Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive il connettore LDAP generico. L'articolo si applica ai prodotti seguenti:
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
Per MIM2016, il connettore è disponibile come download dal Centro Download Microsoft .
Quando si fa riferimento alle RFC IETF, questo documento usa il formato (RFC [numero RFC]/[sezione nel documento RFC]), ad esempio (RFC 4512/4.3). Per altre informazioni, vedere https://tools.ietf.org/. Nel pannello sinistro immettere un numero RFC nella finestra di dialogo recupero documenti e testarlo per assicurarsi che sia valido.
Nota
Microsoft Entra ID ora offre una soluzione semplice basata su agente per il provisioning degli utenti in un server LDAPv3, senza bisogno di una distribuzione di sincronizzazione MIM. Consigliamo di usarlo per il provisioning degli utenti in uscita. Altre informazioni.
Panoramica del connettore LDAP generico
Il connettore LDAP generico consente di integrare il servizio di sincronizzazione con un server LDAP v3.
Alcune operazioni e elementi dello schema, ad esempio quelli necessari per eseguire l'importazione differenziale, non vengono specificati nelle RFC IETF. Per queste operazioni, sono supportate solo le directory LDAP specificate in modo esplicito.
Per la connessione alle directory, testiamo l'utilizzo dell'account root/amministratore. Per usare un account diverso per applicare autorizzazioni più granulari, potrebbe essere necessario esaminare con il team di directory LDAP.
La versione corrente del connettore supporta queste funzionalità:
| Caratteristica / Funzionalità | Assistenza |
|---|---|
| Fonte dati connessa | Il connettore è supportato con tutti i server LDAP v3 (conforme a RFC 4510), tranne quando viene indicato come non supportato. È stato testato con questi server di directory:
|
| Scenari | |
| Operazioni | In tutte le directory LDAP sono supportate le operazioni seguenti: |
| Diagramma |
Supporto per l'importazione delta e la gestione delle password
Directory supportate per l'importazione delta e la gestione delle password:
- Microsoft Active Directory Lightweight Directory Services (AD LDS)
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password
- Catalogo globale di Microsoft Active Directory (AD GC)
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password
- Server di directory 389
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password e la modifica della password
- Apache Directory Server
- Non supporta l'importazione differenziale perché questa directory non dispone di un log delle modifiche persistente
- Supporta l'impostazione della password
- IBM Tivoli DS
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password e la modifica della password
- Isode Directory
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password e la modifica della password
- Novell eDirectory e NetIQ eDirectory
- Supporta operazioni di aggiunta, aggiornamento e ridenominazione per l'importazione differenziale
- Non supporta le operazioni di eliminazione per il delta import.
- Supporta l'impostazione della password e la modifica della password
- Apri il DJ
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password e la modifica della password
- Apri DS
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password e la modifica della password
- Open LDAP (openldap.org)
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password
- Non supporta la modifica della password
- Oracle (in precedenza Sun) Directory Server Enterprise Edition
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password e la modifica della password
- Server di directory virtuale RadiantOne (VDS)
- Deve usare la versione 7.1.1 o successiva
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password e la modifica della password
- Sun One Directory Server
- Supporta tutte le operazioni per l'importazione delta
- Supporta l'impostazione della password e la modifica della password
Prerequisiti
Prima di usare il connettore, assicurarsi di disporre degli elementi seguenti nel server di sincronizzazione:
- Microsoft .NET 4.6.2 Framework o versione successiva
La distribuzione di questo connettore può richiedere modifiche alla configurazione del server di directory, nonché modifiche alla configurazione in MIM. Per le distribuzioni che coinvolgono l'integrazione di MIM con un server directory di terze parti in un ambiente di produzione, è consigliabile che i clienti lavorino con il fornitore del server directory o un partner di distribuzione per assistenza, indicazioni e supporto per questa integrazione.
Rilevamento del server LDAP
Il connettore si basa su varie tecniche per rilevare e identificare il server LDAP. Il connettore usa root DSE, nome fornitore/versione e controlla lo schema per trovare oggetti e attributi univoci noti per esistere in determinati server LDAP. Questi dati, se trovati, vengono usati per precompilare le opzioni di configurazione nel connettore.
