Microsoft Identity Manager 2016 SP1 术语

本文档是 Microsoft Identity Manager 2016 SP1 及更高版本中引用的术语的完整列表。

A

Active Directory 组验证:在 MIM 2016 中实现的一个过程,可确保在 Active Directory 存储的域中的帐户名称的唯一性。

操作工作流:执行操作的工作流。 这包括发送通知电子邮件并将更改提交到 MIM 的服务数据库。

活动:工作流活动是 Windows Workflow Foundation (WF) 工作流的基本构建基块。 它包含在生成和运行工作流时在设计时和运行时启动的逻辑。

活动程序集:一个 .DLL 或 .EXE 文件,其中包含实现工作流活动的逻辑的 .net 程序集。

定位符:对象类型的一个或多个唯一属性,这些属性不会更改,并表示连接的数据源中连接的连接数据源中的对象,连接器空间对象链接 (例如,雇员编号或用户 ID) 。

审批:审批是一种工作流决策点,可用于在工作流继续操作之前获得人员的授权。

审批电子邮件:如果请求在提交之前需要审批,则会向标识的审批者发送审批电子邮件。

审批请求:需要审批的请求。 例如,在处理审批活动时,由 MIM 2016 发送到审批者的电子邮件。

审批响应:审批请求的响应。 它包含有关是否批准请求的信息。 例如,在答复批准请求的 Outlook MIM 外接程序中发送的电子邮件。

审批搜索文件夹:由用于 Outlook 的 MIM 外接程序创建的搜索文件夹,该搜索文件夹向用户提供一种方法来查看待定和已完成审批以及批准请求更新。

审批阈值:允许请求继续处理所需的肯定审批响应消息数。

审批者:将为请求提供批准的人员进入下一阶段。 如果使用 Outlook 的 MIM 外接程序,则他们将收到批准请求消息。 另请参阅 "升级批准者" 条目。

属性流:定义 MIM 服务与其他外部系统之间的属性值的流动方向。

身份验证活动:验证用户标识的工作流活动。 例如密码重置入口和智能卡身份验证入口。 另请参阅 "QA 入口" 和 "锁定入口" 的条目。

身份验证质询:一个对话框,要求用户提供对 MIM 2016 的身份验证的响应。 例如,供用户回答以重置其密码的问题。

身份验证质询活动:一个 Windows Workflow Foundation 活动,用于配置向用户发送的用于向用户进行身份验证 MIM 2016 的质询。

授权工作流:包含必须在请求提交到数据库之前完成的活动的工作流。 例如,数据验证和批准。

C

清除注册属性:此属性清除与身份验证工作流关联的注册。 例如,在问题和答案质询中,答案以注册数据的形式存储在 2016 MIM 中。 选中 "清除注册" 框并保存工作流时,将删除注册数据,要求用户重新注册。

计算成员 (或成员) :从手动管理的成员和筛选器的组合计算得出的一组只读资源。

连接器:连接器空间中的对象,它表示连接的数据源中的对象,并且当前通过预定义规则链接到元节中的对象。 元目录使用连接器对象在连接的数据源和元节之间同步属性值。

连接器筛选器:用于阻止连接器空间对象链接到元节对象的规则。

连接器空间:包含所连接数据源中所选对象和属性的表示形式的临时区域。 连接器空间对象是连接器空间中的对象,该对象是通过从连接的数据源导入数据或使用 MIM 中的规则在不同连接的数据源中创建新对象创建的。 这些对象包含可从连接的数据源中的相应对象导入或导出的属性值。

Count xpath: xpath 表达式,该表达式返回要在资源的显示名称后在括号内呈现的数字值。

基于条件的成员:从静态组成员和筛选器的组合计算得出的一组只读资源。

基于条件的成员身份:组成员身份由筛选器决定的组。 另请参阅 "静态成员身份" 的条目。

跨林成员:安全组的成员,该安全组的用户帐户与组帐户在不同的林中。

跨林组计算:将外部安全主体中组的林成员放置在 (FSP) 组与组所在的林关联的全新活动。

自定义表达式:在高级模式下定义函数或属性流时使用的描述性语言。

D

目标集 (或目标资源定义在请求) 后 :由于更改了资源的属性的请求,资源将移动到其中。

默认组验证活动:用于确定组管理请求是否会违反 MIM 2016 或 Active Directory 配置或策略的现成工作流活动。

断开连接:连接器空间中的对象,该对象表示连接的数据源中的对象,当前未链接到元节中的对象。

断开的对象:有三种类型的断开对象: disconnectors、explicit disconnectors 和已筛选的 disconnectors。

显示名称:在用户界面中显示的用于标识该资源的资源的属性。 显示名称中使用的值应明确且可读。 如果要使用各种 MIM 门户控件(例如资源选取器)中的资源,则必须提供显示名称。

通讯组:最常使用的用户和其他组的资源集合,可通过将电子邮件发送到组的邮箱同时发送电子邮件。

域配置:用于为 Active Directory 域建模的配置资源。

域本地组:具有本地域作用域的组是保护特定域中的资源的 Active Directory 组,其中可以包含该林或任何受信任林中的成员。

drop file:拖放文件是表示可能或发生的导出或导入的 XML 日志文件。

动态特性值:基于其他特性计算的特性的值。 例如,通过连接给定名称和姓氏来计算名称属性。

动态组:通过确保组中的所有资源 ((如用户、组、计算机) ,这些资源在使用 XPath 表示的条件内)的成员资格自动确定并保持 2016 MIM 最新的组。

E

枚举: MIM 2016 服务返回的资源列表。

升级:如果在指定时间内未完成审批,将升级批准并向审批添加其他审批者。

升级审核者:收到批准请求消息的用户(如果审批者无法响应)。 另请参阅 "审批者" 的条目。

显式连接器:连接器空间中的对象,该对象链接到元节中的对象,并且不能通过连接器筛选器断开连接。 显式连接器只能通过连接符手动创建,并且只能通过设置或使用连接符断开连接。

显式断开连接:连接器空间中的对象未链接到元节中的对象,只能通过使用联接来联接。 通过使用连接符手动断开对象的连接,对象变为显式断开。

导出:导出是将更改推送到已连接数据源的过程。 导出始终是基于上次成功导入的增量操作。 MIM 处理导出更改,但不处理连接器空间中的更改,直到新的导入确认了更改。 根据所用管理代理的类型,导出实现的更改可以位于属性、对象或值级别。

导出属性 Flow:将对象的属性从元节转换到连接器空间的过程。 此过程可能涉及一对一映射,应用规则扩展来修改属性或设置静态属性值。 在连接器空间中暂存导出的属性,以便下一次导出到连接的数据源。

可扩展断言标记语言 (XAML) :一种基于 XML 的语言,用于表示工作流定义。

外部系统范围筛选器:根据特定条件确定从源目录标识和筛选的资源。

外部系统资源类型:这是 MIM 2016 资源连接到的外部系统中的资源类型。

外部系统资源创建标志:同步规则的一个参数,用于指示是否应在连接器空间中创建资源,前提是该资源在外部系统中不存在。 请参阅 MIM 2016 资源创建标志。

外部系统范围:一个同步规则的参数,其中包含一个筛选器,该筛选器显示应用规则的外部系统上的资源。

F

filter:包含筛选条件的表达式。 如果筛选器中包含的每个筛选条件与资源匹配,则筛选器将匹配资源。 在 MIM 2016 中,filter 使用 XPath 语法。

筛选断开连接:连接器空间中的对象,阻止在关联的管理代理中根据连接器筛选规则将其联接或投影到元节中的对象。

FIM 管理代理:在 MIM 2016 服务与 MIM 2016 同步服务之间进行同步的管理代理。

FIM/MIM 密码重置客户端服务:这是指位于最终用户的计算机上的代理服务,该服务与 MIM 2016 服务器进行通信。

FIM/MIM 密码重置扩展:这是指位于最终用户计算机上的代码,该代码可扩展 Windows 登录的功能,包括自助密码重置。

FIM/MIM 资源创建标志:同步规则的一个参数,用于指示是否应根据关系条件在 MIM 2016 数据库中创建资源不存在。 另请参阅 "外部系统资源创建标志" 的条目。

函数:一个可包含在同步规则或工作流定义中的组件,用于处理数据值。

G

gate:请求处理的身份验证阶段中使用的工作流活动。 另请参阅"QA 门"和"锁定门"条目。

组嵌套:组定义的字段,指定组是否包含其他组作为当前组的成员。

组范围:组定义的字段,一个或"local"、"global"或"universal"。 有关详细信息,请参阅 Active Directory 组范围。

I

import:将连接的数据源对象移动到连接器空间以用于创建、修改、删除或验证的过程。 导入可以是完整或增量操作。 对于完全导入,MIM从连接的数据源请求所有指定对象,并删除在此导入过程中未收到相应对象的所有暂存对象。 因此,此运行配置文件步骤可用于清理连接器空间中的暂存对象。 从连接的数据源接收的对象将分步在连接器空间中。 若要使增量导入提供所需的结果,连接的数据源必须实现水印形式。 连接的数据源使用水印来指示对象的最新更改发生的时间。 MIM读取水印以确定要包括在增量导入中的内容。 例如 Active Directory USN。

