为 SharePoint Server 2013 规划配置文件同步
**上一次修改主题:**2018-02-27
**摘要:**了解如何在SharePoint Server 2013中实现配置文件同步。
利用配置文件同步,您可以通过从组织中使用的其他系统导入信息来创建用户配置文件。在阅读本文之前,您应了解SharePoint Server 2013 中的配置文件同步概述 一文中介绍的概念。配置文件同步还用于服务器到服务器身份验证,这种身份验证允许服务器代表用户从另一台服务器上访问和请求资源。有关详细信息,请参阅 SharePoint Server 中的服务器到服务器身份验证和用户配置文件。
本文内容:
如何获取配置配置文件同步时必需的信息。
您应必需与谁协作来收集必需信息。
必须创建的外部内容类型(如果有)。
在阅读本文时,您可填写工作表来记录您的决定。在阅读完本文并填完工作表后,您将会了解到使用管理中心配置配置文件同步时所需的信息。您可以向配置文件同步管理员提供完成的工作表,或者也可以使用完成的工作表自行配置。如果您需要外部内容类型来呈现来自外部业务系统的信息,则应指定这些外部内容类型的要求。您可以向创建外部内容类型的开发人员提供相应规范。
本文将不会介绍如何实现您的规划。在 SharePoint Server 2013 中同步用户和组配置文件 一文中提供了这方面的信息。
本文内容:
开始之前
关于规划配置文件同步
规划同步连接
标识属性映射
同步组
规划同步服务器
规划同步计划
规划帐户权限
后续步骤
工作表
开始之前
在执行本文中的规划任务之前,您应做好以下准备:
知道您想要在SharePoint Server 2013中有配置文件的用户。
了解用户配置文件将具有的属性,并填写"用户配置文件属性规划"工作表,如计划在 SharePoint 服务器的用户配置文件 一文中所述。
了解有关目录服务的一般概念。
关于规划配置文件同步
作为规划配置文件同步的第一步,您将标识同步连接,并收集在创建该连接时需要的信息。如果您需要任何外部内容类型,则应记录这些外部内容类型的要求,向开发人员提出这些要求,并接收用于指定与业务系统的同步连接的详细信息。
接下来,您将决定如何将用户配置文件属性映射到外部系统中的信息,以便对它们进行同步。
最后,您将回答一些比较简单的问题(例如,您是否会同步组,您将使用哪台服务器运行同步服务以及您同步配置文件信息的频率)。
规划同步连接
用户的配置文件中的每个属性都可来自于外部系统。有两种类型的外部系统:目录服务和业务系统。在本文中,短语业务系统 用于表示不是目录服务的外部系统。例如,SAP、Siebel、SQL Server 和自定义应用程序都属于业务系统。
备注
有关支持的目录服务的列表,请参阅"配置文件同步概述"一文中的支持的目录服务一节。
在SharePoint Server 2013,同步连接是一种从外部系统中获取用户配置文件信息的方法。若要从一个受支持的目录服务导入配置文件,您可以创建同步连接到目录服务。从业务系统中导入其他配置文件属性,您创建外部内容类型为SharePoint Server 2013,从业务系统中将数据,然后创建到外部内容类型的同步连接。以下各节介绍如何收集所需的每个同步连接有关的信息。
与目录服务的连接
每个您想要在SharePoint Server 2013中有一个配置文件的用户必须具有在目录服务中的标识。(如果用户不会出现在目录服务中,您不能同步用户配置文件)。标识哪个目录服务包含这些用户的信息。除非您自己可以访问目录服务,您还应确定目录服务管理员。您将需要此人的帮助来收集一些需要创建同步连接的信息。
连接规划工作表包含需要为每种类型的连接收集的信息的模板。每个模板位于单独的选项卡中,这些选项卡使用其适用的目录服务提供商的名称进行标记。为标识的每个目录服务创建一个选项卡。将目录服务类型的模板复制到新选项卡。然后,根据下表在各新选项卡中填写信息。
工作表中的行名 | 适用的连接类型 | 说明 | ||
---|---|---|---|---|
同步连接名称 |
全部 |
选择将有助于您记住所连接的目录服务的名称。 |
||
连接类型 |
全部 |
所连接的目录服务的类型。 已在各选项卡中填写了此信息。 |
||
林 |
AD DS |
目录服务林的名称。 |
||
域控制器 |
AD DS |
首选域控制器的名称。如果林中存在多个域控制器,并且您要与特定域控制器同步,则只需要标识该域控制器。 |
||
身份验证提供程序类型 |
全部 |
应使用何种身份验证SharePoint Server 2013连接到目录服务。这是下列之一:
系统架构师应能提供此信息。 |
||
身份验证提供程序 |
全部 |
如果将使用基于表单的身份验证或基于声明的身份验证,则填写受信任的提供程序的名称。系统架构师应能提供此信息。Windows 身份验证不需要身份验证提供程序。 |
||
同步帐户 |
全部 |
将用于连接到目录服务的帐户(包括域)。目录服务管理员可能会创建要用于同步的帐户。 备注 本主题的规划帐户权限一节介绍了同步帐户所必须具有的权限。 |
||
同步帐户密码 |
全部 |
同步帐户的密码。
|
||
连接端口 |
全部 |
用于连接到目录服务的端口。 |
||
是否使用 SSL? |
AD DS |
是否使用安全 SSL 连接来连接到目录服务。只有与 AD DS 的连接才支持 SSL。 |
||
目录服务服务器 |
Tivoli、Sun、eDirectory |
目录服务服务器的名称。 |
||
用户名属性 |
Tivoli、Sun、eDirectory |
目录服务中充当各个配置文件的唯一标识符的属性的名称。大多数情况下,默认用户名属性"uid"是正确的。 |
||
容器 |
全部 |
包含要同步的配置文件的目录服务容器(也称为"组织单位"(OU))的名称。 |
||
用户筛选器 |
全部 |
请参阅关于排除筛选器部分的详细说明。 |
||
组筛选器 |
全部 |
请参阅同步组部分。 |
关于排除筛选器
SharePoint Server 2013将同步所有的配置文件中的容器,除非您选择要使用的筛选器中排除配置文件确定。例如,您可以创建一个筛选,以排除被禁用帐户的用户。
筛选器包含一组子句以及用于联接子句的连接符。每个子句包括三个部分:
属性:要比较的目录服务属性。
值:要与其比较属性的值。
运算符:比较类型。有关可用于各个 Active Directory 域服务 (AD DS) 数据类型的运算符的详细信息,请参阅SharePoint Server 2013 中的连接筛选器数据类型和运算符。
有两种方法可联接排除筛选器的子句:
全部适用 (AND):如果所有子句都适用,则帐户与筛选器匹配。
任意适用 (OR):如果任意子句适用,则帐户与筛选器匹配。
您不能在筛选器中混用 AND 和 OR。
例如,假定为您的组织中的临时员工提供了以"T-"开头的 Active Directory 帐户。您要同步所有未禁用帐户的永久(非临时)用户的配置文件。您可以创建一个使用下表中的子句的筛选器。
备注
对筛选器进行任何更改之后,需要进行完全同步。
属性 | 运算符 | 值 |
---|---|---|
sAMAccountName |
starts with |
T- |
userAccountControl |
bit on equals |
2 |
筛选器将使用任意适用 (OR) 联接子句。
备注
在 AD DS 中,userAccountControl 是位掩码,表示与用户帐户状态有关的几个有用方面。有关可以使用 userAccountControl 属性创建的一些更常用筛选器的列表,请参阅如何使用 UserAccountControl 标志操纵用户帐户属性。
无法创建基于目录服务组(如通讯组列表)中的成员身份的筛选器。有关根据组成员身份导入用户的备选方法,请访问 https://go.microsoft.com/fwlink/p/?LinkId=220892。
与业务系统的连接
若要从业务系统中导入属性,您需要从外部系统将属性值带入SharePoint Server 2013外部内容类型。本文不介绍如何创建外部内容类型。该任务通常是由开发人员完成的。本文介绍的数据,必须收集并提供给开发人员,并告诉您如何处理您收到的信息。开发人员信息,请参阅SharePoint 2013 在外部内容类型。
