Compartir a través de


Instalación de MIM 2016: sincronizar Active Directory y el servicio MIM

Nota

Este tutorial usa los valores y nombres de ejemplo de una empresa llamada Contoso. Reemplácelos con sus propios valores. Por ejemplo:

  • Nombre del controlador de dominio: mimservername
  • Nombre de dominio: contoso
  • Contraseña: Pass@word1

De manera predeterminada, el servicio de sincronización de MIM no tiene ningún conector configurado. El primer paso suele consistir en usar el servicio de sincronización de MIM para rellenar la base de datos del servicio MIM con cuentas de Active Directory existentes. Para ello, usará la aplicación del Servicio de sincronización de MIM.

Creación del agente de administración de MIM

El agente de administración (MA) de MIM es un conector entre la sincronización de MIM y el servicio MIM. Para crear este conector, use el Asistente para crear el agente de administración.

Al configurar un agente de administración de MIM, debe especificar una cuenta de usuario. Este documento usa MIMMA como nombre para esta cuenta.

Nota

La cuenta que use para el agente de administración de MIM debe ser la misma que la que haya especificado durante la instalación del Servicio MIM. Si planea habilitar la característica del uso de la cuenta de MIMSync, el servicio de sincronización de MIM debe instalarse con la cuenta de servicio administrada de grupo.

Para crear el MA de MIM

  1. Abra el Synchronization Service Manager.

  2. Para abrir el Asistente para creación de agentes de administración, cambie a la página Agentes de administración y, en el menú Acciones, haga clic en Crear .

  3. En la página Crear agente de administración , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente.

    • Agente de administración para: Agente de administración del Servicio FIM

    • Nombre: MIMMA

  4. En la página Conectar a la base de datos , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente.

    • Servidor: localhost

    • Base de datos: FIMService

    • Dirección base del servicio MIM: http://localhost:5725

    • Modo de autenticación: Autenticación integrada de Windows

    • Nombre de usuario: mimma

    • Contraseña: Pass@word

    • Dominio: contoso

  5. En la página Selected Object Types (Tipos de objetos seleccionados), compruebe que estén seleccionados los tipos de objeto de esta lista y después haga clic en Siguiente.

    • DetectedRuleEntry

    • ExpectedRuleEntry

    • Grupo

    • Person

    • SynchronizationRule

  6. En la página Atributos seleccionados, compruebe que estén seleccionados Mostrar todo todos los atributos de la lista y después haga clic en Siguiente.

  7. En la página Configurar filtro de conector , haga clic en Siguiente.

  8. En la página Configurar asignaciones de tipos de objeto, agregue la siguiente asignación y, a continuación, haga clic en Siguiente.

    • Seleccione Persona en la lista Tipo de objeto de origen de datos.
    • Haga clic en Agregar asignación para abrir el cuadro de diálogo Asignación.
    • Seleccione persona en la lista Tipo de objeto de metaverso.
    • Haga clic en Aceptar para cerrar el cuadro de diálogo Asignación.
    • Seleccione Grupo en la lista Tipo de objeto de origen de datos.
    • Haga clic en Agregar asignación para abrir el cuadro de diálogo Asignación.
    • Seleccione grupo en la lista Tipo de objeto de metaverso.
    • Haga clic en Aceptar para cerrar el cuadro de diálogo Asignación.
  9. En la página Configurar el flujo de atributos, cree las asignaciones del flujo de atributos tal y como se muestra a continuación y luego haga clic en Siguiente.

    • Seleccione Persona como tipo de objeto de origen de datos y de metaverso.

    • Seleccione Directo como Tipo de asignación.

    • Por cada fila de la siguiente tabla, realice estos pasos:

      • Seleccione la dirección del flujo que se muestra para esa fila en la tabla.

      • Seleccione el atributo Origen de datos que se muestra para esa fila en la tabla.

      • Seleccione el atributo Metaverso que se muestra para esa fila en la tabla.

      • Para aplicar la asignación de flujo, haga clic en Nuevo.

    Atributo de origen de datos Dirección del flujo Atributo de metaverso
    AccountName Exportación accountName
    DisplayName Exportación DisplayName
    Domain Exportación dominio
    Correo electrónico Exportación mail
    EmployeeID (Id. de empleado) Exportación employeeId
    EmployeeType Exportación employeeType
    FirstName Exportación firstName
    LastName Exportación lastName
    ObjectSID Exportación objectSid
    • Seleccione Grupo como el tipo de origen de datos y de metaverso.

