Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Microsoft Identity Manager 2016 SP1 (MIM)
Eine grundlegende Anforderung für ein Identitätsverwaltungssystem ist die Möglichkeit, Ressourcen für ein externes System bereitzustellen.
Dieses Handbuch führt Sie durch die wichtigsten Bausteine, die am Bereitstellungsprozess von Benutzern von Microsoft® Identity Manager (MIM) 2016 bis Active Directory® Domain Services (AD DS) beteiligt sind, erläutert, wie Sie überprüfen können, ob Ihr Szenario wie erwartet funktioniert, Vorschläge zum Verwalten von Active Directory-Benutzern mithilfe von MIM 2016 bietet und zusätzliche Quellen für Informationen auflistet.
Bevor Sie beginnen
In diesem Abschnitt finden Sie Informationen zum Umfang dieses Dokuments. Im Allgemeinen richtet sich "How Do I"-Leitfäden an Leser, die bereits grundlegende Erfahrungen mit dem Prozess der Synchronisierung von Objekten mit MIM haben, wie in den zugehörigen Anleitungen für erste Schritte behandelt.
Publikum
Dieser Leitfaden richtet sich an It-Experten, die bereits grundlegende Kenntnisse darüber haben, wie der MIM-Synchronisierungsprozess funktioniert und an praktischen Erfahrungen und konzeptionellen Informationen zu bestimmten Szenarien interessiert ist.
Vorausgesetzte Kenntnisse
In diesem Dokument wird davon ausgegangen, dass Sie Zugriff auf eine ausgeführte Instanz von MIM haben und Erfahrung beim Konfigurieren einfacher Synchronisierungsszenarien haben, wie in den folgenden Dokumenten beschrieben:
Der Inhalt dieses Dokuments ist darauf ausgelegt, als Erweiterung zu diesen Einführungsdokumenten zu dienen.
Umfang
Das in diesem Dokument beschriebene Szenario wurde vereinfacht, um die Anforderungen einer grundlegenden Lab-Umgebung zu erfüllen. Der Fokus liegt darin, Ihnen ein Verständnis der diskutierten Konzepte und Technologien zu vermitteln.
Dieses Dokument hilft Ihnen beim Entwickeln einer Lösung, die das Verwalten von Gruppen in AD DS mithilfe von MIM umfasst.
Zeitanforderungen
Die Verfahren in diesem Dokument erfordern 90 bis 120 Minuten.
Diese Zeitschätzungen gehen davon aus, dass die Testumgebung bereits konfiguriert ist und nicht die zum Einrichten der Testumgebung erforderliche Zeit enthält.
Szenariobeschreibung
Fabrikam, ein fiktives Unternehmen, plant, MIM zum Verwalten der Benutzerkonten im AD DS des Unternehmens mithilfe von MIM zu verwenden. Im Rahmen dieses Prozesses muss Fabrikam Benutzern AD DS bereitstellen. Um die ersten Tests zu starten, hat Fabrikam eine einfache Lab-Umgebung installiert, die aus MIM und AD DS besteht. In dieser Laborumgebung testet Fabrikam ein Szenario, das aus einem Benutzer besteht, der manuell im MIM-Portal erstellt wurde. Ziel dieses Szenarios ist die Bereitstellung des Benutzers als aktivierter Benutzer mit einem vordefinierten Kennwort für AD DS.
Szenarioentwurf
Um dieses Handbuch zu verwenden, benötigen Sie drei Architekturkomponenten:
Active Directory-Domänencontroller
Computer mit FIM-Synchronisierungsdienst
Computer mit FIM-Portal
In der folgenden Abbildung wird die erforderliche Umgebung beschrieben.
Sie können alle Komponenten auf einem Computer ausführen.
Hinweis
Weitere Informationen zum Einrichten von MIM finden Sie im FIM-Installationshandbuch.
Szenariokomponentenliste
In der folgenden Tabelle sind die Komponenten aufgeführt, die Teil des Szenarios in dieser Anleitung sind.
| Ikone | Komponente | BESCHREIBUNG |
|---|---|---|
 |
Organisationseinheit | MIM-Objekte – Organisationseinheit (OU), die als Ziel für die bereitgestellten Benutzer verwendet wird. |
 |
Benutzerkonten | · ADMA – Active Directory-Benutzerkonto mit ausreichenden Rechten zum Herstellen einer Verbindung mit AD DS. · FIMMA – Active Directory-Benutzerkonto mit ausreichenden Rechten zum Herstellen einer Verbindung mit MIM. |
 |
Management-Agenten und Ausführungsprofile | · Fabrikam ADMA – Verwaltungsagent, der Daten mit AD DS austauscht. · Fabrikam FIMMA – Verwaltungs-Agent, der Daten mit MIM austauscht. |
 |
Synchronisierungsregeln | Fabrikam Group Outbound Synchronization Rule - Ausgehende Synchronisationsregel, die Benutzer in AD DS bereitstellt. |
 |
Sets | All Contractors - Set mit dynamischer Mitgliedschaft für alle Objekte mit einem EmployeeType-Attributwert von Contractor. |
 |
Arbeitsabläufe | AD-Bereitstellungsworkflow – Ein Workflow, der den MIM-Benutzer in den Geltungsbereich der AD-Ausgehenden Synchronisierungsregel einbezieht. |
 |
Richtlinienregeln für die Verwaltung | AD Provisioning Management Policy Rule - Regel für die Verwaltungsrichtlinie (MPR), die ausgelöst wird, wenn eine Ressource Mitglied des Sets All Contractors wird. |
 |
MIM-Benutzer | Britta Simon - MIM-Benutzer, den Sie für AD DS bereitstellen. |
Szenarioschritte
Das in diesem Handbuch beschriebene Szenario besteht aus den Bausteinen, die in der folgenden Abbildung dargestellt sind.
Konfigurieren der externen Systeme
In diesem Abschnitt finden Sie Anweisungen zu den Ressourcen, die Sie erstellen müssen, die sich außerhalb Ihrer MIM-Umgebung befinden.
Schritt 1: Erstellen der OU
Sie benötigen die OU als Container für den bereitgestellten Benutzer des Beispiels. Weitere Informationen zum Erstellen von OUs finden Sie unter Erstellen einer neuen Organisationseinheit.
Erstellen Sie eine OU namens MIMObjects in Ihrem AD DS.
Schritt 2: Erstellen der Active Directory-Benutzerkonten
Für das Szenario in diesem Handbuch benötigen Sie zwei Active Directory-Benutzerkonten:
ADMA – Wird vom Active Directory-Verwaltungs-Agent verwendet.
FIMMA – Wird vom FIM-Dienstverwaltungs-Agent verwendet.
In beiden Fällen reicht es aus, reguläre Benutzerkonten zu erstellen. Weitere Informationen zu den spezifischen Anforderungen beider Konten finden Sie weiter unten in diesem Dokument. Weitere Informationen zum Erstellen von Benutzern finden Sie unter Erstellen eines neuen Benutzerkontos.
Konfigurieren des FIM-Synchronisierungsdiensts
Für die Konfigurationsschritte in diesem Abschnitt müssen Sie den FIM-Synchronisierungsdienst-Manager starten.
Erstellen der s
Für das Szenario in diesem Leitfaden müssen Sie zwei Verwaltungs-Agents erstellen:
Fabrikam ADMA – Verwaltungsagent für AD DS.
Fabrikam FIMMA - Management-Agent für den FIM Dienst Management Agent.
Schritt 3: Erstellen des Fabrikam ADMA-Verwaltungs-Agents
Wenn Sie einen Verwaltungs-Agent für AD DS konfigurieren, müssen Sie ein Konto angeben, das vom Verwaltungsagenten im Datenaustausch mit AD DS verwendet wird. Sie sollten ein normales Benutzerkonto verwenden. Um Daten aus AD DS zu importieren, muss das Konto jedoch über das Recht verfügen, Änderungen vom DirSync Control abzurufen. Wenn Ihr Verwaltungs-Agent Daten nach AD DS exportieren soll, müssen Sie dem Konto ausreichende Rechte für die Ziel-OUs erteilen. Weitere Informationen zu diesem Thema finden Sie unter Konfigurieren des ADMA-Kontos.
