Installare MIM 2016: sincronizzare Active Directory e il servizio MIM
Nota
Questa procedura dettagliata usa nomi e valori di esempio della società Contoso. Sostituirli con i propri nomi e valori. Ad esempio:
- Nome del controller di dominio: mimservername
- Nome del dominio: contoso
- Password: Pass@word1
Per impostazione predefinita, non sono presenti connettori configurati per il servizio di sincronizzazione MIM (Sincronizzazione). Il primo passaggio prevede in genere l'uso di Sincronizzazione MIM per popolare il database del servizio MIM con gli account di Active Directory esistenti. A tale scopo, si utilizzerà l'applicazione Servizio di sincronizzazione MIM.
Creare l'agente di gestione MIM
L'agente di gestione MIM è un connettore per la sincronizzazione MIM al servizio MIM. Per creare questo connettore, utilizzare la procedura guidata Creazione dell'agente di gestione.
Quando si configura un agente di gestione MIM, è necessario specificare un account utente. Questo documento usa MIMMA come nome per l'account.
Nota
L'account utilizzato per l'agente di gestione MIM deve essere lo stesso account specificato durante l'installazione del servizio MIM. Se si prevede di abilitare la funzionalità "Use MIM Sync account" (Usa account di sincronizzazione MIM), il servizio di sincronizzazione MIM deve essere installato con l'account del servizio gestito del gruppo.
Per creare l’agente di gestione MIM
Aprire Synchronization Service Manager.
Per aprire la procedura guidata per la creazione dell'agente di gestione, accedere alla pagina Management Agents (Agenti di gestione) e quindi dal menu Azioni scegliere Crea.
Nella pagina Crea agente di gestione specificare le impostazioni seguenti e quindi fare clic su Avanti.
Agente di gestione per: Agente di gestione del servizio FIM
Nome: MIMMA
Nella pagina Connetti al database specificare le impostazioni seguenti e fare clic su Avanti
Server: localhost
Database: FIMService
Indirizzo di base del servizio MIM: http://localhost:5725
Modalità di autenticazione: Autenticazione integrata di Windows
Nome utente: mimma
Password: Pass@word
Dominio: contoso
Nella pagina Tipi di oggetto selezionati verificare che i tipi di oggetto elencati di seguito siano selezionati e fare clic su Avanti
DetectedRuleEntry
ExpectedRuleEntry
Group
Persona
SynchronizationRule
Nella pagina Attributi selezionati selezionare Mostra tutto, verificare che tutti gli attributi elencati siano selezionati e fare clic su Avanti.
Nella pagina Configura filtro connettore fare clic su Avanti.
Nella pagina Configura mapping tipi di oggetto aggiungere il mapping seguente e fare clic su Avanti
- Nell'elenco Tipo di oggetto origine dati selezionare Persona.
- Per aprire la finestra di dialogo Mapping, fare clic su Aggiungi mapping.
- Nell'elenco Metaverse object type (Tipo di oggetto metaverse) selezionare persona.
- Fare clic su OK per chiudere la finestra di dialogo Mapping.
- Nell'elenco Tipo di oggetto origine dati selezionare Gruppo.
- Per aprire la finestra di dialogo Mapping, fare clic su Aggiungi mapping.
- Nell'elenco Metaverse object type (Tipo di oggetto metaverse) selezionare Gruppo.
- Fare clic su OK per chiudere la finestra di dialogo Mapping.
Nella pagina Configure Attribute Flow (Configura flusso di attributi) creare i mapping di flusso di attributo illustrati in seguito e fare clic su Avanti
Selezionare Persona come tipi di oggetto origine dati e metaverse.
Selezionare Diretto come tipo di mapping.
Per ogni riga della tabella seguente, completare i passaggi qui illustrati:
Selezionare la direzione del flusso specificata per la riga della tabella.
Selezionare l’attributo di origine dati specificato per la riga della tabella.
Selezionare l’attributo metaverse specificato per la riga della tabella.
Per applicare il mapping di flusso, fare clic su Nuovo.
Attributo di origine dati Direzione del flusso Attributo metaverse AccountName Esportazione accountName DisplayName Esportazione displayName Dominio Esportazione dominio E-mail Esportazione mail EmployeeID Esportazione employeeID EmployeeType Esportazione employeeType FirstName Esportazione firstName LastName Esportazione lastName ObjectSID Esportazione objectSid Selezionare Gruppo come tipo di origine dati e come tipo di oggetto metaverse.
Selezionare Diretto come tipo di mapping.
Per ogni riga della tabella seguente, completare i passaggi qui illustrati:
Selezionare la direzione del flusso specificata per la riga della tabella.
Selezionare l’attributo di origine dati specificato per la riga della tabella.
Selezionare l’attributo metaverse specificato per la riga della tabella.
Per applicare il mapping di flusso, fare clic su Nuovo.
Attributo di origine dati Direzione del flusso Attributo metaverse AccountName Esportazione accountName DisplayName Esportazione displayName Dominio Esportazione dominio E-mail Esportazione mail MailNickName Esportazione mailNickName Membro Esportazione member ObjectSID Esportazione objectSid Ambito Esportazione ambito Tipo Esportazione tipo MembershipAddWorkflow Esportazione membershipAddWorkflow MembershipLocked Esportazione membershipLocked AccountName Importa accountName DisplayedOwner Importa displayedOwner DisplayName Importa displayName MailNickName Importa mailNickName Membro Importa member Ambito Importa ambito Tipo Importa tipo Nella pagina Configura deprovisioning fare clic su Avanti
Per creare l'agente di gestione, nella pagina Configura estensioni fare clic su Fine.
Creare l'agente di gestione di Active Directory
L'agente di gestione di Active Directory è un connettore per i Servizi di dominio Active Directory. Per creare questo connettore, utilizzare la procedura guidata Creazione dell'agente di gestione.
Per aprire la procedura guidata Creazione dell'agente di gestione, fare clic su Crea dal menu Azioni.
Nella pagina Crea agente di gestione specificare le impostazioni seguenti e fare clic su Avanti:
- Agente di gestione per: Servizi di dominio Active Directory
- Nome: ADMA
Nella pagina Connetti a foresta Active Directory specificare le impostazioni seguenti e fare clic su Avanti:
- Nome foresta: contoso.local
- Nome utente: administrator
- Password : <la password dell'account>
- Dominio: contoso
Nella pagina Configura partizioni di directory specificare le impostazioni seguenti e fare clic su Avanti:
Nell'elenco Seleziona partizioni di directory selezionare DC=CONTOSO, DC=local.
Per aprire la finestra di dialogo Seleziona contenitori, fare clic su Contenitori.
Per modificare il contenitore in modo che includa solo oggetti di gestione MIM, fare clic sul nodo DC=CONTOSO,DC=local e quindi fare clic sul nodo per il contenitore di interesse.
Per chiudere la finestra di dialogo Seleziona contenitori, fare clic su OK.
Nella pagina Configura gerarchia di provisioning fare clic su Avanti.
Nella pagina Seleziona tipi di oggetto specificare le impostazioni seguenti e fare clic su Avanti:
- Nell'elenco Tipi di oggetto selezionare utente e gruppo.
Nella pagina Seleziona attributi selezionare Mostra tutto, scegliere gli attributi seguenti e quindi fare clic su Avanti:
- company
- displayName
- employeeID
- employeeType
- givenName
- groupType
- managedBy
- manager
- member
- objectSid
- sAMAccountName
- sAMAccountType
- sn
- unicodePwd
- userAccountControl
Nella pagina Configura filtro connettore fare clic su Avanti.
Nella pagina Configura regole di unione e proiezione fare clic su Avanti.
Nella pagina Configura flusso di attributi fare clic su Avanti.
Nella pagina Configura deprovisioning fare clic su Avanti.
Nella pagina Configura estensioni fare clic su Fine.
Creare i profili di esecuzione
Creare profili di esecuzione per i connettori ADMA e MIMMA.
Creare profili di esecuzione per il connettore ADMA
Questa tabella mostra i cinque profili di esecuzione che verranno creati per il connettore ADMA:
Nome | Tipo |
---|---|
Profilo 1 | Importazione completa (solo temporanea) |
Profile2 | sincronizzazione completa |
Profile3 | Importazione delta (solo temporanea) |
Profile4 | Sincronizzazione differenziale |
Profile5 | Esportazione |
Per creare profili di esecuzione per il connettore ADMA:
Aprire il Service Manager di sincronizzazione e scegliere Agenti di gestione dal menu Strumenti.
Nell'elenco Agenti di gestione selezionare ADMA.
Per aprire la finestra di dialogo Configura profili di esecuzione, fare clic su Configura profili di esecuzione dal menu Azioni.
Per ogni profilo di esecuzione incluso nella tabella completare i passaggi seguenti:
Per aprire la procedura guidata Configura profilo di esecuzione, fare clic su Nuovo profilo.
Nella casella Nome digitare il nome del profilo mostrato nella tabella e fare clic su Avanti.
Nell'elenco Tipo selezionare il tipo di passaggio mostrato nella tabella e fare clic su Avanti.
Fare clic su Fine per creare il profilo di esecuzione.
Per chiudere la finestra di dialogo Configura profili di esecuzione, fare clic su OK.
Creare profili di esecuzione per il connettore MIMMA
Questa tabella mostra i cinque profili di esecuzione corrispondenti per il connettore MIMMA:
Nome | Tipo |
---|---|
Profilo 1 | Importazione completa (solo temporanea) |
Profile2 | sincronizzazione completa |
Profile3 | Importazione delta (solo temporanea) |
Profile4 | Sincronizzazione differenziale |
Profile5 | Esportazione |
Per creare profili di esecuzione per il connettore MIMMA:
Aprire il Service Manager di sincronizzazione e scegliere Agenti di gestione dal menu Strumenti.
Nell'elenco Agenti di gestione selezionare MIMMA.
Per aprire la finestra di dialogo Configura profili di esecuzione, fare clic su Configura profili di esecuzione dal menu Azioni.
Per ogni profilo di esecuzione incluso nella tabella completare i passaggi seguenti:
Per aprire la procedura guidata Configura profilo di esecuzione, fare clic su Nuovo profilo.
Nella casella Nome digitare il nome del profilo mostrato nella tabella e fare clic su Avanti.
Nell'elenco Tipo selezionare il tipo di passaggio mostrato nella tabella e fare clic su Avanti.
Fare clic su Fine per creare il profilo di esecuzione.
Per chiudere la finestra di dialogo Configura profili di esecuzione, fare clic su OK.
Configurare il servizio MIM
Usando il portale MIM verrà creata la regola di sincronizzazione in entrata degli utenti di Active Directory per il servizio MIM.
Per creare la regola di sincronizzazione in entrata per gli utenti di Active Directory:
Nella pagina iniziale del portale MIM scegliere Amministrazione nella barra di spostamento.
Per aprire la pagina Regole di sincronizzazione, fare clic su Regole di sincronizzazione.
Per aprire la procedura guidata Crea regola di sincronizzazione, fare clic su Nuovo nella barra degli strumenti.
Nella scheda Generale specificare le informazioni seguenti e fare clic su Avanti:
- Nome visualizzato: Regola di sincronizzazione in entrata per utenti AD
- Direzione del flusso di dati: In entrata
Nella scheda Ambito specificare le informazioni seguenti e fare clic su Avanti:
- Tipo di risorsa metaverse: persona
- Sistema esterno: ADMA
- Tipo di risorsa sistema esterno: utente
Nella scheda Relazione specificare le informazioni seguenti e fare clic su Avanti:
Per configurare i criteri di relazione, selezionare ObjectSID dall'elenco MetaverseObject:person(Attribute) e dall'elenco ConnectedSystemObject:person(Attribute).
Selezionare Crea risorsa in FIM.
Nella pagina Flusso in ingresso dell'attributo specificare le informazioni seguenti e fare clic su Avanti:
Regola di flusso Source (Sorgente) Destination Regola 1 samAccountName accountName Regola 2 displayName displayName Regola 3 EmployeeType employeeType Regola 4 givenName firstName Regola 5 sn lastName Regola 6 Manager manager Regola 7 objectSID ObjectSID Regola 8 "Contoso" dominio Per ogni riga di questa tabella, eseguire i passaggi seguenti:
Per aprire la finestra di dialogo Definizione di flusso, fare clic su Nuovo flusso dell'attributo.
Nella scheda Origine selezionare l'attributo mostrato per la riga della tabella.
Nella scheda Destinazione selezionare l'attributo mostrato per la riga della tabella.
Per applicare la configurazione del flusso dell'attributo, fare clic su OK.
Nella scheda Riepilogo fare clic su Invia.
Inizializzare l'ambiente di test
Prima di poter testare la configurazione MIM con i dati di AD, è necessario eseguire quattro passaggi:
Abilitare il provisioning
Aprire Synchronization Service Manager.
Per aprire la finestra di dialogo Opzioni fare clic su Opzioni dal menu Strumenti
Selezionare Abilita provisioning regola di sincronizzazione.
Per chiudere la finestra di dialogo Opzioni, fare clic su OK.
Inizializzare MIMMA
Eseguire un ciclo di sincronizzazione completa su questo connettore. Il ciclo completo è costituito dalle esecuzioni dei profili di esecuzione seguenti:
- Importazione completa
- sincronizzazione completa
- Esportazione
- Importazione differenziale
Seguire questa procedura per eseguire ognuno dei quattro profili di esecuzione.
Aprire il Service Manager di sincronizzazione e, nel menu Strumenti, fare clic su Agenti di gestione.
Nell'elenco Agenti di gestione selezionare MIMMA.
Per aprire la finestra di dialogo Esegui agente di gestione, fare clic su Esegui dal menu Azioni.
Per ogni profilo di esecuzione indicato sopra, completare i passaggi seguenti:
Per aprire la finestra di dialogo Esegui agente di gestione, fare clic su Esegui dal menu Azioni.
Nell'elenco Esegui profili selezionare il profilo di esecuzione da configurare.
Per avviare il profilo di esecuzione, fare clic su OK.
Configurare la precedenza del flusso dell'attributo
Durante l'inizializzazione del connettore MIM, le regole di sincronizzazione configurate sono state introdotte nel metaverse.
Regolare la precedenza del flusso dell’attributo per gli attributi forniti da questo connettore in modo da garantire che gli attributi già presenti in Active Directory possano essere trasmessi al metaverse e successivamente al database del servizio MIM.
Inizializzare ADMA
Per inizializzare il connettore di Active Directory, è necessario eseguire un'importazione completa e una sincronizzazione completa su connettore stesso. L'importazione completa sposta gli oggetti esistenti da AD nello spazio del connettore. La sincronizzazione completa aggiorna le regole di sincronizzazione affinché corrispondano a quelle del connettore MIM.
Aprire Synchronization Service Manager e fare clic su Agenti di gestione dal menu Strumenti.
Nell'elenco Agenti di gestione selezionare ADMA.
Per aprire la finestra di dialogo Esegui agente di gestione, fare clic su Esegui dal menu Azioni.
Per ogni profilo di esecuzione indicato sopra, completare i passaggi seguenti:
Per aprire la finestra di dialogo Esegui agente di gestione, fare clic su Esegui dal menu Azioni.
Nell'elenco Esegui profili selezionare il profilo di esecuzione da configurare.
Per avviare il profilo di esecuzione, fare clic su OK.
Popolare il database del servizio MIM
Per popolare il database del servizio MIM con gli oggetti, è necessario eseguire un ciclo di sincronizzazione nel connettore MIMMA. Il ciclo è costituito da:
- Esportazione
- Importazione completa
- sincronizzazione completa
Seguire questa procedura per eseguire ognuno dei tre profili di esecuzione.
Aprire Synchronization Service Manager e fare clic su Management Agents (Agenti di gestione) dal menu Strumenti.
Nell'elenco Agenti di gestione (Agenti di gestione) selezionare MIMMA (MIMMA).
Per aprire la finestra di dialogo Run Management Agent (Esegui agente di gestione), fare clic su Esegui dal menu Azioni.
Per ogni profilo di esecuzione indicato sopra, completare i passaggi seguenti:
- Per aprire la finestra di dialogo Run Management Agent (Esegui agente di gestione), fare clic su Esegui dal menu Azioni.
- Nell'elenco Run profiles (Esegui profili) selezionare il profilo di esecuzione da configurare.
- Per avviare il profilo di esecuzione, fare clic su OK.