規劃 SharePoint Server 2013 的設定檔同步處理
適用於:
Subscription Edition SharePoint in Microsoft 365
設定檔同步處理 (也稱為「設定檔同步」) 可以讓您從組織內部使用的其他系統匯入資訊,以建立使用者設定檔。 閱讀本文之前,您應該先瞭解 SharePoint Server 2013 中配置檔同步處理概觀一文中所介紹的概念。 配置檔同步處理也用於伺服器對伺服器驗證,可讓伺服器代表使用者存取和要求另一部伺服器的資源。 如需詳細資訊,請參閱 SharePoint Server 的伺服器對伺服器驗證及使用者設定檔。
本文說明:
如何取得設定設定檔同步處理必須具備的資訊。
您需要與誰合作以取得必要資訊。
必須建立的外部內容類型,如果有的話。
本文不會說明如何實作您的計劃。 資訊涵蓋在同步處理 SharePoint Server 2013 中的使用者與群組設定檔一文。
開始之前
在您執行本文所述的規劃工作之前,您應該已經:
了解您想要在 SharePoint Server 2013 中具備哪些使用者的設定檔。
了解使用者設定檔有哪些屬性,並填寫 [使用者設定檔屬性規劃] 工作表,如在 SharePoint Server 中規劃使用者設定檔一文所述。
了解關於目錄服務的一般概念。
關於規劃設定檔同步處理
在規劃配置檔同步處理的第一個步驟中,您將識別同步處理連線,並收集建立連線時所需的資訊。 如果您需要任何外部內容類型,您將記錄這些外部內容類型的需求、提供需求給開發人員,以及接收您將用來指定與商務系統之同步處理連線的詳細數據。
接下來,您要決定如何將使用者設定檔屬性對應至外部系統中的資訊,讓它們可以同步處理。
最後,您要回答更為直接的問題,例如您是否要同步處理群組、您要使用哪個伺服器來執行同步處理服務,以及您同步處理設定檔資訊的頻率。
規劃同步處理連線
使用者設定檔中的每個屬性可以來自外部系統。 外部系統有兩種類型:目錄服務和企業系統。 在本文中,「商務系統」片語是用來表示不是目錄服務的外部系統。 SAP、Siebel、SQL Server 及自訂應用程式都是企業系統的範例。
注意事項
如需支援目錄服務的清單,請參閱設定檔同步處理概觀。
在 SharePoint Server 2013 中,同步處理連線是從外部系統取得使用者設定檔資訊的一種方式。 若要從其中一個支援目錄服務匯入設定檔,您要建立與目錄服務的同步處理連線。 若要從企業系統匯入其他設定檔屬性,您要建立外部內容類型,以從企業系統將資料帶入 SharePoint Server 2013,然後建立與外部內容類型的同步處理連線。 下列各節說明如何收集每個同步處理連線所需的資訊。
與目錄服務的連線
您想要在 SharePoint Server 2013 中具備其設定檔的每個使用者,必須在目錄服務中具有身分識別。 (如果未在目錄服務中代表使用者,您就無法同步處理使用者配置檔。) 識別哪些目錄服務包含這些使用者的相關信息。 除非您可以自行存取目錄服務,否則也應該識別目錄服務的系統管理員。 您將需要此人員的協助,以收集建立同步處理連線所需的一些資訊。
連線規劃工作表包含您需要針對每種類型連線收集的資訊範本。 個別索引標籤中的每個範本,會以它所套用的目錄服務提供者名稱標示。 為您識別的每個目錄服務建立索引標籤。 將目錄服務類型的範本複製到新的索引標籤,然後根據下表完成每個新索引標籤上的資訊。
| 工作表中的資料列名稱 | 適用於連線類型 | 指示 |
|---|---|---|
| 同步處理連線名稱 |
全部 |
選擇可協助您記住這是要連線到哪個目錄服務的名稱。 |
| 連線類型 |
全部 |
連線的目錄服務類型。 此資訊已填入到每個索引標籤上。 |
| 樹系 |
AD DS |
目錄服務樹系的名稱。 |
| 網域控制站 |
AD DS |
慣用網域控制站的名稱。 只有在樹系中有多個網域控制站,而您想要與特定網域控制站同步處理時,才需要識別網域控制站。 |
| 驗證提供者類型 |
全部 |
SharePoint Server 2013 應該使用,以便與目錄服務連線的驗證類型。 是下列其中之一: Windows 驗證 表單型驗證 宣告型驗證 系統架構設計師應該能夠提供這項資訊。 |
| 驗證提供者 |
全部 |
如果要使用表單型驗證或宣告型驗證,請填入受信任提供者的名稱。 系統架構設計師應該能夠提供這項資訊。 Windows 驗證不需要驗證提供者。 |
| 同步處理帳戶 |
全部 |
將會用來與目錄服務連線的帳戶 (包含網域)。 目錄服務系統管理員可能會建立用於同步處理的帳戶。 附註:同步處理帳戶必須具備的權限如本主題的規劃帳戶權限一節中所述。 |
| 同步處理帳戶密碼 |
全部 |
同步處理帳戶的密碼。 附註:您必須知道同步處理帳戶的密碼。 我們建議您不要在工作表中記錄密碼。 |
| 連線連接埠 |
全部 |
將會用來與目錄服務連線的連接埠。 |
| 使用 SSL? |
AD DS |
是否要使用 SSL 安全連線來連線到目錄服務。 SSL 僅支援與 AD DS 的連線。 |
| 目錄服務伺服器 |
Tivoli、Sun、eDirectory |
目錄服務伺服器的名稱。 |
| 使用者名稱屬性 |
Tivoli、Sun、eDirectory |
目錄服務中作為每個設定檔唯一識別碼的屬性名稱。 在大多數情況下,預設使用者名稱屬性 "uid" 是正確的。 |
| 容器 |
全部 |
目錄服務容器 (也稱為組織單位 (OU)) 的名稱,容器中包含要同步處理的設定檔。 |
| 篩選使用者 |
全部 |
請參閱關於排除篩選一節中的詳細指示。 |
| 篩選群組 |
全部 |
請參閱同步處理群組一節。 |
關於排除篩選
SharePoint Server 2013 會對您識別的容器,同步處理其中的所有設定檔,除非您選擇使用篩選來排除設定檔。 例如,您可能會建立篩選來排除其帳戶已停用的使用者。
篩選包含一組子句和連接器,用來聯結子句。 每個子句包含三個部分:
屬性:要比較的目錄服務屬性。
值:要與屬性進行比較的值。
運算子:比較的類型。
有兩種方法可以聯結排除篩選的子句:
全部套用 (AND):如果所有子句都套用而帳戶符合篩選。
任何套用 (OR):如果套用任何子句而帳戶符合篩選。
您無法在篩選中混合 AND 和 OR。
例如,假設貴組織中臨時員工獲指定 "T-" 開頭的 Active Directory 帳戶。 您想要同步處理帳戶未停用之所有永久 (非暫存) 使用者的設定檔。 您建立篩選,使用下表中的子句。
注意事項
對篩選進行任何變更之後,需要完整同步處理。
| 屬性 | 運算子 | 值 |
|---|---|---|
| sAMAccountName |
starts with |
T- |
| userAccountControl |
bit on equals |
2 |
篩選會使用「任何套用 (OR)」聯結子句。
注意事項
在 AD DS 中,userAccountControl 是位元遮罩,表示使用者帳戶狀態的數個有用層面。 如需您可以藉由使用 userAccountControl 屬性加以建立的一些常用篩選清單,請參閱如何使用 UserAccountControl 旗標來操縱使用者帳戶屬性。
您無法建立根據目錄服務群組 (例如通訊群組清單) 中成員資格的篩選。 如需根據群組成員資格匯入使用者的替代方案,請參閱無法根據群組成員資格匯入使用者。
與企業系統的連線
若要從商務系統匯入屬性,您需要將外部系統屬性值帶入 SharePoint Server 2013 的外部內容類型。 本文並未說明如何建立外部內容類型。 該工作通常是由開發人員完成。 本文說明您必須收集並提供給開發人員的資料,並告訴您如何處理您所收到的資訊。 如需開發人員資訊,請參閱 SharePoint 2013 中的外部內容類型。
您可以使用外部內容類型規劃工作表來指定要建立的外部內容類型。 當您閱讀在 SharePoint Server 中規劃使用者設定檔一文時,瀏覽您完成的「使用者設定檔屬性規劃」工作表。 在「外部內容類型規劃」工作表中,為來自企業系統的每個使用者設定檔屬性建立一個資料列。 根據下表中的指示,填入每個資料列的前三個資料行。
| 工作表中的資料行 | 指示 |
|---|---|
| 企業系統 |
您選擇用來識別企業系統 (其中包含屬性) 的名稱。 |
| 項目 |
企業系統中對應至屬性的資料。 請盡可能具體說明。 例如,如果企業系統是資料庫,請提供資料表和資料行的名稱 (如果已知)。 |
| 可能識別碼 |
無法唯一識別使用者的使用者設定檔屬性清單。 |
填入每個資料列的前三個資料行之後,將工作表提供給外部內容類型開發人員。 開發人員應該遵循下列步驟,然後傳回工作表:
建立外部內容類型以提供工作表中所述的外部系統資料。
為每個外部內容類型選擇適當的識別碼。
如果使用者設定檔與外部內容類型的項目具有一對一關聯,請建立特定尋找工具方法。 包含使用者生日的外部內容類型是一對一關聯的範例。 每個使用者設定檔會符合外部內容類型的一個項目。
如果使用者設定檔與外部內容類型的項目具有一對多關聯,請建立尋找工具方法和比較篩選。 包含使用者擁有車輛車牌的外部內容類型,是一對多關聯的範例。 使用者可能有多部車輛。 因此,每個使用者設定檔可能會符合外部內容類型的多個項目。
更新工作表以說明所建立的外部內容類型。
「連線規劃」工作表 (使用者設定檔屬性和設定檔同步處理規劃工作表) 包含與企業系統連線的索引標籤。 當您收到從外部內容類型開發人員傳回的資訊時,將共用相同外部內容類型的所有使用者設定檔屬性群組在一起。 在「連線規劃」工作表中為每個外部內容類型建立索引標籤,然後將 [企業系統] 中的資訊複製到每個新索引標籤。在您建立的每個索引標籤上,根據下表中的指示完成資訊。
| 工作表中的資料列 | 指示 |
|---|---|
| 同步處理連線名稱 |
選擇可協助您記住這是要連線到哪個企業系統的名稱。 |
| 連線類型 |
"Business data connectivity" 此資訊已填入。 |
| Business data connectivity entity |
外部內容類型的名稱。 |
| 一對一或一對多對應 |
可能符合指定使用者設定檔的外部內容類型項目數目。 適當輸入「一對一」或「一對多」。 |
| 要符合的設定檔屬性 |
與外部內容類型識別碼對應的使用者設定檔屬性名稱。 |
| 比較篩選 |
比較篩選的名稱。 只有一對多對應才需要篩選。 |
識別屬性對應
若要指出使用者設定檔屬性 (Property) 是來自外部系統,您要將屬性對應至外部系統的特定屬性 (Attribute)。 根據預設,會對應特定使用者設定檔屬性。 您只能將設定檔屬性 (Property) 對應至其資料類型與屬性資料類型相容的屬性 (Attribute)。 例如,您無法將 SPS-HireDate 使用者設定檔屬性 (Property) 對應至 homePhone Active Directory 屬性 (Attribute),因為 SPS-HireDate 是日期,而 homePhone 是 Unicode 字串。 如需哪些使用者設定檔屬性資料類型與哪些 AD DS 資料類型相容的清單,請參閱 SharePoint Server 2013 中的使用者設定檔屬性資料類型。
當您同步處理設定檔資訊時,除了從外部系統匯入設定檔屬性以外,您也可以將資料寫回目錄服務。 您無法將資料寫回企業系統。 若要指出 SharePoint Server 2013 應該匯出使用者設定檔屬性,您要對應屬性,並且設定與匯出對應的方向。 每個屬性只能在一個方向對應。 您無法同時匯入及匯出相同的使用者設定檔屬性。 匯出的資料會覆寫可能已經存在於目錄服務中的任何值。 對於多重值屬性也是如此—導出的值不會附加至現有的值,它會覆寫這些值。
當您閱讀在 SharePoint Server 中規劃使用者設定檔時,檢查您完成的「使用者設定檔屬性規劃」工作表。 針對其值是從外部系統匯入的每個資料列 (屬性),根據下表中的指示填入最後三個資料行。
