規劃 SharePoint Server 2013 Preview 的設定檔同步處理
**適用版本:**SharePoint Server 2013
**上次修改主題的時間:**2017-08-01
**摘要:**了解如何在SharePoint Server 2013中實作設定檔同步處理。
設定檔同步處理 (profile synchronization,又稱為「profile sync」) 可讓您從組織內部使用的其他系統匯入資訊,以建立使用者設定檔。在您閱讀本文之前,必須先了解 SharePoint Server 2013 的設定檔同步處理概觀 文章中介紹的概念。設定檔同步處理亦可用於伺服器對伺服器驗證,這可讓伺服器代表使用者從另一部伺服器存取及要求資源。如需詳細資訊,請參閱 SharePoint Server 的伺服器對伺服器驗證及使用者設定檔。
本文說明:
如何取得設定設定檔同步處理所需的資訊。
您需要合作以收集必要資訊的人員。
需要建立的外部內容類型 (若有的話)。
當您閱讀本文時,您可以填寫工作表以記錄您的決策。閱讀完本文並完成工作表之後,您將具備使用管理中心設定設定檔同步處理所需的資訊。您可以將完成的工作表提供給設定檔同步處理管理員,也可以自行使用這些工作表進行設定。如果您需要表示外部商務系統資訊的外部內容類型,請指定這些外部內容類型的需求。您可以將規格提供給建立外部內容類型的開發人員。
本文不討論如何實作計畫。<同步處理 SharePoint Server 2013 中的使用者與群組設定檔>一文將涵蓋該資訊。
本文內容:
開始之前
關於規劃設定檔同步處理
規劃同步處理連線
識別屬性對應
同步處理群組
規劃同步處理伺服器
規劃同步處理排程
規劃帳戶權限
後續步驟
工作表
開始之前
完成本文中的規劃工作之前,您必須:
了解您想要在SharePoint Server 2013中具有設定檔的使用者。
了解使用者設定檔包含的屬性,並依照<規劃 SharePoint Server 中的使用者設定檔>一文所述來填寫使用者設定檔屬性規劃工作表。
了解目錄服務的一般概念。
關於規劃設定檔同步處理
規劃設定檔同步處理的第一個步驟是識別同步處理連線,以及收集建立連線所需的資訊。如果您需要任何外部內容類型,請記載這些外部內容類型的需求、將需求提供給開發人員,然後接收用來指定商務系統同步處理連線的詳細資料。
接著,您將決定如何將使用者設定檔屬性對應至外部系統中的資訊,以進行同步處理。
最後,您將回答較直接的問題;例如,您是否要同步處理群組、您要用來執行同步處理服務的伺服器,以及同步處理設定檔資訊的頻率。
規劃同步處理連線
使用者設定檔中的每個屬性皆可來自外部系統。外部系統有兩種類型:目錄服務和商務系統。「商務系統」一詞在本文中可用來表示非目錄服務的外部系統。SAP、Siebel、SQL Server 及自訂應用程式都是商務系統的範例。
注意
如需支援的目錄服務清單,請參閱<設定檔同步處理概觀>一文中的<支援的目錄服務>一節。
在SharePoint Server 2013、同步處理連線是一種方式來取得使用者設定檔資訊從外部系統。若要從其中一個支援的目錄服務匯入設定檔,您建立目錄服務的同步處理連線。若要從商務系統匯額外的設定檔屬性,您可以建立將資料從商務系統移入SharePoint Server 2013、 外部內容類型,然後建立外部內容類型的同步處理連線。下列各節將說明如何收集您將需要每個同步處理連線的相關資訊。
目錄服務的連線
每一個您想要SharePoint Server 2013中有一個設定檔的使用者必須具有 identity 目錄服務中。(如果使用者未顯示在目錄服務中,您無法同步處理使用者設定檔。)識別的目錄服務包含這些使用者的相關資訊。除非您可以自行存取目錄服務,您也應該識別目錄服務的管理員。您將需要此人說明收集部分將會建立同步處理連線所需的資訊。
連線規劃工作表含有您需要收集每一種連線之資訊的範本。每個範本是它所套用的目錄服務提供者的名稱會標示為不同] 索引標籤中。建立您已識別每個目錄服務的索引標籤。將的目錄服務類型的範本複製到新的索引標籤。然後完成下表根據每個新項目] 索引標籤上的資訊。
| 工作表中的列名稱 | 套用至連線類型 | 指示 | ||
|---|---|---|---|---|
同步處理連線名稱 |
全部 |
選擇一個容易記住的目錄服務連線名稱。 |
||
連線類型 |
