Jak aprowizować użytkowników do usług AD DS
Dotyczy: programu Microsoft Identity Manager 2016 SP1 (MIM)
Jednym z podstawowych wymagań dotyczących systemu zarządzania tożsamościami jest możliwość aprowizacji zasobów do systemu zewnętrznego.
Ten przewodnik przeprowadzi Cię przez główne bloki konstrukcyjne związane z procesem aprowizacji użytkowników z programu Microsoft® Identity Manager (MIM) 2016 do usług Active Directory® Domain Services (AD DS). Ponadto przewodnik opisuje sposób weryfikacji prawidłowego działania scenariusza, zapewnia sugestie dotyczące zarządzania użytkownikami usługi Active Directory przy użyciu programu MIM 2016 i zawiera listy dodatkowych źródeł informacji.
Zanim rozpoczniesz
W tej części znajdziesz informacje dotyczące zakresu tego dokumentu. Ogólnie rzecz biorąc, przewodniki „Jak mogę” są kierowane do czytelników, którzy mają już podstawowe doświadczenie z procesem synchronizacji obiektów z programem MIM zgodnie z informacjami zawartymi w powiązanych przewodnikach wprowadzających.
Grupy odbiorców
Ten przewodnik jest przeznaczony dla profesjonalistów z dziedziny IT, którzy mają już podstawową wiedzę o tym, jak działa proces synchronizacji MIM, zainteresowanych uzyskaniem bezpośredniego doświadczenia i obszerniejszych informacji koncepcyjnych związanych z konkretnymi scenariuszami.
Wymagana wiedza
Dokument ten zakłada, że masz dostęp do uruchomionego wystąpienia programu MIM oraz że masz doświadczenie w konfigurowaniu prostych scenariuszy synchronizacji zgodnie z informacjami podanymi w następujących dokumentach:
Zawartość tego dokumentu została opracowana jako rozszerzenie tych dokumentów wprowadzających.
Zakres
Scenariusz opisany w tym dokumencie został uproszczony, aby sprostać wymaganiom podstawowego środowiska laboratoryjnego. Głównym celem jest zapewnienie zrozumienia omawianych pojęć i technologii.
Dokument ten pomoże w opracowaniu rozwiązania, które obejmuje grupy zarządzania w usługach AD DS, przy użyciu programu MIM.
Wymagania czasowe
Zakończenie procedur opisanych w tym dokumencie wymaga od 90 do 120 minut.
Szacunkowe wymagania czasowe zakładają, że środowisko testowe jest już skonfigurowane, i nie uwzględniają czasu wymaganego na konfigurację środowiska testowego.
Opis scenariusza
Fabrikam, fikcyjna firma, planuje użyć programu MIM do zarządzania kontami użytkowników w usługach AD DS korporacji. W ramach tego procesu firma Fabrikam potrzebuje aprowizować użytkowników do usług AD DS. Aby rozpocząć wstępne testowanie, firma Fabrikam zainstalowała podstawowe środowisko laboratoryjne składające się z programu MIM i usług AD DS. W tym środowisku laboratoryjnym firma Fabrikam testuje scenariusz obejmujący użytkownika, który został ręcznie utworzony w portalu MIM. Celem tego scenariusza jest aprowizacja użytkownika jako włączonego użytkownika ze wstępnie zdefiniowanym hasłem do usług AD DS.
Projekt scenariusza
Aby korzystać z tego przewodnika, potrzebujesz trzech składników architektury:
Kontroler domeny usługi Active Directory
Komputer z uruchomioną usługą FIM Synchronization Service
Komputer z uruchomionym portalem programu FIM
Poniższa ilustracja przedstawia wymagane środowisko.
Możesz uruchomić wszystkie składniki na jednym komputerze.
Uwaga
Aby uzyskać więcej informacji dotyczących konfigurowania programu MIM, zobacz Przewodnik instalacji programu FIM.
Lista składników scenariusza
W poniższej tabeli zawarto listę składników, które stanowią część scenariusza w tym przewodniku.
| Ikona | Składnik | Opis |
|---|---|---|
 |
Jednostka organizacyjna | Obiekty MIM — jednostka organizacyjna (OU), której używa się jako celu dla aprowizowanych użytkowników. |
 |
Konta użytkowników | · ADMA — konto użytkownika usługi Active Directory z wystarczającymi uprawnieniami do nawiązywania połączenia z usługami AD DS. · FIMMA — konto użytkownika usługi Active Directory z wystarczającymi uprawnieniami do nawiązywania połączenia z programem MIM. |
 |
Agenci zarządzania i profile przebiegu | · Fabrikam ADMA — agent zarządzania wymieniający dane z usługami AD DS. · Fabrikam FIMMA — agent zarządzania, który wymienia dane z programem MIM. |
 |
Reguły synchronizacji | Reguła synchronizacji ruchu wychodzącego firmy Fabrikam — reguła synchronizacji ruchu wychodzącego, która aprowizuje użytkowników do usług AD DS. |
 |
Zestawy | Wszyscy wykonawcy — zestaw z dynamicznym członkostwem dla wszystkich obiektów z wartością Contractor dla atrybutu EmployeeType. |
 |
Przepływy pracy | Przepływ pracy aprowizacji usługi AD — przepływ pracy przenoszący użytkownika programu MIM do zakresu reguły synchronizacji ruchu wychodzącego usługi AD. |
 |
Reguły zasad zarządzania | Reguła zasad zarządzania aprowizacji usługi AD — reguła zasad zarządzania (MPR), która zostaje wyzwolona, gdy zasób zostaje elementem członkowskim zestawu Wszyscy wykonawcy. |
 |
Użytkownicy programu MIM | Britta Simon — użytkownik programu MIM, którego należy aprowizować do usług AD DS. |
Kroki w scenariuszu
Scenariusz opisany w tym przewodniku składa się z bloków konstrukcyjnych pokazanych na poniższym rysunku.
Konfiguracja systemów zewnętrznych
W tej sekcji znajdziesz instrukcje dotyczące zasobów spoza środowiska programu MIM, które należy utworzyć.
Krok 1. Tworzenie jednostki organizacyjnej
Potrzebujesz jednostki organizacyjnej jako kontenera dla aprowizowanego przykładowego użytkownika. Aby uzyskać więcej informacji o tworzeniu jednostek organizacyjnych, zobacz Tworzenie nowej jednostki organizacyjnej.
Utwórz jednostkę organizacyjną o nazwie MIMObjects w usługach AD DS.
Krok 2. Tworzenie kont użytkowników usługi Active Directory
W ramach scenariusza opisywanego w tym przewodniku potrzebujesz dwóch kont użytkowników usługi Active Directory:
ADMA — używanego przez agenta zarządzania usługi Active Directory;
FIMMA — używanego przez agenta zarządzania usługi FIM Service.
W obu przypadkach wystarczy utworzyć regularne konta użytkowników. Więcej informacji o konkretnych wymaganiach dla obu kont można znaleźć w dalszej części tego dokumentu. Aby uzyskać więcej informacji o tworzeniu użytkowników, zobacz Tworzenie nowego konta użytkownika.
Konfiguracja usługi FIM Synchronization Service
W ramach kroków konfiguracyjnych opisanych w tej sekcji musisz uruchomić menedżera usługi FIM Synchronization Service.
Tworzenie agentów zarządzania
W ramach scenariusza opisywanego w tym przewodniku musisz utworzyć dwóch agentów zarządzania:
Fabrikam ADMA — agenta zarządzania dla usług AD DS;
Fabrikam FIMMA — agenta zarządzania dla agenta zarządzania usług FIM Service.
Krok 3. Tworzenie agenta zarządzania Fabrikam ADMA
Podczas konfigurowania agenta zarządzania dla usług AD DS należy określić konto, które jest wykorzystywane przez agenta zarządzania w ramach wymiany danych z usługami AD DS. Należy użyć normalnego konta użytkownika. Niemniej jednak, aby zaimportować dane z usług AD DS, konto musi mieć uprawnienia do sondowania zmian z kontroli DirSync. Jeśli chcesz, aby agent zarządzania eksportował dane do usług AD DS, musisz przyznać odpowiednie uprawnienia dla konta w docelowych jednostkach organizacyjnych. Aby uzyskać więcej informacji na ten temat, zobacz Konfigurowanie konta ADMA.
Aby utworzyć użytkownika w usługach AD DS, wymaga się przeniesienia nazwy wyróżniającej obiektu na zewnątrz. Ponadto dobrym rozwiązaniem jest przeniesienie imienia, nazwiska i nazwy wyświetlanej, aby zapewnić możliwość wykrycia obiektów.
