Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: Microsoft Identity Manager 2016 SP1 (MIM)
Jednym z podstawowych wymagań systemu zarządzania tożsamościami jest możliwość przydzielania zasobów w systemie zewnętrznym.
W tym przewodniku przedstawiono główne bloki konstrukcyjne, które są związane z procesem aprowizacji użytkowników z programu Microsoft® Identity Manager (MIM) 2016 do usług Active Directory® Domain Services (AD DS), przedstawiono sposób sprawdzania, czy scenariusz działa zgodnie z oczekiwaniami, zawiera sugestie dotyczące zarządzania użytkownikami usługi Active Directory przy użyciu programu MIM 2016 i zawiera listę dodatkowych źródeł informacji.
Przed rozpoczęciem
W tej sekcji znajdziesz informacje o zakresie tego dokumentu. Ogólnie rzecz biorąc, przewodniki "Jak to zrobić" są przeznaczone dla czytelników, którzy mają już podstawowe doświadczenie w procesie synchronizowania obiektów z MIM, jak opisano w powiązanych przewodnikach Wprowadzenie.
Publiczność
Ten przewodnik jest przeznaczony dla specjalistów it, którzy już mają podstawową wiedzę na temat sposobu działania procesu synchronizacji programu MIM i są zainteresowani uzyskaniem praktycznego doświadczenia i bardziej koncepcyjnymi informacjami na temat określonych scenariuszy.
Znajomość wymagań wstępnych
W tym dokumencie założono, że masz dostęp do uruchomionego wystąpienia programu MIM i masz doświadczenie w konfigurowaniu prostych scenariuszy synchronizacji, jak opisano w następujących dokumentach:
Zawartość w tym dokumencie jest przeznaczona do pełnienia funkcji rozszerzenia tych wprowadzających dokumentów.
Zakres
Scenariusz opisany w tym dokumencie został uproszczony w celu spełnienia wymagań podstawowego środowiska laboratoryjnego. Celem jest zapoznanie się z omówionymi pojęciami i technologiami.
Ten dokument ułatwia opracowanie rozwiązania obejmującego zarządzanie grupami w usługach AD DS przy użyciu programu MIM.
Wymagania dotyczące czasu
Procedury przedstawione w tym dokumencie wymagają od 90 do 120 minut.
Te szacunki czasu zakładają, że środowisko testowe jest już skonfigurowane i nie obejmuje czasu wymaganego do skonfigurowania środowiska testowego.
Opis scenariusza
Firma Fabrikam, fikcyjna firma, planuje używać programu MIM do zarządzania kontami użytkowników w usługach AD DS firmy przy użyciu programu MIM. W ramach tego procesu firma Fabrikam musi konfigurować użytkowników w usługach Active Directory Domain Services (AD DS). Aby rozpocząć wstępne testowanie, firma Fabrikam zainstalowała podstawowe środowisko laboratoryjne składające się z programu MIM i usług AD DS. W tym środowisku laboratoryjnym Fabrikam testuje scenariusz składający się z użytkownika, który został utworzony ręcznie w portalu programu MIM. Celem tego scenariusza jest skonfigurowanie użytkownika jako aktywnego użytkownika z wcześniej zdefiniowanym hasłem dla usług AD DS.
Projekt scenariusza
Aby użyć tego przewodnika, potrzebne są trzy składniki architektury:
Kontroler domeny usługi Active Directory
Komputer z uruchomioną usługą synchronizacji programu FIM
Komputer z uruchomionym portalem programu FIM
Poniższa ilustracja przedstawia wymagane środowisko.
Wszystkie składniki można uruchamiać na jednym komputerze.
Uwaga
Aby uzyskać więcej informacji na temat konfigurowania programu MIM, zobacz przewodnik instalacji programu FIM.
