Microsoft Identity Manager 2016 – Gyakorlati tanácsok
A következőkben a Microsoft Identity Manager 2016 (MIM) telepítésével és működtetésével kapcsolatos ajánlott eljárásokat ismertetjük
SQL-telepítés
Megjegyzés
A következő, egy SQL-t futtató kiszolgáló telepítésére vonatkozó javaslatok dedikált SQL-példányok meglétét feltételezik a FIMService-hez és a FIMSynchronizationService adatbázishoz. Ha a FIMService-t összevont környezetben futtatja, akkor el kell végeznie a konfigurációhoz szükséges módosításokat.
A Structured Query Language- (SQL-) kiszolgáló konfigurálása alapvető fontosságú a rendszer optimális teljesítményéhez. Az optimális MIM teljesítmény elérése nagy léptékű környezetekben az SQL-t futtató kiszolgálókra vonatkozó ajánlott eljárások alkalmazásától függ. További információk az SQL-lel kapcsolatos ajánlott eljárásokról következő témakörökben olvashatók:
A tárolással kapcsolatos 10 legfontosabb gyakorlati tanács (angol nyelven)
Optimizing tempdb Performance (A tempdb teljesítményének optimalizálása)
SQL Server – Gyakorlati tanácsok cikk (angol nyelven)
Reorganizing and Rebuilding Indexes (Indexek átszervezése és újraépítése)
Adat- és naplófájlok előzetes méretezése
Ne támaszkodjon az automatikus növekedés használatára. Ehelyett kezelje manuálisan ezen fájlok méretnövekedését. Biztonsági okokból bekapcsolva hagyhatja az automatikus növekedési funkciót, de proaktívan felügyelje az adatfájlok méretének növekedését. A MIM-adatbázis példaméreteit a FIM kapacitástervezési útmutatóban találja (angol nyelven).
Az adat- és naplófájlok előzetes méretezéséhez:
Indítsa el az SQL Server Management Studiót.
Nyissa meg az adatbázishoz tartozó FIMService-t, kattintson jobb gombbal a FIMService-re, majd kattintson a Properties (Tulajdonságok) parancsra.
A Files (Fájlok) lapon bővítse a szükséges méretre az adatbázisfájlokat.
A napló elkülönítése az adatfájloktól
Kövesse az SQL Server ajánlott eljárásait az adatbázisok tranzakció- és adatnapló-fájljainak elkülönítéséhez a fizikai lemezek elkülönítéséhez.
További tempdb-fájlok létrehozása
Az optimális teljesítmény érdekében processzormagonként egy adatfájlt ajánlott létrehozni a tempdb-fájlban.
További tempdb-fájlok létrehozásához:
Indítsa el az SQL Server Management Studiót.
Keresse meg az adatbázishoz tartozó tempdb-fájlt a rendszeradatbázisok között, kattintson jobb gombbal a tempdb-fájlra, és válassza a Properties (Tulajdonságok) parancsot.
A Files (Fájlok) lapon hozzon létre minden egyes processzormaghoz egy-egy adatfájlt. Ügyeljen arra, hogy a tempdb adat- és naplófájljai különböző meghajtókon és lemezeken legyenek elkülönítve.
Elegendő szabad hely biztosítása a naplófájlok számára
Fontos a helyreállítási modell lemezkövetelményeinek ismerete. Az egyszerű helyreállítási mód a kezdeti rendszerbetöltés során megfelelő lehet a használt lemezterület korlátozására, de a legutóbbi biztonsági mentés után létrehozott adatok adatvesztésnek vannak kitéve. Teljes helyreállítási mód használata esetén a lemezhasználatot olyan biztonsági másolatokkal kell kezelnie, amelyek tartalmazzák a tranzakciónapló gyakori biztonsági mentéseit a magas lemezterület-használat elkerülése érdekében. További információt a Recovery Model Overview (A helyreállítási modell áttekintése) című részben talál.
Az SQL Server memóriájának korlátozása
Attól függően, hogy mennyi memóriát használ az SQL Server, és hogy megosztja-e az SQL Servert más szolgáltatásokkal (azaz a MIM 2016 szolgáltatással és a MIM 2016 Synchronization Service-szel), előfordulhat, hogy korlátozni kell az SQL memóriahasználatát. Ezt a korlátozást az alábbi lépésekkel állíthatja be.
Indítsa el az SQL Server Enterprise Managert.
Válassza a New Query (Új lekérdezés) lehetőséget.
Futtassa az alábbi lekérdezést:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEEz a példa újrakonfigurálja az SQL Servert, hogy legfeljebb 12 gigabájt (GB) memóriát használjon.
A beállítás ellenőrzésére használja a következő lekérdezést:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Biztonsági mentés és helyreállítás konfigurálása
Általában az adatbázis rendszergazdájával kell együttműködnie egy biztonsági mentési és helyreállítási stratégia kialakításához. Néhány javaslat:
- Adatbázis biztonsági mentésének végrehajtása a szervezet biztonsági mentési szabályzatának megfelelően.
- Ha a növekményes naplófájlok biztonsági mentései nem tervezettek, az egyszerű helyreállítási módot kell beállítani az adatbázishoz.
- A biztonsági mentési stratégia megvalósítása előtt győződjön meg arról, hogy tisztában van a különböző helyreállítási modellek következményeivel. Ismerje meg ezeknek a modelleknek a lemezterület-követelményeit. A teljes helyreállítási modell a naplók gyakori biztonsági mentéseit igényli a magas lemezterület-használat elkerülése érdekében.
További információt a Recovery Model Overview (A helyreállítási modell áttekintése) és a FIM 2010 Backup and Restore Guide (FIM 2010 biztonsági mentési és visszaállítási útmutató) című részben talál.
Biztonsági mentési rendszergazdai fiók létrehozása a FIM szolgáltatáshoz a telepítés után
A FIMService-rendszergazdák által beállított tagok egyedi engedélyekkel rendelkeznek, amelyek kritikus fontosságúak a MIM üzemelő példányának működéséhez. Ha nem tud bejelentkezni a Rendszergazdák beállítás részeként, az egyetlen megoldás a rendszer korábbi biztonsági mentésének visszaállítása. Ezen helyzet elkerülése érdekében javasolt, hogy a telepítés utáni konfiguráció részeként adjon hozzá más felhasználókat a FIM rendszergazdai csoporthoz.
FIM szolgáltatás
A FIM szolgáltatás Exchange-szolgáltatásfiókjának konfigurálása
Az alábbi javasolt megoldásokkal konfigurálhatja a Microsoft Exchange Servert a MIM 2016 szolgáltatás szolgáltatásfiókjához.
- A szolgáltatásfiókot úgy konfigurálja, hogy az csak belső e-mail-címekről fogadhasson leveleket. Konkrétan arról van szó, hogy a szolgáltatásfiók postafiókja sohasem fogadhat leveleket külső SMTP-kiszolgálókról.
A szolgáltatásfiók konfigurálása
Az Exchange felügyeleti konzolon válassza A FIM szolgáltatás szolgáltatásfiókja lehetőséget.
Válassza a tulajdonságokat, az e-mail-forgalom beállításait, majd az Üzenetkézbesítési korlátozások lehetőséget.
Jelölje be Az összes feladó hitelesítése szükséges jelölőnégyzetet.
További információ: Üzenetkézbesítési korlátozások konfigurálása.
Konfigurálja a szolgáltatásfiókot az 1 MB-nál nagyobb méretű levelek elutasítására. Kövesse az üzenetek méretkorlátjának konfigurálása ajánlott eljárást (angol nyelvű cikk) a postafiókhoz vagy olyan nyilvános mappához, amelynél engedélyezve van a levelezés.
Konfigurálja a szolgáltatásfiókot 5 GB-os tárolási kvótára a postafiókhoz. Az optimális eredmények elérése érdekében kövesse a Configure Storage Quotas for a Mailbox (Postafiókok tárolási kvótáinak konfigurálása) című cikkben felsorolt ajánlott eljárásokat.
MIM-portál
SharePoint-indexelés letiltása
Ajánlott letiltani a Microsoft Office SharePoint® indexelését. Nincsenek indexelendő dokumentumok. Az indexelés számos hibanapló-bejegyzést és potenciális teljesítményproblémát okoz a MIM-ben. A SharePoint-indexelés letiltásához hajtsa végre az alábbi lépéseket:
A MIM 2016 portált futtató kiszolgálón kattintson a Start gombra.
Mutasson a Minden program pontra.
A programok listájában kattintson a Felügyeleti eszközök pontra.
A Felügyeleti eszközök alatt kattintson a SharePoint központi felügyelet elemre.
A központi felügyelet lapján kattintson a Tevékenység elemre.
A Tevékenység oldalon a Globális beállítások csoportban kattintson az Időzítőfeladat-definíciók elemre.
Az időzítőfeladat-definíciók lapján kattintson a SharePoint Services – keresés frissítése elemre.
Az Időzítőfeladat módosítása lapon kattintson a Letiltás elemre.
A MIM 2016 kezdeti adatbetöltése
Ez a szakasz a külső rendszerről a MIM-re történő kezdeti adatbetöltés teljesítményének növeléséhez szükséges lépéseket sorolja fel. Fontos tisztában lenni azzal, hogy ezen lépések közül néhány csak a rendszer kezdeti népessége alatt történik. A terhelés befejezésekor alaphelyzetbe kell állítani őket. Ezek a lépések egyszeri műveletre és nem folyamatos szinkronizálásra használhatók.
Fontos
Győződjön meg arról, hogy alkalmazta a jelen útmutató SQL-telepítéssel foglalkozó szakaszában tárgyalt ajánlott eljárásokat.
1. lépés: Az SQL Server konfigurálása a kezdeti adatbetöltéshez
Az adatok kezdeti betöltése hosszadalmas folyamat lehet. Amikor kezdetben sok adat betöltését tervezi, lerövidítheti az adatbázis feltöltéséhez szükséges időt, ha ideiglenesen kikapcsolja a teljes szöveges keresést, és ismét bekapcsolja azt a MIM 2016 felügyeleti ügynök (FIM MA) exportálása után.
A teljes szöveges keresés átmeneti kikapcsolásához:
Indítsa el az SQL Server Management Studiót.
Válassza a New Query (Új lekérdezés) lehetőséget.
Futtassa a következő SQL-utasításokat:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Fontos
Ezen eljárások elmulasztása magas lemezterület-használatot eredményezhet, és előfordulhat, hogy elfogy a szabad lemezterület. További információt ebben a témakörben a Recovery Model Overview (A helyreállítási modell áttekintése) című részben találhat. A FIM biztonsági mentési és visszaállítási útmutatója további információkat tartalmaz (angol nyelven).
2. lépés: A minimálisan szükséges MIM-konfiguráció alkalmazása a betöltési folyamat során
A kezdeti betöltése során csak a FIM-konfigurációhoz a felügyeletiházirend-szabályokhoz (MPR-ek) és a készletdefiníciókhoz minimálisan szükséges konfigurációt kell alkalmazni. Az adatok betöltése után hozza létre az adott környezethez szükséges további készleteket. A szabályzatoknak a betöltött adatokra való visszamenőleges alkalmazásához használja a munkafolyamatok Run On Policy Update (Futtatás szabályzatfrissítéskor) beállítását.
3. lépés: A FIM szolgáltatás konfigurálása és feltöltése külső azonosító adatokkal
Ezen a ponton a Felhasználók szinkronizálása az Active Directory tartományi szolgáltatások-ről a FIM-be című útmutatóban leírt eljárásokat kell követnie, hogy konfigurálja és szinkronizálja a rendszert az Active Directoryból származó felhasználókkal. Ha szinkronizálnia kell a csoportadatokat, a folyamat eljárásait a Csoportok szinkronizálása az Active Directory tartományi szolgáltatások-ról a FIM-be című útmutató ismerteti.
A szinkronizálás és az exportálás sorrendje
A teljesítmény optimalizálása érdekében az exportálást az összekötőtérben nagy számú függőben lévő exportálási műveletet eredményező szinkronizálás után kell futtatni. Ezután futtasson megerősítő importálást az érintett összekötőtérrel társított kezelőügynökön. Például, ha a kezdeti adatbetöltés részeként több kezelőügynökön kell szinkronizálási futtatási profilokat futtatni, minden egyes szinkronizálásfuttatás után futtatnia kell egy exportálást, majd egy különbözeti importálást. Minden az inicializálási ciklus részét képező forrás-kezelőügynök esetén hajtsa végre az alábbi lépéseket:
Teljes importálás a forrás-kezelőügynökön.
Teljes szinkronizálás a forrás-kezelőügynökön.
Exportálás az összes érintett cél-kezelőügynökön szakaszos exportálási műveletekkel.
Különbözeti importálás az összes érintett cél-kezelőügynökön szakaszos exportálási műveletekkel.
4. lépés: A teljes MIM-konfiguráció alkalmazása
A kezdeti adatbetöltés befejezése után alkalmaznia kell a teljes MIM-konfigurációt az adott környezethez.
A forgatókönyvtől függően ez a lépés további készletek, MPR-ek és munkafolyamatok létrehozását is magában foglalhatja. Az esetleges minden meglévő rendszerbeli objektumra visszamenőlegesen alkalmazandó szabályzatok esetén használja a Run On Policy Update (Futtatás szabályzatfrissítéskor) beállítást a munkafolyamatok esetén ezen szabályzatoknak a betöltött adatokra való visszamenőleges alkalmazásához.
5. lépés: Az SQL újrakonfigurálása az előző beállításokra
Ne felejtse el módosítani az SQL-beállításokat a normál beállításokra. Ezek a változások a következők:
A teljes szöveges keresés bekapcsolása
A biztonsági mentési szabályzat frissítése a szervezeti házirend szerint
Miután befejezte a kezdeti adatbetöltést, kapcsolja be újra a teljes szöveges keresést. Futtassa a következő SQL-utasításokat a teljes szöveges keresés újbóli bekapcsolásához:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Ha egyszerű helyreállítási módra kell váltani, győződjön meg arról, hogy újrakonfigurálta a biztonsági mentési ütemezését a szervezet biztonsági mentési szabályzatának megfelelően. A FIM biztonsági mentési ütemezésről további részleteket a FIM biztonsági mentési és visszaállítás útmutatójában talál (angol nyelven).
Konfiguráció migrálása
Ne módosítsa a megjelenített neveket
Számos objektumtípus, például MPR-ek esetén a syncproduction.ps1 szkript a megjelenítési nevet használja egyetlen horgonyattribútumként a két rendszer között. Ennél fogva egy meglévő MPR megjelenített nevének módosítása az új MPR létrehozása után a meglévő MPR törlését eredményezi. Ennek oka az, hogy a migrálási folyamat nem tudja sikeresen összekötni azon MPR-eket, amelyek illesztési feltételei megváltoztak. A probléma elkerülése érdekében minden konfigurációs objektumtípus esetén hozzáköthet egy egyéni attribútumot, és ezt az attribútumot használhatja illesztési feltételként. Ez a folyamat lehetővé teszi a megjelenítendő nevek módosítását az áttelepítési folyamat befolyásolása nélkül.
Ne változtassa meg a köztes fájlok tartalmát
Bár az alacsony szintű objektumok fájlformátuma és API-ja nyilvános, és a fejlesztők támogatják a módosításukat, nem ajánlott megváltoztatni a köztes formátumok tartalmát a migrálás során. Azonban szükség lehet teljes ImportObject-bejegyzések eltávolítására a changes.xml fájlból vagy keresési és csereműveletek végrehajtása a pilot.xml fájlon a verziószámok vagy a próbaverziós tartománynévrendszer (DNS) adatai a DNS éles verziójának adataira való lecseréléséhez.
A verziók közötti migráláskor győződjön meg arról, hogy a verziószám megfelelő a pilot.xml fájlban
Bár a verziószámok közötti migrálás nem ajánlott vagy támogatott, ezt a migrálást gyakran megteheti úgy, hogy a próbaverzió számát az éles verziószámra cseréli a pilot.xml. Pontosabban a WorkflowDefinition és
ActivityInformationConfiguration objektumok igényelnek pontosan az éles környezetbeli munkafolyamat-tevékenységekre vonatkozó verziószámot. Ha a verziószámot nem cseréli le, a Compare-FIMConfig parancsmag azonosítja a WorkflowDefinitions XOML-attribútumai közötti eltéréseket, és migrálja a próbaverzió számát. Az éles környezetbeli FIM szolgáltatás indítása a munkafolyamat-tevékenységek a helytelen verziószámmal sikertelen lehet.
Kerülje a körkörös hivatkozásokat
Általában körkörös hivatkozások nem ajánlottak MIM-konfigurációkban. Azonban néha előfordulhat körkörös hivatkozás, ha az A készlet a B készletre hivatkozik, és a B is hivatkozik az A-ra. A körkörös hivatkozások okozta problémák elkerülése érdekében módosítania kell az A vagy a B készlet definícióját, hogy mindkettő ne hivatkozzon egymásra. Ezután indítsa újra a migrálási folyamatot. Ha körkörös hivatkozások vannak, és a Compare-FIMConfig parancsmag hibát eredményez, manuálisan kell a körkörös hivatkozást megszüntetni. A Compare-FIMConfig parancsmag kimenete elsőbbségi sorrendben jeleníti meg a szükséges módosítások listáját, ezért a konfigurációs objektumok hivatkozásai között nem szerepelhet körkörös hivatkozás.
