Compartir a través de


Instalación de MIM 2016: Sincronización de Active Directory y servicio MIM

Nota:

En este tutorial se usan nombres y valores de ejemplo de una empresa denominada Contoso. Reemplácelos por el suyo propio. Por ejemplo:

  • Nombre del controlador de dominio: mimservername
  • Nombre de dominio: contoso
  • Contraseña : Pass@word1

De forma predeterminada, el servicio de sincronización de MIM (sincronización) no tiene ningún conector configurado. Un primer paso típico es usar la sincronización de MIM para rellenar la base de datos del servicio MIM con cuentas de Active Directory existentes. Para ello, usará la aplicación del Servicio de sincronización de MIM.

Creación del agente de administración de MIM

El agente de administración de MIM (MA) es un conector para la sincronización de MIM con el servicio MIM. Para crear este conector, use el Asistente para crear el agente de administración.

Al configurar un agente de administración de MIM, debe especificar una cuenta de usuario. En este documento se usa MIMMA como nombre de esta cuenta.

Nota:

La cuenta que usa para el agente de administración de MIM debe ser la misma que la especificada durante la instalación del servicio MIM. Si tiene previsto habilitar la característica "Usar cuenta MIMSync", el servicio de sincronización de MIM debe instalarse mediante la cuenta de servicio administrada de grupo.

Para crear el MA de MIM

  1. Abra el Synchronization Service manager.

  2. Para abrir el Asistente para crear agente de administración, cambie a la página Agentes de administración y, a continuación, en el menú Acciones , haga clic en Crear.

  3. En la página Crear agente de administración , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente.

    • Agente de administración para: agente de administración del servicio FIM

    • Nombre: MIMMA

  4. En la página Conectar a la base de datos , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente.

    • Servidor: localhost

    • Base de datos: FIMService

    • Dirección base del servicio MIM: http://localhost:5725

    • Modo de autenticación: autenticación integrada de Windows

    • Nombre de usuario: mimma

    • Contraseña: Pass@word

    • Dominio: contoso

  5. En la página Tipos de objeto seleccionados, compruebe que los tipos de objeto que aparecen a continuación están seleccionados y, a continuación, haga clic en Siguiente.

    • DetectedRuleEntry

    • ExpectedRuleEntry

    • Grupo

    • Persona

    • Regla de Sincronización

  6. En la página Atributos seleccionados , active Mostrar todo y compruebe que todos los atributos enumerados están seleccionados y, a continuación, haga clic en Siguiente.

  7. En la página Configurar filtro de conector , haga clic en Siguiente.

  8. En la página Configurar asignaciones de tipos de objeto , agregue la siguiente asignación y, a continuación, haga clic en Siguiente.

    • Seleccione Persona en la lista Tipo de objeto de origen de datos.
    • Haga clic en Agregar mapeo para abrir el cuadro de diálogo Mapeo.
    • Seleccione persona en la lista Tipo de objeto metaverso .
    • Haga clic en Aceptar para cerrar el cuadro de diálogo Asignación.
    • Seleccione Grupo en la lista Tipo de objeto de origen de datos.
    • Haga clic en Agregar asignación para abrir el cuadro de diálogo Asignación.
    • Seleccione grupo en la lista tipo de objeto Metaverso.
    • Haga clic en Aceptar para cerrar el cuadro de diálogo de mapeo.
  9. En la página Configurar el flujo de atributos, cree asignaciones de flujo de atributos como se muestra a continuación y a continuación haga clic en Siguiente

    • Seleccione Persona como origen de datos y tipos de objetos del metaverso.

    • Seleccione Directo como tipo de mapeo.

    • Para cada fila de la tabla siguiente, complete estos pasos:

      • Seleccione la dirección del flujo que se muestra para esa fila en la tabla.

      • Seleccione el atributo Origen de datos que se muestra para esa fila en la tabla.

      • Seleccione el atributo Metaverso que se muestra para esa fila en la tabla.

      • Para aplicar la asignación de flujo, haga clic en Nuevo.

    Atributo de origen de datos Dirección del flujo Atributo de metaverso
    Nombre de la Cuenta Exportar nombre de cuenta
    DisplayName Exportar displayName
    Dominio Exportar dominio
    Correo Electrónico Exportar correo
    ID de Empleado Exportar ID de empleado
    TipoDeEmpleado Exportar tipoDeEmpleado
    Primer Nombre Exportar firstName
    LastName Exportar lastName
    ObjectSID Exportar objectSid
    • Seleccione Group como tipo de origen de datos y tipos de objetos del metaverso.

    • Seleccione Directa como tipo de asignación.

    • Para cada fila de la tabla siguiente, complete estos pasos:

      • Seleccione la dirección del flujo que se muestra para esa fila en la tabla.

      • Seleccione el atributo Origen de datos que se muestra para esa fila en la tabla.

      • Seleccione el atributo Metaverso que se muestra para esa fila en la tabla.

      • Para aplicar la asignación de flujo, haga clic en Nuevo.

    Atributo de origen de datos Dirección del flujo Atributo de metaverso
    Nombre de la Cuenta Exportar nombre de cuenta
    DisplayName Exportar displayName
    Dominio Exportar dominio
    Correo Electrónico Exportar correo
    MailNickName Exportar mailNickName
    Miembro Exportar miembro
    ObjectSID Exportar objectSid
    Ámbito Exportar ámbito
    Tipo Exportar tipo
    MembershipAddWorkflow Exportar membershipAddWorkflow
    MembresíaBloqueada Exportar membresía bloqueada
    Nombre de la Cuenta Importación accountName
    DisplayedOwner Importación displayedOwner
    DisplayName Importación displayName
    MailNickName Importación mailNickName
    Miembro Importación miembro
    Ámbito Importación ámbito
    Tipo Importación tipo
  10. En la página Configurar desaprovisionamiento, haga clic en Siguiente.

  11. Para crear el agente de administración, en la página Configurar extensiones , haga clic en Finalizar.

Creación del agente de administración de AD

El agente de administración de Active Directory es un conector para AD Domain Services. Para crear este conector, utilice el Asistente para la Creación de Agentes de Administración.

  1. Para abrir el Asistente para crear agente de administración, en el menú Acciones , haga clic en Crear.

  2. En la página Crear agente de administración , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente:

    • Agente de administración para: Active Directory Domain Services
    • Nombre: ADMA
  3. En la página Conectar con el bosque de Active Directory , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente:

    • Nombre de bosque: contoso.local
    • Nombre de usuario: administrador
    • Contraseña: <contraseña de la cuenta>
    • Dominio: contoso
  4. En la página Configurar particiones de directorio , proporcione las siguientes opciones y, a continuación, haga clic en Siguiente:

    • En la lista Seleccionar particiones de directorio , seleccione DC=CONTOSO, DC=local.

    • Para abrir el cuadro de diálogo Seleccionar contenedores, haga clic en Contenedores.

    • Si desea cambiar el contenedor para que solo tenga objetos de administración de MIM en un contenedor determinado, haga clic en el nodo DC=CONTOSO,DC=local y, a continuación, haga clic en el nodo para el contenedor de interés.

    • Para cerrar el cuadro de diálogo Seleccionar contenedores, haga clic en Aceptar.

  5. En la página Configurar jerarquía de aprovisionamiento , haga clic en Siguiente.

  6. En la página Seleccionar tipos de objeto , proporcione la siguiente configuración y, a continuación, haga clic en Siguiente:

    • En la lista Tipos de objeto , seleccione usuario y grupo.
  7. En la página Seleccionar atributos , active Mostrar TODO, elija los atributos siguientes y, a continuación, haga clic en Siguiente:

    • empresa
    • displayName
    • ID del empleado
    • tipo de empleado
    • givenName
    • tipoDeGrupo
    • managedBy
    • gerente
    • miembro
    • objectSid
    • sAMAccountName
    • sAMAccountType
    • sn
    • unicodePwd
    • control de cuenta de usuario
  8. En la página Configurar filtro de conector , haga clic en Siguiente.

  9. En la página Configurar reglas de combinación y proyección , haga clic en Siguiente.

  10. En la página Configurar flujo de atributos , haga clic en Siguiente.

  11. En la página Configurar desaprovisionamiento, haga clic en Siguiente.

  12. En la página Configurar extensiones , haga clic en Finalizar.

Crear perfiles de ejecución

Cree perfiles de ejecución para los conectores ADMA y MIMMA.

Creación de perfiles de ejecución para el conector de ADMA

En esta tabla se muestran los cinco perfiles de ejecución que creará para el conector de ADMA:

Nombre Tipo
Perfil1 Importación completa (solo etapa)
Perfil2 Sincronización completa
Perfil3 Importación diferencial (solo etapa)
Perfil4 Sincronización de delta
Perfil5 Exportar

Para crear perfiles de ejecución para el conector de ADMA:

  1. Abra Synchronization Service Manager y, en el menú Herramientas , haga clic en Agentes de administración.

  2. En la lista Agentes de administración , seleccione ADMA.

  3. Para abrir el cuadro de diálogo Configurar perfiles de ejecución para , en el menú Acciones , haga clic en Configurar perfiles de ejecución.

  4. Para cada perfil de ejecución de la tabla, complete los pasos siguientes:

    • Para abrir el Asistente para configurar perfil de ejecución, haga clic en Nuevo perfil.

    • En el cuadro Nombre , escriba el nombre del perfil de la tabla y haga clic en Siguiente.

    • En la lista Tipo , seleccione el tipo de paso de la tabla y, a continuación, haga clic en Siguiente.

    • Haga clic en Finalizar para crear el perfil de ejecución.

  5. Para cerrar el cuadro de diálogo Configurar perfiles de ejecución, haga clic en Aceptar.

Creación de perfiles de ejecución para el conector MIMMA

En esta tabla se muestran los cinco perfiles de ejecución coincidentes para el conector MIMMA:

Nombre Tipo
Perfil1 Importación completa (solo etapa)
Perfil2 Sincronización completa
Perfil3 Importación diferencial (solo etapa)
Perfil4 Sincronización delta
Perfil5 Exportar

Para crear perfiles de ejecución para el conector MIMMA:

  1. Abra Synchronization Service Manager y, en el menú Herramientas , haga clic en Agentes de administración.

  2. En la lista Agentes de administración , seleccione MIMMA.

  3. Para abrir el cuadro de diálogo Configurar perfiles de ejecución para , en el menú Acciones , haga clic en Configurar perfiles de ejecución.

  4. Para cada perfil de ejecución de la tabla, complete los pasos siguientes:

    • Para abrir el Asistente para configurar perfil de ejecución, haga clic en Nuevo perfil.

    • En el cuadro Nombre , escriba el nombre del perfil de la tabla y haga clic en Siguiente.

    • En la lista Tipo , seleccione el tipo de paso de la tabla y, a continuación, haga clic en Siguiente.

    • Haga clic en Finalizar para crear el perfil de ejecución.

  5. Para cerrar el cuadro de diálogo Configurar perfiles de ejecución, haga clic en Aceptar.

Configuración del servicio MIM

Mediante el portal de MIM, creará la regla de sincronización de entrada del usuario de AD para el servicio MIM.

Para crear la regla de sincronización de entrada para un usuario de AD:

  1. En la página principal del portal de MIM, en la barra de navegación, haga clic en Administración.

  2. Para abrir la página Reglas de sincronización, haga clic en Reglas de sincronización.

  3. Para abrir el Asistente para crear reglas de sincronización, en la barra de herramientas, haga clic en Nuevo.

  4. En la pestaña General , proporcione la siguiente información y, a continuación, haga clic en Siguiente:

    • Nombre para mostrar: regla de sincronización de usuario de entrada de AD
    • Dirección del flujo de datos: entrante
  5. En la pestaña Ámbito , proporcione la siguiente información y, a continuación, haga clic en Siguiente:

    • Tipo de recurso de metaverso: persona
    • Sistema externo: ADMA
    • Tipo de recurso del sistema externo: usuario
  6. En la pestaña Relación , proporcione la siguiente información y, a continuación, haga clic en Siguiente:

    • Para configurar los criterios de relación, seleccione ObjectSID en la lista MetaverseObject:person(Attribute) y en la lista ConnectedSystemObject:person(Attribute).

    • Seleccione Crear recurso en FIM.

  7. En la página Flujo de atributos de entrada , proporcione la siguiente información y, a continuación, haga clic en Siguiente:

    Regla de flujo Fuente Destino
    Regla 1 samAccountName accountName
    Regla 2 displayName displayName
    Regla 3 EmployeeType employeeType
    Regla 4 givenName firstName
    Regla 5 sn lastName
    Regla 6 Gerente gerente
    Regla 7 objectSID ObjectSID
    Regla 8 "Contoso" dominio

    Para cada fila de esta tabla, realice los pasos siguientes:

    • Para abrir el cuadro de diálogo Definición de flujo, haga clic en Nuevo flujo de atributos.

    • En la pestaña Origen , seleccione el atributo que se muestra para esa fila en la tabla.

    • En la pestaña Destino , seleccione el atributo que se muestra para esa fila en la tabla.

    • Para aplicar la configuración del flujo de atributos, haga clic en Aceptar.

  8. En la pestaña Resumen , haga clic en Enviar.

Inicialización del entorno de prueba

Hay cuatro pasos que debe seguir para poder probar la configuración de MIM con datos de AD:

Habilitación del aprovisionamiento

  1. Abra el Synchronization Service manager.

  2. Para abrir el cuadro de diálogo Opciones, en el menú Herramientas, haga clic en Opciones.

  3. Seleccione Habilitar aprovisionamiento de reglas de sincronización.

  4. Para cerrar el cuadro de diálogo Opciones, haga clic en Aceptar.

Inicialización del MIMMA

Ejecute un ciclo de sincronización completo en este conector. El ciclo completo consta de los siguientes perfiles de ejecución:

  • Importación completa
  • Sincronización completa
  • Exportar
  • Importación delta

Siga estos pasos para ejecutar cada uno de los cuatro perfiles de ejecución.

  1. Abra Synchronization Service Manager y, en el menú Herramientas , haga clic en Agentes de administración.

  2. En la lista Agentes de administración , seleccione MIMMA.

  3. Para abrir el cuadro de diálogo Ejecutar agente de administración, en el menú Acciones , haga clic en Ejecutar.

  4. Para cada perfil de ejecución enumerado anteriormente, complete los pasos siguientes:

    • Para abrir el cuadro de diálogo Ejecutar agente de administración, en el menú Acciones , haga clic en Ejecutar.

    • En la lista Perfiles de ejecución, seleccione el perfil de ejecución que desea ejecutar.

    • Para iniciar el perfil de ejecución, haga clic en Aceptar.

Configuración de la prioridad del flujo de atributos

Durante la inicialización del conector MIM, las reglas de sincronización configuradas se incorporaron al metaverso.

Ajuste la prioridad del flujo de atributos para los atributos aportados por este conector para asegurarse de que los atributos ya presentes en Active Directory puedan fluir al metaverso y posteriormente también a la base de datos del servicio MIM.

Inicializar el ADMA

Para inicializar el conector de Active Directory, debe ejecutar una importación completa y una sincronización completa en él. La importación completa lleva los objetos existentes de AD al espacio del conector. La sincronización completa actualiza las reglas de sincronización para que coincidan con las del conector MIM.

  1. Abra Synchronization Service Manager y, en el menú Herramientas , haga clic en Agentes de administración.

  2. En la lista Agentes de administración , seleccione ADMA.

  3. Para abrir el cuadro de diálogo Ejecutar agente de administración, en el menú Acciones , haga clic en Ejecutar.

  4. Para cada perfil de ejecución enumerado anteriormente, complete los pasos siguientes:

    • Para abrir el cuadro de diálogo Ejecutar agente de administración, en el menú Acciones , haga clic en Ejecutar.

    • En la lista Perfiles de ejecución, seleccione el perfil de ejecución que desea ejecutar.

    • Para iniciar el perfil de ejecución, haga clic en Aceptar.

Rellenar la base de datos del servicio MIM

Para rellenar la base de datos del servicio MIM con los objetos , debe ejecutar un ciclo de sincronización en el conector MIMMA. El ciclo consta de:

  • Exportar
  • Importación completa
  • Sincronización completa

Siga estos pasos para ejecutar cada uno de los tres perfiles de ejecución.

  1. Abra Synchronization Service Manager y haga clic en Agentes de administración en el menú Herramientas .

  2. Seleccione MIMMA en la lista Agentes de administración .

  3. Haga clic en Ejecutar en el menú Acciones para abrir el cuadro de diálogo Ejecutar agente de administración.

  4. Para cada perfil de ejecución enumerado anteriormente, complete los pasos siguientes:

    • Haga clic en Ejecutar en el menú Acciones para abrir el cuadro de diálogo Ejecutar agente de administración.
    • Seleccione el perfil de ejecución que desea ejecutar en la lista Perfiles de ejecución .
    • Haga clic en Aceptar para iniciar el perfil de ejecución.