terminologie Microsoft Identity Manager 2016 SP1

ce document est une liste complète des termes qui sont référencés dans Microsoft Identity Manager 2016 SP1 et versions ultérieures.

Un

validation de groupe Active Directory: procédure implémentée dans MIM 2016 qui garantit l’unicité du nom de compte d’un groupe au sein d’un domaine stocké dans Active Directory.

Workflow d’action: flux de travail qui exécute une action. cela comprend l’envoi d’un courrier électronique de notification et la validation des modifications apportées à MIM base de données du Service.

activité: une activité de flux de travail est le bloc de construction de base des flux de travail de Windows Workflow Foundation (WF). Il intègre la logique qui est lancée au moment de la conception et au moment de l’exécution lors de la création et de l’exécution des flux de travail.

assembly d’activité: .DLL ou un fichier .EXE contenant un assembly .net qui implémente la logique d’une activité de Workflow.

Anchor: un ou plusieurs attributs uniques d’un type d’objet qui ne change pas et représente un objet dans la source de données connectée à laquelle l’objet d’espace connecteur est lié (par exemple, un numéro d’employé ou un ID d’utilisateur).

approbation: une approbation est un point de décision de workflow qui peut être utilisé pour obtenir l’autorisation d’une personne avant de continuer dans le Workflow.

courrier électronique d’approbation: si une demande nécessite une approbation avant d’être validée, un message d’approbation est envoyé aux approbateurs identifiés.

demande d’approbation: demande nécessitant une approbation. par exemple, un message électronique envoyé par MIM 2016 à un approbateur dans le cadre du traitement d’une activité d’approbation.

réponse d’approbation: réponse à une demande d’approbation. Elle contient des informations sur le fait que la demande soit approuvée ou non. par exemple, un message électronique envoyé par le complément MIM pour Outlook en réponse à une demande d’approbation.

dossier de recherche d’approbations: dossiers de recherche créés par le complément MIM pour Outlook qui fournit à l’utilisateur un moyen de voir les approbations en attente et terminées, ainsi que les mises à jour des demandes d’approbation.

seuil d’approbation: nombre de messages de réponse d’approbation positive nécessaires pour permettre à une demande de continuer le traitement.

approbateur: personne qui accorde l’approbation pour la demande de passer à l’étape suivante. ils reçoivent des messages de demande d’approbation si MIM complément pour Outlook est utilisé. Consultez également l’entrée « approbateur d’escalade ».

flow attribute: définit le sens des valeurs d’attribut qui circulent entre le service MIM et d’autres systèmes externes.

activité d’authentification: activité de flux de travail qui valide l’identité d’un utilisateur. Par exemple, la porte de réinitialisation de mot de passe et la porte d’authentification par carte à puce. Voir aussi l’entrée pour « barrière AQ » et « porte de verrouillage ».

demande d’authentification: une boîte de dialogue qui demande à l’utilisateur de fournir une réponse pour s’authentifier auprès de MIM 2016. Par exemple, les questions auxquelles l’utilisateur doit répondre pour réinitialiser son mot de passe.

activité de stimulation d’authentification: activité de Windows Workflow Foundation utilisée pour configurer un défi émis à l’utilisateur pour s’authentifier auprès de MIM 2016.

flux de travail d’autorisation: flux de travail avec des activités qui doivent être terminées avant que la demande ne soit validée dans la base de données. Les exemples sont la validation et l’approbation des données.

C

effacer l’attribut d’inscription: cet attribut efface l’inscription associée à un flux de travail d’authentification. par exemple, dans une Question et une réponse, les réponses sont stockées dans MIM 2016 sous la forme de données d’inscription. Lorsque la case effacer l’enregistrement est cochée et qu’un flux de travail est enregistré, les données d’enregistrement sont supprimées, ce qui oblige les utilisateurs à se réinscrire.

membre calculé (ou membre): ensemble de ressources en lecture seule calculé à partir de la combinaison de membres gérés manuellement et d’un filtre.

connecteur: objet dans l’espace connecteur qui représente un objet dans une source de données connectée et qui est actuellement lié à un objet dans le métaverse au moyen de règles prédéfinies. Le méta-annuaire utilise des objets de connecteur pour synchroniser les valeurs d’attribut entre une source de données connectée et le métaverse.

filtre de connecteur: règle que vous utilisez pour empêcher les objets d’espace de connecteur de se lier aux objets du métaverse.

espace connecteur: zone de transit qui contient les représentations des objets et attributs sélectionnés dans une source de données connectée. un objet d’espace connecteur est un objet dans l’espace connecteur qui est créé par une importation de données à partir de la source de données connectée ou à l’aide de règles dans MIM pour créer de nouveaux objets dans différentes sources de données connectées. Ces objets contiennent des valeurs d’attribut qui peuvent être importées ou exportées à partir d’objets correspondants dans la source de données connectée.

XPath Count: expression XPath qui retourne une valeur numérique à rendre entre parenthèses après le nom complet de la ressource.

membre basé sur des critères: ensemble de ressources en lecture seule calculé à partir de la combinaison de membres de groupes statiques et d’un filtre.

appartenance basée sur des critères: groupe dans lequel l’appartenance du groupe est déterminée par un filtre. Voir aussi l’entrée « static Membership ».

membre inter-forêts: membre d’un groupe de sécurité dont le compte d’utilisateur se trouve dans une forêt différente de celle du compte de groupe.

calcul de groupe inter-forêts: activité prête à l’emploi qui place les membres de la forêt d’un groupe dans le jeu de sécurité externe (FSP) associé à la forêt dans laquelle réside le groupe.

expression personnalisée: langage descriptif utilisé pour définir des fonctions ou des flux d’attributs en mode avancé.

