Plano de sincronização de perfil do SharePoint Server 2013
APLICA-SE A:
2013 
2019 Subscription Edition SharePoint no Microsoft 365
A sincronização de perfil (também conhecida como "sinc de perfil") permite criar perfis de usuários importando informações de outros sistemas que são usados em sua organização. Antes de ler este artigo, você deve entender os conceitos introduzidos no artigo Visão geral da sincronização de perfil no SharePoint Server 2013. A sincronização de perfil também é usada na autenticação de servidor para servidor, que permite que os servidores acessem e solicitem recursos de outro servidor em nome dos usuários. Para obter mais informações, consulte Autenticação de servidor para servidor e perfis de usuário no SharePoint Server.
Este artigo descreve:
Como obter as informações necessárias para configurar a sincronização do perfil.
Com quem você deve trabalhar para coletar as informações necessárias.
Os tipos de conteúdo externos que precisarão ser criados, se houver a necessidade.
Este artigo não descreve como implementar seu plano. Essas informações são abordadas no artigo Sincronizar perfis de usuário e grupo no SharePoint Server 2013.
Antes de começar
Antes de trabalhar nas tarefas de planejamento neste artigo, é preciso:
Saiba quais usuários você deseja ter perfis no SharePoint Server 2013.
Saiba quais propriedades um perfil de usuário terá e preencha a planilha Planejamento de Propriedades do Perfil de Usuário, conforme explicado no artigo Planejar perfis de usuário no SharePoint Server.
Entender os conceitos gerais sobre serviços de diretório.
Sobre o planejamento para sincronização de perfil
Como primeira etapa para o planejamento da sincronização de perfil, você identificará conexões de sincronização e coletará informações que serão necessárias ao criar a conexão. Se precisar de qualquer tipo de conteúdo externo, documente os requisitos para esses tipos de conteúdo externos, forneça os requisitos para um desenvolvedor e receba os detalhes que serão usados para especificar uma conexão de sincronização com o sistema comercial.
Em seguida, você determinará como associar propriedades do perfil do usuário a informações nos sistemas externos para que elas possam ser sincronizadas.
Por último, você responderá a perguntas mais diretas, por exemplo, se você sincronizará grupos, qual servidor você usará para executar o serviço de sincronização e com que frequência você sincronizará as informações do perfil.
Planejar as conexões de sincronização
Cada propriedade no perfil de um usuário pode vir de um sistema externo. Há dois tipos de sistemas externos: serviços de diretório e sistemas comerciais. Durante todo este artigo, a frase sistema comercial é usada para indicar um sistema externo que não é um serviço de diretório. SAP, Siebel, SQL Server e aplicativos personalizados são todos exemplos de sistemas de negócios.
Observação
Para obter uma lista de serviços de diretório com suporte, consulte Visão geral de sincronização de perfil.
No SharePoint Server 2013, uma conexão de sincronização é uma maneira de obter informações de perfil de usuário de um sistema externo. Para importar perfis de um dos serviços de diretório suportados, crie uma conexão de sincronização com o serviço de diretório. Para importar propriedades de perfil adicionais de um sistema de negócios, crie um tipo de conteúdo externo para levar os dados do sistema de negócios para o SharePoint Server 2013 e crie uma conexão de sincronização com o tipo de conteúdo externo. As seções a seguir explicam como coletar as informações que serão necessárias para cada conexão de sincronização.
Conexões com serviços de diretório
Cada usuário que você deseja ter um perfil no SharePoint Server 2013 deve ter uma identidade em um serviço de diretório. (Se os usuários não estiverem representados em um serviço de diretório, você não poderá sincronizar perfis de usuário.) Identifique quais serviços de diretório contêm informações sobre esses usuários. A menos que você consiga acessar o serviço de diretório, identifique também um administrador do serviço de diretório. Você precisará da ajuda dessa pessoa para coletar algumas informações necessárias para criar conexões de sincronização.
A planilha de planejamento de conexão contém modelos para as informações que você precisa coletar para cada tipo de conexão. Cada modelo está em uma guia separada rotulada com o nome do provedor do serviço de diretório ao qual ele se aplica. Crie uma guia para cada serviço de diretório identificado. Copie o modelo para o tipo de serviço de diretório na nova guia. Em seguida, conclua as informações em cada nova guia de acordo com a tabela a seguir.
| Nome da linha na planilha | Aplica-se ao tipo de conexão | Instruções |
|---|---|---|
| Nome da conexão de sincronização |
Todos |
Escolha um nome que o ajudará a se lembrar com qual serviço de diretório isso se conecta. |
| Tipo de conexão |
Todos |
O tipo de serviço de diretório com o qual ocorre uma conexão. Essas informações já estão preenchidas em cada guia. |
| Floresta |
AD DS |
O nome da floresta do serviço de diretório. |
| Controlador de domínio |
AD DS |
O nome do controlador de domínio preferido. Você precisará apenas identificar o controlador de domínio se houver vários controladores de domínio na floresta e você quiser sincronizar com um controlador de domínio específico. |
| Tipo de provedor de autenticação |
Todos |
O tipo de autenticação do SharePoint Server 2013 deve ser usado para se conectar ao serviço de diretório. Pode ser um dos seguintes: Autenticação do Windows Autenticação baseada em formulários Autenticação baseada em declarações O arquiteto de sistemas deve ser capaz de fornecer essas informações. |
| Provedor de autenticação |
Todos |
Caso a autenticação com base em formulários ou em reivindicações for usada, preencha o nome do provedor confiável. O arquiteto de sistemas deve ser capaz de fornecer essas informações. Um provedor de autenticação não é necessário para autenticação no Windows. |
| Conta de sincronização |
Todos |
A conta, inclusive o domínio, que será usada para a conexão com o serviço de diretório. Provavelmente, o administrador do serviço de diretório criará uma conta a ser usada na sincronização. Observação: as permissões que a conta de sincronização deve ter são descritas na seção Permissões da conta de plano deste tópico. |
| Senha de sincronização da conta |
Todos |
A senha para a conta de sincronização. Observação: você deve saber a senha da conta de sincronização. É recomendável não registrar a senha na planilha. |
| Porta de conexão |
Todos |
A porta que será usada para se conectar ao serviço de diretório. |
| Usar SSL? |
AD DS |
Se deve usar uma conexão protegida por SSL para se conectar ao serviço de diretório. O SSL é suportado somente para conexões com o AD DS. |
| Servidor de serviços de diretório |
Tivoli, Sun, eDirectory |
O nome do servidor de serviços de diretório. |
| Atributo Username |
Tivoli, Sun, eDirectory |
O nome do atributo no serviço de diretório que serve como o identificador exclusivo para cada perfil. Na maioria dos casos, o atributo username padrão de "uid" está correto. |
| Contêineres |
Todos |
Os nomes dos contêineres do serviço de diretório, também conhecidos como UO (unidade organizacional), contêm os perfis para sincronização. |
| Filtro para usuários |
Todos |
See the detailed instructions in the section Sobre a exclusão de filtros. |
| Filtro para grupos |
Todos |
Consulte a seção Sincronizando grupos. |
Sobre a exclusão de filtros
O SharePoint Server 2013 sincronizará todos os perfis dos contêineres que você identificar, a menos que você escolha excluir perfis usando um filtro. Por exemplo, você pode criar um filtro para excluir usuários cujas contas estão desabilitadas.
Um filtro é composto por um conjunto de cláusulas e pelo conectar que unirá as cláusulas. Cada cláusula tem três partes:
Atributo: o atributo do serviço de diretório para comparação.
Valor: o valor ao qual comparar o atributo.
Operador: o tipo de comparação.
Há duas formas de unir as cláusulas de um filtro de exclusão:
Todas se aplicam (AND): uma conta corresponderá ao filtro se todas as cláusulas forem aplicadas.
Qualquer uma se aplica (OR): uma conta corresponderá ao filtro se qualquer cláusula for aplicada.
Você não pode misturar ANDs e ORs em um filtro.
Por exemplo, suponha que funcionários temporários em sua organização recebam contas do Active Directory que começam com "T-". Você deseja sincronizar perfis para todos os usuários permanentes (não temporários) cujas contas não estão desabilitadas. É possível criar um filtro que use as cláusulas na seguinte tabela.
Observação
Depois que qualquer alteração for feita em um filtro, é necessária uma sincronização completa.
| Atributo | Operator | Valor |
|---|---|---|
| Samaccountname |
começa com |
T- |
| Useraccountcontrol |
Bit ativado igual |
2 |
O filtro uniria as cláusulas usando Qualquer uma se aplica (OR).
Observação
No AD DS, userAccountControl é uma máscara de bits que representa vários aspectos úteis sobre o status da conta do usuário. Para obter uma lista de alguns dos filtros usados com mais frequência que você pode criar usando o atributo userAccountControl , consulte Como usar os sinalizadores UserAccountControl para manipular as propriedades da conta de usuário.
Você não pode criar um filtro baseado na associação em um grupo de serviços de diretório, como uma lista de distribuição. Para obter alternativas para importar usuários com base na associação de grupo, consulte Incapacidade de importar usuários com base na associação de grupo.
Conexões com sistemas comerciais
Para importar propriedades de um sistema de negócios, você precisará de um tipo de conteúdo externo que traga o valor da propriedade do sistema externo para o SharePoint Server 2013. Este artigo não aborda a criação de um tipo de conteúdo externo. Geralmente, essa tarefa é feita por um desenvolvedor.. Este artigo descreve os dados que devem ser coletados e fornecidos ao desenvolvedor e informa o que deve ser feito com as informações recebidas. Para obter informações do desenvolvedor, consulte Tipos de conteúdo externos no SharePoint 2013.
Você pode usar a planilha de planejamento de tipo de conteúdo externo para especificar os tipos de conteúdo externos a serem criados. Acesse a planilha Planejamento de Propriedades do Perfil de Usuário que você concluiu ao ler o artigo Planejar perfis de usuário no SharePoint Server. Na planilha Planejamento de tipo de conteúdo externo, crie uma linha para cada propriedade do perfil do usuário que vier de um sistema comercial. Preencha as três primeiras colunas de cada linha de acordo com as instruções da tabela a seguir.
| Coluna na planilha | Instruções |
|---|---|
| Sistema comercial |
Um nome de sua escolha que identifique o sistema comercial que contém a propriedade. |
| Item |
Os dados no sistema comercial que correspondem à propriedade. Seja o mais específico possível. Por exemplo, se o sistema comercial for um banco de dados, forneça o nome da tabela e da coluna, se souber. |
| Possíveis identificadores |
Uma lista das propriedades do perfil de usuário que podem identificar exclusivamente um usuário. |
Depois de preencher as três primeiras colunas de cada linha, entregue a planilha para o desenvolvedor de tipo de conteúdo externo. O desenvolvedor deve seguir estas etapas e devolver a planilha:
Criar tipos de conteúdo externos para fornecer os dados do sistema externo descritos na planilha.
Escolher um identificador apropriado para cada tipo de conteúdo externo.
Se os perfis de usuário tiverem um relacionamento um para um com os itens do tipo de conteúdo externo, crie um método de localização específico. Um tipo de conteúdo externo que contém a data de nascimento de um usuário é um exemplo de um relacionamento um para um. Cada perfil de usuário corresponderá a um item do tipo de conteúdo externo.
Se os perfis de usuário tiverem uma relação de um para muitos com itens do tipo de conteúdo externo, crie um método de localização e um filtro de comparação. Um tipo de conteúdo externo que contém a placa de um veículo que o usuário possui é um exemplo de uma relação de um para muitos. Um usuário pode ter vários veículos. Portanto, cada perfil de usuário pode corresponder a mais de um item do tipo de conteúdo externo.
Atualize a planilha para descrever os tipos de conteúdo externos que foram criados.
A planilha Planejamento de Conexão (propriedades de perfil de usuário e planilha de planejamento de sincronização de perfil) contém uma guia para uma conexão com um sistema de negócios. Quando receber as informações de volta do desenvolvedor do tipo de conteúdo externo, agrupe todas as propriedades do perfil do usuário que compartilharem o mesmo tipo de conteúdo externo. Crie uma guia na planilha Planejamento de Conexões para cada tipo de conteúdo externo e copie as informações da guia Sistemas empresariais para cada nova guia. Em cada guia criada, conclua as informações de acordo com as instruções na tabela a seguir.
| Linha na planilha | Instruções |
|---|---|
| Nome da conexão de sincronização |
Escolha um nome que o ajudará a se lembrar com qual sistema comercial isso se conecta. |
| Tipo de conexão |
"Conectividade de dados comerciais" Essas informações já foram preenchidas. |
| Entidade de conectividade dos dados comerciais |
O nome do tipo de conteúdo externo. |
| Mapeamento um para um ou um para muitos |
O número de itens do tipo de conteúdo externo que pode corresponder a um determinado perfil de usuário. Insira "um para um" ou "um para muitos", conforme apropriado. |
| A propriedade do perfil precisa corresponder |
O nome da propriedade do perfil de usuário que corresponde ao identificador do tipo de conteúdo externo. |
| Filtro de comparação |
O nome do filtro de comparação. Um filtro é necessários somente para mapeamentos um para muitos. |
Identificar os mapeamentos de propriedade
Para indicar se a propriedade de um perfil de usuário vem de um sistema externo, associe a propriedade a um atributo específico do sistema externo. Por padrão, determinadas propriedades do perfil do usuário são mapeadas. Só é possível associar uma propriedade de perfil para um atributo cujo tipo de dados seja compatível com o tipo de dados da propriedade. Por exemplo, você não pode mapear a propriedade de perfil de usuário SPS-HireDate para o atributo homePhone Active Directory porque SPS-HireDate é uma data e homePhone é uma cadeia de caracteres Unicode. Para obter uma lista dos tipos de dados de propriedade de perfil que são compatíveis com quais tipos de dados AD DS, consulte User profile property data types in SharePoint Server 2013.
Ao sincronizar informações de perfil, além de importar as propriedades de perfil de sistemas externos, também é possível gravar dados em um serviço de diretório. Você não pode gravar dados de volta em um sistema de negócios. Para indicar que o SharePoint Server 2013 deve exportar uma propriedade de perfil de usuário, você mapeia a propriedade e defina a direção do mapeamento como Exportar. Cada propriedade pode ser mapeada somente em uma direção. Você não pode importar e exportar a mesma propriedade de perfil de usuário. Os dados exportados sobrescrevem todos os valores que já possam estar presentes no serviço de diretório. Isso também vale para propriedades com múltiplos valores: o valor exportado não é anexado aos valores existentes, ele os sobrescreve.
Examine a planilha Planejamento de Propriedades do Perfil de Usuário que você concluiu ao ler os perfis de usuário do Plano no tópico do SharePoint Server . Para cada linha (propriedade) cujo valor será importado de um sistema externo, preencha as três colunas finais de acordo com as instruções da tabela abaixo.
| Linha na planilha | Instruções |
|---|---|
| Direção |
"Importar", indicando que a propriedade será importada para o SharePoint Server 2013. |
| Conexão de sincronização |
O nome da conexão de sincronização por meio da qual essa propriedade será fornecida. |
| Atributo |
O nome do elemento do sistema externo que fornecerá o valor da propriedade de perfil de usuário. Se a conexão de sincronização ocorrer com um serviço de diretório, esse será o nome do atributo do serviço de diretório. Se a conexão de sincronização ocorrer com um sistema comercial, esse será o nome da coluna no tipo de conteúdo externo. |
Observação
Você não pode usar uma conexão com um sistema de negócios para mapear uma propriedade binária para uma propriedade que implementa o método do acessador stream .
Para cada linha (propriedade) cujo valor será exportado para um serviço de diretório, preencha as três colunas finais de acordo com as instruções da tabela abaixo.
| Linha na planilha | Instruções |
|---|---|
| Direção |
"Exportar", indicando que a propriedade será exportada do SharePoint Server 2013 para um serviço de diretório. |
| Conexão de sincronização |
O nome da conexão de sincronização por meio da qual essa propriedade será exportada. Pode ser apenas uma conexão com um serviço de diretório. |
| Atributo |
O nome do atributo de serviço de diretório cujo valor deve ser atualizado com o valor da propriedade de perfil de usuário. |
Sincronizando grupos
Por padrão, o SharePoint Server 2013 sincroniza grupos, como listas de distribuição, quando sincroniza perfis de usuário. Você pode desativar essa funcionalidade na página Configurar Configurações de Sincronização da Administração Central. A sincronização de grupos é suportada apenas para AD DS.
Se você sincronizar grupos além dos usuários, o SharePoint Server 2013 importará informações sobre os grupos e sobre quais usuários são membros dos grupos. A sincronização de um grupo não cria um perfil para o grupo e não causa a criação de perfis de usuário adicionais. No SharePoint Server 2013, os grupos são usados apenas para criar audiências e para exibir quais associações um visitante tem em comum com a pessoa cujo Meu Site a pessoa está visitando.
Se você decidir sincronizar grupos, o SharePoint Server 2013 importará informações sobre todos os grupos existentes nos contêineres de serviço de diretório que você está sincronizando, a menos que você escolha excluir grupos usando um filtro. O filtro para exclusão de grupos é diferente do filtro para exclusão de usuários, embora ambos sigam o mesmo formato.
Volte à planilha Planejamento de conexão e preencha o Filtro para a célula de grupos.
Planejar o servidor de sincronização
Além de determinar as conexões de sincronização e identificar os mapeamentos de propriedade, também é necessário planejar os aspectos mais diretos da sincronização de perfis. A primeira delas é a identificação do servidor de sincronização.
É possível executar somente uma instância do serviço Sincronização do perfil de usuário em um farm. O computador no qual o serviço Sincronização do perfil de usuário executa é chamado servidor de sincronização . Especifique o servidor de sincronização ao criar o aplicativo de serviço Perfil de usuário. O SharePoint Server 2013 provisiona uma versão do FIM (Microsoft Forefront Identity Manager) neste computador para participar da sincronização.
Quando o SharePoint Server 2013 sincroniza perfis, ele faz uso pesado da rede para se comunicar entre o servidor de sincronização e os controladores de domínio. Escolher um servidor de sincronização fisicamente próximo aos controladores de domínio reduzirá o tempo exigido para a sincronização.
Planejar a agenda de sincronização
Na primeira vez que você sincronizar informações de perfil entre o SharePoint Server 2013 e sistemas externos, você deve executar uma sincronização completa. Depois disso, configure o trabalho de timer Sincronização Incremental do Perfil de Usuário a fim de realizar uma sincronização incremental em uma agenda recorrente. É possível configurar o trabalho de timer para executar com um intervalo de alguns minutos ou por hora, dia, semana ou mês. Usando as opções por hora, diariamente, semanalmente e mensalmente, você especifica quando deseja que o trabalho de timer comece.
Quanto mais o trabalho de timer de sincronização for realizado, menos alterações existirão para sincronizar e, portanto, mais rápida será a conclusão do trabalho. A frequência padrão é diária. Recomendamos que você agende o início da sincronização para um horário no qual a rede é pouco utilizada.
Para obter instruções sobre como configurar o trabalho de temporizador de sincronização incremental do perfil de usuário, consulte Sincronização de perfil de agendamento no SharePoint Server.
Planejar permissões de conta
Na planilha Planejamento de conexão, você forneceu o nome de uma conta de sincronização para cada serviço de diretório. Essas contas de sincronização precisam receber permissões específicas de modo que o serviço de sincronização possa obter as informações necessárias do serviço de diretório. As seções a seguir identificam quais permissões são necessárias para cada tipo de serviço de diretório. Trabalhe com o administrador do serviço de diretório para conceder às contas as permissões apropriadas.
Serviços de Domínio Active Directory (AD DS)
A conta de sincronização para uma conexão com os Serviços de Domínio Active Directory (AD DS) deve ter as seguintes permissões:
É preciso ter a permissão Duplicar alterações na pasta no domínio com o qual será feita a sincronização.
A permissão Duplicar Alterações na Pasta permite que uma conta consulte as alterações no diretório. Essa permissão não permite que uma conta faça alterações na pasta.
Se o controlador de domínio estiver executando o Windows Server 2003, a conta de sincronização deverá ser membro do grupo interno Acesso Compatível pré-Windows 2000.
Se o nome NetBIOS do domínio for diferente do nome de domínio totalmente qualificado, a conta de sincronização deverá ter a permissão Duplicar alterações na pasta no contêiner cn=configuration. Por exemplo, se o nome de domínio NetBIOS for contoso e o nome de domínio totalmente qualificado for contoso-corp.com, será necessário conceder a permissão Duplicar alterações na pasta no contêiner cn=configuration.
Se você exportar valores de propriedade do SharePoint Server 2013 para o AD DS, a conta de sincronização deve ter permissões Create Child Objects (este objeto e todos os descendentes) e Write All Properties (este objeto e todos os descendentes) na OU (unidade organizacional) com a qual você está sincronizando.
Novell eDirectory versão 8.7.3
A conta de sincronização para uma conexão com o Novell eDirectory deve ter as seguintes permissões:
Direitos de entrada: direitos de navegação para a árvore especificada.
Direitos para todos os atributos: direitos de leitura, gravação e comparação para a árvore especificada.
Sun Java System Directory Server versão 5.2
A conta de sincronização para uma conexão com o Sun Java System Directory Server deve ter as seguintes permissões:
Permissões de leitura, gravação, comparação e pesquisa para o RootDSE.
Para realizar uma sincronização incremental, a conta de sincronização também precisará ter permissões de leitura, comparação e pesquisa para o log de alterações (cn=changelog). Se o log de alterações não existir, será necessário criá-lo antes de sincronizar.
IBM Tivoli versão 5.2
A conta de sincronização para uma conexão com o IBM Tivoli deve ter a seguinte permissão:
- A conta de sincronização deve ser membro de um grupo administrativo.
A conta do farm
O serviço Sincronização do Perfil do Usuário é executado sob a conta do farm. A conta do farm exige permissões específicas para configurar a sincronização de perfil. Uma pessoa com direitos de administrador no servidor de sincronização pode conceder essas permissões.
A conta precisa ser um membro do grupo Administradores no servidor de sincronização. é possível remover essa permissão depois de configurar o serviço Sincronização do Perfil de Usuário.
A conta deve conseguir fazer logon localmente no servidor de sincronização.
Observação
A conta do farm difere da conta do administrador de farm. Para determinar a conta do farm, da Administração Central, clique em Configurar contas de serviço e clique em Conta do Farm.
Se for sincronizar perfis de usuários com um sistema comercial usando um tipo de conteúdo externo, a conta do farm também deverá ter permissão para executar operações no tipo de conteúdo externo. Um administrador do farm pode usar o procedimento " Definir permissões em um tipo de conteúdo externo" para conceder à conta do farm a permissão Executar em cada tipo de conteúdo externo com o qual será feita a sincronização.
Próximas etapas
Para implementar seu plano de sincronização de perfil, siga as instruções no artigo Sincronizar perfis de usuário e grupo no SharePoint Server 2013. Depois de configurar a sincronização de perfil e as informações de perfil sincronizados pela primeira vez, implemente o agendamento de sincronização seguindo o procedimento descrito no artigo Sincronização de perfil de agendamento no SharePoint Server.
Planilhas
Para baixar a planilha de planejamento de conexão, a planilha de planejamento de tipo de conteúdo externo e as planilhas de planejamento de perfil de usuário, acesse propriedades de perfil de usuário e planilhas de planejamento de sincronização de perfil para o SharePoint Server 2013.
Confira também
Conceitos
Visão geral da sincronização de perfil no SharePoint Server 2013
Planejar perfis de usuário no SharePoint Server
Sincronizar perfis de usuário e grupo no SharePoint Server 2013
Administrar o serviço do Perfil de Usuário no SharePoint Server