Biztonság
MIM MA-fiók
A MIM MA-fiók nem számít szolgáltatásfióknak, és egy szokásos felhasználói fióknak kell lennie. A fiókoknak be kell tudniuk jelentkezni helyileg ahhoz, hogy a FIM szinkronizálási szolgáltatás szolgáltatásfiókja megszemélyesíthesse.
A MIM MA-fiók helyi bejelentkezésének engedélyezéséhez:
Kattintson a Start gombra, mutasson a Felügyeleti eszközök pontra, és kattintson a Helyi biztonsági házirend elemre.
Nyissa meg a Helyi házirendek csomópontot, majd kattintson a Felhasználói jogok kiosztása elemre.
A Helyi bejelentkezés engedélyezése házirendben győződjön meg arról, hogy a FIM MA-fiók explicit módon van-e megadva, vagy adja hozzá egy olyan csoporthoz, amely már rendelkezik hozzáféréssel.
A FIM szinkronizálási szolgáltatás és a FIM Services-fiókok
A MIM-kiszolgáló összetevőt futtató kiszolgálók biztonságos módon való konfigurálásához a szolgáltatásfiókokat korlátozni kell. Az előző eljárással engedélyezve a MIM MA-fiókot állítsa be a FIM szinkronizálási szolgáltatás és a FIM Services-fiókokat a következő korlátozásokkal:
Kötegelt feladatként való bejelentkezés megtagadása
Helyi bejelentkezés megtagadása
A számítógép hálózati elérésének megtagadása
A szolgáltatásfiókok nem lehetnek a helyi Rendszergazdák csoport tagjai.
A FIM szinkronizálási szolgáltatás szolgáltatásfiók nem lehet a FIM szinkronizálási szolgáltatáshoz való hozzáférés szabályozása használt biztonsági csoport (például a FIMSync kezdetű csoportok, mint a FIMSyncAdmins, és így tovább) tagja.
Fontos
Ha a készletekben ugyanazon fiók használatát választja mindkét szolgáltatási fiókhoz, és szétválasztja a FIM szolgáltatást és a FIM szinkronizációs szolgáltatást, akkor az mms Szinkronizációs szolgáltatás kiszolgálóján nem tilthatja le a hozzáférést ehhez a számítógéphez a hálózatról. Ha a hozzáférés meg lenne tagadva, ez megtiltaná a FIM szolgáltatás számára, hogy kapcsolatba lépjen a FIM szinkronizációs szolgáltatással a konfiguráció megváltoztatásához és a jelszavak kezeléséhez.
A kioszkmódhoz hasonló módon üzemelő számítógépekre telepített jelszó-visszaállításnak helyi biztonsági beállítással kell rendelkeznie a virtuális memória lapozófájljának törléséhez
Ha a FIM jelszó-visszaállítást helyez üzembe egy kioszknak szánt munkaállomáson, javasoljuk, hogy kapcsolja be a Shutdown: Clear virtual memory pagefile helyi biztonsági házirendet, hogy a folyamatmemória bizalmas információi ne legyenek elérhetők a jogosulatlan felhasználók számára.
SSL implementálása a FIM-portálon
Határozottan javasoljuk, hogy használjon SSL-t a FIM-portál kiszolgálóján az ügyfelek és a kiszolgáló közötti adatforgalom biztonságossá tétele érdekében.
Az SSL implementálásához:
A MIM-portál kiszolgálóján nyissa meg az IIS Manager alkalmazást.
Kattintson a helyi számítógép nevére.
Kattintson a Kiszolgálói tanúsítványok elemre.
Kattintson a Tanúsítványkérelem létrehozása elemre.
A Köznapi név mezőben adja meg a kiszolgáló nevét.
Kattintson a Tovább, majd ismét a Tovább gombra.
Mentse tetszőleges helyre a fájlt. A későbbi lépésekben szüksége lesz a hely elérésére.
Tallózás a következőhöz: https://servername/certsrv. A „kiszolgálónév” részt cserélje le a tanúsítványokat kiállító kiszolgáló nevére.
Kattintson az Új tanúsítvány kérése lehetőségre.
Kattintson a Speciális kérelem küldése lehetőségre.
Kattintson a Tanúsítványkérelem továbbítása base-64 kódolású fájl használatával lehetőségre.
Illessze be a fájlt, amelynek tartalmát az előző lépésben mentette.
A Tanúsítványsablon csoportban válassza a Webkiszolgáló elemet.
Kattintson a Küldés gombra.
Mentse a tanúsítványt asztali számítógépére.
Az IIS-kezelőben kattintson a Tanúsítványkérelem kitöltése lehetőségre.
Irányítsa az IIS-kezelőt az asztali számítógépére nemrég mentett tanúsítványra.
A Rövid név mezőbe írja a kiszolgáló nevét.
A Helyek gombra kattintva válassza a SharePoint – 80-as port lehetőséget.
Kattintson a Kötések, majd a Hozzáadás lehetőségre.
Jelölje be a https elemet.
Tanúsítványként válassza ki azt a tanúsítványt, amelynek neve megegyezik a kiszolgáló nevével, és válassza ki az imént importált tanúsítványt.
Kattintson az OK gombra.
Távolítsa el a HTTP-kötést.
Kattintson az SSL-beállításokra, majd jelölje be az SSL megkövetelése négyzetet.
Mentse a beállításokat.
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Központi SharePoint-felügyelet 3.0-s verzió elemre.
Kattintson a Tevékenység, majd a Másodlagos címek leképezése elemre.
Kattintson a következőre: https://servername.
Váltson a https://servername értékre, https://servernamemajd kattintson az OK gombra.
Kattintson a Start gombra, majd a Futtatás parancsra, írja be az iisreset parancsot, majd kattintson az OK gombra.