D

ensemble de destinations (ou définition de ressource cible après demande): un jeu dans lequel une ressource est déplacée en raison d’une demande qui modifie les attributs de cette ressource.

activité de validation de groupe par défaut: une activité de workflow prête à l’emploi qui détermine si une demande de gestion de groupe violerait la configuration ou la stratégie MIM 2016 ou Active Directory.

déconnecteur: objet dans l’espace connecteur qui représente un objet dans une source de données connectée et qui n’est pas actuellement lié à un objet dans le métaverse.

objets de déconnexion: il existe trois types d’objets de déconnexion : les déconnecteurs, les déconnecteurs explicites et les déconnexions filtrées.

nom complet: attribut d’une ressource qui apparaît dans une interface utilisateur pour identifier cette ressource. Une valeur utilisée dans un nom d’affichage doit être ambiguë et explicite. il est important de fournir un nom d’affichage s’il est nécessaire d’utiliser la ressource dans différentes MIM contrôles du portail, tels que le sélecteur de ressources.

groupe de distribution: collection de ressources qui sont le plus souvent des utilisateurs et d’autres groupes qui peuvent être envoyés simultanément en envoyant des messages électroniques à la boîte aux lettres du groupe.

configuration de domaine: ressource de configuration utilisée pour modéliser Active Directory domaines.

groupe de domaine local: un groupe avec une étendue de domaine local est un groupe de Active Directory qui sécurise les ressources dans un domaine particulier et qui peut contenir des membres de cette forêt ou de n’importe quelle forêt approuvée.

Drop file: un fichier de dépôt est un fichier journal XML représentant une exportation ou une importation potentielle ou en cours.

valeur d’attribut dynamique: valeur d’un attribut calculé en fonction d’autres attributs. Par exemple, un attribut Name est calculé en concaténant le nom donné et le nom de famille.

groupe dynamique: groupe dont l’appartenance est automatiquement déterminée et maintenue à jour en MIM 2016 en s’assurant que le groupe contient toutes les ressources (telles que les personnes, les groupes, les ordinateurs) qui se trouvent dans des conditions exprimées à l’aide de XPath.

E

énumération: liste des ressources retournées par le Service MIM 2016.

escalade: si une approbation n’est pas effectuée dans le délai spécifié, l’approbation est remontée et des approbateurs supplémentaires sont ajoutés à l’approbation.

approbateur d’escalade: utilisateur qui reçoit les messages de demande d’approbation si les approbateurs ne parviennent pas à répondre. Voir aussi l’entrée pour « approbateur ».

connecteur explicite: un objet dans l’espace connecteur qui est lié à un objet dans le métaverse et ne peut pas être déconnecté par un filtre de connecteur. Un connecteur explicite ne peut être créé que manuellement avec l’outil de jointure, et il ne peut être déconnecté que par l’approvisionnement ou à l’aide de l’outil de jointure.

déconnexion explicite: objet dans l’espace connecteur qui n’est pas lié à un objet dans le métaverse et qui peut uniquement être joint à l’aide de l’outil de jointure. Un objet devient un déconnecteur explicite en déconnectant manuellement l’objet à l’aide de l’objet de jointure.

exportation: l’exportation est le processus qui consiste à envoyer des modifications aux sources de données connectées. Une exportation est toujours une opération Delta basée sur la dernière importation réussie. MIM traite les modifications d’exportation, mais ne traite pas les modifications apportées à l’espace connecteur tant que les modifications n’ont pas été confirmées par une nouvelle importation. Selon le type d’agent de gestion que vous utilisez, les modifications implémentées par une exportation peuvent être au niveau de l’attribut, de l’objet ou de la valeur.

Flow d’attribut d’exportation: processus de traduction des attributs d’un objet du métaverse vers l’espace connecteur. Ce processus peut impliquer des mappages un-à-un, l’application d’extensions de règles pour modifier des attributs ou la définition de valeurs d’attribut statiques. Les attributs exportés sont prédéfinis dans l’espace connecteur pour la prochaine exportation vers la source de données connectée.

Langage XAML (extensible Assertion Markup Language): langage basé sur XML dans lequel les définitions de workflow sont représentées.

filtre d’étendue du système externe: détermine les ressources que vous identifiez et filtrez à partir d’un répertoire source en fonction d’une condition particulière.

type de ressource système externe: il s’agit du type de ressource dans le système externe auquel les ressources MIM 2016 sont connectées.

indicateur de création de ressource système externe: paramètre d’une règle de synchronisation indiquant si une ressource doit être créée dans l’espace connecteur si, en fonction des critères de relation, cette ressource n’existe pas dans le système externe. consultez MIM indicateur de création de ressources 2016.

étendue du système externe: paramètre d’une règle de synchronisation contenant un filtre présentant des ressources sur le système externe auquel s’applique la règle.

F

filtre: expression contenant des conditions de filtre. Un filtre correspond à une ressource si chacune des conditions de filtre contenues dans le filtre correspond à la ressource. dans MIM 2016, le filtre utilise la syntaxe XPath.

déconnecteur filtré: objet dans l’espace connecteur qui ne peut pas être joint ou projeté à un objet dans le métaverse en fonction des règles de filtre de connecteur dans l’agent de gestion associé.

agent de gestion FIM: agent de gestion qui effectue une synchronisation entre le service MIM 2016 et le service de synchronisation MIM 2016.

service client de réinitialisation de mot de passe FIM/MIM: cela fait référence au service proxy qui réside sur l’ordinateur de l’utilisateur final qui communique avec le serveur MIM 2016.

extensions de réinitialisation de mot de passe FIM/MIM: cela fait référence au code qui réside sur l’ordinateur de l’utilisateur final et qui étend les fonctionnalités de Windows ouverture de session pour inclure la réinitialisation du mot de passe en libre-service.

indicateur de création de ressource FIM/MIM: paramètre d’une règle de synchronisation indiquant si une ressource doit être créée dans la base de données MIM 2016 si elle est basée sur les critères de relation pour lesquels les ressources n’existent pas. Consultez également l’entrée « indicateur de création de ressource système externe ».

fonction: composant qui peut être inclus dans une règle de synchronisation ou une définition de flux de travail pour traiter des valeurs de données.

G

porte: activité de flux de travail utilisée dans la phase d’authentification du traitement des demandes. Voir aussi l’entrée pour « barrière AQ » et « porte de verrouillage ».

imbrication de groupes: champ d’une définition de groupe qui spécifie si le groupe contient d’autres groupes en tant que membres du groupe actuel.

étendue du groupe: champ d’une définition de groupe, un ou « local », « global » ou « universel ». Pour plus d’informations, consultez Active Directory étendue du groupe.

I

importation: processus de déplacement d’objets de source de données connectée dans l’espace connecteur à des fins de création, de modification, de suppression ou de vérification. Une importation peut être une opération complète ou différentielle. pour une importation complète, MIM demande tous les objets désignés de la source de données connectée et supprime tous les objets intermédiaires pour lesquels aucun objet correspondant n’a été reçu pendant cette importation. Par conséquent, cette étape de profil d’exécution est utile pour nettoyer les objets intermédiaires dans l’espace connecteur. Les objets qui ont été reçus de la source de données connectée sont prédéfinis dans l’espace connecteur. Pour que l’importation Delta fournisse les résultats souhaités, la source de données connectée doit implémenter une forme de filigrane. La source de données connectée utilise le filigrane pour indiquer à quel moment les modifications les plus récentes apportées à un objet se sont produites. MIM lit le filigrane pour déterminer les éléments à inclure dans l’importation différentielle. L’Active Directory USN en est un exemple.

Flow d’attribut d’importation (IAF): le workflow d’attribut d’importation est le processus d’importation d’un attribut de l’espace connecteur vers le métaverse. Ce processus peut impliquer l’application de mappages d’attributs un-à-un, à l’aide d’extensions de règles pour modifier des attributs ou définir des attributs statiques.

urlde l’image : url d’un fichier image à afficher dans l’interface utilisateur du portail MIM 2016.

Flow initial: un flot initial est un flot de valeurs d’attribut qui est appliqué une seule fois lorsque la ressource est créée pour la première fois. Autrement dit, un mot de passe initial est créé uniquement lorsque vous créez un compte pour la première fois.

workflow interactif: flux de travail qui nécessite une réponse de l’utilisateur qui demande une modification, par exemple pour effectuer des vérifications d’authentification supplémentaires.

J

jointure: une jointure est le processus qui consiste à lier un objet d’espace de connecteur à un objet métaverse existant. Les valeurs d’attribut circulent uniquement entre les objets liés.

joindre une demande de groupe: demande d’ajout d’un utilisateur à un groupe.

L

verrouillage: paramètre de configuration d’une ressource person dans la base de données MIM 2016 qui restreint l’authentification de cette personne à MIM 2016 ou à la réinitialisation du mot de passe.

porte de verrouillage: activité de flux de travail dans la phase d’authentification du traitement de la demande de verrouillage d’un utilisateur qui n’a pas réussi à s’authentifier. Voir aussi l’entrée « verrouillage » et « barrière AQ ».

seuil de verrouillage: il s’agit d’un contrôle entier qui spécifie le nombre de fois où un utilisateur peut échouer pour terminer le flux de travail d’authentification avant qu’il ne soit verrouillé pour la durée de verrouillage. La valeur par défaut de ce paramètre est 3. La limite inférieure est 0 et la limite supérieure est 99.

durée de verrouillage: il s’agit d’un contrôle entier qui spécifie la durée en minutes pendant laquelle l’utilisateur est verrouillé après avoir atteint le seuil de verrouillage.  Le paramètre par défaut est de 15 minutes.  La limite inférieure de ce paramètre est 1 et la limite supérieure est 9999. La limite supérieure permet à l’administrateur de définir la limite supérieure à une valeur supérieure à un jour.

nombre de seuils de verrouillage avant le verrouillage permanent: il s’agit d’un contrôle entier qui permet à l’administrateur de configurer une valeur numérique pour le nombre de fois où un utilisateur peut atteindre le seuil de verrouillage avant d’être définitivement verrouillé. Le verrouillage permanent implique que l’utilisateur doit être déverrouillé par l’administrateur système. Par défaut, cette valeur est définie sur 3. La plage de ce paramètre est comprise entre 1 et 99.

M

agent de gestion: un agent de gestion (ma) connecte une source de données connectée spécifique au méta-annuaire. il est chargé de déplacer les données de la source de données connectée vers MIM et les règles qui détermineraient l’éligibilité des données d’identité pour participer à des MIM et à d’autres sources de données connectées. Lorsque les données du méta-annuaire sont modifiées, l’agent de gestion peut exporter les données vers les sources de données connectées pour maintenir la synchronisation de la source de données connectée avec les données de MIM. Un agent de gestion est utilisé à la place d’un connecteur basé sur un agent.

règle de stratégie de gestion (MPR): les règles de stratégie de gestion (mpr) fournissent un mécanisme permettant de modéliser les règles de traitement de l’entreprise pour les demandes entrantes adressées à MIM serveur 2016. ils contrôlent les autorisations pour demander des opérations sur MIM ressources 2016 avec les workflows qui sont déclenchés par ces requêtes.

Il existe deux types de MPR :

  • Demander des MPR : accorder des autorisations et exécuter des flux de travail (appelés avant l’exécution d’une opération demandée).

  • Définir la transition MPR : exécuter uniquement les workflows (réaction à une modification d’État appliquée).

    Les principaux objets de conception pour MPR sont les suivants :

  • Autorisations de modélisation

  • Modélisation des mappages de flux de travail

  • Modélisation des transitions

  • Modélisation des définitions réflexive

  • Modélisation de l’accès utilisateur non authentifié

  • Modélisation des stratégies temporelles

  • Modélisation des autorisations de filtre

membre géré manuellement: appartenance du groupe ou de l’ensemble qui se compose d’une liste sélectionnée manuellement d’utilisateurs, de groupes ou d’autres ressources.

métaverse: le magasin de données central utilisé par MIM pour contenir les informations d’identité agrégées de plusieurs sources de données connectées, fournissant ainsi une vue globale et intégrée unique de tous les objets combinés. le méta-verse ne doit pas être utilisé en tant que table ou vue de données d’identité agrégées pour toutes les applications autres que MIM dans la mesure où la corruption peut en résulter.

boîte aux lettres surveillée: boîte aux lettres qui MIM les analyses de Service 2016 pour recevoir l’approbation et demander des messages électroniques du complément MIM pour Outlook.

N

activité de notification: activité de flux de travail au sein de la phase d’action du traitement des demandes dans laquelle MIM 2016 envoie des messages électroniques à un ou plusieurs utilisateurs pour les notifier de la demande.

message de notification: message électronique envoyé par une activité de notification. Consultez également l’entrée « activité de notification ».

O

ObjectID (ResourceID): attribut qui contient un identificateur global unique (GUID) assigné par MIM 2016 à chaque ressource lors de sa création. Ce nom est également appelé ID de ressource.

identificateur d’objet: séquence de nombres utilisée comme identificateur pour un champ dans un certificat numérique X. 509, ou pour un type d’attribut ou une classe d’objet dans un service d’annuaire LDAP. Les identificateurs d’objets sont généralement attribués par les éditeurs de logiciels et les organismes de normalisation.

type d’opération: le type d’opération est demandé sur la ressource gérée par MIM 2016 par le biais du service Web. Cela comprend la création et la suppression de ressources, ainsi que la lecture et la modification des attributs de ressource. En outre, les opérations d’ajout/de suppression vous permettent d’appliquer un contrôle supplémentaire à l’opération de modification pour contrôler uniquement l’ajout de valeurs aux attributs ou à leur suppression.

opérateur: élément d’un filtre qui spécifie une comparaison ou une autre relation entre des valeurs de données.

origine définie (ou définition de ressource cible avant la demande): un jeu dans lequel une ressource appartenait avant une modification des attributs de cette ressource.

P

paramètre: lors de la configuration de nouvelles ressources, il est parfois possible de fournir des valeurs d’attribut à partir d’une source externe, comme un utilisateur. Une valeur d’attribut est transmise en tant que paramètre pour pouvoir créer une nouvelle ressource.

partition: volume logique de données dans l’espace connecteur. Un agent de gestion peut créer une ou plusieurs partitions pour diviser logiquement les données en regroupements logiques distincts. Chaque volume de données est traité individuellement au cours de la synchronisation.

réinitialisation du mot de passe: procédure par laquelle le mot de passe d’un utilisateur peut être remplacé par une valeur connue, dans les situations où l’utilisateur a oublié ou perdu son mot de passe. Voir aussi l’entrée « inscription ».

phase: chaque demande de création, de mise à jour ou de suppression de ressource est traitée à l’aide de trois phases de flux de travail. Au cours de la phase d’authentification, des vérifications d’authentification supplémentaires de l’utilisateur demandeur peuvent être effectuées. Dans la phase d’autorisation, toutes les approbations nécessaires sont collectées. Dans la phase action, les activités sont exécutées après que la demande de modification de la ressource a été validée.

objets d’espace réservé: objets de l’espace connecteur qui représentent un seul niveau de la hiérarchie de la source de données connectée. Par exemple, si vous souhaitez synchroniser des objets avec une forêt Active Directory, vous devez importer les conteneurs qui composent le chemin d’accès pour les objets Active Directory. Dans l’exemple, CN = MikeDan, OU = Users, DC = Microsoft, DC = com, les objets d’espace réservé sont créés pour DC = com et DC = Microsoft, DC = com. En outre, un objet d’espace réservé peut représenter un objet dans la source de données connectée à laquelle une valeur d’attribut de référence importée fait référence (par exemple, l’objet auquel l’attribut Manager fait référence dans un objet utilisateur). Les objets d’espace réservé ne contiennent pas de valeurs d’attribut et ne peuvent pas être liés au métaverse.

gestion des stratégies: la gestion des stratégies dans MIM 2016 est rendue possible par une console Sharepoint pour la création et la mise en œuvre de stratégies. les workflows basés sur des Windows Workflow Foundation extensibles permettent aux utilisateurs de définir, d’automatiser et d’appliquer des stratégies de gestion des identités. La gestion des stratégies comprend également la synchronisation et la cohérence des identités hétérogènes qui sont réalisées par l’intégration d’une large gamme de systèmes d’exploitation réseau, de messagerie, de base de données, de répertoire, d’application et d’accès au fichier plat.

mise à jour de stratégie (ou exécution sur la mise à jour de stratégie): si un Workflow doit être réexécuté suite à une modification apportée aux jeux ou MPR qui y fait référence, l’indicateur de mise à jour de stratégie est utilisé pour indiquer cela.

priorité: ordre des règles de synchronisation.

ensemble principal: ensemble utilisé dans la règle de stratégie de gestion pour spécifier l’ensemble de ressources (généralement les utilisateurs) qui initient l’évaluation de la règle de stratégie de gestion.

jeu principal relatif à la ressource: il s’agit d’une propriété réflexive. Sa valeur est définie en termes d’une des propriétés de ressource. Il est utilisé pour définir des règles de stratégie de gestion dynamique dont les conditions sont évaluées dans le contexte de chaque ressource cible en cours de traitement.

projection: processus de création d’un objet dans le métaverse basé sur des règles de projection, puis de liaison automatique de cet objet à un objet existant dans l’espace connecteur.

approvisionnement: processus de création, de modification du nom et d’annulation de l’approvisionnement des objets dans les espaces de connecteur prédéterminés en fonction des modifications apportées à un objet dans le métaverse. Les règles d’approvisionnement peuvent être configurées pour être appelées chaque fois qu’un objet métaverse est modifié. Ces règles peuvent exécuter des actions au niveau de l’objet, telles que la création d’un nouvel objet d’espace de connecteur ou la déconnexion d’objets d’espace de connecteur existants liés à l’objet métaverse.

Q

Portail AQ: activité de flux de travail dans une phase d’authentification, dans laquelle l’utilisateur demandeur doit fournir des réponses à une ou plusieurs questions prédéterminées. Cette activité est généralement utilisée pour la réinitialisation de mot de passe, pour demander à l’utilisateur de prouver son identité en fournissant à l’utilisateur une sélection de questions prédéterminées pour lesquelles seul cet utilisateur connaîtrait, pour lequel l’utilisateur doit fournir la réponse correcte. Voir aussi l’entrée pour « porte de verrouillage ».

défi de l’assurance qualité: un défi qui oblige l’utilisateur à répondre à une série de questions pour s’authentifier auprès de MIM 2016.