Um einen Benutzer in AD DS zu erstellen, müssen Sie den DN des Objekts ausströmen. Darüber hinaus ist es eine gute Praxis, den Vornamen, den Nachnamen und den Anzeigenamen weiterzugeben, um sicherzustellen, dass Ihre Objekte auffindbar sind.
In AD DS ist es weiterhin üblich, dass Benutzer das sAMAccountName-Attribut verwenden, um sich beim Verzeichnisdienst anzumelden. Wenn Sie keinen Wert für dieses Attribut angeben, generiert der Verzeichnisdienst einen Zufallswert dafür. Diese Zufallswerte sind jedoch nicht benutzerfreundlich, weshalb eine benutzerfreundliche Version dieses Attributs in der Regel Teil eines Exports nach AD DS ist. Damit sich ein Benutzer bei AD DS anmelden kann, müssen Sie auch ein Kennwort einfügen, das mit dem UnicodePwd-Attribut in Ihrer Exportlogik erstellt wurde.
Hinweis
Stellen Sie sicher, dass der als unicodePwd angegebene Wert den Kennwortrichtlinien Ihres Ziel-AD DS entspricht.
Wenn Sie ein Kennwort für AD DS-Konten festlegen, müssen Sie auch ein Konto als aktiviertes Konto erstellen. Dazu legen Sie das UserAccountControl-Attribut fest. Weitere Informationen zum UserAccountControl-Attribut finden Sie unter Verwenden von FIM zum Aktivieren oder Deaktivieren von Konten in Active Directory.
In der folgenden Tabelle sind die wichtigsten szenariospezifischen Einstellungen aufgeführt, die Sie konfigurieren müssen.
| Designer-Seite des Verwaltungsagenten | Konfiguration |
|---|---|
| Erstellen eines Verwaltungs-Agents | 1. Verwaltungsagent für: AD DS 2. Name: Fabrikam ADMA |
| Verbinden mit der Active Directory-Gesamtstruktur | 1. Wählen Sie Verzeichnispartitionen aus: "DC=Fabrikam,DC=com" 2. Klicken Sie auf "Container" , um das Dialogfeld " Container auswählen " zu öffnen, und stellen Sie sicher, dass MIMObjects die einzige ausgewählte OU ist. |
| Objekttypen auswählen | Wählen Sie zusätzlich zu den bereits ausgewählten Objekttypen den Benutzer aus. |
| Attribute auswählen | 1. Klicken Sie auf "Alle anzeigen". 2. Wählen Sie die folgenden Attribute aus: ° displayName ° Vorname ° sn ° SamAccountName ° unicodePwd ° userAccountControl |
Weitere Informationen finden Sie in den folgenden Themen in der Hilfe:
- Erstellen eines Verwaltungs-Agents
- Verbinden mit der Active Directory-Gesamtstruktur
- Verwenden des Verwaltungs-Agents für Active Directory
- Konfigurieren von Verzeichnispartitionen
Hinweis
Stellen Sie sicher, dass für das Attribut "ExpectedRulesList" eine Import-Attributflussregel konfiguriert ist.
Schritt 4: Erstellen des Fabrikam FIMMA-Verwaltungs-Agents
Wenn Sie einen FIM-Dienstverwaltungs-Agent konfigurieren, müssen Sie ein Konto angeben, das vom Verwaltungs-Agent im Datenaustausch mit dem FIM-Dienst verwendet wird.
Sie sollten ein normales Benutzerkonto verwenden. Das Konto muss dasselbe Konto wie das Konto sein, das Sie während der Installation von MIM angegeben haben. Ein Skript, das Sie verwenden können, um den Namen des FIMMA-Kontos zu ermitteln, das Sie während des Setups angegeben haben, und um zu testen, ob dieses Konto noch gültig ist, finden Sie unter Verwenden von Windows PowerShell to Do a FIM MA Account Configuration Quick Test.
In der folgenden Tabelle sind die wichtigsten szenariospezifischen Einstellungen aufgeführt, die Sie konfigurieren müssen. Erstellen Sie den Verwaltungs-Agent basierend auf den Informationen in der folgenden Tabelle.
| Designer-Seite für den Management-Agent | Konfiguration |
|---|---|
| Erstellen eines Verwaltungs-Agents | 1. für: FIM Dienst Management Agent 2. Name Fabrikam FIMMA |
| Verbindung mit der Datenbank herstellen | Verwenden Sie die folgenden Einstellungen: · Server: localhost · Datenbank: FIMService · FIM-Dienstbasisadresse:http://localhost:5725 Geben Sie die Informationen zu dem Konto an, das Sie für diesen Verwaltungs-Agent erstellt haben. |
| Objekttypen auswählen | Wählen Sie zusätzlich zu den bereits ausgewählten Objekttypen "Person" aus. |
| Konfigurieren von Objekttypzuordnungen | Fügen Sie zu den bereits vorhandenen Objekttypzuordnungen eine Zuordnung des Objekttyps Datenquelle: Person zum Objekttyp Metaverse: Person hinzu. |
| Konfigurieren des Attributflusses | Fügen Sie zusätzlich zu den bereits vorhandenen Attributflusszuordnungen die folgenden Attributflusszuordnungen hinzu:  |
Weitere Informationen finden Sie in den folgenden Themen in der Hilfe:
Erstellen eines Verwaltungs-Agents
Herstellen einer Verbindung mit einer Active Directory-Datenbank
Verwenden des Verwaltungs-Agents für Active Directory
Konfigurieren von Verzeichnispartitionen
Hinweis
Stellen Sie sicher, dass für das Attribut "ExpectedRulesList" eine Import-Attributflussregel konfiguriert ist.
Schritt 5: Erstellen der Ausführungsprofile
In der folgenden Tabelle sind die Ausführungsprofile aufgeführt, die Sie für das Szenario in diesem Handbuch erstellen müssen.
| Verwaltungsagent | Ausführungsprofil |
|---|---|
| Fabrikam ADMA | 1. Vollständiger Import 2. Vollständige Synchronisierung 3. Delta-Import 4. Delta-Synchronisierung 5. Exportieren |
| Fabrikam FIMMA | 1. Vollständiger Import 2. Vollständige Synchronisierung 3. Delta-Import 4. Delta-Synchronisierung 5. Exportieren |
Erstellen Sie Ausführungsprofile für jeden Verwaltungs-Agent gemäß der vorherigen Tabelle.
Hinweis
Weitere Informationen finden Sie unter "Erstellen eines -Ausführungsprofils" in der MIM-Hilfe.
Von großer Bedeutung
Stellen Sie sicher, dass die Bereitstellung in Ihrer Umgebung aktiviert ist. Sie können dies tun, indem Sie mithilfe von Windows PowerShell das Skript zum Aktivieren der Bereitstellung (https://go.microsoft.com/FWLink/p/?LinkId=189660) ausführen.
Konfigurieren des FIM-Diensts
Für das Szenario in diesem Leitfaden müssen Sie eine Bereitstellungsrichtlinie konfigurieren, wie in der folgenden Abbildung dargestellt.
Ziel dieser Bereitstellungsrichtlinie ist es, Gruppen in den Anwendungsbereich der AD-Benutzer-Outbound-Synchronisierungsregel einzubeziehen. Indem Sie Ihre Ressource in den Umfang der Synchronisierungsregel integrieren, aktivieren Sie das Synchronisierungsmodul, um Ihre Ressource gemäß Ihrer Konfiguration an AD DS bereitzustellen.
Um den FIM-Dienst zu konfigurieren, navigieren Sie in Windows Internet Explorer® zu http://localhost/identitymanagement. Wechseln Sie auf der SEITE "MIM-Portal" zum Erstellen der Bereitstellungsrichtlinie zu den zugehörigen Seiten aus dem Abschnitt "Verwaltung". Um Ihre Konfiguration zu überprüfen, sollten Sie das Skript unter Verwendung von Windows PowerShell ausführen, um Ihre Bereitstellungsrichtlinienkonfiguration zu dokumentieren.
Schritt 6: Erstellen der Synchronisierungsregel
Die folgenden Tabellen zeigen die Konfiguration der erforderlichen Fabrikam-Bereitstellungssynchronisierungsregel. Erstellen Sie die Synchronisierungsregel gemäß den Daten in den folgenden Tabellen.
| Konfiguration von Synchronisierungsregeln | Konfiguration |
|---|---|
| Name | Active Directory-Regel für ausgehende Benutzersynchronisierung |
| BESCHREIBUNG | |
| Vorrang | 2 |
| Datenflussrichtung | Ausgehend |
| Abhängigkeit |
| Umfang | Konfiguration |
|---|---|
| Metaverse-Ressourcentyp | person |
| Externes System | Fabrikam ADMA |
| Ressourcentyp des externen Systems | Benutzende |
| Beziehung | Konfiguration |
|---|---|
| Ressource im externen System erstellen | Richtig |
| Deprovisionierung aktivieren | Falsch |
| Beziehungskriterien | Konfiguration |
|---|---|
| ILM-Attribut | Datenquellen-Attribut |
| Datenquellen-Attribut | sAMAccountName |
| Anfängliche ausgehende Attributflüsse | Einstellung 1 | Einstellung 2 |
|---|---|---|
| Nullwerte zulassen | Bestimmungsort | Quelle |
| Falsch | dn | +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com") |
| Falsch | userAccountControl | Konstante: 512 |
| Falsch | unicodePwd | Konstante: P$$@W0rd |
| Persistente ausgehende Attributflüsse | Einstellung 1 | Einstellung 2 |
|---|---|---|
| Nullwerte zulassen | Bestimmungsort | Quelle |
| Falsch | sAMAccountName | Kontoname |
| Falsch | Anzeigename | Anzeigename |
| Falsch | givenName | firstName |
| Falsch | sn | lastName |
Hinweis
Wichtig: Stellen Sie sicher, dass Sie nur den ursprünglichen Fluss für den Attributfluss ausgewählt haben, der den DN als Ziel aufweist.
Schritt 7: Erstellen des Workflows
Ziel des AD-Bereitstellungsworkflows ist das Hinzufügen der Fabrikam-Bereitstellungssynchronisierungsregel zu einer Ressource. Die folgenden Tabellen zeigen die Konfiguration. Erstellen Sie einen Workflow gemäß den Daten in den folgenden Tabellen.
| Workflow Konfiguration | Konfiguration |
|---|---|
| Name | Workflow zur Benutzerbereitstellung in Active Directory |
| BESCHREIBUNG | |
| Workflowtyp | Maßnahme |
| Bei Richtlinien-Update ausführen | Falsch |
| Synchronisierungsregel | Konfiguration |
|---|---|
| Name | Regel für die ausgehende Benutzer-Synchronisierung in Active Directory |
| Maßnahme | Hinzufügen |
Schritt 8: Erstellen des MPR
Die erforderliche MPR ist vom Typ Set Transition und wird ausgelöst, wenn eine Ressource Mitglied des Sets All Contractors wird. Die folgenden Tabellen zeigen die Konfiguration. Erstellen Sie eine MPR gemäß den Daten in den folgenden Tabellen.
| MPR-Konfiguration | Konfiguration |
|---|---|
| Name | AD User Provisioning Management Policy Rule |
| BESCHREIBUNG | |
| Typ | Übergang festlegen |
| Erteilt Berechtigungen | Falsch |
| Arbeitsunfähig | Falsch |
| Übergangsdefinition | Konfiguration |
|---|---|
| Übergangstyp | Transition In |
| Transition Set festlegen | Alle Auftragnehmer |
| Richtlinien-Workflows | Konfiguration |
|---|---|
| Typ | Maßnahme |
| Anzeigename | Active Directory-Benutzerprovisionierungsprozess |
Initialisierung der Umgebung
Die Ziele der Initialisierungsphase sind wie folgt:
Bringen Sie die Synchronisierungsregel in das Metaverse.