Teljesítmény
Az optimális teljesítménykonfigurációhoz:
Alkalmazza a jelen a dokumentum SQL-telepítő szakaszában leírt ajánlott eljárásokat.
Kapcsolja ki a SharePoint-indexelést a MIM Portál webhelyen. További információt a SharePoint-indexelés letiltása című szakaszban talál.
Szolgáltatásspecifikus ajánlott eljárások
Kérelmek kezelése
Alapértelmezés szerint a MIM 2016 kiüríti a lejárt rendszerobjektumokat, amelyek 30 napos intervallumon belül tartalmazzák a befejezett kéréseket a hozzá kapcsolódó jóváhagyásokkal, a jóváhagyási válaszokkal és a munkafolyamat-példányokkal együtt. Ha a szervezetnek hosszabb kérelemelőzményekre van szüksége, exportálnia kell a MIM-től érkező kéréseket és tárolnia kell őket egy kiegészítő adatbázisban, hogy megőrizze őket a 30 napos időszakon túl. Míg a 30 napos kérelemtörlési időszak konfigurálható, az időszak kiterjesztése negatívan befolyásolhatja a teljesítményt a rendszer további objektumai miatt.
Felügyeletiházirend-szabályok
Használja a megfelelő MPR-típust
A MIM kétféle MPR-t használ, a kérelmet és a készletátmenetet:
Kérelem-MPR (RMPR)
- Az erőforrásokon végzett létrehozási, olvasási, frissítési vagy törlési (CRUD) műveletek hozzáférés-vezérlési szabályzatának (hitelesítés, engedélyezés és művelet) meghatározására szolgál,
- Akkor alkalmazható, ha CRUD-műveletet ad ki egy célerőforráson a MIM-ben, és
- Hatóköre a szabályban megadott megfelelési feltételek, azaz hogy mely CRUD-kérelmekre vonatkozik a szabály.
Készletátmenet-MPR (TMPR)
- A szabályzat meghatározására használatos függetlenül attól, hogy az objektum milyen módon lépett a készletátmenet által jelzett aktuális állapotba. Használja a TMPR-t jogosultsági szabályzatok modellezésére.
- Akkor alkalmazható, ha egy erőforrás belép vagy elhagy egy társított készletet, és
- Hatóköre a készlet tagjaira terjed ki.
Megjegyzés
További információ: Üzleti házirendszabályok tervezése.
Csak szükség esetén engedélyezze az MPR-eket
A konfiguráció alkalmazásakor használja a legalacsonyabb jogosultsági szint elvét. Az MPR-ek szabályozzák a MIM-környezet hozzáférési szabályzatát. Csak a felhasználók többsége által használt szolgáltatásokat engedélyezze. Például nem minden felhasználó használja a MIM-et a csoportkezeléshez, ezért a társított csoportkezelési MPR-eket le kell tiltani. Alapértelmezés szerint a MIM a legtöbb nem rendszergazdai engedély letiltásával rendelkezik.
A beépített MPR-ek közvetlen módosítása helyett másolja azokat
Ha módosítani szeretné a beépített MPR-eket, létre kell hoznia egy új MPR-t a szükséges konfigurációval és ki kell kapcsolnia a beépített MPR-t. Az új MPR létrehozása biztosítja, hogy a frissítési folyamaton keresztül bevezetett beépített MPR-ek jövőbeli módosításai ne legyenek negatív hatással a rendszerkonfigurációra.
A végfelhasználói engedélyeknek a felhasználók üzleti igényeihez kötött kifejezett attribútumlistákat kell használnia
A kifejezett attribútumlisták használatával megakadályozható az engedélyek véletlen megadása a rendszerjogosultsággal nem rendelkező felhasználók számára, amikor attribútumokat adnak hozzá objektumokhoz. A rendszergazdáknak explicit módon kell hozzáférést adniuk az új attribútumokhoz a hozzáférés eltávolítása helyett.
Az adatok elérését a felhasználók üzleti igényeihez kell kötni. Például a csoportok tagjai nem férhetnek hozzá azon csoport szűrőattribútumához, amelyhez tartoznak. A szűrő véletlenül olyan szervezeti adatokat fedhet fel, amelyekhez a felhasználó normál esetben nem férhetne hozzá.
Az MPR-eknek a rendszerbeli vonatkozó engedélyeket kell tükrözniük
Kerülje engedélyek megadását olyan attribútumokhoz, amelyeket a felhasználó soha nem használhat. Például nem adhat engedélyt az alapvető erőforrás-attribútumok, például az objectType módosítására. Az MPR ellenére a rendszer megtagadja az erőforrás típusának módosítását az erőforrás létrehozása után.
Az olvasási engedélyeknek el kell különülniük a módosítási és létrehozási engedélyektől, ha explicit attribútumokat használ az MPR-ekben
Az MPR-kben szereplő attribútumok explicit listázásakor a létrehozáshoz és a módosításhoz szükséges attribútumok általában eltérnek az olvasáshoz elérhető attribútumoktól. Például az olvasási engedély megadható a rendszerattribútumok, például a létrehozó vagy az objektumazonosító felett, míg a rendszerattribútumoknál nem lehet megadni a Létrehozás vagy a Módosítás lehetőséget.
A létrehozási engedélyeknek el kell különülniük a módosítási engedélyektől, ha explicit attribútumokat használ a szabályokban
A létrehozási művelet megköveteli, hogy a felhasználó kiválassza az objectType elemet a művelet során. Ez az attribútum egy alapvető rendszerattribútum, amely nem módosítható a Létrehozás művelet után.
Egy kérelem-MPR-t használjon az összes attribútumhoz ugyanazon hozzáférési követelményekkel
Olyan azonos hozzáférési követelményekkel rendelkező attribútumok esetén, amelyek várhatóan nem változnak, a hatékonyság érdekében egyetlen kérelem- MPR-ben kombinálhatja azokat.
