Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op: Microsoft Identity Manager 2016 SP1 (MIM)
Een basisvereiste voor een identiteitsbeheersysteem is de mogelijkheid om resources in te richten op een extern systeem.
Deze handleiding begeleidt u door de belangrijkste bouwstenen die betrokken zijn bij het inrichten van gebruikers van Microsoft® Identity Manager (MIM) 2016 voor Active Directory Domain Services (AD DS), geeft een overzicht van hoe u kunt controleren of uw scenario werkt zoals verwacht, suggesties biedt voor het beheren van Active Directory-gebruikers® met behulp van MIM 2016 en bevat aanvullende bronnen voor informatie.
Voordat u begint
In deze sectie vindt u informatie over het bereik van dit document. In het algemeen zijn handleidingen 'How Do I' gericht op lezers die al basiservaring hebben met het proces van het synchroniseren van objecten met MIM, zoals beschreven in de gerelateerde handleidingen Aan de slag.
Audiëntie
Deze handleiding is bedoeld voor IT-professionals (information technology) die al een basiskennis hebben van hoe het MIM-synchronisatieproces werkt en geïnteresseerd zijn in praktische ervaring en meer conceptuele informatie over specifieke scenario's.
Vereiste kennis
In dit document wordt ervan uitgegaan dat u toegang hebt tot een actief exemplaar van MIM en dat u ervaring hebt met het configureren van eenvoudige synchronisatiescenario's, zoals wordt beschreven in de volgende documenten:
De inhoud in dit document is bedoeld als uitbreiding voor deze inleidende documenten.
Omvang
Het scenario dat in dit document wordt beschreven, is vereenvoudigd om te voldoen aan de vereisten van een eenvoudige testomgeving. De focus is om u inzicht te geven in de concepten en technologieën die worden besproken.
Dit document helpt u bij het ontwikkelen van een oplossing die betrekking heeft op het beheren van groepen in AD DS met behulp van MIM.
Tijdvereisten
Voor de procedures in dit document is 90 tot 120 minuten vereist.
Bij deze tijdschattingen wordt ervan uitgegaan dat de testomgeving al is geconfigureerd en niet de tijd bevat die nodig is voor het instellen van de testomgeving.
Beschrijving van scenario
Fabrikam, een fictief bedrijf, is van plan MIM te gebruiken voor het beheren van de gebruikersaccounts in de AD DS van het bedrijf met behulp van MIM. Als onderdeel van dit proces moet Fabrikam gebruikers inrichten voor AD DS. Om de eerste test te starten, heeft Fabrikam een eenvoudige testomgeving geïnstalleerd die bestaat uit MIM en AD DS. In deze testomgeving test Fabrikam een scenario dat bestaat uit een gebruiker die handmatig is gemaakt in de MIM-portal. Het doel van dit scenario is om de gebruiker in te richten als ingeschakelde gebruiker met een vooraf gedefinieerd wachtwoord voor AD DS.
Scenarioontwerp
Als u deze handleiding wilt gebruiken, hebt u drie architectuuronderdelen nodig:
Active Directory-domeincontroller
Computer met FIM-synchronisatieservice
Computer waarop FIM Portal wordt uitgevoerd
In de volgende afbeelding ziet u een overzicht van de vereiste omgeving.
U kunt alle onderdelen op één computer uitvoeren.
Notitie
Zie de FIM-installatiehandleiding voor meer informatie over het instellen van MIM.
Lijst met scenarioonderdelen
De volgende tabel bevat de onderdelen die deel uitmaken van het scenario in deze handleiding.
| Icoon | Onderdeel | Beschrijving |
|---|---|---|
|
Organisatie-eenheid | MIM-objecten - organisatie-eenheid (OE) die wordt gebruikt als bestemming voor de voorziene gebruikers. |
|
Gebruikersaccounts | · ADMA : Active Directory-gebruikersaccount met voldoende rechten om verbinding te maken met AD DS. · FIMMA - Active Directory-gebruikersaccount met voldoende rechten om verbinding te maken met MIM. |
|
Beheeragenten en uitvoeringsprofielen | · Fabrikam ADMA : beheeragent die gegevens uitwisselt met AD DS. · Fabrikam FIMMA - Beheeragent die gegevens uitwisselt met MIM. |
|
Synchronisatieregels | Fabrikam Group Uitgaande Synchronisatieregel – Uitgaande synchronisatieregel die gebruikers toevoegt aan AD DS. |
|
Ingesteld | Alle contractanten : ingesteld met dynamisch lidmaatschap voor alle objecten met de kenmerkwaarde EmployeeType van Contractant. |
|
Werkstromen | AD-inrichtingswerkstroom: werkstroom om de MIM-gebruiker binnen het bereik van de uitgaande synchronisatieregel van AD te brengen. |
|
Beheerbeleidsregels | AD Provisioning Management Policy Rule - Beheerbeleidsregel (MPR) die wordt geactiveerd wanneer een bron lid wordt van de set Alle Contractanten. |
|
MIM-gebruikers | Britta Simon - MIM-gebruiker die u provisioneert naar AD DS. |
Scenariostappen
Het scenario dat in deze handleiding wordt beschreven, bestaat uit de bouwstenen die in de volgende afbeelding worden weergegeven.
De externe systemen configureren
In deze sectie vindt u instructies voor de resources die u moet maken die zich buiten uw MIM-omgeving bevinden.
Stap 1: de organisatie-eenheid maken
U hebt de organisatie-eenheid nodig als een container voor de geconfigureerde voorbeeldgebruiker. Zie Een nieuwe organisatie-eenheid maken voor meer informatie over het maken van organisatie-eenheden.
Maak een OE met de naam MIMObjects in uw AD DS.
Stap 2: De Active Directory-gebruikersaccounts maken
Voor het scenario in deze handleiding hebt u twee Active Directory-gebruikersaccounts nodig:
ADMA : wordt gebruikt door de Active Directory-beheeragent.
FIMMA : wordt gebruikt door de FIM-servicebeheeragent.
In beide gevallen is het voldoende om reguliere gebruikersaccounts te maken. Verderop in dit document vindt u meer informatie over de specifieke vereisten van beide accounts. Zie Een nieuw gebruikersaccount maken voor meer informatie over het maken van gebruikers.
De FIM-synchronisatieservice configureren
Voor de configuratiestappen in deze sectie moet u FIM Synchronization Service Manager starten.
Het creëren van de beheeragents
Voor het scenario in deze handleiding moet u twee beheeragents maken:
Fabrikam ADMA : beheeragent voor AD DS.
Fabrikam FIMMA – beheeragent voor het beheren van de FIM-service.
Stap 3: de Fabrikam ADMA-beheeragent maken
Wanneer u een beheeragent voor AD DS configureert, moet u een account opgeven dat wordt gebruikt door de beheeragent in de gegevensuitwisseling met AD DS. U moet een normaal gebruikersaccount gebruiken. Als u echter gegevens uit AD DS wilt importeren, moet het account het recht hebben om wijzigingen van het DirSync-besturingselement te peilen. Als u wilt dat uw beheeragent gegevens naar AD DS exporteert, moet u het account voldoende rechten verlenen voor de doel-OE's. Zie Het ADMA-account configureren voor meer informatie over dit onderwerp.
Als u een gebruiker in AD DS wilt maken, moet u de DN van het object uitstromen. Daarnaast is het een goed idee om de voornaam, achternaam en weergavenaam door te voeren om ervoor te zorgen dat uw objecten kunnen worden gedetecteerd.
In AD DS is het nog steeds gebruikelijk dat gebruikers het kenmerk sAMAccountName gebruiken om zich aan te melden bij de adreslijstservice. Als u geen waarde voor dit kenmerk opgeeft, genereert de adreslijstservice er een willekeurige waarde voor. Deze willekeurige waarden zijn echter niet gebruiksvriendelijk. Daarom maakt een gebruiksvriendelijke versie van dit kenmerk meestal deel uit van een export naar AD DS. Als u wilt dat een gebruiker zich kan aanmelden bij AD DS, moet u ook een wachtwoord opnemen dat is gemaakt met behulp van het unicodePwd-kenmerk in uw exportlogica.
