Praktik Terbaik Microsoft Identity Manager 2016
Topik ini menjelaskan praktik terbaik untuk menyebarkan dan mengoperasikan Microsoft Identity Manager 2016 (MIM)
Penyiapan SQL
Catatan
Rekomendasi berikut untuk menyiapkan server yang menjalankan SQL menganggap instans SQL didedikasikan untuk FIMService dan instans SQL yang didedikasikan untuk database FIMSynchronizationService. Jika Anda menjalankan FIMService di lingkungan terkonsolidasi, Anda harus membuat penyesuaian yang sesuai untuk konfigurasi Anda.
Konfigurasi server Bahasa Permintaan Terstruktur (SQL) sangat penting untuk performa sistem yang optimal. Mencapai performa MIM yang optimal dalam implementasi skala besar tergantung pada penerapan praktik terbaik untuk server yang menjalankan SQL. Untuk informasi selengkapnya, lihat topik berikut tentang praktik terbaik SQL:
Presize data dan file log
Jangan mengandalkan autogrow. Sebagai gantinya, kelola pertumbuhan file-file ini secara manual. Anda dapat membiarkan pertumbuhan otomatis karena alasan keamanan, tetapi Anda harus secara proaktif mengelola pertumbuhan file data. Untuk ukuran sampel database MIM, lihat Panduan Perencanaan Kapasitas FIM.
Untuk presize data SQL dan file log
Mulai SQL Server Management Studio.
Navigasi ke database FIMService, klik kanan FIMService, lalu klik Properti.
Pada halaman File, perluas file database ke ukuran yang diperlukan.
Mengisolasi log dari file data
Ikuti praktik terbaik server SQL untuk mengisolasi file log transaksi dan data untuk database untuk memisahkan disk fisik.
Membuat file tempdb tambahan
Untuk performa optimal, kami sarankan Anda membuat satu file data per inti CPU dalam file tempdb.
Untuk membuat file tempdb tambahan
Mulai SQL Server Management Studio.
Navigasikan ke tempdb database di Database Sistem, klik kanan tempdb, lalu klik Properti.
Pada halaman File, buat satu file data untuk setiap inti CPU. Pastikan untuk memisahkan data tempdb dan file log ke drive dan spindle yang berbeda.
Pastikan ruang yang memadai untuk file Log
Penting untuk memahami persyaratan disk model pemulihan Anda. Mode pemulihan sederhana mungkin sesuai selama beban sistem awal untuk membatasi penggunaan ruang disk Anda, tetapi data yang dibuat setelah cadangan terbaru Anda terpapar kehilangan data. Saat menggunakan mode Pemulihan penuh, Anda perlu mengelola penggunaan disk melalui cadangan yang mencakup pencadangan log transaksi yang sering untuk mencegah penggunaan ruang disk yang tinggi. Untuk informasi selengkapnya, lihat Gambaran Umum Model Pemulihan.
Membatasi memori server SQL
Bergantung pada berapa banyak memori yang Anda miliki di server SQL Anda dan jika Anda berbagi server SQL dengan layanan lain (yaitu, Layanan MIM 2016 dan Layanan Sinkronisasi MIM 2016), Anda mungkin ingin membatasi konsumsi memori SQL. Anda dapat mengatur pembatasan ini melalui langkah-langkah berikut.
Mulai SQL Server Enterprise Manager.
Pilih Kueri Baru.
Jalankan kueri berikut:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEContoh ini mengonfigurasi ulang server SQL untuk menggunakan memori tidak lebih dari 12 gigabyte (GB).
Verifikasi pengaturan dengan menggunakan kueri berikut:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Konfigurasi pencadangan dan pemulihan
Secara umum, Anda harus bekerja dengan administrator database Anda untuk merancang strategi pencadangan dan pemulihan. Beberapa rekomendasi meliputi:
- Lakukan pencadangan database sesuai dengan kebijakan pencadangan organisasi Anda.
- Jika pencadangan log bertambah bertahap tidak direncanakan, database harus diatur ke mode Pemulihan sederhana.
- Pastikan Anda memahami implikasi dari berbagai model pemulihan sebelum menerapkan strategi pencadangan Anda. Pelajari persyaratan ruang disk untuk model ini. Model pemulihan penuh memerlukan pencadangan log yang sering untuk menghindari penggunaan ruang disk yang tinggi.
Untuk informasi selengkapnya, lihat Gambaran Umum Model Pemulihan dan Panduan Pencadangan dan Pemulihan FIM 2010.
Membuat akun Administrator Cadangan untuk Layanan FIM setelah penginstalan
Anggota set Administrator FIMService memiliki izin unik yang penting untuk pengoperasian penyebaran MIM Anda. Jika Anda tidak dapat masuk sebagai bagian dari set Administrator, satu-satunya resolusi adalah mengembalikan ke cadangan sistem sebelumnya. Untuk mengurangi situasi ini, kami sarankan Anda menambahkan pengguna lain ke set Administratif FIM sebagai bagian dari konfigurasi pasca-penginstalan Anda.
Layanan FIM
Mengonfigurasi kotak surat Exchange layanan Layanan FIM
Berikut ini adalah praktik terbaik untuk mengonfigurasi Microsoft Exchange Server untuk akun layanan Layanan MIM 2016.
- Konfigurasikan akun layanan agar dapat menerima email hanya dari alamat email internal. Secara khusus, kotak surat akun layanan seharusnya tidak pernah dapat menerima email dari server SMTP eksternal.
Untuk mengonfigurasi akun layanan
Di Konsol Manajemen Exchange, pilih akun layanan Layanan FIM.
Pilih Properti, pilih Pengaturan Alur Email, lalu pilih Pembatasan Pengiriman Email.
Pilih kotak centang Wajibkan semua pengirim diautentikasi .
Untuk informasi selengkapnya, lihat Mengonfigurasi Pembatasan Pengiriman Pesan.
Konfigurasikan akun layanan sehingga menolak email dengan ukuran lebih besar dari 1 MB. Ikuti praktik terbaik untuk Mengonfigurasi Batas Ukuran Pesan untuk Kotak Surat atau Folder Publik Mail-Enabled.
Konfigurasikan akun layanan sehingga memiliki kuota penyimpanan kotak surat sebesar 5 GB. Untuk hasil yang optimal, ikuti praktik terbaik yang tercantum dalam Mengonfigurasi Kuota Penyimpanan untuk Kotak Surat.
MIM Portal
Menonaktifkan pengindeksan SharePoint
Kami menyarankan agar Anda menonaktifkan pengindeksan Microsoft Office SharePoint®. Tidak ada dokumen yang perlu diindeks. Pengindeksan menyebabkan banyak entri log kesalahan dan potensi masalah performa di MIM. Untuk menonaktifkan pengindeksan SharePoint, lakukan langkah-langkah berikut:
Di server yang menghosting Portal MIM 2016, klik Mulai.
Klik Semua Program.
Di daftar Semua Program, klik Alat Administratif.
Di bawah Alat Administratif, klik Administrasi Pusat SharePoint.
Pada halaman Administrasi Pusat, klik Operasi.
Pada halaman Operasi, di bawah Konfigurasi Global, klik Definisi kerja timer.
Pada halaman Definisi Kerja Timer, klik Refresh Pencarian Layanan SharePoint.
Pada halaman Edit Tugas Timer, klik Nonaktifkan.
Beban Data Awal MIM 2016
Bagian ini mencantumkan serangkaian langkah untuk meningkatkan performa beban data awal dari sistem eksternal ke MIM. Penting untuk dipahami bahwa sejumlah langkah ini hanya dilakukan selama populasi awal sistem. Mereka harus diatur ulang setelah penyelesaian beban. Langkah-langkah tersebut untuk operasi satu kali dan bukan sinkronisasi berkelanjutan.
Penting
Pastikan Anda telah menerapkan praktik terbaik yang tercakup dalam bagian penyiapan SQL dari panduan ini.
Langkah 1: Mengonfigurasi server SQL untuk pemuatan data awal
Beban awal data bisa menjadi proses yang panjang. Ketika Anda berencana untuk awalnya memuat banyak data, Anda dapat mempersingkat waktu yang diperlukan untuk mengisi database dengan menonaktifkan pencarian teks lengkap untuk sementara waktu dan mengaktifkannya lagi setelah ekspor pada agen manajemen MIM 2016 (FIM MA) telah selesai.
Untuk menonaktifkan pencarian teks lengkap untuk sementara waktu:
Mulai SQL Server Management Studio.
Pilih Kueri Baru.
Jalankan pernyataan SQL berikut:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Penting
Tidak menerapkan prosedur ini dapat mengakibatkan penggunaan ruang disk yang tinggi, mungkin menyebabkan Anda kehabisan ruang disk. Anda dapat menemukan detail tambahan tentang topik ini di Gambaran Umum Model Pemulihan. Panduan Pencadangan dan Pemulihan FIM berisi informasi tambahan.
Langkah 2: Terapkan konfigurasi MIM minimum yang diperlukan selama proses pemuatan
Selama proses pemuatan awal, Anda hanya boleh menerapkan konfigurasi minimum yang diperlukan untuk konfigurasi FIM untuk aturan kebijakan manajemen (MPR) dan menetapkan definisi. Setelah pemuatan data selesai, buat set tambahan yang diperlukan untuk penyebaran Anda. Gunakan pengaturan pembaruan kebijakan Run-On pada alur kerja tindakan untuk menerapkan kebijakan tersebut secara surut pada data yang dimuat.
Langkah 3: Mengonfigurasi dan mengisi Layanan FIM dengan data identitas eksternal
Pada titik ini, Anda harus mengikuti prosedur yang dijelaskan dalam panduan Bagaimana Cara Menyinkronkan Pengguna dari Active Directory Domain Services ke FIM untuk mengonfigurasi dan menyinkronkan sistem Anda dengan pengguna dari Direktori Aktif. Jika Anda perlu menyinkronkan informasi Grup, prosedur untuk proses tersebut dijelaskan dalam panduan Bagaimana Cara Menyinkronkan Grup dari Active Directory Domain Services ke FIM.
Sinkronisasi dan urutan ekspor
Untuk mengoptimalkan performa, jalankan ekspor setelah sinkronisasi berjalan yang menghasilkan sejumlah besar operasi ekspor yang tertunda di ruang konektor. Kemudian, jalankan eksekusi impor yang mengonfirmasi pada agen manajemen yang terkait dengan ruang konektor yang terpengaruh. Misalnya, ketika Anda perlu menjalankan profil eksekusi sinkronisasi pada beberapa agen manajemen sebagai bagian dari beban data awal, Anda harus menjalankan ekspor diikuti oleh impor delta setelah setiap sinkronisasi individu berjalan. Untuk setiap agen manajemen sumber yang merupakan bagian dari siklus inisialisasi Anda, lakukan langkah-langkah berikut:
Impor penuh pada agen manajemen sumber.
Sinkronisasi penuh pada agen manajemen sumber.
Ekspor pada semua agen manajemen target yang terpengaruh dengan operasi ekspor bertahap.
Impor Delta pada semua agen manajemen target yang terpengaruh dengan operasi ekspor bertahap.
Langkah 4: Terapkan konfigurasi MIM lengkap Anda
Setelah pemuatan data awal selesai, Anda harus menerapkan konfigurasi MIM lengkap untuk penyebaran Anda.
Bergantung pada skenario Anda, langkah ini mungkin mencakup pembuatan set, MPR, dan alur kerja tambahan. Untuk kebijakan apa pun yang perlu Anda terapkan secara retroaktif ke semua objek yang ada dalam sistem, gunakan pengaturan pembaruan kebijakan run-on pada alur kerja tindakan untuk menerapkan kebijakan tersebut secara surut pada data yang dimuat.
Langkah 5: Mengonfigurasi ulang SQL ke pengaturan sebelumnya
Ingatlah untuk mengubah pengaturan SQL ke pengaturan normalnya. Perubahan tersebut meliputi:
Mengaktifkan pencarian teks lengkap
Memperbarui kebijakan pencadangan sesuai kebijakan organisasi Anda
Setelah menyelesaikan pemuatan data awal, Anda perlu mengaktifkan pencarian teks lengkap lagi. Jalankan pernyataan SQL berikut untuk mengaktifkan pencarian teks lengkap lagi:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Jika Anda harus beralih ke mode pemulihan Sederhana, pastikan Anda mengonfigurasi ulang jadwal pencadangan sesuai dengan kebijakan pencadangan organisasi Anda. Detail tambahan jadwal pencadangan FIM tersedia di Panduan Pencadangan dan Pemulihan FIM.
Migrasi Konfigurasi
Hindari mengubah nama tampilan
Untuk banyak jenis objek seperti MPR, skrip syncproduction.ps1 menggunakan nama tampilan sebagai satu-satunya atribut jangkar antara dua sistem. Akibatnya, perubahan pada nama tampilan MPR yang ada menghasilkan penghapusan MPR yang ada, diikuti dengan pembuatan MPR baru. Hasil ini terjadi karena proses migrasi tidak berhasil bergabung dengan MPR yang kriteria gabungannya telah berubah. Untuk menghindari masalah ini, Anda dapat mengikat atribut kustom ke semua jenis objek konfigurasi dan menggunakan atribut tersebut sebagai kriteria gabungan. Proses ini memungkinkan Anda mengubah nama tampilan tanpa memengaruhi proses migrasi.
Hindari mengubah konten file perantara
Meskipun format file dan antarmuka pemrograman aplikasi (API) objek tingkat rendah bersifat publik dan manipulasi didukung oleh pengembang, kami tidak menyarankan Anda mengubah konten format perantara selama migrasi. Namun, mungkin perlu untuk menghapus seluruh ImportObjects dari changes.xml atau untuk melakukan operasi temukan dan ganti pada pilot.xml untuk mengganti nomor versi atau informasi Domain Name System (DNS) pilot untuk informasi DNS produksi.
Pastikan nomor versi sudah benar di pilot.xml saat bermigrasi di seluruh versi
Meskipun migrasi di seluruh nomor versi tidak direkomendasikan atau didukung, Anda sering dapat melakukan migrasi ini dengan mengganti nomor versi pilot dengan nomor versi produksi di pilot.xml. Secara khusus, WorkflowDefinition dan
Objek ActivityInformationConfiguration mengharuskan nomor versi merujuk dengan tepat ke aktivitas alur kerja di lingkungan produksi. Gagal mengganti nomor versi menghasilkan cmdlet Compare-FIMConfig yang mengidentifikasi perbedaan antara atribut Extensible Object Markup Language (XOML) pada WorkflowDefinitions dan memigrasikan nomor versi pilot. Layanan FIM produksi mungkin gagal memulai aktivitas alur kerja dengan nomor versi yang salah.
Hindari referensi siklik
Secara umum, referensi siklik tidak disarankan dalam konfigurasi MIM. Namun, siklus terkadang terjadi ketika Set A mengacu pada Set B dan Set B juga mengacu pada Set A. Untuk menghindari masalah dengan referensi siklik, Anda harus mengubah definisi Set A atau Set B sehingga keduanya tidak saling merujuk. Kemudian, mulai ulang proses migrasi. Jika Anda memiliki referensi siklik dan cmdlet Compare-FIMConfig menghasilkan kesalahan sebagai akibatnya, perlu untuk memutus siklus secara manual. Karena cmdlet Compare-FIMConfig menghasilkan daftar perubahan dalam urutan prioritas, itu mengharuskan tidak ada siklus di antara referensi objek konfigurasi.
Keamanan
Akun MIM MA
Akun MIM MA tidak dianggap sebagai akun layanan dan harus menjadi akun pengguna biasa. Akun harus dapat masuk secara lokal agar akun layanan Layanan Sinkronisasi FIM dapat menirunya.
Untuk mengaktifkan akun MIM MA untuk masuk secara lokal
Klik Mulai, klik Alat Administratif, lalu klik Kebijakan Keamanan Lokal.
Buka simpul Kebijakan Lokal, lalu klik Penetapan Hak Pengguna.
Dalam kebijakan Izinkan masuk secara lokal, pastikan bahwa akun FIM MA ditentukan secara eksplisit, atau tambahkan ke salah satu grup yang sudah diberikan akses.
Layanan Sinkronisasi FIM dan akun Layanan FIM
Untuk mengonfigurasi server yang menjalankan komponen server MIM dengan cara yang aman, akun layanan harus dibatasi. Menggunakan prosedur sebelumnya untuk mengaktifkan akun MIM MA, atur pembatasan berikut pada Layanan Sinkronisasi FIM dan akun Layanan FIM:
Menolak masuk sebagai pekerjaan batch
Tolak masuk secara lokal
Tolak akses ke komputer ini dari jaringan
Akun layanan tidak boleh menjadi anggota grup administrator lokal.
Akun layanan Layanan Sinkronisasi FIM tidak boleh menjadi anggota grup keamanan yang digunakan untuk mengontrol akses ke Layanan Sinkronisasi FIM (grup yang dimulai dengan FIMSync, misalnya, FIMSyncAdmins, dan sebagainya).
Penting
Jika Anda memilih opsi untuk menggunakan akun yang sama untuk akun layanan dan Anda memisahkan Layanan FIM dan Layanan Sinkronisasi FIM, maka Anda tidak dapat mengatur Tolak akses ke komputer ini dari jaringan di server Layanan Sinkronisasi mms. Jika akses ditolak yang akan melarang Layanan FIM menghubungi Layanan Sinkronisasi FIM untuk mengubah konfigurasi dan mengelola kata sandi.
Reset kata sandi yang disebarkan ke komputer seperti kios harus mengatur keamanan lokal untuk menghapus pagefile memori virtual
Saat menyebarkan reset kata sandi FIM pada stasiun kerja yang dimaksudkan untuk menjadi kios, kami menyarankan agar Shutdown: Clear virtual memory pagefile pengaturan kebijakan keamanan lokal diaktifkan untuk memastikan bahwa informasi sensitif dari memori proses tidak tersedia untuk pengguna yang tidak sah.
Menerapkan SSL untuk Portal FIM
Sangat disarankan agar Anda menggunakan lapisan soket aman (SSL) di server Portal FIM untuk mengamankan lalu lintas antara klien dan server.
Untuk mengimplementasikan SSL:
Di server Portal MIM, buka Manajer IIS.
Klik nama komputer lokal.
Klik Sertifikat Server.
Klik Buat Permintaan Sertifikat.
Dalam kotak teks Nama Umum, masukkan nama server.
Klik Berikutnya, lalu klik Berikutnya.
Simpan file ke lokasi mana pun. Anda harus mengakses lokasi ini di langkah-langkah berikutnya.
Telusur https://servername/certsrv. Ganti nama server dengan nama server yang mengeluarkan sertifikat.
Klik Minta Sertifikat baru.
Klik Kirim Permintaan Tingkat Lanjut.
Klik Kirim Permintaan Sertifikat dengan menggunakan base-64-encoded.
Tempelkan konten file yang Anda simpan di langkah sebelumnya.
Di Templat Sertifikat, pilih Server Web.
Klik Kirim.
Simpan sertifikat ke desktop Anda.
Di Manajer IIS, klik Selesaikan Permintaan Sertifikasi.
Arahkan Manajer IIS ke sertifikat yang baru saja Anda simpan ke desktop.
Untuk Nama yang mudah diingat, ketik nama server.
Klik Situs, lalu pilih SharePoint – 80.
Klik Pengikatan, lalu klik Tambahkan.
Pilih https.
Untuk sertifikat, pilih sertifikat yang memiliki nama yang sama dengan server, sertifikat yang baru saja Anda impor.
Klik OK.
Hapus pengikatan HTTP.
Klik Pengaturan SSL, lalu centang Perlu SSL.
Simpan pengaturan.
Klik Mulai, klik Alat Administratif, lalu klik Administrasi Pusat SharePoint 3.0.
Klik Operasi, lalu klik Pemetaan Akses Alternatif.
Klik https://servername.
Ubah https://servername ke https://servername, lalu klik OK.
Klik Mulai, klik Jalankan, ketik iisreset, lalu klik OK.
Performa
Untuk konfigurasi performa yang optimal:
Terapkan praktik terbaik penyiapan SQL seperti yang dijelaskan di bagian penyiapan SQL dalam dokumen ini.
Nonaktifkan Pengindeksan SharePoint di situs Portal MIM. Untuk informasi selengkapnya, lihat bagian Menonaktifkan pengindeksan SharePoint .
Praktik Terbaik Khusus Fitur
Manajemen Permintaan
Secara default MIM 2016 menghapus menyeluruh objek sistem yang kedaluwarsa, yang mencakup permintaan yang selesai dengan persetujuan terkait, respons persetujuan, dan instans alur kerja pada interval 30 hari. Jika organisasi Anda memerlukan riwayat permintaan yang lebih lama, Anda harus mengekspor permintaan dari MIM dan menyimpannya dalam database tambahan untuk mempertahankannya di luar jendela 30 hari. Meskipun jendela penghapusan permintaan 30 hari dapat dikonfigurasi, memperluas jendela ini dapat berdampak negatif pada performa karena objek tambahan dalam sistem.
Aturan Kebijakan Manajemen
Gunakan jenis MPR yang sesuai
MIM menyediakan dua jenis MPR, Permintaan dan Atur Transisi:
Meminta MPR (RMPR)
- Digunakan untuk menentukan kebijakan kontrol akses (autentikasi, otorisasi, dan tindakan) untuk operasi Buat, Baca, Perbarui, atau Hapus (CRUD) terhadap sumber daya,
- Diterapkan ketika operasi CRUD dikeluarkan terhadap sumber daya target di MIM, dan
- Dilingkup oleh kriteria pencocokan yang ditentukan dalam aturan, yaitu, di mana CRUD meminta aturan berlaku.
Mengatur Transisi MPR (TMPR)
- Gunakan untuk menentukan kebijakan terlepas dari bagaimana objek memasuki status saat ini yang diwakili oleh Set Transisi. Gunakan TMPR untuk memodelkan kebijakan pemberian izin.
- Diterapkan saat sumber daya memasuki atau meninggalkan set terkait, dan
- Dilingkupkan ke anggota set.
Catatan
Untuk informasi selengkapnya, lihat Merancang Aturan Kebijakan Bisnis.
Hanya aktifkan MPR seperlunya
Gunakan prinsip hak istimewa paling sedikit saat menerapkan konfigurasi Anda. MPR mengontrol kebijakan akses ke penyebaran MIM Anda. Aktifkan hanya fitur yang digunakan oleh sebagian besar pengguna Anda. Misalnya, tidak semua pengguna menggunakan MIM untuk manajemen grup, sehingga MPR manajemen grup terkait harus dinonaktifkan. Secara default, MIM dikirim dengan sebagian besar izin non-administrator dinonaktifkan.
MPR bawaan duplikat alih-alih memodifikasi secara langsung
Saat perlu memodifikasi MPR bawaan, Anda harus membuat MPR baru dengan konfigurasi yang diperlukan dan menonaktifkan MPR bawaan. Membuat MPR baru ini memastikan bahwa setiap perubahan di masa depan pada MPR bawaan yang diperkenalkan melalui proses peningkatan tidak berdampak negatif pada konfigurasi sistem Anda.
Izin pengguna akhir harus menggunakan daftar atribut eksplisit yang terlingkup dalam kebutuhan bisnis pengguna
Menggunakan daftar atribut eksplisit membantu mencegah pemberian izin yang tidak disengaja kepada pengguna yang tidak memiliki hak istimewa saat atribut ditambahkan ke objek. Administrator harus secara eksplisit perlu memberikan akses ke atribut baru alih-alih mencoba menghapus akses.
Akses ke data harus dilingkup ke kebutuhan bisnis pengguna. Misalnya, anggota grup tidak boleh memiliki akses ke atribut filter grup tempat mereka menjadi anggota. Filter secara tidak sengaja dapat mengungkapkan data organisasi yang biasanya tidak dapat diakses pengguna.
MPR harus mencerminkan izin yang efektif dalam sistem
Hindari memberikan izin ke atribut yang tidak pernah dapat digunakan pengguna. Misalnya, Anda tidak boleh memberikan izin untuk mengubah atribut sumber daya inti seperti objectType. Terlepas dari MPR, setiap upaya untuk memodifikasi jenis sumber daya setelah sumber daya dibuat akan ditolak oleh sistem.
Izin baca harus terpisah dari Izin Modifikasi dan Buat saat menggunakan atribut eksplisit di MPR
Saat secara eksplisit mencantumkan atribut di MPR, atribut yang diperlukan untuk Buat dan Ubah biasanya berbeda dari yang tersedia untuk Baca. Misalnya, Baca dapat diberikan melalui atribut Sistem seperti Creator atau objectId, sementara Buat atau Ubah tidak dapat ditentukan untuk atribut Sistem.
Membuat izin harus terpisah dari Izin modifikasi saat menggunakan atribut eksplisit dalam aturan
Operasi Buat mengharuskan pengguna memilih objectType sebagai bagian dari operasinya. Atribut ini adalah atribut sistem inti yang tidak dapat dimodifikasi setelah operasi Buat.
Gunakan satu MPR permintaan untuk semua atribut dengan persyaratan akses yang sama
Untuk atribut dengan persyaratan akses yang sama yang tidak diharapkan berubah, Anda dapat menggabungkannya menjadi satu MPR permintaan untuk efisiensi.
Hindari memberikan akses tidak terbatas bahkan ke grup utama yang dipilih
Di MIM, izin didefinisikan sebagai pernyataan positif. Karena MIM tidak mendukung izin Tolak, memberikan akses tidak terbatas ke sumber daya yang rumit memberikan pengecualian apa pun dalam izin. Sebagai praktik terbaik, hanya berikan izin yang diperlukan.
Menggunakan TMPR untuk menentukan pemberian izin kustom
Gunakan Set Transisi MPR (TMPR) alih-alih RMPR untuk menentukan pemberian izin kustom. TMPR menyediakan model berbasis status untuk menetapkan atau menghapus hak berdasarkan keanggotaan dalam Set Transisi yang ditentukan, atau peran, dan aktivitas alur kerja yang menyertainya. TMPR harus selalu didefinisikan berpasangan, satu untuk transisi sumber daya, dan satu untuk transisi sumber daya. Selain itu, setiap MPR transisi harus berisi alur kerja terpisah untuk aktivitas provisi dan deprovisi.
Catatan
Alur kerja pembatalan provisi apa pun harus memastikan bahwa atribut Run On Policy Update diatur ke true.
Aktifkan Atur Transisi Di MPR terakhir
Saat membuat pasangan TMPR, aktifkan Atur Transisi Di MPR terakhir. Urutan ini memastikan bahwa tidak ada sumber daya yang dibiarkan dengan penetapan jika ditambahkan ke dan dihapus dari set saat Di MPR diaktifkan tetapi sebelum MPR Keluar diaktifkan.
Alur kerja di TMPR harus memeriksa status sumber daya target terlebih dahulu
Alur kerja provisi harus terlebih dahulu memeriksa untuk menentukan apakah sumber daya target telah disediakan sesuai dengan penetapan. Jika ada, maka itu seharusnya tidak melakukan apa-apa.
Membatalkan provisi alur kerja harus terlebih dahulu memeriksa untuk menentukan apakah sumber daya target telah disediakan. Jika sudah, maka sumber daya target harus dibatalkan provisinya. Jika tidak, itu seharusnya tidak melakukan apa-apa.
Pilih Jalankan Pada Pembaruan Kebijakan untuk TMPR
Pengaturan ini memastikan bahwa perilaku provisi yang benar berlaku ketika pembaruan kebijakan diterapkan dan menggunakan bendera pembaruan Kebijakan RunOn pada alur kerja tindakan yang terkait dengan TMPR, dan perubahan dalam definisi kebijakan menerapkan alur kerja tindakan ke anggota baru Dari Set Transisi.
Hindari mengaitkan penetapan yang sama dengan dua Set Transisi yang berbeda
Mengaitkan hak yang sama dengan dua Set Transisi yang berbeda dapat menyebabkan pencabutan dan pemberian kembali hak yang tidak perlu jika sumber daya berpindah dari satu set ke yang lain. Sebagai praktik terbaik, pastikan bahwa satu set berisi semua sumber daya yang memerlukan penetapan terkait. Prosedur ini memastikan hubungan satu-ke-satu antara Set Transisi dan pemberian hak alur kerja.
Gunakan urutan operasi yang sesuai saat menghapus hak dalam sistem
Urutan langkah-langkah yang dilakukan saat menghapus pemberian izin dalam sistem dapat menghasilkan dua hasil operasional yang berbeda. Pastikan Anda memahami urutan mana yang berlaku untuk efek yang Anda inginkan.
Untuk menghapus hak dari sistem (dan mencabutnya dari semua anggota yang saat ini memegang hak):
Nonaktifkan MPR T-In. Perubahan ini menghindari pemberian baru.
Hapus filter T-Set atau ubah sehingga set kosong. Ini menyebabkan semua anggota yang ada beralih dan menerapkan kebijakan transisi keluar, termasuk alur kerja deprovisi yang dikonfigurasi yang terkait dengan pemberian izin.
Nonaktifkan MPR T-Out.
Untuk menghapus pemberian izin tetapi biarkan anggota saat ini saja (misalnya, berhenti menggunakan MIM untuk mengelola pemberian izin):
Nonaktifkan MPR T-In. Perubahan ini menghindari pemberian baru.
Nonaktifkan MPR T-Out.
Hapus filter T-Set atau ubah sehingga set kosong. Karena set tidak lagi terkait dengan TMPR, tidak ada alur kerja deprovisi yang diterapkan.
Set
Saat menerapkan praktik terbaik untuk set, Anda perlu mempertimbangkan dampak pengoptimalan pada pengelolaan dan kemudahan administrasi di masa depan. Pengujian yang sesuai pada skala produksi yang diharapkan harus dilakukan untuk mengidentifikasi keseimbangan yang tepat antara performa dan pengelolaan sebelum menerapkan rekomendasi ini.
Catatan
Semua panduan berikut berlaku untuk set dinamis dan grup dinamis.
Meminimalkan penggunaan bersarang dinamis
Ini mengacu pada filter set yang mereferensikan atribut ComputedMember dari set lain. Alasan umum untuk set berlapis adalah untuk menghindari duplikasi kondisi keanggotaan di banyak set. Meskipun pendekatan ini dapat mengakibatkan pengelolaan set yang lebih baik, ada tradeoff performa. Anda dapat mengoptimalkan performa dengan menduplikasi kondisi keanggotaan set berlapis alih-alih menumpuk set itu sendiri.
Anda mungkin mengalami kasus di mana Anda tidak dapat menghindari set berlapis untuk memenuhi persyaratan fungsional. Ini adalah situasi utama di mana Anda harus menyarangkan set. Misalnya, untuk menentukan kumpulan semua grup tanpa Full-Time pemilik Karyawan, penangkapan set harus digunakan sebagai berikut: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], di mana 'X' adalah ObjectID dari set Semua Karyawan Penuh Waktu.
Meminimalkan penggunaan kondisi negatif
Kondisi negatif adalah kondisi keanggotaan yang menggunakan operator atau fungsi berikut: !=, , not()\< , \<=. Untuk mengoptimalkan performa, jika memungkinkan, ekspresikan kondisi yang Anda inginkan dengan beberapa kondisi positif daripada sebagai kondisi negatif.
Meminimalkan penggunaan kondisi keanggotaan berdasarkan atribut referensi multinila
Penggunaan kondisi berdasarkan atribut referensi multinila harus diminimalkan karena sejumlah besar set ini dapat memengaruhi performa operasi pada atribut yang digunakan dalam kondisi keanggotaan.
Reset kata sandi
Komputer seperti kios yang digunakan untuk reset kata sandi harus mengatur keamanan lokal untuk menghapus pagefile memori virtual
Saat menyebarkan pengaturan ulang kata sandi MIM pada stasiun kerja yang dimaksudkan untuk menjadi kios, sebaiknya pengaturan kebijakan keamanan lokal Shutdown: Clear virtual memory pagefile diaktifkan untuk memastikan bahwa informasi sensitif dari memori proses tidak tersedia untuk pengguna yang tidak sah.
Pengguna harus selalu mendaftar untuk reset kata sandi di komputer tempat mereka masuk
Ketika pengguna mencoba mendaftar untuk reset kata sandi melalui portal Web, MIM selalu memulai pendaftaran atas nama pengguna yang masuk, terlepas dari siapa yang masuk ke situs Web. Pengguna harus selalu mendaftar untuk reset kata sandi di komputer tempat mereka masuk.
Jangan atur kunci registri AvoidPdcOnWan ke true
Saat menggunakan reset kata sandi MIM 2016, jangan atur kunci registri AvoidPdcOnWan ke true.
Jika kunci registri ini diatur ke true, pengguna sangat mungkin melewati gerbang kata sandi, mengatur ulang kata sandi mereka pada pengendali domain utama (PDC), dan mencoba masuk. Karena kunci registri ini, pengendali domain lokal tidak melakukan validasi sekunder dengan PDC, oleh karena itu menolak permintaan masuk. Jika pengguna ditolak cukup kali, mereka dapat dikunci dari domain dan perlu memanggil dukungan.
Jangan aktifkan pengelogan kata sandi teks-jelas
Dimungkinkan untuk mencatat kata sandi teks yang jelas saat mengaktifkan pelacakan Tingkat Layanan diagnostik di Windows
Communication Foundation (WCF). Opsi ini tidak diaktifkan secara default, dan Anda tidak disarankan untuk mengaktifkannya di lingkungan produksi. Kata sandi ini terlihat sebagai elemen teks jelas dalam pesan Simple Object Access Protocol (SOAP) terenkripsi saat pengguna mendaftar untuk reset kata sandi. Untuk informasi selengkapnya, lihat Mengonfigurasi Pengelogan Pesan.
Jangan memetakan alur kerja otorisasi ke proses reset kata sandi
Anda tidak boleh melampirkan alur kerja otorisasi ke operasi reset kata sandi. Reset kata sandi memerlukan alur kerja respons dan otorisasi sinkron yang berisi aktivitas seperti aktivitas persetujuan bersifat asinkron.
Jangan memetakan beberapa aktivitas tindakan ke reset kata sandi
Anda tidak boleh melampirkan alur kerja yang berisi lebih dari satu aktivitas tindakan ke operasi reset kata sandi. Contoh skenario adalah melampirkan aktivitas reset kata sandi AD DS kedua ke MPR reset kata sandi. Tindakan ini tidak didukung.
Memerlukan reregistrasi saat menambahkan, menghapus, atau mengubah urutan aktivitas dalam alur kerja yang ada
Saat menambahkan, menghapus, atau mengubah urutan aktivitas autentikasi dalam alur kerja yang ada, selalu pilih opsi untuk memerlukan pendaftaran ulang. Pengguna yang mencoba mengautentikasi untuk reset kata sandi setelah aktivitas ditambahkan atau dihapus dari alur kerja, tetapi sebelum mereka mendaftar ulang, mungkin mengalami efek yang tidak diinginkan.
Konfigurasi Portal dan Konfigurasi Tampilan Kontrol Sumber Daya
Pertimbangkan untuk menambahkan penafian privasi ke halaman profil pengguna
Di MIM, secara default, beberapa informasi profil pengguna dapat ditampilkan kepada pengguna lain. Sebagai kesan bagi pengguna, administrator harus mempertimbangkan untuk menambahkan teks kustom yang konsisten dengan kebijakan perusahaan mereka ke halaman Profil Pengguna. Untuk informasi selengkapnya tentang menambahkan teks kustom ke halaman Portal MIM, lihat Pengantar Mengonfigurasi dan Menyesuaikan Portal FIM.
