidel zásad správy žádostí. Pravidla zásad správy přechodu poskytují model založený na stavu, který přiřazuje nebo odebírá nároky na základě členství v definovaných sadách přechodu, neboli rolích, a doprovodných aktivitách pracovního postupu. Protokoly TMPR by měly být vždy definovány ve dvojicích, jeden pro přecházející prostředky a jeden pro prostředky, které přecházejí ven. Kromě toho by každý přechod MPR měl obsahovat samostatné pracovní postupy pro aktivity zřizování a rušení zřízení.
Poznámka
Pracovní postup zrušení zřizování by měl zajistit, že atribut Spustit při aktualizaci zásad je nastaven na hodnotu true.
Pravidlo zásad správy přechodu dovnitř povolte jako poslední
Při vytváření dvojice pravidel zásad správy přechodu zapněte pravidlo zásad správy přechodu dovnitř jako poslední. Toto pořadí zajistí, že v době, kdy je zapnuto pravidlo zásad správy přechodu dovnitř, ale ještě není zapnuto pravidlo zásad správy přechodu ven, nezůstane žádný prostředek s nárokem při přidání do sady nebo odebrání ze sady.
Pracovní postupy v pravidle zásad správy přechodu by měly nejprve zkontrolovat stav cílového prostředku
Pracovní postupy zřizování by měly nejprve zjistit, jestli je cílový prostředek zřízen v souladu s nárokem. Pokud ano, neměla by se provádět žádná akce.
Pracovní postupy zrušení zřizování by měly nejprve zjistit, jestli byl cílový prostředek zřízen. Pokud ano, měly by zrušit zřízení cílového prostředku. V opačném případě by se neměla provádět žádná akce.
Pro pravidla zásad správy přechodu vyberte možnost Spustit při aktualizaci zásady
Toto nastavení zajišťuje, aby se při implementaci aktualizací zásad použilo správné chování zřizování a použilo příznak aktualizace zásad spuštění u pracovních postupů akcí přidružených k zásadám TMPR a aby změny v definicích zásad použily pracovní postupy akcí na nové členy sady přechodů.
Vyhněte se přidružení stejného nároku ke dvěma různým sadám přechodu
Přidružení stejného nároku ke dvěma různým sadám přechodu může způsobit zbytečné odvolání a nové udělení nároků v případě, že se prostředek přesune z jedné sady do druhé. Osvědčeným postupem je zajistit, že jedna sada obsahuje všechny prostředky, které vyžadují přidružený nárok. Tento postup zajišťuje vztah 1:1 mezi sadou přechodů a nárokem udělujícím pracovní postup.
Při odebírání nároků v systému použijte příslušné pořadí operací
Pořadí kroků, které provádíte při odebírání nároků v systému, může mít dva různé provozní výsledky. Ujistěte se, že víte, pomocí kterého pořadí dosáhnete požadovaného efektu.
Odebrání nároku ze systému (a jeho odvolání u všech členů, kteří momentálně mají nárok nastaven):
Zakažte pravidlo zásad správy pro přechod dovnitř. Tato změna zabrání novým grantům.
Odstraňte filtr sady přechodu nebo ho změňte tak, aby sada byla prázdná. To způsobí přechod všech stávajících členů ven a použití zásady přechodu ven, včetně nakonfigurovaných pracovních postupů zrušení zřizování přidružených k nároku.
Zakažte pravidlo zásad správy přechodu ven.
Odebrání nároku, ale ponechání aktuálních členů na pokoji (například ukončení používání MIM ke správě nároku):
Zakažte pravidlo zásad správy pro přechod dovnitř. Tato změna zabrání novým udělením.
Zakažte pravidlo zásad správy přechodu ven.
Odstraňte filtr sady přechodu nebo ho změňte tak, aby sada byla prázdná. Vzhledem k tomu, že sada už není svázána s pravidlem zásad správy přechodu, nepoužijí se žádné pracovní postupy zrušení zřizování.
Sady
Při použití osvědčených postupů pro sady musíte zvážit dopad optimalizací na možnosti správy a usnadnění správy v budoucnu. Než použijete tato doporučení, měli byste provést příslušné testy v očekávaném produkčním měřítku a zjistit tak správné vyvážení výkonu a možností správy.
Poznámka
Všechny následující pokyny se vztahují k dynamickým sadám a dynamickým skupinám.
Minimalizace používání dynamického vnoření
Toto se vztahuje k filtru sady odkazující na atribut ComputedMember jiné sady. Vnoření sad se obvykle provádí proto, aby se zabránilo duplikování podmínky členství v mnoha sadách. Přestože tento přístup může přinést lepší možnosti správy sad, je to na úkor výkonu. Můžete provést optimalizaci výkonu tak, že duplikujete podmínky členství vnořené sady místo vnoření sady samotné.