Kerülje a korlátlan hozzáférés megadását még a kiválasztott egyszerű rendszercsoportokhoz is
A MIM-ben az engedélyek pozitív helyességi feltételként vannak definiálva. Mivel a MIM nem támogatja a megtagadási engedélyeket, az erőforrásokhoz való korlátlan hozzáférés megnehezíti az engedélyek kizárását. Ajánlott eljárásként azt javasoljuk, hogy csak a szükséges engedélyeket adja meg.
Használjon TMPR-eket az egyéni jogosultságok megadásához
Egyéni jogosultságok megadása helyett készletátmenet-MPR-eket (TMPR-eket) használjon. A TMPR-ek állapotalapú modellt biztosítanak a jogosultságok hozzárendeléséhez vagy eltávolításához a definiált átmeneti készletek tagsága, illetve a szerepkörök és hozzájuk tartozó munkafolyamat-tevékenységek alapján. A TMPR-eket mindig párokban kell definiálni, egyet az áttűnési erőforrásokhoz, egyet pedig az áttűnési erőforrásokhoz. Emellett minden áttűnési MPR-nek külön munkafolyamatokat kell tartalmaznia a tevékenységek kiépítéséhez és megszüntetéséhez.
Megjegyzés
Minden megszüntetési munkafolyamatnak biztosítania kell, hogy a Futtatás szabályzatfrissítéskor attribútum igaz értékű legyen.
Készletátmenet bejövő MPR-jének engedélyezése utolsóként
A TMPR-pár létrehozásakor a készletátmenet bejövő MPR-jének bekapcsolása utolsóként. Ez a sorrend biztosítja, hogy nem marad erőforrás a jogosultsággal, ha hozzáadják, illetve eltávolítják a készletből, miközben a bejövő MPR be van kapcsolva, de mielőtt a kimenő MPR ki van kapcsolva.
A TMPR-beli munkafolyamatok először a célerőforrás állapotát kell ellenőrizzék
A kiépítési munkafolyamatnak először azt ellenőrizniük, hogy a célként megadott erőforrás már ki lett-e építve a jogosultságnak megfelelően. Ha igen, nincs teendő.
A megszüntetési munkafolyamatoknak először azt ellenőrizniük, hogy a célként megadott erőforrás már ki lett-e építve. Ha igen, meg kell szüntetnie azt. Ellenkező esetben nincs teendő.
Válassza a Run On Policy Update (Futtatás szabályzatfrissítéskor) lehetőséget a TMPR-ekhez
Ez a beállítás biztosítja, hogy a megfelelő kiépítési viselkedés érvényesüljön a szabályzatfrissítések megvalósításakor, és használja a Futtató házirend frissítés jelzőt a TMPR-ekhez társított műveleti munkafolyamatokon, és hogy a szabályzatdefiníciók módosításai a műveleti munkafolyamatokat az áttűnési készlet új tagjaira alkalmazzák.
Kerülje ugyanazon jogosultság társítását két különböző átmeneti készlethez
Ugyanazon jogosultság társítása két különböző átmeneti készlethez jogosultságok szükségtelen visszavonását és újbóli megadását okozhatja, ha az erőforrás egyik készletből a másikba helyeződik át. Győződjön meg róla, hogy egy készlet az összes olyan erőforrást tartalmazza, amelyhez a társított jogosultság szükséges. Ez az eljárás egy-az-egyhez kapcsolatot biztosít az áttűnési készlet és a munkafolyamatot megadó jogosultság között.
A jogosultságok a rendszerből való eltávolításakor használja a megfelelő műveleti sorrendet
A jogosultságok a rendszerből való eltávolításakor végrehajtott lépések sorrendje két különböző működési eredményt eredményezhet. Tisztában kell lennie azzal, hogy melyik sorrend eredményezi az elérni kívánt hatást.
A jogosultság eltávolításához a rendszerből (és visszavonásához a jelenleg azzal rendelkező összes tagtól):
Tiltsa le a készletátmenet bejövő MPR-jét. Ez a módosítás elkerüli az új támogatásokat.
Törölje az átmeneti készlet szűrőjét, vagy módosítsa oly módon, hogy a készlet üres legyen. Ez az összes meglévő tag kifelé történő áthelyezését váltja ki, és alkalmazza a kifelé történő áthelyezési szabályzatot, beleértve a jogosultsághoz társított beállított megszüntetési munkafolyamatokat is.
Tiltsa le a készletátmenet kimenő MPR-jét.
Ha el szeretne távolítani egy jogosultságot, de a jelenlegi tagokat egyedül szeretné hagyni (például ne használja a MIM-et a jogosultság kezeléséhez):
Tiltsa le a készletátmenet bejövő MPR-jét. Ez a módosítás elkerüli az új támogatásokat.
Tiltsa le a készletátmenet kimenő MPR-jét.
Törölje az átmeneti készlet szűrőjét, vagy módosítsa oly módon, hogy a készlet üres legyen. Mivel a készlet már nem kötődik TMPR-hez, nem kerül sor megszüntetési munkafolyamat alkalmazására.
Halmazok
A készletekre vonatkozó gyakorlati tanácsok alkalmazásakor vegye figyelembe a kezelhetőség optimalizálása és a jövőbeli egyszerű felügyelet szempontjait. Az itt szereplő ajánlások alkalmazása előtt megfelelő tesztelést kell végezni a várható éles üzemelési körülmények között, hogy meg lehessen határozni a megfelelő egyensúlyt a teljesítmény és a kezelhetőség között.
Megjegyzés
Az alábbi irányelvek a dinamikus készletekre és a dinamikus csoportokra vonatkoznak.
