規劃設定檔同步處理 (SharePoint Server 2010)
適用版本: SharePoint Server 2010
上次修改主題的時間: 2016-11-30
本文提供的指導,可協助您規劃如何在 Microsoft SharePoint Server 2010 實行設定檔同步處理。設定檔同步處理 (profile synchronization,又稱為「profile sync」) 可讓您從組織內部使用的其他系統匯入資訊,以建立使用者設定檔。閱讀本文之前,您應先了解<設定檔同步處理概觀 (SharePoint Server 2010)>一文所介紹的概念。
本文說明:
如何取得設定設定檔同步處理所需的資訊。
您需要合作以收集必要資訊的人員。
需要建立的外部內容類型 (若有的話)。
當您閱讀本文時,您可以填寫<工作表>以記錄您的決策。閱讀完本文並完成工作表之後,您將具備使用管理中心設定設定檔同步處理所需的資訊。您可以將完成的工作表提供給設定檔同步處理管理員,也可以自行使用這些工作表進行設定。如果您需要表示外部商務系統資訊的外部內容類型,請指定這些外部內容類型的需求。您可以將規格提供給建立外部內容類型的開發人員。
本文不討論如何實作計劃。<設定設定檔同步處理 (SharePoint Server 2010)>一文將涵蓋該資訊。
完成本文中的規劃工作之前,您必須:
了解要在 SharePoint Server 中具有設定檔的使用者。
了解使用者設定檔包含的屬性,並依照<規劃使用者設定檔 (SharePoint Server 2010)>一文所述來填寫使用者設定檔屬性規劃工作表。
了解目錄服務的一般概念。
本文內容:
關於規劃設定檔同步處理
規劃同步處理連線
識別屬性對應
同步處理群組
規劃同步處理伺服器
規劃同步處理排程
規劃帳戶權限
後續步驟
工作表
關於規劃設定檔同步處理
規劃設定檔同步處理的第一個步驟是識別同步處理連線,以及收集建立連線所需的資訊。如果您需要任何外部內容類型,請記載這些外部內容類型的需求、將需求提供給開發人員,然後接收用來指定商務系統同步處理連線的詳細資料。
接著,您將了解如何將使用者設定檔屬性對應至外部系統中的資訊,以進行同步處理。
最後,您將回答較直接的問題;例如,您是否要同步處理群組、您要用來執行同步處理服務的伺服器,以及同步處理設定檔資訊的頻率。
規劃同步處理連線
使用者設定檔中的每個屬性皆可來自外部系統。外部系統有兩種類型:目錄服務和商務系統。「商務系統」一詞在本文中可用來表示非目錄服務的外部系統。SAP、Siebel、SQL Server 及自訂應用程式都是商務系統的範例。
注意
如需支援的目錄服務清單,請參閱<設定檔同步處理概觀>一文中的<支援的目錄服務>一節。
在 SharePoint Server 中,「同步處理連線」是從外部系統取得使用者設定檔資訊的方式。若要從其中一個支援的目錄服務匯入設定檔,您可以建立目錄服務的同步處理連線。若要從商務系統匯入其他設定檔屬性,您可以建立外部內容類型,將商務系統資料整合至 SharePoint Server 中,然後再建立外部內容類型的同步處理連線。下列各節說明如何收集每次同步處理連線所需的資訊。
注意
若要從不支援的目錄服務匯入設定檔,您可以匯入精簡目錄交換格式 (LDIF) 檔案。若要以任何其他方式建立使用者設定檔,您必須撰寫自訂程式。如需如何匯入 LDIF 檔案的詳細資訊,請參閱<使用精簡目錄交換格式 (LDIF) 檔案進行設定檔同步處理的設定 (SharePoint Server 2010)>。
目錄服務的連線
您要在 SharePoint Server 中具有設定檔的每位使用者都必須在目錄服務中擁有一個身分識別 (如果使用者不是以目錄服務表示,則無法同步處理使用者設定檔)。請識別包含這些使用者資訊的目錄服務。除非您自己能夠存取目錄服務,否則您也應識別目錄服務的管理員。您需要此人員的協助,以收集建立同步處理連線所需的部分資訊。
連線規劃工作表 (https://go.microsoft.com/fwlink/?linkid=202832&clcid=0x404 (可能為英文網頁)) 包含每種連線類型所需收集的資訊範本。每個範本會在不同的索引標籤中,並以套用的目錄服務提供者名稱標示。請為您識別的每個目錄服務建立新的索引標籤。將該類型的目錄服務範本複製到新索引標籤中,然後根據下表在每個新索引標籤上填入資訊。
| 工作表中的列名稱 | 套用至連線類型 | 指示 | ||
|---|---|---|---|---|
同步處理連線名稱 |
全部 |
選擇一個容易記住的目錄服務連線名稱。 |
||
連線類型 |
全部 |
目錄服務的連線類型。 已在每個索引標籤中填入此資訊。 |
||
樹系 |
AD DS |
目錄服務樹系的名稱。 |
||
網域控制站 |
AD DS |
偏好的網域控制站名稱。如果樹系中有多個網域控制站,且您想與特定網域控制站進行同步處理,才需要指出該網域控制站。 |
||
驗證提供者類型 |
全部 |
SharePoint Server 連線至目錄服務所應使用的驗證類型,可以是下列其中之一:
系統架構師必須可提供此資訊。 |
||
驗證提供者 |
全部 |
如果使用表單型驗證或宣告式驗證,請填入信任提供者的名稱。系統架構師可提供此資訊。Windows 驗證不需要驗證提供者。 |
||
同步處理帳戶 |
全部 |
用來連線至目錄服務的帳戶,包括網域。目錄服務管理員可能會建立用於同步處理的新帳戶。 注意 本主題的<規劃帳戶權限>一節將說明同步處理帳戶必須具有的權限。 |
||
同步處理帳戶密碼 |
全部 |
同步處理帳戶的密碼。
|
||
連線連接埠 |
全部 |
用來連線至目錄服務的連接埠。 |
||
使用 SSL? |
AD DS |
是否使用 SSL 安全連線連線至目錄服務。SSL 僅支援連線至 AD DS。 |
||
目錄服務伺服器 |
Tivoli、Sun、eDirectory |
目錄服務伺服器的名稱。 |
||
使用者名稱屬性 |
Tivoli、Sun、eDirectory |
目錄服務中用作各個設定檔之唯一識別碼的屬性名稱。在大多數情況下,"uid" 的預設使用者名稱屬性正確。 |
||
容器 |
全部 |
目錄服務容器的名稱 (又稱為組織單位 (OU)),包含要同步處理的設定檔。 |
||
使用者的篩選 |
全部 |
請參閱<關於排除篩選>一節中的詳細指示。 |
||
群組的篩選 |
全部 |
請參閱<同步處理群組>一節。 |
.gif "安全性提示")
Security Note關於排除篩選
除非您選擇使用篩選排除設定檔,否則 SharePoint Server 會同步處理您識別之容器中的所有設定檔。例如,您可以建立篩選,排除停用帳戶的使用者。
篩選包含一組子句,以及聯結子句的連接子。每個子句可分為三部分:
屬性:要比較的目錄服務屬性。
值:比較屬性的值。
運算子:比較的類型。如需每個 Active Directory 網域服務 (AD DS) 資料類型可用之運算子的詳細資訊,請參閱<連線篩選器資料類型與運算子 (SharePoint Server 2010)>。
您可以使用兩種方式加入排除篩選的子句:
全部套用 (AND):如果所有子句適用,則帳戶符合篩選。
任何套用 (OR):如果任一子句適用,則帳戶符合篩選。
您無法在篩選內混合 AND 和 OR。
例如,假設將開頭為 "T-" 的 Active Directory 帳戶指定給組織中的臨時員工。您想同步處理未停用帳戶之所有永久 (非臨時) 使用者的設定檔。您可以建立使用下表中之子句的篩選。
| 屬性 | 運算子 | 值 |
|---|---|---|
sAMAccountName |
starts with |
T- |
userAccountControl |
bit on equals |
2 |
篩選會使用任何套用 (OR) 加入子句。
注意
在 AD DS 中,userAccountControl 是表示多項使用者帳戶狀態之實用觀點的位元遮罩。如需您可以使用 userAccountControl 屬性建立較常使用之某些篩選的清單,請參閱 https://go.microsoft.com/fwlink/?linkid=217163&clcid=0x404。
您無法建立以目錄服務群組中之成員資格為基礎的篩選,例如通訊群組清單。如需根據群組成員資格匯入使用者的替代方式,請參閱 https://go.microsoft.com/fwlink/?linkid=220892&clcid=0x404 (可能為英文網頁)。
商務系統的連線
若要從商務系統匯入屬性,您需要外部內容類型,以將外部系統的屬性值整合至 SharePoint Server 2010 中。本文不討論如何建立外部內容類型。開發人員通常會執行該工作。本文說明您必須收集並提供給開發人員的資料,並指示您如何處理收到的資訊。如需開發人員資訊,請參閱 如何建立外部內容類型 (可能為英文網頁)。