Můžete se setkat s případy, kdy není možné vyhnout se vnoření sad, aby byl splněn požadavek na funkčnost. Jedná se o hlavní situace, kdy je sady třeba vnořit. Pokud chcete například definovat sady všech skupin bez vlastníků typu Zaměstnanec na plný úvazek, musíte vnoření sad provést takto: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], kde X je ObjectID sady všech zaměstnanců na plný úvazek.
Minimalizace používání záporných podmínek
Záporné podmínky jsou podmínky členství, které využívají následující operátory a funkce: !=, not(), \< , \<=. Pokud chcete optimalizovat výkon, vyjádřete tam, kde je to možné, požadovanou podmínku raději pomocí více kladných podmínek než jedné záporné podmínky.
Minimalizace používání podmínek členství na základě vícehodnotových atributů typu odkaz
Používání podmínek založených na vícehodnotových atributech typu odkaz byste měli minimalizovat, protože velké množství těchto sad může ovlivnit výkon operací u atributu použitého v podmínce členství.
Resetování hesla
Veřejné počítačové terminály, které slouží pro resetování hesla, by měly mít místní zabezpečení nastaveno tak, aby se vymazával stránkovací soubor virtuální paměti
Při nasazování resetování hesla MIM na pracovní stanici, která má být beznabídkovým režimem, doporučujeme zapnout místní zásady zabezpečení Vypnout: Vymazat stránkovací soubor virtuální paměti, aby se zajistilo, že citlivé informace z paměti procesu nebudou k dispozici neoprávněným uživatelům.
Uživatelé by si měli vždy zaregistrovat resetování hesla na počítači, ke kterému jsou přihlášeni
Když se uživatel pokusí zaregistrovat resetování hesla prostřednictvím webového portálu, MIM vždy zahájí registraci jménem přihlášeného uživatele bez ohledu na to, kdo je přihlášen k webu. Uživatelé by si měli vždy zaregistrovat resetování hesla na počítači, ke kterému jsou přihlášeni.
Nenastavujte klíč registru AvoidPdcOnWan na hodnotu true
Když používáte resetování hesla MIM 2016, nenastavujte klíč registru AvoidPdcOnWan na hodnotu true.
Pokud klíč registru nastavíte na hodnotu true, uživatel se s největší pravděpodobností dostane přes bránu hesel, obnoví heslo na primárním řadiči domény a pokusí se přihlásit. Kvůli tomuto klíči registru místní řadič domény neprovede sekundární ověření pomocí primárního řadiče domény, a proto zamítne žádost o přihlášení. Pokud je uživateli zamítnuta žádost o přihlášení několikrát, může mu být zablokována doména a bude muset zavolat podporu.
Nezapínejte protokolování hesel uložených jako nešifrovaný text
Pokud v technologii WFC (Windows Communication Foundation) zapnete diagnostické sledování úrovně služeb,
je možné protokolovat hesla uložená jako nešifrovaný text. Tato možnost není ve výchozím nastavení zapnuta a v produkčních prostředích ji nedoporučujeme zapínat. Tato hesla se zobrazují jako nezašifrovaný text ve zprávě SOAP (Simple Object Access Protocol), když uživatelé registrují resetování hesla. Další informace najdete v tématu Konfigurace protokolování zpráv.
Nemapujte pracovní postup autorizace k procesu resetování hesla
Pracovní postup autorizace byste neměli připojovat k operaci resetování hesla. Resetování hesla vyžaduje synchronní odpověď a pracovní postupy autorizace, které obsahují aktivity, jako je aktivita schválení, jsou asynchronní.
Nemapujte více aktivit akcí k resetování hesla
Pracovní postup, který obsahuje více aktivit akcí, byste neměli připojovat k operaci resetování hesla. Ukázkovým scénářem je například připojení sekundární aktivity resetování hesla služby AD DS k pravidlu zásad správy resetování hesla. Takový scénář se nepodporuje.
Vyžadujte registraci při přidání, odebrání nebo změně pořadí aktivit ve stávajícím pracovním postupu
Když přidáváte, odebíráte nebo měníte pořadí aktivit ověření ve stávajícím pracovním postupu, vždy vyberte možnost vyžadování opakované registrace. Uživatelé, kteří se pokusí ověřit pro resetování hesla po přidání aktivity do pracovního postupu nebo jejím odebrání, ale před tím, než se znovu zaregistrovali, se můžou setkat s nežádoucími účinky.
Konfigurace portálu a konfigurace zobrazení ovládacích prvků prostředků
Zvažte přidání právních omezení týkajících se ochrany osobních údajů na stránku profilu uživatele
V nástroji MIM se ve výchozím nastavení můžou některé informace z profilu uživatele zobrazovat ostatním uživatelům. Z důvodu ohleduplnosti vůči uživatelům by správci měli zvážit přidání vlastního textu, který je v souladu se zásadami společnosti, na stránku Profil uživatele. Další informace o přidání vlastního textu na stránku portálu MIM Portal najdete v úvodu ke konfiguraci a přizpůsobení portálu FIM Portal.
