적용 대상: MIM(Microsoft Identity Manager 2016 SP1)
ID 관리 시스템의 기본 요구 사항 중 하나는 외부 시스템에 리소스를 프로비전하는 기능입니다.
이 가이드에서는 MIM(Microsoft® Identity Manager) 2016에서 AD DS(Active Directory® Domain Services)로 사용자를 프로비전하는 프로세스에 관련된 주요 구성 요소를 안내하고, 시나리오가 예상대로 작동하는지 여부를 확인하는 방법을 간략하게 설명하고, MIM 2016을 사용하여 Active Directory 사용자를 관리하기 위한 제안을 제공하고, 추가 정보를 나열합니다.
시작하기 전에
이 섹션에서는 이 문서의 범위에 대한 정보를 찾을 수 있습니다. 일반적으로 "How Do I" 가이드는 관련 시작 가이드설명된 대로 MIM과 개체를 동기화하는 프로세스에 대한 기본적인 경험이 있는 독자를 대상으로 합니다.
청중
이 가이드는 MIM 동기화 프로세스의 작동 방식에 대한 기본적인 이해를 이미 가지고 있으며 특정 시나리오에 대한 실습 경험과 보다 개념적인 정보를 얻는 데 관심이 있는 IT(정보 기술) 전문가를 위한 것입니다.
필수 지식
이 문서에서는 실행 중인 MIM 인스턴스에 액세스할 수 있으며 다음 문서에 설명된 대로 간단한 동기화 시나리오를 구성한 경험이 있다고 가정합니다.
이 문서의 콘텐츠는 이러한 소개 문서의 확장으로 작동하도록 범위가 지정됩니다.
범위
이 문서에 설명된 시나리오는 기본 랩 환경의 요구 사항을 해결하기 위해 간소화되었습니다. 논의된 개념과 기술에 대한 이해를 제공하는 데 초점을 맞춥니다.
이 문서는 MIM을 사용하여 AD DS에서 그룹을 관리하는 솔루션을 개발하는 데 도움이 됩니다.
시간 요구 사항
이 문서의 절차를 완료하려면 90~120분이 필요합니다.
이러한 시간 예측에서는 테스트 환경이 이미 구성되어 있으며 테스트 환경을 설정하는 데 필요한 시간을 포함하지 않는다고 가정합니다.
시나리오 설명
가상의 회사인 Fabrikam은 MIM을 사용하여 MIM을 사용하여 회사의 AD DS에서 사용자 계정을 관리할 계획입니다. 이 프로세스의 일부로 Fabrikam은 사용자를 AD DS에 프로비전해야 합니다. 초기 테스트를 시작하기 위해 Fabrikam은 MIM 및 AD DS로 구성된 기본 랩 환경을 설치했습니다. 이 랩 환경에서 Fabrikam은 MIM 포털에서 수동으로 만든 사용자로 구성된 시나리오를 테스트합니다. 이 시나리오의 목적은 AD DS에 미리 정의된 암호를 사용하여 사용자를 활성화된 사용자로 프로비전하는 것입니다.
시나리오 디자인
이 가이드를 사용하려면 세 가지 아키텍처 구성 요소가 필요합니다.
Active Directory 도메인 컨트롤러
FIM 동기화 서비스를 실행하는 컴퓨터
FIM 포털을 실행하는 컴퓨터
다음 그림에서는 필요한 환경을 간략하게 설명합니다.
한 컴퓨터에서 모든 구성 요소를 실행할 수 있습니다.
비고
MIM 설정에 대한 자세한 내용은 FIM 설치 가이드참조하세요.
시나리오 구성 요소 목록
다음 표에서는 이 가이드의 시나리오에 포함된 구성 요소를 나열합니다.
| 아이콘 | 구성 요소 | 설명 |
|---|---|---|
|
조직 구성 단위 | MIM 개체 – 프로비전된 사용자의 대상으로 사용되는 OU(조직 구성 단위)입니다. |
사용자 계정 User accounts |
사용자 계정 | · ADMA – AD DS에 연결할 수 있는 충분한 권한이 있는 Active Directory 사용자 계정입니다. · FIMMA - MIM에 연결할 수 있는 충분한 권한이 있는 Active Directory 사용자 계정입니다. |
|
Management agents and run profiles | · Fabrikam ADMA – AD DS와 데이터를 교환하는 관리 에이전트입니다. · Fabrikam FIMMA - MIM과 데이터를 교환하는 관리 에이전트입니다. |
동기화 규칙 Synchronization rules |
동기화 규칙 | Fabrikam 그룹 아웃바운드 동기화 규칙 – AD DS에 사용자를 프로비전하는 아웃바운드 동기화 규칙입니다. |
|
Sets | 모든 계약자 – EmployeeType 특성 값이 Contractor인 모든 개체에 대해 동적 멤버 자격으로 설정합니다. |
|
워크플로 | AD 프로비전 워크플로 - MIM 사용자를 AD 아웃바운드 동기화 규칙의 범위로 가져오는 워크플로입니다. |
|
관리 정책 규칙 | AD 프로비저닝 관리 정책 규칙 - 리소스가 모든 계약자 집합의 멤버가 될 때 트리거되는 MPR(관리 정책 규칙)입니다. |
|
MIM 사용자 | Britta Simon - AD DS에 프로비전하는 MIM 사용자입니다. |
시나리오 단계
이 가이드에 설명된 시나리오는 다음 그림에 표시된 구성 요소로 구성됩니다.
외부 시스템 구성
이 섹션에서는 MIM 환경 외부에 있는 리소스를 만드는 데 필요한 지침을 찾을 수 있습니다.
1단계: OU 만들기
프로비전된 샘플 사용자에 대한 컨테이너로 OU가 필요합니다. OU를 만드는 방법에 대한 자세한 내용은 새 조직 구성 단위 만들기를 참조하세요.
AD DS에서 MIMObjects라는 OU를 만듭니다.
2단계: Active Directory 사용자 계정 만들기
이 가이드의 시나리오에서는 두 개의 Active Directory 사용자 계정이 필요합니다.
ADMA - Active Directory 관리 에이전트에서 사용됩니다.
FIMMA – FIM 서비스 관리 에이전트에서 사용됩니다.
두 경우 모두 일반 사용자 계정을 만드는 것으로 충분합니다. 두 계정의 특정 요구 사항에 대한 자세한 내용은 이 문서의 뒷부분에서 확인할 수 있습니다. 사용자를 만드는 방법에 대한 자세한 내용은 새 사용자 계정 만들기참조하세요.
FIM 동기화 서비스 구성
이 섹션의 구성 단계에서는 FIM 동기화 서비스 관리자를 시작해야 합니다.
관리 에이전트 만들기
이 가이드의 시나리오에서는 다음 두 개의 관리 에이전트를 만들어야 합니다.
Fabrikam ADMA – AD DS용 관리 에이전트입니다.
Fabrikam FIMMA – management agent for FIM Service management agent.
3단계: Fabrikam ADMA 관리 에이전트 만들기
AD DS에 대한 관리 에이전트를 구성하는 경우 AD DS와 데이터 교환에서 관리 에이전트가 사용하는 계정을 지정해야 합니다. 일반 사용자 계정을 사용해야 합니다. 그러나 AD DS에서 데이터를 가져오려면 계정에 DirSync 컨트롤의 변경 내용을 폴링할 수 있는 권한이 있어야 합니다. 관리 에이전트가 데이터를 AD DS로 내보내려면 대상 OU에 대한 충분한 권한을 계정에 부여해야 합니다. 이 항목에 대한 자세한 내용은 ADMA 계정 구성하는참조하세요.
AD DS에서 사용자를 만들려면 개체의 DN을 전달해야 합니다. In addition to this, it is a good practice to flow the first name, last name, and display name to ensure that your objects are discoverable.