W usługach AD DS nadal typowe dla użytkowników jest korzystanie z atrybutu sAMAccountName do logowania do usługi katalogu. Jeśli nie określisz wartości dla tego atrybutu, usługa katalogu wygeneruje dla niego losową wartość. Niemniej te losowe wartości nie są przyjazne dla użytkownika, dlatego zazwyczaj przyjazna dla użytkownika wersja tego atrybutu jest częścią eksportu do usług AD DS. Aby umożliwić użytkownikowi logowanie się do usług AD DS, musisz również uwzględnić utworzone hasło przy użyciu atrybutu unicodePwd w logice eksportu.
Uwaga
Upewnij się, że wartość określona jako unicodePwd jest zgodna z zasadami haseł docelowych usług AD DS.
Po ustawieniu hasła dla kont AD DS należy również utworzyć konto jako włączone konto. Możesz to zrobić, ustawiając atrybut userAccountControl. Aby uzyskać więcej informacji o atrybucie userAccountControl, zobacz Using FIM to Enable or Disable Accounts in Active Directory (Korzystanie z programu FIM do włączania lub wyłączania kont w usłudze Active Directory).
W poniższej tabeli zawarto listę najważniejszych ustawień właściwych dla scenariusza, które należy skonfigurować.
| Strona projektanta agenta zarządzania | Konfigurowanie |
|---|---|
| Utwórz agenta zarządzania | 1. Agent zarządzania dla usług AD DS 2. Nazwa: Fabrikam ADMA |
| Łączenie z lasem usługi Active Directory | 1. Wybierz partycje katalogów: "DC=Fabrikam,DC=com" 2. Kliknij pozycję Kontenery , aby otworzyć okno dialogowe Wybieranie kontenerów i upewnij się, że obiekty MIMObjects są jedyną wybraną jednostkę organizacyjną. |
| Wybierz typy obiektów | Poza już wybranymi typami obiektów wybierz użytkownika. |
| Wybierz atrybuty | 1. Kliknij pozycję Pokaż wszystko. 2. Wybierz następujące atrybuty: ° displayName ° givenName ° sn ° SamAccountName ° unicodePwd ° userAccountControl |
Więcej informacji znajduje się w następujących tematach pomocy:
- Tworzenie agenta zarządzania
- Łączenie z lasem usługi Active Directory
- Korzystanie z agenta zarządzania dla usługi Active Directory
- Konfiguruj partycje katalogu
Uwaga
Upewnij się, że skonfigurowano regułę przepływu atrybutu importowania dla atrybutu ExpectedRulesList.
Krok 4. Tworzenie agenta zarządzania Fabrikam FIMMA
Podczas konfigurowania agenta zarządzania usługi FIM Service musisz określić konto, które jest wykorzystywane przez agenta zarządzania w wymianie danych z usługą FIM Service.
Należy użyć normalnego konta użytkownika. Konto musi być tym samym kontem, które zostało określone podczas instalacji programu MIM. Aby uzyskać informacje o skrypcie, którego możesz użyć do określenia nazwy konta FIMMA podanego podczas instalacji i do przetestowania, czy to konto jest nadal ważne, zobacz Using Windows PowerShell to Do a FIM MA Account Configuration Quick Test (Korzystanie z programu Windows PowerShell do wykonania szybkiego testu konfiguracji konta FIM MA).
W poniższej tabeli zawarto listę najważniejszych ustawień właściwych dla scenariusza, które należy skonfigurować. Utwórz agenta zarządzania w oparciu o informacje podane w poniższej tabeli.
| Strona projektanta agenta zarządzania | Konfigurowanie |
|---|---|
| Utwórz agenta zarządzania | 1. Agent zarządzania dla: agent zarządzania usługami FIM 2. Nazwa Fabrikam FIMMA |
| Łączenie z bazą danych | Użyj następujących ustawień: · Serwer: localhost · Bazy danych: FIMService · Podstawowy adres usługi FIM Service:http://localhost:5725 Podaj informacje o koncie utworzonym dla tego agenta zarządzania |
| Wybierz typy obiektów | Poza już wybranymi typami obiektów wybierz osobę. |
| Skonfiguruj mapowania typów obiektów | Poza już istniejącymi mapowaniami typów obiektów dodaj mapowanie dla osoby Typ obiektu źródła danych do osoby typu obiektu Metaverse. |
| Konfiguruj przepływ atrybutów | Poza już istniejącymi mapowaniami przepływu atrybutów dodaj następujące mapowania przepływu atrybutów: |
Więcej informacji znajduje się w następujących tematach pomocy:
Tworzenie agenta zarządzania
Łączenie z bazą danych usługi Active Directory
Korzystanie z agenta zarządzania dla usługi Active Directory
Konfiguruj partycje katalogu
Uwaga
Upewnij się, że skonfigurowano regułę przepływu atrybutu importowania dla atrybutu ExpectedRulesList.