    • Seleccione Directo como Tipo de asignación.

    • Por cada fila de la siguiente tabla, realice estos pasos:

      • Seleccione la dirección del flujo que se muestra para esa fila en la tabla.

      • Seleccione el atributo Origen de datos que se muestra para esa fila en la tabla.

      • Seleccione el atributo Metaverso que se muestra para esa fila en la tabla.

      • Para aplicar la asignación de flujo, haga clic en Nuevo.

    Atributo de origen de datos Dirección del flujo Atributo de metaverso
    AccountName Exportación accountName
    DisplayName Exportación DisplayName
    Domain Exportación dominio
    Correo electrónico Exportación mail
    MailNickName Exportación mailNickName
    Miembro Exportación member
    ObjectSID Exportación objectSid
    Ámbito Exportación scope
    Tipo Exportación tipo
    MembershipAddWorkflow Exportación membershipAddWorkflow
    MembershipLocked Exportación membershipLocked
    AccountName Importar accountName
    DisplayedOwner Importar displayedOwner
    DisplayName Importar DisplayName
    MailNickName Importar mailNickName
    Miembro Importar member
    Ámbito Importar scope
    Tipo Importar tipo
  10. En la página Configure Deprovisioning (Configurar el desaprovisionamiento), haga clic en Siguiente.

  11. Para crear el agente de administración, en la página Configurar extensiones , haga clic en Finalizar.

Creación del agente de administración de Active Directory

El agente de administración de Active Directory es un conector de servicios de dominio de Active Directory. Para crear este conector, use el Asistente para crear el agente de administración.

  1. Para abrir el Asistente para crear agente de administración, en el menú Acciones , haga clic en Crear.

  2. En la página Crear agente de administración , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente:

    • Agente de administración para: Servicios de dominio de Active Directory
    • Nombre: ADMA
  3. En la página Conectarse al bosque de Active Directory , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente:

    • Nombre de bosque: contoso.local
    • Nombre de usuario: administrador
    • Contraseña: <la contraseña de la cuenta>
    • Dominio: contoso
  4. En la página Configurar particiones de directorio , proporcione las siguientes opciones y, a continuación, haga clic en Siguiente:

    • En la lista Select directory partitions (Seleccionar particiones de directorio), seleccione DC=CONTOSO, DC=local.

    • Para abrir el cuadro de diálogo Seleccionar contenedores, haga clic en Contenedores.

    • Si desea cambiar el contenedor para que solo MIM administre objetos en un determinado contenedor, haga clic en el nodo DC=CONTOSO, DC=local y, a continuación, en el nodo del contenedor correspondiente.

    • Para cerrar el cuadro de diálogo Seleccionar contenedores, haga clic en Aceptar.

  5. En la página Configurar jerarquía de aprovisionamiento , haga clic en Siguiente.

  6. En la página Seleccionar tipos de objeto , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente:

    • En la lista Tipos de objeto , seleccione usuario y grupo.
  7. En la página Seleccionar atributos, marque Mostrar todo, elija los siguientes atributos y haga clic en Siguiente:

    • company
    • DisplayName
    • employeeId
    • employeeType
    • givenName
    • groupType
    • managedBy
    • manager
    • member
    • objectSid
    • sAMAccountName
    • sAMAccountType
    • sn
    • unicodePwd
    • userAccountControl
  8. En la página Configurar filtro de conector , haga clic en Siguiente.

  9. En la página Configure Join and Projection Rules (Configurar reglas de unión y proyección), haga clic en Siguiente.

  10. En la página Configurar flujo de atributos , haga clic en Siguiente.

  11. En la página Configurar desaprovisionamiento , haga clic en Siguiente.

  12. En la página Configurar extensiones , haga clic en Finalizar.

Creación de perfiles de ejecución

Cree perfiles de ejecución para los conectores ADMA y MIMMA.

