Guide pratique pour approvisionner des utilisateurs dans les services AD DS
S’applique à : Microsoft Identity Manager 2016 SP1 (MIM)
L’une des exigences de base d’un système de gestion des identités est la capacité à approvisionner des ressources dans un système externe.
Ce guide présente les blocs de construction principaux qui interviennent dans le processus d’approvisionnement d’utilisateurs de Microsoft® Identity Manager (MIM) 2016 vers les Services de domaine Active Directory® (AD DS), explique comment vérifier si votre scénario fonctionne comme prévu, propose des suggestions pour la gestion des utilisateurs Active Directory à l’aide de MIM 2016, et fournit des sources d’informations supplémentaires.
Avant de commencer
Dans cette section, vous trouverez des informations sur la portée de ce document. En règle générale, les guides pratiques sont destinés aux lecteurs qui ont déjà une expérience de base du processus de synchronisation des objets avec MIM tel qu’indiqué dans les guides Bien démarrer.
Public visé
Ce guide est destiné aux professionnels de l’informatique ayant déjà une connaissance élémentaire du fonctionnement du processus de synchronisation MIM et qui souhaitent acquérir une expérience pratique et obtenir davantage d’informations conceptuelles sur des scénarios spécifiques.
Connaissances requises
Ce document part du principe que vous avez accès à une instance en cours d’exécution de MIM et une expérience préalable de la configuration des scénarios de synchronisation simples comme indiqué dans les documents suivants :
Le contenu de ce document est une extension de ces documents de présentation.
Étendue
Le scénario décrit dans ce document a été simplifié afin de répondre aux exigences d’un environnement de laboratoire de base. L’objectif est de vous aider à comprendre les concepts et les technologies abordés.
Ce document vous aide à développer une solution qui implique la gestion des groupes dans les services AD DS à l’aide de MIM.
Durée
Les procédures décrites dans ce document nécessitent de 90 à 120 minutes.
Ces estimations partent du principe que l’environnement de test est déjà configuré. Elles n’incluent pas le temps nécessaire pour configurer l’environnement de test.
Description du scénario
Fabrikam, une société fictive, envisage d’utiliser MIM pour gérer les comptes d’utilisateur dans les services AD DS de l’entreprise. Dans le cadre de ce processus, Fabrikam doit approvisionner des utilisateurs dans les services AD DS. Pour démarrer les tests initiaux, Fabrikam a installé un environnement de laboratoire de base comprenant MIM et les services AD DS. Dans cet environnement de laboratoire, Fabrikam teste un scénario dans lequel un utilisateur a été créé manuellement dans le portail MIM. L’objectif de ce scénario consiste à approvisionner l’utilisateur en tant qu’utilisateur activé avec un mot de passe prédéfini dans les services AD DS.
Conception du scénario
Pour utiliser ce guide, vous avez besoin de trois composants architecturaux :
Contrôleur de domaine Active Directory
Ordinateur exécutant le service de synchronisation FIM
Ordinateur exécutant le portail FIM
L’illustration suivante présente l’environnement requis.
Vous pouvez exécuter tous les composants sur un même ordinateur.
Notes
Pour plus d’informations sur la configuration de MIM, consultez le Guide d’Installation de FIM.
Liste des composants du scénario
Le tableau suivant répertorie les composants qui font partie du scénario de ce guide.
| Icône | Composant | Description |
|---|---|---|
 |
Unité d'organisation | Objets MIM : unité d’organisation (UO) utilisée comme cible pour les utilisateurs approvisionnés. |
 |
Comptes d'utilisateurs | · ADMA : compte d’utilisateur Active Directory disposant de droits suffisants pour se connecter à AD DS. · FIMMA : compte d’utilisateur Active Directory disposant de droits suffisants pour se connecter à MIM. |
 |
Agents de gestion et profils d’exécution | · Fabrikam ADMA : agent de gestion qui échange des données avec AD DS. · Fabrikam FIMMA - Agent de gestion qui échange des données avec MIM. |
 |
Règles de synchronisation | Règle de synchronisation sortante de groupe Fabrikam : règle de synchronisation sortante qui approvisionne des utilisateurs dans les services AD DS. |
 |
Groupes | Tous les fournisseurs : ensemble avec appartenance dynamique pour tous les objets ayant Fournisseur comme valeur d’attribut EmployeeType. |
 |
Workflows | Workflow d’approvisionnement AD : workflow ayant pour objet de mettre l’utilisateur MIM dans la portée de la règle de synchronisation sortante AD. |
 |
Règles de stratégie de gestion | Règle de stratégie de gestion d’approvisionnement AD : règle de stratégie de gestion (MPR) déclenchée quand une ressource devient membre de l’ensemble Tous les fournisseurs. |
 |
Utilisateurs MIM | Britta Simon : utilisateur MIM que vous approvisionnez dans les services AD DS. |
Étapes du scénario
Le scénario décrit dans ce guide est constitué des blocs de construction indiqués dans la figure suivante.
Configuration des systèmes externes
Dans cette section, vous trouverez des instructions pour les ressources que vous devez créer en dehors de votre environnement MIM.
Étape 1 : Créer l’unité d’organisation
Vous avez besoin de l’unité d’organisation comme conteneur pour l’utilisateur approvisionné. Pour plus d’informations sur la création des unités d’organisation, consultez Créer une unité d’organisation.
Créez une unité d’organisation nommée ObjetsMIM dans vos services Active Directory.
Étape 2 : Créer les comptes d’utilisateur Active Directory
Pour le scénario de ce guide, vous avez besoin de deux comptes d’utilisateur Active Directory :
ADMA : utilisé par l’agent de gestion Active Directory.
FIMMA : utilisé par l’agent de gestion du service FIM.
Dans les deux cas, il suffit de créer des comptes d’utilisateur standard. Vous trouverez des informations supplémentaires sur les exigences spécifiques de ces deux comptes plus loin dans ce document. Pour plus d’informations sur la création d’utilisateurs, consultez Créer un compte d’utilisateur.
Configuration du service de synchronisation FIM
Pour les étapes de configuration de cette section, vous devez démarrer le Synchronization Service Manager FIM.
Création des agents de gestion
Pour le scénario de ce guide, vous devez créer deux agents de gestion :
Fabrikam ADMA : agent de gestion pour les services AD DS.
Fabrikam FIMMA : agent de gestion pour le service FIM.
Étape 3 : Créer l’agent de gestion Fabrikam ADMA
Quand vous configurez un agent de gestion pour les services AD DS, vous devez spécifier un compte utilisé par l’agent de gestion lors de l’échange de données avec les services AD DS. Vous devez utiliser un compte d’utilisateur standard. Toutefois, pour importer des données à partir des services AD DS, il faut que le compte ait le droit d’interroger les modifications à partir du contrôle DirSync. Si vous souhaitez que votre agent de gestion exporte des données vers les services AD DS, vous devez accorder au compte des droits suffisants sur les unités d’organisation cibles. Pour plus d’informations à ce sujet, consultez cet article relatif à la configuration du compte ADMA.
Pour créer un utilisateur dans les services AD DS, vous devez diffuser le nom unique de l’objet. Nous vous conseillons aussi de diffuser le prénom, le nom et le nom d’affichage pour être sûr que vos objets soient détectables.
Dans les services AD DS, les utilisateurs emploient encore couramment l’attribut sAMAccountName pour se connecter au service d’annuaire. Si vous ne spécifiez pas de valeur pour cet attribut, le service d’annuaire génère une valeur aléatoire. Toutefois, ces valeurs aléatoires ne sont pas conviviales. C’est pourquoi une version conviviale de cet attribut fait généralement partie d’une exportation vers les services AD DS. Pour permettre à un utilisateur de se connecter aux services AD DS, vous devez également inclure un mot de passe créé à l’aide de l’attribut unicodePwd dans votre logique d’exportation.
Notes
Vérifiez que la valeur que vous spécifiez comme unicodePwd est conforme aux stratégies de mot de passe de vos services AD DS cibles.
Quand vous définissez un mot de passe pour les comptes AD DS, vous devez également créer un compte en tant que compte activé. Pour cela, vous devez définir l’attribut userAccountControl. Pour plus d’informations sur l’attribut userAccountControl, consultez cet article relatif à l’utilisation de FIM pour activer ou désactiver des comptes dans Active Directory.
Le tableau suivant répertorie les paramètres propres au scénario les plus importants que vous devez configurer.
| Page de concepteur de l’agent de gestion | Configuration |
|---|---|
| Créer un agent de gestion | 1. Agent de gestion pour : AD DS 2. Nom : Fabrikam ADMA |
| Se connecter à une forêt Active Directory | 1. Sélectionnez les partitions d’annuaire : « DC=Fabrikam,DC=com » 2. Cliquez sur Conteneurs pour ouvrir la boîte de dialogue Sélectionner des conteneurs et vérifier que MIMObjects est la seule unité d’organisation sélectionnée. |
| Sélectionner des types d’objets | Outre les types d’objets déjà sélectionnés, sélectionnez utilisateur. |
| Sélectionner des attributs | 1. Cliquez sur Afficher tout. 2. Sélectionnez les attributs suivants : ° displayName ° givenName ° sn ° SamAccountName ° unicodePwd ° userAccountControl |
Pour plus d’informations, consultez les rubriques d’aide suivantes :
- Créer un agent de gestion
- Se connecter à une forêt Active Directory
- Utilisation de l’agent de gestion pour Active Directory
- Configurer des partitions d'annuaire
Notes
Vérifiez qu’une règle de flux de valeur d’attribut d’importation est configurée pour l’attribut ExpectedRulesList.
Étape 4 : Créer l’agent de gestion Fabrikam FIMMA
Quand vous configurez un agent de gestion pour le service FIM, vous devez spécifier un compte utilisé par l’agent de gestion lors de l’échange de données avec le service FIM.
Vous devez utiliser un compte d’utilisateur standard. Il doit s’agir du même compte que celui spécifié lors de l’installation de MIM. Pour obtenir un script que vous pouvez utiliser pour déterminer le nom du compte FIMMA que vous avez spécifié lors de l’installation et pour vérifier si ce compte est toujours valide, consultez Using Windows PowerShell to Do a FIM MA Account Configuration Quick Test (Utilisation de Windows PowerShell pour effectuer un rapide test de configuration du compte de l’agent de gestion FIM).
Le tableau suivant répertorie les paramètres propres au scénario les plus importants que vous devez configurer. Créez l’agent de gestion sur la base des informations fournies dans le tableau ci-dessous.
| Page de concepteur de l’agent de gestion | Configuration |
|---|---|
| Créer un agent de gestion | 1. Agent de gestion pour : Agent de gestion des services FIM 2. Nommez Fabrikam FIMMA |
| Connecter à la base de données | Utilisez les paramètres suivants : · Serveur : localhost · Base: FIMService · Adresse de base du service FIM :http://localhost:5725 Fournissez les informations sur le compte que vous avez créé pour cet agent de gestion. |
| Sélectionner des types d’objets | Outre les types d’objets déjà sélectionnés, sélectionnez Personne. |
| Configurer les mappages de types d’objets | Outre les mappages de types d’objets existants, ajoutez un mappage pour la personne Type d’objet Source de données à la personne Type d’objet Métaverse. |
| Configurer un flux de valeur d'attribut | Outre les mappages de flux de valeur d’attribut existants, ajoutez les mappages de flux de valeur d’attribut suivants : |
Pour plus d’informations, consultez les rubriques d’aide suivantes :
Créer un agent de gestion
Se connecter à une base de données Active Directory
Utilisation de l’agent de gestion pour Active Directory
Configurer des partitions d'annuaire
Notes
Vérifiez qu’une règle de flux de valeur d’attribut d’importation est configurée pour l’attribut ExpectedRulesList.