Autorizzazioni per l'origine dati connessa
Per eseguire operazioni di importazione ed esportazione sugli oggetti nella directory connessa, l'account connettore deve disporre di autorizzazioni sufficienti. Il connettore deve disporre delle autorizzazioni di scrittura per poter esportare e leggere le autorizzazioni per poter importare. La configurazione delle autorizzazioni viene eseguita all'interno delle funzionalità di gestione della directory di destinazione stessa.
Porte e protocolli
Il connettore usa il numero di porta specificato nella configurazione, che per impostazione predefinita è 389 per LDAP e 636 per LDAPS.
Per LDAPS, è necessario usare SSL 3.0 o TLS. SSL 2.0 non è supportato e non può essere attivato.
Controlli e funzionalità necessari
Per il corretto funzionamento del connettore, è necessario che nel server LDAP siano disponibili i controlli/funzionalità LDAP seguenti:
1.3.6.1.4.1.4203.1.5.3 filtri Vero/Falso
Il filtro True/False spesso non viene segnalato come supportato dalle directory LDAP e potrebbe essere visualizzato nella pagina globale in Funzionalità obbligatorie non trovate. Viene usato per creare filtri OR nelle query LDAP, ad esempio durante l'importazione di più tipi di oggetto. Se è possibile importare più tipi di oggetto, il server LDAP supporta questa funzionalità.
Se si usa una directory in cui un identificatore univoco è l'ancoraggio, è necessario che sia disponibile anche la funzionalità seguente. Per altre informazioni, vedere la sezione Configurare ancoraggi.
1.3.6.1.4.1.4203.1.5.1 Tutti gli attributi operativi
Se la directory contiene più oggetti di quanti ne possano essere gestiti in una singola chiamata alla directory, è consigliabile usare la paginazione. Per il funzionamento del paging, è necessaria una delle seguenti opzioni.
Opzione 1:
1.2.840.113556.1.4.319 controlloRisultatiPaginati
Opzione 2:
2.16.840.1.113730.3.4.9 VLVControl
1.2.840.113556.1.4.473 SortControl
Se entrambe le opzioni sono abilitate nella configurazione del connettore, viene usato pagedResultsControl.
1.2.840.113556.1.4.417 MostraControlloCancellato
ShowDeletedControl viene usato solo con il metodo di importazione delta USNChanged per poter visualizzare gli oggetti eliminati.
Il connettore tenta di rilevare le opzioni presenti nel server. Se non è possibile rilevare le opzioni, viene visualizzato un avviso nella pagina Globale nelle proprietà del connettore. Non tutti i server LDAP presentano tutti i controlli/funzionalità supportati e, anche se questo avviso è presente, il connettore potrebbe funzionare senza problemi.
Importazione di delta
L'importazione differenziale è disponibile solo quando è stata rilevata una directory che la supporta. Attualmente vengono usati i metodi seguenti:
- Accesslog LDAP. Vedere http://www.openldap.org/doc/admin24/overlays.html#Access registrazione
- Log delle modifiche LDAP. Fare riferimento a http://tools.ietf.org/html/draft-good-ldap-changelog-04
- Timestamp. Per Novell/NetIQ eDirectory, il connettore usa l'ultima data/ora per creare e aggiornare gli oggetti. Novell/NetIQ eDirectory non fornisce un mezzo equivalente per recuperare gli oggetti eliminati. Questa opzione può essere usata anche se non è attivo alcun altro metodo di importazione differenziale nel server LDAP. Questa opzione non è in grado di importare oggetti eliminati.
- USNChanged. Vedere: https://msdn.microsoft.com/library/ms677627.aspx
Non supportato
Le funzionalità LDAP seguenti non sono supportate:
- Segnalazioni LDAP tra server (RFC 4511/4.1.10)
Creare un nuovo connettore
Per creare un connettore LDAP generico, nel Servizio di Sincronizzazione selezionare Agente di Gestione e Crea. Selezionare il Connettore LDAP generico (Microsoft).
Connettività
Nella pagina Connettività è necessario specificare le informazioni host, porta e binding. A seconda dell'opzione Binding selezionata, è possibile specificare informazioni aggiuntive nelle sezioni seguenti.
- L'impostazione Connection Timeout viene utilizzata solo per la prima connessione al server quando viene rilevato lo schema.
- Se Binding è Anonimo, non vengono usati nome utente/password né certificato.
- Per altre associazioni, immettere le informazioni in nome utente/password o selezionare un certificato.
- Se si usa Kerberos per l'autenticazione, fornire anche l'area di autenticazione/dominio dell'utente.
La casella di testo alias dell'attributo è utilizzata per gli attributi definiti nello schema con sintassi RFC4522. Questi attributi non possono essere rilevati durante il rilevamento dello schema e il connettore deve essere configurato separatamente. Ad esempio, la stringa seguente deve essere immessa nella casella alias dell'attributo per identificare correttamente l'attributo userCertificate come attributo binario:
userCertificate;binary
La tabella seguente è un esempio dell'aspetto di questa configurazione:
Selezionare la casella di controllo per includere gli attributi operativi nello schema, per includere anche gli attributi creati dal server. Questi includono attributi, ad esempio quando l'oggetto è stato creato e l'ora dell'ultimo aggiornamento.
Selezionare Includi attributi estendibili nello schema se vengono usati oggetti estendibili (RFC4512/4.3) e l'abilitazione di questa opzione consente l'uso di ogni attributo in tutti gli oggetti. Se si seleziona questa opzione, lo schema risulta molto grande, a meno che la directory connessa non usi questa funzionalità, è consigliabile mantenere deselezionata l'opzione.
Parametri globali
Nella pagina Global Parameters (Parametri globali) si configura il DN per il registro delle modifiche delta e per le funzionalità LDAP aggiuntive. La pagina è prepopolata dalle informazioni fornite dal server LDAP.
La sezione superiore mostra le informazioni fornite dal server stesso, ad esempio il nome del server. Il connettore verifica anche che i controlli obbligatori siano presenti nel Root DSE. Se questi controlli non sono elencati, viene visualizzato un avviso. Alcune directory LDAP non elencano tutte le funzionalità di Root DSE ed è possibile che il connettore funzioni senza problemi anche se è presente un avviso.
Le caselle di controllo supportate controllano il comportamento per determinate operazioni:
- Con l'eliminazione dell'albero selezionata, una gerarchia viene eliminata con una chiamata LDAP. Se l'opzione di eliminazione dell'albero non è selezionata, il connettore esegue un'eliminazione ricorsiva, se necessario.
- Con i risultati paginati selezionati, il connettore esegue un'importazione paginata con la dimensione specificata nei passaggi di esecuzione.
- VLVControl e SortControl sono un'alternativa a pagedResultsControl per leggere i dati dalla directory LDAP.
- Se tutte e tre le opzioni (pagedResultsControl, VLVControl e SortControl) non sono selezionate, il connettore importa tutto l'oggetto in un'unica operazione, che potrebbe non riuscire se si tratta di una directory di grandi dimensioni.
- ShowDeletedControl è utilizzato solo quando il metodo di importazione Delta è USNChanged.
Il DN del registro delle modifiche è il contesto di denominazione utilizzato dal log delle modifiche delta, ad esempio cn=changelog. Questo valore deve essere specificato per poter eseguire l'importazione differenziale.
La tabella seguente elenca i DN predefiniti del registro delle modifiche.
| Directory | Log delle modifiche delta |
|---|---|
| Microsoft AD LDS e AD GC | Rilevato automaticamente. USNChanged. |
| Apache Directory Server | Non disponibile. |
| Directory 389 | Log delle modifiche. Valore predefinito da usare: cn=changelog |
| IBM Tivoli DS | Log delle modifiche. Valore predefinito da usare: cn=changelog |
| Isode Directory | Log delle modifiche. Valore predefinito da usare: cn=changelog |
| Novell/NetIQ eDirectory | Non disponibile. Timestamp. Il connettore usa la data/ora dell'ultimo aggiornamento per ottenere record aggiunti e aggiornati. |
| Aprire DJ/DS | Log delle modifiche. Valore predefinito da usare: cn=changelog |
| Aprire LDAP | Log di accesso. Valore predefinito da usare: cn=accesslog |
| Oracle DSEE | Log delle modifiche. Valore predefinito da usare: cn=changelog |
| RadiantOne VDS | Directory virtuale. Dipende dalla directory connessa a VDS. |
| Sun One Directory Server | Log delle modifiche. Valore predefinito da usare: cn=changelog |
L'attributo password è il nome dell'attributo che il connettore deve usare per impostare la password nelle operazioni di modifica e impostazione della password. Questo valore è impostato per impostazione predefinita su userPassword, ma può essere modificato quando necessario per un particolare sistema LDAP.