Crear perfiles de ejecución para el conector ADMA

Esta tabla muestra los cinco perfiles de ejecución que va a crear para el conector ADMA:

Nombre Tipo
Perfil1 Importación completa (solo etapa)
Perfil2 sincronización completa
Perfil3 Importación diferencial (solo etapa)
Perfil4 Sincronización delta
Perfil5 Exportación

Para crear perfiles de ejecución para el conector ADMA:

  1. Abra la Service Manager Sincronización y, en el menú Herramientas, haga clic en Agentes de administración.

  2. En la lista Agentes de administración , seleccione ADMA.

  3. Para abrir el cuadro de diálogo Configurar perfiles de ejecución para , en el menú Acciones , haga clic en Configurar perfiles de ejecución.

  4. Siga, en cada perfil de ejecución de la tabla, los pasos que se indican a continuación:

    • Para abrir el Asistente para configurar perfil de ejecución, haga clic en Nuevo perfil.

    • En el cuadro Nombre, escriba el nombre de perfil que se muestra en la tabla y haga clic en Siguiente.

    • En la lista Tipo, seleccione el tipo de paso que se muestra en la tabla y después haga clic en Siguiente.

    • Haga clic en Finalizar para crear el perfil de ejecución.

  5. Para cerrar el cuadro de diálogo Configurar perfiles de ejecución, haga clic en Aceptar.

Crear perfiles de ejecución para el conector MIMMA

En esta tabla se muestran los cinco perfiles de ejecución del conector MIMMA que coinciden:

Nombre Tipo
Perfil1 Importación completa (solo etapa)
Perfil2 sincronización completa
Perfil3 Importación diferencial (solo etapa)
Perfil4 Sincronización delta
Perfil5 Exportación

Para crear perfiles de ejecución para el conector MIMMA:

  1. Abra la Service Manager Sincronización y, en el menú Herramientas, haga clic en Agentes de administración.

  2. En la lista Agentes de administración , seleccione MIMMA.

  3. Para abrir el cuadro de diálogo Configurar perfiles de ejecución para , en el menú Acciones , haga clic en Configurar perfiles de ejecución.

  4. Siga, en cada perfil de ejecución de la tabla, los pasos que se indican a continuación:

    • Para abrir el Asistente para configurar perfil de ejecución, haga clic en Nuevo perfil.

    • En el cuadro Nombre, escriba el nombre de perfil que se muestra en la tabla y haga clic en Siguiente.

    • En la lista Tipo, seleccione el tipo de paso que se muestra en la tabla y después haga clic en Siguiente.

    • Haga clic en Finalizar para crear el perfil de ejecución.

  5. Para cerrar el cuadro de diálogo Configurar perfiles de ejecución, haga clic en Aceptar.

Configurar el Servicio MIM

Mediante el portal de MIM, creará la regla de sincronización de entrada de usuario de AD para el servicio MIM.

Para crear la regla de sincronización de entrada de usuario de AD:

  1. En la página principal del portal de MIM, en la barra de navegación, haga clic en Administración.

  2. Para abrir la página Reglas de sincronización, haga clic en Reglas de sincronización.

  3. Para abrir el Asistente para crear reglas de sincronización, en la barra de herramientas, haga clic en Nuevo.

  4. En la pestaña General , proporcione la siguiente información y, a continuación, haga clic en Siguiente:

    • Nombre para mostrar: Regla de sincronización de entrada de usuario de AD
    • Dirección del flujo de datos: Entrante
  5. En la pestaña Ámbito , proporcione la siguiente información y, a continuación, haga clic en Siguiente:

    • Tipo de recurso de metaverso: person
    • Sistema externo: ADMA
    • Tipo de recurso de sistema externo: user
  6. En la pestaña Relación, proporcione la siguiente información y después haga clic en Siguiente:

    • Para configurar Criterios de relación, seleccione ObjectSID en las listas MetaverseObject:person(Attribute) y ConnectedSystemObject:person (Attribute).

    • Seleccione Crear recurso en FIM.

  7. En la página Inbound Attribute Flow (Flujo del atributo entrante), proporcione la siguiente información y después haga clic en Siguiente:

    Regla de flujo Source Destination
    Regla 1 samAccountName accountName
    Regla 2 DisplayName DisplayName
    Regla 3 EmployeeType employeeType
    Regla 4 givenName firstName
    Regla 5 sn lastName
    Regla 6 Manager manager
    Regla 7 objectSID ObjectSID
    Regla 8 "Contoso" dominio

    Por cada fila de esta tabla, realice los pasos siguientes:

    • Para abrir el cuadro de diálogo Definición de flujo, haga clic en Nuevo flujo de atributos.

    • En la pestaña Origen , seleccione el atributo que se muestra para esa fila en la tabla.

    • En la pestaña Destino , seleccione el atributo que se muestra para esa fila en la tabla.

    • Para aplicar la configuración del flujo de atributos, haga clic en Aceptar.

  8. En la pestaña Resumen, haga clic en Enviar.

Inicializar el entorno de pruebas

Debe realizar cuatro pasos antes de probar la configuración de MIM con datos de AD:

Habilitación del aprovisionamiento

  1. Abra el Synchronization Service Manager.

  2. Para abrir el cuadro de diálogo Opciones, en el menú Herramientas, haga clic en Opciones.

  3. Seleccione Habilitar el aprovisionamiento de reglas de sincronización.

  4. Para cerrar el cuadro de diálogo Opciones, haga clic en Aceptar.

Inicialización del MIMMA

Ejecute un ciclo de sincronización completo en este conector. El ciclo completo consta de los siguientes perfiles de ejecución:

  • Importación completa
  • sincronización completa
  • Exportación
  • Importación delta

Siga estos pasos para ejecutar cada uno de los cuatro perfiles de ejecución.

  1. Abra el Service Manager sincronización y, en el menú Herramientas, haga clic en Agentes de administración.

  2. En la lista Agentes de administración , seleccione MIMMA.

  3. Para abrir el cuadro de diálogo Ejecutar agente de administración, en el menú Acciones , haga clic en Ejecutar.

  4. Siga, en cada perfil de ejecución de la tabla anterior, los pasos que se indican a continuación:

    • Para abrir el cuadro de diálogo Ejecutar agente de administración, en el menú Acciones , haga clic en Ejecutar.

    • En la lista Run profiles (Perfiles de ejecución), seleccione aquel que quiere configurar.

    • Para iniciar el perfil de ejecución, haga clic en Aceptar.

Configurar la prioridad del flujo de atributos

Durante la inicialización del conector de MIM, las reglas de sincronización configuradas se han introducido en el metaverso.

Ajuste la prioridad del flujo de atributos para los atributos aportados por este conector con el fin de asegurarse de que los atributos que ya estén en AD puedan introducirse en el metaverso y más adelante en la base de datos del Servicio MIM.

Inicialización del ADMA

Para inicializar el conector de Active Directory, debe ejecutar una importación completa y una sincronización completa en él. La importación completa trae los objetos existentes desde AD hasta el espacio del conector. La sincronización completa actualiza las reglas de sincronización para que coincidan con las del conector de MIM.

  1. Abra Synchronization Service Manager y haga clic en Management Agents (Agentes de administración), en el menú Herramientas.

  2. En la lista Agentes de administración , seleccione ADMA.

  3. Para abrir el cuadro de diálogo Ejecutar agente de administración, en el menú Acciones , haga clic en Ejecutar.

  4. Siga, en cada perfil de ejecución de la tabla anterior, los pasos que se indican a continuación:

    • Para abrir el cuadro de diálogo Ejecutar agente de administración, en el menú Acciones , haga clic en Ejecutar.

    • En la lista Run profiles (Perfiles de ejecución), seleccione aquel que quiere configurar.

    • Para iniciar el perfil de ejecución, haga clic en Aceptar.

Rellenar la base de datos del Servicio MIM

Para rellenar la base de datos del Servicio MIM con los objetos, debe ejecutar un ciclo de sincronización en el conector MIMMA. El ciclo consiste en:

  • Exportación
  • Importación completa
  • sincronización completa

Siga estos pasos para ejecutar cada uno de los tres perfiles de ejecución.

  1. Abra Synchronization Service Manager y haga clic en Management Agents (Agentes de administración) en el menú Herramientas.

  2. Seleccione MIMMA en la lista Management Agents (Agentes de administración).

  3. Haga clic en Ejecutar en el menú Acciones para abrir el cuadro de diálogo Run Management Agent (Ejecutar agente de administración).

  4. Siga, en cada perfil de ejecución de la tabla anterior, los pasos que se indican a continuación:

    • Haga clic en Ejecutar en el menú Acciones para abrir el cuadro de diálogo Run Management Agent (Ejecutar agente de administración).
    • Seleccione el perfil de ejecución que quiera ejecutar en la lista Run profiles (Perfiles de ejecución).
    • Haga clic en Aceptar para iniciar el perfil de ejecución.