您可以使用外部內容類型規劃工作表 (https://go.microsoft.com/fwlink/?linkid=202832&clcid=0x404 (可能為英文網頁)) 指定要建立的外部內容類型。當您閱讀<規劃使用者設定檔 (SharePoint Server 2010)>一文時,請同時檢閱完成的使用者設定檔屬性規劃工作表。在外部內容類型規劃工作表中,為來自商務系統的每個使用者設定檔屬性建立一列。根據下表中的指示,填入每列的前三欄。
| 工作表中的欄 | 指示 |
|---|---|
商務系統 |
您選擇以識別包含屬性之商務系統的名稱。 |
項目 |
商務系統中對應至屬性的資料。請儘可能明確。例如,如果商務系統是資料庫,請提供已知的表格和欄名稱。 |
可能的識別碼 |
可唯一識別使用者之使用者設定檔屬性的清單。 |
填入每列的前三欄之後,請將工作表提供給外部內容類型開發人員。開發人員應執行下列工作,然後傳回工作表:
建立提供工作表所述之外部系統資料的外部內容類型。
選擇適用於每個外部內容類型的識別碼。
如果使用者設定檔與外部內容類型項目具有一對一關係,請建立特定尋找工具方法。包含使用者生日的外部內容類型即為一對一關係範例。每個使用者設定檔會符合其中一個外部內容類型項目。
如果使用者設定檔的外部內容類型項目具有一對多關係,請建立尋找工具方法和比較篩選。包含使用者擁有之車輛牌照的外部內容類型即為一對多關係範例。使用者可以擁有多台車輛,因此每個使用者設定檔可能會符合多個外部內容類型項目。
更新工作表以說明建立的外部內容類型。
連線規劃工作表 (https://go.microsoft.com/fwlink/?linkid=202832&clcid=0x404 (可能為英文網頁)) 包含商務系統連線的索引標籤。當您從外部內容類型開發人員收回資訊時,請將共用相同外部內容類型的所有使用者設定檔屬性群組在一起。在連線規劃工作表中建立新索引標籤以表示每個外部內容類型,然後將資訊從 [商務系統] 索引標籤複製到每個新索引標籤。根據下表中的指示,在每個建立的索引標籤上填入資訊。
| 工作表中的列 | 指示 |
|---|---|
同步處理連線名稱 |
選擇一個容易記住的商務系統連線名稱。 |
連線類型 |
"Business Data Connectivity" 已填入此資訊。 |
Business Data Connectivity 實體 |
外部內容類型的名稱。 |
一對一或一對多對應 |
可能符合指定使用者設定檔之外部內容類型的項目數。視需要輸入「一對一」或「一對多」。 |
比對的設定檔屬性 |
對應至外部內容類型識別碼的使用者設定檔屬性名稱。 |
比較篩選 |
比較篩選的名稱。 一對多對應只需要一個篩選。 |
識別屬性對應
若要表示使用者設定檔屬性來自外部系統,您可以將屬性對應至外部系統的特定屬性。預設會對應特定使用者設定檔屬性。如需每種目錄服務類型的預設對應清單,請參閱<預設使用者設定檔屬性對應 (SharePoint Server 2010)>。您僅可將設定檔屬性 (Property) 對應至其資料類型與該屬性的資料類型相容的屬性 (Attribute)。例如,您無法將 SPS-HireDate 使用者設定檔屬性 (Property) 對應至 homePhone Active Directory 屬性 (Attribute),因為 SPS-HireDate 是日期,而 homePhone 是 Unicode 字串。如需與 AD DS 資料類型相容之使用者設定檔屬性資料類型的清單,請參閱<使用者設定檔屬性資料類型 (SharePoint Server 2010)>。
當您同步處理設定檔資訊時,除了從外部系統匯入設定檔屬性之外,您還可以將資料寫回目錄服務。您無法將資料寫回商務系統。若要表示 SharePoint Server 應匯出使用者設定檔屬性,您可以對應屬性,並將對應的方向設為 [匯出]。每個屬性僅可有一個對應方向。您無法同時匯入及匯出相同的使用者設定檔屬性。匯出的資料會覆寫目錄服務中可能已存在的任何值。多值屬性亦然,匯出的值不會附加至現有的值,而是會覆寫現有的值。
當您閱讀<規劃使用者設定檔 (SharePoint Server 2010)>主題時,請同時檢閱完成的使用者設定檔屬性規劃工作表。針對包含從外部系統匯入之值的每列 (屬性),根據下表中的指示填入最後三欄。
| 工作表中的列 | 指示 |
|---|---|
方向 |
「匯入」,表示屬性將匯入至 SharePoint Server 中。 |
