Share via

Установка Microsoft Identity Manager для профилей пользователей в SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Содержание

Важно!

Файлы решений, на которые ссылается эта статья, доступны для скачивания здесь. Для доступа потребуется учетная запись GitHub. Дополнительные сведения см. в разделе "Скачивание необходимых файлов решений". >Microsoft Identity Manager 2016 г. можно скачать в Центре корпоративного лицензирования Майкрософт. (Войдите в систему и выполните поиск по названию продукта.) > На сервере MIM обязательно установите KB3092179.

Что такое Microsoft Identity Manager?

В предыдущих версиях SharePoint Server была встроенная копия Диспетчера удостоверений ForeFront (FIM), которая выполнялась внутри SharePoint Server. Эта версия FIM на основе синхронизации профилей пользователей для таких продуктов, как SharePoint Server 2010 и SharePoint Server 2013. Но из SharePoint Server 2016 FIM была удалена в пользу Microsoft Identity Manager, которая является преемником технологии FIM. MIM — это отдельная серверная технология (не встроенная в SharePoint Server). Это означает, что если в вашей компании работает MIM, на нее могут полагаться несколько ферм SharePoint Server.

Здесь также важно отметить, что импорт Active Directory (иногда называемый прямым импортом Active Directory) также входит в состав SharePoint Server и является альтернативой синхронизации профилей пользователей, которая не требует установки отдельного сервера. Это означает, что SharePoint Server предлагает два варианта синхронизации профилей пользователей.

Какой способ подходит вам?

     
Сервер управления удостоверениями (Майкрософт)
Импорт Active Directory
Достоинства
 1. Возможность настройки импорта.
2. Возможность настройки для двунаправленного потока.
3. Импорт фотографий профилей пользователей.
4. Поддержка источников LDAP, не относящихся к Active Directory.
5. Поддержка сценариев для нескольких лесов.
1. Высокая скорость и производительность.
2. Надежность (подтвержденная использованием в Microsoft 365).
3. Настраивается в центре администрирования. (Менее сложный.)
Недостатки
 1. Для фермы SharePoint рекомендуется использовать отдельный сервер MIM.
2. Чем больше настроек, тем сложнее архитектура, развертывание и управление.
1. Однонаправленный импорт (изменения направляются из Active Directory в профиль SharePoint Server).
2. Импорт только из одного леса Active Directory.
3. Отсутствует возможность импорта фотографий пользователей.
4. Поддержка LDAP только для Active Directory.
5. Сценарии для нескольких лесов не поддерживаются.

Совет

Если вам нужны сведения или вам нужно настроить импорт Active Directory для установки SharePoint Server? Выполните следующие действия.

Выбор MIM для использования с SharePoint Server

При выборе MIM необходимо учитывать некоторые предварительные требования . Выполните следующие действия:

  1. Для SharePoint Server 2016 — компьютер под управлением Windows Server 2012 R2 или виртуальная машина для установки компонентов MIM. Для SharePoint Server 2019 — компьютер под управлением Windows Server 2016. Для SharePoint Server по подписке требуется компьютер с Windows Server 2019.

  2. Система SQL Server 2008 или более поздней версии, установленная на одном компьютере с компонентами MIM или удаленно.

    Примечание.

    Если у вас есть SQL Server, запущенные на отдельном сервере из MIM, необходимо установить SQL Server собственном клиенте (в 2008 или 2012 г.), где вы установили MIM.

  3. Вам потребуется создать учетную запись службы в домене, чтобы запустить службу синхронизации MIM. Эта учетная запись должна иметь разрешения "Вход в качестве службы", предоставленные ей на компьютере, где будет установлена служба синхронизации MIM. Эти разрешения обычно назначаются автоматически во время установки службы, но их можно назначить вручную с помощью локальной политики безопасности (secpol.msc).

    Важно!

    Если SQL Server находится на том же сервере, что и MIM, для этой службы можно использовать локальную учетную запись. Однако при использовании удаленного SQL необходимо использовать учетную запись домена. Если учетная запись находится в другом домене из SQL Server, она должна находиться в том же лесу.

  4. Нужно создать учетную запись пользователя домена с соответствующими разрешениями, которая будет использоваться в соединителе Active Directory.

  5. Учетная запись, на которой выполняется настройка MIM, должна быть SQL Server Администратор на экземпляре SQL Server, где будет размещена база данных синхронизации MIM. Учетная запись должна иметь разрешения локального администратора на компьютере, на котором будет установлена служба синхронизации MIM.