Minimalizálja a dinamikus beágyazás használatát
Ez egy olyan készlet szűrőjére utal, amely egy másik készlet ComputedMember attribútumára hivatkozik. A készletek beágyazásának gyakori indoka, hogy elkerülhető legyen a tagsági feltételek többszörözése a készletekben. Bár ez a módszer a készlet jobb kezelhetőségét eredményezheti, a teljesítményre vonatkozóan kompromisszumot jelent. Úgy optimalizálhatja a teljesítményt, ha ahelyett, hogy magát a készletet ágyazná be, többszörözi a beágyazott készlet tagsági feltételeit.
Előfordulhat, hogy nem kerülheti el a készletek beágyazását a működési követelmények kielégítése érdekében. Az alábbiak a leggyakoribb olyan helyzetek, amelyekben készleteket kell beágyaznia. Például a teljes idejű alkalmazott tulajdonosok nélküli csoportok készletének definiálásához a készletek beágyazását kell használni az alábbiak szerint: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], ahol az ’X’ az összes teljes idejű alkalmazott készletének objektumazonosítója.
Minimalizálja a negatív feltételek használatát
A negatív feltételek azon tagsági feltételek, amelyek a következő operátorokat vagy függvényeket használják: !=, not(), \< , \<=. Ha optimalizálni szeretné a teljesítményt, ahol lehetséges, fejezze ki a feltételeket több pozitív feltétellel, mintsem negatív feltételként.
Minimalizálja a többértékű referenciaattribútumokon alapuló tagsági feltételek használatát
A többértékű referenciaattribútumokon alapuló feltételek használata kerülendő, mert ezen készletek nagy száma befolyásolhatja a tagsági feltételben használt attribútumon végzett műveletek teljesítményét.
Új jelszó kérése
A jelszó-visszaállításhoz használt kioszkmódban üzemelő számítógépeknél a helyi biztonságot a virtuális memória lapozófájljának törlésére kell beállítani
Ha a MIM jelszó-visszaállítást egy kioszknak szánt munkaállomáson helyezi üzembe, javasoljuk, hogy kapcsolja be a Leállítás: Virtuális memória törlése lapozófájl helyi biztonsági házirend beállítását, hogy a folyamatmemória bizalmas adatai ne legyenek elérhetők a jogosulatlan felhasználók számára.
A felhasználóknak mindig azon a számítógépen kell regisztrálniuk a jelszó-visszaállításra, amelyen bejelentkeztek
Amikor egy felhasználó egy webportálon keresztül próbál regisztrálni a jelszó-visszaállításra, a MIM mindig a bejelentkezett felhasználó nevében kezdeményez regisztrációt, függetlenül attól, hogy ki van bejelentkezve a webhelyre. A felhasználóknak mindig azon a számítógépen kell regisztrálniuk a jelszó-visszaállításra, amelyen bejelentkeztek.
Ne állítsa az AvoidPdcOnWan beállításkulcsot igaz értékre
A MIM 2016 jelszó-visszaállításra való használata esetén ne állítsa igaz értékűre az AvoidPdcOnWan beállításkulcsot.
Ha a beállításkulcs értéke igaz, a felhasználó nagy valószínűséggel végighalad a jelszókapukon, az elsődleges tartományvezérlőn (PDC) megtörténik a jelszó-visszaállítás, és megpróbál bejelentkezni. A beállításkulcs miatt a helyi tartományvezérlő nem végzi el a másodlagos érvényesítést az elsődleges tartományvezérlővel, ezért elutasítja a belépési kérelmet. Ha a rendszer elegendő alkalommal tagadta meg a hozzáférést a felhasználótól, sor kerülhet a tartományból való kizárására, és hívnia kell az ügyfélszolgálatot.
Ne kapcsolja be a tiszta szöveges jelszavak naplózását
Lehetőség van a tiszta szöveges jelszavak naplózására a diagnosztikai szolgáltatásiszint-nyomkövetés bekapcsolásával a Windows
Communication Foundation (WCF) szolgáltatásban. Ez a beállítás nincs bekapcsolva alapértelmezés szerint, és az éles környezetben bekapcsolása nem ajánlott. Ezek a jelszavak tiszta szöveges elemekként jelennek meg a titkosított SOAP-üzenetekben, amikor a felhasználók a jelszó-visszállításra regisztrálnak. További információ: Configuring Message Logging (Az üzenetnaplózás konfigurálása).
Az engedélyezési munkafolyamat nem feleltethető meg a jelszó-visszállítási folyamatnak
Az engedélyezési munkafolyamatokat nem kapcsolhatja össze egy jelszó-visszaállítási művelettel. A jelszó-visszaállításhoz szinkron válaszra van szükség, és jóváhagyási munkafolyamatok pedig aszinkron tevékenységeket tartalmaznak, például a jóváhagyást.
Több tevékenység nem feleltethető meg a jelszó-visszaállításnak
Nem lehet összekapcsolni egynél több művelet tevékenységet tartalmazó munkafolyamatot a jelszó-visszaállítási művelettel. Ilyen eset lenne például egy második AD DS jelszó-visszaállítási tevékenység hozzákapcsolása egy jelszó-visszaállítási MPR-hez. Ez a forgatókönyv nem támogatott.
A meglévő munkafolyamatok hozzáadása, eltávolítása vagy módosítása esetén követelje meg az újraregisztrálást
A meglévő munkafolyamatban a hitelesítési tevékenységek hozzáadásakor, eltávolításakor vagy sorrendjének módosításakor mindig jelölje be az újraregisztrálás megkövetelését. Azok a felhasználók, akik megpróbálnak hitelesíteni a jelszó-visszaállításhoz, miután egy tevékenységet hozzáadtak vagy eltávolítottak egy munkafolyamatból, de mielőtt regisztrálták őket, nemkívánatos hatásokkal találkozhatnak.
Portálkonfiguráció és erőforrásvezérlés-megjelenítési konfiguráció
Érdemes megfontolni egy adatvédelmi nyilatkozat hozzáadását a felhasználói profil oldalához
A MIM-ben alapértelmezés szerint egyes felhasználói profilok adatai megjelenhetnek más felhasználók számára. A felhasználók segítése érdekében a rendszergazdáknak fontolóra kell venniük a cég szabályzataival összhangban lévő egyéni szöveg hozzáadását a Felhasználói profil oldalhoz. Egyéni szöveg MIM-portál oldalaihoz történő hozzáadásával kapcsolatos további információkért lásd: Introduction to Configuring and Customizing the FIM Portal (Bevezetés a FIM-portál konfigurálásába és testreszabásába).
Séma
Ne törölje a személy vagy csoport típusú erőforrásokat
Bár a Személy és Csoport erőforrástípusok nem alapvető erőforrástípusok, magukat az erőforrásokat és a hozzájuk rendelt attribútumokat ne törölje. A MIM-portál felhasználói felülete megköveteli a Személy és Csoport erőforrástípusok és attribútumaik jelenlétét.
Ne módosítsa az alapvető attribútumokat
13 alapvető, az összes erőforrástípushoz hozzárendelt attribútum van. Semmilyen módon ne módosítsa fennálló kapcsolataikat bármely erőforrástípussal. A 13 alapvető attribútum:
CreatedTime
Létrehozó
DeletedTime
Description
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Területi beállítás
MVObjectID
ObjectID
ObjectType
ResourceTime
Ne töröljön a naplózási követelményektől függő sémaerőforrást
Ne töröljön sémaerőforrásokat, amíg fennálló naplózási követelmények találhatók ezekhez az erőforrásokhoz.
Kis-és nagybetűk megkülönböztetésének kikapcsolása a reguláris kifejezésekben
A MIM-ben hasznos lehet, ha néhány reguláris kifejezés kis- és nagybetűt nem különböztet meg. A csoporton belüli kis- és nagybetűk figyelmen kívül hagyhatók a paranccsal ?!:. Például az alkalmazott típusa esetén használja az alábbi kifejezést:
\^(?!:contractor\|full time employee)%.
A tag attribútum kiszámítása
A szinkronizáló vezérlő számára felfedett Tag attribútum ténylegesen a ComputedMembers attribútumnak van megfeleltetve. Ez a feltételek alapján és a manuálisan kijelölt tagok kombinációja. Még ha a mindhárom attribútumot (Filter, ExplicitMembers és ComputedMembers) is hozzáadja, a tag attribútum dinamikus számítása csak a csoport és a készlet erőforrástípusok esetében történik meg.
Kezdő és záró szóközök figyelmen kívül hagyása sztringekben
A MIM-ben beírhat sztringeket kezdő és záró szóközökkel, de a MIM rendszer figyelmen kívül hagyja ezeket a szóközöket. Ha kezdő és záró szóközt tartalmazó sztringet küld, a szinkronizálási motor és a webszolgáltatások figyelmen kívül hagyják ezeket a szóközöket.
Az üres sztring nem egyenlő a null értékkel
Az üres sztringek nem egyenlők null értékkel a MIM jelen kiadásában. Az üres sztringet tartalmazó bemeneti érték érvényes értéknek minősül. Ha nem található bemeneti érték, az null értéknek minősül.
Munkafolyamat- és a kérelemfeldolgozás
Ne törölje a MIM 2016-tal szállított alapértelmezett munkafolyamatokat
A mim a következő munkafolyamatokat tartalmazza, és nem szabad törölni:
Lejárati munkafolyamat
Szűrőérvényesítési munkafolyamat a rendszergazdák számára
Szűrőérvényesítési munkafolyamat a nem rendszergazdák számára
Csoport lejárati értesítése munkafolyamat
Csoport érvényesítése munkafolyamat
Tulajdonos jóváhagyási munkafolyamata
Jelszó-visszaállítási művelet munkafolyamat
Jelszó-változtatási hitelesítési munkafolyamat
Kérelmező érvényesítése tulajdonoshitelesítéssel
Kérelmező érvényesítése tulajdonoshitelesítés nélkül
Regisztrációhoz szükséges rendszer-munkafolyamat
Ne futtasson párhuzamosan két vagy több ApprovalActivity-t
Ne futtasson párhuzamosan két vagy több ApprovalActivity-t. Ha így tesz, előfordulhat, hogy a kérelem az engedélyezési fázisban elakad. A többszörös jóváhagyásokhoz vagy csatoljon nagyobb jóváhagyói listát, vagy adja meg a két tevékenység egymás utáni sorrendjét.
Az engedélyezési tevékenységek nem módosíthatják MIM-erőforrások adatait
Kerülje a MIM-erőforrásokat, például a függvénykiértékelői tevékenységet a munkafolyamatok részeként módosító tevékenységeket az engedélyezési munkafolyamatokban. Mivel a kérelem véglegesítését a feldolgozás engedélyezési pontjában még nem végezték el, a személyazonosító adatokon végrehajtott módosítások a kérelem esetleges visszautasítása ellenére alkalmazhatók.
A FIM szolgáltatás partícióinak ismertetése
A MIM célja olyan kérések feldolgozása, amelyeket különböző MIM-ügyfelek, például a FIM szinkronizálási szolgáltatás és az önkiszolgáló összetevők kezdeményezhetnek a konfigurált üzleti szabályzatoknak megfelelően. A kialakításból fakadóan mindegyik FIM-szolgáltatáspéldány egy logikai csoporthoz tartozik, amely egy vagy több FIM-szolgáltatáspéldányból, más néven FIM-szolgáltatáspartícióból áll. Ha csak egy FIM-szolgáltatáspéldány van telepítve az összes kérelem kezelésére, akkor előfordulhat, hogy feldolgozási késéseket tapasztal. Egyes műveletek akár az önkiszolgáló műveletekhez megfelelő alapértelmezett időtúllépési értékeket is meghaladhatják. A FIM-szolgáltatáspartíciók segíthetnek e probléma megoldásában.
További információ: A FIM-szolgáltatáspartíciók ismertetése.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: