Installare MIM 2016: sincronizzare Active Directory e il servizio MIM
Nota
Questa procedura dettagliata usa nomi e valori di esempio di un'azienda chiamata Contoso. Sostituisci questi con i tuoi. Per esempio:
- Nome controller di dominio - mimservername
- Nome di dominio - contoso
- Password - Pass@word1
Per impostazione predefinita, il servizio di sincronizzazione MIM (sincronizzazione) non dispone di connettori configurati. Un primo passaggio tipico consiste nell'usare la sincronizzazione MIM per popolare il database del servizio MIM con account Active Directory esistenti. A tale scopo, si userà l'applicazione del servizio di sincronizzazione MIM.
L'agente di gestione MIM (MA) è un connettore per la sincronizzazione MIM con il servizio MIM. Per creare questo connettore, usare la procedura guidata Crea agente di gestione.
Quando si configura un agente di gestione MIM, è necessario specificare un account utente. Questo documento usa MIMMA come nome per questo account.
Nota
L'account usato per l'agente di gestione MIM deve essere lo stesso account specificato durante l'installazione del servizio MIM. Se si prevede di abilitare la funzionalità "Usa account MIMSync", è necessario installare il servizio di sincronizzazione MIM usando l'account del servizio gestito del gruppo.
Aprire il Gestore del Servizio di Sincronizzazione.
Per aprire la procedura guidata Crea agente di gestione, passare alla pagina Agenti di gestione e quindi scegliere Creadal menu Azioni.
Nella pagina Crea agente di gestione specificare le impostazioni seguenti e quindi fare clic su Avanti.
Agente di gestione per: agente di gestione del servizio FIM
Nome: MIMMA
Nella pagina Connetti al database specificare le impostazioni seguenti e quindi fare clic su Avanti
Server: localhost
Database: FIMService
Indirizzo di base del servizio MIM: http://localhost:5725
Modalità di autenticazione: autenticazione integrata di Windows
Nome utente: mimma
Password: Pass@word
Dominio: contoso
Nella pagina tipi di oggetto selezionati verificare che siano selezionati i tipi di oggetto elencati di seguito e quindi fare clic su Avanti
DetectedRuleEntry
VoceRegolaAttesa
Gruppo
Persona
Regola di Sincronizzazione
Nella pagina Attributi selezionati, selezionare Mostra tutto e verificare che siano selezionati tutti gli attributi elencati, e quindi fare clic su Avanti.
Nella pagina Configura filtro connettore, fare clic su Avanti.
Nella pagina Configure Object Type Mappings (Configura mapping dei tipi di oggetto) aggiungere il mapping seguente e quindi fare clic su Avanti
- Selezionare Persona nell'elenco tipo di oggetto origine dati .
- Fare clic Aggiungi Mapping per aprire la finestra di dialogo Mapping.
- Selezionare persona nell'elenco tipo di oggetto Metaverse.
- Fare clic su OK per chiudere la finestra di dialogo Mapping.
- Selezionare Gruppo nell'elenco Tipo di Oggetto Origine Dati.
- Fare clic su aggiungi mapping per aprire la finestra di dialogo Mapping.
- Selezionare gruppo nella lista di tipo di oggetto del Metaverse .
- Fare clic su OK per chiudere la finestra di dialogo Mapping.
Nella pagina Configura flusso di attributi, creare le mappature dei flussi di attributi come illustrato di seguito e quindi fare clic su Avanti
Selezionare Person come origine dati e tipi di oggetto Metaverse.
Selezionare Direct come tipo di mappatura.
Per ogni riga della tabella seguente, completare questi passaggi:
Selezionare la direzione del flusso visualizzata per quella riga nella tabella.
Selezionare l'attributo origine dati visualizzato per tale riga nella tabella.
Selezionare il attributo Metaverse visualizzato per tale riga nella tabella.
Per applicare il mapping del flusso, fare clic su Nuovo.
attributo origine dati direzione del flusso Attributo Metaverse AccountName Esportazione accountName Nome visualizzato Esportazione nome visualizzato Dominio Esportazione dominio Posta elettronica Esportazione posta elettronica EmployeeID Esportazione ID dipendente TipoDipendente Esportazione tipoDipendente Nome di battesimo Esportazione nome Cognome Esportazione lastName ObjectSID Esportazione objectSid Selezionare Group come tipo di origine dati e tipi di oggetto Metaverse.
Selezionare Direct come tipo di mappatura.
Per ogni riga della tabella seguente, completare questi passaggi:
Selezionare la direzione flusso visualizzata per la riga nella tabella.
Selezionare l'attributo origine dati visualizzato per tale riga nella tabella.
Selezionare il attributo Metaverse visualizzato per tale riga nella tabella.
Per applicare la mappatura del flusso, fare clic su Nuovo.
attributo origine dati direzione del flusso Attributo Metaverse AccountName Esportazione accountName Nome visualizzato Esportazione nome visualizzato Dominio Esportazione dominio Posta elettronica Esportazione posta elettronica MailNickName Esportazione mailSoprannome Membro Esportazione membro ObjectSID Esportazione objectSid (identificatore univoco dell'oggetto) Ambito Esportazione scopo TIPO Esportazione tipo FlussoAggiungiIscrizione Esportazione flusso di lavoro per l’aggiunta di membri IscrizioneBloccata Esportazione iscrizioneBloccata AccountName Importazione accountName ProprietarioVisualizzato Importazione proprietario visualizzato Nome visualizzato Importazione nome visualizzato MailNickName Importazione mailNickname Membro Importazione membro Ambito Importazione scopo TIPO Importazione tipo Nella pagina Configurazione del Deprovisioning, fare clic su Avanti
Per creare l'agente di gestione, nella pagina Configura Estensioni, fare clic su Fine.
L'agente di gestione di Active Directory è un connettore per Servizi di dominio Active Directory. Per creare questo connettore, usare la procedura guidata Crea agente di gestione.
Per aprire la procedura guidata di creazione dell'agente di gestione, fare clic su Creanel menu Azioni.
Nella pagina Crea agente di gestione specificare le impostazioni seguenti e quindi fare clic su Avanti:
- Agente di gestione per: Active Directory Domain Services
- Nome: ADMA
Nella pagina Connetti alla foresta Active Directory specificare le seguenti configurazioni e quindi fare clic su Avanti:
- Nome foresta: contoso.local
- Nome utente: amministratore
- Password: <la password dell'account>
- Dominio: contoso
Nella pagina Configura partizioni directory specificare le impostazioni seguenti e quindi fare clic su Avanti:
Nell'elenco delle partizioni di directory selezionare DC=CONTOSO, DC=local.
Per aprire la finestra di dialogo Seleziona contenitori, fare clic su Contenitori.
Se si vuole modificare il contenitore in modo che disponga solo di oggetti gestiti da MIM in un determinato contenitore, fare clic sul nodo DC=CONTOSO,DC=local e quindi fare clic sul nodo per il contenitore di interesse.
Per chiudere la finestra di dialogo Seleziona contenitori, fare clic su OK.
Nella pagina Configura Gerarchia di Provisioning, fare clic su Avanti.
Nella pagina Seleziona tipi di oggetto specificare le impostazioni seguenti e quindi fare clic su Avanti:
- Nell'elenco Tipi di oggetto, selezionare utente e gruppo.
Nella pagina Seleziona attributi seleziona Mostra TUTTI, seleziona i seguenti attributi e quindi fai clic su Avanti:
- azienda
- nome visualizzato
- ID dipendente
- tipoDipendente
- givenName
- tipoGruppo
- managedBy
- direttore
- membro
- objectSid
- sAMAccountName
- sAMAccountType
- sn
- unicodePwd
- userAccountControl
Nella pagina Configura filtro connettore, fare clic su Avanti.
Nella pagina Configura le regole di unione e proiezione, fare clic su Avanti.
Nella pagina Configurare il flusso degli attributi, fare clic su Avanti.
Nella pagina Configura Deprovisioning, fare clic su Avanti.
Nella pagina Configura estensioni fare clic su Fine.
Creare profili di esecuzione per i connettori ADMA e MIMMA.
