Microsoft Identity Manager 2016 SP1 术语
本文档是Microsoft Identity Manager 2016 SP1 及更高版本中引用的术语的完整列表。
A
Active Directory 组验证:MIM 2016 中实现的一个过程,用于确保存储在 Active Directory 中的域中组的帐户名称的唯一性。
操作工作流:执行操作的工作流。 这包括向 MIM 服务数据库发送通知电子邮件和提交更改。
活动:工作流活动是 Windows Workflow Foundation (WF) 工作流的基本构建基块。 它包含生成和运行工作流时在设计时和运行时启动的逻辑。
活动程序集:包含实现工作流活动逻辑的 .NET 程序集的.DLL或.EXE文件。
anchor:对象类型的一个或多个唯一属性,该属性不会更改,表示连接数据源中连接器空间对象链接到的对象 (例如员工编号或用户 ID) 。
审批:审批是一个工作流决策点,可用于在继续工作流之前从人员处获取授权。
审批电子邮件:如果请求在提交前需要审批,则会向已识别的审批者发送审批电子邮件。
审批请求:需要审批的请求。 例如,MIM 2016 在审批活动处理过程中发送给审批者的电子邮件。
审批响应:审批请求的响应。 它包含有关请求是否获得批准的信息。 例如,从 Outlook 的 MIM 外接程序发送的电子邮件,用于答复审批请求。
审批搜索文件夹:由适用于 Outlook 的 MIM 外接程序创建的搜索文件夹,它为用户提供了查看挂起的和已完成的审批以及审批请求更新的方法。
审批阈值:允许请求继续处理所需的积极审批响应消息数。
审批者:将批准进入下一阶段的请求的人员。 如果使用适用于 Outlook 的 MIM 外接程序,它们将收到审批请求消息。 另请参阅“升级审批者”条目。
属性流:定义属性值在 MIM 服务与其他外部系统之间流动的方向。
身份验证活动:验证用户身份的工作流活动。 例如,密码重置入口和智能卡身份验证入口。 另请参阅“QA 门”和“锁定门”条目。
身份验证质询:要求用户提供响应以向 MIM 2016 进行身份验证的对话框。 例如,用户要回答以重置其密码的问题。
身份验证质询活动:一种 Windows Workflow Foundation 活动,用于配置向用户发出的质询,以便对 MIM 2016 进行身份验证。
授权工作流:一个工作流,其中包含在将请求提交到数据库之前必须完成的活动。 示例包括数据验证和审批。
C
清除注册属性:此属性清除与身份验证工作流关联的注册。 例如,在问答质询中,答案以注册数据的形式存储在 MIM 2016 中。 选中“清除注册”框并保存工作流时,将删除注册数据,要求用户重新注册。
计算成员 (或成员) :通过手动管理的成员和筛选器的组合计算的只读资源集。
连接器:连接器空间中的一个对象,表示连接的数据源中的对象,当前通过预定义规则链接到 Metaverse 中的对象。 元目录使用连接器对象在连接的数据源和 Metaverse 之间同步属性值。
连接器筛选器:用于防止连接器空间对象链接到 Metaverse 对象的规则。
连接器空间:一个临时区域,包含连接的数据源中所选对象和属性的表示形式。 连接器空间对象是由从连接的数据源导入数据或使用 MIM 中的规则在不同的连接数据源中创建新对象创建的连接器空间中的对象。 这些对象包含可从连接的数据源中的相应对象导入或导出的属性值。
count XPath:XPath 表达式,返回要在资源显示名称后的括号内呈现的数字值。
基于条件的成员:通过静态组成员和筛选器的组合计算的只读资源集。
基于条件的成员身份:组的成员身份由筛选器确定的组。 另请参阅“静态成员身份”条目。
跨林成员:安全组的成员,其用户帐户与组帐户位于不同的林中。
跨林组计算:一种现成的活动,用于在与组所在的林关联的外部安全主体 (FSP) 集中放置组的林成员。
自定义表达式:在高级模式下定义函数或属性流时使用的描述性语言。
D
目标集 (或请求后的目标资源定义) :由于更改该资源属性的请求,资源移动到的集。
默认组验证活动:确定组管理请求是否违反 MIM 2016 或 Active Directory 配置或策略的现成工作流活动。
断开连接器:连接器空间中的一个对象,表示连接的数据源中的对象,当前未链接到 Metaverse 中的对象。
disconnector 对象:有三种类型的断开连接器对象:断开连接器、显式断开连接器和筛选的断开连接器。
显示名称:显示在用户界面中的资源的一个属性,用于标识该资源。 显示名称中使用的值应明确且可读。 如果要在各种 MIM 门户控件(如资源选取器)中使用资源,请务必提供显示名称。
通讯组:最常见的用户和其他组的资源集合,可通过向组的邮箱发送电子邮件来同时发送电子邮件。
域配置:用于为 Active Directory 域建模的配置资源。
域本地组:域本地范围的组是一个 Active Directory 组,用于保护特定域中的资源,并且可以包含来自该林或任何受信任林的成员。
drop file:drop file 是一个 XML 日志文件,表示可能或正在导出或导入。
动态属性值:基于其他属性计算的属性的值。 例如,名称属性是通过连接给定名称和姓氏来计算的。
动态组:MIM 2016 通过确保组包含 (属于使用 XPath 表示的条件内的人员、组、计算机) 等所有资源,其成员身份由 MIM 2016 自动确定并保持最新状态。
E
枚举:MIM 2016 服务返回的资源列表。
升级:如果未在指定时间内完成审批,则会升级审批,并将其他审批者添加到审批中。
升级审批者:如果审批者无法响应,则接收审批请求消息的用户。 另请参阅“审批者”条目。
显式连接器:连接器空间中的一个对象,该对象链接到 Metaverse 中的对象,连接器筛选器无法断开连接。 显式连接器只能使用 Joiner 手动创建,并且只能通过预配或使用 Joiner 将其断开连接。
显式断开连接器:连接器空间中的一个对象,该对象未链接到 Metaverse 中的对象,只能使用 Joiner 进行联接。 通过使用 Joiner 手动断开对象的连接,对象将成为显式断开连接器。
导出:导出是将更改推送到连接的数据源的过程。 导出始终是基于上次成功导入的增量操作。 MIM 处理导出更改,但在新导入确认更改之前,不会处理连接器空间中的更改。 根据所使用的管理代理的类型,导出实现的更改可以在属性、对象或值级别进行。
导出属性流:将对象的属性从 Metaverse 转换为连接器空间的过程。 此过程可能涉及一对一映射,应用规则扩展来修改属性或设置静态属性值。 导出的属性在连接器空间中暂存,以便下次导出到连接的数据源。
可扩展断言标记语言 (XAML) :表示工作流定义的基于 XML 的语言。
外部系统范围筛选器:确定根据特定条件从源目录中标识和筛选的资源。
外部系统资源类型:这是 MIM 2016 资源连接到的外部系统中的资源类型。
外部系统资源创建标志:同步规则的一个参数,用于指示是否应在连接器空间中创建资源(如果基于关系条件,此类资源不存在于外部系统中)。 请参阅 MIM 2016 资源创建标志。
外部系统范围:包含筛选器的同步规则的参数,该筛选器显示应用规则的外部系统上的资源。
F
filter:包含筛选条件的表达式。 如果筛选器中包含的每个筛选条件都与资源匹配,则筛选器匹配资源。 在 MIM 2016 中,筛选器使用 XPath 语法。
筛选的断开连接器:连接器空间中的一个对象,根据关联的管理代理中的连接器筛选器规则阻止联接或投影到 metaverse 中的对象。
FIM 管理代理:在 MIM 2016 服务和 MIM 2016 同步服务之间同步的管理代理。
FIM/MIM 密码重置客户端服务:这是指驻留在最终用户计算机上与 MIM 2016 服务器通信的代理服务。
FIM/MIM 密码重置扩展:这是指驻留在最终用户计算机上的代码,该代码扩展了 Windows 登录的功能,以包括自助密码重置。
FIM/MIM 资源创建标志:同步规则的一个参数,指示是否应在 MIM 2016 数据库中创建资源(如果基于关系条件的资源不存在)。 另请参阅“外部系统资源创建标志”条目。
function:可以包含在同步规则或工作流定义中以处理数据值的组件。
G
gate:在请求处理的身份验证阶段使用的工作流活动。 另请参阅“QA 门”和“锁定门”条目。
组嵌套:组定义的字段,指定组是否包含其他组作为当前组的成员。
组范围:分组定义的字段,即一个或“local”、“global”或“universal”。 有关详细信息,请参阅 Active Directory 组范围。
I
import:将连接的数据源对象移动到连接器空间以用于创建、修改、删除或验证的过程。 导入可以是完整操作或增量操作。 对于完全导入,MIM 从连接的数据源请求所有指定的对象,并删除在此导入期间尚未收到相应对象的所有暂存对象。 因此,此运行配置文件步骤可用于清理连接器空间中的暂存对象。 已从连接的数据源接收的对象将暂存到连接器空间中。 要使增量导入提供所需结果,连接的数据源必须实现某种形式的水印。 连接的数据源使用水印来指示对象的最新更改发生的时间。 MIM 读取水印以确定要包含在增量导入中的内容。 例如,Active Directory USN。
导入属性流 (IAF) :导入属性流是将属性从连接器空间导入到 metaverse 的过程。 此过程可能涉及应用一对一属性映射,使用规则扩展来修改属性或设置静态属性。
图像 URL:将在 MIM 2016 门户 UI 中呈现的图像文件的 URL。
初始流:初始流是属性值流,仅在首次创建资源时应用一次。 也就是说,只有在首次创建帐户时才会创建初始密码。
交互式工作流:需要用户响应请求更改的工作流,例如执行其他身份验证检查。
J
join:联接是链接连接器空间对象与现有 Metaverse 对象的过程。 属性值仅在链接对象之间流动。
加入组请求:将用户添加到组的请求。
L
lockout:MIM 2016 数据库中人员资源的配置设置,用于限制该人员向 MIM 2016 进行身份验证或执行密码重置。
lockout gate:请求处理的身份验证阶段的工作流活动,用于锁定未能进行身份验证的用户。 另请参阅“锁定”和“QA 门”条目。
锁定阈值:这是一个整数控件,用于指定用户在锁定持续时间内被锁定之前无法完成身份验证工作流的次数。 默认设置为 3。 下限为 0,上限为 99。
锁定持续时间:这是一个整数控件,指定在达到锁定阈值后用户被锁定的持续时间(以分钟为单位)。 默认设置为 15 分钟。 此设置的下限为 1,上限为 9999。 上限允许管理员将上限设置为大于一天。
永久锁定前的锁定阈值计数:这是一个整数控件,允许管理员为用户在被永久锁定之前达到锁定阈值的次数配置数值。永久锁定意味着用户必须由系统管理员解锁。 默认情况下,此值设置为 3。 此设置的范围在 1 到 99 之间。
M
管理代理: (MA) 管理代理将特定连接的数据源连接到元目录。 它负责将数据从连接的数据源移动到 MIM,以及确定标识数据是否有资格参与 MIM 和任何其他连接数据源的规则。 修改元目录中的数据时,管理代理可以将数据导出到连接的数据源,使连接的数据源与 MIM 中的数据保持同步。 使用管理代理,而不是使用基于代理的连接器。
管理策略规则 (MPR) :管理策略规则 (MPR) 为传入 MIM 2016 服务器的请求提供业务处理规则建模的机制。 它们控制对 MIM 2016 资源以及这些请求触发的工作流的请求操作的权限。
有两种类型的 MPR:
请求 MPR:在) 执行请求的操作之前,授予权限并运行 (调用的工作流。
设置转换 MPR:仅 (响应应用的状态更改) 运行工作流。
MPR 的主要设计对象包括:
建模权限
对工作流映射进行建模
建模转换
为反身定义建模
对未经身份验证的用户访问进行建模
为时态策略建模
为筛选器权限建模
手动管理的成员:由手动选择的用户、组或其他资源列表组成的组或集的成员身份。
metaverse:MIM 用于包含来自多个已连接数据源的聚合标识信息的中心数据存储,提供所有组合对象的单个全局集成视图。 Metaverse 不会用作除 MIM 以外的任何应用程序的聚合标识数据的表或视图,因为可能会导致损坏。
受监视的邮箱:MIM 2016 服务监视的邮箱,用于接收来自 Outlook 的 MIM 外接程序的审批和请求电子邮件。
N
通知活动:请求处理操作阶段的工作流活动,其中 MIM 2016 向一个或多个用户发送电子邮件以通知他们请求。
通知消息:通知活动发送的电子邮件。 另请参阅“通知活动”条目。
O
ObjectID (ResourceID) :一个属性,该属性包含由 MIM 2016 在创建时分配给每个资源的全局唯一标识符 (GUID) 。 这也称为资源 ID。
对象标识符:一个数字序列,用作 X.509 数字证书中字段的标识符,或基于 LDAP 的目录服务中的属性类型或对象类的标识符。 对象标识符通常由软件供应商和标准机构分配。
操作类型:通过 Web 服务对 MIM 2016 管理的资源请求操作类型。 这包括创建和删除资源,以及读取和修改资源属性。 此外,添加/删除操作允许对修改操作应用进一步的控制,以仅控制向属性添加值或其删除。
operator:筛选器的元素,指定数据值之间的比较或其他关系。
在请求) 之前 (源集或目标资源定义 :在资源的属性发生更改之前,资源所属的集。
P
参数:预配新资源时,有时可以从外部源(如用户)提供属性值。 属性值作为参数传递,以便能够成功创建新资源。
partition:连接器空间中数据的逻辑卷。 管理代理可以创建一个或多个分区,以逻辑方式将数据划分为单独的逻辑分组。 在同步期间,将单独处理每一卷数据。
密码重置:在用户忘记或丢失密码的情况下,可将用户密码更改为已知值的过程。 另请参阅“注册”条目。
阶段:每个资源创建、更新或删除请求都通过三个工作流阶段进行处理。 在身份验证阶段,可以对请求的用户执行其他身份验证检查。 在授权阶段,将收集任何必要的审批。 在操作阶段,活动是在提交更改资源的请求后执行的。
占位符对象:连接器空间中表示已连接数据源层次结构的单个级别的对象。 例如,如果要将对象与 Active Directory 林同步,则需要导入构成 Active Directory 对象路径的容器。 在示例中,CN=MikeDan,OU=Users,DC=Microsoft,DC=Com,将为 DC=Com 和 DC=Microsoft,DC=Com 创建占位符对象。 此外,占位符对象可以表示导入的引用属性值引用的已连接数据源中的对象 (例如,manager 属性在 User 对象中引用的对象) 。 占位符对象不包含属性值,并且不能链接到 Metaverse。
策略管理:MIM 2016 中的策略管理可通过基于 Sharepoint 的控制台进行策略创作和强制执行。 基于可扩展 Windows Workflow Foundation 的工作流使用户能够定义、自动执行和强制实施标识管理策略。 策略管理还包括通过集成各种网络操作系统、电子邮件、数据库、目录、应用程序和平面文件访问来实现的异类标识同步和一致性。
策略更新 (或在策略更新) 上运行 :如果工作流应作为对引用它的集或 MPR 的更改而重新运行,则策略更新标志用于指示这一点。
优先级:同步规则的排序。
主体集:管理策略规则中使用的一个集,用于指定通常 (启动管理策略规则评估的用户) 的资源集。
相对于资源的主体集:这是一个反身属性。 其值根据资源属性之一进行定义。 它用于定义动态管理策略规则,这些规则在处理的每个目标资源的上下文中评估其条件。
投影:基于投影规则在 metaverse 中创建对象,然后自动将该对象链接到连接器空间中的现有对象的过程。
provision:基于对 metaverse 中对象的更改,在预先确定的连接器空间中创建、重命名和取消预配对象的过程。 预配规则可以设置为每当修改 metaverse 对象时调用。 这些规则可以执行对象级操作,例如创建新的连接器空间对象或断开链接到 metaverse 对象的现有连接器空间对象的连接。
Q
QA 入口:身份验证阶段的工作流活动,在此阶段,请求用户必须提供一个或多个预先确定的问题的答案。 此活动通常用于密码重置,通过向用户提供一系列只有该用户知道的预先确定的问题(用户必须提供正确答案)来质询用户来证明其身份。 另请参阅“锁定门”条目。
QA 质询:要求用户回答一系列问题才能向 MIM 2016 进行身份验证的质询。
R
随机密码设置:一种设置,用于确定在外部目录中设置密码所需的字符数。
引用属性类型:一种属性类型,其中属性的值是 OBJECTID (MIM 2016 中其他资源的属性值) 全局唯一标识符。
引用完整性:MIM 2016 中的一个约束,其中引用属性不能将已删除的资源的 ObjectID 作为值。
注册:为用户配置自助密码重置的过程。 另请参阅“QA 入口”条目。
重新注册:在 MIM 2016 中更新身份验证质询的注册,通常在更改密码重置注册的管理策略后需要更新。
关系创建:同步规则的配置标志,用于确定是应在 MIM 2016 中自动创建资源,还是在外部系统中创建资源(如果资源不存在)。
关系条件:设置用于匹配 MIM 服务器中的资源和外部系统中资源的同步规则。
关系终止:指示在同步规则不再应用时,是否应断开其他外部系统中的相关资源 (,并可能删除) 。
请求管理:用户能够与提交的请求和关联的工作流进行交互和管理。
请求管理策略规则 (RMPR) :针对传入请求进行评估并应用以执行操作的管理策略规则类型。 RMPRS 主要用于在 MIM 中创作访问策略定义。 换句话说,是如何处理请求的答案。 配置 RMPR 时,请求者位于旨在执行操作的集中。
MIM 体系结构定义了六个不同的操作,RMPR 可针对这些操作进行定义:
创建资源。
删除一个资源。
读取资源。
向多值属性添加值。
从多值属性中删除值。
修改单值属性。
定义 RMPR 时,必须至少选择这六个操作中的一个。 操作始终在请求者的上下文中定义。 每个条件都需要目标的定义。 应用于目标的操作可能会导致目标资源的状态转换。 始终在执行请求的操作之前调用 RMPR。 若要有效地描述条件的目标,需要配置两种不同的状态:
请求前的目标资源定义:应用请求之前的目标状态。
请求后的目标资源定义:应用请求后的目标状态。
是否需要定义这两种状态取决于定义 RMPR 要执行的操作。 在创建操作中,请求的资源没有初始状态。 因此,只需为创建操作配置“请求后的目标资源定义”。
读取或删除操作不会导致状态转换。 对于这两种类型的操作,只需在请求之前指定目标资源定义。
对于 Modify 操作或所有其他操作组合,需要配置这两种状态,如果未发生状态转换,则状态可能具有相同的值。
可以表示与请求者 (相关的资源,例如请求者自己的用户对象、目标用户的经理或目标组的所有者) 。
对条件的响应的最简单形式是授予执行所请求操作的权限。 除了授予权限外,还可以将其他操作定义为对 RMPR 中的条件的响应。 在 MIM 体系结构中,这些操作以工作流的形式定义。 在处理给定 RMPR 时,系统可能没有足够的信息来授予权限。 在这种情况下,可以在 RMPR 中定义适用于执行给定请求的人员的其他身份验证和授权步骤。 例如,若要授予执行所请求操作的权限,可能需要用户手动交互才能批准操作。
下图概述了 RMPR 的完整体系结构:
在 MIM 中创建新的请求对象时,系统会通过将请求条件与管理 RMPR 中的配置条件进行比较来查询已配置的 RMPR 以匹配对象。 如果找到匹配的 RMPR,则它们将应用于排队的请求对象。 下图概述了此过程:
在 MIM 门户中,必须显式授予操作权限。 换句话说,除非 RMPR 授予,否则对资源的所有操作都会被拒绝。 每个请求对象至少需要一个 RMPR,该 RMPR 授予对目标执行请求的操作的权限。
request 对象:当用户在适用于 Outlook 的 MIM 门户或 MIM 外接程序中执行任务时,该任务表示为请求对象。 请求对象表示系统中活动的便捷报告机制。
每个请求对象都有以下组件:
请求者:请求执行操作的资源。
操作:请求者要执行的操作。
目标:是所请求操作目标的资源。
从逻辑上讲,请求对象是以下语句的实现:
The requester attempts to perform the following operation on this target...下图概述了请求对象的常规体系结构:
每个请求对象都有一个 status 属性来指示处理状态。 处理请求可能需要手动交互才能完成请求。 例如,组的所有者可能需要手动批准其他用户加入组的请求。 除了手动交互,还可以将 MIM 配置为自动处理特定请求,而无需人工交互。
请求处理模型:MIM 中的请求处理模型由三个主要阶段组成:
阶段 1:身份验证
阶段 2:授权
阶段 3:操作
工作流(每个工作流都包含一个或多个活动)可以附加到每个阶段,并在执行单个请求的上下文中运行。 请求可以从单个用户调用其中一个 Web 服务终结点或通过在 MIM 门户中创建请求的用户发起。
下图显示了请求处理组件之间的关系:
按以下顺序处理请求:
请求对象创建:MIM 2016 创建请求对象以响应对其中一个 Web 服务终结点的调用,或者由于通过 MIM 门户发起的请求。
MPR 评估:验证请求者请求操作的权限,并执行适用工作流的计算。 根据映射到任何 MPR 对象的映射检查请求。 若要映射到 MPR,需要匹配所请求操作的 MPR 的所有适用字段。 这包括请求者、操作、目标资源和属性。 如果所有这些条件(包括受影响的属性)对于传入请求为 true,则相应的 MPR 将与请求匹配。 请求必须映射到至少一个授予权限的 MPR 作为其定义的一部分。 如果为 true,则请求会通过请求处理的权限检查阶段。 如果这不是 true,则请求将失败。 系统还确定属于请求的集转换,并查找所有相关的基于转换集的 MPR。
身份验证:MIM 2016 以非确定性顺序一次运行一个身份验证工作流,以确认请求者的身份。
授权:MIM 2016 确认请求者对请求中指定的资源执行所请求操作的权限。 所有依赖的授权工作流都是并行运行的,但请求不会提交到 MIM 对象存储,除非所有工作流都已完成且全部成功。
正在处理:MIM 2016 对 MIM 应用程序存储区执行请求的操作。
操作:MIM 2016 执行由于请求的操作而发生的任何进程。 所有操作工作流都是并行运行的。 读取操作没有任何工作流应用于其处理。 这包括 RMPR 中配置的工作流,以及集基于转换的 MPR 中的工作流。
注意
由同步帐户启动的请求会绕过适用于它们的所有身份验证和授权工作流。 应用任何适用的操作工作流。
请求者:已向 MIM 2016 提交请求的用户或服务的标识。
请求者范围:可以提交请求的用户的已配置集合。 可以是“所有人”,也可以是筛选器定义的一组特定用户。
resource:MIM 2016 中特定资源类型的实例。 每个资源都由其 ObjectID (ResourceID) 属性唯一标识。
资源控制显示配置 (RCDC) :RCDC 是用于在资源控制 (RC) 中呈现 UI 的配置资源,用于在 MIM 2016 中创作特定资源类型。
资源当前集:管理策略规则的一部分 (MPR) 条件定义。 收到请求时的目标资源的集合。 适用于读取、删除和修改操作类型。
资源最终集:管理策略规则中条件定义的一部分。 处理请求后的目标资源的集合。 仅适用于创建和修改操作类型。
资源层次结构:在目录服务中,资源条目的层次结构是命名上下文基础与该资源条目之间的目录条目集合。
资源范围:可以提交请求的资源集。
资源类型:定义 MIM 2016 中资源表示形式的架构的一部分。
资源类型映射:用于表示 MIM 2016 中的资源的资源类型与用于表示 Metaverse 中该资源的资源类之间的关系。
role:组织分配的安全主体,用于管理访问权限。
规则扩展:规则扩展是一个动态链接库 (.dll) ,其中包含一组定义的用于管理数据的规则。 可以在同步期间使用规则扩展来扩展功能。 例如,可以使用规则扩展合并来自两个源属性的数据,并将其流向一个目标属性 (例如, sn 并 givenName 流入 displayName) 。
运行历史记录:显示管理代理的单个运行结果的一组统计信息。
运行配置文件:运行配置文件表示一组步骤,这些步骤指定如何运行管理代理,以及确定管理代理运行方式的配置设置。 管理代理可以有多个与管理代理一起存储的运行配置文件。 运行配置文件由至少一个运行配置文件步骤组成。
S
搜索文件夹:请参阅“审批搜索文件夹”的条目。
搜索范围:指定用户可从 MIM 2016 门户执行的特定搜索上下文的属性。 例如,用户可以从下拉列表中选择“所有用户”、“所有通讯组列表”、“我挂起的审批”的搜索范围,并且除了用户指定的任何搜索词外,搜索结果还会限制为满足这些条件的项。
安全描述符:包含安全资源的安全信息的结构和关联数据。 安全描述符标识资源的所有者和主组。 它还可以包含控制对资源的访问的 DACL,以及控制访问资源的尝试日志记录的 SACL。
安全主体:用于安全管理的标识,例如用户帐户,可以向服务进行身份验证。
安全令牌:基于凭据传输身份验证和授权信息的协议元素。 在 Web 服务协议中,安全令牌表示为 SOAP 标头中的 XML 元素,由 WS-Security 定义。
安全令牌服务:实现WS-Trust协议的服务,以基于安全令牌交换来管理客户端和服务之间的信任。
顺序工作流:MIM 2016 中的所有工作流都派生自 Windows Workflow 基础顺序工作流。 它按顺序包含多个工作流。
服务帐户:分配的 Windows 帐户供 Windows 服务使用,而不是由用户用来登录到计算机系统。 它表示 MIM 的系统帐户。
Set:资源的命名集合。 通常,集用于根据规则组织资源。 Set 中的成员身份是手动管理的或基于条件的。 这意味着,可以手动将资源添加到 Set,并且可以定义基于 filter 语句自动将资源添加到 Set 的条件。 当资源满足筛选条件时,它会自动添加到相关的集。
设置转换管理策略规则 (TMPR) :应用于集合的成员身份更改的管理策略规则。 当对象转换到 MPR 中的指定集或从中转换出时,设置 TMPR 会应用操作工作流。
TMPR 有两种类型:
中的转换:资源成为转换集的成员。
转换出:资源离开转换集。
注意
删除转换集时,系统会将删除视为受影响对象的转换输出事件。
响应是对已应用状态更改的反应。 调用相关 MPR 时,条件已应用。 这意味着受影响的资源已转换到转换集或转换出转换集。 对于 TMPR,响应的目的不是定义对请求的操作的反应,而是定义对已应用操作的响应。 换句话说,对于一组基于转换的 MPR,如何到达状态无关紧要。 相关的是状态更改的后果。
在 MIM 中配置基于转换的 MPR 集时,需要指定以下三个设置:
转换集
转换类型
策略工作流
策略工作流是需要调用以响应状态更改的进程的定义。 基于状态的 MPR 最常见的用例是在外部数据源中授予或撤销权利以及预配和取消预配。
下图概述了一组基于转换的 MPR 的完整体系结构:
设置基于转换的 MPR 由请求激活。 当 RMPR 处理和批准请求时,MIM 服务还会确定已批准的请求是否导致状态转换,以及是否存在处理状态更改的基于状态转换的 MPR。
下图概述了请求与一组基于转换的 MPR 之间的关系:
SID:用于标识用户帐户、组帐户或登录会话的唯一值。
SOAP:用于在软件组件之间交换结构化信息的协议。
同步:在多个数据源中保持所选数据一致的过程。 同步仅表示对 MIM 中的对象执行的操作。 同步可以是对管理代理上为其定义的整个数据集的操作,也可以根据自上次已知操作以来的更改进行增量操作。 同步运行配置文件步骤定义入站和出站同步过程。
同步运行配置文件步骤有两个子类型:
增量同步
完全同步
在增量同步期间,MIM 仅处理导入的对象,这些对象是标记为挂起导入的暂存对象。 此运行配置文件步骤可用于仅处理具有挂起更改但在上一次同步运行期间未处理的那些对象。
增量同步用于两个预定义的运行配置文件,每个配置文件的行为略有不同。 第一个运行配置文件是增量同步,其中不从任何连接的源执行导入,但会评估连接器空间中的所有对象,并处理任何具有挂起更改的对象。 第二个运行配置文件是增量导入和增量同步的组合。 此运行配置文件仅从连接的数据源导入自上次运行管理代理以来其值已更改的那些对象和属性。 然后,管理代理规则仅重新应用于增量导入中具有挂起更改的对象。 不会评估该增量导入中没有挂起更改的对象。
在完全同步期间,MIM 会评估同步规则并将其应用于连接器空间中的所有暂存对象。 只要对给定环境的规则应用了更改,就应启动完全同步。 根据连接器空间中的对象数量,这可能需要大量时间和资源,因此应避免频繁更改生产环境中的同步规则。
同步筛选器:用于防止 Metaverse 中的资源传输到 MIM 2016 数据库的筛选器。
同步规则:用于在 MIM 服务器之间流动资源信息的规则, (包括 MIM 同步引擎) 和连接的外部系统。
T
临时策略:绑定到临时集的 Set Transition MPR。 策略在时间流逝时应用,因为对象根据临时集的定义转换到集和转换出集。
临时集:基于相对日期的集对象的类型。 临时集提供一种机制,可根据时间流逝完全自动转换到集或转换出集的过程。 例如,可以为从今天起一周到期的所有组定义临时集。 系统自动评估系统中的对象,并每天将它们添加到此集。 其他示例允许动态定义时间引用,例如基于“从今天起的 x 天”的筛选器。
timed 事件:在配置的时间间隔已过或达到特定日期和时间后发生的转换事件。
timeout:MIM 2016 等待审批响应直到活动升级的时间段。
转换集:在设置转换管理策略规则的定义中使用的集。 该策略应用于集成员身份中的更改,这些更改可以是进入或离开集的对象,具体取决于 TMPR 的配置。
U
未锁定的组:组的成员身份可由组所有者以外的用户更改。
通用组:具有通用范围的组是一个 Active Directory 组,可以包含来自特定林的成员。 可以在任何域或林中为通用组分配权限。 通讯组列表通常具有通用范围。 具有通用范围的安全组可以保护同一林中的资源。
更新请求:更改资源属性的请求。
usage 关键字:usage 关键字用于确定在门户 UI 中为特定页面显示的搜索范围。 UI 中的每个列表视图页指定零个或多个用法关键字,该页面的 UI 包括包含匹配关键字的所有搜索范围。 创作搜索范围时,客户可以为每个搜索范围指定零个或多个关键字,以自定义 UI 中给定页面显示的搜索范围。 它还用于确定向哪组用户显示哪个主页资源和导航栏资源。 它还在架构管理中用于保护和标记 MIM 的各种组件所需的架构元素。
W
Web 门户:软件应用程序通过 Web 服务器的组件(如 IIS)实现的用户界面。
Web 服务:使用基于 HTTP 的协议实现的服务的协议接口。
工作流:工作流是一组称为活动的元素单元,这些单元存储为描述真实流程的模型。 工作流提供了一种描述工作项之间的顺序和依赖关系的方法。 这项工作从头到尾贯穿整个模型,活动可能由人员或系统函数执行。 换句话说,如果对请求的响应需要复杂的处理,这些步骤将封装在工作流对象中。 工作流是可选组件,与 MPR 紧密关联。 工作流定义在处理 MPR 期间必须发生的一个或多个活动。 MIM 安装多个默认工作流,这些工作流可以按原样使用或作为自定义工作流的基础。
工作流活动的示例包括:
发送自动电子邮件以请求审批。
限制用户在自定义搜索期间可以看到的属性。
根据 AD DS 或 MIM 准则验证新组。
在同步规则的范围内添加或删除 对象。
为了满足环境中的所有处理要求,MIM 体系结构定义了三种类型的工作流:
身份验证:在继续请求之前执行其他用户标识验证
授权:通过一系列活动验证请求,例如在处理请求之前获取必要的外部审批。
操作:在成功完成原始请求后处理任何其他活动。
这三个工作流构成请求处理模型的一部分。
工作流定义:工作流定义以 Windows Workflow Foundation (WF) 定义的 XOML 格式存储。 这将定义活动、活动的参数以及它们的运行顺序。
工作流设计器:工作流构造的设计时体验。
工作流主机:处理工作流运行的服务器组件。 在 MIM 2016 中,MIM 2016 服务是工作流主机。
工作流实例:工作流定义的运行实例,作为请求的效果。
工作流管理:一项 MIM 2016 功能,用于设计工作流、执行工作流和管理工作流。 工作流管理由工作流设计器、请求管理和工作流宿主组成。