  6. Убедитесь, что все учетные записи, которые вы поддерживаете и используете для тестирования или проверки процесса, имеют адрес электронной почты, настроенный в Active Directory. Это поможет проверить успешность настройки MIM после импорта.

Установка Microsoft Identity Manager (MIM)

На этих этапах вы фактически установите три разных элемента, необходимых для MIM. Первой установкой будет само программное обеспечение MIM. Вам также потребуется агент управления SharePoint.

  1. Сначала скачайте диспетчер удостоверений MIM на сервер, где планируется установка.

  2. Извлеките файл .zip и дважды щелкните Setup.exe. (Setup.exe обычно находится в папке SynchronizationService носителя MIM.)

  3. Нажмите кнопку Далее> принять лицензионное соглашение конечного пользователя и нажмите кнопку Далее на экране выбора компонентов. (Вам не нужно изменять выбор по умолчанию.)

  4. На следующем экране мастера появится запрос на предоставление некоторых сведений об экземпляре SQL Server, который требуется использовать MIM. Выберите Этот компьютер, если SQL Server является локальным, или введите имя удаленного экземпляра SQL Server. Укажите, используется ли SQL Server экземпляр по умолчанию, или введите именованный экземпляр. Нажмите кнопку Далее.

  5. Затем введите учетные данные, которые нужно использовать для запуска службы MIM. Вам не нужно настраивать дополнительные разрешения или политики на сервере SQL Server для этой учетной записи (независимо от того, является ли SQL Server локальной или удаленной).

    Примечание.

    Если служба синхронизации MIM устанавливается на удаленном экземпляре SQL Server, на сервере MIM уже должен быть установлен клиент SQL Server Native Client.

  6. Затем настройте группы безопасности, необходимые для работы MIM. При желании их можно оставить по умолчанию, но в этом случае группы безопасности будут созданы на локальном компьютере с установленным MIM. Если у вас есть несколько компьютеров, настроенных для запуска MIM, может потребоваться создать эти группы безопасности в Active Directory (AD). Выполните это в том же домене, что и компьютеры, на которых настроен MIM, и введите имена групп на этой странице мастера.

  7. Следующий шаг (правила брандмауэра) является необязательным. Рекомендуется не проверять флажок правила брандмауэра.

  8. Нажмите кнопку "Установить", чтобы установить MIM.

    Примечание.

    Здесь может появилось предупреждение (предупреждение 25051). Нажмите кнопку ОК, чтобы продолжить.

  9. Мастер установки создаст резервную копию набора ключей шифрования.

    Примечание.

    Для перемещения на другой сервер базы данных потребуется создать резервную копию ключей, созданных на этом этапе. Сохраните эти ключи в безопасном расположении и убедитесь, что вы создаете резервную копию файла ключа вместе с резервной копией базы данных, чтобы они были доступны в сценарии аварийного восстановления.

  10. Установка MIM должна завершиться. Чтобы убедиться, что кэш MIM обновлен, необходимо выйти из системы и снова вернуться на сервер.

  11. Когда вы снова войдете в систему, убедитесь, что служба MIM запущена на сервере, перейдя в раздел Службы (или Пуск или ключ> WindowsRun> services.msc), а затем найдите службу синхронизации Forefront Identity Manager. Без ошибок. Имя службы не изменилось!

Установка агента управления SharePoint (ForeFront Identity Manager Connector для SharePoint)

Агент управления SharePoint (SPMA) является важным, если необходимо подключить MIM к установке SharePoint Server. Мы установим и настроим его сейчас.

  1. Необходимо установить SPMA на том же сервере, где выполняется MIM. Установите последние биты SPMA здесь.

  2. Нажмите кнопку Скачать и запустите установку. Во время установки вам не нужно будет делать никаких выборов.

  3. Перезапустите службу синхронизации Forefront Identity Manager (опять же, вы можете получить к ней с помощью клавиши > Start или Windows Run> services.msc)

  4. После завершения установки откройте панель управления на сервере MIM, перейдите в раздел "Программы и компоненты" и проверьте наличие компонента с именем Forefront Identity Manager SharePoint Connector.

  5. Запустите службу синхронизации на сервере, чтобы убедиться, что она откроется. На сервере Windows Server 2012 R2 вы найдете значок службы синхронизации в разделе Приложения.

На сервере MIM откроется Service Manager синхронизации. На этом этапе необходимо настроить MIM для использования с SharePoint Server.

Сценарии настройки MIM в SharePoint Server

Сведения о настройке можно найти в следующих статьях: