Compartir a través de


Terminología de Microsoft Identity Manager 2016 SP1

Este documento es una lista completa de términos a los que se hace referencia en Microsoft Identity Manager 2016 SP1 y versiones posteriores.

A

validación de grupos de Active Directory: un procedimiento implementado en MIM 2016 que garantiza la unicidad del nombre de cuenta de un grupo dentro de un dominio almacenado en Active Directory.

flujo de trabajo de acción: un flujo de trabajo que lleva a cabo una acción. Esto incluye el envío de un correo electrónico de notificación y la confirmación de cambios en la base de datos del servicio MIM.

actividad: una actividad de flujo de trabajo es el bloque de creación básico de los flujos de trabajo de Windows Workflow Foundation (WF). Incorpora la lógica que se inicia en tiempo de diseño y en tiempo de ejecución al compilar y ejecutar flujos de trabajo.

ensamblado de actividad: un .DLL o un archivo .EXE que contiene un ensamblado .NET que implementa la lógica de una actividad de flujo de trabajo.

delimitador: uno o varios atributos únicos de un tipo de objeto que no cambia y representa un objeto del origen de datos conectado al que está vinculado el objeto de espacio del conector (por ejemplo, un número de empleado o un identificador de usuario).

aprobación: una aprobación es un punto de decisión de flujo de trabajo que se puede usar para obtener la autorización de una persona antes de continuar en el flujo de trabajo.

correo electrónico de aprobación: si una solicitud requiere una aprobación antes de confirmarse, se envía un correo electrónico de aprobación a los aprobadores identificados.

solicitud de aprobación: solicitud que requiere una aprobación. Por ejemplo, un mensaje de correo electrónico enviado por MIM 2016 a un aprobador como parte del procesamiento de una actividad de aprobación.

respuesta de aprobación: una respuesta para una solicitud de aprobación. Contiene información sobre si la solicitud se aprueba o no. Por ejemplo, un mensaje de correo electrónico enviado desde el complemento MIM para Outlook en respuesta a una solicitud de aprobación.

carpeta de búsqueda de aprobaciones: las carpetas de búsqueda creadas por el complemento MIM para Outlook que proporcionan al usuario una manera de ver aprobaciones pendientes y completadas y actualizaciones de solicitudes de aprobación.

umbral de aprobación: número de mensajes de respuesta de aprobación positivos necesarios para permitir que una solicitud continúe procesando.

aprobador: la persona que dará aprobación para que la solicitud continúe con la siguiente fase. Reciben mensajes de solicitud de aprobación si se usa el complemento MIM para Outlook. Consulte también la entrada para "aprobador de escalación".

flujo de atributos: define la dirección de qué valores de atributo fluyen entre el servicio MIM y otros sistemas externos.

actividad de autenticación: una actividad de flujo de trabajo que valida la identidad de un usuario. Por ejemplo, la puerta de restablecimiento de contraseña y la puerta de autenticación de tarjeta inteligente. Consulte también la entrada de "Puerta de control de calidad" y "puerta de bloqueo".

desafío de autenticación: un cuadro de diálogo que requiere que el usuario proporcione una respuesta para autenticarse en MIM 2016. Por ejemplo, preguntas para que el usuario responda para restablecer sus contraseñas.

actividad de desafío de autenticación: una actividad de Windows Workflow Foundation que se usa para configurar un desafío emitido a un usuario para autenticarse en MIM 2016.

flujo de trabajo de autorización: flujo de trabajo con actividades que deben completarse antes de que la solicitud se confirme en la base de datos. Algunos ejemplos son la validación y aprobación de datos.

C

de atributo de registro no cifrado: este atributo borra el registro asociado a un flujo de trabajo de autenticación. Por ejemplo, en un desafío de preguntas y respuestas, las respuestas se almacenan en MIM 2016 en forma de datos de registro. Cuando se activa la casilla de registro desactivada y se guarda un flujo de trabajo, se eliminan los datos de registro, lo que requiere que los usuarios vuelvan a registrarse.

miembro calculado (o miembro): un conjunto de recursos de solo lectura calculado a partir de la combinación de miembros administrados manualmente y un filtro.

conector: un objeto en el espacio conector que representa un objeto de un origen de datos conectado y está vinculado actualmente a un objeto del metaverso mediante reglas predefinidas. El metadirectorio usa objetos de conector para sincronizar los valores de atributo entre un origen de datos conectado y el metaverso.

filtro del conector: regla que se usa para evitar que los objetos de espacio conector se vinculen a objetos de metaverso.

espacio del conector: área de ensayo que contiene representaciones de objetos y atributos seleccionados en un origen de datos conectado. Un objeto de espacio conector es un objeto en el espacio del conector creado por una importación de datos desde el origen de datos conectado o mediante reglas dentro de MIM para crear nuevos objetos en diferentes orígenes de datos conectados. Estos objetos contienen valores de atributo que se pueden importar o exportar desde los objetos correspondientes del origen de datos conectado.

recuento de XPath: expresión XPath que devuelve un valor numérico que se va a representar entre paréntesis después del nombre para mostrar del recurso.

miembro basado en criterios: un conjunto de recursos de solo lectura calculado a partir de la combinación de miembros del grupo estático y un filtro.

pertenencia basada en criterios: un grupo en el que la pertenencia del grupo viene determinada por un filtro. Consulte también la entrada de "pertenencia estática".

miembro entre bosques: un miembro de un grupo de seguridad cuya cuenta de usuario en un bosque diferente de la cuenta de grupo.

cálculo de grupos de bosques cruzados: una actividad integrada que se coloca entre los miembros del bosque de un grupo en el conjunto de entidades de seguridad externa (FSP) asociado al bosque en el que reside el grupo.

expresión personalizada: lenguaje descriptivo que se usa para definir funciones o flujos de atributos en modo avanzado.