Krok 5. Tworzenie profilów przebiegu
W poniższej tabeli wymieniono profile przebiegu, które należy utworzyć w ramach scenariusza opisywanego w tym przewodniku.
| Agent zarządzania | Profil przebiegu |
|---|---|
| Fabrikam ADMA | 1. Pełny import 2. Pełna synchronizacja 3. Importowanie różnicowe 4. Synchronizacja różnicowa 5. Eksportowanie |
| Fabrikam FIMMA | 1. Pełny import 2. Pełna synchronizacja 3. Importowanie różnicowe 4. Synchronizacja różnicowa 5. Eksportowanie |
Utwórz profile przebiegu dla każdego agenta zarządzania zgodnie z poprzednią tabelą.
Uwaga
Aby uzyskać więcej informacji, zobacz Create a Management Agent Run Profile (Tworzenie profilu przebiegu agenta zarządzania) w Pomocy programu MIM.
Ważne
Upewnij się, że aprowizacja jest włączona w Twoim środowisku. Możesz to zrobić, uruchamiając skrypt Using Windows PowerShell to Enable Provisioning (https://go.microsoft.com/FWLink/p/?LinkId=189660).
Konfigurowanie usługi FIM Service
W ramach scenariusza opisanego w tym przewodniku należy skonfigurować zasady aprowizacji zgodnie z poniższym rysunkiem.
Celem tych zasad aprowizacji jest wprowadzenie grup do zakresu reguły synchronizacji ruchu wychodzącego użytkowników usługi AD. Przenosząc zasób do zakresu reguły synchronizacji, włączasz aparat synchronizacji, aby aprowizować zasób do usług AD DS zgodnie z konfiguracją.
Aby skonfigurować usługę FIM, przejdź w programie Windows Internet Explorer® do http://localhost/identitymanagement. Na stronie portalu MIM przejdź do powiązanych stron w sekcji Administracja, aby utworzyć zasady aprowizacji. Aby sprawdzić konfigurację, należy uruchomić skrypt opisany w artykule Using Windows PowerShell to document your provisioning policy configuration (Korzystanie z programu Windows PowerShell do udokumentowania konfiguracji zasad aprowizacji).
Krok 6. Tworzenie reguły synchronizacji
W poniższych tabelach przedstawiono konfigurację wymaganej reguły synchronizacji aprowizacji firmy Fabrikam. Utwórz regułę synchronizacji zgodnie z danymi w następujących tabelach.
| Konfiguracja reguły synchronizacji | Ustawienie |
|---|---|
| Nazwa | Reguła synchronizacji ruchu wychodzącego użytkowników usługi Active Directory |
| Opis | |
| Pierwszeństwo | 2 |
| Kierunek przepływu danych | Wychodzący |
| Zależność |
| Zakres | Ustawienie |
|---|---|
| Typ zasobu Metaverse | osoba |
| System zewnętrzny | Fabrikam ADMA |
| Typ zasobu systemu zewnętrznego | użytkownik |
| Relacja | Ustawienie |
|---|---|
| Utwórz zasób w systemie zewnętrznym | Prawda |
| Włącz anulowanie aprowizacji | Fałsz |
| Kryteria relacji | Ustawienie |
|---|---|
| Atrybut ILM | Atrybut źródła danych |
| Atrybut źródła danych | sAMAccountName |
| Początkowe przepływy atrybutów wychodzących | Ustawienie 1 | Ustawienie 2 |
|---|---|---|
| Zezwalaj na wartości null | Element docelowy | Source |
| fałsz | dn | +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com") |
| fałsz | userAccountControl | Stała: 512 |
| fałsz | unicodePwd | Stała: P@$$W 0rd |
| Trwałe przepływy atrybutów wychodzących | Ustawienie 1 | Ustawienie 2 |
|---|---|---|
| Zezwalaj na wartości null | Element docelowy | Source |
| fałsz | sAMAccountName | accountName |
| fałsz | displayName | displayName |
| fałsz | givenName | firstName |
| fałsz | sn | lastName |
Uwaga
Ważne: sprawdź, czy wybrano opcję Tylko przepływ początkowy dla przepływu atrybutu, którego miejscem docelowym jest DN.