同步處理連線 |
提供此屬性之同步處理連線的名稱。 |
屬性 |
提供使用者設定檔屬性值之外部系統元素的名稱。 如果同步處理連線至目錄服務,這會是目錄服務屬性的名稱。 如果同步處理連線至商務系統,這會是外部內容類型的欄名稱。 |
注意
您不能使用商務系統連線將二進位屬性對應到實作 Stream 存取子方法的屬性。
針對包含匯出至目錄服務之值的每列 (屬性),根據下表中的指示填入最後三欄。
| 工作表中的列 | 指示 |
|---|---|
方向 |
「匯出」,表示屬性將從 SharePoint Server 匯出至目錄服務。 |
同步處理連線 |
匯出此屬性之同步處理連線的名稱。僅可為目錄服務的連線。 |
屬性 |
目錄服務屬性的名稱,其值應以使用者設定檔屬性值更新。 |
同步處理群組
根據預設,當 SharePoint Server 同步處理使用者設定檔時,會同步處理群組,例如通訊群組清單。您可以從管理中心的 [設定同步處理設定] 頁面關閉此功能。僅 AD DS 支援同步處理群組。
如果您除了使用者之外,還同步處理群組,SharePoint Server 會匯入群組資訊,以及屬於這些群組的使用者資訊。同步處理群組不會建立群組的設定檔,也不會建立任何其他使用者設定檔。在 SharePoint Server 中,群組僅可用來建立對象,以及顯示訪客與造訪「我的網站」之人員相同的成員資格。
如果您決定同步處理群組,除非您選擇使用篩選排除群組,否則 SharePoint Server 會匯入您同步處理之目錄服務容器中的所有群組資訊。排除群組的篩選與排除使用者的篩選雖然採用相同的格式,但其實互不相同。
返回連線規劃工作表並填入 [群組的篩選] 儲存格。
規劃同步處理伺服器
除了決定同步處理連線及識別屬性對應之外,您還必須規劃同步處理設定檔更直接的觀點。第一點是識別同步處理伺服器。
您僅可在伺服器陣列上執行一個 User Profile Synchronization Service 執行個體。User Profile Synchronization Service 執行所在的電腦稱為「同步處理伺服器」。當您建立 User Profile Synchronization Service 應用程式時,您可以指定同步處理伺服器。SharePoint Server 會在此電腦上佈建 Microsoft Forefront Identity Manager (FIM) 版本,以參與同步處理。
當 SharePoint Server 同步處理設定檔時,會大量使用網路進行同步處理伺服器與網域控制站之間的通訊。選擇實體上接近網域控制站的同步處理伺服器可縮短同步處理所需的時間。
規劃同步處理排程
當您第一次在 SharePoint Server 與外部系統之間同步處理設定檔資訊時,必須執行完整同步處理。在這之後,您應設定「使用者設定檔累加同步處理」計時器工作依週期性排程執行累加同步處理。您可以設定計時器工作每數分鐘、每小時、每天、每週或每月執行。透過 [每小時]、[每天]、[每週] 及 [每月] 選項,您可以指定計時器工作啟動的時間。
同步處理計時器工作的執行頻率愈頻繁,所要同步處理的變更便愈少,因此工作愈快完成。預設頻率為 [每天]。建議您排程在網路使用量較低時啟動同步處理。
如需如何設定「使用者設定檔累加同步處理」計時器工作的指示,請參閱<排程週期性設定檔同步處理 (SharePoint Server 2010)>。
規劃帳戶權限
在連線規劃工作表中,您為每個目錄服務提供了同步處理帳戶名稱。您必須將特定權限授與這些同步處理帳戶,同步處理服務才可以取得所需的目錄服務資訊。下列各節識別每種目錄服務類型所需的權限。請與目錄服務管理員合作,以授與帳戶適當權限。
Active Directory 網域服務 (AD DS)
連線至 Active Directory 網域服務 (AD DS) 所使用的同步處理帳戶必須具備下列權限:
必須具備同步處理之網域的「複寫目錄變更」權限。如需詳細資訊,請參閱<授與 Active Directory 網域服務權限,以進行設定檔同步處理>程序參考文章的<授與網域的複寫目錄變更權限>一節。
注意
「複寫目錄變更」權限可讓帳戶查詢目錄中的變更。此權限禁止帳戶在目錄中進行任何變更。