可以使用外部内容类型规划工作表来指定要创建的外部内容类型。在阅读计划在 SharePoint 服务器的用户配置文件一文时,请浏览已填写的用户配置文件属性规划工作表。在外部内容类型规划工作表中,为每个来自业务系统的用户配置文件属性创建一行。根据下表中的说明填写每行的前三列。
工作表中的列 | 说明 |
---|---|
业务系统 |
您选择用于标识包含该属性的业务系统的名称。 |
项目 |
业务系统中对应于该属性的数据。越详细越好。例如,如果业务系统是数据库,请提供表和列的名称(如果已知)。 |
可能的标识符 |
可唯一标识用户的用户配置文件属性的列表。 |
在填写完每行的前三列后,将工作表提供给外部内容类型开发人员。开发人员应执行以下步骤,然后返回工作表:
创建外部内容类型以提供工作表中所介绍的外部系统数据。
为每个外部内容类型选择相应的标识符。
如果用户配置文件与外部内容类型的项目具有一对一关系,则创建一个特定的查找工具方法。包含用户出生日期的外部内容类型是一对一关系的一个示例。每个用户配置文件将与外部内容类型的一个项目匹配。
如果用户配置文件与外部内容类型的项目具有一对多关系,则创建一个查找工具方法和一个比较筛选器。包含用户所拥有车辆的牌照的外部内容类型是一对多关系的示例。用户可以拥有多部车辆。因此,每个用户配置文件可能与外部内容类型的多个项目匹配。
更新工作表以介绍已创建的外部内容类型。
连接规划工作表 (https://go.microsoft.com/fwlink/p/?LinkId=267109) 中有一个选项卡包含与业务系统的连接。收到从外部内容类型开发人员返回的信息时,请将共享相同外部内容类型的所有用户配置文件属性分为一组。在连接规划工作表中,为每个外部内容类型创建一个选项卡,并将信息从"业务系统"选项卡复制到所有新选项卡。根据下表中的说明,在创建的每个选项卡中填写信息。
工作表中的行 | 说明 |
---|---|
同步连接名称 |
选择将有助于您记住所连接的业务系统的名称。 |
连接类型 |
"业务数据连接" 已填写此信息。 |
业务数据连接实体 |
外部内容类型的名称。 |
一对一或一对多映射 |
可能与给定的用户配置文件匹配的外部内容类型的项目数。请根据情况输入"一对一"或"一对多"。 |
与之匹配的配置文件属性 |
对应于外部内容类型的标识符的用户配置文件属性的名称。 |
比较筛选器 |
比较筛选器的名称。 只有一对多映射需要筛选器。 |
标识属性映射
若要指示某个用户配置文件属性来自某个外部系统,请将该属性映射到该外部系统的特定属性。默认情况下将映射某些用户配置文件属性。有关各种类型的目录服务的默认映射的列表,请参阅 SharePoint Server 2013 中的默认用户配置文件属性映射。您只能将配置文件属性 (Property) 映射到其数据类型与该属性 (Property) 的数据类型兼容的属性 (Attribute)。例如,您不能将 SPS-HireDate 用户配置文件属性 (Property) 映射到 homePhone Active Directory 属性 (Attribute),因为 SPS-HireDate 是一个日期而 homePhone 是一个 Unicode 字符串。有关哪些用户配置文件属性数据类型与 AD DS 数据类型兼容的列表,请参阅 SharePoint Server 2013 中的用户配置文件属性数据类型。
同步配置文件的信息,以及从外部系统,导入配置文件属性时您还可以编写数据返回到目录服务。不能向业务系统重新写入数据。若要指示该SharePoint Server 2013应导出用户配置文件属性,您映射属性,并设置为导出的映射方向。每个属性只能在一个方向映射。您不能导入和导出相同的用户配置文件属性。导出的数据会覆盖可能已存在的目录服务中的任何值。这也同样适用于多值属性 — 导出的值不追加到现有值,则将其覆盖。
在阅读计划在 SharePoint 服务器的用户配置文件 主题时,请检查您填完的"用户配置文件属性规划"工作表。对于将从外部系统导入其值的各行(属性),请根据下表中的说明填写后三列。