Krok 7. Tworzenie przepływu pracy
Celem przepływu pracy aprowizacji AD jest dodanie reguły synchronizacji aprowizacji firmy Fabrikam do zasobu. W poniższych tabelach przedstawiono konfigurację. Utwórz przepływ pracy zgodnie z danymi w poniższych tabelach.
| Konfiguracja przepływu pracy | Ustawienie |
|---|---|
| Nazwa | Przepływ pracy aprowizacji użytkownika usługi Active Directory |
| Opis | |
| Typ przepływu pracy | Akcja |
| Uruchom podczas aktualizacji zasad | Fałsz |
| Reguła synchronizacji | Ustawienie |
|---|---|
| Nazwa | Reguła synchronizacji ruchu wychodzącego użytkowników usługi Active Directory |
| Akcja | Dodaj |
Krok 8. Tworzenie reguły MPR
Wymagana reguła MPR to reguła typu Przejście między zestawami i jest wyzwalana, gdy zasób staje się elementem członkowskim zestawu Wszyscy wykonawcy. W poniższych tabelach przedstawiono konfigurację. Utwórz regułę MPR zgodnie z danymi w poniższych tabelach.
| Konfiguracja reguły MPR | Ustawienie |
|---|---|
| Nazwa | Reguła zasad zarządzania aprowizacją użytkownika usługi AD |
| Opis | |
| Typ | Przejście między zestawami |
| Przyznaje uprawnienia | Fałsz |
| Disabled | Fałsz |
| Definicja przejścia | Ustawienie |
|---|---|
| Typ przejścia | Przejście do |
| Zestaw przejścia | Wszyscy wykonawcy |
| Przepływy pracy zasad | Ustawienie |
|---|---|
| Typ | Akcja |
| Nazwa wyświetlana | Przepływ pracy aprowizacji użytkownika usługi Active Directory |
Inicjowanie środowiska
Cele fazy inicjowania są następujące:
przeniesienie reguły synchronizacji do obiektu Metaverse;
przeniesienie struktury usługi Active Directory do obszaru łącznika usługi Active Directory.
Krok 9. Uruchomienie profilów przebiegu
W poniższej tabeli zawarto listę profilów przebiegu, które są częścią fazy inicjowania. Uruchom profile przebiegu zgodnie z poniższą tabelą.
| Uruchom | Agent zarządzania | Profil przebiegu |
|---|---|---|
| 1 | Fabrikam FIMMA | Pełny import |
| 2 | Pełna synchronizacja | |
| 3 | Eksportowanie | |
| 4 | Import zmian | |
| 5 | Fabrikam ADMA | Pełny import |
| 6 | Pełna synchronizacja |
Uwaga
Należy sprawdzić, czy reguła synchronizacji ruchu wychodzącego została pomyślnie przekazana do obiektu Metaverse.
Testowanie konfiguracji
Celem tej sekcji jest przetestowanie faktycznej konfiguracji. Aby przetestować konfigurację, możesz:
utworzyć przykładowego użytkownika w portalu programu FIM;
zweryfikować wymagania dotyczące aprowizacji przykładowego użytkownika;
aprowizować przykładowego użytkownika do usług AD DS;
sprawdzić, czy użytkownik istnieje w usługach AD DS.
Krok 10. Tworzenie przykładowego użytkownika w programie MIM
Poniższa tabela zawiera listę właściwości przykładowego użytkownika. Utwórz przykładowego użytkownika zgodnie z danymi w poniższej tabeli.
| Atrybut | Wartość |
|---|---|
| Imię | Britta |
| Nazwisko | Simon |
| Nazwa wyświetlana | Britta Simon |
| Nazwa konta | BSimon |
| Domena | Fabrikam |
| Typ pracownika | Contractor |
Weryfikacja wymagań dotyczących aprowizacji przykładowego użytkownika
Aby aprowizować przykładowego użytkownika do usług AD DS, należy spełnić dwa wymagania wstępne:
Użytkownik musi być członkiem zestawu Wszyscy wykonawcy.
Ustawiony użytkownik musi znajdować się w zakresie reguły synchronizacji ruchu wychodzącego.
