Hoe kan ik gebruikers inrichten voor AD DS?
Van toepassing op: Microsoft Identity Manager 2016 SP1 (MIM)
Een basisvereiste voor een identiteitsbeheersysteem is de mogelijkheid resources te kunnen inrichten voor een extern systeem.
Deze handleiding beschrijft de belangrijkste bouwstenen die betrokken zijn bij het inrichten van gebruikers vanuit Microsoft® Identity Manager (MIM) 2016 voor Active Directory® Domain Services (AD DS). Daarnaast leest u hier hoe u kunt controleren of uw scenario werkt zoals verwacht, welke mogelijkheden er zijn voor het beheren van Active Directory-gebruikers met MIM 2016, en vindt u aanvullende informatiebronnen.
Voordat u begint
In deze sectie vindt u informatie over de reikwijdte van dit document. In het algemeen zijn gebruikshandleidingen bedoeld voor lezers die al enige basiservaring hebben met het synchroniseren van objecten met MIM, zoals behandeld in de aanverwante handleidingen Aan de slag.
Doelgroep
Deze handleiding is bedoeld voor IT-professionals die al een basiskennis hebben van de werking van het MIM-synchronisatieproces en die praktische ervaring en conceptuele kennis over specifieke scenario's willen opdoen.
Vereiste kennis
In dit document wordt ervan uitgegaan dat u een exemplaar van MIM kunt uitvoeren en dat u ervaring hebt met het configureren van eenvoudige synchronisatiescenario's, zoals beschreven in de volgende documenten:
De inhoud van dit document dient als een uitbreiding op deze inleidende documenten.
Bereik
Het scenario dat in dit document wordt beschreven is vereenvoudigd om tegemoet te komen aan de vereisten van een technische basisomgeving. Het document is erop gericht de lezer kennis bij te brengen over de hier besproken concepten en technologieën.
Aan de hand hiervan kunt u een oplossing ontwikkelen waarbij u groepen in AD DS gaat beheren met behulp van MIM.
Tijdvereisten
Het kost 90 tot 120 minuten om de procedures in dit document te voltooien.
Bij deze schatting wordt ervan uitgegaan dat de testomgeving reeds is geconfigureerd en opgesteld.
Scenariobeschrijving
Het fictieve bedrijf Fabrikam is van plan MIM te gebruiken voor het beheer van de gebruikersaccounts in AD DS van de organisatie. Als onderdeel van dit proces moet Fabrikam gebruikers inrichten voor AD DS. Voor het testen van de initiële opstelling heeft Fabrikam een technische basisomgeving opgezet, bestaande uit MIM en AD DS. In deze omgeving test Fabrikam een scenario dat bestaat uit een gebruiker die handmatig in de MIM-portal is aangemaakt. In dit scenario wordt de gebruiker als ingeschakelde gebruiker voorzien van een vooraf gedefinieerd wachtwoord voor AD DS.
Scenario-ontwerp
Voor het gebruik van deze handleiding hebt u drie architectuurcomponenten nodig:
Active Directory-domeincontroller
Een computer waarop een FIM-synchronisatieservice wordt uitgevoerd
Een computer waarop een FIM-portal wordt uitgevoerd
In de volgende illustratie wordt deze omgeving verduidelijkt.
U kunt alle componenten op één computer uitvoeren.
Notitie
Zie de FIM Installation Guide (FIM-installatiehandleiding) voor meer informatie over het instellen van MIM.