工作表中的行 | 说明 |
---|---|
方向 |
"导入",指示该属性,将导入SharePoint Server 2013。 |
同步连接 |
提供此属性时要借助的同步连接的名称。 |
属性 |
将提供用户配置文件属性的值的外部系统元素的名称。 如果同步连接指向目录服务,则这是目录服务属性的名称。 如果同步连接指向业务系统,则这是外部内容类型中列的名称。 |
备注
您不能使用与业务系统的连接来将二进制属性映射到实现 Stream 访问器方法的属性。
对于要将值导出到目录服务的每个行(属性),根据下表中的说明填写后三列。
工作表中的行 | 说明 |
---|---|
方向 |
"导出",表明SharePoint Server 2013将到目录服务导出属性。 |
同步连接 |
导出此属性时要借助的同步连接的名称。它只能是与目录服务的连接。 |
属性 |
应使用用户配置文件属性 (Property) 的值更新其值的目录服务属性 (Attribute) 的名称。 |
同步组
默认情况下, SharePoint Server 2013将同步用户配置文件时,同步组,如通讯组列表。您可以关闭此功能从管理中心的配置同步设置页。同步组仅支持 AD DS。
如果同步组除了用户外的, SharePoint Server 2013导入组和有关哪些用户是组的成员的信息。同步组不会创建一个配置文件的组中,并使没有附加的用户配置文件,可以创建。在SharePoint Server 2013,以创建访问群体并显示在访问者共有人访问其我的网站的人的成员资格只使用组。
如果您决定要同步组, SharePoint Server 2013将导入信息的所有组中的目录服务容器,除非您选择要使用的筛选器中排除组正在同步存在。排除组的筛选器与筛选中排除的用户,虽然都按照相同的格式。
返回到"连接规划"工作表并为组单元格填写筛选器。
规划同步服务器
除了确定同步连接和标识属性映射,还必须规划同步配置文件的一些比较简单的方面。这其中首先要做的便是标识同步服务器。
只能在服务器场运行用户配置文件同步服务的一个实例。运行的计算机上的用户配置文件同步服务调用同步服务器。当您创建的用户配置文件服务应用程序时,您可以指定同步服务器。SharePoint Server 2013提供在此参与同步的计算机上的版本 Microsoft 最前沿标识管理器 (FIM)。
当SharePoint Server 2013同步配置文件时,就大量使用网络来实现同步的服务器和域控制器之间的通信。选择物理上很接近的域控制器的同步服务器将降低同步所需的时间。
规划同步计划
第一次同步之间SharePoint Server 2013和外部系统,配置文件信息,您必须运行完全同步。在此之后,应配置用户配置文件的增量同步计时器作业循环执行的时间表执行增量同步。您可以配置运行每隔几分钟,每小时、 每天、 每周或每月的计时器作业。通过使用每小时、 每天、 每周和每月的选项,可以指定您希望启动计时器作业。
同步计时器作业运行越频繁,要同步的更改就越少,作业完成的速度就越快。默认频率为"每天"。建议您将同步安排在网络使用量较小时启动。
有关如何配置用户配置文件增量同步计时器作业的说明,请参阅安排在 SharePoint 服务器的配置文件同步。
规划帐户权限
在"连接规划"工作表中,您为每个目录服务提供了一个同步帐户名称。必须向这些同步帐户授予特定权限,以便同步服务可从目录服务中获取所需信息。以下各节将介绍各种类型的目录服务需要的权限。请与目录服务管理员合作,以向帐户授予相应的权限。
Active Directory 域服务 (AD DS)
用于与 Active Directory 域服务 (AD DS) 的连接的同步帐户必须具有以下权限:
它必须具有对将与之同步的域的复制目录更改权限。有关详细信息,请参阅在 SharePoint Server 2013 中授予 Active Directory 域服务权限以同步配置文件的"授予对域的复制目录更改权限"一节。
复制目录更改权限允许帐户查询目录中的更改。此权限不允许帐户在目录中进行任何更改。
如果域控制器运行的是 Windows Server 2003,则同步帐户必须是 Pre-Windows 2000 Compatible Access 内置组的成员。有关详细信息,请参阅在 SharePoint Server 2013 中授予 Active Directory 域服务权限以同步配置文件的"向 Pre-Windows 2000 Compatible Access 组添加帐户"一节。
如果域的 NetBIOS 名称不同于完全限定的域名,则同步帐户必须对 cn=configuration 容器具有复制目录更改权限。例如,如果 NetBIOS 域名为 contoso,完全限定的域名为 contoso-corp.com,则必须授予对 cn=configuration 容器的复制目录更改权限。有关详细信息,请参阅在 SharePoint Server 2013 中授予 Active Directory 域服务权限以同步配置文件过程参考文章的授予对 cn=configuration 容器的复制目录更改权限一节。
如果您将导出属性值从SharePoint Server 2013到 AD DS,同步帐户必须与您在同步具有创建子对象 (此对象及其所有子类型和写入所有属性 (此对象及其所有子类型的组织单位 (OU) 的权限。有关详细信息,请参阅"授予创建子对象和写入权限"部分中的在 SharePoint Server 2013 中授予 Active Directory 域服务权限以同步配置文件。
Novell eDirectory 版本 8.7.3
用于与 Novell eDirectory 的连接的同步帐户必须具有以下权限:
输入权限:对指定树的浏览权限。
所有属性权限:对指定树的读取、写入和比较权限。
Sun Java 系统目录服务器版本 5.2
用于与 Sun Java System Directory Server 的连接的同步帐户必须具有以下权限:
对 RootDSE 的读取、写入、比较和搜索权限。
若要执行增量同步,则同步帐户还必须具有对更改日志 (cn=changelog) 的读取、比较和搜索权限。如果更改日志不存在,则必须在同步之前创建它。
IBM Tivoli 版本 5.2
用于与 IBM Tivoli 的连接的同步帐户必须具有以下权限:
- 同步帐户必须是管理组的成员。
服务器场帐户
用户配置文件同步服务使用服务器场帐户运行。服务器场帐户需要特定权限才能配置配置文件同步。在同步服务器上具有管理员权限的用户可授予这些权限。
帐户必须是同步服务器上 Administrators 组的成员。在配置用户配置文件同步服务之后,您可以删除此权限。
帐户必须能够本地登录到同步服务器。
备注
服务器场帐户不同于服务器场管理员帐户。若要确定服务器场帐户,请从管理中心,单击"配置服务帐户",然后单击"服务器场帐户"。
如果您将使用外部内容类型将用户配置文件与业务系统同步,则服务器场帐户还必须具有对外部内容类型执行操作的权限。服务器场管理员可使用过程"对外部内容类型设置权限"向服务器场帐户授予对要与之同步的各外部内容类型的执行权限。
后续步骤
若要实现您的配置文件同步规划,请按照在 SharePoint Server 2013 中同步用户和组配置文件 一文中的说明操作。在配置配置文件同步并首次同步配置文件信息之后,请按照安排在 SharePoint 服务器的配置文件同步 一文中所述的过程操作,以实现您的同步计划。
工作表
若要下载连接规划工作表、外部内容类型规划工作表和用户配置文件规划工作表,请转到 SharePoint Server 2010 的用户配置文件属性和配置文件同步计划工作表。
See also
在 SharePoint Server 中规划"我的网站"和 OneDrive for Business
SharePoint Server 2013 中的配置文件同步概述
计划在 SharePoint 服务器的用户配置文件
在 SharePoint Server 2013 中同步用户和组配置文件
管理 SharePoint 服务器中的用户配置文件服务
在 SharePoint 服务器的用户配置文件服务的体系结构的概述