R

paramètres de mot de passe aléatoires: paramètre qui détermine le nombre de caractères requis pour définir un mot de passe dans le répertoire externe.

type d’attribut de référence: type d’attribut dans lequel les valeurs de l’attribut sont les valeurs d’attribut ObjectID (globally unique identifiers) des autres ressources dans MIM 2016.

intégrité référentielle: contrainte dans MIM 2016 dans laquelle un attribut de référence ne peut pas avoir comme valeur un ObjectID d’une ressource qui a été supprimée.

inscription: procédure de configuration de la réinitialisation du mot de passe libre-service pour un utilisateur. Voir aussi l’entrée pour « barrière AQ ».

réinscription: mise à jour de l’inscription pour une stimulation d’authentification dans MIM 2016, généralement requise après une modification de la stratégie d’administration pour l’enregistrement de la réinitialisation du mot de passe.

création de relations: indicateurs de Configuration d’une règle de synchronisation qui détermine si les ressources doivent être créées automatiquement dans MIM 2016 ou dans le système externe, si les ressources sont absentes.

critères de relation: paramètre d’une règle de synchronisation qui est utilisé pour faire correspondre des ressources dans MIM serveur et des ressources dans des systèmes externes.

fin de relation: indique si les ressources associées dans d’autres systèmes externes doivent être déconnectées (et éventuellement supprimées) quand la règle de synchronisation ne s’applique plus.

gestion des demandes: possibilité pour un utilisateur d’interagir avec les demandes soumises et de gérer les flux de travail associés.

règle de stratégie de gestion des demandes (demandes): type de règle de stratégie de gestion évalué et appliqué aux demandes entrantes pour effectuer des opérations. Les règles sont principalement utilisés pour créer des définitions de stratégie d’accès dans MIM. En d’autres termes, la réponse à la façon dont la demande est gérée. Quand vous configurez un demandes, le demandeur est dans le jeu conçu pour effectuer une opération.

l’architecture MIM définit six opérations différentes pour lesquelles un demandes peut être défini :

  • Crée une ressource.

  • Supprime une ressource.

  • Lire une ressource.

  • Ajoutez une valeur à un attribut à valeurs multiples.

  • Supprimer une valeur d’un attribut à valeurs multiples.

  • Modifiez un attribut à valeur unique.

    Lorsque vous définissez un demandes, vous devez sélectionner au moins l’une de ces six opérations. Les opérations sont toujours définies dans le contexte du demandeur. Chaque condition requiert la définition d’une cible. Une opération appliquée à une cible peut entraîner une transition d’état de la ressource cible. Un demandes est toujours appelé avant l’exécution d’une opération demandée. Pour caractériser efficacement la cible de votre condition, vous devez configurer deux États différents :

  • Définition de ressource cible avant la demande : état de la cible avant l’application de la demande.

  • Définition de ressource cible après la demande : état de la cible après l’application de la demande.

    Le fait que vous ayez besoin de définir les deux États dépend des opérations que votre demandes est définie. Dans une opération de création, la ressource demandée n’a pas d’état initial. Par conséquent, il vous suffit de configurer la définition de ressource cible après la demande pour une opération de création.

    Une opération de lecture ou de suppression n’entraîne pas de transition d’État. Pour ces deux types d’opérations, vous devez uniquement spécifier la définition de ressource cible avant la demande.

    Pour une opération de modification ou toutes les autres combinaisons d’opérations, vous devez configurer les deux États, qui peuvent avoir les mêmes valeurs si aucune transition d’État n’a lieu.

    Vous pouvez exprimer les ressources associées par rapport au demandeur (par exemple, l’objet utilisateur du demandeur, le responsable d’un utilisateur cible ou le propriétaire d’un groupe cible).

    La forme la plus simple d’une réponse à une condition est d’accorder des autorisations pour effectuer l’opération demandée. Outre l’octroi d’autorisations, vous pouvez également définir d’autres opérations en tant que réponse à une condition dans un demandes. dans l’architecture MIM, ces opérations sont définies sous la forme de flux de travail. À l’heure où un demandes donné est traité, le système risque de ne pas disposer d’informations suffisantes pour accorder l’autorisation. Dans ce cas, vous pouvez définir des étapes d’authentification et d’autorisation supplémentaires dans vos demandes qui s’appliquent à la personne effectuant une demande donnée. Par exemple, pour accorder l’autorisation d’effectuer l’opération demandée, vous pouvez avoir besoin d’une interaction manuelle d’un utilisateur pour approuver l’opération.

    La figure suivante présente l’architecture complète d’un demandes :

    Architecture demandes

    lorsqu’un nouvel objet de requête est créé dans MIM, le système interroge les règles configurés pour obtenir la correspondance des objets en comparant les conditions de demande aux conditions configurées dans votre règles de gestion. Si des règles correspondants sont localisés, ils sont appliqués à l’objet de demande en file d’attente. La figure suivante décrit ce processus :

    Les règles correspondants sont localisés et appliqués à l’objet de demande en file d’attente

    dans MIM portail, les autorisations pour les opérations doivent être accordées explicitement. En d’autres termes, sauf s’il est accordé par un demandes, toutes les opérations sur les ressources sont refusées. Chaque objet de requête requiert au moins un demandes qui accorde l’autorisation d’effectuer l’opération demandée sur une cible.

objet de requête: lorsqu’un utilisateur effectue une tâche dans le portail MIM ou le complément MIM pour Outlook, il est représenté sous la forme d’un objet de requête. Les objets de requête représentent un mécanisme de création de rapports pratique pour les activités dans votre système.

Chaque objet de requête comporte les composants suivants :

  • Demandeur : ressource qui demande à effectuer une opération.

  • Opération : action que le demandeur souhaite effectuer.

  • Cible : ressource qui est la cible de l’opération demandée.

    Logiquement, un objet de requête est une implémentation de l’instruction suivante :

    The requester attempts to perform the following operation on this target...

    L’illustration suivante présente l’architecture générale d’un objet de requête :

    Architecture de l'objet de demande

    Chaque objet de requête a une propriété Status pour indiquer l’état du traitement. Le traitement des demandes peut nécessiter une interaction manuelle pour terminer une demande. Par exemple, le propriétaire d’un groupe peut être obligé d’approuver manuellement la demande d’un autre utilisateur pour rejoindre un groupe. outre une interaction manuelle, vous pouvez également configurer MIM pour traiter automatiquement une demande spécifique sans intervention humaine.

modèle de traitement des demandes: le modèle de traitement des demandes dans MIM est composé de trois phases principales :

  • Phase 1 : authentification

  • Phase 2 : autorisation

  • Phase 3 : action

    Les workflows, chacun contenant une ou plusieurs activités, peuvent être attachés à chacune de ces phases et s’exécuter dans le contexte de l’exécution d’une requête unique. une demande peut être lancée à partir d’un seul appel utilisateur vers l’un des points de terminaison de Service Web ou par l’intermédiaire d’un utilisateur qui crée une demande dans le portail MIM.

    L’illustration suivante montre la relation entre les composants de traitement des demandes :

    Relation des composants de traitement des demandes

    Les demandes sont traitées dans l’ordre suivant :

  • création d’objet de demande : MIM 2016 crée un objet de requête en réponse à un appel à l’un des points de terminaison de Service Web ou à la suite d’une demande lancée via le portail MIM.

  • Évaluation MPR : les droits du demandeur de demander l’action sont validés et le calcul des flux de travail applicables est effectué. La requête est vérifiée par rapport à des mappages à des objets MPR. Pour mapper à un MPR, tous les champs applicables du MPR pour l’opération demandée doivent correspondre. Cela comprend le demandeur, l’opération, la ressource cible et les attributs. Si toutes ces conditions, y compris les attributs affectés, sont vraies pour une demande entrante, le MPR approprié est mis en correspondance avec la requête. Une demande doit correspondre à au moins un MPR qui accorde l’autorisation dans le cadre de sa définition. Si la valeur est true, la demande passe par l’étape de vérification des autorisations du traitement des demandes. Si ce n’est pas le cas, la demande échoue. Le système détermine également les transitions de jeu qui font partie de la requête et localise toutes les MPR de transition de jeu associées.

  • authentification : MIM 2016 exécute les workflows d’authentification un à la fois dans un ordre non déterministe pour confirmer l’identité du demandeur.

  • autorisation : MIM 2016 confirme que le demandeur est autorisé à effectuer l’opération demandée sur la ressource spécifiée dans la demande. tous les flux de travail d’autorisation dépendants sont exécutés en parallèle, mais aucune demande n’est validée dans le magasin d’objets MIM, sauf si tous les flux de travail ont été exécutés et que tous ont réussi.

  • traitement : MIM 2016 effectue l’opération demandée sur le magasin d’applications MIM.

  • Action : MIM 2016 exécute tous les processus qui doivent se produire en raison de l’opération demandée. Tous les flux de travail d’action sont exécutés en parallèle. Les opérations de lecture n’ont aucun flux de travail appliqué à leur traitement. Cela comprend les workflows configurés dans le demandes, ainsi que les flux de travail dans le MPR défini basé sur la transition.

    Notes

    Les demandes qui sont lancées par le compte de synchronisation contournent tous les flux de travail d’authentification et d’autorisation qui leur sont applicables. Tous les flux de travail d’action applicables sont appliqués.

demandeur: identité de l’utilisateur ou du service qui a envoyé une demande à MIM 2016.

étendue du demandeur: collection configurée d’utilisateurs qui peuvent soumettre une demande. Peut être « tout le monde » ou un ensemble spécifique d’utilisateurs défini par un filtre.

ressource: instance d’un certain type de ressource dans le MIM 2016. Chaque ressource est identifiée de manière unique par son attribut ObjectID (ResourceID).

configuration de l’affichage du contrôle des ressources (configuration rcdc): les configurations rcdc sont des ressources de configuration utilisées pour le rendu de l’interface utilisateur dans le contrôle de ressource (RC) pour la création d’un type de ressource spécifique dans MIM 2016.

ressource actuelle définie: partie de la définition de condition de règles de stratégie de gestion. Collection de ressources cibles au moment de la réception de la demande. S’applique aux types d’opérations de lecture, de suppression et de modification.

jeu final de ressources: partie de la définition de condition dans les règles de stratégie de gestion. Collection des ressources cibles après le traitement de la requête. S’applique uniquement aux types d’opérations de création et de modification.

hiérarchie des ressources: dans un service d’annuaire, la hiérarchie d’une entrée de ressource est la collection d’entrées de répertoire entre la base d’un contexte d’appellation et cette entrée de ressource.

étendue des ressources: ensemble de ressources sur lequel une demande peut être soumise.

type de ressource: partie d’un schéma qui définit la représentation d’une ressource dans MIM 2016.

mappage de type de ressource: relation entre un type de ressource utilisé pour représenter une ressource dans MIM 2016 et une classe de ressource utilisée pour représenter cette ressource dans le métaverse.

rôle: un principal de sécurité affecté à l’organisation et utilisé pour gérer les droits d’accès.

extension de règles: une extension de règles est une bibliothèque de liens dynamiques (.dll) qui contient un ensemble défini de règles pour la gestion des données. Vous pouvez utiliser des extensions de règles pendant les synchronisations pour étendre les fonctionnalités. Par exemple, vous pouvez utiliser une extension de règles pour combiner des données de deux attributs sources et les transmettre à un attribut cible (par exemple, sn et givenName dans displayName ).

historique des exécutions: ensemble de statistiques qui affichent les résultats d’une seule exécution d’un agent de gestion.

Profild’exécution : un profil d’exécution représente un ensemble d’étapes qui spécifient comment exécuter un agent de gestion et les paramètres de configuration qui déterminent le mode d’exécution d’un agent de gestion. Un agent de gestion peut avoir plusieurs profils d’exécution, qui sont stockés avec l’agent de gestion. Un profil d’exécution est composé d’au moins une étape de profil d’exécution.

S

dossier de recherche: consultez l’entrée « dossier de recherche d’approbations ».

étendue de recherche: spécifie les propriétés d’un contexte de recherche particulier qu’un utilisateur peut effectuer à partir du portail MIM 2016. Par exemple, un utilisateur peut sélectionner une étendue de recherche dans une liste déroulante pour « tous les utilisateurs », « toutes les listes de distribution », « Mes approbations en attente » et les résultats de la recherche sont limités aux éléments qui répondent à ces critères, en plus des termes de recherche spécifiés par l’utilisateur.

descripteur de sécurité: structure et données associées qui contiennent les informations de sécurité pour une ressource sécurisable. Un descripteur de sécurité identifie le propriétaire et le groupe principal de la ressource. Il peut également contenir une liste DACL qui contrôle l’accès à la ressource et une liste SACL qui contrôle la journalisation des tentatives d’accès à la ressource.

principal de sécurité: identité utilisée pour la gestion de la sécurité, telle qu’un compte d’utilisateur, qui peut s’authentifier auprès d’un service.

jeton de sécurité: élément de protocole qui transfère les informations d’authentification et d’autorisation, en fonction des informations d’identification. Dans les protocoles de services Web, un jeton de sécurité est représenté sous la forme d’un élément XML dans un en-tête SOAP, tel que défini par WS-Security.

service d’accès aux jetons de sécurité: service qui implémente le protocole WS-Trust pour gérer l’approbation entre les clients et les services en fonction de l’échange de jetons de sécurité.

flux de travail séquentiel: tous les flux de travail de MIM 2016 sont dérivés du flux de travail séquentiel Windows workflow foundation. Il comprend plusieurs flux de travail dans un ordre séquentiel.

compte de service: un compte de Windows affecté à un service Windows, plutôt qu’être utilisé par un utilisateur pour se connecter à un système informatique. Il représente le compte système de MIM.

Set: collection nommée de ressources. En général, les jeux sont utilisés pour organiser les ressources en fonction des règles. L’appartenance à un ensemble est gérée manuellement ou basée sur des critères. Cela signifie que vous pouvez ajouter manuellement des ressources à un jeu et que vous pouvez définir des critères qui ajoutent automatiquement des ressources à un jeu en fonction d’une instruction de filtre. Lorsqu’une ressource respecte les critères de filtre, elle est automatiquement ajoutée à l’ensemble associé.

Définir la règle de stratégie de gestion de transition (TMPR): règle de stratégie de gestion appliquée sur les modifications apportées à l’appartenance à un ensemble. Définir des flux de travail d’action d’application les TMPR lorsque l’objet passe dans ou en dehors d’un jeu spécifié dans le MPR.

Il existe deux types de les TMPR :

  • Transition en cours : une ressource devient membre de l’ensemble de transitions.

  • Transition vers l’extérieur : une ressource quitte l’ensemble de transitions.

    Notes

    Lorsqu’un ensemble de transition est supprimé, le système traite la suppression comme un événement de transition pour les objets affectés.

    La réponse est une réaction à un changement d’État appliqué. Lorsque le MPR associé est appelé, la condition a déjà été appliquée. Cela signifie que les ressources affectées ont déjà été transférées à l’intérieur ou à l’extérieur d’un ensemble de transitions. Pour les TMPR, l’objectif de la réponse est de ne pas définir la réaction à une opération demandée, mais de définir la réponse à une opération appliquée. En d’autres termes, pour un ensemble de MPR basé sur la transition, il n’est pas approprié de savoir comment un État a été atteint. Il s’agit des conséquences d’un changement d’État.

    quand vous configurez un ensemble MPR basé sur la transition dans MIM, vous devez spécifier les trois paramètres suivants :

  • Ensemble de transitions

  • Type de transition

  • Workflows de stratégie

    Les workflows de stratégie sont des définitions des processus qui doivent être appelés en réponse à la modification d’État. Les cas d’utilisation les plus courants pour les MPR basés sur l’État sont l’octroi ou la révocation des habilitations et de l’approvisionnement et de l’annulation de l’approvisionnement dans des sources de données externes.

    La figure suivante présente l’architecture complète d’un ensemble de MPR basé sur la transition :

    Définir l’architecture TMPR

    Définir les MPR basés sur une transition sont activés par les demandes. lorsqu’une demande est traitée et approuvée par un demandes, le service de MIM détermine également si une demande approuvée entraîne une transition d’état et si un MPR basé sur la transition d’état gère le changement d’état.

    La figure suivante présente la relation entre une demande et un ensemble MPR basé sur la transition.

    Relation entre une demande et un ensemble TMPR

Sid: valeur unique utilisée pour identifier un compte d’utilisateur, un compte de groupe ou une ouverture de session.

SOAP: protocole d’échange d’informations structurées entre les composants logiciels.

synchronisation: processus qui consiste à conserver les données sélectionnées dans plusieurs sources de données en accord. La synchronisation représente les opérations sur les objets uniquement dans MIM. La synchronisation peut être une opération sur l’ensemble des données pour lesquelles il est défini sur un agent de gestion ou une opération Delta conformément aux modifications apportées depuis la dernière opération connue. L’étape de profil d’exécution de la synchronisation définit les processus de synchronisation entrante et sortante.

L’étape de profil d’exécution de synchronisation a deux sous-types :

  • Synchronisation différentielle

  • Synchronisation complète

    pendant la synchronisation delta, MIM traite uniquement les objets importés, qui sont les objets intermédiaires marqués comme étant en attente d’importation. Cette étape de profil d’exécution est utile pour traiter uniquement les objets qui ont des modifications en attente, mais qui n’ont pas été traités lors d’une exécution de synchronisation précédente.

    La synchronisation Delta est utilisée dans deux profils d’exécution prédéfinis et se comporte légèrement différemment dans chacun d’eux. Le premier profil d’exécution est la synchronisation Delta, où aucune importation à partir d’une source connectée n’est effectuée, mais tous les objets de l’espace connecteur sont évalués et tous les objets avec des modifications en attente sont traités. Le deuxième profil d’exécution est l’importation Delta et la synchronisation Delta sont combinées. Ce profil d’exécution importe uniquement les objets et attributs de la source de données connectée dont les valeurs ont été modifiées depuis la dernière exécution de l’agent de gestion. Les règles de l’agent de gestion sont ensuite réappliquées uniquement aux objets qui ont des modifications en attente à partir de l’importation Delta. Les objets sans modifications en attente de cette importation delta ne sont pas évalués.

    pendant une synchronisation complète, MIM évalue et applique des règles de synchronisation à tous les objets intermédiaires dans un espace de connecteur. Une synchronisation complète doit être lancée chaque fois que des modifications ont été appliquées aux règles d’un environnement donné. En fonction du nombre d’objets dans l’espace de connecteur, il peut s’agir d’une opération gourmande en temps et en ressources. les modifications fréquentes des règles de synchronisation dans votre environnement de production doivent donc être évitées.

filtre de synchronisation: filtre pour empêcher le transfert des ressources dans le métaverse vers la base de données MIM 2016.

règle de synchronisation: règle qui consiste à transmettre les informations de ressources entre le serveur MIM (y compris le moteur de synchronisation MIM) et le système externe connecté.

T

stratégie temporelle: transition de jeu MPR qui est liée à un ensemble temporel. La stratégie est appliquée à la sortie du temps, à mesure que les objets passent à l’intérieur et à l’extérieur de l’ensemble, en fonction de la définition de l’ensemble temporel.

Ensemble temporel: type d’un objet set basé sur des dates relatives. Les ensembles temporels fournissent un mécanisme qui permet d’automatiser entièrement le processus de transition vers ou à l’extérieur d’un jeu en fonction du passage de l’heure. Par exemple, un ensemble temporel peut être défini pour tous les groupes qui expirent une semaine à partir d’aujourd’hui. Le système évalue automatiquement les objets dans le système et les ajoute quotidiennement à cet ensemble. D’autres exemples autorisent les définitions dynamiques d’une référence d’heure comme un filtre basé sur « x jours à partir d’aujourd’hui ».

événement chronométré: événement de transition qui se produit après qu’un intervalle de temps configuré s’est écoulé ou qu’une date et une heure spécifiques ont été atteintes.

timeout: période pendant laquelle MIM 2016 attend des réponses d’approbation jusqu’à ce qu’une activité soit remontée.

ensemble de transition: ensemble utilisé dans une définition d’une règle de stratégie de gestion de transition définie. La stratégie est appliquée aux modifications apportées à l’appartenance à un ensemble, qui peuvent être des objets qui entrent ou quittent le jeu, en fonction de la configuration de TMPR.

U

groupe déverrouillé: groupe dans lequel l’appartenance du groupe peut être modifiée par des utilisateurs autres que le propriétaire du groupe.

groupe universel: un groupe avec une étendue universelle est un groupe de Active Directory qui peut contenir des membres d’une forêt particulière. Un groupe universel peut recevoir des autorisations dans n’importe quel domaine ou forêt. Les listes de distribution ont généralement une étendue universelle.  Un groupe de sécurité avec une étendue universelle peut sécuriser les ressources au sein de la même forêt.

demande de mise à jour: demande de modification des attributs d’une ressource.

mot clé usage: un mot clé d’utilisation est utilisé pour déterminer les étendues de recherche affichées pour une page spécifique dans l’interface utilisateur du portail. Chaque page d’affichage de liste de l’interface utilisateur spécifie zéro, un ou plusieurs mots clés d’utilisation, et l’interface utilisateur de cette page comprend toutes les zones de recherche qui contiennent des mots clés correspondants. Lorsque vous créez des étendues de recherche, les clients peuvent spécifier zéro, un ou plusieurs mots clés par étendue de recherche pour personnaliser les étendues de recherche qui s’affichent pour une page donnée dans l’interface utilisateur. Il est également utilisé pour déterminer la ressource de page d’hébergement et la ressource de barre de navigation qui s’affichent dans l’ensemble des utilisateurs. Il est également utilisé dans la gestion des schémas pour protéger et étiqueter les éléments de schéma qui sont nécessaires aux différents composants de MIM.

W

portail Web: interface utilisateur implémentée par une application logicielle via un composant d’un serveur Web, tel qu’IIS.

service Web: interface de protocole d’un service implémenté à l’aide d’un protocole basé sur http.

fluxde travail : un flux de travail est un ensemble d’unités élémentaires nommées activités, stockées en tant que modèle, qui décrit un processus réel. Les workflows permettent de décrire l’ordre et les relations dépendantes entre les éléments de travail. Ce travail traverse le modèle du début à la fin, et les activités peuvent être effectuées par des personnes ou des fonctions système. En d’autres termes, si une réponse à une demande nécessite un traitement complexe, les étapes sont encapsulées dans un objet de Workflow. Les flux de travail sont des composants facultatifs qui sont étroitement liés à MPR. Les workflows définissent une activité ou des activités qui doivent se produire pendant le traitement d’un MPR. MIM installe plusieurs flux de travail par défaut qui peuvent être utilisés tels quels ou comme base pour un flux de travail personnalisé.

Voici des exemples d’activités de flux de travail :

  • Envoi d’un message électronique automatisé pour demander l’approbation.

  • Restriction des attributs qu’un utilisateur peut voir pendant une recherche personnalisée.

  • validation d’un nouveau groupe par rapport aux instructions AD DS ou MIM.

  • Ajout ou suppression de l’objet de l’étendue d’une règle de synchronisation.

    pour répondre à toutes les exigences de traitement dans votre environnement, l’architecture MIM définit trois types de flux de travail :

  • Authentification : effectue une validation supplémentaire de l’identité de l’utilisateur avant de poursuivre la demande

  • Autorisation : valide une demande par le biais d’une séquence d’activités telles que l’obtention de l’approbation externe nécessaire avant le traitement d’une demande.

  • Action : traite toutes les autres activités une fois que la demande d’origine s’est terminée avec succès.

    Ces trois flux de travail composent une partie du modèle de traitement des demandes.

définition de workflow: la définition de workflow est stockée au format XOML défini par le Windows Workflow Foundation (WF). Cela définit les activités, les paramètres pour les activités et l’ordre dans lequel elles doivent s’exécuter.

Concepteur de flux de travail: l’expérience au moment du design pour la construction de workflows.

hôte de flux de travail: composant serveur qui gère l’exécution des flux de travail. dans MIM 2016, le Service MIM 2016 est l’hôte de flux de travail.

instance de flux de travail: instance en cours d’exécution d’une définition de workflow en tant qu’effet d’une demande.

gestion des flux de travail: fonctionnalité MIM 2016 qui traite de la conception de workflows, de leur exécution et de leur gestion. La gestion des flux de travail se compose des Concepteur de flux de travail, de la gestion des demandes et de l’hôte de Workflow.