Как подготовить пользователей в AD DS
Применяется к: Microsoft Identity Manager 2016 (MIM) с пакетом обновления 1 (SP1)
Одним из важнейших требований, предъявляемых к системе управления удостоверениями, является возможность предоставления ресурсов внешней системе.
В этом руководстве рассматриваются основные компоненты, задействованные в процессе подготовки пользователей в Microsoft® Identity Manager (MIM) 2016 для доменных служб Active Directory® (AD DS), описывается, как проверить правильность реализации сценария, приводятся рекомендации по управлению пользователями в Active Directory с помощью MIM 2016 и перечисляются дополнительные источники информации.
Перед началом
В этом разделе приводятся сведения об области применимости данного документа. Практические руководства этой серии, как правило, предназначены для тех, у кого уже есть базовый опыт синхронизации объектов с MIM (соответствующие процессы описываются в руководствах по началу работы).
Аудитория
Это руководство предназначено для ИТ-специалистов, которые уже имеют общее представление о процессе синхронизации MIM и заинтересованы в получении практического опыта и более конкретной информации о тех или иных сценариях.
Предварительно требуемый набор знаний
В этом документе предполагается, что у вас есть доступ к работающему экземпляру MIM и опыт в настройке простых сценариев синхронизации, описываемых в следующих документах.
Этот документ расширяет сведения, которые приводятся в этих вводных документах.
Область
Сценарий, описываемый в этом документе, упрощен в соответствии с требованиями базовой лабораторной среды. Его цель — дать вам представление о рассматриваемых понятиях и технологиях.
Этот документ призван помочь вам разработать решение, предполагающее управление группами в AD DS с помощью MIM.
Требования по времени
Для выполнения процедур в данном документе требуется от 90 до 120 минут.
При этом предполагается, что тестовая среда уже настроена. Время, требуемое для ее настройки, не учитывается.
Описание сценария
Вымышленная компания Fabrikam планирует использовать MIM для управления учетными записями пользователей в AD DS. В рамках этого процесса компании Fabrikam необходимо подготовить пользователей в AD DS. Для начального тестирования компания Fabrikam развернула простую лабораторную среду, включающую MIM и AD DS. В этой лабораторной среде Fabrikam тестирует сценарий, предполагающий создание пользователя на портале MIM вручную. Цель этого сценария — подготовить пользователя с предварительно заданным паролем в AD DS.
Схема сценария
Для работы с этим руководством требуются три компонента архитектуры.
Контроллер домена Active Directory
Компьютер, на котором выполняется служба синхронизации FIM
Компьютер, на котором размещен портал FIM
Требуемая среда представлена на рисунке ниже.
Все компоненты могут выполняться на одном компьютере.
Примечание
Дополнительные сведения о настройке MIM см. в руководстве по установке FIM.
Список компонентов сценария
В приведенной ниже таблице перечислены компоненты, которые задействованы в рамках сценария, описываемого в этом руководстве.
| Значок | Компонент | Описание |
|---|---|---|
 |
Подразделение | Объекты MIM — подразделение, являющееся целевым для подготавливаемых пользователей. |
 |
Учетные записи пользователей | · ADMA — учетная запись пользователя Active Directory с достаточными правами для подключения к AD DS. · FIMMA — учетная запись пользователя Active Directory с достаточными правами для подключения к MIM. |
 |
Агенты управления и профили запуска | · Fabrikam ADMA — агент управления, который обменивается данными с AD DS. · Fabrikam FIMMA — агент управления, который обменивается данными с MIM. |
 |
Правила синхронизации | Правило синхронизации для исходящих подключений группы Fabrikam — правило синхронизации для исходящих подключений, которое служит для подготовки пользователей в AD DS. |
 |
Наборы | Все подрядчики — набор с динамическим членством для всех объектов, атрибут EmployeeType которых имеет значение "Подрядчик". |
 |
Рабочие процессы | Рабочий процесс подготовки AD — рабочий процесс для перевода пользователя MIM в область действия правила синхронизации для исходящих подключений Active Directory. |
 |
Правила политики управления | Правило политики управления подготовкой AD — правило политики управления, инициирующее включение ресурса в набор "Все подрядчики". |
 |
Пользователи MIM | Ольга Зуева — пользователь MIM, подготавливаемый в AD DS. |
Шаги сценария
Сценарий, который рассматривается в этом руководстве, состоит из блоков, показанных на рисунке ниже.
Настройка внешних систем
В этом разделе приводятся указания по созданию необходимых ресурсов вне среды MIM.
Шаг 1. Создание подразделения
В качестве контейнера для подготавливаемого пользователя требуется подразделение. Дополнительные сведения о создании подразделений см. в документе Создание подразделения.
Создайте в AD DS подразделение MIMObjects.
Шаг 2. Создание учетных записей пользователей Active Directory
Для сценария, описываемого в этом руководстве, требуются две учетные записи пользователей Active Directory:
ADMA — используется агентом управления Active Directory;
FIMMA — используется агентом управления службы FIM.
В обоих случаях достаточно создать обычную учетную запись пользователя. Дополнительные сведения о требованиях, предъявляемых каждой из учетных записей, приводятся далее в этом документе. Дополнительные сведения о создании пользователей см. в разделе Создание учетной записи пользователя.
Настройка службы синхронизации FIM
Для выполнения действий по настройке в этом разделе необходимо запустить диспетчер службы синхронизации FIM.
Создание агентов управления
Для сценария, описываемого в этом руководстве, необходимо создать два агента управления:
Fabrikam ADMA — агент управления для AD DS;
Fabrikam FIMMA — агент управления для службы FIM.
Шаг 3. Создание агента управления Fabrikam ADMA
При настройке агента управления для AD DS необходимо указать учетную запись, используемую агентом управления для обмена данными с AD DS. Следует использовать учетную запись обычного пользователя. Но для импорта данных из AD DS учетная запись должна иметь право на запрос сведений об изменениях из элемента управления DirSync. Чтобы агент управления мог экспортировать данные в AD DS, необходимо предоставить учетной записи достаточные права в целевых подразделениях. Дополнительные сведения по этой теме см. в разделе Настройка учетной записи ADMA.
Для создания пользователя в AD DS требуется передача различающегося имени объекта. Помимо этого, для обеспечения возможности обнаружения объектов рекомендуется передача имени, фамилии и отображаемого имени.
В AD DS пользователи по-прежнему часто применяют атрибут sAMAccountName для входа в службу каталогов. Если не указать значение этого атрибута, служба каталогов создаст для него случайное значение. Но такие случайные значения не понятны пользователям, поэтому понятная версия этого атрибута, как правило, включается в данные, экспортируемые в AD DS. Чтобы пользователь мог входить в AD DS, необходимо также включить пароль, созданный с помощью атрибута unicodePwd, в логику экспорта.
Примечание
Значение, задаваемое для атрибута unicodePwd, должно соответствовать политикам паролей целевой службы AD DS.
При задании паролей для учетных записей AD DS также необходимо создать включенную учетную запись. Для этого следует задать атрибут userAccountControl. Дополнительные сведения об атрибуте userAccountControl см. в статье Использование FIM для включения или отключения учетных записей в Active Directory.
В приведенной ниже таблице перечислены самые важные параметры, которые необходимо настроить для сценария.
| Страница конструктора агента управления | Конфигурация |
|---|---|
| Создание агента управления | 1. Агент управления для: AD DS 2. Имя: Fabrikam ADMA |
| Подключение к лесу Active Directory | 1. Выберите разделы каталога: "DC=Fabrikam,DC=com" 2. Щелкните Контейнеры , чтобы открыть диалоговое окно Выбор контейнеров и убедиться, что MIMObjects является единственным выбранным подразделением. |
| Выбор типов объектов | В дополнение к уже выбранным типам объектов выберите тип пользователь. |
| Выбор атрибутов | 1. Щелкните Показать все. 2. Выберите следующие атрибуты: ° displayName ° givenName ° sn ° SamAccountName ° unicodePwd ° userAccountControl |
Дополнительные сведения см. в следующих разделах справки.