全部 |
目錄服務的連線類型。 已在每個索引標籤中填入此資訊。 |
||
樹系 |
AD DS |
目錄服務樹系的名稱。 |
||
網域控制站 |
AD DS |
偏好的網域控制站名稱。如果樹系中有多個網域控制站,且您想與特定網域控制站進行同步處理,才需要指出該網域控制站。 |
||
驗證提供者類型 |
全部 |
驗證SharePoint Server 2013類型應用於連線至目錄服務。這是下列其中一項:
系統架構師必須可提供此資訊。 |
||
驗證提供者 |
全部 |
如果使用表單型驗證或宣告式驗證,請填入信任提供者的名稱。系統架構師可提供此資訊。Windows 驗證不需要驗證提供者。 |
||
同步處理帳戶 |
全部 |
用來連線至目錄服務的帳戶,包括網域。目錄服務管理員可能會建立用於同步處理的帳戶。 注意 本主題的<規劃帳戶權限>一節將說明同步處理帳戶必須具有的權限。 |
||
同步處理帳戶密碼 |
全部 |
同步處理帳戶的密碼。
|
||
連線連接埠 |
全部 |
用來連線至目錄服務的連接埠。 |
||
使用 SSL? |
AD DS |
是否使用 SSL 安全連線連線至目錄服務。SSL 僅支援連線至 AD DS。 |
||
目錄服務伺服器 |
Tivoli、Sun、eDirectory |
目錄服務伺服器的名稱。 |
||
使用者名稱屬性 |
Tivoli、Sun、eDirectory |
目錄服務中用作各個設定檔之唯一識別碼的屬性名稱。在大多數情況下,"uid" 的預設使用者名稱屬性正確。 |
||
容器 |
全部 |
目錄服務容器的名稱 (又稱為組織單位 (OU)),包含要同步處理的設定檔。 |
||
使用者的篩選 |
全部 |
請參閱<關於排除篩選>一節中的詳細指示。 |
||
群組的篩選 |
全部 |
請參閱<同步處理群組>一節。 |
.gif "安全性提示")
Security關於排除篩選
SharePoint Server 2013會同步處理所有來自您識別除非您選擇要使用的篩選器中排除設定檔的容器設定檔。例如,您可能會建立篩選器來排除已停用之帳戶的使用者。
篩選包含一組子句,以及聯結子句的連接子。每個子句可分為三部分:
屬性:要比較的目錄服務屬性。
值:比較屬性的值。
運算子:比較的類型。如需每個 Active Directory 網域服務 (AD DS) 資料類型可用之運算子的詳細資訊,請參閱SharePoint Server 2013 的連線篩選資料類型與運算子。
您可以使用兩種方式加入排除篩選的子句:
全部套用 (AND):如果所有子句適用,則帳戶符合篩選。
任何套用 (OR):如果任一子句適用,則帳戶符合篩選。
您無法在篩選內混合 AND 和 OR。
例如,假設將開頭為 "T-" 的 Active Directory 帳戶指定給組織中的臨時員工。您想同步處理未停用帳戶之所有永久 (非臨時) 使用者的設定檔。您可以建立使用下表中之子句的篩選。
注意
篩選會有任何變更之後,完整同步處理,則需要。
| 屬性 | 運算子 | 值 |
|---|---|---|
sAMAccountName |
starts with |
T- |
userAccountControl |
bit on equals |
2 |
篩選會使用任何套用 (OR) 加入子句。
注意
在 AD DS userAccountControl是代表有關狀態的使用者帳戶的實用的數個層面位元遮罩。您可以使用userAccountControl屬性建立更常用於篩選的部分清單,請參閱如何使用 UserAccountControl 標幟來管理使用者帳戶內容。
您無法建立目錄服務群組,例如通訊群組清單成員資格為基礎的篩選。替代方式來匯入根據群組成員資格的使用者,請參閱https://go.microsoft.com/fwlink/p/?LinkId=220892。
商務系統的連線
從商務系統匯入內容,您必須將此屬性值從外部系統整合到SharePoint Server 2013的外部內容類型。本文未涵蓋如何建立外部內容類型。該任務通常由開發人員。本文說明您必須收集並授與開發人員、 資料及將會告訴您如何處理收到的資訊。開發人員資訊,請參閱在 SharePoint 2013 中的外部內容類型。
您可以使用外部內容類型規劃工作表來指定要建立的外部內容類型。移到您完成時請閱讀本文規劃 SharePoint Server 中的使用者設定檔的使用者設定檔屬性規劃工作表。[外部內容類型規劃工作表中建立一個資料列是來自商務系統的每個使用者設定檔屬性。填入根據下表中的指示每一個資料列的前三個欄。
| 工作表中的欄 | 指示 |
|---|---|
商務系統 |
您選擇以識別包含屬性之商務系統的名稱。 |
項目 |
商務系統中對應至屬性的資料。請儘可能明確。例如,如果商務系統是資料庫,請提供已知的表格和欄名稱。 |
可能的識別碼 |
可唯一識別使用者之使用者設定檔屬性的清單。 |
填入每列的前三欄之後,請將工作表提供給外部內容類型開發人員。開發人員應遵循下列步驟,然後傳回工作表:
建立提供工作表所述之外部系統資料的外部內容類型。
選擇適用於每個外部內容類型的識別碼。
如果使用者設定檔與外部內容類型項目具有一對一關係,請建立特定尋找工具方法。包含使用者生日的外部內容類型即為一對一關係範例。每個使用者設定檔會符合其中一個外部內容類型項目。
如果使用者設定檔的外部內容類型項目具有一對多關係,請建立尋找工具方法和比較篩選。包含使用者擁有之車輛牌照的外部內容類型即為一對多關係範例。使用者可以擁有多台車輛,因此每個使用者設定檔可能會符合多個外部內容類型項目。
更新工作表以說明建立的外部內容類型。
連線規劃工作表 (https://go.microsoft.com/fwlink/p/?LinkId=267109) 包含商務系統連線] 索引標籤。當您收到資訊後從外部內容類型開發人員時、 群組共用相同的外部內容類型的所有使用者設定檔屬性。每個外部內容類型、 連線規劃工作表中建立] 索引標籤,並將資訊從商務系統] 索引標籤複製到每個新的索引標籤。您所建立的每個索引標籤上的完整根據下表中的指示資訊。
| 工作表中的列 | 指示 |
|---|---|
同步處理連線名稱 |
選擇一個容易記住的商務系統連線名稱。 |
連線類型 |
"Business Data Connectivity" 已填入此資訊。 |
Business Data Connectivity 實體 |
外部內容類型的名稱。 |
一對一或一對多對應 |
可能符合指定使用者設定檔之外部內容類型的項目數。視需要輸入「一對一」或「一對多」。 |
比對的設定檔屬性 |
對應至外部內容類型識別碼的使用者設定檔屬性名稱。 |
比較篩選 |
比較篩選的名稱。 一對多對應只需要一個篩選。 |
識別屬性對應
若要表示使用者設定檔屬性來自外部系統,您可以將屬性對應至外部系統的特定屬性。預設會對應特定使用者設定檔屬性。如需每種目錄服務類型的預設對應清單,請參閱 SharePoint Server 2013 的預設使用者設定檔屬性對應。您僅可將設定檔屬性 (Property) 對應至其資料類型與該屬性的資料類型相容的屬性 (Attribute)。例如,您無法將 SPS-HireDate 使用者設定檔屬性 (Property) 對應至 homePhone Active Directory 屬性 (Attribute),因為 SPS-HireDate 是日期,而 homePhone 是 Unicode 字串。如需與 AD DS 資料類型相容之使用者設定檔屬性資料類型的清單,請參閱 SharePoint Server 2013 的使用者設定檔屬性資料類型。
同步處理設定檔資訊,以及從外部系統匯入設定檔屬性時您也可以撰寫資料回至目錄服務。您無法寫入資料回商務系統。若要指出該SharePoint Server 2013應該匯出使用者設定檔屬性,您屬性對應及匯出設定的對應的方向。每個屬性只能在一個方向對應。您不能同時匯入及匯出相同的使用者設定檔屬性。匯出的資料會覆寫任何可能已經存在的目錄服務中的值。這也是多重值屬性,則為 true,則匯出的值未附加至現有的值,它會加以覆寫。
當您閱讀<規劃 SharePoint Server 中的使用者設定檔>主題時,請同時檢閱完成的使用者設定檔屬性規劃工作表。針對包含從外部系統匯入之值的每列 (屬性),根據下表中的指示填入最後三欄。
| 工作表中的列 | 指示 |
|---|---|
方向 |
「 匯入 」,表示屬性將會匯入到SharePoint Server 2013。 |
同步處理連線 |
提供此屬性之同步處理連線的名稱。 |
屬性 |
提供使用者設定檔屬性值之外部系統元素的名稱。 如果同步處理連線至目錄服務,這會是目錄服務屬性的名稱。 如果同步處理連線至商務系統,這會是外部內容類型的欄名稱。 |
注意
您不能使用商務系統連線將二進位屬性對應到實作 Stream 存取子方法的屬性。
針對包含匯出至目錄服務之值的每列 (屬性),根據下表中的指示填入最後三欄。
| 工作表中的列 | 指示 |
|---|---|
方向 |
「 匯出 」,表示屬性將會匯出SharePoint Server 2013從目錄服務。 |
同步處理連線 |
匯出此屬性之同步處理連線的名稱。僅可為目錄服務的連線。 |
屬性 |
目錄服務屬性的名稱,其值應以使用者設定檔屬性值更新。 |
同步處理群組
根據預設, SharePoint Server 2013將它進行同步處理使用者設定檔時同步處理群組,例如通訊群組清單。您可以關閉此功能從管理中心中的 [設定同步處理設定] 頁面。AD DS 僅支援同步處理群組。
如果您的使用者除了群組進行同步處理、 SharePoint Server 2013匯入群組以及相關的使用者群組的成員的相關資訊。同步處理群組不會建立群組的設定檔,並會造成要建立的任何其他的使用者設定檔。群組中SharePoint Server 2013,只能用來建立對象及顯示訪客和人員非常人員其我的網站相同的部分有哪些成員資格。
如果您決定要同步處理群組、 SharePoint Server 2013會匯入的所有群組存在於除非您選擇要使用的篩選器中排除群組同步處理目錄服務容器中的資訊。雖然兩者遵循相同格式從排除的使用者的篩選器不同排除群組的篩選。
返回連線規劃工作表並填入 [群組的篩選] 儲存格。
規劃同步處理伺服器
除了決定同步處理連線及識別屬性對應之外,您還必須規劃同步處理設定檔更直接的觀點。第一點是識別同步處理伺服器。
您只可以在伺服器陣列上執行一個使用者設定檔同步處理服務的執行個體。使用者設定檔同步處理服務執行所在的電腦會呼叫同步處理伺服器。當您建立 User Profile service 應用程式時指定同步處理伺服器。SharePoint Server 2013佈建參與同步處理此電腦上的版本的 Microsoft Forefront Identity Manager (FIM)。
SharePoint Server 2013進行同步處理設定檔、 時它會大量使用通訊之間的同步處理伺服器和網域控制站的網路。選擇符合實體接近網域控制站的同步處理伺服器將會降低同步處理所需的時間。
規劃同步處理排程
第一次同步處理設定檔資訊SharePoint Server 2013與外部系統之間必須執行完整同步處理。之後,您應設定週期性排程執行累加同步處理使用者設定檔累加同步處理計時器工作。您可以設定計時器工作每小時、 每天、 每週或每月執行每隔幾分鐘。使用每小時、 每天、 每週及每月的選項,您可以指定當您想要啟動的計時器工作。
同步處理計時器工作的執行頻率愈頻繁,所要同步處理的變更便愈少,因此工作愈快完成。預設頻率為 [每天]。建議您排程在網路使用量較低時啟動同步處理。
如需如何設定「使用者設定檔累加同步處理」計時器工作的指示,請參閱在 SharePoint Server 中排程設定檔同步處理。
規劃帳戶權限
在連線規劃工作表中,您為每個目錄服務提供了同步處理帳戶名稱。您必須將特定權限授與這些同步處理帳戶,同步處理服務才可以取得所需的目錄服務資訊。下列各節識別每種目錄服務類型所需的權限。請與目錄服務管理員合作,以授與帳戶適當權限。
Active Directory 網域服務 (AD DS)
連線至 Active Directory 網域服務 (AD DS) 所使用的同步處理帳戶必須具備下列權限:
必須具備同步處理之網域的「複寫目錄變更」權限。如需詳細資訊,請參閱在 SharePoint Server 2013 中授與 Active Directory 網域服務權限,以進行設定檔同步處理 的<授與網域的複寫目錄變更權限>一節。
「複寫目錄變更」權限可讓帳戶查詢目錄中的變更。此權限禁止帳戶在目錄中進行任何變更。
如果網域控制站執行 Windows Server 2003,同步處理帳戶必須是 Pre-Windows 2000 Compatible Access 內建群組的成員。如需詳細資訊,請參閱在 SharePoint Server 2013 中授與 Active Directory 網域服務權限,以進行設定檔同步處理 的<將帳戶新增至 Pre-Windows 2000 Compatible Access 群組>一節。
如果網域的 NetBIOS 名稱與完整網域名稱不同,同步處理帳戶必須具備 cn=configuration 容器的「複寫目錄變更」權限。例如,如果 NetBIOS 網域名稱為 contoso,而完整網域名稱為 contoso-corp.com,您必須授與 cn=configuration 容器的「複寫目錄變更」權限。如需詳細資訊,請參閱 在 SharePoint Server 2013 中授與 Active Directory 網域服務權限,以進行設定檔同步處理 程序參考文章的授與 cn=configuration 容器的複寫目錄變更權限一節。
如果您將屬性值從匯出SharePoint Server 2013至 AD DS、 同步處理帳戶必須具備 (此物件及所有子代) 的建立子物件和寫入所有內容 (此物件及所有子代) 權限的組織單位 (OU) 與以您同步處理。如需詳細資訊,請參閱"授與建立子物件和寫入權限 」 一節在 SharePoint Server 2013 中授與 Active Directory 網域服務權限,以進行設定檔同步處理。
Novell eDirectory 8.7.3 版
連線至 Novell eDirectory 所使用的同步處理帳戶必須具備下列權限:
Entry Rights:指定樹狀目錄的「瀏覽」權限。
All Attributes Rights:指定樹狀目錄的「讀取」、「寫入」及「比較」權限。
Sun Java System Directory Server 5.2 版
連線至 Sun Java System Directory Server 所使用的同步處理帳戶必須具備下列權限:
RootDSE 的「讀取」、「寫入」、「比較」及「搜尋」權限。
若要執行累加同步處理,同步處理帳戶還必須具備變更記錄 (cn=changelog) 的「讀取」、「比較」及「搜尋」權限。如果變更記錄不存在,您必須予以建立再進行同步處理。
IBM Tivoli 5.2 版
連線至 IBM Tivoli 所使用的同步處理帳戶必須具備下列權限:
- 此同步處理帳戶必須是管理群組的成員。
伺服器陣列帳戶
User Profile Synchronization Service 會以伺服器陣列帳戶的身分執行。伺服器陣列帳戶需要特定權限,才可以設定設定檔同步處理。具有同步處理伺服器之管理員權限的人員才可以授與這些權限。
此帳戶必須是同步處理伺服器上的管理員群組成員。您可以在設定 User Profile Synchronization Service 之後移除此權限。
此帳戶必須能夠從本機登入同步處理伺服器。
注意
伺服器陣列帳戶與伺服器陣列系統管理員帳戶不同。若要決定伺服器陣列帳戶,請從管理中心按一下 [設定服務帳戶],然後按一下 [伺服器陣列帳戶]。
如果您使用外部內容類型同步處理使用者設定檔與商務系統,伺服器陣列帳戶也必須具有執行外部內容類型作業的權限。伺服器陣列管理員可以使用設定外部內容類型的權限程序,將您要同步處理的每種外部內容類型的「執行」權限授與伺服器陣列帳戶。
後續步驟
若要實作設定檔同步處理計畫,請遵循<同步處理 SharePoint Server 2013 中的使用者與群組設定檔>一文中的指示。當您設定設定檔同步處理並首次同步處理設定檔資訊之後,即可遵循<在 SharePoint Server 中排程設定檔同步處理>一文所述的程序實作同步處理排程。
工作表
若要下載連線規劃工作表、 外部內容類型規劃工作表及使用者設定檔規劃工作表、 瀏覽使用者設定檔屬性與 SharePoint Server 2010 的設定檔同步處理規劃工作表。
See also
在 SharePoint Server 中規劃我的網站和商務用 OneDrive
SharePoint Server 2013 的設定檔同步處理概觀
規劃 SharePoint Server 中的使用者設定檔
同步處理 SharePoint Server 2013 中的使用者與群組設定檔
管理 User Profile service in SharePoint Server
在 SharePoint Server 中的使用者設定檔服務架構的概觀 (英文)
在 SharePoint Server 2013 中授與 Active Directory 網域服務權限,以進行設定檔同步處理