如果網域控制站執行 Windows Server 2003,同步處理帳戶必須是 Pre-Windows 2000 Compatible Access 內建群組的成員。如需詳細資訊,請參閱<授與 Active Directory 網域服務權限,以進行設定檔同步處理>程序參考文章的<將帳戶新增至 Pre-Windows 2000 Compatible Access 群組>一節。
如果網域的 NetBIOS 名稱與完整網域名稱不同,同步處理帳戶必須具備 cn=configuration 容器的「複寫目錄變更」權限。例如,如果 NetBIOS 網域名稱為 contoso,而完整網域名稱為 contoso-corp.com,您必須授與 cn=configuration 容器的「複寫目錄變更」權限。如需詳細資訊,請參閱<授與 Active Directory 網域服務權限,以進行設定檔同步處理>程序參考文章的<授與 cn=configuration 容器的複寫目錄變更權限>一節。
如果將屬性值從 SharePoint Server 匯出至 AD DS,同步處理帳戶必須具備同步處理之組織單位 (OU) 的「建立子物件」(此物件及所有子項) 和「寫入全部內容」(此物件及所有子項) 權限。如需詳細資訊,請參閱<授與 Active Directory 網域服務權限,以進行設定檔同步處理>程序參考文章的<授與建立子物件和寫入權限>一節。
Novell eDirectory 8.7.3 版
連線至 Novell eDirectory 所使用的同步處理帳戶必須具備下列權限:
Entry Rights:指定樹狀目錄的「瀏覽」權限。
All Attributes Rights:指定樹狀目錄的「讀取」、「寫入」及「比較」權限。
Sun Java System Directory Server 5.2 版
連線至 Sun Java System Directory Server 所使用的同步處理帳戶必須具備下列權限:
RootDSE 的「讀取」、「寫入」、「比較」及「搜尋」權限。
若要執行累加同步處理,同步處理帳戶還必須具備變更記錄 (cn=changelog) 的「讀取」、「比較」及「搜尋」權限。如果變更記錄不存在,您必須予以建立再進行同步處理。
IBM Tivoli 5.2 版
連線至 IBM Tivoli 所使用的同步處理帳戶必須具備下列權限:
- 此同步處理帳戶必須是管理群組的成員。
伺服器陣列帳戶
User Profile Synchronization Service 會以伺服器陣列帳戶的身分執行。伺服器陣列帳戶需要特定權限,才可以設定設定檔同步處理。具有同步處理伺服器之管理員權限的人員可以授與這些權限。
此帳戶必須是同步處理伺服器上的管理員群組成員。您可以在設定 User Profile Synchronization Service 之後移除此權限。
此帳戶必須能夠從本機登入同步處理伺服器。
注意
伺服器陣列帳戶與伺服器陣列管理員帳戶不同。若要確定伺服器陣列帳戶,請從管理中心按一下 [設定服務帳戶],然後按一下 [伺服器陣列帳戶]。
如果您使用外部內容類型同步處理使用者設定檔與商務系統,伺服器陣列帳戶也必須具有執行外部內容類型作業的權限。伺服器陣列管理員可以使用<設定外部內容類型的權限>程序,將您要同步處理的每種外部內容類型的「執行」權限授與伺服器陣列帳戶。
後續步驟
若要實作設定檔同步處理計劃,請遵循<設定設定檔同步處理 (SharePoint Server 2010)>一文中的指示。當您設定設定檔同步處理並首次同步處理設定檔資訊之後,即可遵循<排程週期性設定檔同步處理 (SharePoint Server 2010)>一文所述的程序實作同步處理排程。
工作表
請從下列來源下載連線規劃工作表、外部內容類型規劃工作表及使用者設定檔規劃工作表:https://go.microsoft.com/fwlink/?linkid=202832&clcid=0x404 (可能為英文網頁)。
See Also
Concepts
設定檔同步處理概觀 (SharePoint Server 2010)
規劃使用者設定檔 (SharePoint Server 2010)
設定設定檔同步處理 (SharePoint Server 2010)
授與 Active Directory 網域服務權限,以進行設定檔同步處理 (SharePoint Server 2010)
Other Resources
資源中心:SharePoint Server 2010 的企業共同作業 (可能為英文網頁)
資源中心:SharePoint Server 2010 的社交運算 (可能為英文網頁)