如何將使用者佈建至 AD DS
適用於:Microsoft Identity Manager 2016 SP1 (MIM)
身分識別管理系統的其中一個基本需求是能夠將資源佈建至外部系統。
本指南將逐步引導您了解將使用者從 Microsoft® Identity Manager (MIM) 2016 佈建至 Active Directory® 網域服務 (AD DS) 的程序所涉及的主要建置組塊、概述如何確認您的案例是否如預期般運作、提供使用 MIM 2016 來管理 Active Directory 使用者的建議,以及列出資訊的其他來源。
開始之前
在本節中,您將找到此文件範圍的相關資訊。 一般而言,「如何」指南的適用對象是對於使用 MIM 同步處理物件的程序具有基礎經驗的讀者,如相關入門指南中所述。
對象
本指南主要用於對 MIM 同步處理程序的運作方式已經有基本了解,而想要取得實際操作經驗和特定案例詳細概念資訊的資訊技術 (IT) 專業人員。
必備知識
本文件假設您有權存取執行中的 MIM 執行個體,而且具有設定簡單同步處理案例的經驗,如下列文件中所述:
本文件中的內容範圍可作為這些簡介文件的擴充資訊。
範圍
本文件中概述的案例已經簡化,以滿足基本實驗室環境的需求。 重點在於,讓您了解所討論的概念和技術。
本文件可協助您開發解決方案,它涉及到使用 MIM 管理 AD DS 中的群組。
時間需求
本文件中的程序需要花費 90 到 120 分鐘才能完成。
這些時間估計假設已設定測試環境,而且不包含設定測試環境所需的時間。
案例描述
Fabrikam 這家虛構公司計劃使用 MIM 來管理公司 AD DS 中的使用者帳戶。 在此程序中,Fabrikam 必須將使用者佈建至 AD DS。 為了開始初始測試,Fabrikam 已安裝 MIM 和 AD DS 所組成的基本實驗室環境。 在此實驗室環境中,Fabrikam 正在測試的案例包含一個在 MIM 入口網站中手動建立的使用者。 此案例的目標在是將使用者佈建至 AD DS 中,作為含有預先定義密碼的已啟用使用者。
案例設計
若要使用本指南,您需要三個架構元件:
Active Directory 網域控制站
執行 FIM 同步處理服務的電腦
執行 FIM 入口網站的電腦
下圖概述必要的環境。
您可以在一部電腦上執行所有元件。
注意
如需設定 MIM 的詳細資訊,請參閱 FIM 安裝指南。
案例元件清單
下表列出本指南中屬於此案例的元件。
| 圖示 | 元件 | Description |
|---|---|---|
 |
組織單位 | MIM 物件 – 用來作為佈建使用者目標的組織單位 (OU)。 |
 |
使用者帳戶 | · ADMA – 具有足夠許可權可連線到 AD DS 的 Active Directory 用戶帳戶。 · FIMMA - 具有足夠許可權可連線到 MIM 的 Active Directory 用戶帳戶。 |
 |
管理代理程式和執行設定檔 | · Fabrikam ADMA – 與 AD DS 交換數據的管理代理程式。 ·Fabrikam FIMMA - 與 MIM 交換數據的管理代理程式。 |
 |
同步處理規則 | Fabrikam 群組輸出同步處理規則 – 將使用者佈建至 AD DS 的輸出同步處理規則。 |
 |
集合 | 所有約聘員工 – 使用 EmployeeType 屬性值 Contractor 為所有物件設定動態成員資格的集合。 |
 |
工作流程 | AD 佈建工作流程 – 將 MIM 使用者引入 AD 輸出同步處理規則範圍內的工作流程。 |
 |
管理原則規則 | AD 佈建管理原則規則 – 當資源成為所有約聘員工集合的成員時觸發的管理原則規則 (MPR)。 |
 |
MIM 使用者 | Britta Simon – 您佈建至 AD DS 的 MIM 使用者。 |
案例步驟
本指南中概述的案例包含下圖所顯示的建置組塊。
設定外部系統
在本節中,您將找到位於 MIM 環境之外但需要建立之資源的指示。
步驟 1:建立 OU
您需要 OU 作為已佈建之範例使用者的容器。 如需詳細資訊,請參閱建立新的組織單位。
在 AD DS 中建立一個稱為 MIMObjects 的 OU。
步驟 2:建立 Active Directory 使用者帳戶
對於本指南中的案例,您需要兩個 Active Directory 使用者帳戶:
ADMA – 由 Active Directory 管理代理程式使用。
FIMMA – 由 FIM 服務管理代理程式使用。
在這兩種情況下,建立一般使用者帳戶即已足夠。 如需這兩個帳戶特定需求的詳細資訊,請參閱本文件的稍後部分。 如需建立使用者的詳細資訊,請參閱建立新的使用者帳戶。
設定 FIM 同步處理服務
對於本節中的設定步驟,您需要啟動 FIM 同步處理服務管理員。
建立管理代理程式
對於本指南中的案例,您必須建立兩個管理代理程式:
Fabrikam ADMA – AD DS 的管理代理程式。
Fabrikam FIMMA – FIM 服務管理代理程式的管理代理程式。
步驟 3:建立 Fabrikam ADMA 管理代理程式
當您設定 AD DS 的管理代理程式時,需要指定管理代理程式在與 AD DS 進行資料交換時所使用的帳戶。 您應該使用一般使用者帳戶。 不過,若要從 AD DS 匯入資料,帳戶必須具有從 DirSync 控制項輪詢變更的權限。 如果您希望管理代理程式將資料匯出至 AD DS,則需要在目標 OU 上授予帳戶足夠的權限。 如需本主題的詳細資訊,請參閱設定 ADMA 帳戶。
若要在 AD DS 中建立使用者,您必須傳送出物件的 DN。 此外,最好還傳送名字、姓氏和顯示名稱,以確保您的物件為可供探索。
在 AD DS 中,使用者仍然會經常使用 sAMAccountName 屬性登入到目錄服務。 如果未指定這個屬性的值,目錄服務會為它產生隨機值。 不過,這些隨機值使用不便,這就是為什麼此屬性的使用者易記版本通常是匯出至 AD DS 的一部分。 若要讓使用者登入到 AD DS,您還需要在您的匯出邏輯中包含使用 unicodePwd 屬性所建立的密碼。
注意
請確保您指定為 unicodePwd 的值符合目標 AD DS 的密碼原則。
當您為 AD DS 帳戶設定密碼時,還需要建立一個帳戶作為已啟用的帳戶。 您可以透過設定 userAccountControl 屬性來達到此目的。 如需 userAccountControl 屬性的詳細資訊,請參閱使用 FIM 來啟用或停用 Active Directory 中的帳戶。
下表列出您需要設定的最重要案例特有設定。
| [管理代理程式設計工具] 頁面 | 設定 |
|---|---|
| 建立管理代理程式 | 1. 管理代理程式: AD DS 2. 名稱: Fabrikam ADMA |
| 連接到 Active Directory 樹系 | 1. 選取目錄分割區: “DC=Fabrikam,DC=com” 2.按兩下 [容器 ] 以開啟 [ 選取容器 ] 對話框,並確定 MIMObjects 是唯一選取的 OU。 |
| 選取物件類型 | 除了已選取的物件類型之外,另選取 [使用者]。 |
| 選取屬性 | 1. 按兩下 [全部顯示]。 2.選取下列屬性: ° displayName ° givenName ° sn ° SamAccountName ° unicodePwd ° userAccountControl |
如需詳細資訊,請參閱下列主題說明:
- 建立管理代理程式
- 連接到 Active Directory 樹系
- 使用 Active Directory 的管理代理程式
- 設定目錄分割
注意
請確定您具有為 ExpectedRulesList 屬性設定的匯入屬性流程規則。
步驟 4:建立 Fabrikam FIMMA 管理代理程式
當您設定 FIM 服務管理代理程式時,需要指定管理代理程式在與 FIM 服務進行資料交換時所使用的帳戶。
您應該使用一般使用者帳戶。 該帳戶必須與您在 MIM 安裝期間所指定的帳戶相同。 若要判斷您在安裝期間指定之 FIMMA 帳戶的名稱,以及測試此帳戶是否仍然有效,您可以使用指令碼,請參閱 Using Windows PowerShell to Do a FIM MA Account Configuration Quick Test (使用 Windows PowerShell 執行 FIM MA 帳戶設定快速測試)。
下表列出您需要設定的最重要案例特有設定。 根據下表中所提供的資訊,建立管理代理程式。
| [管理代理程式設計工具] 頁面 | 設定 |
|---|---|
| 建立管理代理程式 | 1. 管理代理程式: FIM 服務管理代理程式 2. 命名 Fabrikam FIMMA |
| 連線到資料庫 | 套用下列設定: · 伺服器: localhost · 資料庫: FIMService · FIM 服務基位址:http://localhost:5725 提供您為此管理代理程式所建立帳戶的相關資訊 |
| 選取物件類型 | 除了已選取的物件類型之外,另選取 [人員]。 |
| 設定物件類型對應 | 除了現有的物件類型對應,另新增資料來源物件類型人員與Metaverse 物件類型人員的對應。 |
| 設定屬性流程 | 除了現有的屬性流程對應,另新增下列屬性流程對應: |
如需詳細資訊,請參閱說明中的下列主題:
建立管理代理程式
連接到 Active Directory 資料庫
使用 Active Directory 的管理代理程式
設定目錄分割
注意
請確定您具有為 ExpectedRulesList 屬性設定的匯入屬性流程規則。
步驟 5:建立執行設定檔
下表列出您需要為本指南中的案例建立的執行設定檔。
| 管理代理程式 | 執行設定檔 |
|---|---|
| Fabrikam ADMA | 1.完整匯入 2.完整同步處理 3.差異匯入 4. 差異同步處理 5. 匯出 |
| Fabrikam FIMMA | 1.完整匯入 2.完整同步處理 3.差異匯入 4. 差異同步處理 5. 匯出 |
根據上表建立每個管理代理程式的執行設定檔。
注意
如需詳細資訊,請參閱 MIM 說明中的<建立管理代理程式執行設定檔>。
重要
請驗證您的環境中已啟用佈建。 您可以執行腳本,方法是使用 Windows PowerShell 啟用布建 (https://go.microsoft.com/FWLink/p/?LinkId=189660) 。
設定 FIM 服務
對於本指南的案例中,您需要設定佈建原則,如下圖所示。
此佈建原則的目標是將群組引入 AD 使用者輸出同步處理規則的範圍。 透過將資源引入同步處理規則的範圍,可讓同步處理引擎根據您設定,將您的資源佈建至 AD DS。
若要設定 FIM 服務,請在 Windows Internet Explorer® 中巡覽至 http://localhost/identitymanagement. 在 MIM 入口網站頁面上,若要建立佈建原則,請從 [管理] 區段移至相關的頁面。 若要驗證您的設定,您應該執行 Using Windows PowerShell to document your provisioning policy configuration (使用 Windows PowerShell 來記載佈建原則設定) 中的指令碼。
步驟 6:建立同步處理規則
下表顯示必要的 Fabrikam 佈建同步處理規則的設定。 根據下表中的資料,建立同步處理規則。
| 同步處理規則設定 | 設定 |
|---|---|
| 名稱 | Active Directory 使用者輸出同步處理規則 |
| Description | |
| 優先順序 | 2 |
| 資料流程方向 | 傳出 |
| 相依性 |
| 範圍 | 設定 |
|---|---|
| Metaverse 資源類型 | 人員 |
| 外部系統 | Fabrikam ADMA |
| 外部系統資源類型 | user |
| 關聯性 | 設定 |
|---|---|
| 在外部系統中建立資源 | 對 |
| 啟用取消佈建 | False |
| 關係準則 | 設定 |
|---|---|
| ILM 屬性 | 資料來源屬性 |
| 資料來源屬性 | sAMAccountName |
| 初始的外寄屬性流程 | 設定 1 | 設定 2 |
|---|---|---|
| 允許 Null | 目的地 | Source |
| false | dn | + (“CN=”,displayName,“,OU=MIMObjects,DC=fabrikam,DC=com”) |
| false | userAccountControl | 常數:512 |
| false | unicodePwd | 常數:P@$$W 0rd |
| 持續性外寄屬性流程 | 設定 1 | 設定 2 |
|---|---|---|
| 允許 Null | 目的地 | Source |
| false | sAMAccountName | accountName |
| false | displayName | displayName |
| false | givenName | firstName |
| false | sn | lastName |
注意