Questa tabella mostra i cinque profili di esecuzione che verranno creati per il connettore ADMA:
| Nome | TIPO |
|---|---|
| Profile1 | Importazione completa (solo in fase di preparazione) |
| Profile2 | Sincronizzazione completa |
| Profile3 | Importazione Delta - solo fase |
| Profile4 | Sincronizzazione differenziale |
| Profile5 | Esportazione |
Per creare profili di esecuzione per il connettore ADMA:
Aprire Synchronization Service Manager e dal menu Tools, scegliere Management Agents.
Nell'elenco Management Agents selezionare ADMA.
Per aprire la finestra di dialogo per la configurazione dei profili di esecuzione, nel menu Azioni, fare clic su Configura profili di esecuzione.
Per ogni profilo di esecuzione nella tabella, completare i seguenti passaggi:
Per aprire la procedura guidata Configura profilo di esecuzione, fare clic su Nuovo profilo.
Nella casella Nome digitare il nome del profilo dalla tabella e fare clic su Avanti.
Nell'elenco Tipo seleziona il tipo di passaggio dalla tabella e quindi fai clic su Avanti.
Fare clic su Fine per creare il profilo di esecuzione.
Per chiudere la finestra di dialogo Configura profili di esecuzione, fare clic su OK.
Questa tabella mostra i cinque profili di esecuzione corrispondenti per il connettore MIMMA:
| Nome | TIPO |
|---|---|
| Profilo1 | Importazione completa (solo fase) |
| Profile2 | Sincronizzazione completa |
| Profile3 | Importazione delta (solo fase) |
| Profile4 | Sincronizzazione differenziale |
| Profile5 | Esportazione |
Per creare profili di esecuzione per il connettore MIMMA:
Aprire il Synchronization Service Manager e dal menu Strumenti, scegliere Agenti di gestione.
Nell'elenco Management Agents, selezionare MIMMA.
Per aprire la finestra di dialogo Configura profili di esecuzione, nel menu Azioni fare clic su Configura profili di esecuzione.
Per ogni profilo di esecuzione nella tabella, segui i passaggi seguenti:
Per aprire la procedura guidata Configura profilo di esecuzione, fare clic su Nuovo profilo.
Nella casella Nome, digitare il nome del profilo nella tabella e fare clic su Avanti.
Nell'elenco Tipo, seleziona il tipo di passaggio dalla tabella e quindi fai clic su Avanti.
Fare clic su Fine per creare il profilo di esecuzione.
Per chiudere la finestra di dialogo Configura profili di esecuzione, fare clic su OK.
Usando il portale MIM, creerai la regola di sincronizzazione in ingresso dell'utente di AD per il servizio MIM.
Per creare la regola di sincronizzazione in ingresso dell'utente di Active Directory:
Nella home page del portale MIM, nella barra di navigazione, cliccare su Amministrazione.
Per aprire la pagina Regole di sincronizzazione, fare clic su Regole di sincronizzazione.
Per aprire la procedura guidata Crea regola di sincronizzazione, nella barra degli strumenti, fare clic su Nuovo.
Nella scheda Generale specificare le informazioni seguenti e quindi fare clic su Avanti:
- Nome visualizzato: Regola di sincronizzazione in ingresso utente AD
- Direzione del flusso: in entrata
Nella scheda Ambito specificare le informazioni seguenti e quindi fare clic su Avanti:
- Tipo di risorsa metaverse: persona
- Sistema esterno: ADMA
- Tipo di risorsa sistema esterno: utente
Nella scheda relazione specificare le informazioni seguenti e quindi fare clic su Avanti:
Per configurare i criteri di relazione, selezionare ObjectSID dall'elenco MetaverseObject:person(Attribute) e dall'elenco ConnectedSystemObject:person(Attribute).To configure the Relationship Criteria, select ObjectSID from the MetaverseObject:person(Attribute) list.
Selezionare Crea risorsa in FIM.
Nella pagina flusso di attributi in ingresso, specificare le informazioni seguenti e quindi fare clic su Avanti:
Regola di flusso Fonte Destinazione Regola 1 samAccountName accountName Regola 2 nome visualizzato nome visualizzato Regola 3 TipoDipendente tipo di dipendente Regola 4 givenName nome Regola 5 sn lastName Regola 6 Direttore direttore Regola 7 objectSID ObjectSID Regola 8 "Contoso" dominio Per ogni riga di questa tabella, seguire questa procedura:
Per aprire la finestra di dialogo Definizione flusso, fare clic su Nuovo flusso di attributi.
Nella scheda Origine, selezionare l'attributo visualizzato per quella riga nella tabella.
Nella scheda Destinazione, selezionare l'attributo visualizzato per tale riga nella tabella.
Per applicare la configurazione del flusso di attributi, fare clic su OK.
Nella scheda Riepilogo fare clic su Invia.
Prima di testare la configurazione MIM con i dati di ACTIVE Directory, è necessario eseguire quattro passaggi:
Apri il Synchronization Service Manager.
Per aprire la finestra di dialogo Opzioni, nel menu Strumenti fare clic su Opzioni
Selezionare Abilita provisioning delle regole di sincronizzazione.
Per chiudere la finestra di dialogo Opzioni, fare clic su OK.
Eseguire un ciclo di sincronizzazione completo su questo connettore. Il ciclo completo è costituito dai profili di esecuzione seguenti:
- Importazione completa
- Sincronizzazione completa
- Esportazione
- Importazione Delta
Seguire questa procedura per eseguire ognuno dei quattro profili di esecuzione.
Aprire il Synchronization Service Manager e, nel menu Strumenti, fare clic su Agenti di Gestione.
Nell'elenco Management Agents selezionare MIMMA.
Per aprire la finestra di dialogo Esegui l'agente di gestione, nel menu Azioni, fare clic su Esegui.
Per ogni profilo di esecuzione elencato sopra, completare i seguenti passaggi:
Per aprire la finestra di dialogo Esegui agente di gestione, nel menu Azioni fare clic su Esegui.
Nell'elenco Profili di esecuzione, selezionare il profilo di esecuzione che vuoi eseguire.
Per avviare il profilo di esecuzione, fare clic su OK.
Durante l'inizializzazione del connettore MIM, le regole di sincronizzazione configurate sono state inserite nel metaverse.
Modificare la precedenza del flusso dell'attributo per gli attributi forniti da questo connettore per assicurarsi che gli attributi già presenti in AD possano fluire nel metaverse e successivamente anche nel database del servizio MIM.
Per inizializzare il connettore Active Directory, è necessario eseguire un'importazione completa e una sincronizzazione completa. L'importazione completa inserisce gli oggetti esistenti da AD nello spazio connettore. La sincronizzazione completa aggiorna le regole di sincronizzazione in modo che corrispondano a quelle del connettore MIM.
Aprire Synchronization Service Manager e nel menu Tools fare clic su Management Agents.
Nell'elenco Management Agents , selezionare ADMA.
Per aprire la finestra di dialogo Esegui agente di gestione, fare clic su Eseguinel menu Azioni .
Per ogni profilo di esecuzione elencato sopra, completate i passaggi seguenti:
Per aprire la finestra di dialogo dell'agente di gestione, nel menu Azioni fare clic su Esegui.
Nell'elenco Esegui profili selezionare il profilo di esecuzione desiderato.
Per avviare il profilo di esecuzione, fare clic su OK.
Per popolare il database del servizio MIM con gli oggetti , è necessario eseguire un ciclo di sincronizzazione nel connettore MIMMA. Il ciclo è costituito da:
- Esportazione
- Importazione completa
- Sincronizzazione completa
Seguire questa procedura per eseguire ognuno dei tre profili di esecuzione.
Aprire Synchronization Service Manager e fare clic su Management Agents nel menu Tools.
Selezionare MIMMA nell'elenco agenti di gestione.
Fare clic su Esegui sul menu Azioni per aprire la finestra di dialogo Esegui agente di gestione.
Per ogni profilo di esecuzione elencato sopra, completare i passaggi seguenti:
- Fare clic su Esegui nel menu Azioni per aprire la finestra di dialogo Esegui agente di gestione.
- Selezionare il profilo di esecuzione che si desidera eseguire dall'elenco profili di esecuzione.
- Fare clic su OK per avviare il profilo di esecuzione.