Étape 5 : Créer les profils d’exécution
Le tableau suivant répertorie les profils d’exécution que vous devez créer pour le scénario de ce guide.
| Agent de gestion | Profil d’exécution |
|---|---|
| Fabrikam ADMA | 1. Importation complète 2. Synchronisation complète 3. Importation delta 4. Synchronisation delta 5. Exporter |
| Fabrikam FIMMA | 1. Importation complète 2. Synchronisation complète 3. Importation delta 4. Synchronisation delta 5. Exporter |
Créez des profils d’exécution pour chaque agent de gestion conformément au tableau précédent.
Notes
Pour plus d’informations, consultez la rubrique Créer un profil d’exécution d’agent de gestion dans l’aide de MIM.
Important
Vérifiez que l’approvisionnement est activé dans votre environnement. Pour ce faire, exécutez le script à l’aide de Windows PowerShell pour activer l’approvisionnement (https://go.microsoft.com/FWLink/p/?LinkId=189660).
Configuration du service FIM
Pour le scénario de ce guide, vous devez configurer une stratégie d’approvisionnement, comme indiqué dans l’illustration suivante.
L’objectif de cette stratégie d’approvisionnement consiste à mettre des groupes dans la portée de la règle de synchronisation sortante des utilisateurs Active Directory. Quand vous mettez votre ressource dans la portée de la règle de synchronisation, vous permettez au moteur de synchronisation d’approvisionner vos ressources dans les services AD DS conformément à votre configuration.
Pour configurer le service FIM, accédez dans Windows Internet Explorer ® àhttp://localhost/identitymanagement. Dans la page du portail MIM, pour créer la stratégie d’approvisionnement, accédez aux pages connexes à partir de la section Administration. Pour vérifier votre configuration, vous devez exécuter le script fourni dans Using Windows PowerShell to document your provisioning policy configuration (Utilisation de Windows PowerShell pour documenter votre configuration de stratégie d’approvisionnement).
Étape 6 : Créer la règle de synchronisation
Les tableaux suivants présentent la configuration de la règle de synchronisation Approvisionnement Fabrikam requise. Créez la règle de synchronisation conformément aux données fournies dans les tableaux suivants.
| Configuration de la règle de synchronisation | Paramètre |
|---|---|
| Nom | Règle de synchronisation sortante des utilisateurs Active Directory |
| Description | |
| Priorité | 2 |
| Direction du flux de données | Règle de trafic sortant |
| Dépendance |
| Étendue | Paramètre |
|---|---|
| Type de ressource de métaverse | personne |
| Système externe | Fabrikam ADMA |
| Type de ressource système externe | utilisateur |
| Relation | Paramètre |
|---|---|
| Créer une ressource dans le système externe | True |
| Activer l’annulation de mise en service | False |
| Critères de relation | Paramètre |
|---|---|
| Attribut ILM | Attribut de source de données |
| Attribut de source de données | sAMAccountName |
| Flux de valeur d’attribut sortants initiaux | Paramètre 1 | Paramètre 2 |
|---|---|---|
| Null autorisé | Destination | Source |
| false | dn | +(« CN= »,displayName, »,OU=MIMObjects,DC=fabrikam,DC=com ») |
| false | userAccountControl | Constante : 512 |
| false | unicodePwd | Constante : P@$$W 0rd |
| Flux de valeur d’attribut sortants persistants | Paramètre 1 | Paramètre 2 |
|---|---|---|
| Null autorisé | Destination | Source |
| false | sAMAccountName | accountName |
| false | displayName | displayName |
| false | givenName | firstName |
| false | sn | lastName |
Notes
Important : Vérifiez que vous avez sélectionné Flux initial uniquement pour le flux de valeur d’attribut ayant le DN comme destination.