Lista składników scenariusza
W poniższej tabeli wymieniono składniki, które są częścią scenariusza w tym przewodniku.
| Ikona | Składnik | Opis |
|---|---|---|
|
Jednostka organizacyjna | Obiekty programu MIM — jednostka organizacyjna (OU), która jest używana jako obiekt docelowy dla aprowizowanych użytkowników. |
|
Konta użytkowników | · ADMA — konto użytkownika usługi Active Directory z wystarczającymi uprawnieniami do łączenia się z usługami AD DS. · FIMMA — konto użytkownika usługi Active Directory z wystarczającymi uprawnieniami do nawiązywania połączenia z programem MIM. |
|
Agenci zarządzania i profile uruchamiania | · Fabrikam ADMA — agent zarządzający, który wymienia dane z usługą AD DS. · Fabrikam FIMMA — agent zarządzania, który wymienia dane za pomocą programu MIM. |
reguły synchronizacji  |
Reguły synchronizacji | Reguła synchronizacji ruchu wychodzącego grupy Fabrikam — reguła synchronizacji wychodzącej, która zapewnia użytkowników do Active Directory Domain Services (AD DS). |
|
Zestawy | Wszyscy wykonawcy — ustaw z dynamicznym członkostwem dla wszystkich obiektów z atrybutem EmployeeType o wartości Contractor. |
|
Przepływy pracy | Przepływ pracy aprowizacji usługi AD — przepływ pracy umożliwiający włączenie użytkownika programu MIM do zakresu reguły synchronizacji wychodzącej dla usługi AD. |
 Management policy ruleszasady polityki zarządzania |
Reguły zasad zarządzania | Reguła zarządzania dostępem Active Directory (AD) — reguła zarządzania (MPR), która jest wyzwalana, gdy zasób staje się członkiem zbioru Wszyscy wykonawcy. |
|
Użytkownicy programu MIM | Britta Simon — użytkownik MIM, którego wdrażasz w usługach AD DS. |
Kroki scenariusza
Scenariusz opisany w tym przewodniku składa się z bloków konstrukcyjnych przedstawionych na poniższym rysunku.
Konfigurowanie systemów zewnętrznych
W tej sekcji znajdziesz instrukcje dotyczące zasobów, które należy utworzyć poza środowiskiem programu MIM.
Krok 1. Tworzenie jednostki organizacyjnej
Jednostka organizacyjna jest potrzebna jako kontener dla aprowizowanego przykładowego użytkownika. Aby uzyskać więcej informacji na temat tworzenia jednostek organizacyjnych, zobacz Tworzenie nowej jednostki organizacyjnej.
Utwórz jednostkę organizacyjną o nazwie MIMObjects w usługach Active Directory Domain Services (AD DS).
Krok 2. Tworzenie kont użytkowników usługi Active Directory
W scenariuszu w tym przewodniku potrzebne są dwa konta użytkowników usługi Active Directory:
ADMA — używane przez agenta zarządzania usługi Active Directory.
FIMMA — używana przez agenta zarządzania usługą FIM.
W obu przypadkach wystarczy utworzyć zwykłe konta użytkowników. Więcej informacji na temat konkretnych wymagań obu kont można znaleźć w dalszej części tego dokumentu. Aby uzyskać więcej informacji na temat tworzenia użytkowników, zobacz Tworzenie nowego konta użytkownika.
Konfigurowanie usługi synchronizacji programu FIM
Aby wykonać kroki konfiguracji w tej sekcji, należy uruchomić program FIM Synchronization Service Manager.
Tworzenie agentów zarządzania
W przypadku scenariusza w tym przewodniku należy utworzyć dwóch agentów zarządzania:
Fabrikam ADMA — agent zarządzania dla usług Active Directory Domain Services (AD DS).
Fabrikam FIMMA — agent zarządzania dla agenta zarządzania usługą FIM.
Krok 3. Tworzenie agenta zarządzania Fabrikam ADMA
Podczas konfigurowania agenta zarządzania dla usług AD DS należy określić konto używane przez agenta zarządzania w ramach wymiany danych z usługami AD DS. Należy użyć zwykłego konta użytkownika. Jednak aby zaimportować dane z usług AD DS, konto musi mieć prawo do monitorowania zmian z kontroli DirSync. Jeśli chcesz, aby agent zarządzania eksportował dane do usług AD DS, musisz przyznać koncie wystarczające uprawnienia w docelowych jednostkach organizacyjnych. Aby uzyskać więcej informacji na temat tego tematu, zobacz Konfigurowanie konta ADMA.
Aby utworzyć użytkownika w usługach AD DS, musisz określić wyróżnioną nazwę (DN) obiektu. Oprócz tego dobrym rozwiązaniem jest przekazywanie imienia, nazwiska i nazwy wyświetlania, aby zapewnić wykrywalność obiektów.
W usługach AD DS użytkownicy nadal często używają atrybutu sAMAccountName do logowania się do usługi katalogowej. Jeśli nie określisz wartości dla tego atrybutu, usługa katalogowa generuje dla niego losową wartość. Jednak te losowe wartości nie są przyjazne dla użytkownika, dlatego przyjazna dla użytkownika wersja tego atrybutu jest zazwyczaj częścią eksportu do usług AD DS. Aby umożliwić użytkownikowi logowanie się do usług AD DS, należy również dołączyć hasło utworzone przy użyciu atrybutu unicodePwd w logice eksportu.
Uwaga
Upewnij się, że wartość określona jako unicodePwd jest zgodna z zasadami haseł docelowych usług AD DS.
Po ustawieniu hasła dla kont usług AD DS należy również utworzyć konto jako włączone konto. Można to zrobić, ustawiając atrybut userAccountControl. Aby uzyskać więcej informacji na temat atrybutu userAccountControl, zobacz Używanie programu FIM do włączania lub wyłączania kont w usłudze Active Directory.
W poniższej tabeli wymieniono najważniejsze ustawienia specyficzne dla scenariusza, które należy skonfigurować.
| Strona projektanta agenta zarządzania | Konfiguracja |
|---|---|
| Tworzenie agenta zarządzania | 1. agent zarządzania dla: usług AD DS 2. Nazwa Fabrikam ADMA |
| Nawiązywanie połączenia z lasem usługi Active Directory | 1. Wybierz partycje katalogów: "DC=Fabrikam,DC=com" 2. Kliknij Containers, aby otworzyć okno dialogowe Wybieranie kontenerów i upewnij się, że MIMObjects jest jedyną wybraną jednostką organizacyjną. |
| Wybieranie typów obiektów | Oprócz już wybranych typów obiektów wybierz użytkownik. |
| Wybieranie atrybutów | 1. Kliknij przycisk Pokaż wszystko. 2. Wybierz następujące atrybuty: nazwa_wyświetlana ° imię ° sn ° SamAccountName ° unicodePwd ° kontrolaKontaUżytkownika |
Aby uzyskać więcej informacji, zobacz następujące tematy w Pomocy:
- Tworzenie agenta zarządzania
- Nawiązywanie połączenia z lasem usługi Active Directory
- Używanie agenta zarządzania dla usługi Active Directory
- Konfigurowanie partycji katalogu
Uwaga
Upewnij się, że masz regułę przepływu atrybutów importu skonfigurowaną dla atrybutu ExpectedRulesList.
Krok 4. Tworzenie agenta zarządzania Fabrikam FIMMA
Podczas konfigurowania agenta zarządzania usługą FIM Należy określić konto używane przez agenta zarządzania w ramach wymiany danych z usługą FIM Service.
Należy użyć zwykłego konta użytkownika. Konto musi być tym samym kontem co konto określone podczas instalacji programu MIM. Aby uzyskać skrypt, którego można użyć do ustalenia nazwy konta FIMMA określonego podczas konfiguracji i sprawdzenia, czy to konto jest nadal prawidłowe, zobacz artykuł Używanie programu Windows PowerShell do wykonania szybkiego testu konfiguracji konta FIM MA .
W poniższej tabeli wymieniono najważniejsze ustawienia specyficzne dla scenariusza, które należy skonfigurować. Utwórz agenta zarządzania na podstawie informacji podanych w poniższej tabeli.
| Strona projektanta agenta zarządzania | Konfiguracja |
|---|---|
| Tworzenie agenta zarządzania | 1. agent zarządzający dla: agenta zarządzającego usługą FIM 2. Nazwa Fabrikam FIMMA |
| Nawiązywanie połączenia z bazą danych | Użyj następujących ustawień: · serwer : localhost · Baza danych: FIMService · adres podstawowy usługi FIM:http://localhost:5725 Podaj informacje o koncie utworzonym dla tego agenta zarządzania |
| Wybieranie typów obiektów | Oprócz już wybranych typów obiektów wybierz pozycję Osoba. |
| Konfigurowanie mapowań typów obiektów | Oprócz już istniejących mapowań typów obiektów dodaj mapowanie dla typu obiektu Data Source Object Type Osoba do typu obiektu Metaverse Osoba. |
| Konfigurowanie przepływu atrybutów | Oprócz istniejących mapowań przepływu atrybutów dodaj następujące mapowania przepływu atrybutów: 
|
Aby uzyskać więcej informacji, zobacz następujące tematy w pomocy:
Tworzenie agenta zarządzania
Nawiązywanie połączenia z bazą danych usługi Active Directory
Używanie agenta zarządzania dla usługi Active Directory
Konfigurowanie partycji katalogu
Uwaga
Upewnij się, że masz regułę przepływu atrybutów importu skonfigurowaną dla atrybutu ExpectedRulesList.
Krok 5: Utwórz profile działania
W poniższej tabeli wymieniono profile uruchamiania, które należy utworzyć dla scenariusza w tym przewodniku.
| Agent zarządzania | Uruchom profil |
|---|---|
| Fabrikam ADMA | 1. Pełny import 2. Pełna synchronizacja 3. Importowanie różnicowe 4. Synchronizacja różnicowa 5. Eksportowanie |
| Fabrikam FIMMA | 1. Pełny import 2. Pełna synchronizacja 3. Import Delta 4. Synchronizacja różnicowa 5. Eksportowanie |
Utwórz profile uruchamiania dla każdego agenta zarządzania zgodnie z poprzednią tabelą.
Uwaga
Aby uzyskać więcej informacji, zobacz Tworzenie profilu uruchamiania agenta zarządzania w pomocy programu MIM.
Ważne
Sprawdź, czy wdrażanie jest uruchomione w danym środowisku. Można to zrobić, uruchamiając skrypt za pomocą Windows PowerShell do włączania prowizjonowania (https://go.microsoft.com/FWLink/p/?LinkId=189660).
Konfigurowanie usługi FIM
W scenariuszu przedstawionym w tym przewodniku należy skonfigurować politykę zarządzania zasobami, zgodnie z poniższą ilustracją.
Celem tych zasad zarządzania jest włączenie grup do zakresu reguły synchronizacji wychodzącej użytkowników AD. Przyłączając zasób do zakresu zasady synchronizacji, mechanizm synchronizacji umożliwia przygotowanie zasobu do pracy w usługach AD DS zgodnie z konfiguracją.
Aby skonfigurować usługę FIM, przejdź w programie Windows Internet Explorer® do http://localhost/identitymanagement. Na stronie portal MIM, aby utworzyć zasady udostępniania zasobów, przejdź do powiązanych stron w sekcji administracji. Aby zweryfikować konfigurację, należy uruchomić skrypt w za pomocą programu Windows PowerShell do dokumentowania konfiguracji polityki wdrażania.
Krok 6. Tworzenie reguły synchronizacji
W poniższych tabelach przedstawiono konfigurację wymaganej reguły synchronizacji aprowizacji firmy Fabrikam. Utwórz regułę synchronizacji zgodnie z danymi w poniższych tabelach.
| Konfiguracja reguły synchronizacji | Ustawienie |
|---|---|
| Nazwa | Reguła synchronizacji ruchu wychodzącego użytkowników usługi Active Directory |
| Opis | |
| Pierwszeństwo | 2 |
| Kierunek przepływu danych | Wychodzący |
| Zależność |
| Zakres | Ustawienie |
|---|---|
| Typ zasobu Metaverse | osoba |
| System zewnętrzny | Fabrikam ADMA |
| Typ zasobu systemu zewnętrznego | użytkownik |
| Relacja | Ustawienie |
|---|---|
| Tworzenie zasobu w systemie zewnętrznym | Prawda |
| Włącz deprowizjonowanie | Nieprawda |
| Kryteria relacji | Ustawienie |
|---|---|
| Atrybut ILM | Atrybut źródła danych |
| Atrybut źródła danych | sAMAccountName |
| Początkowe przepływy atrybutów wychodzących | Ustawienie 1 | Ustawienie 2 |
|---|---|---|
| Zezwalaj na wartości null | Destynacja | Źródło |
| fałszywy | dn | +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com") |
| fałszywy | kontrolaKontaUżytkownika | Stała : 512 |
| fałszywy | unicodePwd | Stała: P@$$W0rd |
| Trwałe przepływy atrybutów wychodzących | Ustawienie 1 | Ustawienie 2 |
|---|---|---|
| Zezwalaj na wartości null | Destynacja | Źródło |
| fałszywy | sAMAccountName | nazwa_konta |
| fałszywy | nazwa wyświetlana | nazwa wyświetlana |
| fałszywy | givenName | imię |
| fałszywy | sn | nazwisko |
Uwaga
Ważne sprawdź, czy wybrano opcję Przepływ początkowy tylko dla przepływu atrybutów, który ma nazwę DN jako miejsce docelowe.
Krok 7. Tworzenie przepływu pracy
Celem przepływu pracy zarządzania aprowizacją AD jest dodanie reguły synchronizacji zarządzania aprowizacją dla Fabrikam do zasobu. W poniższych tabelach przedstawiono konfigurację. Utwórz przepływ pracy zgodnie z danymi w poniższych tabelach.
| Konfiguracja przepływu pracy | Ustawienie |
|---|---|
| Nazwa | Proces udostępniania zasobów użytkowników w usłudze Active Directory |
| Opis | |
| Typ przepływu pracy | Akcja |
| Uruchom przy aktualizacji zasad | Nieprawda |
| Reguła synchronizacji | Ustawienie |
|---|---|
| Nazwa | Reguła synchronizacji ruchu wychodzącego użytkowników usługi Active Directory |
| Akcja | Dodaj |
Krok 8. Tworzenie mpR
Wymagany MPR jest typu Set Transition i wyzwala, gdy zasób staje się członkiem zestawu "Wszyscy Wykonawcy". W poniższych tabelach przedstawiono konfigurację. Utwórz MPR zgodnie z danymi w poniższych tabelach.
| Konfiguracja MPR | Ustawienie |
|---|---|
| Nazwa | Reguła zasad zarządzania aprowizowaniem użytkowników usługi AD |
| Opis | |
| Typ | Ustawianie przejścia |
| Przyznaje uprawnienia | Nieprawda |
| Niepełnosprawny | Nieprawda |
| Definicja przejścia | Ustawienie |
|---|---|
| Typ przejścia | Przejście w |
| Zestaw przejścia | Wszyscy wykonawcy |
| Procesy dotyczące polityki | Ustawienie |
|---|---|
| Typ | Akcja |
| Wyświetlana nazwa | Proces udostępniania zasobów użytkowników w usłudze Active Directory |
Inicjalizacja środowiska
Cele fazy inicjowania są następujące:
Przenieś swoją regułę synchronizacji do metaverse.
Wprowadź strukturę Active Directory do obszaru łącznika Active Directory.
Krok 9. Uruchamianie profilów uruchamiania
W poniższej tabeli wymieniono profile uruchamiania, które są częścią fazy inicjowania. Uruchom profile uruchamiania zgodnie z poniższą tabelą.
| Biegnij | Agent zarządzania | Uruchom profil |
|---|---|---|
| 1 | Fabrikam FIMMA | Pełny import |
| 2 | Pełna synchronizacja | |
| 3 | Eksport | |
| 4 | Importowanie różnicowe | |
| 5 | Fabrikam ADMA | Pełny import |
| 6 | Pełna synchronizacja |
Uwaga
Należy sprawdzić, czy reguła synchronizacji ruchu wychodzącego została pomyślnie rzutowana do Metaverse.
Testowanie konfiguracji
Celem tej sekcji jest przetestowanie rzeczywistej konfiguracji. Aby przetestować konfigurację, należy wykonać następujące elementy:
Utwórz przykładowego użytkownika w portalu programu FIM.
Zweryfikuj wymagania dotyczące konfiguracji dla przykładowego użytkownika.
Skonfiguruj przykładowego użytkownika w usługach AD DS.
Sprawdź, czy użytkownik istnieje w usługach AD DS.
Krok 10. Tworzenie przykładowego użytkownika w programie MIM
W poniższej tabeli wymieniono właściwości przykładowego użytkownika. Utwórz przykładowego użytkownika zgodnie z danymi w poniższej tabeli.
| Atrybut | Wartość |
|---|---|
| Imię | Britta |
| Nazwisko | Simon |
| Wyświetlana nazwa | Britta Simon |
| Nazwa klienta | BSimon |
| Domena | Fabrikam |
| Typ pracownika | Wykonawca |
Zweryfikuj wymagania dotyczące przygotowania dla przykładowego użytkownika
Aby dodać przykładowego użytkownika do Active Directory Domain Services (AD DS), należy spełnić dwa wymagania wstępne:
Użytkownik musi być członkiem zestawu Wszyscy wykonawcy.
Użytkownik musi należeć do zakresu reguły synchronizacji ruchu wychodzącego.
Krok 11: Sprawdź, czy użytkownik jest członkiem grupy All Contractors
Aby sprawdzić, czy użytkownik jest członkiem zestawu Wszyscy wykonawcy, otwórz zestaw, a następnie kliknij przycisk Wyświetl członków.
Krok 12. Sprawdź, czy użytkownik znajduje się w zakresie reguły synchronizacji ruchu wychodzącego
Aby sprawdzić, czy użytkownik znajduje się w zakresie reguły synchronizacji, otwórz stronę właściwości użytkownika i przejrzyj atrybut Lista oczekiwanych reguł na karcie Aprowizacja. Atrybut Lista oczekiwanych reguł powinien zawierać listę użytkowników usługi AD
Reguła synchronizacji wychodzącej. Poniższy zrzut ekranu przedstawia przykład atrybutu Lista oczekiwanych reguł.
stan reguły synchronizacji 
W tej chwili proces statusu reguły synchronizacji jest w stanie Oczekiwania. Oznacza to, że reguła synchronizacji nie została jeszcze zastosowana do użytkownika.
Krok 13. Synchronizowanie grupy przykładowej
Przed rozpoczęciem pierwszego cyklu synchronizacji dla obiektu testowego należy śledzić oczekiwany stan obiektu po każdym profilu przebiegu uruchomionym w planie testu. Plan testu powinien zawierać obok ogólnego stanu obiektu (utworzonego, zaktualizowanego lub usuniętego) również oczekiwane wartości atrybutów. Użyj planu testowego, aby zweryfikować oczekiwania dotyczące planu testów. Jeśli krok nie zwraca oczekiwanych wyników, nie należy przechodzić do następnego kroku, dopóki nie rozpoznano rozbieżności między oczekiwanym wynikiem a rzeczywistym wynikiem.
Aby zweryfikować oczekiwania, możesz użyć statystyk synchronizacji jako pierwszego wskaźnika. Jeśli na przykład spodziewasz się, że nowe obiekty zostaną umieszczone w przestrzeni łącznika, ale statystyki importu nie zwracają żadnych 'Dodaje', oczywiście coś w twoim środowisku nie działa zgodnie z oczekiwaniami.
Chociaż statystyki synchronizacji mogą dać pierwszą wskazówkę, czy scenariusz działa zgodnie z oczekiwaniami, należy użyć funkcji Search Connector Space i Metaverse Search menedżera usług synchronizacji, aby zweryfikować oczekiwane wartości atrybutów.
Aby zsynchronizować użytkownika z usługami AD DS:
Zaimportuj użytkownika do obszaru łącznika FIM MA.
Umieść użytkownika w metaverse.
Dołącz użytkownika do przestrzeni łącznika Active Directory.
Eksportowanie informacji o stanie do programu FIM.
Wyeksportuj użytkownika do usług AD DS.
Potwierdź utworzenie użytkownika.
Aby wykonać te zadania, uruchom następujące profile pracy.
| Agent zarządzania | Wykonaj profil |
|---|---|
| Fabrikam FIMMA | 1. Importowanie różnicowe 2. Synchronizacja różnicowa 3. Eksportowanie 4. Importowanie delta |
| Fabrikam FIMMA | 1. Eksportowanie Importowanie Delta |
Po zaimportowaniu z bazy danych usługi FIM Service, Britta Simon i obiekt ExpectedRuleEntry, który łączy Britta z regułą synchronizacji użytkownika wychodzącego usługi AD, zostaną wprowadzone w przestrzeni łącznika Fabrikam FIMMA. Podczas przeglądania właściwości Britty w przestrzeni łącznika obok wartości atrybutów skonfigurowanych w portalu FIM można również znaleźć prawidłowe odwołanie do obiektu Oczekiwany Wpis Reguły. Poniższy zrzut ekranu przedstawia przykład tego.
Celem synchronizacji różnicowej uruchomionej na programie Fabrikam FIMMA jest przeprowadzenie kilku operacji:
Projekcja — nowy obiekt użytkownika i powiązany obiekt oczekiwanego wpisu reguły są projekowane do metaverse.
Aprowizowanie — nowo utworzony obiekt Britta Simon jest wprowadzany do przestrzeni łącznika aplikacji Fabrikam ADMA.