Notitie
Zorg ervoor dat de waarde die u opgeeft als unicodePwd voldoet aan het wachtwoordbeleid van uw doel-AD DS.
Wanneer u een wachtwoord instelt voor AD DS-accounts, moet u ook een account maken als een ingeschakeld account. U doet dit door het kenmerk userAccountControl in te stellen. Zie Fim gebruiken om accounts in Active Directory in of uit te schakelen voor meer informatie over het kenmerk userAccountControl.
De volgende tabel bevat de belangrijkste scenariospecifieke instellingen die u moet configureren.
| De ontwerppagina van de beheeragent | Configuratie |
|---|---|
| Beheeragent maken | 1. Beheeragent voor: AD DS 2. Naam: Fabrikam ADMA |
| Verbinding maken met Active Directory-forest | 1. Selecteer directorypartities: "DC=Fabrikam,DC=com" 2. Klik op Containers om het dialoogvenster Containers selecteren te openen en zorg ervoor dat MIMObjects de enige organisatie-eenheid is die is geselecteerd. |
| Objecttypen selecteren | Naast de reeds geselecteerde objecttypen selecteert u de gebruiker. |
| Kenmerken selecteren | 1. Klik op Alles weergeven. 2. Selecteer de volgende kenmerken: ° displayName ° givenName ° sn ° SamAccountName ° unicodePwd ° userAccountControl |
Zie de volgende onderwerpen in Help voor meer informatie:
- Een beheeragent maken
- Verbinding maken met een Active Directory-forest
- De beheeragent voor Active Directory gebruiken
- Mappartities configureren
Notitie
Zorg ervoor dat u een importkenmerkstroomregel hebt geconfigureerd voor het kenmerk ExpectedRulesList.
Stap 4: De Fabrikam FIMMA-beheeragent maken
Wanneer u een FIM-servicebeheeragent configureert, moet u een account opgeven dat wordt gebruikt door de beheeragent in de gegevensuitwisseling met de FIM-service.
U moet een normaal gebruikersaccount gebruiken. Het account moet hetzelfde account zijn als het account dat u hebt opgegeven tijdens de installatie van MIM. Voor een script dat u kunt gebruiken om de naam te bepalen van het FIMMA-account dat u tijdens de installatie hebt opgegeven en om te testen of dit account nog geldig is, raadpleegt u Windows PowerShell gebruiken om een snelle test voor fim-accountconfiguratie uit te voeren.
De volgende tabel bevat de belangrijkste scenariospecifieke instellingen die u moet configureren. Maak de beheeragent op basis van de informatie in de onderstaande tabel.
| De ontwerppagina van de beheeragent | Configuratie |
|---|---|
| Beheeragent maken | 1. Beheeragent voor: FIM Service Management Agent 2. Naam Fabrikam FIMMA |
| Verbinding maken met database | Gebruik de volgende instellingen: · Server: localhost · Databank: FIMService · Basisadres van DE FIM-service:http://localhost:5725 Geef de informatie op over het account dat u voor deze beheeragent hebt gemaakt |
| Objecttypen selecteren | Naast de reeds geselecteerde objecttypen selecteert u Persoon. |
| Objecttype-toewijzingen configureren | Voeg naast de al bestaande objecttypetoewijzingen een toewijzing toe voor de persoon van het gegevensbronobjecttype aan de persoon metaverse-objecttype . |
| Kenmerkstroom configureren | Voeg naast de al bestaande kenmerkstroomtoewijzingen de volgende kenmerkstroomtoewijzingen toe: 
|
Zie de volgende onderwerpen in de Help voor meer informatie:
Een beheeragent maken
Verbinding maken met een Active Directory-database
De beheeragent voor Active Directory gebruiken
Mappartities configureren
Notitie
Zorg ervoor dat u een importkenmerkstroomregel hebt geconfigureerd voor het kenmerk ExpectedRulesList.
Stap 5: De uitvoeringsprofielen maken
De volgende tabel bevat de uitvoeringsprofielen die u moet maken voor het scenario in deze handleiding.
| Beheeragent | Profiel uitvoeren |
|---|---|
| Fabrikam ADMA | 1. Volledige import 2. Volledige synchronisatie 3. Delta importeren 4. Deltasynchronisatie 5. Exporteren |
| Fabrikam FIMMA | 1. Volledige import 2. Volledige synchronisatie 3. Delta-import 4. Deltasynchronisatie 5. Exporteren |
Maak uitvoeringsprofielen voor elke beheeragent volgens de vorige tabel.
Notitie
Voor meer informatie, zie in MIM Help onder 'Een beheeragent-runprofiel maken'.
Belangrijk
Controleer of voorziening is ingeschakeld in uw omgeving. U kunt dit doen door het script uit te voeren met Windows PowerShell om provisioning in te schakelen (https://go.microsoft.com/FWLink/p/?LinkId=189660).
De FIM-service configureren
Voor het scenario in deze handleiding moet u een inrichtingsbeleid configureren, zoals wordt weergegeven in de volgende afbeelding.
Het doel van dit inrichtingsbeleid is om groepen binnen het bereik van de uitgaande synchronisatieregel voor AD-gebruikers te brengen. Door uw resource binnen het bereik van de synchronisatieregel te brengen, schakelt u de synchronisatie-engine in om uw resource in te richten op AD DS volgens uw configuratie.
Als u de FIM-service wilt configureren, navigeert u in Windows Internet Explorer® naar http://localhost/identitymanagement. Ga op de MIM Portal-pagina naar de gerelateerde pagina's in de sectie Beheer om het inrichtingsbeleid aan te maken. Als u uw configuratie wilt controleren, moet u het script uitvoeren in Windows PowerShell om de configuratie van het inrichtingsbeleid te documenteren.
Stap 6: De synchronisatieregel maken
In de volgende tabellen ziet u de configuratie van de vereiste synchronisatieregel voor Fabrikam Provisioning. Maak de synchronisatieregel op basis van de gegevens in de volgende tabellen.
| Configuratie van synchronisatieregels | Omgeving |
|---|---|
| Naam | Regel voor uitgaande synchronisatie van Active Directory-gebruikers |
| Beschrijving | |
| Voorrang | 2 |
| Richting van gegevensstroom | Uitgaand |
| Afhankelijkheid |
| Omvang | Omgeving |
|---|---|
| Metaverse-resourcetype | persoon |
| Extern systeem | Fabrikam ADMA |
| Externe systeemresourcetype | gebruiker |
| Relatie | Omgeving |
|---|---|
| Bron maken in extern systeem | Klopt |
| Deprovisioning inschakelen | Onwaar |
| Relatiecriteria | Omgeving |
|---|---|
| ILM-kenmerk | Kenmerk gegevensbron |
| Kenmerk gegevensbron | sAMAccountName |
| Initiële uitgaande kenmerkstromen | Instelling 1 | Instelling 2 |
|---|---|---|
| Null-waarden toestaan | Bestemming | Bron |
| onwaar | dn | +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com") |
| onwaar | gebruikersaccountbeheer | Constante: 512 |
| onwaar | unicodePwd | Constante: P@$$W0rd |
| Permanente uitgaande kenmerkstromen | Instelling 1 | Instelling 2 |
|---|---|---|
| Null-waarden toestaan | Bestemming | Bron |
| onwaar | sAMAccountName | accountNaam |
| onwaar | weergavenaam | weergavenaam |
| onwaar | voornaam | voornaam |
| onwaar | sn | achternaam |
Notitie
Belangrijk: Controleer of u 'Alleen Initial Flow' hebt geselecteerd voor de attributenstroom die de DN als bestemming heeft.
Stap 7: De werkstroom maken
Het doel van de AD-inrichtingswerkstroom is om de Fabrikam Provisioning-synchronisatieregel aan een resource toe te voegen. In de volgende tabellen wordt de configuratie weergegeven. Maak een werkstroom op basis van de gegevens in de onderstaande tabellen.
| Werkstroomconfiguratie | Omgeving |
|---|---|
| Naam | Werkstroom voor het voorzien van Active Directory-gebruikers |
| Beschrijving | |
| Werkstroomtype | Handeling |
| Uitvoeren bij een beleidsupdate | Onwaar |
| Synchronisatieregel | Omgeving |
|---|---|
| Naam | Regel voor uitgaande synchronisatie van Active Directory-gebruikers |
| Handeling | Toevoegen |
Stap 8: de MPR maken
De vereiste MPR is van het type Set Overgang en wordt geactiveerd wanneer een resource lid wordt van de Alle Aannemers-set. In de volgende tabellen wordt de configuratie weergegeven. Maak een MPR op basis van de gegevens in de onderstaande tabellen.
| MPR-configuratie | Omgeving |
|---|---|
| Naam | Beleidsregel voor beheer van AD-gebruikersvoorziening |
| Beschrijving | |
| Typ | Overgang instellen |
| Verleent toestemmingen | Onwaar |
| Uitgeschakeld | Onwaar |
| Overgangsdefinitie | Omgeving |
|---|---|
| Overgangstype | Overgang in |
| Overgangsset | Alle contractanten |
| Beleidswerkstromen | Omgeving |
|---|---|
| Typ | Handeling |
| Weergavenaam | Werkstroom voor het voorzien van Active Directory-gebruikers |
Uw omgeving initialiseren
De doelstellingen van de initialisatiefase zijn als volgt:
Breng uw synchronisatieregel naar de metaverse.
Breng uw Active Directory-structuur in de Active Directory-connectorruimte.
Stap 9: De uitvoeringsprofielen uitvoeren
De volgende tabel bevat de uitvoeringsprofielen die deel uitmaken van de initialisatiefase. Voer de uitvoeringsprofielen uit volgens de onderstaande tabel.
| Rennen | Beheeragent | Profiel uitvoeren |
|---|---|---|
| 1 | Fabrikam FIMMA | Volledige import |
| 2 | Volledige synchronisatie | |
| 3 | Exporteren | |
| 4 | Deltaimport | |
| 5 | Fabrikam ADMA | Volledige import |
| 6 | Volledige synchronisatie |
Notitie
Controleer of uw uitgaande synchronisatieregel succesvol is geprojecteerd in de metaverse.
De configuratie testen
Het doel van deze sectie is om uw werkelijke configuratie te testen. Als u de configuratie wilt testen, gaat u als volgende te werk:
Maak een voorbeeldgebruiker in de FIM-portal.
Controleer de inrichtingsvereisten van de voorbeeldgebruiker.
Richt de voorbeeldgebruiker in voor AD DS.
Controleer of de gebruiker bestaat in AD DS.
Stap 10: Een voorbeeldgebruiker maken in MIM
De volgende tabel bevat de eigenschappen van de voorbeeldgebruiker. Maak een voorbeeldgebruiker op basis van de gegevens in de onderstaande tabel.
| Kenmerk | Waarde |
|---|---|
| Voornaam | Britta |
| Achternaam | Simon |
| Weergavenaam | Britta Simon |
| Accountnaam | BSimon |
| Domein | Fabrikam |
| Werknemertype | Aannemer |
De inrichtingsvereisten van de voorbeeldgebruiker controleren
Als u de voorbeeldgebruiker wilt inrichten voor AD DS, moet aan twee vereisten worden voldaan:
De gebruiker moet lid zijn van de set Alle contractanten.
De gebruiker moet binnen het bereik van de regel voor uitgaande synchronisatie vallen.
Stap 11: Controleer of de gebruiker lid is van All Contractors
Als u wilt controleren of de gebruiker lid is van de set Alle contractanten, opent u de set en klikt u vervolgens op Leden weergeven.
Stap 12: Controleer of de gebruiker binnen het bereik van de regel voor uitgaande synchronisatie valt
Als u wilt controleren of de gebruiker binnen het bereik van de synchronisatieregel valt, opent u de eigenschappenpagina van de gebruiker en controleert u het kenmerk Lijst met verwachte regels op het tabblad Inrichten. Het kenmerk Lijst met verwachte regels moet de AD-gebruiker vermelden
Regel voor uitgaande synchronisatie. In de volgende schermopname ziet u een voorbeeld van het kenmerk Lijst met verwachte regels.
Op dit moment in het proces is de synchronisatieregelstatus in afwachting. Dit betekent dat de synchronisatieregel nog niet is toegepast op de gebruiker.
Stap 13: De voorbeeldgroep synchroniseren
Voordat u de eerste synchronisatiecyclus voor een testobject start, moet u de verwachte status van uw object bijhouden na elk uitvoeringsprofiel dat u in een testplan uitvoert. Uw testplan moet naast de algemene status van uw object (gemaakt, bijgewerkt of verwijderd) ook de verwachte kenmerkwaarden bevatten. Gebruik uw testplan om de verwachtingen van uw testplan te controleren. Als een stap de verwachte resultaten niet retourneert, gaat u niet verder met de volgende stap totdat u de discrepantie tussen het verwachte resultaat en het werkelijke resultaat hebt opgelost.
Als u uw verwachtingen wilt controleren, kunt u de synchronisatiestatistieken als eerste indicator gebruiken. Als u bijvoorbeeld verwacht dat nieuwe objecten worden geplaatst in een connectorruimte, maar de importstatistiek geen 'toevoegingen' retourneert, is er duidelijk iets in deze omgeving dat niet werkt zoals verwacht.
Hoewel de synchronisatiestatistieken u een eerste indicatie kunnen geven of uw scenario werkt zoals verwacht, moet u de zoekconnectorruimte en de metaverse-zoekfunctie van Synchronization Service Manager gebruiken om de verwachte kenmerkwaarden te controleren.
De gebruiker synchroniseren met AD DS:
Importeer de gebruiker in de FIM MA-koppelingsruimte.
Projecter de gebruiker in de metaverse.
Voorzie de gebruiker van een plaats in de Active Directory-connectorruimte.
Statusinformatie exporteren naar FIM.
Exporteer de gebruiker naar AD DS.
Bevestig het aanmaken van de gebruiker.
Als u deze taken wilt uitvoeren, voert u de volgende uitvoeringsprofielen uit.
| Beheeragent | Profiel uitvoeren |
|---|---|
| Fabrikam FIMMA | 1. Delta importeren 2. Deltasynchronisatie 3. Exporteren 4. Delta importeren |
| Fabrikam FIMMA | 1. Exporteren 2. Delta Import |
Na het importeren uit de FIM Service-database worden Britta Simon en het object ExpectedRuleEntry, dat Britta koppelt aan de uitgaande synchronisatieregel van de AD-gebruiker, voorbereid in de Fabrikam FIMMA-connectorruimte. Wanneer u de eigenschappen van Britta controleert in de connectorruimte, naast de kenmerkwaarden die u in de FIM-portal hebt geconfigureerd, vindt u ook een geldige verwijzing naar het object Verwachte regelinvoer. In de volgende schermopname ziet u een voorbeeld hiervan.
Het doel van de deltasynchronisatie die wordt uitgevoerd op uw Fabrikam FIMMA is het uitvoeren van verschillende bewerkingen:
Projectie: het nieuwe gebruikersobject en het gerelateerde object Verwachte regelinvoer worden geprojecteerd in de metaverse.
Inrichten: het nieuw geplande Britta Simon-object wordt geprovisioneerd in de koppelingsruimte van de Fabrikam ADMA.
Exportkenmerkstromen - Het exporteren van kenmerkstromen vindt plaats op beide beheeragenten. Op de Fabrikam ADMA wordt het zojuist ingerichte Britta Simon-object gevuld met nieuwe kenmerkwaarden. Op de Fabrikam FIMMA worden het bestaande Britta Simon-object en het gerelateerde Object ExpectedRuleEntry bijgewerkt met kenmerkwaarden die het resultaat zijn van de projectie.
Zoals al aangegeven door de synchronisatiestatistieken, heeft er een inrichtingsactiviteit plaatsgevonden op de verbindingsruimte van de Fabrikam ADMA. Wanneer u de eigenschappen van het metaverse-object van Britta Simon bekijkt, ziet u dat deze activiteit het resultaat is van het kenmerk ExpectedRulesList dat is ingevuld met een geldige verwijzing.
Tijdens de volgende export in Fabrikam FIMMA wordt de synchronisatieregelstatus van Britta Simon bijgewerkt van In behandeling naar Toegepast, wat aangeeft dat uw uitgaande synchronisatieregel nu actief is voor het object in de metaverse.
Omdat er een nieuw object is toegevoegd aan de connectorruimte van de ADMA, moet u één Add pending export hebben bij deze beheeragent.
Voor elke exportuitvoering in FIM is een volgende deltaimport vereist om de exportbewerking te voltooien. De deltaimport die u uitvoert nadat een vorige exportuitvoering is uitgevoerd, wordt een bevestigende import genoemd. Bevestiging van importacties is vereist om de FIM-synchronisatieservice in staat te stellen aan de juiste updatevereisten te voldoen tijdens opeenvolgende synchronisaties.
Voer de uitvoeringsprofielen uit volgens de instructies in deze sectie.
Belangrijk
Elke uitvoering van het uitvoeringsprofiel moet zonder een fout lukken.
Stap 14: Controleer de voorziene gebruiker in AD DS
Om te controleren of uw voorbeeld gebruiker is ingesteld op AD DS, opent u de OU FIMObjects. Britta Simon moet zich in de OU FIMObjects bevinden.
Samenvatting
Het doel van dit document is om u te laten kennismaken met de belangrijkste bouwstenen voor het synchroniseren van een gebruiker in MIM met AD DS. In de eerste test moet u eerst beginnen met het minimale aantal kenmerken dat nodig is om een taak te voltooien en meer kenmerken toe te voegen aan uw scenario wanneer de algemene stappen werken zoals verwacht. Door de complexiteit tot een minimaal niveau te houden, wordt het proces van probleemoplossing vereenvoudigd.
Wanneer u uw configuratie test, is het zeer waarschijnlijk dat u nieuwe testobjecten verwijdert en opnieuw maakt. Voor objecten met een
ingevuld ExpectedRulesList-attribuut, dit kan leiden tot verweesde ERE-objecten.
In een typisch synchronisatiescenario dat AD DS als synchronisatiedoel omvat, is MIM niet gezaghebbend voor alle kenmerken van een object. Wanneer u bijvoorbeeld gebruikersobjecten in AD DS beheert met behulp van FIM, moeten het domein en de objectSID-kenmerken ten minste worden bijgedragen door de AD DS-beheeragent. De kenmerken accountnaam, domein en objectSID zijn vereist als u wilt dat een gebruiker zich kan aanmelden bij de FIM-portal. Als u deze kenmerken van AD DS wilt vullen, is er een extra regel voor binnenkomende synchronisatie vereist voor uw AD DS-connectorruimte. Wanneer u objecten met meerdere bronnen voor kenmerkwaarden beheert, moet u ervoor zorgen dat u de prioriteit van de kenmerkstroom juist configureert. Als de prioriteit van de kenmerkstroom niet juist is geconfigureerd, blokkeert de synchronisatie-engine dat kenmerkwaarden worden ingevuld. Meer informatie over prioriteit van kenmerkstromen vindt u in het artikel Over kenmerkstroomprioriteit.
Volgende stappen
Niet-gezaghebbende accounts detecteren - deel 1: Visualiseren