D

conjunto de destino (o definición de recursos de destino después de la solicitud): un conjunto en el que se mueve un recurso debido a una solicitud que cambia los atributos de ese recurso.

actividad de validación de grupo predeterminada: una actividad de flujo de trabajo integrada que determina si una solicitud de administración de grupos infringiría la configuración o directiva de MIM 2016 o Active Directory.

desconectador: un objeto en el espacio del conector que representa un objeto en un origen de datos conectado y no está vinculado actualmente a un objeto del metaverso.

objetos de desconectador: hay tres tipos de objetos de desconectador: desconectadores, desconectadores explícitos y desconectadores filtrados.

nombre para mostrar: atributo de un recurso que aparece en una interfaz de usuario para identificar ese recurso. Un valor usado en un nombre para mostrar debe ser inequívoca y legible. Es importante proporcionar el nombre para mostrar si quiere usar el recurso en varios controles del portal de MIM, como el selector de recursos.

grupo de distribución: colección de recursos que suelen ser usuarios y otros grupos que se pueden enviar simultáneamente mediante el envío de correo electrónico al buzón del grupo.

configuración de dominio: un recurso de configuración que se usa para modelar dominios de Active Directory.

grupo local de dominio: un grupo con ámbito local de dominio es un grupo de Active Directory que protege los recursos de un dominio determinado y que puede contener miembros de ese bosque o de cualquier bosque de confianza.

quitar archivo: un archivo de colocación es un archivo de registro XML que representa una exportación o importación potencial o que se produce.

valor de atributo dinámico: el valor de un atributo que se calcula en función de otros atributos. Por ejemplo, un atributo name se calcula concatenando el nombre especificado y el apellido.

grupo dinámico: un grupo cuya pertenencia se determina automáticamente y se mantiene up-to-date por MIM 2016 asegurándose de que el grupo contiene todos los recursos (como personas, grupos, equipos) que se encuentran en condiciones que se expresan mediante XPath.

E

enumeración: lista de recursos devueltos por el servicio MIM 2016.

escalado: si no se completa una aprobación en el tiempo especificado, la aprobación se escala y se agregan aprobadores adicionales a la aprobación.

aprobador de escalado: el usuario que recibe los mensajes de solicitud de aprobación si los aprobadores no responden. Consulte también la entrada para "aprobador".

conector explícito: un objeto en el espacio del conector que está vinculado a un objeto del metaverso y no se puede desconectar mediante un filtro de conector. Un conector explícito solo se puede crear manualmente con Joiner y solo se puede desconectar mediante el aprovisionamiento o mediante Joiner.

desconectador explícito: un objeto del espacio conector que no está vinculado a un objeto del metaverso y solo se puede combinar mediante Joiner. Un objeto se convierte en un desconectador explícito desconectando manualmente el objeto mediante Joiner.

exportar: la exportación es el proceso de inserción de cambios en los orígenes de datos conectados. Una exportación siempre es una operación diferencial basada en la última importación correcta. MIM procesa los cambios de exportación, pero no procesa los cambios en el espacio del conector hasta que se hayan confirmado los cambios mediante una nueva importación. Según el tipo de agente de administración que use, los cambios implementados por una exportación pueden estar en el nivel de atributo, objeto o valor.

Exportar flujo de atributos: proceso de traducción de los atributos de un objeto del metaverso al espacio del conector. Este proceso puede implicar asignaciones de uno a uno, aplicando extensiones de reglas para modificar atributos o establecer valores de atributo estáticos. Los atributos exportados se almacenan provisionalmente en el espacio del conector para la siguiente exportación al origen de datos conectado.

lenguaje de marcado de aserción extensible (XAML): un lenguaje basado en XML en el que se representan las definiciones de flujo de trabajo.

filtro de ámbito del sistema externo: determina los recursos que se identifican y filtran desde un directorio de origen en función de una condición determinada.

tipo de recurso del sistema externo: este es el tipo de recurso del sistema externo al que están conectados los recursos de MIM 2016.

marca de creación de recursos del sistema externo: parámetro de una regla de sincronización para indicar si se debe crear un recurso en el espacio del conector si se basa en los criterios de relación, dicho recurso no existe en el sistema externo. Consulte la marca de creación de recursos de MIM 2016.

ámbito del sistema externo: parámetro de una regla de sincronización que contiene un filtro que presenta recursos en el sistema externo al que se aplica la regla.

F

filtro: expresión que contiene condiciones de filtro. Un filtro coincide con un recurso si cada una de las condiciones de filtro contenidas en el filtro coincide con el recurso. En MIM 2016, el filtro usa la sintaxis XPath.

desconectador filtrado: un objeto en el espacio del conector que no se puede unir o proyectar a un objeto del metaverso en función de las reglas de filtro del conector en el agente de administración asociado.

agente de administración de FIM: un agente de administración que se sincroniza entre el servicio MIM 2016 y el servicio de sincronización de MIM 2016.

servicio de cliente de restablecimiento de contraseña FIM/MIM: esto hace referencia al servicio proxy que reside en el equipo del usuario final que se comunica con el servidor MIM 2016.

extensiones de restablecimiento de contraseña de FIM o MIM: esto hace referencia al código que reside en el equipo del usuario final que amplía la funcionalidad de Inicio de sesión de Windows para incluir autoservicio de restablecimiento de contraseña.

marca de creación de recursos FIM/MIM: parámetro de una regla de sincronización para indicar si se debe crear un recurso en la base de datos DE MIM 2016 si se basa en los criterios de relación que los recursos no existen. Consulte también la entrada para la "marca de creación de recursos del sistema externo".

función: un componente que se puede incluir en una regla de sincronización o una definición de flujo de trabajo para procesar los valores de datos.

G

puerta: actividad de flujo de trabajo usada en la fase de autenticación del procesamiento de solicitudes. Consulte también la entrada de "Puerta de control de calidad" y "puerta de bloqueo".

anidamiento de grupos: campo de una definición de grupo que especifica si el grupo contiene otros grupos como miembros del grupo actual.

