Установка диспетчера удостоверений Microsoft Identity Manager для профилей пользователей в SharePoint Server 2016

  • Статья

 

**Применимо к:**SharePoint Server 2016

**Последнее изменение раздела:**2017-05-30

Сводка. Сведения о MIM (Microsoft Identity Manager) и о том, как помощью этого диспетчера можно импортировать данные профилей пользователей в SharePoint Server 2016.

Содержание

  • Что такое Microsoft Identity Manager?

  • Выбор MIM

  • Установка Microsoft Identity Manager (MIM)

  • Сценарии настройки

Важно!

Файлы решения, упоминаемые в статье, можно скачать здесь. Для доступа вам понадобится учетная запись GitHub. Дополнительные сведения см. в разделе "Скачивание необходимых файлов решения".
Microsoft Identity Manager 2016 доступен для скачивания в Центре корпоративного лицензирования Майкрософт. (Войдите и выполните поиск по названию продукта).
На сервере MIM обязательно установите пакет исправлений KB3092179.

Что такое Microsoft Identity Manager?

В предыдущих версиях SharePoint Server использовалась встроенная копия диспетчера удостоверений FIM (ForeFront Identity Manager), которая была частью SharePoint Server. Эта версия FIM отвечала за синхронизацию профилей пользователей для таких продуктов, как SharePoint Server 2010 и SharePoint Server 2013. Но в SharePoint Server 2016 FIM был заменен новой серверной технологией MIM (Microsoft Identity Manager), не встроенной в SharePoint Server. Это значит, что диспетчер удостоверений MIM, использующийся в компании, может обслуживать несколько ферм SharePoint Server 2016.

Важно отметить, что SharePoint Server 2016 также включает импорт Active Directory (также известный как прямой импорт Active Directory) — альтернативное средство синхронизации профилей пользователей, которое не требуется отдельно устанавливать на сервере. Таким образом, SharePoint Server 2016 предлагает два способа синхронизации профилей пользователей.

Какой способ подходит вам?

 

Сервер управления удостоверениями (Майкрософт)

Импорт Active Directory

Достоинства

1. Возможность настройки импорта.

2. Возможность настройки для двунаправленного потока.

3. Импорт фотографий профилей пользователей.

4. Поддержка источников LDAP, не относящихся к Active Directory.

5. Поддержка сценариев для нескольких лесов.

1. Высокая скорость и производительность.

2. Надежность (по данным использования в Office 365).

3. Возможность настройки в Центр администрирования (меньшая сложность).

Недостатки

1. Для фермы SharePoint рекомендуется использовать отдельный сервер MIM.

2. Чем больше настроек, тем сложнее архитектура, развертывание и управление.

1. Однонаправленный импорт (изменения направляются из Active Directory в профиль SharePoint Server).

2. Импорт только из одного леса Active Directory.

3. Отсутствует возможность импорта фотографий пользователей.

4. Поддержка LDAP только для Active Directory.

5. Сценарии для нескольких лесов не поддерживаются.

Совет

Если вам нужны дополнительные сведения или вы хотите настроить импорт Active Directory для установки SharePoint Server, ознакомьтесь с этой статьей.

Выбор MIM для использования с SharePoint Server 2016

Выбирая MIM, следует знать о некоторых предварительных требованиях. Вам понадобятся:

  1. Компьютер под управлением Windows Server 2012 R2 или виртуальная машина для установки компонентов MIM.

  2. Сервер SQL Server 2008 или более поздней версии, установленный либо на том же компьютере, что и компоненты MIM, либо удаленно.

    Примечание

    Если SQL Server и MIM установлены на отдельных серверах, вам понадобится установить SQL Server Native Client (для версий SQL Server 2008 или 2012) на компьютере, где установлена служба MIM.

  3. Вам потребуется создать учетную запись службы в своем домене для запуска службы синхронизации MIM. Эта учетная запись должна иметь разрешения "Вход в качестве службы" и "Запуск в качестве службы" на компьютере, где будет установлена служба синхронизации MIM. (Эти разрешения обычно назначаются автоматически во время установки службы.)

    Важно!

    Если SQL Server и MIM установлены на одном сервере, для использования этой службы можно использовать локальную учетную запись. Но если сервер SQL установлен удаленно, необходимо использовать учетную запись домена. Если учетная запись и SQL Server находятся в разных доменах, необходимо, чтобы они располагались в одном лесу.

  4. Нужно создать учетную запись пользователя домена с соответствующими разрешениями, которая будет использоваться в соединителе Active Directory.

  5. Программа установки MIM должна запускаться с помощью учетной записи администратора SQL Server в экземпляре SQL Server, где будет размещаться база данных синхронизации MIM. Этой учетной записи должны быть назначены разрешения локального администратора на компьютере, где будет установлена служба синхронизации MIM.

  6. Ваши учетные записи, используемые для проверки или подтверждения процесса, должны быть привязаны к одному электронному адресу, который указывается в Active Directory. Это позволит определять успешность импорта конфигурации MIM.

Установка Microsoft Identity Manager (MIM)

В ходе этой процедуры фактически устанавливаются три различных элемента, необходимых для работы MIM. Прежде всего устанавливается собственно программное обеспечение MIM. Кроме того, вам понадобится агент управления SharePoint.

  1. Сначала скачайте диспетчер удостоверений MIM на сервер, где планируется установка.

  2. Извлеките содержимое ZIP-файла и дважды щелкните Setup.exe. (Файл Setup.exe обычно находится в папке SynchronizationService на установочном носителе MIM.)

  3. Нажмите кнопку Далее, примите условия лицензионного соглашения и нажмите Далее на экране выбора компонентов (изменять выбор по умолчанию не требуется).

  4. На следующем экране мастера установки вам будет предложено указать некоторые сведения об экземпляре SQL Server, который будет использовать служба MIM. Выберите "Этот компьютер", если используется локальный сервер SQL Server, или введите имя удаленного экземпляра SQL Server. Укажите, что SQL Server использует экземпляр по умолчанию или выберите именованный экземпляр. Нажмите кнопку Далее.

  5. Затем введите учетные данные, которые будут использоваться для запуска службы MIM. Вам не нужно настраивать дополнительные разрешения и политики на сервере SQL для этой учетной записи (независимо от того, какой сервер SQL Server используется: локальный или удаленный).

    Примечание

    Если служба синхронизации MIM устанавливается на удаленном экземпляре SQL Server, на сервере MIM уже должен быть установлен клиент SQL Server Native Client.

  6. После этого следует настроить группы безопасности, необходимые для работы MIM. При желании можно оставить настройки по умолчанию. В этом случае группы безопасности будут созданы на локальном компьютере, где установлена служба MIM. Если у вас несколько компьютеров с MIM, группы безопасности можно создать в Active Directory (AD). Их необходимо создавать в одном домене с компьютерами, на которых установлена служба MIM, вводя имена групп на соответствующей странице мастера.

  7. Следующий шаг, касающийся правил брандмауэра, выполняется по желанию. Мы не рекомендуем устанавливать флажок, включающий эти правила.

  8. Нажмите кнопку "Установить", чтобы установить MIM.

    Примечание

    Может появиться предупреждение (предупреждение 25051). Нажмите кнопку ОК для продолжения.

  9. Мастер установки создаст резервную копию набора ключей шифрования.

    Примечание

    Необходимо создать резервную копию ключей, сгенерированных на этом этапе, на случай перехода на другой сервер базы данных. Сохраните эти ключи в надежном расположении и обязательно создайте резервную копию файла ключей и базы данных на случай аварийного восстановления.

  10. Теперь установка MIM должна быть завершена. Необходимо выйти из системы на сервере и снова войти в нее, чтобы убедиться в обновлении кэша MIM.

  11. При повторном входе убедитесь, что служба MIM запущена на сервере. Для этого выберите пункт "Службы" (либо нажмите кнопку "Пуск" или клавишу Windows, выберите пункт Выполнить и введите services.msc) и найдите службу синхронизации Forefront Identity Manager. Это не ошибка. Имя службы не изменилось!

Установка агента управления SharePoint (ForeFront Identity Manager Connector для SharePoint)

Агент управления SharePoint (SPMA) необходим для подключения службы MIM к установке SharePoint Server. Посмотрим, как установить и настроить его.

  1. Агент управления SharePoint устанавливается на сервере, где запущена служба MIM. Последнюю версию агента управления SharePoint можно найти здесь.

  2. Нажмите кнопку Скачать, чтобы запустить программу установки. В процессе установки вам не нужно ничего менять или настраивать.

  3. Перезапустите службу синхронизации Forefront Identity Manager (чтобы найти ее, нажмите кнопку "Пуск" или клавишу Windows, выберите пункт Выполнить и введите services.msc).

  4. После завершения установки откройте панель управления на сервере MIM, перейдите в раздел "Программы и компоненты" и проверьте наличие компонента с именем Forefront Identity Manager SharePoint Connector.

  5. Запустите службу синхронизации на сервере, чтобы проверить ее работу. На сервере Windows Server 2012 R2 значок службы синхронизации можно найти в разделе "Приложения".

На сервере MIM откроется диспетчер Synchronization Service Manager. С его помощью можно настроить службу MIM для использования с SharePoint Server.

Сценарии настройки MIM в SharePoint Server 2016

Сведения о настройке можно найти в следующих статьях: