为 SharePoint Server 2013 规划配置文件同步

适用于:yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

利用配置文件同步,您可以通过从组织中使用的其他系统导入信息来创建用户配置文件。 在阅读本文之前,应了解 SharePoint Server 2013 中的配置文件同步概述一文中介绍的概念。 配置文件同步还用于服务器到服务器的身份验证,使服务器能够代表用户从另一台服务器访问和请求资源。 有关详细信息,请参阅SharePoint Server 中的服务器到服务器身份验证和用户配置文件

本文内容:

  • 如何获取配置配置文件同步时必需的信息。

  • 您应必需与谁协作来收集必需信息。

  • 必须创建的外部内容类型(如果有)。

本文不介绍如何实施计划。 在 SharePoint Server 2013 中同步用户和组配置文件一文中介绍了该信息。

开始之前

在执行本文中的规划任务之前,您应做好以下准备:

  • 了解想要在 SharePoint Server 2013 中拥有配置文件的用户。

  • 了解用户配置文件将具有哪些属性,并填写“用户配置文件属性规划”工作表,如在 SharePoint Server 中规划用户配置文件一文中所述。

  • 了解有关目录服务的一般概念。

关于规划配置文件同步

规划配置文件同步的第一步是确定同步连接,并收集创建连接时所需的信息。 如果需要任何外部内容类型,则需要记录这些外部内容类型的要求,向开发人员提供要求,并接收用于指定与业务系统的同步连接的详细信息。

接下来,您将决定如何将用户配置文件属性映射到外部系统中的信息,以便对它们进行同步。

最后,您将回答一些比较简单的问题(例如,您是否会同步组,您将使用哪台服务器运行同步服务以及您同步配置文件信息的频率)。

规划同步连接

用户的配置文件中的每个属性都可来自于外部系统。 有两种类型的外部系统:目录服务和业务系统。 在本文中,短语 business system 用于表示不是目录服务的外部系统。 例如,SAP、Siebel、SQL Server 和自定义应用程序都属于业务系统。

注意

有关支持的目录服务的列表,请参阅 配置文件同步概述

在 SharePoint Server 2013 中,同步连接是从外部系统获取用户配置文件信息的方法。 若要从某个支持的目录服务导入配置文件,则可以创建一个与该目录服务的同步连接。 若要从业务系统导入其他配置文件属性,请创建一个外部内容类型,以便将数据从业务系统引入 SharePoint Server 2013,然后创建与外部内容类型的同步连接。 以下部分说明如何收集有关每个同步连接所需的信息。

与目录服务的连接

您希望在 SharePoint Server 2013 中拥有配置文件的每个用户都必须在目录服务中具有标识。 (如果目录服务中未表示用户,则无法同步用户配置文件。) 确定哪些目录服务包含有关这些用户的信息。 除非您可以自行访问目录服务,否则,您还应标识目录服务的管理员。 你需要此人的帮助来收集创建同步连接所需的一些信息。

“连接规划”工作表包含针对每种类型的连接需要收集的信息的模板。 每个模板位于单独的选项卡中,这些选项卡使用其适用的目录服务提供商的名称进行标记。 为标识的每个目录服务创建一个选项卡。 将目录服务类型的模板复制到新选项卡中。然后,根据下表完成每个新选项卡上的信息。

工作表中的行名 适用的连接类型 说明
同步连接名称
全部
选择将有助于您记住所连接的目录服务的名称。
连接类型
全部
所连接的目录服务的类型。
已在各选项卡中填写了此信息。

AD DS
目录服务林的名称。
域控制器
AD DS
首选域控制器的名称。 如果林中存在多个域控制器,并且您要与特定域控制器同步,则只需要标识该域控制器。
身份验证提供程序类型
全部
SharePoint Server 2013 应使用身份验证类型连接到目录服务。 它应为以下类型之一:
Windows 身份验证
基于表单的身份验证
基于声明的身份验证
系统架构师应能提供此信息。
身份验证提供程序
全部
如果将使用基于表单的身份验证或基于声明的身份验证,则填写受信任的提供程序的名称。 系统架构师应能提供此信息。 Windows 身份验证不需要身份验证提供程序。
同步帐户
全部
将用于连接到目录服务的帐户(包括域)。 目录服务管理员可能会创建要用于同步的帐户。
注意:本主题的计划帐户权限部分介绍了同步帐户必须具有 的权限
同步帐户密码
全部
同步帐户的密码。
注意:必须知道同步帐户的密码。 建议不要将该密码记录在工作表中。
连接端口
全部
用于连接到目录服务的端口。
是否使用 SSL?
AD DS
是否使用安全 SSL 连接来连接到目录服务。 只有与 AD DS 的连接才支持 SSL。
目录服务服务器
Tivoli、Sun、eDirectory
目录服务服务器的名称。
用户名属性
Tivoli、Sun、eDirectory
目录服务中充当各个配置文件的唯一标识符的属性的名称。 大多数情况下,默认用户名属性"uid"是正确的。
容器
全部
包含要同步的配置文件的目录服务容器(也称为"组织单位"(OU))的名称。
用户筛选器
全部
请参阅关于排除筛选器部分的详细说明。
组筛选器
全部
请参阅同步组部分。

关于排除筛选器

SharePoint Server 2013 将同步你标识的容器中的所有配置文件,除非你选择使用筛选器排除配置文件。 例如,您可以创建一个筛选器来排除其帐户被禁用的用户。

筛选器包含一组子句以及用于联接子句的连接符。 每个子句包括三个部分:

  • 属性:要比较的目录服务属性。

  • 值:要与其比较属性的值。

  • 运算符:比较类型。

有两种方法可联接排除筛选器的子句:

  • 全部适用 (AND):如果所有子句都适用,则帐户与筛选器匹配。

  • 任意适用 (OR):如果任意子句适用,则帐户与筛选器匹配。

您不能在筛选器中混用 AND 和 OR。

例如,假定为您的组织中的临时员工提供了以"T-"开头的 Active Directory 帐户。 你希望同步帐户未禁用的所有永久 (非临时) 用户的配置文件。 您可以创建一个使用下表中的子句的筛选器。

注意

对筛选器进行任何更改之后,需要进行完全同步。

属性 运算符
sAMAccountName
starts with
T-
userAccountControl
bit on equals
2

筛选器将使用任意适用 (OR) 联接子句。

注意

在 AD DS 中, userAccountControl 是位掩码,表示与用户帐户状态有关的几个有用方面。 有关可以使用 userAccountControl 属性创建的一些更常用筛选器的列表,请参阅 如何使用 UserAccountControl 标志操作用户帐户属性

无法创建基于目录服务组(如通讯组列表)中的成员身份的筛选器。 有关基于组成员身份导入用户的替代方法,请参阅 无法基于组成员身份导入用户

与业务系统的连接

若要从业务系统导入属性,需要一个外部内容类型,用于将外部系统中的属性值引入 SharePoint Server 2013。 本文不介绍如何创建外部内容类型。 该任务通常由开发人员完成。 本文介绍了必须收集并提供给开发人员的数据,以及如何处理收到的信息。 有关开发人员信息,请参阅 SharePoint 2013 中的外部内容类型

可以使用外部内容类型规划工作表来指定要创建的外部内容类型。 阅读在 SharePoint Server 中规划用户配置文件一文时完成的“用户配置文件属性规划”工作表。 在外部内容类型规划工作表中,为每个来自业务系统的用户配置文件属性创建一行。 根据下表中的说明填写每行的前三列。

工作表中的列 说明
业务系统
您选择用于标识包含该属性的业务系统的名称。
项目
业务系统中对应于该属性的数据。 越详细越好。 例如,如果业务系统是数据库,请提供表和列的名称(如果已知)。
可能的标识符
可唯一标识用户的用户配置文件属性的列表。

在填写完每行的前三列后,将工作表提供给外部内容类型开发人员。 开发人员应执行以下步骤,然后返回工作表:

  • 创建外部内容类型以提供工作表中所介绍的外部系统数据。

  • 为每个外部内容类型选择相应的标识符。

  • 如果用户配置文件与外部内容类型的项目具有一对一关系,则创建一个特定的查找工具方法。 包含用户出生日期的外部内容类型是一对一关系的一个示例。 每个用户配置文件将与外部内容类型的一个项目匹配。

  • 如果用户配置文件与外部内容类型的项目具有一对多关系,则创建一个查找工具方法和一个比较筛选器。 包含用户所拥有车辆的牌照的外部内容类型是一对多关系的示例。 用户可以拥有多部车辆。 因此,每个用户配置文件可能与外部内容类型的多个项目匹配。

  • 更新工作表以介绍已创建的外部内容类型。

“连接规划”工作表 (用户配置文件属性和配置文件同步规划工作表) 包含用于连接到业务系统的选项卡。 收到从外部内容类型开发人员返回的信息时,请将共享相同外部内容类型的所有用户配置文件属性分为一组。 在“连接规划”工作表中为每个外部内容类型创建一个选项卡,并将信息从“ 业务系统 ”选项卡复制到每个新选项卡。在创建的每个选项卡上,根据下表中的说明完成信息。

工作表中的行 说明
同步连接名称
选择将有助于您记住所连接的业务系统的名称。
连接类型
"业务数据连接"
已填写此信息。
业务数据连接实体
外部内容类型的名称。
一对一或一对多映射
可能与给定的用户配置文件匹配的外部内容类型的项目数。 请根据情况输入"一对一"或"一对多"。
与之匹配的配置文件属性
对应于外部内容类型的标识符的用户配置文件属性的名称。
比较筛选器
比较筛选器的名称。
只有一对多映射需要筛选器。

标识属性映射

若要指示某个用户配置文件属性来自某个外部系统,请将该属性映射到该外部系统的特定属性。 默认情况下将映射某些用户配置文件属性。 您只能将配置文件属性 (Property) 映射到其数据类型与该属性 (Property) 的数据类型兼容的属性 (Attribute)。 例如,您不能将 SPS-HireDate 用户配置文件属性 (Property) 映射到 homePhone Active Directory 属性 (Attribute),因为 SPS-HireDate 是一个日期而 homePhone 是一个 Unicode 字符串。 有关哪些用户配置文件属性数据类型与 AD DS 数据类型兼容的列表,请参阅 User profile property data types in SharePoint Server 2013

在同步配置文件信息时,除了从外部系统导入配置文件属性之外,还可将数据写回目录服务。 您不能将数据写回业务系统。 若要指示 SharePoint Server 2013 应导出用户配置文件属性,请映射属性,并将映射的方向设置为 “导出”。 每个属性只能向一个方向映射。 您不能同时导入和导出同一用户配置文件属性。 导出的数据将覆盖目录服务中已呈现的所有值。 对于多值属性也是如此 - 导出的值不会追加到现有值,它会覆盖这些值。

阅读在 SharePoint Server 中规划用户配置文件 主题时,检查已完成的“用户配置文件属性规划”工作表。 对于将从外部系统导入其值的各行(属性),请根据下表中的说明填写后三列。

工作表中的行 说明
方向
“Import”,指示属性将导入 SharePoint Server 2013。
同步连接
提供此属性时要借助的同步连接的名称。
属性
将提供用户配置文件属性的值的外部系统元素的名称。
如果同步连接指向目录服务,则这是目录服务属性的名称。
如果同步连接指向业务系统,则这是外部内容类型中列的名称。

注意

您不能使用与业务系统的连接来将二进制属性映射到实现 Stream 访问器方法的属性。

对于要将值导出到目录服务的每个行(属性),根据下表中的说明填写后三列。

工作表中的行 说明
方向
“Export”,指示属性将从 SharePoint Server 2013 导出到目录服务。
同步连接
导出此属性时要借助的同步连接的名称。 它只能是与目录服务的连接。
属性
应使用用户配置文件属性 (Property) 的值更新其值的目录服务属性 (Attribute) 的名称。

同步组

默认情况下,SharePoint Server 2013 在同步用户配置文件时同步组(如通讯组列表)。 您可以从管理中心的"配置同步设置"页关闭此功能。 仅 AD DS 支持同步组。

如果除了同步用户之外,还同步组,SharePoint Server 2013 将导入有关组以及哪些用户是组成员的信息。 同步组不会为组创建配置文件,也不会创建其他用户配置文件。 在 SharePoint Server 2013 中,组仅用于创建访问群体和显示访问者与该用户正在访问其“我的网站”的人员共有的哪些成员身份。

如果您决定同步组,SharePoint Server 2013 将导入有关您正在同步的目录服务容器中存在的所有组的信息,除非您选择使用筛选器排除组。 用于排除组的筛选器不同于用于排除用户的筛选器,尽管二者都遵循相同的格式。

返回到“连接规划”工作表并为组单元格填写筛选器。

规划同步服务器

除了确定同步连接和标识属性映射,还必须规划同步配置文件的一些比较简单的方面。 这其中首先要做的便是标识同步服务器。

您在一个服务器场上只能运行用户配置文件同步服务的一个实例。 运行用户配置文件同步服务的计算机称为同步服务器。 您可在创建 User Profile Service 应用程序时指定同步服务器。 SharePoint Server 2013 在此计算机上预配 Microsoft Forefront Identity Manager (FIM) 版本以参与同步。

当 SharePoint Server 2013 同步配置文件时,它会大量使用网络在同步服务器和域控制器之间进行通信。 选择一台在物理上与域控制器接近的同步服务器将减少同步所需的时间。

规划同步计划

首次在 SharePoint Server 2013 和外部系统之间同步配置文件信息时,必须运行完全同步。 之后,您应配置用户配置文件增量同步计时器作业,以根据定期计划执行增强同步。 您可以将该计时器作业配置为每几分钟运行一次、每小时运行一次、每天运行一次、每周运行一次或每月运行一次。 利用"每小时"、"每天"、"每周"和"每月"选项,您可以指定计时器作业的启动时间。

同步计时器作业运行越频繁,要同步的更改就越少,作业完成的速度就越快。 默认频率为"每天"。 建议您将同步安排在网络使用量较小时启动。

有关如何配置用户配置文件增量同步计时器作业的说明,请参阅 在 SharePoint Server 中计划配置文件同步

规划帐户权限

在“连接规划”工作表中,您为每个目录服务提供了一个同步帐户名称。 必须向这些同步帐户授予特定权限,以便同步服务可从目录服务中获取所需信息。 以下各节将介绍各种类型的目录服务需要的权限。 请与目录服务管理员合作,以向帐户授予相应的权限。

Active Directory 域服务 (AD DS)

用于与 Active Directory 域服务 (AD DS) 的连接的同步帐户必须具有以下权限:

  • 它必须具有对将与之同步的域的复制目录更改权限。

    复制目录更改权限允许帐户查询目录中的更改。 此权限不允许帐户在目录中进行任何更改。

  • 如果域控制器运行的是 Windows Server 2003,则同步帐户必须是 Pre-Windows 2000 Compatible Access 内置组的成员。

  • 如果域的 NetBIOS 名称不同于完全限定的域名,则同步帐户必须对 cn=configuration 容器具有复制目录更改权限。 例如,如果 NetBIOS 域名为 contoso,完全限定的域名为 contoso-corp.com,则必须授予对 cn=configuration 容器的复制目录更改权限。

  • 如果要将属性值从 SharePoint Server 2013 导出到 AD DS,则同步帐户必须具有创建子对象 (此对象和所有后代) 和写入所有属性 (此对象和所有后代) 您与之同步的组织单位 (OU) 的权限。

Novell eDirectory 版本 8.7.3

用于与 Novell eDirectory 的连接的同步帐户必须具有以下权限:

  • 输入权限:对指定树的浏览权限。

  • 所有属性权限:对指定树的读取、写入和比较权限。

Sun Java 系统目录服务器版本 5.2

用于与 Sun Java System Directory Server 的连接的同步帐户必须具有以下权限:

  • 对 RootDSE 的读取、写入、比较和搜索权限。

  • 若要执行增量同步,则同步帐户还必须具有对更改日志 (cn=changelog) 的读取、比较和搜索权限。 如果更改日志不存在,则必须在同步之前创建它。

IBM Tivoli 版本 5.2

用于与 IBM Tivoli 的连接的同步帐户必须具有以下权限:

  • 同步帐户必须是管理组的成员。

服务器场帐户

用户配置文件同步服务使用服务器场帐户运行。 服务器场帐户需要特定权限才能配置配置文件同步。 在同步服务器上具有管理员权限的用户可授予这些权限。

  • 帐户必须是同步服务器上 Administrators 组的成员。 在配置用户配置文件同步服务之后,您可以删除此权限。

  • 帐户必须能够本地登录到同步服务器。

    注意

    服务器场帐户不同于服务器场管理员帐户。 若要确定服务器场帐户,请从管理中心,单击"配置服务帐户",然后单击"服务器场帐户"。

如果您将使用外部内容类型将用户配置文件与业务系统同步,则服务器场帐户还必须具有对外部内容类型执行操作的权限。 服务器场管理员可使用过程“对外部内容类型设置权限”向服务器场帐户授予对要与之同步的各外部内容类型的执行权限。

后续步骤

若要实现您的配置文件同步规划,请按照在 SharePoint Server 2013 中同步用户和组配置文件 一文中的说明操作。 首次配置配置文件同步和同步配置文件信息后,按照 在 SharePoint Server 中计划配置文件同步一文中所述的过程实施同步计划。

工作表

若要下载连接规划工作表、外部内容类型规划工作表和用户配置文件规划工作表,请转到 SharePoint Server 2013 的用户配置文件属性和配置文件同步规划工作表

另请参阅

概念

SharePoint Server 2013 中的配置文件同步概述

在 SharePoint Server 中规划用户配置文件

在 SharePoint Server 2013 中同步用户和组配置文件

管理 SharePoint Server 中的 User Profile Service

User Profile Service 概述