Lijst met componenten voor het scenario
In de volgende lijst vindt u de componenten die onderdeel uitmaken van het scenario in deze handleiding.
| Pictogram | Onderdeel | Beschrijving |
|---|---|---|
 |
Organisatie-eenheid | MIM-objecten: een organisatie-eenheid (OE) die wordt gebruikt als doel voor de ingerichte gebruikers. |
 |
Gebruikersaccounts | · ADMA : Active Directory-gebruikersaccount met voldoende rechten om verbinding te maken met AD DS. · FIMMA - Active Directory-gebruikersaccount met voldoende rechten om verbinding te maken met MIM. |
 |
Beheeragents en uitvoerprofielen | · Fabrikam ADMA : beheeragent die gegevens uitwisselt met AD DS. · Fabrikam FIMMA - Beheeragent die gegevens uitwisselt met MIM. |
 |
Synchronisatieregels | Regel voor uitgaande synchronisatie van Fabrikam-groep: regel voor uitgaande synchronisatie die gebruikers inricht voor AD DS. |
 |
Sets | Alle contractanten: set met dynamisch lidmaatschap voor alle objecten met een EmployeeType-kenmerkwaarde van Contractant. |
 |
Werkstromen | AD-inrichtingswerkstroom: werkstroom om de MIM-gebruiker binnen het bereik te brengen van de AD-regel voor uitgaande synchronisatie. |
 |
Regels voor Informatiebeheerbeleid | Beheerbeleidsregel voor AD-inrichting: beheerbeleidsregel (MPR) die wordt getriggerd als een resource lid wordt van de set Alle contractanten. |
 |
MIM-gebruikers | Julia Steen: MIM-gebruiker die u inricht voor AD DS. |
Scenariostappen
Het scenario dat in deze handleiding wordt beschreven, bestaat uit de bouwstenen die in de volgende afbeelding worden getoond.
Externe systemen configureren
In deze sectie vindt u instructies voor de resources die u moet maken en die buiten de MIM-omgeving aanwezig zijn.
Stap 1: de OE maken
De OE dient als container voor de ingerichte voorbeeldgebruiker. Zie Create a New Organizational Unit (Een nieuwe organisatie-eenheid maken) voor meer informatie.
Maak in de AD DS een OE met de naam MIMObjects.
Stap 2: Active Directory-gebruikersaccounts maken
Voor het scenario in deze handleiding hebt u twee Active Directory-gebruikersaccounts nodig:
ADMA: gebruikt door de Active Directory-beheeragent.
FIMMA: gebruikt door de FIM-servicebeheeragent.
In beide gevallen volstaan normale gebruikersaccounts. Verderop in dit document vindt u meer informatie over de specifieke vereisten voor beide accounts. Zie Create a New User Account (Een nieuw gebruikersaccount maken) voor meer informatie over het maken van gebruikers.
De FIM-synchronisatieservice configureren
Voor de configuratiestappen in dit document, moet u FIM Synchronization Service Manager starten.
De beheeragents maken
Voor het scenario in deze handleiding moet u twee beheeragents maken:
Fabrikam ADMA: beheeragent voor AD DS.
Fabrikam FIMMA: beheeragent voor de FIM-servicebeheeragent.
Stap 3: de Fabrikam ADMA-beheeragent maken
Als u een beheeragent configureert voor AD DS, moet u een account opgeven dat wordt gebruikt door de beheeragent in de gegevensuitwisseling met AD DS. Gebruik een normaal gebruikersaccount. Maar als u gegevens importeert vanuit AD DS, moet het account rechten hebben om wijzigingen vanuit het DirSync-besturingselement te peilen. Als u de beheeragent gegevens naar AD DS wilt laten exporteren, moet u het account voldoende rechten geven op de doel-OE's. Zie Configuring the ADMA Account (Het ADMA-account configureren) voor meer informatie.
Als u een gebruiker in AD DS wilt maken, dient u de DN van het object uit te laten stromen. Daarnaast is het een goed gebruik om de voornaam, achternaam en weergavenaam te laten stromen, zodat u zeker weet dat uw objecten te vinden zijn.
In AD DS maken gebruikers nog steeds gebruik van het kenmerk sAMAccountName om zich aan te melden bij de adreslijstservice. Als u geen waarde voor dit kenmerk opgeeft, genereert de adreslijstservice er een willekeurige waarde voor. De willekeurige waarden zijn echter niet gebruikersvriendelijk. Daarom maakt een gebruikersvriendelijke versie van dit kenmerk gewoonlijk deel uit van een export naar AD DS. Gebruikers kunnen zich pas aanmelden bij AD DS, als u een wachtwoord opneemt dat is gemaakt met behulp van het kenmerk unicodePwd in uw exportlogica.
Notitie
Zorg ervoor dat de waarde die u opgeeft als unicodePwd in overeenstemming is met het wachtwoordbeleid van de doel-AD DS.
Als u een wachtwoord instelt voor AD DS-accounts, moet u ook een account maken als een ingeschakeld account. Stel hiervoor het kenmerk userAccountControl in. Zie Using FIM to Enable or Disable Accounts in Active Directory (FIM gebruiken voor het in- of uitschakelen van accounts in Active Directory) voor meer informatie over het kenmerk userAccountControl.
In de volgende tabel worden de belangrijkste scenariospecifieke instellingen vermeld die u moet configureren.
| Ontwerppagina voor beheeragenten | Configuratie |
|---|---|
| Beheeragent maken | 1. Beheeragent voor: AD DS 2. Naam: Fabrikam ADMA |
| Verbinding maken met een Active Directory-forest | 1. Selecteer mappartities: "DC=Fabrikam,DC=com" 2. Klik op Containers om het dialoogvenster Containers selecteren te openen en ervoor te zorgen dat MIMObjects de enige organisatie-eenheid is die is geselecteerd. |
| Objecttypen selecteren | Naast de reeds geselecteerde objecttypen selecteert u gebruiker. |
| Kenmerken selecteren | 1. Klik op Alles weergeven. 2. Selecteer de volgende kenmerken: ° displayName ° givenName ° sn ° SamAccountName ° unicodePwd ° userAccountControl |
Zie de volgende onderwerpen in de Help voor meer informatie:
- Een beheeragent maken
- Verbinding maken met een Active Directory-forest
- De beheeragent voor Active Directory gebruiken
- Mappartities configureren
Notitie
Zorg dat u een importkenmerkstroomregel hebt geconfigureerd voor het kenmerk ExpectedRulesList.
Stap 4: de Fabrikam FIMMA-beheeragent maken
Als u een FIM-servicebeheeragent configureert, moet u een account opgeven dat wordt gebruikt door de beheeragent in de gegevensuitwisseling met de FIM-service.
Gebruik een normaal gebruikersaccount. Het account moet hetzelfde zijn als het account dat u tijdens de installatie van MIM hebt opgegeven. Zie Using Windows PowerShell to Do a FIMMA Account Configuration Quick Test (Windows PowerShell gebruiken voor het uitvoeren van een snelle test van de FIMMA-accountconfiguratie) voor een script dat u kunt gebruiken om de naam vast te stellen van het FIMMA-account dat u tijdens de installatie hebt opgegeven en om te testen of het account nog geldig is.
In de volgende tabel worden de belangrijkste scenariospecifieke instellingen vermeld die u moet configureren. Maak de beheeragent op basis van de informatie in de onderstaande tabel.
| Ontwerppagina voor beheeragenten | Configuratie |
|---|---|
| Beheeragent maken | 1. Beheeragent voor: FIM Service Management Agent 2. Naam Fabrikam FIMMA |
| Verbinding maken met database | Gebruik de volgende instellingen: · Server: localhost · Database: FIMService · Basisadres van DE FIM-service:http://localhost:5725 Geef de informatie op over het account dat u voor deze beheeragent hebt gemaakt. |
| Objecttypen selecteren | Naast de reeds geselecteerde objecttypen selecteert u Persoon. |
| Objecttypetoewijzingen configureren | Voeg naast de al bestaande objecttypetoewijzingen een toewijzing toe voor het Gegevensbronobjecttype Persoon in het Metaverseobjecttype Persoon. |
| Kenmerkstroom configureren | Voeg naast de al bestaande kenmerkstroomtoewijzingen de volgende kenmerkstroomtoewijzingen toe: |
Zie de volgende onderwerpen in de Help voor meer informatie:
Een beheeragent maken
Verbinding maken met een Active Directory-database
De beheeragent voor Active Directory gebruiken
Mappartities configureren
Notitie
Zorg dat u een importkenmerkstroomregel hebt geconfigureerd voor het kenmerk ExpectedRulesList.
Stap 5: de uitvoerprofielen maken
In de volgende tabel worden de uitvoerprofielen vermeld die u moet maken voor het scenario in deze handleiding.
| Beheeragent | Uitvoerprofiel |
|---|---|
| Fabrikam ADMA | 1. Volledige import 2. Volledige synchronisatie 3. Delta importeren 4. Deltasynchronisatie 5. Exporteren |
| Fabrikam FIMMA | 1. Volledige import 2. Volledige synchronisatie 3. Delta importeren 4. Deltasynchronisatie 5. Exporteren |
Maak aan de hand van de vorige tabel uitvoerprofielen voor elke beheeragent.
Notitie
Zie Create a Management Agent Run Profile (Een uitvoerprofiel voor beheeragenten maken) in MIM Help voor meer informatie.
Belangrijk
Controleer of het inrichten in uw omgeving is ingeschakeld. U kunt dit doen door het script Using Windows PowerShell to Enable Provisioning (https://go.microsoft.com/FWLink/p/?LinkId=189660) uit te voeren.
De FIM-service configureren
Voor het scenario in deze handleiding moet u een inrichtingsbeleid voor inrichten configureren, zoals in de volgende afbeelding wordt getoond.
Het doel van dit inrichtingsbeleid is om groepen binnen het bereik te brengen van de regel voor uitgaande synchronisatie van Active Directory-gebruikers. Als u de resource binnen het bereik van de synchronisatieregel hebt gebracht, schakelt u de synchronisatie-engine in om uw resource volgens uw configuratie in te richten voor AD DS.
Als u de FIM-service wilt configureren, navigeert u in Windows Internet Explorer® naar http://localhost/identitymanagement. Als u het inrichtingsbeleid wilt maken, gaat u op de pagina van de MIM-portal naar de gerelateerde pagina's van de sectie Beheer. Verifieer de configuratie door het script uit te voeren in Using Windows PowerShell to document your provisioning policy configuration (Windows PowerShell gebruiken om de configuratie voor het inrichtingsbeleid te documenteren).
Stap 6: de synchronisatieregel maken
In de volgende tabellen wordt de configuratie getoond van de vereiste inrichtingssynchronisatieregel van Fabrikam. Maak de synchronisatieregel aan de hand van de gegevens in de volgende tabellen.
| Configuratie van de synchronisatieregel | Instelling |
|---|---|
| Naam | Regel voor uitgaande synchronisatie van Active Directory-gebruiker |
| Description | |
| Prioriteit | 2 |
| Richting gegevensstroom | Uitgaand |
| Afhankelijkheid |
| Bereik | Instelling |
|---|---|
| Resourcetype voor de metaverse | persoon |
| Extern systeem | Fabrikam ADMA |
| Resourcetype voor het externe systeem | gebruiker |
| Relatie | Instelling |
|---|---|
| Resource maken in extern systeem | Waar |
| Ongedaan maken van inrichting inschakelen | False |
| Criteria voor relatie | Instelling |
|---|---|
| ILM-kenmerk | Kenmerk van de gegevensbron |
| Kenmerk van de gegevensbron | sAMAccountName |
| Initiële uitgaande kenmerkstromen | Instelling 1 | Instelling 2 |
|---|---|---|
| Null-waarden toestaan | Doel | Bron |
| onjuist | dn | +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com") |
| onjuist | userAccountControl | Constant: 512 |
| onjuist | unicodePwd | Constante: P@$$W 0rd |
| Permanente uitgaande kenmerkstromen | Instelling 1 | Instelling 2 |
|---|---|---|
| Null-waarden toestaan | Doel | Bron |
| onjuist | sAMAccountName | accountName |
| onjuist | displayName | displayName |
| onjuist | givenName | voornaam |
| onjuist | sn | achternaam |
Notitie
Belangrijk: Verifieer dat u Alleen initiële stroom hebt geselecteerd voor de kenmerkstroom met de DN als doel.
Stap 7: De werkstroom maken
Het doel van de AD-inrichtingswerkstroom is om de inrichtingssynchronisatieregel van Fabrikam aan een resource toe te voegen. In de volgende tabellen wordt de configuratie vermeld. Maak een werkstroom aan de hand van de gegevens in de onderstaande tabellen.
| Werkstroomconfiguratie | Instelling |
|---|---|
| Naam | Inrichtingswerkstroom van Active Directory-gebruiker |
| Description | |
| Werkstroomtype | Actie |
| Uitvoeren bij beleidsupdates | False |
| Synchronisatieregel | Instelling |
|---|---|
| Naam | Regel voor uitgaande synchronisatie van Active Directory-gebruiker |
| Actie | Toevoegen |
Stap 8: de MPR maken
De vereiste MPR is van het type Setovergang en wordt getriggerd wanneer een resource lid wordt van de set Alle contractanten. In de volgende tabellen wordt de configuratie vermeld. Maak een MPR aan de hand van de gegevens in de onderstaande tabellen.
| MPR-configuratie | Instelling |
|---|---|
| Naam | Beheerbeleidsregel voor inrichting van AD-gebruikers |
| Beschrijving | |
| Type | Setovergang |
| Verleent toestemmingen | False |
| Uitgeschakeld | Niet waar |
| Definitie overgang | Instelling |
|---|---|
| Overgangstype | Overgang in |
| Overgangsset | Alle contractanten |
| Beleidswerkstromen | Instelling |
|---|---|
| Type | Actie |
| Weergavenaam | Inrichtingswerkstroom van Active Directory-gebruiker |
De omgeving initialiseren
De doelstelling van de initialisatiefase is als volgt:
Breng de synchronisatieregel over naar de metaverse.
Breng de Active Directory-structuur over naar het Active Directory-connectorgebied.
Stap 9: de uitvoerprofielen uitvoeren
In de volgende tabellen worden de uitvoerprofielen vermeld die onderdeel zijn van de initialisatiefase. Voer de uitvoerprofielen uit aan de hand van de onderstaande tabel.
| Uitvoeren | Beheeragent | Uitvoerprofiel |
|---|---|---|
| 1 | Fabrikam FIMMA | Volledig importbewerking |
| 2 | Volledige synchronisatie | |
| 3 | Exporteren | |
| 4 | Delta-import | |
| 5 | Fabrikam ADMA | Volledig importbewerking |
| 6 | Volledige synchronisatie |
Notitie
Controleer of de regel voor uitgaande synchronisatie is geprojecteerd in de metaverse.
De configuratie testen
Het doel van deze sectie is het testen van de feitelijke configuratie. Voor het testen van de configuratie dient u het volgende te doen:
Maak een voorbeeldgebruiker in de FIM-portal.
Controleer de vereisten voor het inrichten van de voorbeeldgebruiker.
Richt de voorbeeldgebruiker in voor AD DS.
Controleer of de gebruiker aanwezig is in AD DS.
Stap 10: een voorbeeldgebruiker maken in MIM
In de volgende tabel worden de eigenschappen van de voorbeeldgebruiker vermeld. Maak een voorbeeldgebruiker op basis van de gegevens in de onderstaande tabel.
| Kenmerk | Waarde |
|---|---|
| Voornaam | Julia |
| Achternaam | Steen |
| Weergavenaam | Britta Simon |
| Accountnaam | JSteen |
| Domain | Fabrikam |
| Werknemerstype | Aannemer |
De vereisten controleren voor het inrichten van de voorbeeldgebruiker
Als u de voorbeeldgebruiker wilt inrichten voor AD DS, moet aan twee voorwaarden worden voldaan:
De gebruiker moet lid zijn van de set Alle contractanten.
De gebruiker van de set moet binnen het bereik zijn van de regel voor uitgaande synchronisatie.
Stap 11: controleren of de gebruiker lid is van Alle contractanten
Als u wilt controleren of de gebruiker lid is van de set Alle contractanten, opent u de set en klikt u op Leden weergeven.
Stap 12: controleren of de gebruiker binnen het bereik is van de regel voor uitgaande synchronisatie
Als u wilt controleren of de gebruiker binnen het bereik van de synchronisatieregel valt, opent u de eigenschappenpagina van de gebruiker en controleert u het kenmerk Lijst met verwachte regels op het tabblad Inrichten. Het kenmerk Lijst met verwachte regels moet de AD-gebruiker vermelden
Regel voor uitgaande synchronisatie. In de volgende schermopname ziet u een voorbeeld van het kenmerk Lijst met verwachte regels.
Op dit punt in het proces is de status van de synchronisatieregel In wachtrij. Dat betekent dat de synchronisatieregel nog niet op de gebruiker wordt toegepast.
Stap 13: de voorbeeldgroep synchroniseren
Voordat u met de eerste synchronisatiecyclus voor een testobject begint, dient u de verwachte toestand van het object te volgen na het uitvoeren van een uitvoerprofiel in een testschema. Het testschema moet naast de algemene toestand van het object (gemaakt, bijgewerkt of verwijderd) ook de kenmerkwaarden bevatten die u verwacht. Gebruik het testschema om de verwachtingen voor het testschema te controleren. Als na een stap de verwachte resultaten niet worden geretourneerd, gaat u pas met de volgende stap door als u de afwijking tussen het verwachte resultaat en het feitelijke resultaat hebt opgelost.
U kunt de synchronisatiestatistieken gebruiken als een eerste indicatie bij het controleren van uw verwachtingen. Als u bijvoorbeeld verwacht dat nieuwe objecten gefaseerd in een connectorgebied worden binnengebracht, maar de importstatistieken retourneren geen 'toevoegingen', dan is er duidelijk iets in de omgeving dat niet volgens verwachting werkt.
Hoewel de synchronisatiestatistieken een eerste indicatie kunnen zijn van het feit of de synchronisatie volgens de verwachting functioneert, moet u de functies Search Connector Space en Metaverse Search van Synchronization Service Manager gebruiken om de verwachte kenmerkwaarden te controleren.
Ga als volgt te werk om de gebruiker met AD DS te synchroniseren:
Importeer de gebruiker in het FIM MA-connectorgebied.
Projecteer de gebruiker in de metaverse.
Richt de gebruiker in voor het Active Directory-connectorgebied.
Exporteer statusgegevens naar FIM.
Exporteer de gebruiker naar AD DS.
Controleer of de gebruiker is gemaakt.
Voer de volgende uitvoerprofielen uit als u deze taken wilt verrichten.
| Beheeragent | Uitvoerprofiel |
|---|---|
| Fabrikam FIMMA | 1. Delta importeren 2. Deltasynchronisatie 3. Exporteren 4. Delta-import |
| Fabrikam FIMMA | 1. Exporteren 2. Delta importeren |
Na het importeren uit de FIM-servicedatabase worden Britta Simon en het Object ExpectedRuleEntry dat Britta koppelt aan de regel voor uitgaande synchronisatie van AD-gebruikers gefaseerd in de fabrikam FIMMA-connectorruimte. Wanneer u de eigenschappen van Britta in de connectorruimte bekijkt, vindt u naast de kenmerkwaarden die u hebt geconfigureerd in de FIM-portal ook een geldige verwijzing naar het object Expected Rule Entry. In de volgende schermopname ziet u een voorbeeld hiervan.
Het doel van de deltasynchronisatie die op Fabrikam FIMMA wordt uitgevoerd, bestaat uit het uitvoeren van een aantal bewerkingen:
Projectie: het nieuwe gebruikersobject en het gerelateerde object Verwachte-regelvermelding worden in de metaverse geprojecteerd.
Inrichting: het recent geprojecteerde object, Julia Steen, wordt ingericht in het connectorgebied van Fabrikam ADMA.
Exportkenmerkstromen: bij beide beheeragents treden exportkenmerkstromen op. Op de Fabrikam ADMA wordt het recent ingerichte object, Julia Steen, ingevuld met de nieuwe kenmerkwaarden. Op de Fabrikam IMMA worden het bestaande object, Julia Steen, en het gerelateerde object, ExpectedRuleEntry, bijgewerkt met kenmerkwaarden die het resultaat zijn van de projectie.
Zoals reeds aangegeven door de synchronisatiestatistieken, heeft er een inrichtingsactiviteit plaatsgevonden voor het connectorgebied van Fabrikam ADMA. Als de eigenschappen van het metaverseobject van Julia Steen worden bekeken, ziet u dat deze activiteit het resultaat is van het feit dat het kenmerk ExpectedRulesList is ingevuld met een geldige verwijzing.
Tijdens de volgende exportbewerking op Fabrikam FIMMA wordt de synchronisatieregelstatus van Julia Steen bijgewerkt van In wachtrij naar Toegepast. Dit geeft aan dat de regel voor uitgaande synchronisatie nu actief is voor het object in de metaverse.
Aangezien er een nieuw object voor het ADMA-connectorgebied is ingericht, staat er één exportbewerking in de wachtrij om aan deze beheeragent te worden toegevoegd (Add).
In FIM moet elke exportbewerking worden gevolgd door een delta-importbewerking om de exportbewerking te voltooien. De delta-importbewerking die u uitvoert nadat een exportbewerking is uitgevoerd, staat bekend als een bevestigende importbewerking. Bevestigende importbewerkingen zijn vereist om de FIM-synchronisatieservice in te schakelen voor het maken van passende bijwerkvereisten tijdens opvolgende synchronisaties.
Voer het uitvoerprofiel uit volgens de instructies in deze sectie.
Belangrijk
Elk uitvoerprofiel moet zonder fouten worden voltooid.
Stap 14: de ingerichte gebruiker in AD DS inrichten
Open de OE FIMObjects om te controleren dat de voorbeeldgebruiker is ingericht voor AD DS. Julia Steen moet zich in de OE FIMObjects bevinden.
Samenvatting
Het doel van dit document is u een inleiding te geven tot de belangrijkste bouwstenen voor het synchroniseren van een gebruiker in MIM met AD DS. Voor de initiële test moet u beginnen met het minimaal aantal vereiste kenmerken om een taak te voltooien. U voegt meer kenmerken aan het scenario toe als de algemene stappen werken zoals verwacht. Door de complexiteit tot een minimum te beperken, wordt het oplossen van problemen vereenvoudigd.
Als u de configuratie test, zult u waarschijnlijk nieuwe testobjecten verwijderen en opnieuw maken. Voor objecten met een
ingevuld kenmerk ExpectedRulesList, kan dit resulteren in zwevende ERE-objecten.
In een typisch synchronisatiescenario met AD DS als synchronisatiedoel, is MIM niet gezaghebbend voor alle kenmerken van een object. Als u bijvoorbeeld gebruikersobjecten in AD DS beheert door middel van FIM, moeten ten minste het domein en de objectSID-kenmerken worden bijgedragen door de AD DS-beheeragent. De accountnaam, het domein en de objectSID-kenmerken zijn vereist als u een gebruiker in staat wil stellen zich aan te melden bij de FIM-portal. Als u deze kenmerken vanuit AD DS wilt invullen, is er een aanvullende regel voor inkomende synchronisatie voor het AD DS-connectorgebied vereist. Als u objecten met meerdere bronnen voor kenmerkwaarden beheert, moet u ervoor zorgen dat de prioriteit van de kenmerkstroom correct wordt geconfigureerd. Als de prioriteit van de kenmerkstroom niet correct wordt geconfigureerd, blokkeert de synchronisatie-engine het invullen van kenmerkwaarden. In het artikel Prioriteit kenmerkstroom vindt u meer informatie over prioriteit van de kenmerkstroom.
Volgende stappen
Niet-gezaghebbende accounts detecteren – Deel 1: Envisioning
About Attribute Flow Precedence (Prioriteit kenmerkstroom)