Eksportowanie przepływów atrybutów — eksportowanie przepływów atrybutów odbywa się na obu agentach zarządzania. W aplikacji Fabrikam ADMA obiekt Britta Simon, niedawno aprowizowany, jest wypełniany nowymi wartościami atrybutów. W programie Fabrikam FIMMA istniejący obiekt Britta Simon i powiązany obiekt ExpectedRuleEntry są aktualizowane za pomocą wartości atrybutów będących wynikiem projekcji.
Jak już wskazano w statystykach synchronizacji, w obszarze łącznika firmy Fabrikam ADMA miał miejsce proces aprowizacji. Podczas przeglądania właściwości obiektu metaverse Britta Simon okazuje się, że działanie to jest wynikiem atrybutu ExpectedRulesList, który został wypełniony prawidłowym odwołaniem.
Podczas kolejnego eksportu w programie Fabrikam FIMMA status reguły synchronizacji Britty Simon jest aktualizowany z oczekującego na zastosowany, co oznacza, że reguła synchronizacji wychodzącej jest teraz aktywna dla obiektu w metaverse.
Ponieważ nowy obiekt został udostępniony w przestrzeni łącznika ADMA, należy mieć jeden oczekujący eksport dla tego agenta zarządzania.
W programie FIM każde uruchomienie eksportu wymaga następującego importu różnicowego, aby ukończyć operację eksportowania. Import różnicowy uruchamiany po poprzednim uruchomieniu eksportu jest nazywany importem potwierdzającym. Potwierdzenie importu jest wymagane, aby usługa synchronizacji programu FIM mogła właściwie określić wymagania aktualizacji podczas kolejnych cykli synchronizacji.
Uruchom profile uruchomieniowe zgodnie z instrukcjami w tej sekcji.
Ważne
Każde uruchomienie profilu przebiegu musi zakończyć się powodzeniem bez błędów.
Krok 14. Weryfikowanie aprowizowanego użytkownika w usługach AD DS
Aby sprawdzić, czy przykładowy użytkownik został aprowizowany do AD DS, otwórz FIMObjects OU. Britta Simon powinna znajdować się w jednostce organizacyjnej FIMObjects.
Podsumowanie
Celem tego dokumentu jest wprowadzenie do głównych elementów służących do synchronizacji użytkownika w systemie MIM z usługami AD DS. W początkowym testowaniu należy najpierw zacząć od minimum atrybutów wymaganych do ukończenia zadania i dodać więcej atrybutów do scenariusza, gdy ogólne kroki działają zgodnie z oczekiwaniami. Utrzymanie złożoności na minimalnym poziomie upraszcza proces rozwiązywania problemów.
Podczas testowania konfiguracji bardzo prawdopodobne jest, że usuniesz i ponownie utworzysz nowe obiekty testowe. W przypadku obiektów z
Jeśli atrybut ExpectedRulesList jest wypełniony, może to skutkować opuszczonymi obiektami ERE.
W typowym scenariuszu synchronizacji, gdzie jako cel synchronizacji używana jest usługa AD DS, program MIM nie jest autorytatywny dla wszystkich atrybutów obiektu. Na przykład w przypadku zarządzania obiektami użytkownika w usługach AD DS przy użyciu programu FIM, co najmniej domena i atrybuty objectSID muszą zostać dodane przez agenta zarządzania usług AD DS. Atrybuty nazwa konta, domena i objectSID są wymagane, jeśli chcesz umożliwić użytkownikowi logowanie się do portalu programu FIM. Aby wypełnić te atrybuty z usług AD DS, wymagana jest dodatkowa reguła synchronizacji ruchu przychodzącego dla przestrzeni łącznika usług AD DS. Podczas zarządzania obiektami z wieloma źródłami wartości atrybutów należy upewnić się, że pierwszeństwo przepływu atrybutów jest skonfigurowane poprawnie. Jeśli pierwszeństwo przepływu atrybutów nie jest poprawnie skonfigurowane, silnik synchronizacji blokuje wypełnianie wartości atrybutów. Więcej informacji na temat pierwszeństwa przepływu atrybutów można znaleźć w artykule About Attribute Flow Precedence (Pierwszeństwo przepływu atrybutów).
Następne kroki
Wykrywanie kont nieautorytatywnych — część 1: Przewidywanie