Étape 7 : Créer le workflow
L’objectif du workflow d’approvisionnement Active Directory consiste à ajouter la règle de synchronisation Approvisionnement Fabrikam à une ressource. Les tableaux suivants présentent la configuration. Créez un workflow conformément aux données fournies dans les tableaux ci-dessous.
| Configuration de workflow | Paramètre |
|---|---|
| Nom | Workflow d’approvisionnement d’utilisateurs Active Directory |
| Description | |
| Type de workflow | Action |
| Exécution lors de la mise à jour de la stratégie | False |
| Règle de synchronisation | Paramètre |
|---|---|
| Nom | Règle de synchronisation sortante des utilisateurs Active Directory |
| Action | Ajouter |
Étape 8 : Créer la MPR
La MPR requise est de type Transition définie. Elle est déclenchée quand une ressource devient membre de l’ensemble Tous les fournisseurs. Les tableaux suivants présentent la configuration. Créez une MPR conformément aux données fournies dans les tableaux ci-dessous.
| Configuration de MPR | Paramètre |
|---|---|
| Nom | Règle de stratégie de gestion d’approvisionnement des utilisateurs Active Directory |
| Description | |
| Type | Transition définie |
| Accorde les autorisations | False |
| Désactivé | False |
| Définition de la transition | Paramètre |
|---|---|
| Type de transition | Transition entrante |
| Ensemble de transitions | Tous les fournisseurs |
| Workflows de stratégie | Paramètre |
|---|---|
| Type | Action |
| Nom d’affichage | Workflow d’approvisionnement d’utilisateurs Active Directory |
Initialisation de votre environnement
Les objectifs de la phase d’initialisation sont les suivants :
Placer votre règle de synchronisation dans le métaverse.
Placer votre structure Active Directory dans l’espace de connecteur Active Directory.
Étape 9 : Exécuter les profils d’exécution
Le tableau suivant répertorie les profils d’exécution qui font partie de la phase d’initialisation. Exécutez les profils d’exécution conformément au tableau ci-dessous.
| Exécuter | Agent de gestion | Profil d’exécution |
|---|---|---|
| 1 | Fabrikam FIMMA | Importation intégrale |
| 2 | Synchronisation complète | |
| 3 | Exporter | |
| 4 | Importation différentielle | |
| 5 | Fabrikam ADMA | Importation intégrale |
| 6 | Synchronisation complète |
Notes
Vous devez vérifier que votre règle de synchronisation sortante a été correctement projetée dans le métaverse.
Test de la configuration
L’objectif de cette section est de tester votre configuration actuelle. Pour tester la configuration, vous allez :
Créer un exemple d’utilisateur dans le portail FIM
Vérifier les conditions d’approvisionnement de l’exemple d’utilisateur
Approvisionner l’exemple d’utilisateur dans les services AD DS
Vérifier que l’utilisateur existe dans les services AD DS
Étape 10 : Créer un exemple d’utilisateur dans MIM
Le tableau suivant répertorie les propriétés de l’exemple d’utilisateur. Créez un exemple d’utilisateur conformément aux données fournies dans le tableau ci-dessous.
| Attribut | Valeur |
|---|---|
| Prénom | Britta |
| Nom | Simon |
| Nom d’affichage | Britta Simon |
| Nom du compte | BSimon |
| Domaine | Fabrikam |
| Type d’employé | Contractor |
Vérifier les conditions d’approvisionnement de l’exemple d’utilisateur
Pour approvisionner l’exemple d’utilisateur dans les services AD DS, deux conditions préalables doivent être remplies :
L’utilisateur doit être membre de l’ensemble Tous les fournisseurs.
L’utilisateur de l’ensemble doit être dans la portée de la règle de synchronisation sortante.
Étape 11 : Vérifier que l’utilisateur est membre de Tous les fournisseurs
Pour vérifier si l’utilisateur est membre de l’ensemble Tous les fournisseurs, ouvrez l’ensemble, puis cliquez sur Afficher les membres.
Étape 12 : Vérifier que l’utilisateur est dans la portée de la règle de synchronisation sortante
Pour vérifier si l’utilisateur se trouve dans l’étendue de la règle de synchronisation, ouvrez la page de propriétés de l’utilisateur et passez en revue l’attribut Liste des règles attendues sous l’onglet Approvisionnement. L’attribut Liste des règles attendues doit répertorier l’utilisateur AD
Règle de synchronisation sortante. La capture d’écran suivante montre un exemple d’attribut Liste de règles attendues.
À ce stade du processus, l’État de la règle de synchronisation est En attente. Cela signifie que la règle de synchronisation n’a pas encore été appliquée à l’utilisateur.
Étape 13 : Synchroniser l’exemple de groupe
Avant de commencer le premier cycle de synchronisation pour un objet de test, vous devez suivre l’état attendu de votre objet après chaque profil d’exécution que vous exécutez dans un plan de test. Votre plan de test doit aussi inclure, à côté de l’état général de votre objet (création, mise à jour ou suppression) les valeurs d’attribut que vous attendez. Utilisez votre plan de test pour vérifier vos attentes. Si une étape ne produit pas les résultats attendus, ne passez pas à l’étape suivante tant que vous n’avez pas trouvé la cause de l’écart entre le résultat escompté et le résultat réel.
Pour vérifier vos attentes, vous pouvez utiliser les statistiques de synchronisation comme indicateur initial. Par exemple, si vous vous attendez à ce que de nouveaux objets figurent dans un espace de connecteur, mais que les statistiques ne signalent aucun ajout, il est évident que quelque chose dans votre environnement ne fonctionne pas comme prévu.
Bien que les statistiques de synchronisation puissent vous donner une première indication quant au fonctionnement de votre scénario, vous devez utiliser l’espace connecteur de recherche et la fonctionnalité de recherche de métaverse de Synchronization Service Manager pour vérifier les valeurs d’attribut attendues.
Pour synchroniser l’utilisateur dans les services AD DS
Importez l’utilisateur dans l’espace connecteur FIM MA.
Projetez l’utilisateur dans le métaverse.
Approvisionnez l’utilisateur dans l’espace connecteur Active Directory.
Exportez les informations d’état dans FIM.
Exportez l’utilisateur dans les services AD DS.
Confirmez la création de l’utilisateur.
Pour accomplir ces tâches, vous exécutez les profils d’exécution suivants.
| Agent de gestion | Profil d’exécution |
|---|---|
| Fabrikam FIMMA | 1. Importation delta 2. Synchronisation delta 3. Exporter 4. Importation delta |
| Fabrikam FIMMA | 1. Exporter 2. Importation Delta |
Après l’importation à partir de la base de données du service FIM, Britta Simon et l’objet ExpectedRuleEntry qui établit un lien entre Britta et la règle de synchronisation sortante des utilisateurs Active Directory sont placés dans l’espace connecteur Fabrikam FIMMA. Lorsque vous vérifiez les propriétés de Britta dans l’espace connecteur, en regard des valeurs d’attribut que vous avez configurées dans le portail FIM, vous trouvez également une référence valide à l’objet Entrée de règle attendue. La capture d’écran suivante présente un exemple de cette opération.
L’objectif de l’exécution de la synchronisation différentielle sur votre agent Fabrikam FIMMA consiste à effectuer plusieurs opérations :
Projection : le nouvel objet utilisateur et l’objet Entrée de règle attendue connexe sont projetés dans le métaverse.
Approvisionnement : l’objet Britta Simon qui vient d’être projeté est approvisionné dans l’espace connecteur de l’agent Fabrikam ADMA.