AD DS에서는 사용자가 sAMAccountName 특성을 사용하여 디렉터리 서비스에 로그온하는 것이 일반적입니다. 이 특성에 대한 값을 지정하지 않으면 디렉터리 서비스에서 임의 값을 생성합니다. 그러나 이러한 임의 값은 사용자에게 친숙하지 않으므로 이 특성의 사용자 친화적인 버전은 일반적으로 AD DS로 내보내기의 일부입니다. 사용자가 AD DS에 로그온할 수 있도록 하려면 내보내기 논리에 unicodePwd 특성을 사용하여 만든 암호도 포함해야 합니다.
비고
unicodePwd로 지정한 값이 대상 AD DS의 암호 정책을 준수하는지 확인합니다.
When you set a password for AD DS accounts, you also need to create an account as an enabled account. userAccountControl 특성을 설정하여 이 작업을 수행합니다. userAccountControl 특성에 대한 자세한 내용은 FIM을 사용하여 Active Directory에서 계정을 활성화하거나 비활성화하는 방법을 참조하세요.
다음 표에서는 구성해야 하는 가장 중요한 시나리오별 설정을 나열합니다.
| 관리 에이전트 디자이너 페이지 | 구성 / 설정 |
|---|---|
| 관리 에이전트 만들기 | 1. Management agent for: AD DS 2. Name: Fabrikam ADMA |
| Active Directory 포리스트에 연결 | 1. 디렉터리 파티션 선택: "DC=Fabrikam,DC=com" 2. 컨테이너 클릭하여 컨테이너 선택 대화 상자를 열고 MIMObjects 선택한 유일한 OU인지 확인합니다. |
| 개체 유형 선택 | 이미 선택한 개체 유형 외에도 사용자를 선택합니다. |
| 특성 선택 | 1. Click Show All. 2. 다음 특성을 선택합니다. ° displayName ° givenName ° sn ° SamAccountName ° 유니코드 비밀번호 ° 사용자 계정 제어 |
자세한 내용은 도움말의 다음 항목을 참조하세요.
- 관리 에이전트 만들기
- Connect to an Active Directory Forest
- Active Directory용 관리 에이전트 사용
- 디렉터리 파티션 구성
비고
ExpectedRulesList 특성에 대해 구성된 가져오기 특성 흐름 규칙이 있는지 확인합니다.
4단계: Fabrikam FIMMA 관리 에이전트 만들기
FIM 서비스 관리 에이전트를 구성할 때 FIM 서비스와의 데이터 교환에서 관리 에이전트가 사용하는 계정을 지정해야 합니다.
일반 사용자 계정을 사용해야 합니다. 계정은 MIM 설치 중에 지정한 계정과 동일해야 합니다. 설치 중에 지정한 FIMMA 계정의 이름을 확인하고 이 계정이 여전히 유효한지 테스트하는 데 사용할 수 있는 스크립트는 Windows PowerShell을 사용하여 FIM MA 계정 구성 빠른 테스트수행을 참조하세요.
다음 표에서는 구성해야 하는 가장 중요한 시나리오별 설정을 나열합니다. 아래 표에 제공된 정보를 기반으로 관리 에이전트를 만듭니다.
| 관리 에이전트 디자이너 페이지 | 구성 / 설정 |
|---|---|
| 관리 에이전트 만들기 | 1. Management agent for: FIM Service Management Agent 2. Name Fabrikam FIMMA |
| 데이터베이스에 연결 | 다음 설정을 사용합니다. · Server: localhost · 데이터베이스: FIMService · FIM 서비스 기본 주소 :http://localhost:5725 이 관리 에이전트에 대해 만든 계정에 대한 정보를 제공합니다. |
| 개체 유형 선택 | 이미 선택한 개체 유형 외에도 사람을 선택합니다. |
| Configure Object type mappings | 기존 개체 형식 매핑 외에도 데이터 원본 개체 형식 Person에 대한 매핑을 메타버스 개체 형식 사용자에 추가합니다. |
| 특성 흐름 구성 | 기존 특성 흐름 매핑 외에도 다음 특성 흐름 매핑을 추가합니다. 
|
자세한 내용은 도움말의 다음 항목을 참조하세요.