Krok 11. Sprawdzenie, czy użytkownik jest członkiem zestawu Wszyscy wykonawcy
Aby sprawdzić, czy użytkownik jest członkiem zestawu Wszyscy wykonawcy, otwórz zestaw i kliknij pozycję Wyświetl członków.
Krok 12. Sprawdzenie, czy użytkownik znajduje się w zakresie reguły synchronizacji ruchu wychodzącego
Aby sprawdzić, czy użytkownik znajduje się w zakresie reguły synchronizacji, otwórz stronę właściwości użytkownika i przejrzyj atrybut Lista oczekiwanych reguł na karcie Aprowizacja. Atrybut Lista oczekiwanych reguł powinien zawierać listę użytkowników usługi AD
użytkownika usługi AD. Poniższy zrzut ekranu przedstawia przykład atrybutu Lista oczekiwanych reguł.
Na tym etapie procesu stan reguły synchronizacji to Oczekująca. Oznacza to, że reguła synchronizacji nie została jeszcze zastosowana wobec użytkownika.
Krok 13. Synchronizacja przykładowej grupy
Przed rozpoczęciem pierwszego cyklu synchronizacji dla obiektu testowego należy prześledzić oczekiwany stan obiektu po każdym profilu przebiegu uruchamianym w planie testowania. Plan testowania powinien obejmować ogólny stan obiektu (utworzony, zaktualizowany lub usunięty) oraz oczekiwane wartości atrybutów. Użyj planu testowania, aby zweryfikować oczekiwania dotyczące planu testowania. Jeśli krok nie zwraca oczekiwanych wyników, nie przechodź do następnego kroku przed rozwiązaniem rozbieżności między oczekiwanymi i faktycznymi wynikami.
Aby zweryfikować oczekiwania, możesz użyć jako pierwszego wskaźnika statystyk synchronizacji. Przykładowo jeśli oczekujesz, że nowe obiekty zostaną umieszczone w obszarze łącznika, ale statystyka importu nie zwraca żadnych elementów „Dodaje”, oznacza to, że jakiś element środowiska nie działa zgodnie z oczekiwaniami.
Statystyki synchronizacji mogą stanowić pierwsze wskazanie prawidłowego działania scenariusza, niemniej należy użyć funkcji wyszukiwania obszaru łącznika i wyszukiwania obiektu Metaverse w menedżerze usługi synchronizacji, aby zweryfikować oczekiwane wartości atrybutów.
Aby zsynchronizować użytkownika z usługami AD DS:
zaimportuj użytkownika do obszaru łącznika FIM MA;
odwzoruj użytkownika w obiekcie Metaverse;
aprowizuj użytkownika do obszaru łącznika usługi Active Directory;
wyeksportuj informacje o stanie do programu FIM;
wyeksportuj użytkownika do usług AD DS;
potwierdź utworzenie użytkownika.
Aby wykonać te zadania, uruchamia się następujące profile przebiegu.
| Agent zarządzania | Profil przebiegu |
|---|---|
| Fabrikam FIMMA | 1. Importowanie różnicowe 2. Synchronizacja różnicowa 3. Eksportowanie 4. Importowanie delty |
| Fabrikam FIMMA | 1. Eksportowanie 2. Importowanie różnicowe |
Po zaimportowaniu z bazy danych usługi FIM Service britta Simon i obiekt ExpectedRuleEntry, który łączy britta z regułą synchronizacji ruchu wychodzącego użytkowników usługi AD, zostaną przygotowane w obszarze łącznika Fabrikam FIMMA. Podczas przeglądania właściwości użytkownika Britta w obszarze łącznika obok wartości atrybutów skonfigurowanych w portalu programu FIM można również znaleźć prawidłowe odwołanie do obiektu Oczekiwane wejście reguły. Poniższy zrzut ekranu przedstawia przykład tego.
Celem przebiegu synchronizacji zmian łącznika Fabrikam FIMMA jest wykonanie kilku operacji:
Projekcja — obiekt nowego użytkownika oraz powiązany obiekt oczekiwanego wpisu reguły zostają odwzorowane w obiekcie Metaverse.
Aprowizacja — nowo odzwierciedlony obiekt Britta Simon jest aprowizowany do obszaru łącznika Fabrikam ADMA.
Eksportowanie przepływów atrybutów — eksportowanie przepływów atrybutów ma miejsce w obu agentach zarządzania. W łączniku Fabrikam ADMA nowo aprowizowany obiekt Britta Simon jest uzupełniany nowymi wartościami atrybutów. W łączniku Fabrikam FIMMA istniejący obiekt Britta Simon i powiązany obiekt ExpectedRuleEntry zostają zaktualizowane o wartości atrybutów, które są wynikiem projekcji.
Zgodnie ze wskazaniem statystyk synchronizacji działanie aprowizacji zostało wykonane w obszarze łącznika Fabrikam ADMA. Jeśli zweryfikujesz właściwości obiektu Metaverse w pozycji Britta Simon, okaże się, że działanie jest wynikiem atrybutu ExpectedRulesList uzupełnionego prawidłowym odwołaniem.
Podczas następującej operacji eksportowania Fabrikam FIMMA stan reguły synchronizacji obiektu Britta Simon jest aktualizowany z Oczekujące na Zastosowano, co wskazuje, że reguła synchronizacji ruchu wychodzącego jest teraz aktywna dla obiektu w obiekcie Metaverse.
Ponieważ nowy obiekt został aprowizowany do obszaru łącznika ADMA, w tym agencie zarządzania powinna znaleźć się jedna operacja eksportowania oczekująca na dodanie.
W programie FIM każdy przebieg eksportowania wymaga zakończenia następującego importu zmian przed operacją eksportowania. Import zmian uruchamiany po poprzednim przebiegu eksportowania zwany jest importem potwierdzającym. Importy potwierdzające są wymagane, aby usługa FIM Synchronization Service mogła spełniać odpowiednie wymagania w zakresie aktualizacji podczas kolejnych przebiegów synchronizacji.
Uruchom profile przebiegu zgodnie z instrukcjami w tej sekcji.
Ważne
Każde uruchomienie profilu przebiegu musi zakończyć się bez błędów.
Krok 14. Zweryfikowanie aprowizowanego użytkownika w usługach AD DS
Aby upewnić się, że przykładowy użytkownik został aprowizowany do usług AD DS, otwórz jednostkę organizacyjną FIMObjects. W jednostce organizacyjnej FIMObjects powinna znajdować się Britta Simon.
Podsumowanie
Celem tego dokumentu jest wprowadzenie do głównych bloków konstrukcyjnych związanych z synchronizacją użytkownika w programie MIM za pomocą usług AD DS. W początkowej fazie testowania należy najpierw zacząć od minimalnych atrybutów wymaganych do zakończenia zadania i dodawać więcej atrybutów do scenariusza, gdy ogólne etapy będą działać zgodnie z oczekiwaniami. Utrzymywanie minimalnej złożoności upraszcza proces rozwiązywania problemów.
Podczas testowania konfiguracji bardzo prawdopodobne jest, że dojdzie do usunięcia i ponownego utworzenia nowych obiektów testowych. Dla obiektów z
uzupełnionym atrybutem ExpectedRulesList może to spowodować powstanie oddzielonych obiektów ERE.
W typowym scenariuszu synchronizacji, obejmującym usługi AD DS jako cel synchronizacji, program MIM nie jest autorytatywny dla wszystkich atrybutów obiektu. Na przykład podczas zarządzania obiektami użytkowników w usługach AD DS przy użyciu programu FIM należy jako minimum przekazać atrybuty domeny i objectSID przez agenta zarządzania usług AD DS. Atrybuty nazwy konta, domeny i objectSID są wymagane, jeśli chcesz umożliwić użytkownikowi logowanie do portalu programu FIM. Aby uzupełnić te atrybuty z usługi AD DS, wymagana jest dodatkowa reguła synchronizacji ruchu przychodzącego dla obszaru łącznika usług AD DS. W przypadku zarządzania obiektami z wieloma źródłami wartości atrybutów należy upewnić się, że pierwszeństwo przepływu atrybutów zostało skonfigurowane prawidłowo. Jeśli pierwszeństwo przepływu atrybutów nie jest skonfigurowane prawidłowo, aparat synchronizacji zablokuje uzupełnianie wartości atrybutów. Więcej informacji o pierwszeństwie przepływu atrybutów znajduje się w artykule About Attribute Flow Precedence (Informacje o pierwszeństwie przepływu atrybutów).
Następne kroki
Wykrywanie kont nieautorytatywnych — część 1: Przewidywanie
About Attribute Flow Precedence (Informacje o pierwszeństwie przepływu atrybutów)