Skema
Jangan hapus tipe sumber daya Orang atau Grup
Meskipun jenis sumber daya Orang dan Grup tidak ditandai sebagai jenis sumber daya Inti, sumber daya itu sendiri atau atribut yang ditetapkan kepada mereka tidak boleh dihapus. Antarmuka pengguna (UI) di Portal MIM mengharuskan jenis sumber daya Orang dan Grup serta atributnya ada.
Jangan ubah atribut inti
Ada 13 atribut Core yang ditetapkan untuk semua jenis sumber daya. Anda tidak boleh memodifikasi hubungan mereka dengan jenis sumber daya apa pun dengan cara apa pun. Atribut 13 Core adalah:
CreatedTime
Pembuat
DeletedTime
Deskripsi
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Lokal
MVObjectID
ObjectID
Jenis Objek
ResourceTime
Jangan menghapus sumber daya skema dengan dependensi pada persyaratan audit
Anda tidak boleh menghapus sumber daya skema saat masih memiliki persyaratan audit untuk sumber daya ini.
Membuat huruf besar/kecil ekspresi reguler tidak peka huruf besar/kecil
Dalam MIM, dapat membantu untuk membuat beberapa ekspresi reguler tidak peka huruf besar/kecil. Anda dapat mengabaikan kasus dalam grup dengan menggunakan ?!:. Misalnya, untuk Jenis Karyawan, gunakan
\^(?!:contractor\|full time employee)%.
Perhitungan atribut anggota
Atribut Anggota yang diekspos ke mesin sinkronisasi sebenarnya dipetakan ke ComputedMembers. Ini adalah kombinasi dari anggota berbasis kriteria dan anggota yang dipilih secara manual. Bahkan jika Anda menambahkan ketiga atribut, (Filter, ExplicitMembers, dan ComputedMembers), perhitungan dinamis atribut anggota tidak terjadi untuk jenis sumber daya selain untuk grup dan set.
Spasi di depan dan di belakang dalam string diabaikan
Di MIM, Anda dapat memasukkan string dengan spasi di depan dan di belakang, tetapi sistem MIM mengabaikan spasi tersebut. Jika Anda mengirimkan string dengan ruang di depan dan di belakang, mesin sinkronisasi dan layanan Web mengabaikan ruang tersebut.
String kosong tidak sama dengan null
String kosong tidak sama dengan null dalam rilis MIM ini. Input string kosong dianggap sebagai nilai yang valid. Tidak ada dianggap sebagai null.
Alur Kerja dan Pemrosesan Permintaan
Jangan hapus alur kerja default yang dikirim dengan MIM 2016
Alur kerja berikut dikirim dengan MIM dan tidak boleh dihapus:
Alur Kerja Kedaluwarsa
Filter Alur Kerja Validasi untuk Administrator
Filter Alur Kerja Validasi untuk Non-Administrator
Alur Kerja Pemberitahuan Kedaluwarsa Grup
Alur Kerja Validasi Grup
Alur Kerja Persetujuan Pemilik
Alur Kerja Tindakan Reset Kata Sandi
Atur Ulang Kata Sandi Alur Kerja Autentikasi
Validasi Pemohon Dengan Otorisasi Pemilik
Validasi Pemohon Tanpa Otorisasi Pemilik
Alur Kerja Sistem Diperlukan untuk Pendaftaran
Jangan menjalankan dua atau beberapa Aktivitas Persetujuan secara paralel
Anda tidak boleh menjalankan dua atau beberapa Aktivitas Persetujuan secara paralel. Melakukannya dapat menyebabkan permintaan macet dalam fase otorisasi. Untuk beberapa persetujuan, sertakan daftar pemberi persetujuan yang lebih besar dalam persetujuan atau urutan dua aktivitas secara back-to-back.
Aktivitas otorisasi tidak boleh mengubah data sumber daya MIM
Hindari menggunakan aktivitas yang memodifikasi sumber daya MIM, seperti Aktivitas Evaluator Fungsi, sebagai bagian dari alur kerja dalam alur kerja otorisasi. Karena permintaan belum diterapkan saat berada di titik otorisasi pemrosesan, modifikasi apa pun yang dilakukan pada informasi identitas dapat diterapkan meskipun permintaan mungkin ditolak.
Memahami Partisi Layanan FIM
Tujuan MIM adalah untuk memproses permintaan yang dapat dimulai oleh berbagai klien MIM seperti layanan sinkronisasi FIM dan komponen layanan mandiri sesuai dengan kebijakan bisnis anda yang dikonfigurasi. Secara desain, setiap instans layanan FIM termasuk dalam grup logis yang terdiri dari satu atau beberapa instans layanan FIM, yang juga dikenal sebagai partisi layanan FIM. Jika Anda hanya memiliki satu instans layanan FIM yang disebarkan untuk menangani semua permintaan, ada kemungkinan Anda mengalami latensi pemrosesan. Beberapa operasi bahkan dapat melebihi nilai batas waktu default yang sesuai untuk operasi layanan mandiri. Partisi layanan FIM dapat membantu Anda mengatasi masalah ini.
Untuk informasi selengkapnya, lihat Memahami Partisi Layanan FIM.