이 항목에서는 MIM(Microsoft Identity Manager 2016) 배포 및 운영 모범 사례에 대해 설명합니다.
SQL 설정
메모
SQL을 실행하는 서버를 설정하기 위한 다음 권장 사항은 FIMService 전용 SQL 인스턴스 및 FIMSynchronizationService 데이터베이스 전용 SQL 인스턴스를 가정합니다. 통합 환경에서 FIMService를 실행하는 경우 구성에 적합한 조정을 수행해야 합니다.
SQL(구조적 쿼리 언어) 서버의 구성은 최적의 시스템 성능에 매우 중요합니다. 대규모 구현에서 최적의 MIM 성능을 달성하는 것은 SQL을 실행하는 서버에 대한 모범 사례의 적용에 따라 달라집니다. 자세한 내용은 SQL 모범 사례에 대한 다음 항목을 참조하세요.
데이터 및 로그 파일 사전 크기 조정
자동 증가에 의존하지 마십시오. 대신 이러한 파일의 증가를 수동으로 관리합니다. 안전상의 이유로 자동 증가를 그대로 둘 수 있지만 데이터 파일의 증가를 사전에 관리해야 합니다. MIM 데이터베이스의 샘플 크기는 FIM 용량 계획 가이드참조하세요.
SQL 데이터 및 로그 파일의 사전 크기를 조정하려면
SQL Server Management Studio를 시작합니다.
데이터베이스 FIMService로 이동하여 FIMService를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
파일 페이지에서 데이터베이스 파일을 필요한 크기로 확장합니다.
데이터 파일에서 로그 격리
SQL Server 모범 사례를 따라 데이터베이스에 대한 트랜잭션 및 데이터 로그 파일을 별도의 실제 디스크로 격리합니다.
추가 tempdb 파일 만들기
최적의 성능을 위해 tempdb 파일에서 CPU 코어당 하나의 데이터 파일을 만드는 것이 좋습니다.
추가 tempdb 파일을 만들려면
SQL Server Management Studio를 시작합니다.
시스템 데이터베이스에서 데이터베이스 tempdb로 이동하고 tempdb를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
파일 페이지에서 각 CPU 코어에 대해 하나의 데이터 파일을 만듭니다. tempdb 데이터와 로그 파일을 다른 드라이브 및 스핀들로 구분해야 합니다.
로그 파일에 적절한 공간 보장
복구 모델의 디스크 요구 사항을 이해하는 것이 중요합니다. 간단한 복구 모드는 디스크 공간 사용을 제한하기 위해 초기 시스템 로드 중에 적절할 수 있지만 가장 최근 백업 후에 생성된 데이터는 데이터 손실에 노출됩니다. 전체 복구 모드를 사용하는 경우 높은 디스크 공간 사용을 방지하기 위해 트랜잭션 로그의 빈번한 백업을 포함하는 백업을 통해 디스크 사용량을 관리해야 합니다. 자세한 내용은 복구 모델 개요참조하세요.
SQL Server 메모리 제한
SQL Server에 있는 메모리 양과 다른 서비스(즉, MIM 2016 서비스 및 MIM 2016 동기화 서비스)와 SQL Server를 공유하는 경우 SQL의 메모리 사용을 제한할 수 있습니다. 다음 단계를 통해 이 제한을 설정할 수 있습니다.
SQL Server Enterprise Manager를 시작합니다.
새 쿼리를 선택합니다.
다음 쿼리를 실행합니다.
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDE이 예제에서는 12GB 이하의 메모리를 사용하도록 SQL Server를 다시 구성합니다.
다음 쿼리를 사용하여 설정을 확인합니다.
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
백업 및 복구 구성
일반적으로 데이터베이스 관리자와 협력하여 백업 및 복구 전략을 설계해야 합니다. 몇 가지 권장 사항은 다음과 같습니다.
- 조직의 백업 정책에 따라 데이터베이스 백업을 수행합니다.
- 증분 로그 백업이 계획되지 않은 경우 데이터베이스를 단순 복구 모드로 설정해야 합니다.
- 백업 전략을 구현하기 전에 다양한 복구 모델의 의미를 이해해야 합니다. 이러한 모델에 대한 디스크 공간 요구 사항을 알아봅니다. 전체 복구 모델에는 디스크 공간 사용량이 높지 않도록 하기 위해 자주 로그 백업이 필요합니다.
자세한 내용은 복구 모델 개요 및 FIM 2010 백업 및 복원 가이드참조하세요.
설치 후 FIM 서비스에 대한 백업 관리자 계정 만들기
FIMService 관리자 집합의 멤버는 MIM 배포 작업에 중요한 고유한 권한을 가짐 관리자 집합의 일부로 로그온할 수 없는 경우 유일한 해결 방법은 시스템의 이전 백업으로 롤백하는 것입니다. 이러한 상황을 완화하려면 설치 후 구성의 일부로 FIM 관리 집합에 다른 사용자를 추가하는 것이 좋습니다.
FIM 서비스
FIM 서비스 서비스 Exchange 사서함 구성
다음은 MIM 2016 서비스 계정에 대해 Microsoft Exchange Server를 구성하는 모범 사례입니다.
- 내부 전자 메일 주소의 메일만 수락할 수 있도록 서비스 계정을 구성합니다. 특히 서비스 계정 사서함은 외부 SMTP 서버에서 메일을 받을 수 없습니다.
서비스 계정을 구성하려면
Exchange 관리 콘솔에서 FIM 서비스 계정선택합니다.
속성을 선택하고 메일 흐름 설정을 선택한 다음 메일 배달 제한을 선택합니다.
모든 보낸 사람이 인증되어야 확인란을 선택합니다.
크기가 1MB보다 큰 메일을 거부되도록 서비스 계정을 구성합니다. 모범 사례에 따라 사서함 또는 Mail-Enabled 공용 폴더에 대한 메시지 크기 제한 구성합니다.
사서함 스토리지 할당량이 5GB가 되도록 서비스 계정을 구성합니다. 최적의 결과를 보려면 사서함 대한 스토리지 할당량 구성나열된 모범 사례를 따르세요.
MIM 포털
SharePoint 인덱싱 사용 안 함
Microsoft Office SharePoint® 인덱싱을 사용하지 않도록 설정하는 것이 좋습니다. 인덱싱해야 하는 문서가 없습니다. 인덱싱을 사용하면 MIM에서 많은 오류 로그 항목과 잠재적인 성능 문제가 발생합니다. SharePoint 인덱싱을 사용하지 않도록 설정하려면 다음 단계를 수행합니다.
MIM 2016 포털을 호스트하는 서버에서 시작을 클릭합니다.
모든 프로그램을 클릭합니다.
모든 프로그램 목록에서 관리 도구를 클릭합니다.
관리 도구에서 SharePoint 중앙 관리를 클릭합니다.
중앙 관리 페이지에서 작업을 클릭합니다.
작업 페이지의 전역 구성에서 타이머 작업 정의를 클릭합니다.
타이머 작업 정의 페이지에서 SharePoint Services 검색 새로 고침을 클릭합니다.
타이머 작업 편집 페이지에서 사용 안 함을 클릭합니다.
MIM 2016 초기 데이터 로드
이 섹션에서는 외부 시스템에서 MIM으로 초기 데이터 로드의 성능을 향상시키는 일련의 단계를 나열합니다. 이러한 단계의 숫자는 시스템의 초기 모집단 동안에만 수행된다는 것을 이해하는 것이 중요합니다. 부하가 완료되면 다시 설정해야 합니다. 이러한 단계는 연속 동기화가 아닌 일회성 작업을 위한 것입니다.
중요합니다
이 가이드의 SQL 설치 섹션에서 다루는 모범 사례를 적용해야 합니다.
1단계: 초기 데이터 로드를 위한 SQL 서버 구성
데이터의 초기 로드는 긴 프로세스가 될 수 있습니다. 처음에 많은 데이터를 로드하려는 경우 MIM 2016 관리 에이전트(FIM MA)의 내보내기가 완료된 후 일시적으로 전체 텍스트 검색을 끄고 다시 켜서 데이터베이스를 채우는 데 걸리는 시간을 단축할 수 있습니다.
전체 텍스트 검색을 일시적으로 해제하려면 다음을 수행합니다.
SQL Server Management Studio를 시작합니다.
새 쿼리를 선택합니다.
다음 SQL 문을 실행합니다.
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
중요합니다
이러한 절차를 구현하지 않으면 디스크 공간이 많이 사용되어 디스크 공간이 부족할 수 있습니다. 복구 모델 개요 이 항목에 대한 추가 세부 정보를 찾을 수 있습니다. FIM 백업 및 복원 가이드 추가 정보가 포함되어 있습니다.
2단계: 로드 프로세스 중에 필요한 최소 MIM 구성 적용
초기 로드 프로세스 중에는 MPR(관리 정책 규칙)에 대한 FIM 구성에 필요한 최소 구성만 적용하고 정의를 설정해야 합니다. 데이터 로드가 완료되면 배포에 필요한 추가 집합을 만듭니다. 작업 워크플로에서 Run-On 정책 업데이트 설정을 사용하여 로드된 데이터에 해당 정책을 소급 적용합니다.
3단계: 외부 ID 데이터로 FIM 서비스 구성 및 채우기
이 시점에서 Active Directory Domain Services에서 FIM으로 사용자를 동기화하는 방법 가이드에 설명된 절차에 따라 Active Directory의 사용자와 시스템을 구성하고 동기화해야 합니다. 그룹 정보를 동기화해야 하는 경우 해당 프로세스에 대한 절차는 Active Directory Domain Services에서 FIM 그룹을 동기화하는 방법에 대해 설명합니다.
동기화 및 내보내기 시퀀스
성능을 최적화하려면 동기화 실행 후 내보내기를 실행하여 커넥터 공간에서 많은 수의 보류 중인 내보내기 작업을 수행합니다. 그런 다음 영향을 받는 커넥터 공간과 연결된 관리 에이전트에서 확인 가져오기 실행을 실행합니다. 예를 들어 초기 데이터 로드의 일부로 여러 관리 에이전트에서 동기화 실행 프로필을 실행해야 하는 경우 각 개별 동기화가 실행된 후 내보내기 다음에 델타 가져오기를 실행해야 합니다. 초기화 주기의 일부인 각 원본 관리 에이전트에 대해 다음 단계를 수행합니다.
원본 관리 에이전트에서 전체 가져오기
원본 관리 에이전트에 대한 전체 동기화입니다.
단계적 내보내기 작업을 사용하여 영향을 받는 모든 대상 관리 에이전트에서 내보냅니다.
단계적 내보내기 작업을 사용하여 영향을 받는 모든 대상 관리 에이전트에 대한 델타 가져오기
4단계: 전체 MIM 구성 적용
초기 데이터 로드가 완료되면 배포에 대한 전체 MIM 구성을 적용해야 합니다.
시나리오에 따라 이 단계에는 추가 집합, MPR 및 워크플로 만들기가 포함될 수 있습니다. 시스템의 모든 기존 개체에 소급 적용해야 하는 정책의 경우 작업 워크플로에서 실행 정책 업데이트 설정을 사용하여 로드된 데이터에 해당 정책을 소급 적용합니다.
5단계: SQL을 이전 설정으로 다시 구성
SQL 설정을 일반 설정으로 변경해야 합니다. 이러한 변경 내용은 다음과 같습니다.
전체 텍스트 검색 켜기
조직 정책에 따라 백업 정책 업데이트
초기 데이터 로드를 완료한 후에는 전체 텍스트 검색을 다시 설정해야 합니다. 다음 SQL 문을 실행하여 전체 텍스트 검색을 다시 켭니다.
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
단순 복구 모드로 전환해야 하는 경우 조직의 백업 정책에 따라 백업 일정을 다시 구성해야 합니다. FIM 백업 일정에 대한 추가 세부 정보는 FIM 백업 및 복원 가이드제공됩니다.
구성 마이그레이션
표시 이름 변경 방지
MPR과 같은 많은 개체 형식의 경우 syncproduction.ps1 스크립트는 두 시스템 간의 유일한 앵커 특성으로 표시 이름을 사용합니다. 따라서 기존 MPR의 표시 이름을 변경하면 기존 MPR이 삭제된 후 새 MPR이 생성됩니다. 이 결과는 마이그레이션 프로세스가 조인 조건이 변경된 MPR을 성공적으로 조인할 수 없기 때문에 발생합니다. 이 문제를 방지하려면 사용자 지정 특성을 모든 구성 개체 형식에 바인딩하고 해당 특성을 조인 조건으로 사용할 수 있습니다. 이 프로세스를 사용하면 마이그레이션 프로세스에 영향을 주지 않고 표시 이름을 수정할 수 있습니다.
중간 파일의 콘텐츠 변경 방지
하위 수준 개체의 파일 형식 및 API(애플리케이션 프로그래밍 인터페이스)는 공용이며 개발자는 조작을 지원하지만 마이그레이션하는 동안 중간 형식의 내용을 변경하지 않는 것이 좋습니다. 그러나 changes.xml 전체 ImportObject를 제거하거나 pilot.xml 찾기 및 바꾸기 작업을 수행하여 프로덕션 DNS 정보에 대한 버전 번호 또는 파일럿 DNS(도메인 이름 시스템) 정보를 대체해야 할 수 있습니다.
버전 간에 마이그레이션할 때 pilot.xml 버전 번호가 올바른지 확인합니다.
버전 번호 간 마이그레이션은 권장되거나 지원되지 않지만 파일럿 버전 번호를 pilot.xml프로덕션 버전 번호로 바꿔서 이 마이그레이션을 수행할 수 있습니다. 특히 WorkflowDefinition 및
ActivityInformationConfiguration 개체에는 프로덕션 환경의 워크플로 활동을 정확하게 참조하는 버전 번호가 필요합니다. 버전 번호를 대체하지 못하면 Compare-FIMConfig cmdlet이 WorkflowDefinitions에서 XOML(Extensible Object Markup Language) 특성 간의 차이를 식별하고 파일럿의 버전 번호를 마이그레이션합니다. 프로덕션 FIM 서비스가 잘못된 버전 번호로 워크플로 활동을 시작하지 못할 수 있습니다.
순환 참조 방지
일반적으로 MIM 구성에서는 순환 참조를 사용하지 않는 것이 좋습니다. 그러나 A 설정이 B 집합을 참조하고 B 설정이 A 집합을 참조할 때 주기가 발생하는 경우가 있습니다. 순환 참조와 관련된 문제를 방지하려면 둘 다 서로를 참조하지 않도록 A 또는 B 설정의 정의를 변경해야 합니다. 그런 다음 마이그레이션 프로세스를 다시 시작합니다. 순환 참조가 있고 Compare-FIMConfig cmdlet으로 인해 오류가 발생하는 경우 주기를 수동으로 중단해야 합니다. Compare-FIMConfig cmdlet은 우선 순위에 따라 변경 내용 목록을 출력하므로 구성 개체의 참조 사이에 주기가 없어야 합니다.
안전
MIM MA 계정
MIM MA 계정은 서비스 계정으로 간주되지 않으며 일반 사용자 계정이어야 합니다. FIM 동기화 서비스 서비스 계정을 가장하려면 계정이 로컬로 로그온할 수 있어야 합니다.
MIM MA 계정이 로컬로 로그온되도록 설정하려면
시작을 클릭하고 관리 도구를 클릭한 다음 로컬 보안 정책을 클릭합니다.
로컬 정책 노드를 열고 사용자 권한 할당을 클릭합니다.
로컬 로그온 허용 정책에서 FIM MA 계정이 명시적으로 지정되었는지 확인하거나 이미 액세스 권한이 부여된 그룹 중 하나에 추가합니다.
FIM 동기화 서비스 및 FIM 서비스 계정
MIM 서버 구성 요소를 실행하는 서버를 안전한 방식으로 구성하려면 서비스 계정을 제한해야 합니다. 이전 절차를 사용하여 MIM MA 계정을 켜고 FIM 동기화 서비스 및 FIM 서비스 계정에 대해 다음 제한을 설정합니다.
일괄 작업으로 로그온 거부
로컬로 로그온 거부
네트워크에서 이 컴퓨터 액세스 거부
서비스 계정은 로컬 관리자 그룹의 구성원이 아니어야 합니다.
FIM 동기화 서비스 서비스 계정은 FIM 동기화 서비스에 대한 액세스를 제어하는 데 사용되는 보안 그룹의 구성원이 아니어야 합니다(FIMSync로 시작하는 그룹(예: FIMSyncAdmins 등).
중요합니다
두 서비스 계정에 대해 동일한 계정을 사용하는 옵션을 선택하고 FIM 서비스와 FIM 동기화 서비스를 분리하는 경우 mms 동기화 서비스 서버의 네트워크에서 이 컴퓨터에 대한 거부 액세스를 설정할 수 없습니다. FIM 서비스가 FIM 동기화 서비스에 연결하여 구성을 변경하고 암호를 관리하는 것을 금지하는 액세스가 거부된 경우
키오스크와 유사한 컴퓨터에 배포된 암호 재설정은 가상 메모리 페이지 파일을 지우도록 로컬 보안을 설정해야 합니다.
키오스크로 의도된 워크스테이션에 FIM 암호 재설정을 배포하는 경우 권한 없는 사용자가 프로세스 메모리의 중요한 정보를 사용할 수 없도록 Shutdown: Clear virtual memory pagefile 로컬 보안 정책 설정을 설정하는 것이 좋습니다.
FIM 포털에 대한 SSL 구현
FIM 포털 서버에서 SSL(보안 소켓 계층)을 사용하여 클라이언트와 서버 간의 트래픽을 보호하는 것이 좋습니다.
SSL을 구현하려면:
MIM 포털 서버에서 IIS 관리자를 엽니다.
로컬 컴퓨터 이름을 클릭합니다.
서버 인증서를 클릭합니다.
인증서 요청 만들기를 클릭합니다.
일반 이름 텍스트 상자에 서버의 이름을 입력합니다.
다음을 클릭한 다음 다음을 클릭합니다.
파일을 모든 위치에 저장합니다. 이후 단계에서 이 위치에 액세스해야 합니다.
https://servername/certsrv.로 탐색합니다. 서버 이름을 인증서를 발급하는 서버의 이름으로 바꿉니다.
새 인증서 요청을 클릭합니다.
고급 요청 제출을 클릭합니다.
base-64로 인코딩된 인증서 요청을 사용하여 제출을 클릭합니다.
이전 단계에서 저장한 파일의 내용을 붙여넣습니다.
인증서 템플릿에서 웹 서버를 선택합니다.
제출을 클릭합니다.
인증서를 데스크톱에 저장합니다.
IIS 관리자에서 인증 요청 완료를 클릭합니다.
방금 바탕 화면에 저장한 인증서로 IIS 관리자를 가리킵니다.
이름에 서버 이름을 입력합니다.
사이트를 클릭한 다음 SharePoint – 80을 선택합니다.
바인딩을 클릭한 다음 추가를 클릭합니다.
https를 선택합니다.
인증서의 경우 서버와 이름이 같은 인증서, 방금 가져온 인증서를 선택합니다.
확인을 클릭합니다.
HTTP 바인딩을 제거합니다.
SSL 설정을 클릭한 다음 SSL 필요를 선택합니다.
설정을 저장합니다.
시작을 클릭하고 관리 도구를 클릭한 다음 SharePoint 3.0 중앙 관리를 클릭합니다.
작업을 클릭한 다음 대체 액세스 매핑을 클릭합니다.
클릭 https://servername.
https://servername https://servername변경한 다음 확인을 클릭합니다.
시작을 클릭하고 실행을 클릭하고 iisreset을 입력한 다음 확인을 클릭합니다.
성능
최적의 성능 구성을 위해 다음을 수행합니다.
이 문서의 SQL 설치 섹션에 설명된 대로 SQL 설치 모범 사례를 적용합니다.
MIM 포털 사이트에서 SharePoint 인덱싱을 끕니다. 자세한 내용은 SharePoint 인덱싱 사용 안 함 섹션을 참조하세요.
기능별 모범 사례
요청 관리
기본적으로 MIM 2016은 30일 간격으로 관련 승인, 승인 응답 및 워크플로 인스턴스와 함께 완료된 요청을 포함하는 만료된 시스템 개체를 제거합니다. 조직에 더 긴 요청 기록이 필요한 경우 MIM에서 요청을 내보내고 보조 데이터베이스에 저장하여 30일 기간 이후에도 보존해야 합니다. 30일 요청 삭제 기간을 구성할 수 있지만 이 창을 확장하면 시스템의 추가 개체로 인해 성능에 부정적인 영향을 줄 수 있습니다.
관리 정책 규칙
적절한 MPR 형식 사용
MIM은 요청 및 전환 설정이라는 두 가지 유형의 MPR을 제공합니다.
요청 MPR(RMPR)
- 리소스에 대한 CRUD(만들기, 읽기, 업데이트 또는 삭제) 작업에 대한 액세스 제어 정책(인증, 권한 부여 및 작업)을 정의하는 데 사용됩니다.
- MIM의 대상 리소스에 대해 CRUD 작업이 실행될 때 적용되며,
- 규칙에 정의된 일치 조건( 즉, CRUD가 규칙 적용을 요청하는 조건)에 따라 범위가 지정됩니다.
TMPR(전환 MPR) 설정
- 개체가 전환 집합으로 표시되는 현재 상태를 입력하는 방법에 관계없이 정책을 정의하는 데 사용합니다. TMPR을 사용하여 자격 정책을 모델링합니다.
- 리소스가 연결된 집합을 입력하거나 떠날 때 적용되며,
- 집합의 멤버로 범위가 지정됩니다.
메모
자세한 내용은 디자인 비즈니스 정책 규칙참조하세요.
필요에 따라 MPR만 사용하도록 설정
구성을 적용할 때 최소 권한 원칙을 사용합니다. MPR은 MIM 배포에 대한 액세스 정책을 제어합니다. 대부분의 사용자가 사용하는 기능만 사용하도록 설정합니다. 예를 들어 모든 사용자가 그룹 관리에 MIM을 사용하는 것은 아니므로 연결된 그룹 관리 MPR을 사용하지 않도록 설정해야 합니다. 기본적으로 MIM은 관리자가 아닌 대부분의 권한을 사용하지 않도록 설정하여 제공합니다.
직접 수정하는 대신 기본 제공 MPR 중복
기본 제공 MPR을 수정해야 하는 경우 필요한 구성으로 새 MPR을 만들고 기본 제공 MPR을 해제해야 합니다. 이 새 MPR을 만들면 업그레이드 프로세스를 통해 도입된 기본 제공 MPR의 향후 변경 내용이 시스템 구성에 부정적인 영향을 주지 않습니다.
최종 사용자 권한은 사용자 비즈니스 요구 사항으로 범위가 지정된 명시적 특성 목록을 사용해야 합니다.
명시적 특성 목록을 사용하면 특성이 개체에 추가될 때 권한이 없는 사용자에게 실수로 권한을 부여하는 것을 방지할 수 있습니다. 관리자는 액세스를 제거하는 대신 새 특성에 대한 액세스 권한을 명시적으로 부여해야 합니다.
데이터에 대한 액세스 범위는 사용자의 비즈니스 요구 사항으로 범위가 지정되어야 합니다. 예를 들어 그룹 멤버는 구성원인 그룹의 필터 특성에 액세스할 수 없어야 합니다. 필터는 사용자가 일반적으로 액세스할 수 없는 조직 데이터를 실수로 표시할 수 있습니다.
MPR은 시스템의 유효 권한을 반영해야 합니다.
사용자가 사용할 수 없는 특성에 대한 사용 권한을 부여하지 마세요. 예를 들어 objectType과 같은 핵심 리소스 특성을 수정할 수 있는 권한을 부여해서는 안 됩니다. MPR에도 불구하고 리소스를 만든 후 리소스의 형식을 수정하려는 시도는 시스템에서 거부됩니다.
MPR에서 명시적 특성을 사용하는 경우 읽기 권한은 수정 및 만들기 권한과 분리되어야 합니다.
MPR에 특성을 명시적으로 나열하는 경우 만들기 및 수정에 필요한 특성은 일반적으로 읽기에 사용할 수 있는 특성과 다릅니다. 예를 들어 Creator 또는 objectId와 같은 시스템 특성에 대해 Read를 부여할 수 있지만 시스템 특성에 대해서는 Create 또는 Modify를 지정할 수 없습니다.
규칙에서 명시적 특성을 사용하는 경우 권한 만들기는 권한 수정과 별개여야 합니다.
만들기 작업을 수행하려면 사용자가 해당 작업의 일부로 objectType을 선택해야 합니다. 이 특성은 만들기 작업 후에 수정할 수 없는 핵심 시스템 특성입니다.
동일한 액세스 요구 사항이 있는 모든 특성에 대해 하나의 요청 MPR 사용
변경될 것으로 예상되지 않는 동일한 액세스 요구 사항이 있는 특성의 경우 효율성을 위해 단일 요청 MPR로 결합할 수 있습니다.
선택한 보안 주체 그룹에 대해서도 무제한 액세스 권한 부여 방지
MIM에서 권한은 양의 어설션으로 정의됩니다. MIM은 거부 권한을 지원하지 않으므로 리소스에 무제한 액세스 권한을 부여하면 권한에서 제외를 제공하는 것이 복잡합니다. 모범 사례로 필요한 권한만 부여합니다.
TMPR을 사용하여 사용자 지정 권한 정의
RMPR 대신 TMPR(Set Transition MPR)을 사용하여 사용자 지정 자격을 정의합니다. TMPR은 정의된 전환 집합의 멤버 자격 또는 역할 및 함께 제공되는 워크플로 활동에 따라 자격을 할당하거나 제거하는 상태 기반 모델을 제공합니다. TMPR은 항상 쌍으로 정의되어야 하며, 하나는 전환 중인 리소스에 대해, 다른 하나는 전환되는 리소스에 대해 정의되어야 합니다. 또한 각 전환 MPR에는 프로비전 및 프로비전 해제 작업을 위한 별도의 워크플로가 포함되어야 합니다.
메모
프로비전 해제 워크플로는 실행 시 정책 업데이트 특성이 true로 설정되어 있는지 확인해야 합니다.
마지막으로 MPR에서 전환 설정 사용
TMPR 쌍을 만들 때 마지막으로 MPR에서 전환 설정을 켭니다. 이 순서는 IN MPR이 켜져 있지만 Out MPR이 켜지기 전에 집합에 추가되고 제거된 경우 자격으로 남아 있는 리소스가 없는지 확인합니다.
TMPR의 워크플로는 먼저 대상 리소스 상태를 확인해야 합니다.
프로비전 워크플로는 먼저 대상 리소스가 자격에 따라 이미 프로비전되었는지 확인해야 합니다. 있는 경우 아무 것도 수행하지 않아야 합니다.
워크플로 프로비전 해제를 먼저 확인하여 대상 리소스가 프로비전되었는지 확인해야 합니다. 있는 경우 대상 리소스의 프로비전을 해제해야 합니다. 그렇지 않으면 아무 작업도 수행하지 않습니다.
TMPR에 대한 실행 정책 업데이트 선택
이 설정은 정책 업데이트가 구현되고 TMPR과 연결된 작업 워크플로에서 RunOn 정책 업데이트 플래그를 사용할 때 올바른 프로비전 동작이 적용되고 정책 정의의 변경 내용이 전환 집합의 새 멤버에게 작업 워크플로를 적용하도록 합니다.
동일한 자격을 두 개의 서로 다른 전환 집합과 연결하지 않도록 방지
동일한 자격을 두 개의 서로 다른 전환 집합과 연결하면 리소스가 한 집합에서 다른 집합으로 이동하는 경우 불필요한 취소 및 다시 부여가 발생할 수 있습니다. 모범 사례로, 하나의 집합에 연결된 자격이 필요한 모든 리소스가 포함되어 있는지 확인합니다. 이 절차는 전환 집합과 워크플로를 부여하는 권한 간의 일대일 관계를 보장합니다.
시스템에서 자격을 제거할 때 적절한 작업 시퀀스 사용
시스템에서 자격을 제거할 때 수행되는 단계의 순서에 따라 두 가지 운영 결과가 발생할 수 있습니다. 원하는 효과에 적용되는 주문을 이해해야 합니다.
시스템에서 자격을 제거하고 현재 자격이 있는 모든 멤버에서 취소하려면 다음을 실행합니다.
T-In MPR을 사용하지 않도록 설정합니다. 이 변경은 새 부여를 방지합니다.
T-Set 필터를 삭제하거나 집합이 비어 있도록 변경합니다. 이로 인해 모든 기존 멤버가 전환되고 자격과 연결된 구성된 프로비전 해제 워크플로를 포함하여 전환 아웃 정책이 적용됩니다.
T-Out MPR을 사용하지 않도록 설정합니다.
자격을 제거하지만 현재 멤버만 유지하려면(예: MIM을 사용하여 자격 관리 중지)
T-In MPR을 사용하지 않도록 설정합니다. 이 변경은 새 부여를 방지합니다.
T-Out MPR을 사용하지 않도록 설정합니다.
T-Set 필터를 삭제하거나 집합이 비어 있도록 변경합니다. 집합이 더 이상 TMPR에 연결되지 않으므로 프로비전 해제 워크플로가 적용되지 않습니다.
설정
집합에 대한 모범 사례를 적용할 때 최적화가 향후 관리의 관리 효율성과 용이성에 미치는 영향을 고려해야 합니다. 이러한 권장 사항을 적용하기 전에 성능과 관리 효율성 간의 적절한 균형을 식별하기 위해 예상 프로덕션 규모에서 적절한 테스트를 수행해야 합니다.
메모
다음 지침은 모두 동적 집합 및 동적 그룹에 적용됩니다.
동적 중첩 사용 최소화
이는 다른 집합의 ComputedMember 특성을 참조하는 집합의 필터를 나타냅니다. 집합을 중첩하는 일반적인 이유는 여러 집합에서 멤버 자격 조건이 중복되지 않도록 하기 위해서입니다. 이 방법을 사용하면 집합의 관리 효율성이 향상될 수 있지만 성능이 저하됩니다. 집합 자체를 중첩하는 대신 중첩된 집합의 멤버 자격 조건을 복제하여 성능을 최적화할 수 있습니다.
기능 요구 사항을 충족하기 위해 중첩 집합을 피할 수 없는 경우가 발생할 수 있습니다. 집합을 중첩해야 하는 기본 상황입니다. 예를 들어 Full-Time Employee 소유자 없이 모든 그룹의 집합을 정의하려면 집합 중첩을 다음과 같이 사용해야 합니다. /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember]. 여기서 'X'는 모든 정규직 직원 집합의 ObjectID입니다.
음수 조건 사용 최소화
음수 조건은 !=, not(), \<, \<=연산자 또는 함수를 사용하는 멤버 자격 조건입니다. 가능한 경우 성능을 최적화하려면 부정적인 조건이 아닌 여러 양의 조건으로 원하는 조건을 표현합니다.
다중값 참조 특성에 따라 멤버 자격 조건 사용 최소화
이러한 집합의 수가 많으면 멤버 자격 조건에 사용되는 특성에 대한 작업의 성능에 영향을 줄 수 있으므로 다중값 참조 특성을 기반으로 하는 조건의 사용을 최소화해야 합니다.
암호 재설정
암호 재설정에 사용되는 키오스크와 유사한 컴퓨터는 가상 메모리 페이지 파일을 지우도록 로컬 보안을 설정해야 합니다.
키오스크로 사용할 워크스테이션에 MIM 암호 재설정을 배포하는 경우 인증되지 않은 사용자가 프로세스 메모리의 중요한 정보를 사용할 수 없도록 종료: 가상 메모리 페이지 파일 지우기 로컬 보안 정책 설정을 켜는 것이 좋습니다.
사용자는 로그온한 컴퓨터에서 항상 암호 재설정을 등록해야 합니다.
사용자가 웹 포털을 통해 암호 재설정에 등록하려고 하면 MIM은 웹 사이트에 로그온한 사용자에 관계없이 로그온한 사용자를 대신하여 항상 등록을 시작합니다. 사용자는 항상 로그온한 컴퓨터에서 암호 재설정을 등록해야 합니다.
AvoidPdcOnWan 레지스트리 키를 true로 설정하지 마세요.
MIM 2016 암호 재설정을 사용하는 경우 AvoidPdcOnWan 레지스트리 키를 true로 설정하지 마세요.
이 레지스트리 키가 true로 설정된 경우 사용자는 암호 게이트를 통과하고, PDC(기본 도메인 컨트롤러)에서 암호를 재설정하고, 로그온을 시도할 가능성이 큽니다. 이 레지스트리 키 때문에 로컬 도메인 컨트롤러는 PDC를 사용하여 보조 유효성 검사를 수행하지 않으므로 로그온 요청을 거부합니다. 사용자가 충분한 시간을 거부하면 도메인에서 잠글 수 있으며 지원을 요청해야 합니다.
텍스트 지우기 암호 로깅 설정 안 함
Windows에서 진단 서비스 수준 추적을 켜면 텍스트 지우기 암호를 기록할 수 있습니다.
WCF(Communication Foundation). 이 옵션은 기본적으로 설정되지 않으며 프로덕션 환경에서는 이 옵션을 켜지 않는 것이 좋습니다. 이러한 암호는 사용자가 암호 재설정에 등록할 때 암호화된 SOAP(Simple Object Access Protocol) 메시지 내에서 일반 텍스트 요소로 표시됩니다. 자세한 내용은 메시지 로깅구성을 참조하세요.
권한 부여 워크플로를 암호 재설정 프로세스에 매핑하지 마세요.
권한 부여 워크플로를 암호 재설정 작업에 연결해서는 안 됩니다. 암호 재설정에는 승인 활동과 같은 활동이 포함된 동기 응답 및 권한 부여 워크플로가 비동기적입니다.
여러 작업 활동을 암호 재설정에 매핑하지 마세요.
둘 이상의 작업 활동이 포함된 워크플로를 암호 재설정 작업에 연결해서는 안 됩니다. 예제 시나리오는 두 번째 AD DS 암호 재설정 작업을 암호 재설정 MPR에 연결하는 것입니다. 해당 시나리오는 지원되지 않습니다.
기존 워크플로에서 활동 순서를 추가, 제거 또는 변경할 때 다시 등록 필요
기존 워크플로에서 인증 활동의 순서를 추가, 제거 또는 변경할 때는 항상 다시 등록해야 하는 옵션을 선택합니다. 활동이 워크플로에 추가되거나 제거된 후 암호 재설정에 대한 인증을 시도하지만 다시 등록하기 전에 원치 않는 효과가 발생할 수 있습니다.
포털 구성 및 리소스 제어 표시 구성
사용자 프로필 페이지에 개인 정보 고지 사항을 추가하는 것이 좋습니다.
MIM에서는 기본적으로 일부 사용자 프로필 정보가 다른 사용자에게 표시될 수 있습니다. 관리자는 사용자의 호의로 회사 정책과 일치하는 사용자 지정 텍스트를 사용자 프로필 페이지에 추가하는 것을 고려해야 합니다. MIM 포털 페이지에 사용자 지정 텍스트를 추가하는 방법에 대한 자세한 내용은 FIM 포털 구성 및 사용자 지정소개를 참조하세요.
스키마
개인 또는 그룹 리소스 종류 삭제 안 함
개인 및 그룹 리소스 종류는 핵심 리소스 유형으로 표시되지 않지만 리소스 자체 또는 해당 리소스에 할당된 특성은 삭제해서는 안 됩니다. MIM 포털의 UI(사용자 인터페이스)에는 개인 및 그룹 리소스 종류와 해당 특성이 있어야 합니다.
핵심 특성을 수정하지 마세요.
모든 리소스 유형에 할당된 핵심 특성은 13개입니다. 어떤 방식으로든 리소스 유형과의 관계를 수정해서는 안 됩니다. 13가지 핵심 특성은 다음과 같습니다.
CreatedTime
창조자
DeletedTime
설명
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
로케일
MVObjectID
오브젝트 ID
객체 유형
ResourceTime
감사 요구 사항에 종속된 스키마 리소스를 삭제하지 마세요.
이러한 리소스에 대한 감사 요구 사항이 여전히 있는 동안에는 스키마 리소스를 삭제해서는 안 됩니다.
정규식 대/소문자를 구분하지 않는 경우
MIM에서는 일부 정규식을 대/소문자를 구분하지 않도록 하는 것이 유용할 수 있습니다.
?!:사용하여 그룹 내에서 대/소문자를 무시할 수 있습니다. 예를 들어 직원 유형에 대해
\^(?!:contractor\|full time employee)%.
멤버 특성 계산
동기화 엔진에 노출된 멤버 특성은 실제로 ComputedMembers에 매핑됩니다. 조건 기반 멤버와 수동으로 선택한 멤버의 조합입니다. 세 가지 특성(Filter, ExplicitMembers 및 ComputedMembers)을 모두 추가하더라도 그룹 및 집합 이외의 리소스 유형에 대해 멤버 특성의 동적 계산이 발생하지 않습니다.
문자열의 선행 및 후행 공백은 무시됩니다.
MIM에서는 선행 및 후행 공백이 있는 문자열을 입력할 수 있지만 MIM 시스템은 이러한 공백을 무시합니다. 선행 및 후행 공간이 있는 문자열을 제출하는 경우 동기화 엔진과 웹 서비스는 해당 공간을 무시합니다.
빈 문자열이 null이 아님
이 MIM 릴리스에서는 빈 문자열이 null과 같지 않습니다. 빈 문자열 입력은 유효한 값으로 간주됩니다. 존재하지 않는 것은 null로 간주됩니다.
워크플로 및 요청 처리
MIM 2016과 함께 제공되는 기본 워크플로를 삭제하지 마세요.
다음 워크플로는 MIM과 함께 제공되며 삭제해서는 안 됩니다.
만료 워크플로
관리자를 위한 필터 유효성 검사 워크플로
관리자가 아닌 사용자에 대한 필터 유효성 검사 워크플로
그룹 만료 알림 워크플로
그룹 유효성 검사 워크플로
소유자 승인 워크플로
암호 재설정 작업 워크플로
암호 재설정 인증 워크플로
소유자 권한 부여를 사용하여 요청자 유효성 검사
소유자 권한 부여가 없는 요청자 유효성 검사
등록에 필요한 시스템 워크플로
두 개 이상의 승인 작업을 병렬로 실행하지 마세요.
두 개 이상의 승인 활동을 병렬로 실행해서는 안 됩니다. 이렇게 하면 요청이 권한 부여 단계에서 중단될 수 있습니다. 여러 승인의 경우 승인에 더 큰 승인자 목록을 포함하거나 두 활동을 연속으로 순서를 지정합니다.
권한 부여 활동은 MIM 리소스 데이터를 수정해서는 안 됩니다.
권한 부여 워크플로에서 워크플로의 일부로 함수 계산기 활동과 같은 MIM 리소스를 수정하는 활동을 사용하지 마세요. 처리 권한 부여 지점에 있는 동안 요청이 커밋되지 않았으므로 요청이 거부되었음에도 불구하고 ID 정보에 대해 수행된 모든 수정 내용을 적용할 수 있습니다.
FIM 서비스 파티션 이해
MIM의 목적은 구성된 비즈니스 정책에 따라 FIM 동기화 서비스 및 셀프 서비스 구성 요소와 같은 다양한 MIM 클라이언트에서 시작할 수 있는 요청을 처리하는 것입니다. 기본적으로 각 FIM 서비스 인스턴스는 FIM 서비스 파티션이라고도 하는 하나 이상의 FIM 서비스 인스턴스로 구성된 논리 그룹에 속합니다. 모든 요청을 처리하기 위해 하나의 FIM 서비스 인스턴스만 배포한 경우 대기 시간 처리가 발생할 수 있습니다. 일부 작업은 셀프 서비스 작업에 적합한 기본 시간 제한 값을 초과할 수도 있습니다. FIM 서비스 파티션은 이 문제를 해결하는 데 도움이 될 수 있습니다.
자세한 내용은 FIM 서비스 파티션이해하세요.