Nell'elenco di partizioni aggiuntive è possibile aggiungere spazi dei nomi aggiuntivi non rilevati automaticamente. Ad esempio, questa impostazione può essere usata se più server costituiscono un cluster logico, che deve essere importato contemporaneamente. Proprio come Active Directory può avere più domini in una foresta, ma tutti i domini condividono uno schema, lo stesso può essere simulato immettendo i namespace aggiuntivi in questo box. Ogni namespace può importare da server diversi e viene ulteriormente configurato nella pagina Configura partizioni e gerarchie. Usare CTRL+INVIO per ottenere una nuova riga.
Configura la gerarchia di approvvigionamento
Questa pagina viene usata per eseguire il mapping del componente DN, ad esempio OU, al tipo di oggetto di cui eseguire il provisioning, ad esempio organizationalUnit.
Configurando la gerarchia di provisioning, è possibile configurare il connettore per creare automaticamente una struttura quando necessario. Ad esempio, se è presente uno spazio dei nomi dc=contoso,dc=com e un nuovo oggetto cn=Joe, ou=Seattle, c=US, dc=contoso, dc=com viene creato mediante provisioning, il connettore può creare un oggetto di tipo paese per gli Stati Uniti e un'unità organizzativa per Seattle se questi oggetti non sono già presenti nella directory.
Configurare partizioni e gerarchie
Nella pagina delle partizioni e gerarchie, seleziona tutti i namespace con gli oggetti che intendi importare ed esportare.
Per ogni spazio dei nomi, è anche possibile configurare le impostazioni di connettività che sostituirebbero i valori specificati nella schermata Connettività. Se questi valori vengono lasciati al valore vuoto predefinito, vengono usate le informazioni della schermata Connettività.
È anche possibile selezionare i contenitori e le unità organizzative in cui il connettore deve importare ed esportare.
Quando si esegue una ricerca, questa operazione viene eseguita in tutti i contenitori nella partizione. Nei casi in cui sono presenti un numero elevato di contenitori, questo comportamento comporta una riduzione delle prestazioni.
Nota
A partire dall'aggiornamento di marzo 2017 alle ricerche del connettore LDAP generico, l'ambito può essere limitato solo ai contenitori selezionati. A tale scopo, selezionare la casella di controllo "Cerca solo nei contenitori selezionati", come illustrato nell'immagine seguente.
Configurare ancoraggi
Questa pagina ha sempre un valore preconfigurato e non può essere modificata. Se il fornitore del server è stato identificato, l'ancoraggio potrebbe essere popolato con un attributo non modificabile, ad esempio il GUID per un oggetto . Se non è stato rilevato o non ha un attributo non modificabile, il connettore usa dn (nome distinto) come ancoraggio.
La tabella seguente è un elenco di server LDAP e l'ancoraggio usato:
| Directory | Attributo di ancoraggio |
|---|---|
| Microsoft AD LDS e AD GC | objectGUID |
| 389 Directory Server | dn |
| Apache Directory | dn |
| IBM Tivoli DS | dn |
| Isode Directory | dn |
| Novell/NetIQ eDirectory | Identificatore Unico Globale (GUID) |
| Aprire DJ/DS | dn |
| Aprire LDAP | dn |
| Oracle ODSEE | dn |
| RadiantOne VDS | dn |
| Sun One Directory Server | dn |
Altre note
Questa sezione fornisce informazioni sugli aspetti specifici di questo connettore o per altri motivi sono importanti da conoscere.
Importazione di delta
L'indicatore delta in Open LDAP è la data/ora UTC. Per questo motivo, gli orologi tra il servizio di sincronizzazione FIM e Open LDAP devono essere sincronizzati. In caso contrario, alcune voci nel log delle modifiche differenziali potrebbero essere omesse.
Per Novell eDirectory, l'importazione differenziale non rileva eliminazioni di oggetti. Per questo motivo, è necessario eseguire periodicamente un'importazione completa per trovare tutti gli oggetti eliminati.
Per le directory con un log delle modifiche differenziali basato su data/ora, è consigliabile eseguire un'importazione completa a intervalli periodici. Questo processo consente al motore di sincronizzazione di trovare le eventuali differenze tra il server LDAP e quanto attualmente presente nello spazio connettore.
Risoluzione dei problemi
- Per informazioni su come abilitare la registrazione per la risoluzione dei problemi del connettore, vedere Come abilitare la traccia ETW per i connettori.