ámbito de grupo: un campo de una definición de grupo, uno o "local", "global" o "universal". Para obtener más información, consulte Ámbito de grupo de Active Directory.

Yo

importar: el proceso de mover objetos de origen de datos conectados al espacio del conector con fines de creación, modificación, eliminación o comprobación. Una importación puede ser una operación completa o diferencial. Para una importación completa, MIM solicita todos los objetos designados del origen de datos conectado y elimina todos los objetos de almacenamiento provisional para los que no se ha recibido un objeto correspondiente durante esta importación. Como resultado, este paso de perfil de ejecución es útil para limpiar los objetos de almacenamiento provisional en el espacio del conector. Los objetos que se han recibido del origen de datos conectado se almacenan provisionalmente en el espacio del conector. Para que la importación diferencial proporcione los resultados deseados, el origen de datos conectado debe implementar una forma de marca de agua. El origen de datos conectado usa la marca de agua para indicar cuándo se produjeron los cambios más recientes en un objeto. MIM lee la marca de agua para determinar qué se debe incluir en la importación diferencial. Un ejemplo es el USN de Active Directory.

Import Attribute Flow (IAF): Import attribute flow (Flujo de atributos de importación) es el proceso de importación de un atributo desde el espacio del conector al metaverso. Este proceso podría implicar la aplicación de asignaciones de atributos uno a uno, mediante extensiones de reglas para modificar atributos o establecer atributos estáticos.

dirección URL de imagen: dirección URL de un archivo de imagen que se va a representar en la interfaz de usuario del portal de MIM 2016.

flujo inicial: un flujo inicial es un flujo de valor de atributo que solo se aplica una vez cuando el recurso se crea por primera vez. Es decir, solo se crea una contraseña inicial cuando se crea una cuenta por primera vez.

flujo de trabajo interactivo: un flujo de trabajo que requiere respuesta del usuario que solicita un cambio, como para realizar comprobaciones de autenticación adicionales.

J

combinación: una combinación es el proceso de vincular un objeto de espacio conector con un objeto de metaverso existente. Los valores de atributo solo fluyen entre objetos vinculados.

de solicitud de grupo de unión: solicitud para agregar un usuario a un grupo.

L

bloqueo: una configuración de un recurso de persona en la base de datos de MIM 2016 que restringe la autenticación de esa persona a MIM 2016 o al realizar el restablecimiento de contraseña.

puerta de bloqueo: una actividad de flujo de trabajo en la fase de autenticación del procesamiento de solicitudes para bloquear a un usuario que no se pudo autenticar. Consulte también la entrada de "bloqueo" y "puerta de control de calidad".

umbral de bloqueo: se trata de un control entero que especifica el número de veces que un usuario puede no completar el flujo de trabajo de autenticación antes de que estén bloqueados para la duración del bloqueo. La configuración predeterminada para esto es 3. El límite inferior es 0 y el límite superior es 99.

duración del bloqueo: se trata de un control entero que especifica la duración en minutos que el usuario está bloqueado después de alcanzar el umbral de bloqueo.  La configuración predeterminada para esto es de 15 minutos.  El límite inferior para esta configuración es 1 y el límite superior es 9999. El límite superior permite al administrador establecer el límite superior en mayor de un día.

recuento de umbrales de bloqueo antes del bloqueo permanente: se trata de un control entero que permite al administrador configurar un valor numérico para el número de veces que un usuario puede alcanzar el umbral de bloqueo antes de bloquearse permanentemente. El bloqueo permanente implica que el administrador del sistema debe desbloquear el usuario. De forma predeterminada, se establece en 3. El intervalo de esta configuración está comprendido entre 1 y 99.

M

agente de administración: un agente de administración (MA) conecta un origen de datos conectado específico al metadirectorio. Es responsable de mover datos desde el origen de datos conectado a MIM y las reglas que determinarían la idoneidad de los datos de identidad para participar en MIM y cualquier otro origen de datos conectado. Cuando se modifican los datos del metadirectorio, el agente de administración puede exportar los datos a los orígenes de datos conectados para mantener el origen de datos conectado sincronizado con los datos de MIM. Se usa un agente de administración en lugar de tener un conector basado en agente.

regla de directivas de administración (MPR): las reglas de directiva de administración (MPR) proporcionan un mecanismo para modelar reglas de procesamiento de negocios para las solicitudes entrantes al servidor MIM 2016. Controlan los permisos para solicitar operaciones en recursos de MIM 2016 junto con los flujos de trabajo desencadenados por estas solicitudes.

Hay dos tipos de MPR:

  • Solicitud de MPR: conceda permisos y ejecute flujos de trabajo (invocados antes de que se haya realizado una operación solicitada).

  • Establecer MPR de transición: ejecute solo flujos de trabajo (reacción a un cambio de estado aplicado).

    Los objetos de diseño principales para MPR son:

  • Permisos de modelado

  • Modelado de asignaciones de flujos de trabajo

  • Transiciones de modelado

  • Modelado de definiciones reflexivas

  • Modelado del acceso de usuario no autenticado

  • Modelado de directivas temporales

  • Permisos de filtro de modelado

miembro administrado manualmente: la pertenencia del grupo o conjunto que consta de una lista manualmente seleccionada de usuarios, grupos u otros recursos.

metaverso: el almacén de datos central usado por MIM para contener la información de identidad agregada de varios orígenes de datos conectados, lo que proporciona una única vista global integrada de todos los objetos combinados. El metaverso no se va a usar como tabla o vista de datos de identidad agregados para ninguna aplicación distinta de MIM, ya que puede producirse daños.

buzón supervisado: un buzón que supervisa el servicio MIM 2016 para recibir la aprobación y solicitar correos electrónicos del complemento MIM para Outlook.

N

actividad de notificación: una actividad de flujo de trabajo dentro de la fase de acción del procesamiento de solicitudes en la que MIM 2016 envía correos electrónicos a uno o varios usuarios para notificarles la solicitud.

mensaje de notificación: un mensaje de correo electrónico enviado por una actividad de notificación. Consulte también la entrada de "actividad de notificación".

O

ObjectID (ResourceID): atributo que contiene un identificador único global (GUID) asignado por MIM 2016 a cada recurso cuando se crea. Esto también se conoce como identificador de recurso.

identificador de objeto: una secuencia de números usados como identificador para un campo en un certificado digital X.509 o para un tipo de atributo o clase de objeto en un servicio de directorio basado en LDAP. Normalmente, los proveedores de software y los organismos de estándares asignan identificadores de objeto.

tipo de operación: el tipo de operación se solicita en el recurso administrado por MIM 2016 a través del servicio web. Esto incluye la creación y eliminación de recursos y la lectura y modificación de los atributos de recursos. Además, las operaciones Agregar o quitar permiten aplicar más control a la operación de modificación para controlar solo la adición de valores a atributos o su eliminación.

operador: un elemento de un filtro que especifica una comparación u otra relación entre los valores de datos.

conjunto de orígenes (o definición de recursos de destino antes de la solicitud): un conjunto en el que un recurso pertenecía antes de un cambio en los atributos de ese recurso.

P

parámetro: al aprovisionar nuevos recursos, a veces es posible proporcionar valores de atributo de un origen externo, como un usuario. Se pasa un valor de atributo como parámetro para poder crear correctamente un nuevo recurso.

partición: un volumen lógico de datos en el espacio del conector. Un agente de administración puede crear una o varias particiones para dividir lógicamente los datos en agrupaciones lógicas independientes. Cada volumen de datos se procesa individualmente durante la sincronización.

restablecimiento de contraseña: procedimiento por el que se puede cambiar la contraseña de un usuario a un valor conocido, en situaciones en las que el usuario ha olvidado o perdido su contraseña. Consulte también la entrada de "registro".

fase: cada solicitud de creación, actualización o eliminación de recursos se procesa a través de tres fases de flujo de trabajo. En la fase de autenticación, se pueden realizar comprobaciones de autenticación adicionales del usuario solicitante. En la fase de autorización, se recopilan las aprobaciones necesarias. En la fase de acción, las actividades se realizan después de confirmar la solicitud para cambiar el recurso.

objetos de marcador de posición: objetos del espacio del conector que representan un único nivel de la jerarquía del origen de datos conectado. Por ejemplo, si desea sincronizar objetos con un bosque de Active Directory, debe importar los contenedores que componen la ruta de acceso de los objetos de Active Directory. En el ejemplo, CN=MikeDan,OU=Users,DC=Microsoft,DC=Com, los objetos de marcador de posición se crearían para DC=Com y DC=Microsoft,DC=Com. Además, un objeto de marcador de posición puede representar un objeto en el origen de datos conectado al que hace referencia un valor de atributo de referencia importado (por ejemplo, el objeto al que hace referencia el atributo manager en un objeto User). Los objetos de marcador de posición no contienen valores de atributo y no se pueden vincular al metaverso.

administración de directivas: la administración de directivas en MIM 2016 es posible mediante una consola basada en Sharepoint para la creación y aplicación de directivas. Los flujos de trabajo extensibles basados en Windows Workflow Foundation permiten a los usuarios definir, automatizar y aplicar directivas de administración de identidades. La administración de directivas también incluye la sincronización de identidades heterogénea y la coherencia que se logra mediante la integración de una amplia gama de sistemas operativos de red, correo electrónico, base de datos, directorio, aplicación y acceso de archivos planos.

actualización de directivas (o ejecutarse en la actualización de directivas): si se debe volver a ejecutar un flujo de trabajo como efecto de un cambio en los conjuntos o MPR que hacen referencia a ella, se usa la marca de actualización de directiva para indicar esto.

prioridad: una ordenación de las reglas de sincronización.

conjunto de entidades de seguridad: un conjunto usado en la regla de directiva de administración para especificar el conjunto de recursos (normalmente usuarios) que inician la evaluación de la regla de directiva de administración.

conjunto de entidades de seguridad en relación con elde recursos: se trata de una propiedad reflexiva. Su valor se define en términos de una de las propiedades resource. Se usa para definir reglas de directiva de administración dinámica cuyas condiciones se evalúan en el contexto de cada recurso de destino que se está procesando.

proyección: proceso de creación de un objeto en el metaverso basado en reglas de proyección y, a continuación, vincular automáticamente ese objeto a un objeto existente en el espacio conector.

aprovisionar: proceso de creación, cambio de nombre y desaprovisionamiento de objetos en espacios conectores predeterminados basados en cambios en un objeto del metaverso. Las reglas de aprovisionamiento se pueden configurar para llamar a cada vez que se modifica un objeto de metaverso. Estas reglas pueden realizar acciones de nivel de objeto, como crear un nuevo objeto de espacio conector o desconectar los objetos de espacio del conector existentes que están vinculados al objeto de metaverso.

Q

puerta de control de calidad: una actividad de flujo de trabajo en una fase de autenticación, en la que el usuario solicitante debe proporcionar respuestas a una o varias preguntas predeterminadas. Esta actividad se usa normalmente en el restablecimiento de contraseña para desafiar al usuario a demostrar su identidad al proporcionar al usuario una selección de preguntas predeterminación para las que solo ese usuario sabría, para el que el usuario debe proporcionar la respuesta correcta. Consulte también la entrada para "puerta de bloqueo".

desafío de control de calidad: un desafío que requiere que el usuario responda a una serie de preguntas para autenticarse en MIM 2016.

R

configuración aleatoria de contraseñas: valor que determina el número de caracteres necesarios para establecer una contraseña en el directorio externo.

tipo de atributo de referencia: tipo de atributo en el que los valores del atributo son los valores de atributo ObjectID (identificadores únicos globales) de otros recursos de MIM 2016.

integridad referencial: una restricción en MIM 2016 en la que un atributo de referencia no puede tener como valor un ObjectID de un recurso que se ha eliminado.

registro: procedimiento para configurar el autoservicio de restablecimiento de contraseña para un usuario. Consulte también la entrada de "Puerta de control de calidad".

volver a registrar: actualización del registro para un desafío de autenticación en MIM 2016, normalmente necesario después de un cambio en la directiva administrativa para el registro de restablecimiento de contraseña.

creación de relaciones: marcas de configuración de una regla de sincronización que determina si los recursos se deben crear automáticamente en MIM 2016 o en el sistema externo, si los recursos están ausentes.

criterios de relación: configuración de una regla de sincronización que se usa para buscar coincidencias con los recursos del servidor y los recursos de MIM en sistemas externos.

finalización de la relación: indica si los recursos relacionados de otros sistemas externos se deben desconectar (y posiblemente eliminar) cuando la regla de sincronización ya no se aplica.

administración de solicitudes: la capacidad de que un usuario interactúe con y administre las solicitudes enviadas y los flujos de trabajo asociados.

regla de directiva de administración de solicitudes (RMPR): un tipo de regla de directiva de administración que se evalúa y se aplica a las solicitudes entrantes para realizar operaciones. RMPRS se usa principalmente para crear definiciones de directivas de acceso en MIM. En otras palabras, la respuesta a cómo se controla la solicitud. Al configurar un RMPR, el solicitante se encuentra en el conjunto diseñado para realizar una operación.

La arquitectura de MIM define seis operaciones diferentes para las que se puede definir un RMPR:

  • Cree un recurso.

  • Elimine un recurso.

  • Lee un recurso.

  • Agregue un valor a un atributo multivalor.

  • Quite un valor de un atributo multivalor.

  • Modifique un atributo con un solo valor.

    Al definir un RMPR, debe seleccionar al menos una de estas seis operaciones. Las operaciones siempre se definen en el contexto del solicitante. Cada condición requiere la definición de un destino. Una operación que se aplica a un destino puede dar lugar a una transición de estado del recurso de destino. Un RMPR siempre se invoca antes de que se haya realizado una operación solicitada. Para caracterizar eficazmente el destino de la condición, debe configurar dos estados diferentes:

  • Definición de recurso de destino antes de la solicitud: el estado del destino antes de aplicar la solicitud.

  • Definición de recurso de destino después de la solicitud: el estado del destino después de aplicar la solicitud.

    Si necesita definir ambos estados depende de las operaciones que se defina rmpr. En una operación Create, el recurso solicitado no tiene ningún estado inicial. Por lo tanto, solo tiene que configurar la definición de recursos de destino después de la solicitud" para una operación Create.

    Una operación De lectura o eliminación no provoca una transición de estado. Para estos dos tipos de operaciones, solo es necesario especificar la definición de recursos de destino antes de la solicitud.

    Para una operación Modify o todas las demás combinaciones de operaciones, debe configurar ambos estados, que pueden tener los mismos valores si no se realiza ninguna transición de estado.

    Puede expresar los recursos relacionados con respecto al solicitante (como el propio objeto de usuario del solicitante, el administrador de un usuario de destino o el propietario de un grupo de destino).

    La forma más sencilla de una respuesta a una condición es conceder permisos para realizar la operación solicitada. Además de conceder permisos, también puede definir otras operaciones como respuesta a una condición en un RMPR. En la arquitectura de MIM, estas operaciones se definen en forma de flujos de trabajo. En el momento en que se procesa un RMPR determinado, es posible que el sistema no tenga suficiente información para conceder permiso. En este caso, puede definir pasos adicionales de autenticación y autorización en RMPR que se aplican a la persona que realiza una solicitud determinada. Por ejemplo, para conceder permiso para realizar la operación solicitada, puede requerir la interacción manual de un usuario para aprobar la operación.

    En la ilustración siguiente se describe la arquitectura completa de un RMPR:

    RMPR architectureRMPR architecturede arquitectura de RMPR de

    Cuando se crea un nuevo objeto de solicitud en MIM, el sistema consulta los RMPR configurados para buscar objetos coincidentes comparando las condiciones de solicitud con las condiciones configuradas en los RMPR de administración. Si se encuentran RMPR coincidentes, se aplican al objeto de solicitud en cola. En la ilustración siguiente se describe este proceso:

    RMPR coincidentes se encuentran y se aplican al objeto de solicitud en cola

    En el Portal de MIM, se deben conceder permisos para las operaciones explícitamente. En otras palabras, a menos que se conceda un RMPR, se deniegan todas las operaciones en los recursos. Cada objeto de solicitud requiere al menos un RMPR que conceda permiso para realizar la operación solicitada en un destino.

objeto de solicitud: cuando un usuario realiza una tarea en el Portal de MIM o en el complemento de MIM para Outlook, se representa como un objeto de solicitud. Los objetos request representan un mecanismo de informes conveniente para las actividades del sistema.

Cada objeto de solicitud tiene estos componentes:

  • Solicitante: recurso que pide que realice una operación.

  • Operación: la acción que el solicitante quiere realizar.

  • Destino: recurso que es el destino de la operación solicitada.

    Lógicamente, un objeto de solicitud es una implementación de la siguiente instrucción:

    The requester attempts to perform the following operation on this target...

    En la ilustración siguiente se describe la arquitectura general de un objeto de solicitud:

    Request object architectureRequest object architecturede arquitectura de objetos de solicitud de

    Cada objeto de solicitud tiene una propiedad de estado para indicar el estado de procesamiento. Las solicitudes de procesamiento pueden requerir la interacción manual para completar una solicitud. Por ejemplo, el propietario de un grupo podría ser necesario para aprobar manualmente la solicitud de otro usuario para unirse a un grupo. Además de una interacción manual, también puede configurar MIM para procesar automáticamente una solicitud específica sin necesidad de interacción humana.

modelo de procesamiento de solicitudes: el modelo de procesamiento de solicitudes en MIM se compone de tres fases principales:

  • Fase 1: Autenticación

  • Fase 2: Autorización

  • Fase 3: Acción

    Los flujos de trabajo, cada uno de los cuales contiene una o varias actividades, se pueden adjuntar a cada una de estas fases y ejecutarse en el contexto de ejecutar una única solicitud. Una solicitud puede iniciarse desde una sola llamada de usuario a uno de los puntos de conexión del servicio web o a través de un usuario que crea una solicitud en el portal de MIM.

    En la ilustración siguiente se muestra la relación de los componentes de procesamiento de solicitudes:

    Relación de componentes de procesamiento de solicitudes

    Las solicitudes se procesan en el orden siguiente:

  • Creación de objetos de solicitud: MIM 2016 crea un objeto de solicitud en respuesta a una llamada a uno de los puntos de conexión del servicio web o debido a una solicitud iniciada a través del portal de MIM.

  • Evaluación de MPR: los derechos del solicitante para solicitar la acción se validan y se realiza el cálculo de los flujos de trabajo aplicables. La solicitud se comprueba con las asignaciones a cualquier objeto MPR. Para asignar a un MPR, todos los campos aplicables de MPR para la operación solicitada deben coincidir. Esto incluye el solicitante, la operación, el recurso de destino y los atributos. Si todas estas condiciones, incluidos los atributos que se ven afectados, son true para una solicitud entrante, el MPR adecuado coincide con la solicitud. Una solicitud debe asignarse a al menos un MPR que conceda el permiso como parte de su definición. Si esto es true, la solicitud pasa a través de la fase de comprobación de permisos del procesamiento de solicitudes. Si esto no es true, se produce un error en la solicitud. El sistema también determina las transiciones establecidas que forman parte de la solicitud y localiza todos los MPR basados en la transición del conjunto relacionado.

  • Autenticación: MIM 2016 ejecuta flujos de trabajo de autenticación de uno en uno en un orden no determinista para confirmar la identidad del solicitante.

  • Autorización: MIM 2016 confirma el permiso del solicitante para realizar la operación solicitada en el recurso especificado en la solicitud. Todos los flujos de trabajo de autorización dependientes se ejecutan en paralelo, pero una solicitud no se confirma en el almacén de objetos de MIM a menos que se hayan completado todos los flujos de trabajo y todos se hayan realizado correctamente.

  • Procesamiento: MIM 2016 realiza la operación solicitada en el almacén de aplicaciones de MIM.

  • Acción: MIM 2016 ejecuta todos los procesos que se van a producir debido a la operación solicitada. Todos los flujos de trabajo de acción se ejecutan en paralelo. Las operaciones de lectura no tienen ningún flujo de trabajo aplicado al procesamiento. Esto incluye los flujos de trabajo configurados en RMPR, así como los flujos de trabajo de los MPR basados en transición establecidos.

    Nota:

    Las solicitudes iniciadas por la cuenta de sincronización omiten todos los flujos de trabajo de autenticación y autorización que serían aplicables a ellos. Se aplican todos los flujos de trabajo de acción aplicables.

solicitante: la identidad del usuario o servicio que ha enviado una solicitud a MIM 2016.

ámbito del solicitante: una colección configurada de usuarios que pueden enviar una solicitud. Puede ser "todos" o un conjunto específico de usuarios definidos por un filtro.

de recursos: una instancia de un tipo de recurso determinado en MIM 2016. Cada recurso se identifica de forma única mediante su atributo ObjectID (ResourceID).

configuración de visualización del control de recursos (RCDC): los RCDC son recursos de configuración que se usan para representar la interfaz de usuario en el Control de recursos (RC) para crear un tipo de recurso específico en MIM 2016.

conjunto actual de recursos: parte de la definición de la condición de reglas de directiva de administración (MPR). Colección de recursos de destino en el momento en que se recibe la solicitud. Se aplica a los tipos de operación de lectura, eliminación y modificación.

conjunto final de recursos: parte de la definición de condición en las reglas de directiva de administración. Colección de recursos de destino después de procesar la solicitud. Solo se aplica a los tipos de operaciones de creación y modificación.

jerarquía de recursos: en un servicio de directorio, la jerarquía de una entrada de recursos es la colección de entradas de directorio entre la base de un contexto de nomenclatura y esa entrada de recursos.

ámbito de recursos: un conjunto de recursos sobre los que se puede enviar una solicitud.

tipo de recurso: parte de un esquema que define la representación de un recurso en MIM 2016.

asignación de tipos de recursos: una relación entre un tipo de recurso usado para representar un recurso en MIM 2016 y una clase de recurso usada para representar ese recurso en el metaverso.

rol: una entidad de seguridad asignada por la organización que se usa para administrar los derechos de acceso.

extensión de reglas: una extensión de reglas es una biblioteca de vínculos dinámicos (.dll) que contiene un conjunto definido de reglas para administrar datos. Puede usar extensiones de reglas durante las sincronizaciones para ampliar la funcionalidad. Por ejemplo, puede usar una extensión de reglas para combinar datos de dos atributos de origen y fluirlos a un atributo de destino (por ejemplo, sn y givenName en displayName).

historial de ejecución: conjunto de estadísticas que muestran los resultados de una sola ejecución de un agente de administración.

perfil de ejecución: un perfil de ejecución representa un conjunto de pasos que especifican cómo ejecutar un agente de administración y las opciones de configuración que determinan cómo se ejecuta un agente de administración. Un agente de administración puede tener varios perfiles de ejecución, que se almacenan con el agente de administración. Un perfil de ejecución se compone de al menos un paso de perfil de ejecución.

S

carpeta de búsqueda: vea la entrada "carpeta de búsqueda de aprobaciones".

ámbito de búsqueda: especifica las propiedades de un contexto de búsqueda determinado que un usuario puede realizar desde el portal de MIM 2016. Por ejemplo, un usuario podría seleccionar un ámbito de búsqueda en una lista desplegable para "Todos los usuarios", "Todas las listas de distribución", "Mis aprobaciones pendientes" y los resultados de la búsqueda se restringirían a los elementos que cumplen esos criterios además de los términos de búsqueda especificados por el usuario.

descriptor de seguridad: estructura y datos asociados que contienen la información de seguridad de un recurso protegible. Un descriptor de seguridad identifica el propietario y el grupo principal del recurso. También puede contener una DACL que controla el acceso al recurso y una SACL que controla el registro de intentos de acceso al recurso.

entidad de seguridad: una identidad que se usa para la administración de seguridad, como una cuenta de usuario, que puede autenticarse en un servicio.

token de seguridad: un elemento de protocolo que transfiere la información de autenticación y autorización, en función de una credencial. En los protocolos de servicios web, un token de seguridad se representa como un elemento XML en un encabezado SOAP, tal como se define en WS-Security.

servicio de token de seguridad: un servicio que implementa el protocolo WS-Trust para administrar la confianza entre clientes y servicios en función del intercambio de tokens de seguridad.

flujo de trabajo secuencial: todos los flujos de trabajo de MIM 2016 se derivan del flujo de trabajo secuencial de Windows Workflow Foundation. Incluye varios flujos de trabajo en un orden secuencial.

cuenta de servicio: una cuenta de Windows asignada para que la use un servicio de Windows, en lugar de ser utilizada por un usuario para iniciar sesión en un sistema informático. Representa la cuenta del sistema de MIM.

Establecer: colección con nombre de recursos. Normalmente, los conjuntos se usan para organizar los recursos en función de las reglas. La pertenencia a un conjunto se administra manualmente o se basa en criterios. Esto significa que puede agregar manualmente recursos a un conjunto y definir criterios que agregan recursos automáticamente a un conjunto en función de una instrucción de filtro. Cuando un recurso cumple los criterios de filtro, se agrega automáticamente al conjunto relacionado.

Establecer regla de directiva de administración de transición (TMPR): una regla de directiva de administración que se aplica a los cambios en la pertenencia de un conjunto. Establecer TMPR aplica flujos de trabajo de acción cuando se realiza la transición de objetos a un conjunto especificado o fuera de un conjunto especificado en MPR.

Hay dos tipos de TMPR:

  • Transición en: un recurso se convierte en miembro del conjunto de transición.

  • Transición fuera: un recurso deja el conjunto de transición.

    Nota:

    Cuando se elimina un conjunto de transición, el sistema trata la eliminación como un evento de transición para los objetos afectados.

    La respuesta es una reacción a un cambio de estado aplicado. Cuando se invoca el MPR relacionado, la condición ya se ha aplicado. Esto significa que los recursos afectados ya han pasado a o no a un conjunto de transición. En el caso de los TMPR, el objetivo de la respuesta no es definir la reacción a una operación solicitada, sino definir la respuesta a una operación aplicada. En otras palabras, para un MPR basado en transición establecido, es irrelevante cómo se alcanzó un estado. Lo que es relevante son las consecuencias de un cambio de estado.

    Al configurar un MPR basado en transición establecido en MIM, debe especificar las tres opciones siguientes:

  • Conjunto de transición

  • Tipo de transacción

  • Flujos de trabajo de directiva

    Los flujos de trabajo de directiva son definiciones de los procesos que deben invocarse en respuesta al cambio de estado. Los casos de uso más comunes para los MPR basados en estado son la concesión o revocación de derechos y aprovisionamiento y desaprovisionamiento en orígenes de datos externos.

    En la ilustración siguiente se describe la arquitectura completa de un MPR basado en transición establecido:

    set TMPR architecture

    Las solicitudes activan los MPR basados en transición. Cuando un RMPR procesa y aprueba una solicitud, el servicio MIM también determina si una solicitud aprobada da como resultado una transición de estado y si existe un MPR basado en transición de estado que controla el cambio de estado.

    En la ilustración siguiente se describe la relación entre una solicitud y un MPR basado en transición establecido:

    relación entre una solicitud y un conjunto de TMPR

SID: un valor único que se usa para identificar una cuenta de usuario, una cuenta de grupo o una sesión de inicio de sesión.

SOAP: protocolo para intercambiar información estructurada entre componentes de software.

sincronización: el proceso de mantener los datos seleccionados en varios orígenes de datos de acuerdo. La sincronización representa las operaciones en objetos únicamente dentro de MIM. La sincronización puede ser una operación en todo el conjunto de datos para los que se define en un agente de administración o una operación delta según los cambios desde la última operación conocida. El paso de perfil de ejecución de sincronización define los procesos de sincronización entrantes y salientes.

El paso de perfil de ejecución de sincronización tiene dos subtipos:

  • Sincronización diferencial

  • Sincronización completa

    Durante la sincronización diferencial, MIM solo procesa objetos importados, que son los objetos de almacenamiento provisional marcados como importación pendiente. Este paso de perfil de ejecución es útil para procesar solo los objetos que tienen cambios pendientes, pero no se procesaron durante una ejecución de sincronización anterior.

    La sincronización delta se usa en dos perfiles de ejecución predefinidos y se comporta ligeramente de forma diferente en cada uno de ellos. El primer perfil de ejecución es Sincronización diferencial, donde no se realiza ninguna importación desde ningún origen conectado, pero se evalúan todos los objetos del espacio del conector y se procesan todos los objetos con cambios pendientes. El segundo perfil de ejecución es Importación diferencial y Sincronización diferencial combinada. Este perfil de ejecución importa solo los objetos y atributos del origen de datos conectado cuyos valores han cambiado desde la última vez que se ejecutó el agente de administración. Las reglas del agente de administración solo se vuelven a aplicar a los objetos que tienen cambios pendientes de la importación diferencial. No se evalúan los objetos sin cambios pendientes de esa importación diferencial.

    Durante la sincronización completa, MIM evalúa y aplica reglas de sincronización a todos los objetos de almacenamiento provisional de un espacio conector. La sincronización completa debe iniciarse siempre que se hayan aplicado cambios a las reglas de un entorno determinado. Según el número de objetos del espacio del conector, puede ser una operación de tiempo y uso intensivo de recursos, por lo que se deben evitar los cambios frecuentes en las reglas de sincronización del entorno de producción.

filtro de sincronización: un filtro para evitar que los recursos del metaverso se transfieran a la base de datos de MIM 2016.

regla de sincronización: regla para fluir información de recursos entre el servidor MIM (incluido el motor de sincronización de MIM) y el sistema externo conectado.

T

directiva temporal: un MPR de transición establecido que está enlazado a un conjunto temporal. La directiva se aplica en el paso del tiempo, a medida que los objetos pasan y salen del conjunto en función de la definición del conjunto temporal.

conjunto temporal: tipo de un objeto set basado en fechas relativas. Los conjuntos temporales proporcionan un mecanismo que puede automatizar completamente el proceso de transición hacia o fuera de un conjunto en función del paso del tiempo. Por ejemplo, se puede definir un conjunto temporal para todos los grupos que expiran una semana a partir de hoy. El sistema evalúa automáticamente los objetos del sistema y los agrega a este conjunto de forma diaria. Otros ejemplos permiten definiciones dinámicas de una referencia de tiempo, como un filtro basado en "x días de hoy".

evento con tiempo: se ha alcanzado un evento de transición que se produce después de que haya transcurrido un intervalo de tiempo configurado o se haya alcanzado una fecha y hora específicas.

tiempo de espera: un período de tiempo en el que MIM 2016 espera respuestas de aprobación hasta que se escala una actividad.

conjunto de transición: un conjunto que se usa en una definición de una regla de directiva de administración de set transition. La directiva se aplica a los cambios en la pertenencia a conjuntos, que pueden ser objetos que entran o salen del conjunto, en función de la configuración de TMPR.

U

grupo desbloqueado: un grupo en el que los usuarios que no sean el propietario del grupo pueden cambiar la pertenencia al grupo.

grupo universal: un grupo con ámbito universal es un grupo de Active Directory que puede contener miembros de un bosque determinado. Se pueden asignar permisos a un grupo universal en cualquier dominio o bosque. Las listas de distribución suelen tener ámbito universal.  Un grupo de seguridad con ámbito universal puede proteger los recursos dentro del mismo bosque.

solicitud de actualización: solicitud para cambiar los atributos de un recurso.

palabra clave de uso: se usa una palabra clave usage para determinar qué ámbitos de búsqueda se muestran para una página específica en la interfaz de usuario del portal. Cada página de vista de lista de la interfaz de usuario especifica cero o más palabras clave de uso y la interfaz de usuario de esa página incluye todos los ámbitos de búsqueda que contienen palabras clave coincidentes. Al crear ámbitos de búsqueda, los clientes pueden especificar cero o más palabras clave por ámbito de búsqueda, para personalizar qué ámbitos de búsqueda aparecen para una página determinada en la interfaz de usuario. También se usa para determinar qué recurso de página principal y recurso de barra de navegación se muestra a qué conjunto de usuarios. También se usa en la administración de esquemas para proteger y etiquetar los elementos de esquema que necesitan varios componentes de MIM.

W

portal web: una interfaz de usuario implementada por una aplicación de software a través de un componente de un servidor web, como IIS.

servicio web: una interfaz de protocolo para un servicio implementado mediante un protocolo basado en HTTP.

flujo de trabajo: un flujo de trabajo es un conjunto de unidades elementales denominadas actividades que se almacenan como un modelo que describe un proceso real. Los flujos de trabajo proporcionan una manera de describir el orden y las relaciones dependientes entre los elementos de trabajo. Este trabajo pasa por el modelo de principio a fin y las actividades pueden realizarse por personas o por funciones del sistema. En otras palabras, si una respuesta a una solicitud requiere un procesamiento complejo, los pasos se encapsulan en un objeto de flujo de trabajo. Los flujos de trabajo son componentes opcionales y están estrechamente vinculados a mpR. Los flujos de trabajo definen una actividad o actividades que deben producirse durante el procesamiento de un MPR. MIM instala varios flujos de trabajo predeterminados que se pueden usar tal cual o como base para un flujo de trabajo personalizado.

Algunos ejemplos de actividades de flujo de trabajo son:

  • Enviar un mensaje de correo electrónico automatizado para solicitar la aprobación.

  • Restricción de los atributos que un usuario puede ver durante una búsqueda personalizada.

  • Validación de un nuevo grupo con instrucciones de AD DS o MIM.

  • Agregar o quitar el objeto del ámbito de una regla de sincronización.

    Para abordar todos los requisitos de procesamiento del entorno, la arquitectura de MIM define tres tipos de flujos de trabajo:

  • Autenticación: realiza una validación de identidad de usuario adicional antes de continuar con la solicitud.

  • Autorización: valida una solicitud a través de una secuencia de actividades, como obtener la aprobación necesaria fuera de la aprobación antes de procesar una solicitud.

  • Acción: procesa todas las actividades posteriores después de que la solicitud original se haya completado correctamente.

    Estos tres flujos de trabajo forman parte del modelo de procesamiento de solicitudes.

definición de flujo de trabajo: la definición de flujo de trabajo se almacena en el formato XOML definido por Windows Workflow Foundation (WF). Esto define las actividades, los parámetros de las actividades y el orden en que se deben ejecutar.

diseñador de flujos de trabajo: la experiencia en tiempo de diseño para la construcción de flujos de trabajo.

host de flujo de trabajo: componente de servidor que trata la ejecución de flujos de trabajo. En MIM 2016, el servicio MIM 2016 es el host de flujo de trabajo.

instancia de flujo de trabajo: una instancia en ejecución de una definición de flujo de trabajo como efecto de una solicitud.

administración de flujos de trabajo: una característica de MIM 2016 que trata de diseñar flujos de trabajo, ejecutarlos y administrarlos. La administración de flujos de trabajo consta del Diseñador de flujos de trabajo, la administración de solicitudes y el host de flujo de trabajo.