Schéma
Neodstraňujte typy prostředků Person ani Group
Přestože typy prostředků Person ani Group nejsou považovány za základní typy prostředků, neměli byste tyto prostředky ani k nim přidružené atributy odstraňovat. Uživatelské rozhraní na webu MIM Portal vyžaduje přítomnosti typů prostředků Person a Group a jejich atributů.
Neměňte základní atributy
Ke všem typům prostředků je přiřazeno 13 základních atributů. Žádným způsobem byste neměli měnit jejich vztah k žádnému typu prostředku. Třináct základních atributů:
CreatedTime
tvůrce
DeletedTime
Description
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Národní prostředí
MVObjectID
ObjectId
ObjectType
ResourceTime
Neodstraňujte prostředek schématu se závislostí na požadavcích auditování
Prostředky schématu byste neměli odstraňovat, pokud tyto prostředky chcete stále auditovat.
Vytváření regulárních výrazů bez rozlišování velkých a malých písmen
V MIM může být užitečné, když u některých regulárních výrazů nerozlišují malá a velká písmena. Malá a velká písmena ve skupině můžete ignorovat pomocí .?!: Pro typ zaměstnance například použijte:
\^(?!:contractor\|full time employee)%.
Výpočet atributu člena
Atribut člena přístupný modulu synchronizace je aktuálně mapován ke ComputedMembers. Jedná se o kombinaci členů založených na kritériích a ručně vybraných členů. I když přidáte všechny tři atributy (Filter, ExplicitMembers a ComputedMembers), neprovede se dynamický výpočet atributu člena u jiných typů prostředků, než je skupina a sada.
Počáteční a koncové mezery v řetězcích se ignorují
V MIM můžete zadávat řetězce s úvodními a koncovými mezerami, ale systém MIM tyto mezery ignoruje. Pokud odešlete řetězec s úvodní a koncovou mezerou, synchronizační modul a webové služby tyto mezery ignorují.
Prázdné řetězce nemají hodnotu null
Prázdné řetězce se v této verzi MIM nerovnají hodnotě null. Zadání prázdného řetězce se považuje za platnou hodnotu. Za hodnotu null se považuje neexistence řetězce.
Pracovní postup a zpracování žádostí
Neodstraňujte výchozí pracovní postupy, které se dodávají s nástrojem MIM 2016
Následující pracovní postupy se dodávají s MIM a neměly by se odstraňovat:
Pracovní postup vypršení platnosti
Pracovní postup ověření filtru pro správce
Pracovní postup ověření filtru pro uživatele bez oprávnění správce
Pracovní postup oznámení při vypršení platnosti skupiny
Pracovní postup ověření skupiny
Pracovní postup schválení vlastníkem
Pracovní postup akce resetování hesla
Ověřovací pracovní postup resetování hesla
Ověření žadatele pomocí autorizace vlastníka
Ověření žadatele bez použití autorizace vlastníka
Pracovní postup systému vyžadovaný pro registraci
Nespouštějte dvě nebo více aktivit schválení současně
Současně byste neměli spouštět dvě nebo více aktivit schválení. Mohlo by dojít k tomu, že žádost uvízne ve fázi autorizace. Pokud máte více schválení, uveďte ve schválení více schvalovatelů nebo seřaďte aktivity jednu za druhou.
Aktivity autorizace by neměly měnit data prostředků MIM
Jako součást pracovních postupů v pracovních postupech autorizace nepoužívejte aktivity, které mění prostředky MIM, jako je třeba aktivita vyhodnocení funkce. Vzhledem k tomu, že žádost ve chvíli autorizace ještě není potvrzena, můžou se změny informací o identitě použít navzdory možnému zamítnutí žádosti.
Princip oddílů služby FIM Service
Cílem MIM je zpracovávat požadavky, které můžou iniciovat různí klienti MIM, jako je synchronizační služba FIM, a samoobslužné komponenty podle vašich nakonfigurovaných obchodních zásad. Služba je navržena tak, že každá instance služby FIM patří do logické skupiny tvořené minimálně jednou instancí služby FIM, která je také známá jako oddíl služby FIM. Pokud jste pro zpracování všech žádostí nasadili jenom jednu instanci služby FIM, je možné, že bude při zpracování docházet k latenci. Některé operace můžou dokonce i překročit výchozí hodnoty časového limitu, které jsou pro samoobslužné operace dostačující. Oddíly služby FIM vám s tímto problémem můžou pomoct.
Další informace najdete v tématu Principy oddílů služby FIM.