Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Microsoft Identity Manager 2016 SP1 (MIM)
Ett grundläggande krav för ett identitetshanteringssystem är möjligheten att etablera resurser till ett externt system.
Den här guiden vägleder dig genom de viktigaste byggstenarna som ingår i etableringsprocessen för användare från Microsoft® Identity Manager (MIM) 2016 till Active Directory® Domain Services (AD DS), beskriver hur du kan kontrollera om ditt scenario fungerar som förväntat, ger förslag på att hantera Active Directory-användare med hjälp av MIM 2016 och visar ytterligare informationskällor.
Innan du börjar
I det här avsnittet hittar du information om omfånget för det här dokumentet. I allmänhet riktar sig "How Do I"-guider till läsare som redan har grundläggande erfarenhet av att synkronisera objekt med MIM enligt beskrivningen i de relaterade Komma igång-guider.
Målgrupp
Den här guiden är avsedd för IT-proffs som redan har en grundläggande förståelse för hur MIM-synkroniseringsprocessen fungerar och är intresserade av att få praktisk erfarenhet och mer konceptuell information om specifika scenarier.
Förutsättningar för kunskap
Det här dokumentet förutsätter att du har åtkomst till en instans av MIM som körs och att du har erfarenhet av att konfigurera enkla synkroniseringsscenarier enligt beskrivningen i följande dokument:
Innehållet i det här dokumentet är begränsat till att fungera som ett tillägg till dessa inledande dokument.
Definitionsområde
Scenariot som beskrivs i det här dokumentet har förenklats för att uppfylla kraven i en grundläggande labbmiljö. Fokus är att ge dig en förståelse för de begrepp och tekniker som diskuteras.
Det här dokumentet hjälper dig att utveckla en lösning som omfattar hantering av grupper i AD DS med hjälp av MIM.
Tidskrav
Procedurerna i det här dokumentet kräver 90 till 120 minuter att slutföra.
Dessa tidsuppskattningar förutsätter att testmiljön redan är konfigurerad och inte innehåller den tid som krävs för att konfigurera testmiljön.
Scenariobeskrivning
Fabrikam, ett fiktivt företag, planerar att använda MIM för att hantera användarkontona i företagets AD DS med hjälp av MIM. Som en del av den här processen måste Fabrikam etablera användare till AD DS. Fabrikam har installerat en grundläggande labbmiljö som består av MIM och AD DS för att starta den första testningen. I den här labbmiljön testar Fabrikam ett scenario som består av en användare som skapades manuellt i MIM-portalen. Målet med det här scenariot är att etablera användaren som en aktiverad användare med ett fördefinierat lösenord till AD DS.
Scenariodesign
Om du vill använda den här guiden behöver du tre arkitekturkomponenter:
Active Directory-domänkontrollant
Dator som kör FIM-synkroniseringstjänsten
Dator som kör FIM-portalen
Följande bild beskriver den miljö som krävs.
Du kan köra alla komponenter på en dator.
Anmärkning
Mer information om hur du konfigurerar MIM finns i installationsguiden för FIM.
Lista över scenariokomponenter
I följande tabell visas de komponenter som ingår i scenariot i den här guiden.
| Ikon | Komponent | Beskrivning |
|---|---|---|
|
Organisationsenhet | MIM-objekt – Organisationsenhet (OU) som används som mål för de tilldelade användarna. |
|
Användarkonton | · ADMA- – Active Directory-användarkonto med tillräcklig behörighet för att ansluta till AD DS. · FIMMA- – Active Directory-användarkonto med tillräcklig behörighet för att ansluta till MIM. |
|
Hanteringsagenter och körningsprofiler | · Fabrikam ADMA – Hanteringsagent som utbyter data med AD DS. · Fabrikam FIMMA – hanteringsagent som utbyter data med MIM. |
|
Synkroniseringsregler | Fabrikam Group Outbound Synchronization Rule – Regel för utgående synkronisering som tilldelar användare till AD DS. |
|
Uppsättningar | Alla entreprenörer – Ställ in med dynamiskt medlemskap för alla objekt med attributet EmployeeType som har värdet entreprenör. |
|
Arbetsflöden | AD-tillhandahållandearbetsflöde – Arbetsflöde för att föra MIM-användaren till omfånget för AD:s utgående synkroniseringsregel. |
|
Förvaltningspolicyregler | principregel för AD-implementeringshantering – hanteringsprincipregel (MPR) som utlöses när en resurs blir medlem i setet Alla Entreprenörer. |
|
MIM-användare | Britta Simon – MIM-användare som du provisionerar till AD DS. |
Steg för scenario
Scenariot som beskrivs i den här guiden består av byggstenarna som visas i följande bild.
Konfigurera de externa systemen
I det här avsnittet hittar du instruktioner för de resurser som du behöver skapa som ligger utanför MIM-miljön.
Steg 1: Skapa OU
Du behöver organisationsenheten som en container för tillhandahållna exempelanvändare. Mer information om hur du skapar organisationsenheter finns i Skapa en ny organisationsenhet.
Skapa en organisationsenhet med namnet MIMObjects i din AD DS.
Steg 2: Skapa Active Directory-användarkonton
För scenariot i den här guiden behöver du två Active Directory-användarkonton:
ADMA- – Används av Active Directory-hanteringsagenten.
FIMMA- – används av FIM-tjänsthanteringsagenten.
I båda fallen räcker det att skapa vanliga användarkonton. Mer information om de specifika kraven för båda kontona finns senare i det här dokumentet. Mer information om hur du skapar användare finns i Skapa ett nytt användarkonto.
Konfigurera FIM-synkroniseringstjänsten
För konfigurationsstegen i det här avsnittet måste du starta FIM Synchronization Service Manager.
Skapa hanteringsagenterna
För scenariot i den här guiden måste du skapa två hanteringsagenter:
Fabrikam ADMA – administrationsagent för AD DS.
Fabrikam FIMMA – hanteringsagent för FIM-tjänsthanteringsagenten.
Steg 3: Skapa Fabrikam ADMA-hanteringsagenten
När du konfigurerar en hanteringsagent för AD DS måste du ange ett konto som används av hanteringsagenten i datautbytet med AD DS. Du bör använda ett vanligt användarkonto. Om du vill importera data från AD DS måste kontot dock ha rätt att avsöka ändringar från DirSync-kontrollen. Om du vill att hanteringsagenten ska exportera data till AD DS, måste du ge kontot tillräckliga rättigheter för mål-OU:erna. Mer information om det här avsnittet finns i Konfigurera ADMA-kontot.
Om du vill skapa en användare i AD DS måste du flöda ut objektets DN. Dessutom är det bra att samställa förnamn, efternamn och visningsnamn för att säkerställa att dina objekt kan hittas.
I AD DS är det fortfarande vanligt att användare använder attributet sAMAccountName för att logga in på katalogtjänsten. Om du inte anger något värde för det här attributet genererar katalogtjänsten ett slumpmässigt värde för det. Dessa slumpmässiga värden är dock inte användarvänliga, varför en användarvänlig version av det här attributet vanligtvis ingår i en export till AD DS. Om du vill göra det möjligt för en användare att logga in på AD DS måste du även inkludera ett lösenord som skapats med hjälp av unicodePwd-attributet i exportlogik.
Anmärkning
Se till att värdet du anger som unicodePwd följer de lösenordspolicyer som gäller för din måladress i AD DS.
När du anger ett lösenord för AD DS-konton måste du också skapa ett konto som ett aktiverat konto. Det gör du genom att ange attributet userAccountControl. Mer information om attributet userAccountControl finns i Använda FIM för att aktivera eller inaktivera konton i Active Directory.
I följande tabell visas de viktigaste scenariospecifika inställningarna som du behöver konfigurera.
| Designersida för förvaltningsagenten | Konfiguration |
|---|---|
| Skapa hanteringsagent | 1. Managementagent för: AD DS 2. Namn: Fabrikam ADMA |
| Ansluta till Active Directory-forest | 1. Välj katalogpartitioner: "DC=Fabrikam,DC=com" 2. Klicka på Containers för att öppna dialogrutan Select Containers och se till att MIMObjects är den enda OU som har valts. |
| Välj objekttyper | Utöver de redan markerade objekttyperna väljer du användare. |
| Välj attribut | 1. Klicka på Visa alla. 2. Välj följande attribut: ° visningsnamn ° givenName ° sn ° SamAccountName ° unicodePwd ° användarkontroll |
Mer information finns i följande avsnitt i Hjälp:
- Skapa en hanteringsagent
- Ansluta till en Active Directory-skog
- Använda hanteringsagenten för Active Directory
- Konfigurera katalogpartitioner
Anmärkning
Kontrollera att du har en flödesregel för importattribut konfigurerad för attributet ExpectedRulesList.
Steg 4: Skapa Fabrikam FIMMA-hanteringsagenten
När du konfigurerar en FIM-tjänsthanteringsagent måste du ange ett konto som används av hanteringsagenten i datautbytet med FIM-tjänsten.
Du bör använda ett vanligt användarkonto. Kontot måste vara samma konto som du angav under installationen av MIM. Ett skript som du kan använda för att fastställa namnet på det FIMMA-konto som du angav under installationen och för att testa om det här kontot fortfarande är giltigt finns i Använda Windows PowerShell för att göra ett SNABBtest för FIM MA-kontokonfiguration.
I följande tabell visas de viktigaste scenariospecifika inställningarna som du behöver konfigurera. Skapa hanteringsagenten baserat på informationen i tabellen nedan.
| Designersida för förvaltningsagenten | Konfiguration |
|---|---|
| Skapa hanteringsagent | 1. Hanteringsagent för: FIM Service Management Agent 2. Namn Fabrikam FIMMA |
| Ansluta till databasen | Använd följande inställningar: · Server: localhost · Database: FIMService · FIM-tjänstbasadress:http://localhost:5725 Ange information om det konto som du skapade för den här hanteringsagenten |
| Välj objekttyper | Utöver de redan markerade objekttyperna väljer du Person. |
| Konfigurera objekttypsmappningar | Utöver de redan befintliga objekttypmappningarna lägger du till en mappning för objekttypen datakälla person till Metaverse objekttypsperson. |
| Konfigurera attributflöde | Utöver de redan befintliga attributflödesmappningarna lägger du till följande attributflödesmappningar: 
|
Mer information finns i följande avsnitt i hjälpen:
Skapa en hanteringsagent
Ansluta till en Active Directory-databas
Använda hanteringsagenten för Active Directory
Konfigurera katalogpartitioner
Anmärkning
Kontrollera att du har en flödesregel för importattribut konfigurerad för attributet ExpectedRulesList.
Steg 5: Skapa körningsprofilerna
I följande tabell visas de körningsprofiler som du behöver skapa för scenariot i den här guiden.
| Förvaltningsagent | Kör profil |
|---|---|
| Fabrikam ADMA | 1. Fullständig import 2. Fullständig synkronisering 3. Deltaimport 4. Deltasynkronisering 5. Export |
| Fabrikam FIMMA | 1. Fullständig import 2. Fullständig synkronisering 3. Deltaimport 4. Deltasynkronisering 5. Export |
Skapa körningsprofiler för varje hanteringsagent enligt den tidigare tabellen.
Anmärkning
Mer information finns i MIM-hjälpen, under Skapa en hanteringsagents körprofil.
Viktigt!
Kontrollera att etableringen är aktiverad i din miljö. Du kan göra detta genom att köra skriptet för att aktivera etablering med Windows PowerShell (https://go.microsoft.com/FWLink/p/?LinkId=189660).
Konfigurera FIM-tjänsten
För scenariot i den här guiden måste du konfigurera en tilldelningsprincip som visas i figuren nedan.
Syftet med den här tilldelningspolicyn är att inkludera grupper i omfånget för AD-användarens regel för utgående synkronisering. Genom att föra in resursen i synkroniseringsregelns omfång aktiverar du synkroniseringsmotorn för att etablera din resurs till AD DS enligt din konfiguration.
Om du vill konfigurera FIM-tjänsten navigerar du i Windows Internet Explorer® till http://localhost/identitymanagement. På sidan MIM-portalen, gå till de relaterade sidorna i avsnittet Administration för att skapa tilldelningspolicy. För att verifiera konfigurationen bör du köra skriptet i med Windows PowerShell för att dokumentera konfigurationen av tilldelningspolicyn.
Steg 6: Skapa synkroniseringsregeln
Följande tabeller visar konfigurationen av den erforderliga synkroniseringsregeln för Fabrikam provisionering. Skapa synkroniseringsregeln enligt data i följande tabeller.
| Konfiguration av synkroniseringsregel | Inställning |
|---|---|
| Namn | Utgående synkroniseringsregel för Active Directory-användare |
| Beskrivning | |
| Företräde | 2 |
| Dataflödesriktning | Utgående |
| Beroende |
| Definitionsområde | Inställning |
|---|---|
| Resurstyp för metaversum | person |
| Externt system | Fabrikam ADMA |
| Resurstyp för externt system | användare |
| Förhållande | Inställning |
|---|---|
| Skapa resurs i externt system | Sann |
| Aktivera avbefordran | Falsk |
| Relationskriterier | Inställning |
|---|---|
| ILM-attribut | Attribut för datakälla |
| Attribut för datakälla | sAMAccountName |
| Inledande utgående attributflöden | Inställning 1 | Inställning 2 |
|---|---|---|
| Tillåt null-värden | Resmål | Källa |
| falskt | dn | +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com") |
| falskt | användarkontroll | konstant: 512 |
| falskt | unicodePwd | Konstant: P@$$W0rd |
| Beständiga utgående attributflöden | Inställning 1 | Inställning 2 |
|---|---|---|
| Tillåt null-värden | Resmål | Källa |
| falskt | sAMAccountName | kontonamn |
| falskt | visningsnamn | visningsnamn |
| falskt | givenName | förnamn |
| falskt | sn | efternamn |
Anmärkning
Viktigt Kontrollera att du har valt Endast initialt flöde för det attributflöde som har DN som mål.
Steg 7: Skapa arbetsflödet
Målet med AD-etableringsarbetsflödet är att lägga till synkroniseringsregeln Fabrikam Provisioning till en resurs. Följande tabeller visar konfigurationen. Skapa ett arbetsflöde enligt data i tabellerna nedan.
| Arbetsflödeskonfiguration | Inställning |
|---|---|
| Namn | Arbetsflöde för Active Directory-användaretablering |
| Beskrivning | |
| Arbetsflödestyp | Åtgärd |
| Utför vid policyuppdatering | Falsk |
| Synkroniseringsregel | Inställning |
|---|---|
| Namn | Utgående synkroniseringsregel för Active Directory-användare |
| Åtgärd | Lägg till |
Steg 8: Skapa MPR
Den nödvändiga MPR:n är av typen Uppsättningsövergång som utlöses när en resurs blir medlem i uppsättningen Alla entreprenörer. Följande tabeller visar konfigurationen. Skapa en MPR enligt data i tabellerna nedan.
| MPR-konfiguration | Inställning |
|---|---|
| Namn | Principregel för AD-användaretableringshantering |
| Beskrivning | |
| Typ | Ange övergång |
| Beviljar behörigheter | Falsk |
| Handikappad | Falsk |
| Övergångsdefinition | Inställning |
|---|---|
| Övergångstyp | Övergång i |
| Övergångsuppsättning | Alla entreprenörer |
| Policyarbetsflöden | Inställning |
|---|---|
| Typ | Åtgärd |
| Visningsnamn | Arbetsflöde för Active Directory-användaretablering |
Initiera din miljö
Målen för initieringsfasen är följande:
För in synkroniseringsregeln i metaversum.
Placera Active Directory-strukturen i Active Directory-anslutningsutrymmet.
Steg 9: Kör körprofilerna
I följande tabell visas de körningsprofiler som ingår i initieringsfasen. Kör körningsprofiler enligt tabellen under.
| Springa | Förvaltningsagent | Kör profil |
|---|---|---|
| 1 | Fabrikam FIMMA | Fullständig import |
| 2 | Fullständig synkronisering | |
| 3 | Export | |
| 4 | Deltaimport | |
| 5 | Fabrikam ADMA | Fullständig import |
| 6 | Fullständig synkronisering |
Anmärkning
Du bör kontrollera att den utgående synkroniseringsregeln har överförts i metaversum.
Testa konfigurationen
Målet med det här avsnittet är att testa din faktiska konfiguration. Testa konfigurationen genom att:
Skapa en exempelanvändare i FIM-portalen.
Kontrollera provanvändarens etableringskrav.
Etablera exempelanvändaren i AD DS.
Kontrollera att användaren finns i AD DS.
Steg 10: Skapa en exempelanvändare i MIM
I följande tabell visas egenskaperna för exempelanvändaren. Skapa en exempelanvändare enligt data i tabellen nedan.
| Attribut | Värde |
|---|---|
| Förnamn | Britta |
| Efternamn | Simon |
| Visningsnamn | Britta Simon |
| Kontonamn | BSimon |
| Domän | Fabrikam |
| Typ av anställd | Uppdragstagare |
Kontrollera etableringskraven för exempelanvändaren
För att etablera exempelanvändaren i AD DS måste två förutsättningar uppfyllas:
Användaren måste vara medlem i gruppen Alla entreprenörer.
Ange att användaren måste finnas i omfånget för den utgående synkroniseringsregeln.
Steg 11: Kontrollera att användaren är medlem i Alla leverantörer
Om du vill kontrollera om användaren är medlem i uppsättningen Alla leverantörer öppnar du uppsättningen och klickar sedan på Visa medlemmar.
Steg 12: Kontrollera att användaren är i omfånget för regeln för utgående synkronisering
Om du vill kontrollera om användaren ingår i synkroniseringsregelns omfång öppnar du användarens egenskapssida och granskar attributet Lista över förväntade regler på fliken Etablering. Attributet Lista över förväntade regler bör visa en lista över AD-användaren
Regel för utgående synkronisering. Följande skärmbild visar ett exempel på attributet Lista över förväntade regler.
Vid denna punkt i processen är synkroniseringsregelns status pågående. Det innebär att synkroniseringsregeln ännu inte har tillämpats på användaren.
Steg 13: Synkronisera exempelgruppen
Innan du startar den första synkroniseringscykeln för ett testobjekt bör du spåra objektets förväntade tillstånd efter varje körningsprofil som du kör i en testplan. Testplanen bör även innehålla de attributvärden som du förväntar dig bredvid objektets allmänna tillstånd (skapade, uppdaterade eller borttagna). Använd din testplan för att verifiera att dina förväntningar uppfylls. Om ett steg inte returnerar det förväntade resultatet går du inte vidare till nästa steg förrän du har löst avvikelsen mellan det förväntade resultatet och det faktiska resultatet.
För att verifiera dina förväntningar kan du använda synkroniseringsstatistiken som en första indikator. Om du till exempel förväntar dig att nya objekt ska mellanlagras i ett anslutningsutrymme, men importstatistiken visar inga tillägg, finns det uppenbarligen något i din miljö som inte fungerar som förväntat.
Även om synkroniseringsstatistiken kan ge dig en första indikation på om ditt scenario fungerar som förväntat bör du använda sökanslutningsutrymmet och funktionen Metaverse Search i Synkroniseringstjänsthanteraren för att verifiera de förväntade attributvärdena.
Så här synkroniserar du användaren till AD DS:
Importera användaren till FIM MA-anslutningsutrymmet.
Projicera användaren i metaversum.
Provisionera användaren i Active Directory-anslutningsutrymmet.
Exportera statusinformation till FIM.
Exportera användaren till AD DS.
Bekräfta skapandet av användaren.
För att utföra dessa uppgifter använder du följande körprofiler.
| Förvaltningsagent | Kör profil |
|---|---|
| Fabrikam FIMMA | 1. Deltaimport 2. Deltasynkronisering 3. Exportera 4. Deltaimport |
| Fabrikam FIMMA | 1. Exportera 2. Deltaimport |
Efter importen från FIM-tjänstdatabasen mellanlagras Britta Simon och ExpectedRuleEntry-objektet som länkar Britta till AD-användarens regel för utgående synkronisering i Fabrikam FIMMA-anslutningsutrymmet. När du granskar Brittas egenskaper i anslutningsutrymmet, vid sidan av de attributvärden som du har konfigurerat i FIM-portalen, hittar du även en giltig referens till objektet Förväntad regelpost. Följande skärmbild visar ett exempel på detta.
Målet med deltasynkroniseringskörningen på Fabrikam FIMMA är att utföra flera åtgärder:
Projektion – Det nya användarobjektet och det relaterade objektet för förväntad regelinträde projiceras till metaversum.
Provisionering – Det nyligen projicerade Britta Simon-objektet konfigureras i connectorutrymmet för Fabrikam ADMA.
Exportera attributflöden – Exportattributflöden sker på båda hanteringsagenterna. På Fabrikam ADMA fylls det nyligen etablerade Britta Simon-objektet med nya attributvärden. På Fabrikam FIMMA uppdateras det befintliga Britta Simon-objektet och det relaterade ExpectedRuleEntry-objektet med attributvärden som är ett resultat av projektionen.
Som redan anges i synkroniseringsstatistiken har en etableringsaktivitet ägt rum på anslutningsutrymmet för Fabrikam ADMA. När du granskar egenskaperna för metaversumobjekt för Britta Simon upptäcker du att den här aktiviteten är ett resultat av attributet ExpectedRulesList som har fyllts i med en giltig referens.
Under följande export på Fabrikam FIMMA uppdateras synkroniseringsregelstatusen för Britta Simon från Väntande till Tillämpad, vilket indikerar att din regel för utgående synkronisering nu är aktiv för objektet i metaversumet.
Eftersom ett nytt objekt har skapats i ADMA-anslutningsutrymmet bör du ha en väntande tilläggsexport på den här hanteringsagenten.
I FIM kräver varje exportkörning en följande deltaimport för att slutföra exportåtgärden. Deltaimporten som du kör efter en tidigare exportkörning kallas en bekräftande import. Bekräftelse av importer krävs för att fim-synkroniseringstjänsten ska kunna uppfylla lämpliga uppdateringskrav under efterföljande synkroniseringskörningar.
Kör körningsprofilerna enligt anvisningarna i det här avsnittet.
Viktigt!
Varje körningsprofilkörning måste lyckas utan fel.
Steg 14: Verifiera den etablerade användaren i AD DS
Om du vill kontrollera att din exempelanvändare har lästs in i AD DS, öppnar du organisationsenheten FIMObjects. Britta Simon bör finnas i FIMObjects OU.
Sammanfattning
Syftet med det här dokumentet är att presentera de viktigaste byggstenarna för synkronisering av en användare i MIM med AD DS. I den första testningen bör du först börja med det minsta antalet attribut som krävs för att slutföra en uppgift och lägga till fler attribut i ditt scenario när de allmänna stegen fungerar som förväntat. Att hålla komplexiteten på en minimal nivå förenklar felsökningsprocessen.
När du testar konfigurationen är det mycket troligt att du tar bort och återskapar nya testobjekt. För objekt med en
Det fyllda attributet ExpectedRulesList kan resultera i överblivna ERE-objekt.
I ett typiskt synkroniseringsscenario som innehåller AD DS som synkroniseringsmål är MIM inte auktoritativt för alla attribut i ett objekt. När du till exempel hanterar användarobjekt i AD DS med hjälp av FIM måste domänen och objectSID-attributen minst bidras av AD DS-hanteringsagenten. Attributen kontonamn, domän och objectSID krävs om du vill att en användare ska kunna logga in på FIM-portalen. För att fylla i dessa attribut från AD DS krävs ytterligare en regel för inkommande synkronisering för ditt AD DS-anslutningsutrymme. När du hanterar objekt med flera källor för attributvärden måste du se till att du konfigurerar attributets flödespriorence korrekt. Om attributflödets prioritet inte är korrekt konfigurerad blockerar synkroniseringsmotorn attributvärden från att fyllas i. Du hittar mer information om attributflödespriorence i artikeln About Attribute Flow Precedence.
Nästa steg
Identifiera icke-auktoritativa konton – del 1: Visualisera