Hur etablerar jag användare i AD DSHow Do I Provision Users to AD DS

Gäller för: Microsoft Identity Manager 2016 SP1 (MIM)Applies To: Microsoft Identity Manager 2016 SP1 (MIM)

Ett grundläggande krav för ett identitetshanteringssystem är möjligheten att etablera resurser till ett externt system.One basic requirement for an identity management system is the ability to provision resources to an external system.

Den här guiden leder dig igenom de viktigaste byggstenarna som ingår i processen för att etablera användare från Microsoft® Identity Manager (MIM) 2016 till Active Directory® Domain Services (AD DS), förklarar hur du kan verifiera att scenariot fungerar som förväntat, tillhandahåller förslag för att hantera Active Directory-användare med hjälp av MIM 2016 och beskriver ytterligare informationsresurser.This guide walks you through the main building blocks that are involved in the process of provisioning users from Microsoft® Identity Manager (MIM) 2016 to Active Directory® Domain Services (AD DS), outlines how you can verify whether your scenario works as expected, provides suggestions for managing Active Directory users by using MIM 2016, and lists additional sources for information.

Innan du börjarBefore You Begin

I det här avsnittet hittar du information om det här dokumentets omfattning.In this section, you will find information about the scope of this document. Vägledningar är normalt riktade mot användare som redan har grundläggande kunskaper om processen för att synkronisera objekt med MIM enligt beskrivningen i de relaterade guiderna för att komma igång.In general, "How Do I" guides are targeted at readers who already have basic experience with the process of synchronizing objects with MIM as covered in the related Getting Started Guides.

MålgruppAudience

Den här guiden är avsedd för IT-experter som redan har grundläggande kunskaper om hur MIM-synkroniseringsprocessen fungerar och är intresserade av att få praktiska erfarenheter och mer konceptuell information om specifika scenarier.This guide is intended for information technology (IT) professionals who already have a basic understanding of how the MIM synchronization process works and are interested in getting hands-on experience and more conceptual information about specific scenarios.

FörhandskunskaperPrerequisite knowledge

Det här dokumentet förutsätter att du har tillgång till en instans av MIM som körs och att du har erfarenhet av att konfigurera enkla synkroniseringsscenarier enligt beskrivning i följande dokument:This document assumes that you have access to a running instance of MIM and that you have experience in configuring simple synchronization scenarios as outlined in the following documents:

Innehållet i det här dokumentet är avsett att fungera som ett tillägg till dessa grundläggande dokument.The content in this document is scoped to function as an extension to these introductory documents.

OmfångScope

Det scenario som beskrivs i det här dokumentet har förenklats för att bemöta kraven i en grundläggande laboratoriemiljö.The scenario outlined in this document has been simplified to address the requirements of a basic lab environment. Fokus ligger på att lära dig att de förstå begrepp och tekniker som beskrivs.The focus is to give you an understanding of the concepts and technologies discussed.

Det här dokumentet hjälper dig att utveckla en lösning som omfattar hantering av grupper i AD DS med hjälp av MIM.This document helps you develop a solution that involves managing groups in AD DS by using MIM.

TidskravTime requirements

Processerna i det här dokumentet tar 90 till 120 minuter att slutföra.The procedures in this document require 90 to 120 minutes to complete.

Denna tidsberäkning förutsätter att testmiljön redan är konfigurerad och omfattar inte den tid som krävs för att konfigurera testmiljön.These time estimates assume that the testing environment is already configured and does not include the time required to set up the test environment.

Få supportGetting support

Om du har frågor om innehållet i detta dokument eller om du har allmänna kommentarer som du vill diskutera kan du lägga upp ett meddelande i forumet för Forefront Identity Manager 2010.If you have questions regarding the content of this document or if you have general feedback you would like to discuss, feel free to post a message to the Forefront Identity Manager 2010 forum.

Scenario-beskrivningScenario Description

Fabrikam, ett fiktivt företag, planerar att använda MIM för att hantera användarkonton i företagets AD DS med hjälp av MIM.Fabrikam, a fictitious company, is planning to use MIM to manage the user accounts in the corporation’s AD DS by using MIM. Som en del av den här processen måste Fabrikam etablera användare i AD DS.As part of this process, Fabrikam needs to provision users to AD DS. För att starta den första testningen har Fabrikam installerat en grundläggande laboratoriemiljö som består av MIM och AD DS.To start the initial testing, Fabrikam has installed a basic lab environment that consists of MIM and AD DS. I den här laboratoriemiljön testar Fabrikam ett scenario som består av en användare som skapades manuellt i MIM-portalen.In this lab environment, Fabrikam is testing a scenario that consists of a user that was manually created in the MIM Portal. Målet med det här scenariot är att etablera användaren som en aktiverad användare med ett fördefinierat lösenord i AD DS.The objective of this scenario is to provision the user as an enabled user with a predefined password to AD DS.

Utformning av scenarioScenario Design

Om du vill använda den här guiden behöver du tre strukturella komponenter:To use this guide, you need three architectural components:

  • Active Directory-domänkontrollantActive Directory domain controller

  • En dator som kör FIM-synkroniseringstjänstenComputer running FIM Synchronization Service

  • En dator som kör FIM-portalenComputer running FIM Portal

Följande bild visar den miljö som krävs.The following illustration outlines the required environment.

Obligatorisk miljö

Du kan köra alla komponenter på en dator.You can run all components on one computer.

Anteckning

Mer information om hur du konfigurerar MIM finns i FIM-installationsguiden.For more information about setting up MIM, see the FIM Installation Guide.

Lista över scenariokomponenterScenario Components List

Följande tabell visar de komponenter som är en del av scenariot i denna guide.The following table lists the components that are a part of the scenario in this guide.

Organisationsenhet OrganisationsenhetOrganizational unit MIM-objekt – organisationsenhet (OU) som används som ett mål för de etablerade användarna.MIM objects – Organizational unit (OU) that is used as a target for the provisioned users.
Användarkonton AnvändarkontonUser accounts · ADMA – Active Directory-användarkonto med behörighet att ansluta till AD DS.· ADMA – Active Directory user account with sufficient rights to connect to AD DS.
· FIMMA – Active Directory-användarkonto med behörighet att ansluta till MIM.· FIMMA - Active Directory user account with sufficient rights to connect to MIM.
Hanteringsagenter och körningsprofiler Hanteringsagenter och körningsprofilerManagement agents and run profiles · Fabrikam ADMA – hanteringsagenten som utbyter data med AD DS.· Fabrikam ADMA – Management agent that exchanges data with AD DS.
· Fabrikam FIMMA – hanteringsagenten som utbyter data med MIM.· Fabrikam FIMMA - Management agent that exchanges data with MIM.
Synkroniseringsregler SynkroniseringsreglerSynchronization rules Utgående synkroniseringsregel för Fabrikam-grupp – utgående synkroniseringsregel som etablerar användare i AD DS.Fabrikam Group Outbound Synchronization Rule – Outbound synchronization rule that provisions users to AD DS.
Uppsättningar UppsättningarSets Alla leverantörer – uppsättning med dynamiskt medlemskap för alla objekt med EmployeeType-attributvärdet Leverantör.All Contractors – Set with dynamic membership for all objects with an EmployeeType attribute value of Contractor.
Arbetsflöden ArbetsflödenWorkflows AD-etableringsarbetsflöde – arbetsflöde för att sätta MIM-användaren i omfånget för den utgående synkroniseringsregeln för AD.AD Provisioning Workflow - Workflow to bring the MIM user into the scope of the AD Outbound Synchronization Rule.
Hantering av principregler Hantering av principreglerManagement policy rules Hanteringsprincipregel för AD-etablering – hanteringsprincipregel (MPR) som utlöses när en resurs blir medlem i uppsättningen Alla leverantörer.AD Provisioning Management Policy Rule - Management policy rule (MPR) that triggers when a resource becomes a member of the All Contractors set.
MIM-användare MIM-användareMIM users Britta Simon – MIM-användare som du etablerar i AD DS.Britta Simon - MIM user that you provision to AD DS.

ScenarioanvisningarScenario Steps

Scenariot som beskrivs i den här handledningen består av de byggstenar som visas i följande bild.The scenario outlined in this guide consists of the building blocks shown in the following figure.

Scenarioanvisningar

Konfigurera de externa systemenConfiguring the External Systems

I det här avsnittet finns anvisningar för de resurser som du behöver skapa som ligger utanför MIM-miljön.In this section, you will find instructions for the resources that you need to create that are outside of your MIM environment.

Steg 1: Skapa organisationsenhetenStep 1: Create the OU

Du behöver organisationsenheten som en behållare för den etablerade exempelanvändaren.You need the OU as a container for the provisioned sample user. Mer information om hur du skapar organisationsenheter finns i Skapa en ny organisationsenhet.For more information about creating OUs, see Create a New Organizational Unit.

Skapa en organisationsenhet som heter MIMObjects i AD DS.Create an OU called MIMObjects in your AD DS.

Steg 2: Skapa Active Directory-användarkontonStep 2: Create the Active Directory user accounts

För scenariot i den här handledningen behöver du två Active Directory-användarkonton:For the scenario in this guide, you need two Active Directory user accounts:

  • ADMA – används av Active Directory-hanteringsagenten.ADMA - Used by the Active Directory management agent.

  • FIMMA – används av FIM-tjänstens hanteringsagent.FIMMA – Used by the FIM Service management agent.

I båda fallen räcker det att skapa vanliga användarkonton.In both cases, it is sufficient to create regular user accounts. Mer information om de specifika kraven för båda kontona finns senare i det här dokumentet.More information about the specific requirements of both accounts is found later in this document. Mer information om hur du skapar organisationsenheter finns i Skapa ett nytt användarkonto.For more information about creating users, see Create a New User Account.

Konfigurera FIM-synkroniseringstjänstenConfiguring the FIM Synchronization Service

För konfigurationsstegen i det här avsnittet måste du starta hanteraren för FIM-synkroniseringstjänsten.For the configuration steps in this section, you need to start the FIM Synchronization Service Manager.

Skapa hanteringsagenternaCreating the management agents

För scenariot i den här handledningen måste du skapa två hanteringsagenter:For the scenario in this guide, you need to create two management agents:

  • Fabrikam ADMA – hanteringsagent för AD DS.Fabrikam ADMA – management agent for AD DS.

  • Fabrikam FIMMA – hanteringsagent för FIM-tjänstens hanteringsagent.Fabrikam FIMMA – management agent for FIM Service management agent.

Steg 3: Skapa Fabrikam ADMA-hanteringsagentenStep 3: Create the Fabrikam ADMA management agent

När du konfigurerar en hanteringsagent för AD DS måste du ange ett konto som används av hanteringsagenten i datautbytet med AD DS.When you configure a management agent for AD DS, you need to specify an account that is used by the management agent in the data exchange with AD DS. Du bör använda ett vanligt användarkonto.You should use a regular user account. För att importera data från AD DS måste dock kontot har behörighet att avsöka ändringar från DirSync-kontrollen.However, to import data from AD DS, the account must have the right to poll changes from the DirSync control. Om du vill att hanteringsagenten ska exportera data till AD DS måste du ge kontot tillräcklig behörighet i målets organisationsenheter.If you want your management agent to export data to AD DS, you need to grant the account sufficient rights on the target OUs. Mer information om det här ämnet finns i Konfigurera ADMA-kontot.For more information about this topic, see Configuring the ADMA Account.

Om du vill skapa en användare i AD DS måste du flöda ut objektets DN.To create a user in AD DS, you are required to flow out the object's DN. Utöver detta är det bra att flöda förnamn, efternamn och visningsnamn för att se till att objekten är synliga.In addition to this, it is a good practice to flow the first name, last name, and display name to ensure that your objects are discoverable.

I AD DS är det fortfarande vanligt att användarna använder samma sAMAccountName-attribut för att logga in på katalogtjänsten.In AD DS, it is still common for users to use the sAMAccountName attribute to log on to the directory service. Om du inte anger ett värde för det här attributet genererar katalogtjänsten ett slumpmässigt värde för det.If you do not specify a value for this attribute, the directory service generates a random value for it. Dessa slumpmässiga värden är dock inte användarvänliga, och därför är en användarvänlig version av det här attributet normalt en del av en export till AD DS.However, these random values are not user friendly, which is why a user-friendly version of this attribute is typically part of an export to AD DS. För att en användare ska kunna logga in på AD DS måste du även inkludera ett lösenord som skapas med hjälp av unicodePwd-attributet i exportlogiken.To enable a user to log on to AD DS, you also need to include a password created by using the unicodePwd attribute in your export logic.

Anteckning

Kontrollera att värdet som du anger som unicodePwd uppfyller lösenordsprinciperna för målets AD DS.Ensure that the value you specify as unicodePwd complies with the password policies of your target AD DS.

När du anger ett lösenord för AD DS-konton måste du också skapa ett konto som ett aktiverat konto.When you set a password for AD DS accounts, you also need to create an account as an enabled account. Det gör du genom att konfigurera userAccountControl-attributet.You accomplish this by setting the userAccountControl attribute. Mer information om userAccountControl-attributet finns i Använda FIM för att aktivera eller inaktivera konton i Active Directory.For more information about the userAccountControl attribute, see Using FIM to Enable or Disable Accounts in Active Directory.

I följande tabell visas de viktigaste scenariospecifika inställningarna som du behöver konfigurera.The following table lists the most important scenario-specific settings that you need to configure.

Sida för hanteringsagentens designerManagement agent designer page KonfigurationConfiguration
Skapa hanteringsagentCreate management agent 1. Hanteringsagent för: AD DS1. Management agent for: AD DS
2. Namn: Fabrikam ADMA2. Name: Fabrikam ADMA
Anslut till Active Directory-skogenConnect to Active Directory forest 1. Välj katalogpartitioner: "DC=Fabrikam, DC=com"1. Select directory partitions: “DC=Fabrikam,DC=com”
2. Klicka på Behållare för att öppna dialogrutan Välj behållare och se till att MIMObjects är den enda organisationsenhet som är markerad.2. Click Containers to open the Select Containers dialog box and ensure that MIMObjects is the only OU that is selected.
Välj objekttyperSelect Object types Utöver de objekttyperna som redan har valts väljer du användare.In addition to the already selected Object types, select user.
Välj attributSelect attributes 1. Klicka på Visa alla.1. Click Show All.
2. Välj följande attribut:2. Select the following attributes:
   ° displayName   ° displayName
   ° givenName   ° givenName
   ° sn   ° sn
   ° SamAccountName   ° SamAccountName
   ° unicodePwd   ° unicodePwd
   ° userAccountControl   ° userAccountControl

Mer information finns i följande avsnitt i hjälpen:For more information, see the following topics in Help:

  • Skapa en hanteringsagentCreate a Management Agent
  • Ansluta till en Active Directory-skogConnect to an Active Directory Forest
  • Använda hanteringsagenten för Active DirectoryUsing the Management Agent for Active Directory
  • Konfigurera katalogpartitionerConfigure Directory Partitions
Anteckning

Kontrollera att du har en attributflödesregel för import konfigurerad för ExpectedRulesList-attributet.Ensure that you have an import attribute flow rule configured for the ExpectedRulesList attribute.

Steg 4: Skapa Fabrikam FIMMA-hanteringsagentenStep 4: Create the Fabrikam FIMMA management agent

När du konfigurerar en hanteringsagent för FIM-tjänsten måste du ange ett konto som används av hanteringsagenten i datautbytet med FIM-tjänsten.When you configure a FIM Service management agent, you need to specify an account that is used by the management agent in the data exchange with the FIM Service.

Du bör använda ett vanligt användarkonto.You should use a regular user account. Kontot måste vara samma konto som du angav under installationen av MIM.The account must be the same account as the one you specified during the installation of MIM. Information om ett skript som du kan använda för att fastställa namnet på FIMMA-kontot som du angav under konfigurationen och för att testa om detta konto fortfarande är giltigt finns i Använda Windows PowerShell för att utföra ett snabbtest för FIM MA-kontokonfiguration.For a script that you can use to determine the name of the FIMMA account that you specified during setup and to test whether this account is still valid, see Using Windows PowerShell to Do a FIM MA Account Configuration Quick Test.

I följande tabell visas de viktigaste scenariospecifika inställningarna som du behöver konfigurera.The following table lists the most important scenario-specific settings you need to configure. Skapa hanteringsagenten baserat på informationen i tabellen nedan.Create the management agent based on the information provided in the table below.

Sida för hanteringsagentens designerManagement agent designer page KonfigurationConfiguration
Skapa hanteringsagentCreate management agent 1. Hanteringsagent för: FIM-tjänstens hanteringsagent1. Management agent for: FIM Service Management Agent
2. Namn: Fabrikam FIMMA2. Name Fabrikam FIMMA
Anslut till databasConnect to database Använd följande inställningar:Use the following settings:
· Server: localhost· Server: localhost
· Databas: FIMService· Database: FIMService
· FIM-tjänstens basadress: http://localhost:5725· FIM Service base address: http://localhost:5725

Ange information om kontot som du skapade för den här hanteringsagentenProvide the information about the account you created for this management agent
Välj objekttyperSelect Object types Utöver de objekttyper som redan har valts väljer du Person.In addition to the already selected Object types, select Person.
Konfigurera objekttypsmappningarConfigure Object type mappings Utöver de objekttypsmappningar som redan finns lägger du till en mappning för personen Typ av datakällobjekt till Metaversum-objekttyppersonen.In addition to the already existing object type mappings, add a mapping for the Data Source Object Type Person to the Metaverse Object Type person.
Konfigurera attributflödeConfigure attribute flow Utöver de mappningar av attributflöde som redan finns lägger du till följande mappningar av attributflöde:In addition to the already existing attribute flow mappings, add the following attribute flow mappings:

Attributflöde

Mer information finns i följande avsnitt i hjälpen:For more information, see the following topics in the help:

  • Skapa en hanteringsagentCreate a Management Agent

  • Ansluta till en Active Directory-databasConnect to an Active Directory Database

  • Använda hanteringsagenten för Active DirectoryUsing the Management Agent for Active Directory

  • Konfigurera katalogpartitionerConfigure Directory Partitions

Anteckning

Kontrollera att du har en attributflödesregel för import konfigurerad för ExpectedRulesList-attributet.Ensure that you have an import attribute flow rule configured for the ExpectedRulesList attribute.

Steg 5: Skapa körningsprofilernaStep 5: Create the run profiles

I följande tabell visas de körningsprofiler som du måste skapa för scenariot i den här handledningen.The following table lists the run profiles you need to create for the scenario in this guide.

HanteringsagentenManagement agent KörningsprofilRun profile
Fabrikam ADMAFabrikam ADMA 1. Fullständig import1. Full import
2. Fullständig synkronisering2. Full synchronization
3. Deltaimport3. Delta import
4. Deltasynkronisering4. Delta synchronization
5. Exportera5. Export
Fabrikam FIMMAFabrikam FIMMA 1. Fullständig import1. Full import
2. Fullständig synkronisering2. Full synchronization
3. Deltaimport3. Delta Import
4. Deltasynkronisering4. Delta synchronization
5. Exportera5. Export

Skapa körningsprofiler för varje hanteringsagent enligt föregående tabell.Create run profiles for each management agent according to the previous table.

Anteckning

Mer information finns i Skapa en körningsprofil för hanteringsagenten i MIM-hjälpen.For more information, see the Create a Management Agent Run Profile in MIM Help.

Viktigt

Kontrollera att etablering är aktiverad i miljön.Verify that provisioning is enabled in your environment. Det kan du köra genom att köra skriptet, Använda Windows PowerShell för att aktivera etablering (http://go.microsoft.com/FWLink/p/?LinkId=189660).You can do this by running the script, Using Windows PowerShell to Enable Provisioning (http://go.microsoft.com/FWLink/p/?LinkId=189660).

Konfigurera FIM-tjänstenConfiguring the FIM Service

För scenariot i den här handledningen måste du konfigurera en etableringsprincip på det sätt som visas i följande bild.For the scenario in this guide, you need to configure a provisioning policy as shown in the following figure.

Etablering av princip

Målet med den här etableringsprincipen är att föra in grupper i omfattningen för den utgående synkroniseringsregeln för AD-användare.The objective of this provisioning policy is to bring groups into the scope of the AD User Outbound Synchronization Rule. Genom att föra in resursen i omfattningen för synkroniseringsregeln aktiverar du synkroniseringsmotorn så att den kan etablera resursen till AD DS i enlighet med din konfiguration.By bringing your resource into the scope of the synchronization rule, you enable the synchronization engine to provision your resource to AD DS according to your configuration.

Om du vill konfigurera FIM-tjänsten använder du Windows Internet Explorer® för att gå till http://localhost/identitymanagement.To configure the FIM Service, navigate in Windows Internet Explorer® to http://localhost/identitymanagement. På sidan för MIM-portalen skapar du etableringsprincipen genom att gå till de relaterade sidorna från avsnittet Administration.On the MIM Portal page, to create the provisioning policy, go to the related pages from the Administration section. Du kan kontrollera konfigurationen genom att köra skriptet i Using Windows PowerShell to document your provisioning policy configuration (Använda Windows PowerShell för att dokumentera konfiguration av etableringsprincipen).To verify your configuration, you should run the script in Using Windows PowerShell to document your provisioning policy configuration.

Steg 6: Skapa synkroniseringsregelnStep 6: Create the synchronization rule

Följande tabeller visar konfiguration av synkroniseringsregeln för etablering som krävs för Fabrikam.The following tables show the configuration of the required Fabrikam Provisioning synchronization rule. Skapa synkroniseringsregeln enligt data i följande tabeller.Create the synchronization rule according to the data in the following tables.

Konfiguration av synkroniseringsregelSynchronization rule configuration
NamnName Utgående synkroniseringsregel för Active Directory-användareActive Directory User Outbound Synchronization Rule
BeskrivningDescription
PrioritetPrecedence 22
DataflödesriktningData Flow Direction UtgåendeOutbound
BeroendeDependency
OmfångScope
Resurstyp för metaversumMetaverse Resource Type personperson
Externt systemExternal System Fabrikam ADMAFabrikam ADMA
Resurstyp för externt systemExternal System Resource Type användareuser
RelationRelationship
Skapa resurs i externt systemCreate Resource In External System SantTrue
Aktivera avetableringEnable Deprovisioning FalsktFalse
RelationsvillkorRelationship criteria
ILM-attributILM Attribute Attribut för datakällaData Source Attribute
Attribut för datakällaData Source Attribute sAMAccountNamesAMAccountName
Inledande utgående attributflödenInitial outbound attribute flows
Tillåt null-värdenAllow nulls MålDestination KällaSource
falsktfalse dndn +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com")+("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com")
falsktfalse userAccountControluserAccountControl Konstant: 512Constant: 512
falsktfalse unicodePwdunicodePwd Konstant: P\@\$\$W0rdConstant: P\@\$\$W0rd
Beständiga utgående attributflödenPersistent outbound attribute flows
Tillåt null-värdenAllow nulls MålDestination KällaSource
falsktfalse sAMAccountNamesAMAccountName kontonamnaccountName
falsktfalse visningsnamndisplayName visningsnamndisplayName
falsktfalse förnamngivenName förnamnfirstName
falsktfalse snsn efternamnlastName
Anteckning

Kontrollera att du har valt endast inledande flödet för attributflöde som har det unika namnet som mål.Verify that you have selected Initial Flow Only for the attribute flow that has the DN as the destination.

Steg 7: Skapa arbetsflödetStep 7: Create the workflow

Målet med AD-etableringsarbetsflödet är att lägga till synkroniseringsregeln för Fabrikam-etablering i en resurs.The objective of the AD Provisioning Workflow is to add the Fabrikam Provisioning synchronization rule to a resource. Följande tabeller visar konfigurationen.The following tables show the configuration. Skapa ett arbetsflöde enligt data i tabellerna nedan.Create a workflow according to the data in the tables below.

ArbetsflödeskonfigurationWorkflow configuration
NamnName Etableringsarbetsflöde för Active Directory-användareActive Directory User Provisioning Workflow
BeskrivningDescription
ArbetsflödestypWorkflow Type ActionAction
Kör vid principuppdateringRun On Policy Update FalsktFalse
SynkroniseringsregelSynchronization rule
NamnName Utgående synkroniseringsregel för Active Directory-användareActive Directory User Outbound Synchronization Rule
ActionAction Lägg tillAdd

Steg 8: Skapa hanteringsprincipregelStep 8: Create the MPR

Den hanteringsprincipregel (MPR) som krävs har typen Uppsättningsövergång och utlöses när en resurs blir medlem i uppsättningen Alla leverantörer.The required MPR is of type Set Transition and triggers when a resource becomes a member of the All Contractors set. Följande tabeller visar konfigurationen.The following tables show the configuration. Skapa MPR enligt data i tabellerna nedan.Create an MPR according to the data in the tables below.

MPR-konfigurationMPR configuration
NamnName Hanteringsprincipregel för etablering av AD-användareAD User Provisioning Management Policy Rule
BeskrivningDescription
TypType UppsättningsövergångSet Transition
Ger behörigheterGrants Permissions FalsktFalse
InaktiveradDisabled FalsktFalse
Definition av övergångTransition definition
ÖvergångstypTransition Type Övergång inTransition In
ÖvergångsuppsättningTransition Set Alla leverantörerAll Contractors
PrinciparbetsflödenPolicy workflows
TypType ActionAction
VisningsnamnDisplay Name Etableringsarbetsflöde för Active Directory-användareActive Directory User Provisioning Workflow

Initiera miljönInitializing your Environment

Målen för initieringsfasen är följande:The objectives of the initialization phase are as follows:

  • Föra in synkroniseringsregeln i metaversum.Bring your synchronization rule into the metaverse.

  • Föra in Active Directory-strukturen i Active Directory-anslutarplatsen.Bring your Active Directory structure into the Active Directory connector space.

Steg 9: Kör körningsprofilernaStep 9: Run the run profiles

Följande tabell visar de körningsprofiler som ingår i initieringsfasen.The following table lists the run profiles that are part of the initialization phase. Kör körningsprofilerna enligt tabellen nedan.Run the run profiles according to the table below.

KörRun HanteringsagentenManagement agent KörningsprofilRun profile
11 Fabrikam FIMMAFabrikam FIMMA Fullständig importFull import
22 Fullständig synkroniseringFull synchronization
33 ExporteraExport
44 DeltaimportDelta import
55 Fabrikam ADMAFabrikam ADMA Fullständig importFull import
66 Fullständig synkroniseringFull synchronization
Anteckning

Du bör kontrollera att den utgående synkroniseringsregeln har projicerats till metaversum.You should verify that your outbound synchronization rule has been successfully projected into the metaverse.

Testa konfigurationenTesting the Configuration

Målet med det här avsnittet är att testa den faktiska konfigurationen.The objective of this section is to test your actual configuration. För att testa konfigurationen ska du:To test the configuration, you:

  1. Skapa en exempelanvändare i FIM-portalen.Create a sample user in the FIM Portal.

  2. Kontrollera etableringskraven för exempelanvändaren.Verify the provisioning requisites of the sample user.

  3. Etablera exempelanvändaren i AD DS.Provision the sample user to AD DS.

  4. Kontrollera att användaren finns i AD DS.Verify that the user exists in AD DS.

Steg 10: Skapa en exempelanvändare i MIMStep 10: Create a sample user in MIM

I följande tabell visas egenskaperna för exempelanvändaren.The following table lists the properties of the sample user. Skapa en exempelanvändare enligt data i tabellen nedan.Create a sample user according the data in the table below.

AttributAttribute VärdeValue
FörnamnFirst Name BrittaBritta
EfternamnLast Name SimonSimon
VisningsnamnDisplay Name Britta SimonBritta Simon
KontonamnAccount Name BSimonBSimon
DomainDomain FabrikamFabrikam
Typ av anställdEmployee Type LeverantörContractor

Kontrollera etableringskraven för exempelanvändarenVerify the provisioning requisites of the sample user

Två krav måste uppfyllas för att etablera exempelanvändaren i AD DS:To provision the sample user to AD DS, two prerequisites must be satisfied:

  1. Användaren måste vara medlem i uppsättningen Alla leverantörer.The user must be a member of the All Contractors set.

  2. Uppsättningsanvändaren måste finnas i omfattningen för den utgående synkroniseringsregeln.Set user must be in the scope of the outbound synchronization rule.

Steg 11: Kontrollera att användaren är medlem i Alla leverantörerStep 11: Verify the user is a member of All Contractors

Kontrollera om användaren är medlem i uppsättningen Alla leverantörer genom att öppna uppsättningen och sedan klicka på Visa medlemmar.To verify whether the user is a member of the All Contractors set, you open the set, and then click View Members.

Kontrollera att användaren är medlem i alla leverantörer

Steg 12: Kontrollera att användaren finns i omfattningen för den utgående synkroniseringsregelnStep 12: Verify the user is in the scope of the outbound synchronization rule

Kontrollera om användaren finns i omfattningen för synkroniseringsregeln genom att öppna användarens egenskapssida och granska attributet Expected Rules List på fliken Etablering. Attributet Lista över förväntade regler ska innehålla AD-användarenTo verify whether the user is in the scope of the synchronization rule, open the user’s property page and review the Expected Rules List attribute in the Provisioning tab. The Expected Rules List attribute should list the AD User

Utgående synkroniseringsregel.Outbound Synchronization Rule. Följande skärmbild visar ett exempel på attributet Lista över förväntade regler.The following screen shot shows an example of the Expected Rules List attribute.

Status för synkroniseringsregel

Vid denna tidpunkt i processen är synkroniseringsregelns status Väntar.At this point in the process, the Synchronization Rule Status is Pending. Det innebär att synkroniseringsregeln inte har verkställts på användaren än.This means, the synchronization rule has not yet been applied to the user.

Steg 13: Synkronisera exempelgruppenStep 13: Synchronize the sample group

Innan du startar den första synkroniseringscykeln för ett testobjekt ska du spåra förväntat tillstånd för objektet efter varje körningsprofil som du kör i en testplan.Before you start the first synchronization cycle for a test object, you should track the expected state of your object after each run profile that you run in a test plan. Intill allmänt tillstånd för objektet (skapad, uppdaterad eller raderad) bör testplanen även innehålla de attributvärden du förväntar dig.Your test plan should include next to the general state of your object (created, updated, or deleted) also the attribute values that you expect. Använd testplanen för att verifiera förväntningarna på testplanen.Use your test plan to verify your test plan expectations. Om ett steg inte returnerar förväntade resultat ska du inte fortsätta med nästa steg förrän du har löst skillnaden mellan det förväntade resultatet och det faktiska resultatet.If a step does not return the expected results, do not proceed with to the next step until you have resolved the discrepancy between your expected result and the actual result.

Du kan använda synkroniseringsstatistik som en första indikator för att verifiera förväntningarna.To verify your expectations, you can use the synchronization statistics as a first indicator. Om du till exempel förväntar dig att nya objekt ska mellanlagras i en anslutarplats, men importstatistiken inte returnerar några ”Lägger till” är det uppenbarligen något i miljön som inte fungerar som förväntat.For example, if you expect new objects to be staged in a connector space, but the import statistics returns no “Adds,” there is obviously something in your environment that does not work as expected.

Synkroniseringsstatistik

Även om synkroniseringsstatistiken kan ge en första indikation på om scenariot fungerar som förväntat kan du använda Search Connector Space och Metaverse-sökfunktionen i hanteraren för synkroniseringstjänsten för att verifiera de förväntade attributvärdena.While the synchronization statistics can give you a first indication of whether your scenario works as expected, you should use the Search Connector Space and the Metaverse Search feature of the Synchronization Service Manager to verify the expected attribute values.

Synkronisera användaren till AD DS:To synchronize the user to AD DS:

  1. Importera användaren till FIM MA-anslutningsplatsen.Import the user into the FIM MA connector space.

  2. Projicera användaren till metaversum.Project the user into the metaverse.

  3. Etablera användaren till Active Directory-anslutningsplatsen.Provision the user to the Active Directory connector space.

  4. Exportera statusinformation till FIM.Export status information to FIM.

  5. Exportera användaren till AD DS.Export the user to AD DS.

  6. Bekräfta att den nya användaren har skapats.Confirm the creation of the user.

Kör följande körningsprofiler för att utföra dessa uppgifter.To accomplish these tasks, you run the following run profiles.

HanteringsagentenManagement agent KörningsprofilRun profile
Fabrikam FIMMAFabrikam FIMMA 1. Deltaimport1. Delta import
2. Deltasynkronisering2. Delta Synchronization
3. Exportera3. Export
4. Deltaimport4. Delta import
Fabrikam FIMMAFabrikam FIMMA 1. Exportera1. Export
2. Deltaimport2. Delta Import

Efter importen från FIM-tjänstens databas mellanlagras Britta Simon och objektet ExpectedRuleEntry som länkar Britta tillAfter the import from the FIM Service database, Britta Simon and the ExpectedRuleEntry object that links Britta to the

den utgående synkroniseringsregeln för AD-användaren i Fabrikam FIMMA-anslutningsplatsen.AD User Outbound Synchronization Rule are staged in the Fabrikam FIMMA connector space. När du granskarWhen you review

Brittas egenskaper i anslutningsplatsen ser du också en giltig referens till objektet Expected Rule Entry bredvid de attributvärden du har konfigurerat i FIM-portalen.Britta’s properties in the connector space, next to the attribute values that you have configured in the FIM Portal, you also find a valid reference to the Expected Rule Entry object. Följande skärm visar ett exempel på detta.The following screen shot shows an example of this.

Objektegenskaper för anslutarplats

Målet med körning av deltasynkronisering på Fabrikam FIMMA är att utföra flera åtgärder:The objective of the delta synchronization run on your Fabrikam FIMMA is to perform several operations:

  • Projektion – det nya användarobjektet och det relaterade objektet för Expected Rule Entry projiceras in i metaversum.Projection – The new user object and the related Expected Rule Entry object are projected into the metaverse.

  • Etablering – objektet Britta Simon som nyligen har projiceras etableras i anslutarplatsen för Fabrikam ADMA.Provisioning – The newly projected Britta Simon object is provisioned into the connector space of the Fabrikam ADMA.

  • Exportera attributflöden – export av attributflöden sker på båda hanteringsagenterna.Export Attribute Flows – Export attribute flows occur on both management agents. På Fabrikam ADMA fylls objektet Britta Simon som nyligen har etablerats på med nya attributvärden.On the Fabrikam ADMA, the newly provisioned Britta Simon object is populated with new attribute values. På Fabrikam FIMMA uppdateras det befintliga objektet Britta Simon och det relaterade objektet ExpectedRuleEntry med attributvärden som är resultatet av projiceringen.On the Fabrikam FIMMA, the existing Britta Simon object and the related ExpectedRuleEntry object are updated with attribute values that are a result of the projection.

Synkroniseringsstatistik

En etableringsaktivitet har redan skett i anslutarplatsen för Fabrikam ADMA, vilket syns i synkroniseringsstatistiken.As already indicated by the synchronization statistics, a provisioning activity has taken place on the connector space of the Fabrikam ADMA. När du granskar metaversumobjektegenskaperna för Britta Simon kan du se att denna aktivitet är resultatet av attributet ExpectedRulesList som har fyllts i med en giltig referens.When you review the metaverse object properties of Britta Simon, you find that this activity is a result of the ExpectedRulesList attribute that has been populated with a valid reference.

egenskaper för metaversumobjekt

Under följande export på Fabrikam FIMMA uppdateras synkroniseringsregelstatus för Britta Simon från Väntar till Tillämpad, vilket visar att den utgående synkroniseringsregeln nu är aktiv på objektet i metaversum.During the following export on the Fabrikam FIMMA, the synchronization rule status of Britta Simon is updated from Pending to Applied, which indicates that your outbound synchronization rule is now active on the object in the metaverse.

Verkställd synkroniseringsregel

Eftersom ett nytt objekt har etablerats i ADMA-anslutarplatsen bör du ha en export med Lägg till väntande på denna hanteringsagent.Because a new object has been provisioned to the ADMA connector space, you should have one Add pending export on this management agent. Med hjälp av ett skript för detta syfte kan du se en rapporterad export med Lägg till väntande för Fabrikam ADMA.By using a script made for this purpose, you can see one reported Add pending export for the Fabrikam ADMA. Om du vill använda skriptet kan du gå till Using Windows PowerShell to Display the Export State of a Management Agent (Använda Windows PowerShell för att visa exporttillstånd för en hanteringsagent).To use the script, see Using Windows PowerShell to Display the Export State of a Management Agent.

Väntande exporter för hanteringsagent

I FIM kräver varje exportkörning en följande deltaimport att slutföra exportåtgärden.In FIM, each export run requires a following delta import to complete the export operation. Deltaimporten som du kör efter en föregående exportkörning kallas en bekräftande import.The delta import that you run after a previous export run is known as a confirming import. Bekräftande rapporter krävs för att aktivera FIM-synkroniseringstjänsten så att den kan uppfylla lämpliga uppdateringskrav under efterföljande synkroniseringskörningar.Confirming imports are required to enable the FIM Synchronization Service to make appropriate update requirements during successive synchronization runs.

Kör körningsprofilerna enligt anvisningarna i det här avsnittet.Run the run profiles according to the instructions in this section.

Viktigt

Varje körning av körningsprofil måste slutföras utan fel.Each run profile run must succeed without an error.

Steg 14: Verifiera den etablerade användaren i AD DSStep 14: Verify the provisioned user in AD DS

Kontrollera att exempelanvändaren har etablerats i AD DS genom att öppna organisationsenheten FIMObjects.To verify that your sample user has been provisioned to AD DS, you open the FIMObjects OU. Britta Simon bör finnas i organisationsenheten FIMObjects.Britta Simon should be located in the FIMObjects OU.

verifiera att användaren finns i organisationsobjektet FIMObjects

SammanfattningSummary

Syftet med det här dokumentet är att presentera de viktigaste byggstenarna för att synkronisera en användare i MIM med AD DS.The objective of this document is to introduce you to the main building blocks for synchronizing a user in MIM with AD DS. Under det första testet bör du börja med det lägsta antalet attribut som krävs för att slutföra en uppgift och lägga till fler attribut i scenariot när de allmänna stegen fungerar som förväntat.In your initial testing, you should first start with the minimum of attributes that are required to complete a task and add more attributes to your scenario when the general steps work as expected. Genom att se till att komplexiteten är så låg som möjligt förenklas felsökningsprocessen.Keeping the complexity to a minimal level simplifies the process of troubleshooting.

När du testar konfigurationen är det mycket troligt att du tar bort och skapar om nya testobjekt.When you test your configuration, it is very likely that you delete and recreate new test objects. För objekt med ettFor objects with a

ifyllt ExpectedRulesList-attribut kan det här leda till frånkopplade ERE-objekt.populated ExpectedRulesList attribute, this can result in orphaned ERE objects. En beskrivning av hur du kan ta bort dessa objekt från testmiljön finns i En metod för att ta bort överblivna ExpectedRuleEntry-objekt från miljön.For a description of how you can remove these objects from your test environment, see A Method to Remove Orphaned ExpectedRuleEntry Objects from Your Environment.

I ett normalt synkroniseringsscenario som omfattar AD DS som synkroniseringsmål är MIM inte auktoritativt för alla attribut för ett objekt.In a typical synchronization scenario that includes AD DS as a synchronization target, MIM is not authoritative for all attributes of an object. När du exempelvis hanterar användarobjekt i AD DS med hjälp av FIM måste domänen och objectSID-attributen som minst bidras till av AD DS-hanteringsagenten.For example, when you manage user objects in AD DS by using FIM, at a minimum, the domain and the objectSID attributes need to be contributed by the AD DS management agent. Kontonamn, domän och objectSID-attribut krävs om du vill göra det möjligt för en användare att logga in på FIM-portalen.The account name, domain, and objectSID attributes are required if you want to enable a user to log on to the FIM Portal. En ytterligare ingående synkroniseringsregel krävs för AD DS-anslutarplatsen för att fylla i dessa attribut från AD DS.To populate these attributes from AD DS, an additional inbound synchronization rule is required for your AD DS connector space. När du hanterar objekt med flera källor för attributvärden måste du se till att du konfigurerar attributflödets prioritet korrekt.When you manage objects with multiple sources for attribute values, you need to ensure that you configure your attribute flow precedence correctly. Om attributflödets prioritet inte är korrekt konfigurerad blockerar synkroniseringsmotorn attribut från att fyllas i.If the attribute flow precedence is not correctly configured, the synchronization engine blocks attribute values from being populated. Mer information om prioritet för attributflödet finns i artikeln Om prioritet för attributflöde.You can find more information about attribute flow precedence in the article About Attribute Flow Precedence.

Se ävenSee Also

Andra resurserOther Resources

Använda FIM för att aktivera eller inaktivera konton i Active DirectoryUsing FIM to Enable or Disable Accounts in Active Directory

Om referensattributAbout Reference Attributes

Hur kan jag hantera mitt FIM MA-kontoHow Can I Manage My FIM MA Account

Identifiera icke-auktoritativa konton – Del 1: VisualiseraDetecting Nonauthoritative Accounts – Part 1: Envisioning

Fattigmansversionen av en mekanism för anslutningsidentifieringThe Poor Man’s Version of a Connector Detection Mechanism

Konfigurera ADMA-kontotConfiguring the ADMA Account

En metod för att ta bort överblivna ExpectedRuleEntry-objekt från miljönA Method to Remove Orphaned ExpectedRuleEntry Objects from Your Environment

Om prioritet för attributflödeAbout Attribute Flow Precedence

Om exporterAbout Exports