- Создание агента управления
- Подключение к лесу Active Directory
- Использование агента управления для Active Directory
- Настройка разделов каталога
Примечание
Для атрибута ExpectedRulesList должно быть настроено правило импорта потока атрибута.
Шаг 4. Создание агента управления Fabrikam FIMMA
При настройке агента управления службы FIM необходимо указать учетную запись, используемую агентом управления для обмена данными со службой FIM.
Следует использовать учетную запись обычного пользователя. Это должна быть та же учетная запись, которую вы указали во время установки MIM. Скрипт, с помощью которого можно определить имя учетной записи FIMMA, указанное во время настройки, и проверить, действительна ли эта учетная запись по-прежнему, см. в статье Быстрая проверка настройки учетной записи FIM MA с помощью Windows PowerShell.
В приведенной ниже таблице перечислены самые важные параметры, которые необходимо настроить для сценария. Создайте агент управления на основе сведений, представленных в этой таблице.
| Страница конструктора агента управления | Конфигурация |
|---|---|
| Создание агента управления | 1. Агент управления для агента управления службами FIM 2. Имя Fabrikam FIMMA |
| Подключение к базе данных | Используйте следующие параметры: · Сервер: localhost · Базы данных: FIMService · Базовый адрес службы FIM:http://localhost:5725 Укажите сведения об учетной записи, созданной для этого агента управления. |
| Выбор типов объектов | В дополнение к уже выбранным типам объектов выберите тип Пользователь. |
| Настройка сопоставлений типов объектов | В дополнение к уже существующим типам объектов добавьте сопоставление для типа объекта источника данных "Пользователь" с типом объекта Метавселенная. |
| Настройка потока атрибута | В дополнение к уже существующим сопоставлениям потока атрибута добавьте следующие сопоставления потока атрибута. |
Дополнительные сведения см. в следующих разделах справки.
Создание агента управления
Подключение к базе данных Active Directory
Использование агента управления для Active Directory
Настройка разделов каталога
Примечание
Для атрибута ExpectedRulesList должно быть настроено правило импорта потока атрибута.
Шаг 5. Создание профилей запуска
В приведенной ниже таблице перечислены профили запуска, которые необходимо создать для сценария, описываемого в этом руководстве.
| Агент управления | Профиль запуска |
|---|---|
| Fabrikam ADMA | 1. Полный импорт 2. Полная синхронизация 3. Разностный импорт 4. Разностная синхронизация 5. Экспорт |
| Fabrikam FIMMA | 1. Полный импорт 2. Полная синхронизация 3. Разностный импорт 4. Разностная синхронизация 5. Экспорт |
Создайте профили запуска для каждого агента управления согласно приведенной выше таблице.
Примечание
Дополнительные сведения см. в справке по созданию профиля запуска для агента управления в MIM.
Важно!
Убедитесь в том, что подготовка включена в вашей среде. Это можно сделать, запустив скрипт Using Windows PowerShell to Enable Provisioning (https://go.microsoft.com/FWLink/p/?LinkId=189660).
Настройка службы FIM
Для сценария, описываемого в этом руководстве, необходимо настроить политику подготовки, как показано на рисунке ниже.
Цель этой политики подготовки — перевести группы в область действия правила синхронизации для исходящих подключений пользователей AD. Переводя ресурс в область действия правила синхронизации, вы позволяете обработчику синхронизации подготовить ресурс в AD DS в соответствии с конфигурацией.
Чтобы настроить службу FIM, перейдите в Windows Internet Обозреватель ® по адресуhttp://localhost/identitymanagement. Чтобы создать политику подготовки, на странице портала MIM перейдите на соответствующие страницы из раздела "Администрирование". Чтобы проверить конфигурацию, следует запустить скрипт из статьи Документирование конфигурации политики подготовки с помощью Windows PowerShell.
Шаг 6. Создание правила синхронизации
В приведенных ниже таблицах показана требуемая конфигурация для правила синхронизации подготовки Fabrikam. Создайте правило синхронизации согласно данным в этих таблицах.
| Конфигурация правила синхронизации | Параметр |
|---|---|
| Имя | Правило синхронизации для исходящих подключений пользователей Active Directory |
| Описание | |
| Приоритет | 2 |
| Направление потока данных | Исходящие |
| Зависимость |
| Область | Параметр |
|---|---|
| Тип ресурса метавселенной | лицо |
| Внешняя система | Fabrikam ADMA |
| Тип внешнего ресурса системы | пользователь |
| Связь | Параметр |
|---|---|
| Создание ресурса во внешней системе | True |
| Включить отзыв | Неверно |
| Критерии связи | Параметр |
|---|---|
| Атрибут ILM | Атрибут источника данных |
| Атрибут источника данных | sAMAccountName |
| Начальные исходящие потоки атрибутов | Параметр 1 | Параметр 2 |
|---|---|---|
| Разрешить значения null | Назначение | Source |
| false | Различающееся имя | +("CN=";displayName;";OU=MIMObjects;DC=fabrikam,DC=com") |
| false | userAccountControl | Константа: 512 |
| false | unicodePwd | Константная: P@$$W 0rd |
| Постоянные исходящие потоки атрибутов | Параметр 1 | Параметр 2 |
|---|---|---|
| Разрешить значения null | Назначение | Source |
| false | sAMAccountName | accountName |
| false | displayName | displayName |
| false | givenName | firstName |
| false | sn | lastName |
Примечание
Важно! Убедитесь в том, что для потока атрибута, назначением которого является различающееся имя, выбрано значение "Только исходный поток".
Шаг 7. Создание рабочего процесса
Цель рабочего процесса подготовки AD — добавить правило синхронизации подготовки Fabrikam к ресурсу. В приведенных ниже таблицах показана конфигурация. Создайте рабочий процесс согласно данным в этих таблицах.
| Конфигурация рабочего процесса | Параметр |
|---|---|
| Имя | Рабочий процесс подготовки пользователей Active Directory |
| Описание | |
| Тип рабочего процесса | Действие |
| Выполнять при обновлении политики | Неверно |
| Правило синхронизации | Параметр |
|---|---|
| Имя | Правило синхронизации для исходящих подключений пользователей Active Directory |
| Действие | Добавить |
Шаг 8. Создание правила политики управления
Требуемое правило политики управления имеет тип "Установить переход" и инициируется, когда ресурс становится элементом набора "Все подрядчики". В приведенных ниже таблицах показана конфигурация. Создайте правило политики управления согласно данным в этих таблицах.
| Конфигурация правила политики управления | Параметр |
|---|---|
| Имя | Правило политики управления подготовкой пользователей AD |
| Описание | |
| Тип | Установить переход |
| Предоставляет разрешения | Неверно |
| Выключено | Неверно |
| Определение перехода | Параметр |
|---|---|
| Тип перехода | Переход в |
| Набор переходов | Все подрядчики |
| Рабочие процессы политики | Параметр |
|---|---|
| Тип | Действие |
| Отображаемое имя | Рабочий процесс подготовки пользователей Active Directory |
Инициализация среды
Этап инициализации имеет следующие цели:
перевод правила синхронизации в метавселенную;
перевод структуры Active Directory в пространство соединителя Active Directory.
Шаг 9. Выполнение профилей запуска
В приведенной ниже таблице перечислены профили запуска, используемые на этапе инициализации. Выполните профили запуска согласно этой таблице.
| Выполнить | Агент управления | Профиль запуска |
|---|---|---|
| 1 | Fabrikam FIMMA | Полный импорт |
| 2 | Полная синхронизация | |
| 3 | Экспорт | |
| 4 | Импорт изменений | |
| 5 | Fabrikam ADMA | Полный импорт |
| 6 | Полная синхронизация |
Примечание
Следует проверить, было ли правило синхронизации для исходящих подключений успешно спроецировано в метавселенную.