관리 에이전트 만들기
Active Directory 데이터베이스에 연결
Active Directory용 관리 에이전트 사용
디렉터리 파티션 구성
비고
ExpectedRulesList 특성에 대해 구성된 가져오기 특성 흐름 규칙이 있는지 확인합니다.
5단계: 실행 프로필 만들기
다음 표에서는 이 가이드의 시나리오에 대해 만들어야 하는 실행 프로필을 나열합니다.
| 관리 에이전트 | 프로필 실행 |
|---|---|
| Fabrikam ADMA | 1. 전체 가져오기 2. 전체 동기화 3. Delta import 4. 델타 동기화 5. 내보내기 |
| Fabrikam FIMMA | 1. 전체 가져오기 2. 전체 동기화 3. Delta Import 4. 델타 동기화 5. 내보내기 |
이전 테이블에 따라 각 관리 에이전트에 대한 실행 프로필을 만듭니다.
비고
자세한 내용은 MIM 도움말에서 관리 에이전트 실행 프로필 만들기를 참조하세요.
중요합니다
사용자 환경에서 프로비저닝이 사용하도록 설정되어 있는지 확인합니다. 이 작업은 Windows PowerShell을 사용하여 (https://go.microsoft.com/FWLink/p/?LinkId=189660) 프로비저닝을 활성화하는 스크립트를 실행함으로써 수행할 수 있습니다.
FIM 서비스 구성
이 가이드의 시나리오에서는 다음 그림과 같이 프로비저닝 정책을 구성해야 합니다.
이 프로비저닝 정책의 목적은 그룹을 AD 사용자 아웃바운드 동기화 규칙의 범위로 가져오는 것입니다. 동기화 규칙의 범위로 리소스를 가져오면 동기화 엔진이 구성에 따라 리소스를 AD DS에 프로비전할 수 있습니다.
FIM 서비스를 구성하려면 http://localhost/identitymanagement.으로 Windows Internet Explorer®를 통해 이동하십시오. MIM 포털 페이지에서 프로비저닝 정책을 만들려면 관리 섹션의 관련 페이지로 이동합니다. 구성을 확인하려면 windows PowerShell을 사용하여 스크립트를 실행하여 프로비저닝 정책 구성문서화해야 합니다.
6단계: 동기화 규칙 만들기
다음 표에서는 필요한 Fabrikam 프로비전 동기화 규칙의 구성을 보여 줍니다. 다음 표의 데이터에 따라 동기화 규칙을 만듭니다.
| 동기화 규칙 구성 | Setting |
|---|---|
| 이름 | Active Directory 사용자 아웃바운드 동기화 규칙 |
| 설명 | |
| 우선 순위 | 2 |
| 데이터 흐름 방향 | Outbound |
| 종속 |
| 범위 | Setting |
|---|---|
| 메타버스 리소스 종류 | 사람 |
| 외부 시스템 | Fabrikam ADMA |
| 외부 시스템 리소스 종류 | 사용자 |
| 관계 | Setting |
|---|---|
| 외부 시스템에서 리소스 만들기 | 진실 |
| 프로비전 해제 활성화 | 거짓 |
| 관계 조건 | Setting |
|---|---|
| ILM Attribute | 데이터 원본 특성 |
| 데이터 원본 특성 | sAMAccountName (사용자 계정 이름) |
| Initial outbound attribute flows | 설정 1 | 설정 2 |
|---|---|---|
| Null 허용 | 목적지 | 출처 |
| 거짓 | dn | +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com") |
| 거짓 | 사용자 계정 제어 | Constant: 512 |
| 거짓 | 유니코드 비밀번호 | Constant: P@$$W0rd |
| Persistent outbound attribute flows | 설정 1 | 설정 2 |
|---|---|---|
| Null 허용 | 목적지 | 출처 |
| 거짓 | sAMAccountName (사용자 계정 이름) | 계정 이름 |
| 거짓 | 디스플레이 이름 | 디스플레이 이름 |
| 거짓 | givenName | firstName |
| 거짓 | sn | lastName |
비고
중요 DN이 대상으로 있는 특성 흐름에 대해서만 초기 흐름만 선택했는지 확인합니다.
7단계: 워크플로 만들기
AD 프로비저닝 워크플로의 목적은 Fabrikam 프로비전 동기화 규칙을 리소스에 추가하는 것입니다. 다음 표에서는 구성을 보여 줍니다. 아래 표의 데이터에 따라 워크플로를 만듭니다.
| 워크플로 구성 | Setting |
|---|---|
| 이름 | Active Directory 사용자 프로비저닝 워크플로 |
| 설명 | |
| 워크플로 유형 | 조치 |
| 정책 업데이트에서 실행 | 거짓 |
| 동기화 규칙 | Setting |
|---|---|
| 이름 | Active Directory 사용자 아웃바운드 동기화 규칙 |
| 조치 | 추가 |
8단계: MPR 만들기
필요한 MPR은 집합 전환 유형이며 리소스가 모든 계약자 집합의 멤버가 되면 트리거됩니다. 다음 표에서는 구성을 보여 줍니다. 아래 표의 데이터에 따라 MPR을 만듭니다.
| MPR 구성 | Setting |
|---|---|
| 이름 | AD 사용자 프로비저닝 관리 정책 규칙 |
| 설명 | |
| 유형 | 전환 설정 |
| 권한 부여 | 거짓 |
| Disabled | 거짓 |
| 전환 정의 | Setting |
|---|---|
| 전환 유형 | Transition In |
| Transition Set | 모든 계약자 |
| 정책 워크플로 | Setting |
|---|---|
| 유형 | 조치 |
| Display Name | Active Directory 사용자 프로비저닝 워크플로 |
Initializing your Environment
초기화 단계의 목표는 다음과 같습니다.
동기화 규칙을 메타버스로 가져옵니다.
Active Directory 구조체를 Active Directory 커넥터 공간으로 가져옵니다.
Step 9: Run the run profiles
다음 표에서는 초기화 단계의 일부인 실행 프로필을 나열합니다. 아래 표에 따라 실행 프로필을 실행합니다.
| 달려라 | 관리 에이전트 | 프로필 실행 |
|---|---|---|
| 1 | Fabrikam FIMMA | 전체 가져오기 |
| 2 | 전체 동기화 | |
| 3 | 수출 | |
| 4 | Delta import | |
| 5 | Fabrikam ADMA | 전체 가져오기 |
| 6 | 전체 동기화 |
비고
아웃바운드 동기화 규칙이 메타버스에 성공적으로 프로젝션되었는지 확인해야 합니다.
구성 테스트
이 섹션은 실제 구성을 테스트하기 위한 것입니다. 구성을 테스트하려면 다음을 수행합니다.
FIM 포털에서 샘플 사용자를 만듭니다.
샘플 사용자의 프로비저닝 필수 구성 요소를 확인합니다.
샘플 사용자를 AD DS에 프로비전합니다.
사용자가 AD DS에 있는지 확인합니다.
10단계: MIM에서 샘플 사용자 만들기
다음 표에서는 샘플 사용자의 속성을 나열합니다. 아래 표의 데이터에 따라 샘플 사용자를 만듭니다.
| 특성 | 가치 |
|---|---|
| 이름 (First Name) | Britta |
| 성 이름 | 사이먼 |
| Display Name | Britta Simon |
| 어카운트 이름 | BSimon |
| 도메인 | Fabrikam |
| 직원 유형 | 계약자 |
샘플 사용자의 프로비저닝 필수 구성 요소 확인
샘플 사용자를 AD DS에 프로비전하려면 다음 두 가지 필수 구성 요소를 충족해야 합니다.
사용자는 모든 계약자 집합의 구성원이어야 합니다.
설정 사용자는 아웃바운드 동기화 규칙의 범위에 있어야 합니다.
11단계: 사용자가 모든 계약자의 구성원인지 확인
사용자가 모든 계약자 집합의 구성원인지 확인하려면 집합을 연 다음 구성원 보기를 클릭합니다.
모든 계약자의 구성원인지 확인합니다.
12단계: 사용자가 아웃바운드 동기화 규칙의 범위에 있는지 확인
사용자가 동기화 규칙의 범위에 있는지 확인하려면 사용자의 속성 페이지를 열고 프로비전 탭에서 예상 규칙 목록 특성을 검토합니다. 예상 규칙 목록 특성은 AD 사용자를 나열해야 합니다.
아웃바운드 동기화 규칙입니다. 다음 스크린샷은 예상 규칙 목록 특성의 예를 보여줍니다.
프로세스의 이 시점에서 동기화 규칙 상태가 보류 중입니다. 즉, 동기화 규칙이 사용자에게 아직 적용되지 않았습니다.
13단계: 샘플 그룹 동기화
테스트 개체에 대한 첫 번째 동기화 주기를 시작하기 전에 테스트 계획에서 실행하는 각 실행 프로필 후에 개체의 예상 상태를 추적해야 합니다. 테스트 계획에는 예상한 특성 값도 개체의 일반 상태(생성, 업데이트 또는 삭제됨) 옆에 포함되어야 합니다. 테스트 계획을 사용하여 테스트 계획 기대치를 확인합니다. 단계가 예상 결과를 반환하지 않는 경우 예상 결과와 실제 결과 간의 불일치를 해결할 때까지 다음 단계로 진행하지 마세요.
예상을 확인하기 위해 동기화 통계를 첫 번째 지표로 사용할 수 있습니다. 예를 들어 커넥터 공간에서 새 개체가 배치될 것으로 예상하지만 가져오기 통계에 '추가'가 없는 경우, 분명히 환경에서 예상대로 작동하지 않는 부분이 있습니다.
동기화 통계를 보여 주는 
동기화 통계는 시나리오가 예상대로 작동하는지 여부를 처음으로 표시할 수 있지만, 동기화 서비스 관리자의 검색 커넥터 공간 및 메타버스 검색 기능을 사용하여 예상된 특성 값을 확인해야 합니다.
사용자를 AD DS와 동기화하려면 다음을 수행합니다.
사용자를 FIM MA 커넥터 공간으로 가져옵니다.
사용자를 메타버스에 프로젝스합니다.
Active Directory 커넥터 공간에 사용자를 프로비전합니다.
상태 정보를 FIM으로 내보냅니다.
사용자를 AD DS로 내보냅니다.
사용자 만들기를 확인합니다.
이러한 작업을 수행하려면 다음 실행 프로필을 실행합니다.
| 관리 에이전트 | 프로필 실행 |
|---|---|
| Fabrikam FIMMA | 1. Delta import 2. 델타 동기화 3. 내보내기 4. Delta import |
| Fabrikam FIMMA | 1. 내보내기 2. 델타 임포트 |
FIM 서비스 데이터베이스에서 가져온 후에 Britta Simon과 Britta를 AD 사용자 아웃바운드 동기화 규칙에 연결하는 ExpectedRuleEntry 개체가 Fabrikam FIMMA 커넥터 공간에 배치됩니다. When you review Britta’s properties in the connector space, next to the attribute values that you have configured in the FIM Portal, you also find a valid reference to the Expected Rule Entry object. 다음 스크린샷은 이에 대한 예제를 보여 줍니다.
Fabrikam FIMMA에서 실행되는 델타 동기화의 목적은 다음과 같은 여러 작업을 수행하는 것입니다.
프로젝션 – 새 사용자 개체 및 관련 예상 규칙 항목 개체가 메타버스에 프로젝션됩니다.
프로비전 – 새로 프로젝팅된 Britta Simon 개체가 Fabrikam ADMA의 커넥터 공간에 프로비전됩니다.
Export Attribute Flows – Export attribute flows occur on both management agents. Fabrikam ADMA에서 새로 프로비전된 Britta Simon 개체는 새 특성 값으로 채워집니다. Fabrikam FIMMA에서 기존 Britta Simon 개체 및 관련 ExpectedRuleEntry 개체가 프로젝션의 결과인 특성 값으로 업데이트됩니다.
동기화 통계에서 이미 설명한 대로 Fabrikam ADMA의 커넥터 공간에서 프로비저닝 작업이 수행되었습니다. Britta Simon의 메타버스 개체 속성을 검토하면 이 작업이 유효한 참조로 채워진 ExpectedRulesList 특성의 결과임을 알 수 있습니다.
메타버스 개체 속성
metaverse object properties
During the following export on the Fabrikam FIMMA, the synchronization rule status of Britta Simon is updated from Pending to Applied, which indicates that your outbound synchronization rule is now active on the object in the metaverse.
새 개체가 ADMA 커넥터 공간에 프로비전되었으므로 이 관리 에이전트에 보류 중인 추가 내보내기가 하나 있어야 합니다.
FIM에서 각 내보내기 실행에는 내보내기 작업을 완료하려면 다음 델타 가져오기가 필요합니다. 이전 내보내기 실행 후에 실행한 델타 가져오기를 확인 가져오기라고 합니다. 연속 동기화 실행 중에 FIM 동기화 서비스가 적절한 업데이트 요구 사항을 만들 수 있도록 하려면 가져오기를 확인해야 합니다.
이 섹션의 지침에 따라 실행 프로필을 실행합니다.
중요합니다
Each run profile run must succeed without an error.
14단계: AD DS에서 프로비전된 사용자 확인
샘플 사용자가 AD DS에 프로비전되었는지 확인하려면 FIMObjects OU를 엽니다. Britta Simon은 FIMObjects OU에 있어야 합니다.
요약
이 문서의 목적은 MIM의 사용자를 AD DS와 동기화하기 위한 기본 구성 요소를 소개하는 것입니다. 초기 테스트에서는 먼저 작업을 완료하는 데 필요한 최소 특성으로 시작하고 일반적인 단계가 예상대로 작동할 때 시나리오에 특성을 더 추가해야 합니다. 복잡성을 최소 수준으로 유지하면 문제 해결 프로세스가 간소화됩니다.
구성을 테스트할 때 새 테스트 개체를 삭제하고 다시 만들 가능성이 높습니다. For objects with a
populated ExpectedRulesList attribute, this can result in orphaned ERE objects.
동기화 대상으로 AD DS를 포함하는 일반적인 동기화 시나리오에서 MIM은 개체의 모든 특성에 대해 신뢰할 수 없습니다. 예를 들어 FIM을 사용하여 AD DS에서 사용자 개체를 관리하는 경우 최소한 도메인 및 objectSID 특성은 AD DS 관리 에이전트에서 제공해야 합니다. 사용자가 FIM 포털에 로그온할 수 있도록 하려면 계정 이름, 도메인 및 objectSID 특성이 필요합니다. AD DS에서 이러한 특성을 채우려면 AD DS 커넥터 공간에 대한 추가 인바운드 동기화 규칙이 필요합니다. 특성 값에 대해 여러 원본이 있는 개체를 관리하는 경우 특성 흐름 우선 순위를 올바르게 구성해야 합니다. 특성 흐름 우선 순위가 올바르게 구성되지 않은 경우 동기화 엔진은 특성 값이 채워지지 않도록 차단합니다. 특성 흐름 우선 순위 정보 문서에서 특성 흐름 우선 순위에 대한 자세한 정보를 찾을 수 있습니다.