重要事項:請確認已針對具有 DN 作為目的地的屬性流程選取了 [僅限於初始流程]。
步驟 7:建立工作流程
AD 佈建工作流程的目標是將 Fabrikam 佈建同步處理規則新增至資源。 下表顯示設定。 根據下表中的資料建立工作流程。
| 工作流程設定 | 設定 |
|---|---|
| 名稱 | Active Directory 使用者佈建工作流程 |
| Description | |
| 工作流程類型 | 動作 |
| 於原則更新時執行 | False |
| 同步處理規則 | 設定 |
|---|---|
| 名稱 | Active Directory 使用者輸出同步處理規則 |
| 動作 | 加 |
步驟 8:建立 MPR
必要的 MPR 屬於集合轉換類型,而且會在資源成為所有約聘員工集合的成員時觸發。 下表顯示設定。 根據下表中的資料建立 MPR。
| MPR 設定 | 設定 |
|---|---|
| 名稱 | AD 使用者佈建管理原則規則 |
| 描述 | |
| 類型 | 集合轉換 |
| 授予權限 | False |
| 已停用 | False |
| 轉換定義 | 設定 |
|---|---|
| 轉換類型 | 轉換輸入 |
| 轉換集合 | 所有約聘員工 |
| 原則工作流程 | 設定 |
|---|---|
| 類型 | 動作 |
| 顯示名稱 | Active Directory 使用者佈建工作流程 |
初始化您的環境
初始化階段的目標如下:
將同步處理規則引入 Metaverse 中。
將 Active Directory 結構引入 Active Directory 連接器空間中。
步驟 9:執行一些執行設定檔
下表列出屬於初始化階段的執行設定檔。 根據下表執行這些執行設定檔。
| 執行 | 管理代理程式 | 執行設定檔 |
|---|---|---|
| 1 | Fabrikam FIMMA | 完整匯入 |
| 2 | 完整同步處理 | |
| 3 | 匯出 | |
| 4 | 差異匯入 | |
| 5 | Fabrikam ADMA | 完整匯入 |
| 6 | 完整同步處理 |
注意
您應該確認您的輸出同步處理規則已順利投射至 Metaverse。
測試設定
本節的目標是要測試您的實際設定。 若要測試設定,您必須:
在 FIM 入口網站中建立範例使用者。
驗證範例使用者的佈建先決條件。
將範例使用者佈建至 AD DS。
確認使用者存在於 AD DS 中。
步驟 10:在 MIM 中建立範例使用者
下表列出範例使用者的屬性。 根據下表中的資料建立範例使用者。
| 屬性 | 值 |
|---|---|
| 名字 | Britta |
| 姓氏 | Simon |
| 顯示名稱 | Britta Simon |
| 帳戶名稱 | BSimon |
| 網域 | Fabrikam |
| 員工類型 | 約聘人員 |
驗證範例使用者的佈建先決條件
若要將範例使用者佈建至 AD DS,必須滿足兩個先決條件:
使用者必須是 [所有約聘員工] 集合的成員。
集合使用者必須在輸出同步處理規則的範圍內。
步驟 11:驗證使用者是 [所有約聘員工] 的成員
若要確認使用者是否為 [所有約聘員工] 集合的成員,您可以開啟該集合,然後按一下 [檢視成員]。
步驟 12:驗證使用者是在輸出同步處理規則的範圍內
若要確認使用者是否在同步處理規則的範圍內,請開啟使用者的 屬性頁,然後檢閱 [布建] 索引標籤中的 [預期規則清單] 屬性。預期的規則清單屬性應該列出 AD 使用者
輸出同步處理規則。 下列螢幕擷取畫面顯示預期規則清單屬性的範例。
此時在過程中,同步處理規則狀態為擱置。 這表示,同步處理規則尚未套用到使用者。
步驟 13:同步處理範例群組
在開始測試物件的第一個同步處理週期之前,您應該在測試計劃中所執行的每個執行設定檔之後,追蹤物件的預期狀態。 測試計劃應該包含物件的一般狀態 (已建立、已更新或已刪除) ,以及您預期的屬性值。 請使用測試計劃來驗證測試計劃預期結果。 如果步驟未傳回預期的結果,則在您解決預期結果與實際結果之間存在不一致的狀況之前,請勿進行下一個步驟。
若要驗證您的預期結果,可以使用同步處理統計資料作為第一個指標。 例如,若您預期新物件暫存在連接器空間中,但匯入統計資料傳回沒有 「新增」,顯然是環境中有某些項目無法正常運作。
雖然同步處理統計資料可作為第一個指標來確認您的案例是否如預期般運作,但您應該使用同步處理服務管理員的搜尋連接器空間和 Metaverse 搜尋功能來驗證預期的屬性值。
將使用者同步處理到 AD DS:
將使用者匯入 FIM MA 連接器空間。
將使用者投射到 Metaverse。
將使用者佈建至 Active Directory 連接器空間。
將狀態資訊匯出至 FIM。
將使用者匯出至 AD DS。
確認建立使用者。
若要完成這些工作,請執行下列執行設定檔。
| 管理代理程式 | 執行設定檔 |
|---|---|
| Fabrikam FIMMA | 1.差異匯入 2. 差異同步處理 3. 匯出 4.差異匯入 |
| Fabrikam FIMMA | 1. 匯出 2.差異匯入 |
從 FIM 服務資料庫匯入之後,Britta Simon 和將 Britta 連結至 AD 使用者輸出同步處理規則的 ExpectedRuleEntry 物件會暫存在 Fabrikam FIMMA 連接器空間中。 當您檢閱連接器空間中 Britta 的屬性時,在您已於 FIM 入口網站中設定的屬性值旁,還會看到預期規則項目物件的有效參考。 以下螢幕擷取畫面顯示上述的範例。
在 Fabrikam FIMMA 上執行差異同步處理的目標是要執行數項作業:
投射 – 新的使用者物件和相關的預期規則項目物件會投射至 Metaverse。
佈建 – 新投射的 Britta Simon 物件會佈建至 Fabrikam ADMA 連接器空間。
匯出屬性流程 – 匯出屬性流程會在這兩種管理代理程式上發生。 在 Fabrikam ADMA 上,新佈建的 Britta Simon 物件會填入新的屬性值。 在 Fabrikam FIMMA 上,現有的 Britta Simon 物件和相關的 ExpectedRuleEntry 物件會使用投射結果的屬性值進行更新。
如同步處理統計資料所指出,Fabrikam ADMA 連接器空間中發生了佈建活動。 當您檢閱 Britta Simon 的 metaverse 物件屬性時,您會發現這個活動是已填入有效參考之 ExpectedRulesList 屬性的結果。
在 Fabrikam FIMMA 上的下列匯出期間,Britta Simon 的同步處理規則狀態會從擱置更新為已套用,這表示輸出同步處理規則目前在 Metaverse 的物件上作用中。
因為新的物件已佈建至 ADMA 連接器空間,您在這個管理代理程式上應該有一個新增的擱置匯出。
在 FIM 中,每次匯出執行都需要執行下列差異匯入,才能完成匯出作業。 在先前匯出執行之後執行的差異匯入稱為確認匯入。 需要進行確認匯入,才能啟用 FIM 同步處理服務,以在後續的同步處理執行期間執行適當的更新需求。
根據本節中的指示,執行這些執行設定檔。
重要
每個執行設定檔的執行都必須成功,而且不會產生錯誤。
步驟 14:驗證 AD DS 中佈建的使用者
若要驗證您的範例使用者已佈建至 AD DS,請開啟 FIMObjects OU。 Britta Simon 應該位於 FIMObjects OU 中。
摘要
本文件的目標是向您介紹與 AD DS 同步處理 MIM 中使用者的主要建置組塊。 在初始測試中,您應該先從完成工作所需的最少屬性開始,並在一般步驟如預期般運作時,於您的案例中新增更多的屬性。 保持最低層級的複雜性可簡化疑難排解程序。
當您測試您的設定時,很可能是您刪除並重新建立了新的測試物件。 如果物件具有
填入的 ExpectedRulesList 屬性,這可能會導致孤立的 ERE 物件。
在包含 AD DS 作為同步處理目標的典型同步處理案例中,MIM 不適用於物件的所有屬性。 例如,當您使用 FIM 來管理 AD DS 中的使用者物件時,至少網域和 objectSID 屬性需要由 AD DS 管理代理程式提供。 如果您想要讓使用者登入 FIM 入口網站,則需要帳戶名稱、網域及 objectSID 屬性。 若要從 AD DS 填入這些屬性,您的 AD DS 連接器空間需要其他的輸入同步處理規則。 當您管理具有多個屬性值來源的物件時,必須確保已正確設定您的屬性流程優先順序。 如果未正確設定屬性流程優先順序,同步處理引擎就會封鎖屬性值,使其無法填入。 您可以在 About Attribute Flow Precedence (關於屬性流程優先順序) 一文中找到屬性流程優先順序的詳細資訊。
後續步驟
About Attribute Flow Precedence (關於屬性流程優先順序)
了解匯出 \(英文\)