Bringen Sie Ihre Active Directory-Struktur in den Active Directory-Verbinderbereich.
Schritt 9: Ausführungsprofile
In der folgenden Tabelle sind die Ausführungsprofile aufgeführt, die Teil der Initialisierungsphase sind. Führen Sie die Laufprofile gemäß der folgenden Tabelle aus.
| Laufen | Verwaltungsagent | Ausführungsprofil |
|---|---|---|
| 1 | Fabrikam FIMMA | Vollständiger Import |
| 2 | Vollständige Synchronisierung | |
| 3 | Exportieren | |
| 4 | Deltaimport | |
| 5 | Fabrikam ADMA | Vollständiger Import |
| 6 | Vollständige Synchronisierung |
Hinweis
Vergewissern Sie sich, dass die ausgehende Synchronisierungsregel erfolgreich in das Metaversum projiziert wurde.
Testen der Konfiguration
Ziel dieses Abschnitts ist es, Ihre tatsächliche Konfiguration zu testen. Um die Konfiguration zu testen, führen Sie folgende Schritte aus:
Erstellen Sie einen Beispielbenutzer im FIM-Portal.
Überprüfen Sie die Bereitstellungsvoraussetzungen des Beispielbenutzers.
Stellen Sie den Beispielbenutzer für AD DS bereit.
Stellen Sie sicher, dass der Benutzer in AD DS vorhanden ist.
Schritt 10: Erstellen eines Beispielbenutzers in MIM
In der folgenden Tabelle sind die Eigenschaften des Beispielbenutzers aufgeführt. Erstellen Sie einen Beispielbenutzer gemäß den Daten in der nachstehenden Tabelle.
| Merkmal | Wert |
|---|---|
| Vorname | Britta |
| Nachname | Simon |
| Anzeigename | Britta Simon |
| Kontoname | BSimon |
| Domäne | Fabrikam |
| Mitarbeitertyp | Auftragnehmer |
Überprüfen der Bereitstellungsvoraussetzungen des Beispielbenutzers
Um den Beispielbenutzer für AD DS bereitzustellen, müssen zwei Voraussetzungen erfüllt sein:
Der Benutzer muss Mitglied der Gruppe "Alle Auftragnehmer" sein.
Der festgelegte Benutzer muss sich im Bereich der ausgehenden Synchronisierungsregel befinden.
Schritt 11: Überprüfen, ob der Benutzer Mitglied aller Auftragnehmer ist
Um zu überprüfen, ob der Benutzer Mitglied der Gruppe "Alle Auftragnehmer" ist, öffnen Sie den Satz, und klicken Sie dann auf "Mitglieder anzeigen".
Schritt 12: Überprüfen, ob sich der Benutzer im Bereich der ausgehenden Synchronisierungsregel befindet
Um zu überprüfen, ob sich der Benutzer im Bereich der Synchronisierungsregel befindet, öffnen Sie die Eigenschaftenseite des Benutzers, und überprüfen Sie das Attribut "Liste erwarteter Regeln" auf der Registerkarte "Bereitstellung". Das Attribut "Liste der erwarteten Regeln" sollte den AD-Benutzer auflisten.
Regel für die ausgehende Synchronisierung. Der folgende Screenshot zeigt ein Beispiel für das Attribut "Liste erwarteter Regeln".
An diesem Punkt des Prozesses ist der Status der Synchronisierungsregel „Ausstehend“. Dies bedeutet, dass die Synchronisierungsregel noch nicht auf den Benutzer angewendet wurde.
Schritt 13: Synchronisieren der Beispielgruppe
Bevor Sie den ersten Synchronisierungszyklus für ein Testobjekt starten, sollten Sie den erwarteten Status Ihres Objekts nach jedem Ausführungsprofil nachverfolgen, das Sie in einem Testplan ausführen. Ihr Testplan sollte neben dem allgemeinen Status des Objekts (erstellt, aktualisiert oder gelöscht) auch die erwarteten Attributwerte enthalten. Verwenden Sie Ihren Testplan, um die Erwartungen ihres Testplans zu überprüfen. Wenn ein Schritt die erwarteten Ergebnisse nicht zurückgibt, fahren Sie nicht mit dem nächsten Schritt fort, bis Sie die Diskrepanz zwischen dem erwarteten Ergebnis und dem tatsächlichen Ergebnis gelöst haben.
Um Ihre Erwartungen zu überprüfen, können Sie die Synchronisierungsstatistiken als ersten Indikator verwenden. Wenn Sie beispielsweise erwarten, dass neue Objekte in einem Konnektorbereich bereitgestellt werden, die Importstatistik jedoch keine „Hinzufügungen“ ausweist, gibt es offensichtlich etwas in Ihrer Umgebung, das nicht wie erwartet funktioniert.
Die Synchronisierungsstatistiken können Ihnen zwar einen ersten Hinweis darauf geben, ob Ihr Szenario wie erwartet funktioniert, Sie sollten jedoch den Suchconnectorbereich und die Metaverse-Suchfunktion des Synchronisierungsdienst-Managers verwenden, um die erwarteten Attributwerte zu überprüfen.
So synchronisieren Sie den Benutzer mit AD DS:
Importieren Sie den Benutzer in den FIM MA Konnektorbereich.
Projizieren Sie den Benutzer in die Metaverse.
Stellen Sie den Benutzer für den Active Directory-Verbindungsbereich bereit.
Exportieren sie Statusinformationen in FIM.
Exportieren Sie den Benutzer nach AD DS.
Bestätigen Sie die Erstellung des Benutzers.
Um diese Aufgaben auszuführen, führen Sie die folgenden Ausführungsprofile aus.
| Verwaltungsagent | Ausführungsprofil |
|---|---|
| Fabrikam FIMMA | 1. Delta-Import 2. Delta-Synchronisierung 3. Exportieren 4. Delta-Import |
| Fabrikam FIMMA | 1. Exportieren 2. Delta-Import |
Nach dem Import aus der Datenbank des FIM-Dienstes werden Britta Simon und das ExpectedRuleEntry-Objekt, das Britta mit der Regel für die ausgehende Synchronisierung von AD-Benutzern verknüpft, im Fabrikam FIMMA-Konnektorbereich bereitgestellt. Wenn Sie die Eigenschaften von Britta im Verbinderbereich überprüfen, finden Sie neben den Attributwerten, die Sie im FIM-Portal konfiguriert haben, auch einen gültigen Verweis auf das Objekt "Regeleintrag erwartet". Der folgende Screenshot zeigt ein Beispiel dafür.
Das Ziel der Delta-Synchronisierung, die auf Ihrem Fabrikam FIMMA ausgeführt wird, besteht darin, mehrere Vorgänge auszuführen:
Projektion – Das neue Benutzerobjekt und das zugehörige erwartete Regeleintragsobjekt werden in die Metaverse projiziert.
Bereitstellung - Das neu projizierte Objekt Britta Simon wird im Konnektorbereich von Fabrikam ADMA bereitgestellt.
Export Attribute Flows - Export Attribute Flows finden auf beiden en statt. Auf dem Fabrikam ADMA wird das neu bereitgestellte Britta Simon-Objekt mit neuen Attributwerten aufgefüllt. Im Fabrikam FIMMA werden das vorhandene Britta Simon-Objekt und das zugehörige ExpectedRuleEntry-Objekt mit Attributwerten aktualisiert, die das Ergebnis der Projektion sind.
Wie bereits aus der Synchronisationsstatistik hervorgeht, hat eine Bereitstellung im Konnektorbereich des Fabrikam ADMA stattgefunden. Wenn Sie die Metaverse-Objekteigenschaften von Britta Simon überprüfen, stellen Sie fest, dass diese Aktivität das Ergebnis des ExpectedRulesList-Attributs ist, das mit einem gültigen Verweis aufgefüllt wurde.
Während des folgenden Exports im Fabrikam FIMMA wird der Synchronisierungsregelstatus von Britta Simon von "Ausstehend" auf "Angewendet" aktualisiert, was angibt, dass Ihre ausgehende Synchronisierungsregel jetzt für das Objekt in der Metaverse aktiv ist.
Da ein neues Objekt für den Konnektorbereich des ADMA bereitgestellt wurde, sollten Sie auf diesem en einen ausstehenden Export hinzufügen.
In FIM erfordert jede Exportausführung einen folgenden Delta-Import, um den Exportvorgang abzuschließen. Der Deltaimport, den Sie nach einer vorherigen Exportausführung ausführen, wird als bestätigter Import bezeichnet. Die Bestätigung der Importe ist erforderlich, um den FIM-Synchronisierungsdienst zu aktivieren, um entsprechende Updateanforderungen während der nachfolgenden Synchronisierungsausführung vorzunehmen.
Führen Sie die Ausführungsprofile gemäß den Anweisungen in diesem Abschnitt aus.
Von großer Bedeutung
Jedes Ausführungsprofil muss ohne Fehler ausgeführt werden.
Schritt 14: Überprüfen des bereitgestellten Benutzers in AD DS
Um zu überprüfen, ob Ihr Beispielbenutzer für AD DS bereitgestellt wurde, öffnen Sie die FIMObjects-OU. Britta Simon sollte sich im Speicherort der OE FIMObjects befinden.
Zusammenfassung
Ziel dieses Dokuments ist es, Ihnen die wichtigsten Bausteine für die Synchronisierung eines Benutzers in MIM mit AD DS vorzustellen. Bei den ersten Tests sollten Sie zunächst mit dem Mindestmaß an Attributen beginnen, die zum Abschließen einer Aufgabe erforderlich sind, und Ihrem Szenario weitere Attribute hinzufügen, wenn die allgemeinen Schritte wie erwartet funktionieren. Die Komplexität auf einem minimalen Niveau zu halten, vereinfacht den Prozess der Problembehandlung.
Wenn Sie Ihre Konfiguration testen, ist es sehr wahrscheinlich, dass Sie neue Testobjekte löschen und neu erstellen. Für Objekte mit einer
ausgefüllten Attribut ExpectedRulesList kann dies zu verwaisten ERE-Objekten führen.
In einem typischen Synchronisierungsszenario, das AD DS als Synchronisierungsziel enthält, ist MIM für alle Attribute eines Objekts nicht autoritativ. Wenn Sie beispielsweise Benutzerobjekte in AD DS mithilfe von FIM verwalten, müssen mindestens die Domäne und die objectSID-Attribute vom AD DS-Verwaltungs-Agent beigetragen werden. Die Attribute "Kontoname", "Domäne" und "objectSID" sind erforderlich, wenn Sie es einem Benutzer ermöglichen möchten, sich beim FIM-Portal anzumelden. Um diese Attribute aus AD DS aufzufüllen, ist eine zusätzliche eingehende Synchronisierungsregel für Ihren AD DS Konnektorbereich erforderlich. Wenn Sie Objekte mit mehreren Quellen für Attributwerte verwalten, müssen Sie sicherstellen, dass Sie den Attributfluss richtig konfigurieren. Wenn die Attributflussrangfolge nicht ordnungsgemäß konfiguriert ist, blockiert das Synchronisierungsmodul die Auffüllung von Attributwerten. Weitere Informationen zur Attributflussrangfolge finden Sie im Artikel "Über Attributflussrangfolge".
Nächste Schritte
Erkennen nicht autoritativer Konten – Teil 1: Envisioning