| 工作表中的資料列 | 指示 |
|---|---|
| 方向 |
「匯入」,表示屬性會匯入到 SharePoint Server 2013。 |
| 同步處理連線 |
同步處理連線的名稱,透過該連線提供此屬性。 |
| 屬性 |
外部系統元素的名稱,該元素會提供使用者設定檔屬性的值。 如果同步處理連線是連線到目錄服務,則這是目錄服務屬性的名稱。 如果同步處理連線是連線到企業系統,則這是外部內容類型中資料行的名稱。 |
注意事項
您無法使用與企業系統的連線,將二進位屬性對應至會實作串流存取子方法的屬性。
針對其值將匯出至目錄服務的每個資料列 (屬性),根據下表中的指示填入最後三個資料行。
| 工作表中的資料列 | 指示 |
|---|---|
| 方向 |
「匯出」,表示屬性會從 SharePoint Server 2013 匯出至目錄服務。 |
| 同步處理連線 |
同步處理連線的名稱,透過該連線匯出此屬性。 這只能是與目錄服務的連線。 |
| 屬性 |
目錄服務屬性 (Attribute) 的名稱,該屬性的值應該以使用者設定檔屬性 (Property) 的值更新。 |
同步處理群組
根據預設,SharePoint Server 2013 會在同步處理使用者設定檔時,同步處理群組 (例如通訊群組清單)。 您可以從管理中心的 [設定同步處理設定] 頁面關閉此功能。 僅針對 AD DS 支援同步處理群組。
如果您除了使用者以外也同步處理群組,SharePoint Server 2013 會匯入群組相關資訊,以及哪些使用者是群組成員的相關資訊。 同步處理群組並不會建立群組的配置檔,而且不會建立其他使用者配置檔。 在 SharePoint Server 2013 中,群組僅用來建立對象,以及顯示訪客與造訪「我的網站」的人員有哪些共同的成員資格。
如果您決定同步處理群組,SharePoint Server 2013 會匯入存在於目錄服務容器中且您正在同步處理的所有群組相關資訊,除非您選擇使用篩選排除群組。 用於排除群組的篩選與用於排除使用者的篩選不同,雖然兩者都遵循相同格式。
返回「連線規劃」工作表,並且填入群組儲存格的篩選。
規劃同步處理伺服器
除了決定同步處理連線和識別屬性對應以外,您也必須規劃同步處理設定檔的更直接層面。 第一個層面是識別同步處理伺服器。
您只能在伺服器陣列上執行一個 User Profile Synchronization Service 的執行個體。 在上面執行 User Profile Synchronization Service 的電腦,稱為同步處理伺服器。 當您建立 User Profile Service 應用程式時,您指定同步處理伺服器。 SharePoint Server 2013 會在此電腦上佈建一個版本的 Microsoft Forefront Identity Manager (FIM),以參與同步處理。
當 SharePoint Server 2013 同步處理設定檔時,它會大量使用網路,以便在同步處理伺服器與網域控制站之間進行通訊。 選擇實際上與網域控制站接近的同步處理伺服器,可以減少同步處理所需的時間。
規劃同步處理排程
您第一次同步處理 SharePoint Server 2013 與外部系統之間的設定檔資訊時,必須執行完整同步處理。 之後,您應該設定「使用者設定檔增量同步處理」計時器作業,以定期排程執行增量同步處理。 您可以設定計時器作業每幾分鐘、每小時、每日、每週或每月執行。 藉由使用每小時、每日、每週和每月選項,您可以指定想要計時器作業開始的時間。
同步處理計時器作業執行得越頻繁,需要同步處理的變更越少,作業完成的時間就越快。 預設頻率是每日。 我們建議您排程同步處理在網路使用量不大的時間開始。
如需如何設定「使用者設定檔增量同步處理」計時器作業的指示,請參閱在 SharePoint Server 中排程設定檔同步處理。
規劃帳戶權限
在「連線規劃」工作表中,您針對每個目錄服務提供同步處理帳戶的名稱。 這些同步處理帳戶必須獲得授與特定權限,讓同步處理服務可以從目錄服務取得所需的資訊。 下列各節會識別各個類型的目錄服務需要哪些權限。 與目錄服務的系統管理員合作,將適當權限授與帳戶。
Active Directory Domain Services (AD DS)
連線至 Active Directory Domain Services (AD DS) 的同步處理帳戶必須有下列權限:
它必須在您要與其同步處理的網域上,有「複寫目錄變更」權限。
「複寫目錄變更」權限可讓帳戶查詢目錄中的變更。 此許可權不允許帳戶在目錄中進行任何變更。
如果網域控制站執行 Windows Server 2003,則同步處理帳戶必須是 Pre-Windows 2000 Compatible Access 內建群組的成員。
如果網域的 NetBIOS 名稱與完整網域名稱不同,則同步處理帳戶必須有 cn=configuration 容器的「複寫目錄變更」權限。 例如,如果 NetBIOS 網域名稱是 contoso,而完整網域名稱是 contoso-corp.com,則您必須授與 cn=configuration 容器的「複寫目錄變更」權限。
如果您從 SharePoint Server 2013 將屬性值匯出至 AD DS,則同步處理帳戶必須在您要與其同步處理的組織單位 (OU) 上,有「建立子物件」(此物件和所有子系) 和「寫入所有屬性」(此物件和所有子系) 權限。
Novell eDirectory 8.7.3 版
連線至 Novell eDirectory 的同步處理帳戶必須有下列權限:
進入權限:指定樹狀目錄的瀏覽權限。
所有屬性權限:指定樹狀目錄的讀取、寫入及比較權限。
Sun Java System Directory Server 5.2 版
連線至 Sun Java System Directory Server 的同步處理帳戶必須有下列權限:
RootDSE 的讀取、寫入、比較及搜尋權限。
若要執行增量同步處理,同步處理帳戶也必須有變更記錄檔 (cn=changelog) 的讀取、比較及搜尋權限。 如果變更記錄不存在,您必須在同步處理之前加以建立。
IBM Tivoli 5.2 版
連線至 IBM Tivoli 的同步處理帳戶必須有下列權限:
- 同步處理帳戶必須是系統管理群組的成員。
伺服器陣列帳戶
在伺服器陣列帳戶下執行的 User Profile Synchronization Service。 伺服器陣列帳戶需要特定權限來設定設定檔同步處理。 在同步處理伺服器上具有系統管理員權限的人員,可以授與這些權限。
帳戶必須是同步處理伺服器上系統管理員群組的成員。 設定 User Profile Synchronization Service 之後,您可以移除此權限。
帳戶必須能夠在本機登入到同步處理伺服器。
注意事項
伺服器陣列帳戶與伺服器陣列系統管理員帳戶不同。 若要決定伺服器陣列帳戶,請從管理中心按一下 [設定服務帳戶],然後按一下 [伺服器陣列帳戶]。
如果您藉由使用外部內容類型來同步處理使用者設定檔與企業系統,則伺服器陣列帳戶也必須有在外部內容類型上執行作業的權限。 伺服器陣列系統管理員可以使用「在外部內容類型上設定權限」程序,將您要與其同步處理的每個外部內容類型「執行」權限,提供給伺服器陣列帳戶。
後續步驟
若要實作您的設定檔同步處理規劃,請遵循在 SharePoint Server 2013 中同步處理使用者和群組設定檔一文中的指示。 在您第一次設定設定檔同步處理和同步處理設定檔資訊之後,藉由遵循在 SharePoint Server 中排程設定檔同步處理一文中所述的程序,實作同步處理排程。
工作表
若要下載連線規劃工作表、外部內容類型規劃工作表及使用者設定檔規劃工作表,請移至 SharePoint Server 2013 的使用者設定檔屬性與設定檔同步處理規劃工作表。
另請參閱
概念
SharePoint Server 2013 中設定檔同步處理的概觀
在 SharePoint Server 2013 中同步處理使用者和群組設定檔