Flux de valeur d’attribut d’exportation : les flux de valeur d’attribut d’exportation se produisent sur les deux agents de gestion. Sur Fabrikam ADMA, l’objet Britta Simon qui vient d’être approvisionné est rempli avec de nouvelles valeurs d’attribut. Sur Fabrikam FIMMA, l’objet Britta Simon existant et l’objet ExpectedRuleEntry connexe sont mis à jour avec les valeurs d’attribut qui sont le résultat de la projection.
Comme déjà indiqué par les statistiques de synchronisation, une activité d’approvisionnement a eu lieu sur l’espace connecteur de Fabrikam ADMA. Quand vous examinez les propriétés d’objet de métaverse de Britta Simon, vous constatez que cette activité est un résultat de l’attribut ExpectedRulesList qui a été rempli avec une référence valide.
Lors de l’exportation suivante sur Fabrikam FIMMA, l’état de règle de synchronisation de Britta Simon est mis à jour d’En attente vers Appliqué, ce qui indique que votre règle de synchronisation sortante est maintenant active sur l’objet dans le métaverse.
Un nouvel objet ayant été approvisionné dans l’espace connecteur ADMA, vous devriez avoir une exportation en attente Ajouter sur cet agent de gestion.
Dans FIM, chaque exécution d’exportation doit être suivie d’une importation différentielle pour terminer l’opération d’exportation. L’importation différentielle que vous exécutez après une exécution d’exportation est appelée « importation de confirmation ». Les importations de confirmation sont nécessaires pour permettre au service de synchronisation FIM d’appliquer les mises à jour appropriées lors des exécutions de synchronisation successives.
Exécutez les profils d’exécution conformément aux instructions de cette section.
Important
Chaque exécution du profil d’exécution doit se terminer sans erreur.
Étape 14 : Vérifier que l’utilisateur a été approvisionné dans les services AD DS
Pour vérifier que votre exemple d’utilisateur a été approvisionné dans les services AD DS, ouvrez l’unité d’organisation ObjetsFIM. Britta Simon doivent se trouver dans l’unité d’organisation ObjetsFIM.
Résumé
L’objectif de ce document est de vous présenter les principaux blocs de construction de la synchronisation d’un utilisateur dans MIM avec les services AD DS. Lors des tests initiaux, vous devez commencer avec le minimum d’attributs nécessaires pour effectuer une tâche, et ajouter des attributs supplémentaires à votre scénario quand les étapes générales fonctionnent comme prévu. Le fait de maintenir la complexité à un niveau minimal simplifie le processus de résolution des problèmes.
Quand vous testerez votre configuration, il est très probable que vous supprimerez et recréerez de nouveaux objets de test. Pour les objets avec un attribut
ExpectedRulesList rempli, cela peut générer des objets ExpectedRuleEntry orphelins.
Dans un scénario de synchronisation ordinaire qui inclut les services AD DS comme cible de synchronisation, MIM ne fait pas autorité pour tous les attributs d’un objet. Par exemple, quand vous gérez des objets utilisateur dans les services AD DS à l’aide de FIM, au minimum, le domaine et les attributs objectSID doivent être fournis par l’agent de gestion AD DS. Les attributs de nom de compte, de domaine et objectSID sont nécessaires si vous souhaitez permettre aux utilisateurs de se connecter au portail FIM. Pour remplir les attributs à partir des services AD DS, une règle de synchronisation entrante supplémentaire est nécessaire pour votre espace connecteur AD DS. Quand vous gérez des objets avec plusieurs sources pour les valeurs d’attribut, vous devez vous assurer de configurer correctement votre priorité de flux de valeur d’attribut. Si la priorité de flux de valeur d’attribut n’est pas configurée correctement, le moteur de synchronisation empêche le remplissage des valeurs d’attribut. Vous trouverez plus d’informations sur la priorité des flux de valeur d’attribut dans l’article About Attribute Flow Precedence (À propos de la priorité des flux de valeur d’attribut).
Étapes suivantes
Détection de comptes non faisant autorité – Partie 1 : Envisionnement
About Attribute Flow Precedence (À propos de la priorité des flux de valeur d’attribut)