AD DS için Kullanıcı SağlamaHow Do I Provision Users to AD DS

Uygulama Hedefi: Microsoft Identity Manager 2016 SP1 (MIM)Applies To: Microsoft Identity Manager 2016 SP1 (MIM)

Bir kimlik yönetim sisteminin temel gereksinimlerinden biri, harici bir sisteme kaynak sağlama becerisidir.One basic requirement for an identity management system is the ability to provision resources to an external system.

Bu kılavuz, Microsoft® Identity Manager (MIM) 2016'dan Active Directory® Etki Alanı Hizmetleri'ne (AD DS) kullanıcı sağlama sürecindeki temel yapı taşlarını inceler; senaryonuzun beklendiği gibi çalışıp çalışmadığını nasıl doğrulayabileceğinizi gösterir, Active Directory kullanıcılarını MIM 2016 kullanarak yönetmek için öneriler sunar ve bilgi için ek kaynaklar listeler.This guide walks you through the main building blocks that are involved in the process of provisioning users from Microsoft® Identity Manager (MIM) 2016 to Active Directory® Domain Services (AD DS), outlines how you can verify whether your scenario works as expected, provides suggestions for managing Active Directory users by using MIM 2016, and lists additional sources for information.

Başlamadan ÖnceBefore You Begin

Bu bölümde, bu belgenin kapsamı hakkında bilgi bulabilirsiniz.In this section, you will find information about the scope of this document. Genel olarak, "Nasıl Yaparım" kılavuzları, ilgili Başlangıç Kılavuzlarında ele alındığı üzere nesneleri MIM ile eşitleme konusunda temel bilgisi olan okuyucuları hedef almaktadır.In general, "How Do I" guides are targeted at readers who already have basic experience with the process of synchronizing objects with MIM as covered in the related Getting Started Guides.

Hedef kitleAudience

Bu kılavuz, MIM eşitleme işleminin nasıl yürüdüğüne dair temel bilgiye sahip, belirli senaryolar hakkında uygulamalı deneyim kazanmak ve daha fazla kavramsal bilgi edinmek isteyen bilgi teknolojisi (BT) uzmanları için hazırlanmıştır.This guide is intended for information technology (IT) professionals who already have a basic understanding of how the MIM synchronization process works and are interested in getting hands-on experience and more conceptual information about specific scenarios.

Önkoşul bilgileriPrerequisite knowledge

Bu belgede, çalışan bir MIM örneğine erişiminiz olduğu ve aşağıdaki belgelerde özetlenen basit eşitleme senaryolarını yapılandırma deneyiminiz olduğu varsayılır:This document assumes that you have access to a running instance of MIM and that you have experience in configuring simple synchronization scenarios as outlined in the following documents:

Bu belgenin içeriği, bu giriş amaçlı belgelerin bir uzantısı olacak şekilde hazırlanmıştır.The content in this document is scoped to function as an extension to these introductory documents.

KapsamScope

Bu belgede özetlenen senaryo, temel bir laboratuvar ortamının gereksinimlerini karşılamak için basitleştirilmiştir.The scenario outlined in this document has been simplified to address the requirements of a basic lab environment. Asıl hedef, tartışılan kavramları ve teknolojileri anlamanıza yardımcı olmaktır.The focus is to give you an understanding of the concepts and technologies discussed.

Bu belge, AD DS'deki grupları MIM kullanarak yönetmeyi içeren bir çözüm geliştirmenize yardımcı olur.This document helps you develop a solution that involves managing groups in AD DS by using MIM.

Zaman gereksinimleriTime requirements

Bu belgedeki yordamları tamamlamak 90 ila 120 dakika arasında bir süre gerektirir.The procedures in this document require 90 to 120 minutes to complete.

Bu zaman tahminleri, sınama ortamının zaten yapılandırıldığını varsayar ve sınama ortamını ayarlamak için gereken süreyi içermez.These time estimates assume that the testing environment is already configured and does not include the time required to set up the test environment.

Destek almaGetting support

Bu belgenin içeriğiyle ilgili sorularınız varsa veya tartışmak istediğiniz genel geri bildiriminiz varsa, Forefront Identity Manager 2010 forumuna mesaj göndermekten çekinmeyin.If you have questions regarding the content of this document or if you have general feedback you would like to discuss, feel free to post a message to the Forefront Identity Manager 2010 forum.

Senaryo AçıklamasıScenario Description

Hayali bir şirket olan Fabrikam, şirketin AD DS'deki kullanıcı hesaplarını MIM kullanarak yönetmek için MIM'i kullanmayı planlıyor.Fabrikam, a fictitious company, is planning to use MIM to manage the user accounts in the corporation’s AD DS by using MIM. Bu işlemin bir parçası olarak, Fabrikam AD DS'ye kullanıcı sağlamalıdır.As part of this process, Fabrikam needs to provision users to AD DS. İlk sınamayı başlatmak için Fabrikam, MIM ve AD DS'den oluşan bir temel laboratuvar ortamı kurdu.To start the initial testing, Fabrikam has installed a basic lab environment that consists of MIM and AD DS. Bu laboratuvar ortamında Fabrikam, MIM Portalında el ile oluşturulan bir kullanıcıdan oluşan bir senaryoyu sınıyor.In this lab environment, Fabrikam is testing a scenario that consists of a user that was manually created in the MIM Portal. Bu senaryonun amacı, kullanıcıyı AD DS'ye önceden tanımlanmış bir parola ile etkin bir kullanıcı olarak sağlamaktır.The objective of this scenario is to provision the user as an enabled user with a predefined password to AD DS.

Senaryo TasarımıScenario Design

Bu kılavuzu kullanmak için üç mimari bileşeni gerekir:To use this guide, you need three architectural components:

  • Active Directory etki alanı denetleyicisiActive Directory domain controller

  • FIM Eşitleme Hizmeti çalıştıran bilgisayarComputer running FIM Synchronization Service

  • FIM Portalı çalıştıran bilgisayarComputer running FIM Portal

Aşağıdaki çizimde gerekli ortam özetlenmektedir.The following illustration outlines the required environment.

Gerekli ortam

Tüm bileşenleri tek bir bilgisayarda çalıştırabilirsiniz.You can run all components on one computer.

Not

MIM’i ayarlama hakkında daha fazla bilgi için bkz. FIM Yükleme Kılavuzu.For more information about setting up MIM, see the FIM Installation Guide.

Senaryo Bileşenleri ListesiScenario Components List

Aşağıdaki tabloda, bu kılavuzda yer alan senaryonun parçası olan bileşenler listelenir.The following table lists the components that are a part of the scenario in this guide.

Kuruluş Birimi Kurum birimiOrganizational unit MIM nesneleri - Sağlanan kullanıcılar için bir hedef olarak kullanılan kuruluş birimi (OU).MIM objects – Organizational unit (OU) that is used as a target for the provisioned users.
Kullanıcı hesapları Kullanıcı hesaplarıUser accounts · ADMA – AD DS'ye bağlanmak için yeterli haklara sahip olan Active Directory kullanıcı hesabı.· ADMA – Active Directory user account with sufficient rights to connect to AD DS.
· FIMMA – MIM’e bağlanmak için yeterli haklara sahip olan Active Directory kullanıcı hesabı.· FIMMA - Active Directory user account with sufficient rights to connect to MIM.
Yönetim aracıları ve çalıştırma profilleri Yönetim aracıları ve çalıştırma profilleriManagement agents and run profiles · Fabrikam ADMA – AD DS ile veri alışverişi yapan yönetim aracısı.· Fabrikam ADMA – Management agent that exchanges data with AD DS.
· Fabrikam FIMMA – MIM ile veri alışverişi yapan yönetim aracısı.· Fabrikam FIMMA - Management agent that exchanges data with MIM.
Eşitleme kuralları Eşitleme kurallarıSynchronization rules Fabrikam Grubu Giden Eşitleme Kuralı - Kullanıcıları AD DS'ye yönlendiren giden eşitleme kuralı.Fabrikam Group Outbound Synchronization Rule – Outbound synchronization rule that provisions users to AD DS.
Ayarlar AyarlarSets Tüm Yükleniciler - Yüklenici EmployeeType öznitelik değeri olan tüm nesneler için dinamik üyelikle ayarlanır.All Contractors – Set with dynamic membership for all objects with an EmployeeType attribute value of Contractor.
İş Akışları İş AkışlarıWorkflows AD Sağlama İş Akışı - MIM kullanıcısını AD Giden Eşitleme Kuralı kapsamına getirmeye yönelik iş akışı.AD Provisioning Workflow - Workflow to bring the MIM user into the scope of the AD Outbound Synchronization Rule.
Yönetim ilkesi kuralları Yönetim ilkesi kurallarıManagement policy rules AD Sağlama Yönetim İlkesi Kuralı - Bir kaynak Tüm Yükleniciler kümesinin üyesi olduğunda tetiklenen yönetim ilkesi kuralı (MPR).AD Provisioning Management Policy Rule - Management policy rule (MPR) that triggers when a resource becomes a member of the All Contractors set.
MIM kullanıcıları MIM kullanıcılarıMIM users Britta Simon - AD DS'ye sağladığınız MIM kullanıcısı.Britta Simon - MIM user that you provision to AD DS.

Senaryo AdımlarıScenario Steps

Bu kılavuzda özetlenen senaryo, aşağıdaki şekilde gösterilen yapı taşlarından oluşur.The scenario outlined in this guide consists of the building blocks shown in the following figure.

Senaryo adımları

Harici Sistemlerin YapılandırılmasıConfiguring the External Systems

Bu bölümde, oluşturmanız gereken ve MIM ortamınızın dışında kalan kaynaklara ilişkin yönergeler bulacaksınız.In this section, you will find instructions for the resources that you need to create that are outside of your MIM environment.

1. Adım: OU oluşturmaStep 1: Create the OU

Hazırlanmış örnek kullanıcı için bir kapsayıcı olarak OU’ya ihtiyacınız vardır.You need the OU as a container for the provisioned sample user. OU oluşturma hakkında daha fazla bilgi bkz. Yeni Bir Kuruluş Birimi Oluşturma.For more information about creating OUs, see Create a New Organizational Unit.

AD DS'nizde MIMObjects adlı bir OU oluşturun.Create an OU called MIMObjects in your AD DS.

2. Adım: Active Directory kullanıcı hesaplarını oluşturmaStep 2: Create the Active Directory user accounts

Bu kılavuzdaki senaryo için, iki Active Directory kullanıcı hesabına ihtiyacınız vardır:For the scenario in this guide, you need two Active Directory user accounts:

  • ADMA - Active Directory yönetim aracısı tarafından kullanılır.ADMA - Used by the Active Directory management agent.

  • FIMMA – FIM Hizmeti yönetim aracısı tarafından kullanılır.FIMMA – Used by the FIM Service management agent.

Her iki durumda da, normal kullanıcı hesapları oluşturmak yeterlidir.In both cases, it is sufficient to create regular user accounts. Her iki hesabın özel gereksinimleri hakkında daha fazla bilgi bu belgede yer almaktadır.More information about the specific requirements of both accounts is found later in this document. Kullanıcı oluşturma hakkında daha fazla bilgi bkz. Yeni Bir Kullanıcı Hesabı Oluşturma.For more information about creating users, see Create a New User Account.

FIM Eşitleme Hizmetini YapılandırmaConfiguring the FIM Synchronization Service

Bu bölümdeki yapılandırma adımları için FIM Eşitleme Hizmeti Yöneticisi'ni başlatmanız gerekir.For the configuration steps in this section, you need to start the FIM Synchronization Service Manager.

Yönetim aracılarını oluşturmaCreating the management agents

Bu kılavuzdaki senaryo için, iki yönetim aracı oluşturmanız gerekir:For the scenario in this guide, you need to create two management agents:

  • Fabrikam ADMA – AD DS için yönetim aracısı.Fabrikam ADMA – management agent for AD DS.

  • Fabrikam FIMMA – FIM Hizmeti yönetim aracısı için yönetim aracısı.Fabrikam FIMMA – management agent for FIM Service management agent.

3. Adım: Fabrikam ADMA yönetim aracısı oluşturmaStep 3: Create the Fabrikam ADMA management agent

AD DS için bir yönetim aracısı yapılandırdığınızda, AD DS ile veri alışverişinde yönetim aracısı tarafından kullanılan bir hesap belirtmeniz gerekir.When you configure a management agent for AD DS, you need to specify an account that is used by the management agent in the data exchange with AD DS. Normal bir kullanıcı hesabı kullanmalısınız.You should use a regular user account. Ancak, AD DS'den içeri veri aktarmak için hesabın DirSync denetiminden değişiklikleri yoklama hakkı olmalıdır.However, to import data from AD DS, the account must have the right to poll changes from the DirSync control. Yönetim aracınızın verileri AD DS'ye dışarı aktarmasını istiyorsanız, hesaba, hedef OU'larda yeterli hakları vermeniz gerekir.If you want your management agent to export data to AD DS, you need to grant the account sufficient rights on the target OUs. Bu konu hakkında daha fazla bilgi için bkz. ADMA Hesabını Yapılandırma.For more information about this topic, see Configuring the ADMA Account.

AD DS'de bir kullanıcı oluşturmak için, nesnenin DN'ini dışarı aktarmanız gerekir.To create a user in AD DS, you are required to flow out the object's DN. Buna ek olarak, nesnelerin keşfedilebilir olduğundan emin olmak için ilk adı, soyadı ve görünen adı dışarı aktarmak iyi bir uygulamadır.In addition to this, it is a good practice to flow the first name, last name, and display name to ensure that your objects are discoverable.

AD DS'de, kullanıcıların dizin hizmetinde oturum açmak için sAMAccountName özniteliğini kullanmaları hala yaygın bir yöntemdir.In AD DS, it is still common for users to use the sAMAccountName attribute to log on to the directory service. Bu öznitelik için bir değer belirtmezseniz, dizin hizmeti rastgele bir değer üretir.If you do not specify a value for this attribute, the directory service generates a random value for it. Bununla birlikte, bu rastgele değerler kullanıcı dostu değildir, bu nedenle bu özniteliğin kullanımı kolay sürümü AD DS'ye yapılan dışa aktarımın bir parçasıdır.However, these random values are not user friendly, which is why a user-friendly version of this attribute is typically part of an export to AD DS. Bir kullanıcının AD DS'de oturum açmasını sağlamak için, dışa aktarma mantığınızda unicodePwd özniteliğini kullanarak oluşturulan bir parolayı da eklemeniz gerekir.To enable a user to log on to AD DS, you also need to include a password created by using the unicodePwd attribute in your export logic.

Not

UnicodePwd olarak belirlediğiniz değerin, hedef AD DS'nin parola ilkelerine uygun olduğundan emin olun.Ensure that the value you specify as unicodePwd complies with the password policies of your target AD DS.

AD DS hesapları için bir parola belirlediğinizde, etkinleştirilmiş hesap olarak bir hesap oluşturmanız da gerekir.When you set a password for AD DS accounts, you also need to create an account as an enabled account. Bunu userAccountControl özniteliğini ayarlayarak yapabilirsiniz.You accomplish this by setting the userAccountControl attribute. userAccountControl özniteliği hakkında daha fazla bilgi için Active Directory'de Hesapları Etkinleştirmek veya Devre Dışı Bırakmak İçin FIM'i Kullanma konusuna bakın.For more information about the userAccountControl attribute, see Using FIM to Enable or Disable Accounts in Active Directory.

Aşağıdaki tabloda, yapılandırmanız gereken en önemli senaryoya özgü ayarlar listelenmiştir.The following table lists the most important scenario-specific settings that you need to configure.

Yönetim aracısı tasarımcı sayfasıManagement agent designer page YapılandırmaConfiguration
Yönetim aracısı oluşturCreate management agent 1. Için Yönetim Aracısı: AD DS1. Management agent for: AD DS
2. ad: fabrikam ADMA2. Name: Fabrikam ADMA
Active Directory ormanına bağlanConnect to Active Directory forest 1. dizin bölümlerini seçin: "DC = FABRIKAM, DC = com"1. Select directory partitions: “DC=Fabrikam,DC=com”
2. kapsayıcılar ' a tıklayarak kapsayıcılar Seç Iletişim kutusunu açın ve mımobjects 'in seçili tek OU olduğundan emin olun.2. Click Containers to open the Select Containers dialog box and ensure that MIMObjects is the only OU that is selected.
Nesne türlerini seçinSelect Object types Zaten seçili Nesne türlerinin yanı sıra kullanıcı seçin.In addition to the already selected Object types, select user.
Öznitelik seçinSelect attributes 1. Tümünü göster 'e tıklayın.1. Click Show All.
2. aşağıdaki öznitelikleri seçin:2. Select the following attributes:
   ° displayName   ° displayName
   ° givenName   ° givenName
   ° sn   ° sn
   ° SamAccountName   ° SamAccountName
   ° unicodePwd   ° unicodePwd
   ° userAccountControl   ° userAccountControl

Daha fazla bilgi için Yardım bölümünde aşağıdaki konulara bakın:For more information, see the following topics in Help:

  • Yönetim Aracısı oluşturmaCreate a Management Agent
  • Bir Active Directory Ormanına BağlanmaConnect to an Active Directory Forest
  • Active Directory için Yönetim Aracısını kullanmaUsing the Management Agent for Active Directory
  • Dizin Bölümlerini YapılandırConfigure Directory Partitions

Not

ExpectedRulesList özniteliği için yapılandırılmış bir içeri aktarma öznitelik akış kuralı olduğundan emin olun.Ensure that you have an import attribute flow rule configured for the ExpectedRulesList attribute.

4. Adım: Fabrikam FIMMA yönetim aracısı oluşturmaStep 4: Create the Fabrikam FIMMA management agent

Bir FIM Hizmeti yönetim aracısı yapılandırdığınızda, FIM Hizmeti ile veri alışverişinde yönetim aracısı tarafından kullanılan bir hesap belirtmeniz gerekir.When you configure a FIM Service management agent, you need to specify an account that is used by the management agent in the data exchange with the FIM Service.

Normal bir kullanıcı hesabı kullanmalısınız.You should use a regular user account. Hesap, MIM yüklemesi sırasında belirttiğiniz hesabın aynısı olmalıdır.The account must be the same account as the one you specified during the installation of MIM. Kurulum sırasında belirttiğiniz FIMMA hesabının adını belirlemek ve bu hesabın hala geçerli olup olmadığını sınamak için kullanabileceğiniz bir betik için bkz. FIM MA Hesap Yapılandırmasını Hızlı Sınama için Windows PowerShell kullanma.For a script that you can use to determine the name of the FIMMA account that you specified during setup and to test whether this account is still valid, see Using Windows PowerShell to Do a FIM MA Account Configuration Quick Test.

Aşağıdaki tabloda, yapılandırmanız gereken en önemli senaryoya özgü ayarlar listelenmiştir.The following table lists the most important scenario-specific settings you need to configure. Aşağıdaki tabloda sağlanan bilgilere dayanarak yönetim aracısını oluşturun.Create the management agent based on the information provided in the table below.

Yönetim aracısı tasarımcı sayfasıManagement agent designer page YapılandırmaConfiguration
Yönetim aracısı oluşturCreate management agent 1. Yönetim Aracısı: FIM hizmeti Yönetim Aracısı1. Management agent for: FIM Service Management Agent
2. fabrikam FIMMA adını adlandırın2. Name Fabrikam FIMMA
Veritabanına bağlanmaConnect to database Aşağıdaki ayarları kullanın:Use the following settings:
· Server: localhost· Server: localhost
· Database: FIMService· Database: FIMService
· **FIM hizmeti taban adresi:**http://localhost:5725· FIM Service base address: http://localhost:5725

Bu yönetim aracısı için oluşturduğunuz hesap hakkında bilgi sağlayınProvide the information about the account you created for this management agent
Nesne türlerini seçinSelect Object types Zaten seçili nesne türlerinin yanı sıra Kişi seçin.In addition to the already selected Object types, select Person.
Nesne türü eşlemelerini yapılandırmaConfigure Object type mappings Zaten mevcut olan nesne türü eşlemelerinin yanı sıra, Veri Kaynağı Nesne Türü Kişisi ile Meta Veri Deposu Nesne Türü kişisi arasında eşleme ekleyin.In addition to the already existing object type mappings, add a mapping for the Data Source Object Type Person to the Metaverse Object Type person.
Öznitelik akışı yapılandırConfigure attribute flow Zaten mevcut öznitelik akışı eşlemelerine ek olarak, aşağıdaki öznitelik akışı eşlemelerini ekleyin:In addition to the already existing attribute flow mappings, add the following attribute flow mappings:

Öznitelik akışı

Daha fazla bilgi için, yardım bölümündeki şu konulara bakın:For more information, see the following topics in the help:

  • Yönetim Aracısı oluşturmaCreate a Management Agent

  • Bir Active Directory Veritabanına BağlanmaConnect to an Active Directory Database

  • Active Directory için Yönetim Aracısını kullanmaUsing the Management Agent for Active Directory

  • Dizin Bölümlerini YapılandırConfigure Directory Partitions

Not

ExpectedRulesList özniteliği için yapılandırılmış bir içeri aktarma öznitelik akış kuralı olduğundan emin olun.Ensure that you have an import attribute flow rule configured for the ExpectedRulesList attribute.

5. Adım: Çalıştırma profilleri oluşturmaStep 5: Create the run profiles

Aşağıdaki tabloda, bu kılavuzdaki senaryoyu oluşturmak için gereken çalıştırma profilleri listelenir.The following table lists the run profiles you need to create for the scenario in this guide.

Yönetim aracısıManagement agent Çalıştırma profiliRun profile
Fabrikam ADMAFabrikam ADMA 1. tam içeri aktarma1. Full import
2. tam eşitleme2. Full synchronization
3. Delta içeri aktarma3. Delta import
4. Delta eşitleme4. Delta synchronization
5. dışarı aktarma5. Export
Fabrikam FIMMAFabrikam FIMMA 1. tam içeri aktarma1. Full import
2. tam eşitleme2. Full synchronization
3. Delta Içeri aktarma3. Delta Import
4. Delta eşitleme4. Delta synchronization
5. dışarı aktarma5. Export

Önceki tabloya göre her bir yönetim aracı için çalıştırma profilleri oluşturun.Create run profiles for each management agent according to the previous table.

Not

Daha fazla bilgi için MIM Yardımındaki Yönetim Aracısı Çalıştırma Profili Oluşturma bölümüne bakın.For more information, see the Create a Management Agent Run Profile in MIM Help.

Önemli

Ortamınızda sağlamanın etkin olduğunu doğrulayın.Verify that provisioning is enabled in your environment. Bunu, sağlamayı etkinleştirmek için Windows PowerShell 'i kullanarak betiği çalıştırarak yapabilirsiniz (https://go.microsoft.com/FWLink/p/?LinkId=189660).You can do this by running the script, Using Windows PowerShell to Enable Provisioning (https://go.microsoft.com/FWLink/p/?LinkId=189660).

FIM Hizmeti’ni YapılandırmaConfiguring the FIM Service

Bu kılavuzdaki senaryoda aşağıdaki şekilde gösterildiği gibi bir sağlama ilkesi yapılandırmanız gerekir.For the scenario in this guide, you need to configure a provisioning policy as shown in the following figure.

Sağlama İlkesi

Bu sağlama ilkesinin amacı AD Kullanıcısı Giden Eşitleme Kuralı kapsamına grupları koymaktır.The objective of this provisioning policy is to bring groups into the scope of the AD User Outbound Synchronization Rule. Kaynağınızı eşitleme kuralı kapsamına alarak, kaynağınızı yapılandırmanıza göre AD DS'ye sağlamak üzere eşitleme altyapısını etkinleştirirsiniz.By bringing your resource into the scope of the synchronization rule, you enable the synchronization engine to provision your resource to AD DS according to your configuration.

FIM hizmetini yapılandırmak için Windows Internet Explorer® 'e http://localhost/identitymanagementgidin.To configure the FIM Service, navigate in Windows Internet Explorer® to http://localhost/identitymanagement. MIM Portalı sayfasında sağlama ilkesini oluşturmak için Yönetim bölümünden ilgili sayfalara gidin.On the MIM Portal page, to create the provisioning policy, go to the related pages from the Administration section. Yapılandırmanızı doğrulamak üzere Sağlama ilkesi yapılandırmanızı belgelemek için Windows PowerShell kullanma içindeki betiği çalıştırmalısınız.To verify your configuration, you should run the script in Using Windows PowerShell to document your provisioning policy configuration.

6. Adım: Eşitleme kuralı oluşturmaStep 6: Create the synchronization rule

Aşağıdaki tablolar, gerekli Fabrikam Sağlama eşitleme kuralı yapılandırmasını göstermektedir.The following tables show the configuration of the required Fabrikam Provisioning synchronization rule. Aşağıda bulunan tablolardaki verilere göre eşitleme kuralı oluşturun.Create the synchronization rule according to the data in the following tables.

Eşitleme kuralı yapılandırmasıSynchronization rule configuration
AdıName Active Directory Kullanıcısı Giden Eşitleme KuralıActive Directory User Outbound Synchronization Rule
AçıklamaDescription
ÖnceliğiPrecedence 22
Veri Akış YönüData Flow Direction GidenOutbound
BağımlılıkDependency
KapsamScope
Meta Veri Deposu Kaynak TürüMetaverse Resource Type kişiperson
Harici SistemExternal System Fabrikam ADMAFabrikam ADMA
Harici Sistem Kaynak TürüExternal System Resource Type kullanıcıuser
İlişkiRelationship
Harici Sistemde Kaynak OluşturCreate Resource In External System TrueTrue
Sağlama Kaldırmayı EtkinleştirEnable Deprovisioning FalseFalse
İlişki ölçütleriRelationship criteria
ILM ÖzniteliğiILM Attribute Veri Kaynağı ÖzniteliğiData Source Attribute
Veri Kaynağı ÖzniteliğiData Source Attribute sAMAccountNamesAMAccountName
İlk giden öznitelik akışlarıInitial outbound attribute flows
Null'lere izin verAllow nulls HedefDestination KaynakSource
yanlışfalse dndn +("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com")+("CN=",displayName,",OU=MIMObjects,DC=fabrikam,DC=com")
yanlışfalse userAccountControluserAccountControl Sabit 512Constant: 512
yanlışfalse unicodePwdunicodePwd Sabit: P@$$W0rdConstant: P@$$W0rd
Kalıcı giden öznitelik akışlarıPersistent outbound attribute flows
Null'lere izin verAllow nulls HedefDestination KaynakSource
yanlışfalse sAMAccountNamesAMAccountName accountNameaccountName
yanlışfalse displayNamedisplayName displayNamedisplayName
yanlışfalse givenNamegivenName firstNamefirstName
yanlışfalse snsn lastNamelastName

Not

Önemli: Hedef olarak DN'yi içeren öznitelik akışı için Yalnızca Başlangıç Akışı'nı seçtiğinizi doğrulayın.Important Verify that you have selected Initial Flow Only for the attribute flow that has the DN as the destination.

7. Adım: İş akışını oluşturmaStep 7: Create the workflow

AD Sağlama İş Akışının amacı, bir kaynağa Fabrikam Sağlama eşitleme kuralı eklemektir.The objective of the AD Provisioning Workflow is to add the Fabrikam Provisioning synchronization rule to a resource. Aşağıdaki tablolar yapılandırmayı gösterir.The following tables show the configuration. Aşağıdaki tablolardaki verilere göre bir iş akışı oluşturun.Create a workflow according to the data in the tables below.

İş akışı yapılandırmasıWorkflow configuration
AdıName Active Directory Kullanıcı Sağlama İş AkışıActive Directory User Provisioning Workflow
AçıklamaDescription
İş Akışı TürüWorkflow Type EylemAction
İlke Güncelleştirildiğinde ÇalıştırRun On Policy Update FalseFalse
Eşitleme kuralıSynchronization rule
AdıName Active Directory Kullanıcısı Giden Eşitleme KuralıActive Directory User Outbound Synchronization Rule
EylemAction EkleAdd

8. Adım: MPR oluşturmaStep 8: Create the MPR

Gerekli MPR, Küme Geçişi türündedir ve bir kaynak Tüm Yükleniciler kümesinin üyesi olduğunda tetiklenir.The required MPR is of type Set Transition and triggers when a resource becomes a member of the All Contractors set. Aşağıdaki tablolar yapılandırmayı gösterir.The following tables show the configuration. Aşağıda bulunan tablolardaki verilere göre bir MPR oluşturun.Create an MPR according to the data in the tables below.

MPR yapılandırmasıMPR configuration
AdıName AD Kullanıcı Sağlama Yönetim İlkesi KuralıAD User Provisioning Management Policy Rule
AçıklamaDescription
TürType Küme GeçişiSet Transition
İzinleri VerGrants Permissions FalseFalse
Devre dışıDisabled FalseFalse
Geçiş tanımıTransition definition
Geçiş TürüTransition Type Gelen GeçişTransition In
Geçiş KümesiTransition Set Tüm YüklenicilerAll Contractors
İlke iş akışlarıPolicy workflows
TürType EylemAction
Görünen AdDisplay Name Active Directory Kullanıcı Sağlama İş AkışıActive Directory User Provisioning Workflow

Ortamınızı BaşlatmaInitializing your Environment

Başlatma aşamasının hedefleri aşağıdaki gibidir:The objectives of the initialization phase are as follows:

  • Eşitleme kuralınızı meta veri deposuna uygulayın.Bring your synchronization rule into the metaverse.

  • Active Directory yapınızı, Active Directory bağlayıcısı alanına uygulayın.Bring your Active Directory structure into the Active Directory connector space.

9. Adım: Çalıştırma profillerini çalıştırmaStep 9: Run the run profiles

Aşağıdaki tabloda başlatma aşamasının parçası olan çalıştırma profilleri listelenir.The following table lists the run profiles that are part of the initialization phase. Çalıştırma profillerini aşağıdaki tabloya göre çalıştırın.Run the run profiles according to the table below.

ÇalıştırınRun Yönetim aracısıManagement agent Çalıştırma profiliRun profile
11 Fabrikam FIMMAFabrikam FIMMA Tam içeri aktarmaFull import
22 Tam eşitlemeFull synchronization
33 Dışarı AktarmaExport
44 Değişikliği içeri aktarmaDelta import
55 Fabrikam ADMAFabrikam ADMA Tam içeri aktarmaFull import
66 Tam eşitlemeFull synchronization

Not

Giden eşitleme kuralınızın başarıyla meta veri deposuna yansıtıldığını doğrulamanız gerekir.You should verify that your outbound synchronization rule has been successfully projected into the metaverse.

Yapılandırmayı SınamaTesting the Configuration

Bu bölümün amacı, gerçek yapılandırmanızı sınamanızı sağlamaktır.The objective of this section is to test your actual configuration. Yapılandırmayı sınamak için:To test the configuration, you:

  1. FIM Portalında örnek kullanıcı oluşturun.Create a sample user in the FIM Portal.

  2. Örnek kullanıcının sağlama gereksinimlerini doğrulayın.Verify the provisioning requisites of the sample user.

  3. Örnek kullanıcıyı AD DS'ye sağlayın.Provision the sample user to AD DS.

  4. Kullanıcının AD DS'de mevcut olduğunu doğrulayın.Verify that the user exists in AD DS.

10. Adım: MIM’de örnek kullanıcı oluşturmaStep 10: Create a sample user in MIM

Aşağıdaki tabloda örnek kullanıcının özellikleri listelenir.The following table lists the properties of the sample user. Aşağıdaki tablodaki verilere göre örnek bir kullanıcı oluşturun.Create a sample user according to the data in the table below.

ÖznitelikAttribute DeğerValue
AdFirst Name BrittaBritta
SoyadıLast Name SimonSimon
Görünen AdDisplay Name Britta SimonBritta Simon
Hesap AdıAccount Name BSimonBSimon
DomainDomain FabrikamFabrikam
Çalışan TürüEmployee Type Contractor (Yüklenici)Contractor

Örnek kullanıcının sağlama gereksinimlerini doğrulayınVerify the provisioning requisites of the sample user

Örnek kullanıcıyı AD DS'ye sağlamak için iki önkoşulun karşılanması gerekir:To provision the sample user to AD DS, two prerequisites must be satisfied:

  1. Kullanıcının Tüm Yükleniciler kümesinin bir üyesi olması gerekir.The user must be a member of the All Contractors set.

  2. Küme kullanıcısının giden eşitleme kuralı kapsamında olması gerekir.Set user must be in the scope of the outbound synchronization rule.

11. Adım: Kullanıcının Tüm Yükleniciler‘in üyesi olduğunu doğrulayınStep 11: Verify the user is a member of All Contractors

Kullanıcının Tüm Yükleniciler kümesinin üyesi olup olmadığını doğrulamak için kümeyi açın ve sonra Üyeleri Göster'e tıklayın.To verify whether the user is a member of the All Contractors set, you open the set, and then click View Members.

Kullanıcının tüm yüklenicilerin bir üyesi olduğunu doğrulayın

12. Adım: Kullanıcının giden eşitleme kuralı kapsamında olduğunu doğrulayınStep 12: Verify the user is in the scope of the outbound synchronization rule

Kullanıcının eşitleme kuralının kapsamında olup olmadığını doğrulamak için kullanıcının özellik sayfasını açın ve sağlama sekmesinde beklenen kurallar listesi özniteliğini gözden geçirin. Beklenen kurallar listesi özniteliği AD kullanıcısını listelemelidirTo verify whether the user is in the scope of the synchronization rule, open the user’s property page and review the Expected Rules List attribute in the Provisioning tab. The Expected Rules List attribute should list the AD User

Giden Eşitleme Kuralı.Outbound Synchronization Rule. Aşağıdaki ekran görüntüsünde, beklenen kurallar listesi özniteliğinin bir örneği gösterilmektedir.The following screenshot shows an example of the Expected Rules List attribute.

Eşitleme kuralı durumu

Sürecin bu noktasında, Eşitleme Kuralı Durumu Beklemede’dir.At this point in the process, the Synchronization Rule Status is Pending. Yani, eşitleme kuralı henüz kullanıcıya uygulanmamıştır.This means, the synchronization rule has not yet been applied to the user.

13. Adım: Örnek grubu eşitleyinStep 13: Synchronize the sample group

Bir sınama nesnesi için ilk eşitleme döngüsünü başlatmadan önce, bir sınama planında çalıştırdığınız her çalıştırma profilinden sonra nesnenizin beklenen durumunu izlemelisiniz.Before you start the first synchronization cycle for a test object, you should track the expected state of your object after each run profile that you run in a test plan. Sınama planınız, nesnenizin genel durumunun (oluşturulmuş, güncelleştirilmiş veya silinmiş) yanında beklediğiniz öznitelik değerlerini de içermelidir.Your test plan should include next to the general state of your object (created, updated, or deleted) also the attribute values that you expect. Sınama planı beklentilerinizi doğrulamak için sınama planınızı kullanın.Use your test plan to verify your test plan expectations. Bir adım beklenen sonuçları döndürmezse, beklenen sonuç ile gerçek sonuç arasındaki farkı çözene dek bir sonraki adıma geçmeyin.If a step does not return the expected results, do not proceed with to the next step until you have resolved the discrepancy between your expected result and the actual result.

Beklentilerinizi doğrulamak için eşitleme istatistiklerini ilk gösterge olarak kullanabilirsiniz.To verify your expectations, you can use the synchronization statistics as a first indicator. Örneğin, yeni nesnelerin bir bağlayıcı alanına yerleştirilmesini bekliyorsanız ancak içe aktarma istatistikleri "Adds" döndürmezse ortamınızda beklendiği gibi çalışmayan bir şey var demektir.For example, if you expect new objects to be staged in a connector space, but the import statistics returns no “Adds,” there is obviously something in your environment that does not work as expected.

Eşitleme istatistikleri

Eşitleme istatistikleri, senaryonuzun beklendiği gibi çalıştığını gösteren ilk göstergeyi sağlarken, beklenen öznitelik değerlerini doğrulamak için Arama Bağlayıcı Alanı ve Eşitleme Hizmeti Yöneticisi'nin Meta Veri Deposu Arama özelliğini kullanmalısınız.While the synchronization statistics can give you a first indication of whether your scenario works as expected, you should use the Search Connector Space and the Metaverse Search feature of the Synchronization Service Manager to verify the expected attribute values.

Kullanıcıyı AD DS'ye eşitlemek için:To synchronize the user to AD DS:

  1. Kullanıcıyı FIM MA bağlayıcı alanına içeri aktarın.Import the user into the FIM MA connector space.

  2. Kullanıcıyı meta veri deposuna yansıtın.Project the user into the metaverse.

  3. Kullanıcıyı Active Directory bağlayıcısı alanına sağlayın.Provision the user to the Active Directory connector space.

  4. Durum bilgisini FIM’e dışarı aktarın.Export status information to FIM.

  5. Kullanıcıyı AD DS'ye dışarı aktarın.Export the user to AD DS.

  6. Kullanıcının oluşturulmasını onaylayın.Confirm the creation of the user.

Bu görevleri gerçekleştirmek için aşağıdaki çalıştırma profillerini çalıştırın.To accomplish these tasks, you run the following run profiles.

Yönetim aracısıManagement agent Çalıştırma profiliRun profile
Fabrikam FIMMAFabrikam FIMMA 1. Delta içeri aktarma1. Delta import
2. Delta eşitleme2. Delta Synchronization
3. dışarı aktarma3. Export
4. Delta içeri aktarma4. Delta import
Fabrikam FIMMAFabrikam FIMMA 1. dışarı aktarma1. Export
2. Delta Içeri aktarma2. Delta Import

FIM hizmeti veritabanından içeri aktarma sonrasında, Britta Simon ve Britta AD kullanıcısı giden eşitleme kuralına bağlantı sağlayan ExpectedRuleEntry nesnesi fabrikam FIMMA bağlayıcı alanında hazırlanır.After the import from the FIM Service database, Britta Simon and the ExpectedRuleEntry object that links Britta to the AD User Outbound Synchronization Rule are staged in the Fabrikam FIMMA connector space. Bağlayıcı alanında Britta özelliklerini gözden geçirdikten sonra FIM portalında yapılandırdığınız öznitelik değerlerinin yanında, beklenen kural girişi nesnesine de geçerli bir başvuru bulacaksınız.When you review Britta’s properties in the connector space, next to the attribute values that you have configured in the FIM Portal, you also find a valid reference to the Expected Rule Entry object. Aşağıdaki ekran görüntüsünde buna bir örnek gösterilmektedir.The following screenshot shows an example of this.

Bağlayıcı alanı nesne özellikleri

Fabrikam FIMMA'nızda çalıştırılan değişiklik eşitlemenin amacı birkaç işlem gerçekleştirmektir:The objective of the delta synchronization run on your Fabrikam FIMMA is to perform several operations:

  • Yansıtma - Yeni kullanıcı nesnesi ve ilgili Beklenen Kural Giriş nesnesi meta veri deposuna yansıtılır.Projection – The new user object and the related Expected Rule Entry object are projected into the metaverse.

  • Sağlama - Yeni yansıtılan Britta Simon nesnesi, Fabrikam ADMA'nın bağlayıcı alanına yansıtılır.Provisioning – The newly projected Britta Simon object is provisioned into the connector space of the Fabrikam ADMA.

  • Öznitelik Akışlarını Dışarı Aktarma - Dışarı aktarma öznitelik akışları her iki yönetim aracısında da oluşur.Export Attribute Flows – Export attribute flows occur on both management agents. Fabrikam ADMA'da, yeni sağlanan Britta Simon nesnesi yeni öznitelik değerleri ile doldurulur.On the Fabrikam ADMA, the newly provisioned Britta Simon object is populated with new attribute values. Fabrikam FIMMA'da mevcut Britta Simon nesnesi ve ilgili ExpectedRuleEntry nesnesi, yansıtmanın bir sonucu olan öznitelik değerleri ile güncelleştirilir.On the Fabrikam FIMMA, the existing Britta Simon object and the related ExpectedRuleEntry object are updated with attribute values that are a result of the projection.

Eşitleme istatistikleri

Eşitleme istatistiklerinde belirtildiği gibi, Fabrikam ADMA'nın bağlayıcı alanında bir sağlama etkinliği gerçekleşti.As already indicated by the synchronization statistics, a provisioning activity has taken place on the connector space of the Fabrikam ADMA. Britta Simon'un meta veri deposu nesne özelliklerini incelediğinizde, bu etkinliğin geçerli bir başvuruyla doldurulan ExpectedRulesList özniteliklerinin bir sonucu olduğunu bulursunuz.When you review the metaverse object properties of Britta Simon, you find that this activity is a result of the ExpectedRulesList attribute that has been populated with a valid reference.

meta veri deposu nesne özellikleri

Fabrikam FIMMA'da aşağıdaki dışa aktarım sırasında Britta Simon'un eşitleme kuralı durumu Beklemede’den Uygulandı’ya güncelleştirilmiştir. Bu, giden eşitleme kuralınızın meta veri deposundaki nesne üzerinde etkin olduğunu gösterir.During the following export on the Fabrikam FIMMA, the synchronization rule status of Britta Simon is updated from Pending to Applied, which indicates that your outbound synchronization rule is now active on the object in the metaverse.

Uygulanan eşitleme kuralı

ADMA bağlayıcı alanına yeni bir nesne sağlandığı için, bu yönetim aracısında bir Bekleyen dışa aktarım ekle olması gerekir.Because a new object has been provisioned to the ADMA connector space, you should have one Add pending export on this management agent.

Yönetim aracısı için bekleyen dışarı aktarmalar

FIM'de, dışarı aktarma işlemi her çalıştırıldığında, dışarı aktarma işlemini tamamlamak için aşağıdaki değişikliği içeri aktarmak gerekir.In FIM, each export run requires a following delta import to complete the export operation. Daha önceki bir dışarı aktarma işleminden sonra çalıştırdığınız değişikliği içeri aktarma, içeri aktarmayı doğrulama olarak bilinir.The delta import that you run after a previous export run is known as a confirming import. FIM Eşitleme Hizmeti'nin, ardışık eşitleme işlemleri sırasında uygun güncelleştirme gereksinimlerini gerçekleştirmesi için içeri aktarmayı doğrulamak gerekir.Confirming imports are required to enable the FIM Synchronization Service to make appropriate update requirements during successive synchronization runs.

Çalıştırma profillerini bu bölümdeki yönergelere göre çalıştırın.Run the run profiles according to the instructions in this section.

Önemli

Her çalıştırma profili hatasız bir şekilde çalışmalıdır.Each run profile run must succeed without an error.

14. Adım: AD DS'de sağlanan kullanıcıyı doğrulamaStep 14: Verify the provisioned user in AD DS

Örnek kullanıcılarınızın AD DS'ye sağlandığını doğrulamak için FIMObjects OU'sunu açarsınız.To verify that your sample user has been provisioned to AD DS, you open the FIMObjects OU. Britta Simon, FIMObjects OU'da bulunmalıdır.Britta Simon should be located in the FIMObjects OU.

kullanıcının FIMObjects OU’da bulunduğunu doğrulama

ÖzetSummary

Bu belgenin amacı, MIM'deki bir kullanıcıyı AD DS ile eşitlemek için temel yapı taşları sunmaktır.The objective of this document is to introduce you to the main building blocks for synchronizing a user in MIM with AD DS. İlk sınamanızda, bir görevi tamamlamak için gereken en düşük özniteliklerle başlamalı ve genel adımlar beklendiği gibi çalıştığında senaryonuza daha fazla öznitelik eklemelisiniz.In your initial testing, you should first start with the minimum of attributes that are required to complete a task and add more attributes to your scenario when the general steps work as expected. Karmaşıklığı en düşük düzeyde tutmak, sorun giderme işlemini basitleştirir.Keeping the complexity to a minimal level simplifies the process of troubleshooting.

Yapılandırmanızı sınadığınızda, büyük olasılıkla sınama nesnelerini silip yeniden oluşturacaksınız.When you test your configuration, it is very likely that you delete and recreate new test objects. Bu durum,For objects with a

doldurulmuş ExpectedRulesList özniteliği olan nesnelerde yalnız bırakılmış ERE nesnelerine sebep olabilir.populated ExpectedRulesList attribute, this can result in orphaned ERE objects. Bu nesneleri sınama ortamınızdan nasıl kaldırabileceğinizle ilgili açıklamalar için bkz. Ortamınızdan Yalnız Bırakılmış ExpectedRuleEntry Nesnelerini Kaldırmak İçin Bir Yöntem.For a description of how you can remove these objects from your test environment, see A Method to Remove Orphaned ExpectedRuleEntry Objects from Your Environment.

AD DS'yi eşitleme hedefi olarak içeren tipik bir eşitleme senaryosunda MIM, bir nesnenin tüm öznitelikleri için yetkili değildir.In a typical synchronization scenario that includes AD DS as a synchronization target, MIM is not authoritative for all attributes of an object. Örneğin, AD DS'deki kullanıcı nesnelerini FIM kullanarak yönettiğinizde, asgari olarak, etki alanı ve objectSID özniteliklerine AD DS yönetim aracı tarafından katkıda bulunulması gerekir.For example, when you manage user objects in AD DS by using FIM, at a minimum, the domain and the objectSID attributes need to be contributed by the AD DS management agent. Bir kullanıcının FIM Portalında oturum açabilmesini istiyorsanız hesap adı, etki alanı ve objectSID öznitelikleri gereklidir.The account name, domain, and objectSID attributes are required if you want to enable a user to log on to the FIM Portal. Bu öznitelikleri AD DS'den doldurmak için AD DS bağlayıcı alanınız için ek bir gelen eşitleme kuralı gerekir.To populate these attributes from AD DS, an additional inbound synchronization rule is required for your AD DS connector space. Öznitelik değerleri için birden çok kaynağı olan nesneleri yönetirken, öznitelik akışınızın önceliğini doğru bir şekilde yapılandırdığınızdan emin olmanız gerekir.When you manage objects with multiple sources for attribute values, you need to ensure that you configure your attribute flow precedence correctly. Öznitelik akışı önceliği doğru şekilde yapılandırılmazsa, eşitleme altyapısı öznitelik değerlerinin doldurulmasını engeller.If the attribute flow precedence is not correctly configured, the synchronization engine blocks attribute values from being populated. Öznitelik akışı önceliği hakkında daha fazla bilgiyi Öznitelik Akışı Önceliği Hakkında makalesinde bulabilirsiniz.You can find more information about attribute flow precedence in the article About Attribute Flow Precedence.

Sonraki AdımlarNext Steps

FIM kullanarak Active Directory’de Hesapları Etkinleştirme veya Devre Dışı BırakmaUsing FIM to Enable or Disable Accounts in Active Directory

Başvuru özniteliklerini anlama IşlemeUnderstanding Reference Attributes Processing

FIM MA hesabını yönetmeHow to Manage the FIM MA Account

Yetkili olmayan hesapları algılama – Bölüm 1: planlamaDetecting Non-authoritative Accounts – Part 1: Envisioning

Bağlayıcıları algılamaHow to Detect Connectors

ADMA hesabını yapılandırmaHow to configure the ADMA Account

Öznitelik Akış Önceliği HakkındaAbout Attribute Flow Precedence

Dışarı aktarmaları anlamaUnderstanding Exports