Тестирование конфигурации
Цель этого раздела — проверить фактическую конфигурацию. Чтобы протестировать конфигурацию, выполните указанные ниже действия.
Создайте тестового пользователя на портале FIM.
Проверьте требования для подготовки тестового пользователя.
Подготовьте тестового пользователя в AD DS.
Убедитесь в том, что пользователь существует в AD DS.
Шаг 10. Создание тестового пользователя в MIM
В приведенной ниже таблице перечислены свойства тестового пользователя. Создайте тестового пользователя с использованием данных в таблице ниже.
| attribute | Значение |
|---|---|
| Имя | Ольга |
| Фамилия | Зуева |
| Отображаемое имя | Britta Simon |
| Имя учетной записи | OZuyeva |
| Домен | Fabrikam |
| Тип сотрудника | Подрядчик |
Проверка требований для подготовки тестового пользователя
Для подготовки тестового пользователя в AD DS должны выполняться два предварительных требования.
Пользователь должен входить в набор "Все подрядчики".
Набор пользователя должен находиться в области действия правила синхронизации для исходящих подключений.
Шаг 11. Проверка вхождения пользователя в набор "Все подрядчики"
Чтобы проверить, является ли пользователь членом набора "Все подрядчики", откройте набор и щелкните "Показать элементы".
Шаг 12. Проверка вхождения пользователя в область действия правила синхронизации для исходящих подключений
Чтобы проверить, находится ли пользователь в область правила синхронизации, откройте страницу свойств пользователя и просмотрите атрибут Expected Rules List (Список ожидаемых правил) на вкладке Подготовка. В атрибуте Expected Rules List должен быть указан пользователь AD
Правило синхронизации для исходящих подключений. На снимке экрана ниже показан пример атрибута "Список ожидаемых правил".
На этом этапе процесса правило синхронизации находится в состоянии ожидания. Это означает, что оно еще не применено к пользователю.
Шаг 13. Синхронизация тестовой группы
Перед запуском первого цикла синхронизации для тестового объекта следует отследить ожидаемое состояние объекта после каждого профиля запуска, выполняемого в рамках плана тестирования. В плане тестирования рядом с общим состоянием объекта (создан, изменен или удален) должны также указываться ожидаемые значения атрибутов. Используйте план тестирования для проверки соответствия значений ожиданиям. Если шаг не возвращает ожидаемых результатов, не переходите к следующему шагу, пока не устраните расхождение между ожидаемым и фактическим результатами.
Для проверки соответствия ожиданиям можно использовать в качестве основного индикатора статистику синхронизации. Например, если новые объекты должны промежуточно храниться в пространстве соединителя, но в статистике импорта отсутствуют операции добавления, очевидно, что-то в среде работает неправильно.
Хотя статистика синхронизации может дать начальное представление о том, работает ли сценарий ожидаемым образом, для проверки ожидаемых значений атрибутов следует использовать функции поиска в пространстве соединителя и поиска по метавселенной в диспетчере службы синхронизации.
Чтобы синхронизировать пользователей в AD DS, выполните указанные ниже действия.
Импортируйте пользователя в пространство соединителя FIM MA.
Проецируйте пользователя в метавселенную.
Подготовьте пользователя в пространстве соединителя Active Directory.
Экспортируйте сведения о состоянии в FIM.
Экспортируйте пользователя в AD DS.
Проверьте, создан ли пользователь.
Для решения этих задач выполните перечисленные ниже профили запуска.
| Агент управления | Профиль запуска |
|---|---|
| Fabrikam FIMMA | 1. Разностный импорт 2. Разностная синхронизация 3. Экспорт 4. Импорт изменений |
| Fabrikam FIMMA | 1. Экспорт 2. Импорт изменений |
После импорта из базы данных службы FIM пользователь Britta Simon и объект ExpectedRuleEntry, связывающий этого пользователя с правилом исходящей синхронизации пользователя AD, помещаются на промежуточное хранение в пространство соединителя Fabrikam FIMMA. Просмотрев свойства пользователя Britta Simon в пространстве соединителя рядом со значениями атрибутов, которые вы настроили на портале FIM, вы также найдете действительную ссылку на объект "Ожидаемая запись правила". На следующем снимке экрана приведен пример.
Целью запуска разностной синхронизации для Fabrikam FIMMA является выполнение ряда операций.
Проецирование — новый объект пользователя и связанный с ним объект "Ожидаемая запись правила" проецируются в метавселенную.
Подготовка — спроецированный объект пользователя Ольга Зуева подготавливается в пространстве соединителя Fabrikam ADMA.
Потоки экспорта атрибутов — потоки экспорта атрибутов имеют место в обоих агентах управления. В Fabrikam ADMA новый подготовленный объект пользователя Ольга Зуева заполняется новыми значениями атрибутов. В Fabrikam FIMMA существующий объект пользователя Ольга Зуева и связанный с ним объект ExpectedRuleEntry обновляются с использованием значений атрибутов, полученных в результате проецирования.
Как уже было показано в статистике синхронизации, действие подготовки было выполнено в пространстве соединителя Fabrikam ADMA. При просмотре свойств объекта пользователя Ольга Зуева в метавселенной можно обнаружить, что это действие является результатом атрибута ExpectedRulesList, который был заполнен с помощью действительной ссылки.
Во время следующей операции экспорта в Fabrikam FIMMA состояние правила синхронизации для пользователя Ольга Зуева меняется с "Ожидание" на "Применено". Это означает, что правило синхронизации для исходящих подключений теперь активно для объекта в метавселенной.
Так как новый объект подготовлен в пространстве соединителя ADMA, в этом агенте управления должна быть одна ожидающая выполнения операция экспорта "Добавить".
В FIM для выполнения каждой операции экспорта требуется последующая операция разностного импорта. Операция разностного импорта, выполняемая после операции экспорта, называется подтверждающим импортом. Подтверждающий импорт необходим для того, чтобы служба синхронизации FIM могла произвести требуемые обновления во время последующих запусков синхронизации.
Выполните профили запуска согласно инструкциям в этом разделе.
Важно!
Каждый профиль запуска должен быть выполнен без ошибок.
Шаг 14. Проверка подготовленного пользователя в AD DS
Чтобы проверить, подготовлен ли тестовый пользователь в AD DS, необходимо открыть подразделение FIMObjects. Пользователь Ольга Зуева должен находиться в подразделении FIMObjects.
Сводка
Цель этого документа — знакомство с основными компонентами синхронизации пользователя из MIM с AD DS. При начальном тестировании следует начать с минимального набора атрибутов, которые необходимы для выполнения задачи; добавляйте в сценарий дополнительные атрибуты, если общие действия выполняются правильно. Сведение сложности к минимальному уровню упрощает процесс устранения неполадок.
Во время тестирования конфигурации весьма вероятно, что вам потребуется удалять и повторно создавать тестовые объекты. Для объектов с
заполненным атрибутом ExpectedRulesList это может привести к образованию потерянных объектов ERE.
В типичном сценарии синхронизации, включающем AD DS в качестве назначения синхронизации, MIM не имеет полномочий на доступ ко всем атрибутам объекта. Например, при управлении объектами пользователей в AD DS с помощью FIM агент управления AD DS должен предоставлять по крайней мере атрибуты домена и objectSID. Атрибуты имени учетной записи, домена и objectSID необходимы, если пользователю следует предоставить возможность входа на портал FIM. Для заполнения этих атрибутов из AD DS требуется дополнительное правило синхронизации для входящих подключений для пространства соединителя AD DS. При управлении объектами, значения атрибутов которых имеют несколько источников, необходимо правильно настроить приоритет потока атрибута. Если приоритет потока атрибута настроен неправильно, обработчик синхронизации блокирует заполнение значений атрибутов. Дополнительные сведения о приоритете потока атрибута см. в статье Сведения о приоритете потока атрибута.
Next Steps
Обнаружение не заслуживающих доверия учетных записей— часть 1. Создание представления