导入属性Flow (IAF) :导入属性流是将属性从连接器空间导入到 metaverse 的过程。 此过程可能涉及应用一对一属性映射、使用规则扩展来修改属性或设置静态属性。

图像 URL:在 2016 门户 UI 中MIM图像的 URL。

初始流:初始流是属性值流,仅在首次创建资源时应用一次。 也就是说,只有在首次创建帐户时,才创建初始密码。

交互式工作流:需要请求更改的用户的响应(例如执行其他身份验证检查)的工作流。

J

join:联接是将连接器空间对象与现有 Metaverse 对象链接的过程。 属性值仅在链接对象之间流动。

加入组请求:将用户添加到组的请求。

L

锁定:MIM2016 数据库中人员资源的配置设置,用于限制该人员在 2016 MIM进行身份验证或执行密码重置。

锁定门:请求处理的身份验证阶段中的工作流活动,用于锁定未能进行身份验证的用户。 另请参阅"锁定"和"QA 门"条目。

锁定阈值:这是一个整数控件,指定用户在锁定锁定持续时间之前无法完成身份验证工作流的时间。 此 的默认设置为 3。 下限为 0,上限为 99。

锁定持续时间:这是一个整数控件,指定达到锁定阈值后用户被锁定的持续时间(以分钟为单位)。  此设置的默认设置为 15 分钟。  此设置的下限为 1,上限为 9999。 上限允许管理员将上限设置为大于一天。

永久锁定前的锁定阈值计数:这是一个整数控件,允许管理员为用户在永久锁定之前达到锁定阈值次数配置数值。永久锁定意味着系统管理员必须解锁用户。 默认情况下,这设置为 3。 此设置的范围介于 1 到 99 之间。

M

管理代理:管理代理 (MA) 将特定连接的数据源连接到元目录。 它负责将数据从连接的数据源移动到 MIM 以及确定标识数据是否有资格参与 MIM 和任何其他连接的数据源的规则。 修改元目录中的数据时,管理代理可以将数据导出到连接的数据源,使连接的数据源与数据同步MIM。 使用管理代理,而不是使用基于代理的连接器。

管理策略规则 (MPR) :管理策略规则 (MPR) 提供了一种机制,用于为传入 MIM 2016 服务器的请求建模业务处理规则。 它们控制针对 MIM 2016 资源的请求操作的权限,以及这些请求触发的工作流。

有两种类型的 MDR:

  • 请求 MDR:授予权限并运行 (在请求的操作之前调用) 。

  • 设置转换 MDR:运行工作流 (对应用的状态更改作出) 。

    MDR 的主要设计对象包括:

  • 建模权限

  • 为工作流映射建模

  • 建模转换

  • 建模自反定义

  • 对未经身份验证的用户访问权限进行建模

  • 为时态策略建模

  • 对筛选器权限建模

手动管理的成员:由手动选择的用户、组或其他资源列表组成的组或集的成员身份。

metaverse:由 MIM用于包含来自多个连接的数据源的聚合标识信息的中心数据存储,提供所有组合对象的单个全局集成视图。 Metaverse 不用作除 MIM 应用程序外的任何应用程序的聚合标识数据的表或视图,因为损坏可能会导致。

受监视邮箱:一个MIM 2016 服务监视的邮箱,用于接收来自 MIM 外接程序的审批和Outlook。

N

通知活动:请求处理操作阶段中的工作流活动,MIM 2016 向一个或多个用户发送电子邮件以通知他们请求。

通知消息:由通知活动发送的电子邮件。 另请参阅"通知活动"条目。

O

ObjectID (ResourceID) :一个属性,该属性包含由 MIM 2016 创建时分配给每个资源的全局唯一标识符 (GUID) 。 这也称为资源 ID。

对象标识符:一系列数字,用作 X.509 数字证书中字段的标识符,或用作基于 LDAP 的目录服务中的属性类型或对象类的标识符。 对象标识符通常由软件供应商和标准主体分配。

操作类型:通过 Web 服务请求 2016 MIM托管的资源上的操作类型。 这包括创建和删除资源,以及读取和修改资源属性。 此外,添加/删除操作允许对修改操作应用进一步控制,以仅控制向属性添加值或删除它们。

运算符:筛选器的一个元素,用于指定数据值之间的比较或其他关系。

origin set (或 target resource definition before request) :一个在更改该资源的属性之前所属的资源集。

P

参数:预配新资源时,有时可以像用户一样从外部源提供属性值。 属性值作为参数传递,以成功创建新资源。

partition:连接器空间中数据的逻辑卷。 管理代理可以创建一个或多个分区,以在逻辑上将数据划分为不同的逻辑分组。 同步期间将单独处理每个数据量。

密码重置:一种过程,在用户忘记或丢失密码的情况下,可以将用户的密码更改为已知值。 另请参阅"注册"条目。

阶段:通过三个工作流阶段处理每个资源创建、更新或删除请求。 在身份验证阶段,可以执行请求用户的其他身份验证检查。 在授权阶段,会收集所有必要的审批。 在操作阶段,活动是在提交更改资源请求后执行的。

占位符对象:连接器空间中表示已连接数据源层次结构的单个级别的对象。 例如,如果要将对象与 Active Directory 林同步,则需要导入作为 Active Directory 对象路径的容器。 在示例中,CN=MikeDan,OU=Users,DC=Microsoft,DC=Com,为 DC=Com 和 DC=Microsoft,DC=Com 创建占位符对象。 此外,占位符对象可以表示已连接数据源中的对象,导入的引用属性值 (例如,Manager 属性在 User 对象引用中引用的对象) 。 占位符对象不包含属性值,并且不能链接到 metaverse。

策略管理:MIM 2016 中的策略管理由基于 Sharepoint 的控制台实现,用于策略创作和强制执行。 基于 Workflow Foundation 的Windows可扩展工作流使用户能够定义、自动化和强制实施标识管理策略。 策略管理还包括异类标识同步和一致性,这些同步和一致性是通过集成各种网络操作系统、电子邮件、数据库、目录、应用程序和平面文件访问实现的。

策略 (更新或策略更新) 时运行:如果工作流应作为引用它的集或 MDR 更改而重新运行,则策略更新标志用于指示这一点。

优先级:同步规则的排序。

主体集:管理策略规则中用于指定资源集 (用户) 管理策略规则评估的资源集。

相对于资源的主体集:这是一个自反属性。 其值根据资源属性之一进行定义。 它用于定义动态管理策略规则,这些规则的条件在所处理的每个目标资源的上下文中进行评估。

投影:基于投影规则在 Metaverse 中创建对象,然后将该对象自动链接到连接器空间中的现有对象的过程。

provision:基于对 metaverse 中对象的更改,在预先确定的连接器空间中创建、重命名和取消预配对象的过程。 可以将预配规则设置为在修改 Metaverse 对象时调用。 这些规则可以执行对象级操作,例如创建新的连接器空间对象或断开链接到 Metaverse 对象的现有连接器空间对象。

Q

QA 入口:身份验证阶段中的工作流活动,请求用户必须提供一个或多个预先确定的问题答案。 此活动通常用于密码重置,通过向用户提供一系列只有该用户知道、用户必须提供正确答案的预先确定的问题来质询用户证明其身份。 另请参阅"锁定门"条目。

QA 挑战:一项挑战,要求用户回答一系列问题,以便向 2016 MIM身份验证。

R

随机密码设置:用于确定在外部目录中设置密码所需的字符数的设置。

reference 特性类型:一种属性类型,其中属性的值是 ObjectID (2016) MIM其他资源的属性值的全局唯一标识符。

引用完整性:MIM 2016 中的一个约束,其中引用属性不能将已删除的资源的 ObjectID 作为值。

注册:为用户配置自助密码重置的过程。 另请参阅"QA 门"条目。

重新注册:在 2016 MIM中更新身份验证质询的注册,通常需要在更改密码重置注册的管理策略后进行。

关系创建:同步规则的配置标志,该规则确定是否应在 MIM 2016 或外部系统中自动创建资源(如果资源不存在)。

关系条件:设置同步规则,该规则用于匹配MIM服务器中的资源以及外部系统的资源。

关系终止:指示当同步规则不再适用时,其他外部系统中 (资源是否应断开连接) 并可能将其删除。

请求管理:用户与已提交请求和关联的工作流进行交互和管理的能力。

请求管理策略规则 (RMPR) : 针对传入的请求进行评估并应用以执行的操作的管理策略规则类型。 RMPRS 主要用于在 MIM 中创作访问策略定义。 换句话说,是如何处理请求的答案。 配置 RMPR 时,请求者位于旨在执行的操作的"集"中。

该MIM体系结构定义了 6 个不同的操作,RMPR 可以定义为:

  • 创建资源。

  • 删除一个资源。

  • 读取资源。

  • 向多值属性添加值。

  • 从多值属性中删除值。

  • 修改单值属性。

    定义 RMPR 时,必须至少选择这六个操作中的一个。 操作始终在请求者上下文中定义。 每个条件都需要目标的定义。 应用于目标的操作可能会导致目标资源的状态转换。 始终先调用 RMPR,然后再执行请求的操作。 若要有效地确定条件的目标特征,需要配置两种不同的状态:

  • 请求前的目标资源定义:应用请求之前的目标状态。

  • 请求后的目标资源定义:应用请求后目标的状态。

    是否需要定义这两种状态取决于 RMPR 定义要执行的操作。 在"创建"操作中,请求的资源没有初始状态。 因此,只需为"创建"操作配置"请求后的目标资源定义"。

    读取或删除操作不会导致状态转换。 对于这两种类型的操作,只需在请求之前指定目标资源定义。

    对于 Modify 操作或所有其他操作组合,需要配置这两种状态,如果未发生状态转换,这些状态可能具有相同的值。

    可以表示与请求者对象相关的 (资源,例如请求者自己的用户对象、目标用户的经理或目标组的所有者) 。

    对条件的响应的最简单形式是授予执行所请求操作的权限。 除了授予权限外,还可以将其他操作定义为对 RMPR 中条件的响应。 在MIM体系结构中,这些操作以工作流的形式定义。 处理给定的 RMPR 时,系统可能没有足够的信息来授予权限。 在这种情况下,可以在 RMPR 中定义适用于执行给定请求的用户的其他身份验证和授权步骤。 例如,若要授予执行请求的操作的权限,可能需要用户手动交互才能批准该操作。

    下图概述了 RMPR 的完整体系结构:

    RMPR 体系结构

    在 MIM 中新建请求对象时,系统会通过将请求条件与管理 RMPR 中配置的条件进行比较,来查询配置的 RMPR 以匹配对象。 如果找到匹配的 RMPR,则它们应用于排队的请求对象。 下图概述了此过程:

    找到匹配的 RMPR 并应用于排队的请求对象

    在 MIM 门户中,必须显式授予操作权限。 换句话说,除非 RMPR 授予,否则对资源的所有操作都被拒绝。 每个请求对象至少需要一个 RMPR,该 RMPR 授予对目标执行请求的操作的权限。

request 对象:当用户在 MIM 门户或 MIM 外接程序中执行任务时Outlook它表示为请求对象。 请求对象表示系统中活动的便捷报告机制。

每个请求对象都有以下组件:

  • 请求者:请求执行操作的资源。

  • 操作:请求者要执行的操作。

  • 目标:作为所请求操作的目标的资源。

    在逻辑上,请求对象是以下语句的实现:

    The requester attempts to perform the following operation on this target...

    下图概述了请求对象的常规体系结构:

    请求对象体系结构

    每个请求对象都有一个状态属性,用于指示处理状态。 处理请求可能需要手动交互才能完成请求。 例如,可能需要组的所有者手动批准其他用户加入组的请求。 除了手动交互,还可以配置MIM自动处理特定请求,而无需人工交互。

请求处理模型:请求处理模型MIM三个主要阶段:

  • 阶段 1:身份验证

  • 阶段 2:授权

  • 阶段 3:操作

    工作流(其中每个工作流都包含一个或多个活动)可以附加到其中每个阶段,在执行单个请求的上下文中运行。 请求可以从单个用户对其中一个 Web 服务终结点的调用启动,或者通过用户通过 MIM 门户启动。

    下图显示了请求处理组件的关系:

    请求处理组件的关系

    按以下顺序处理请求:

  • 请求对象创建:MIM 2016 创建请求对象,以响应对其中一个 Web 服务终结点的调用,或者由于通过 MIM 门户发起的请求。

  • MPR 评估:验证请求者请求操作的权利,并计算适用的工作流。 根据到任何 MPR 对象的映射检查请求。 若要映射到 MPR,需要匹配所请求操作 MPR 的所有适用字段。 这包括请求者、操作、目标资源和属性。 如果传入请求的所有这些条件(包括受影响的属性)都为 true,则相应的 MPR 与请求匹配。 请求必须映射到至少一个 MPR,该 MPR 在其定义中授予权限。 如果为 true,则请求将经历请求处理的权限检查阶段。 如果此情况不成立,则请求将失败。 系统还确定请求的一部分集转换,并查找所有相关的基于转换集的 MDR。

  • 身份验证:MIM 2016 以不确定的顺序一次运行一个身份验证工作流,以确认请求者的身份。

  • 授权:MIM 2016 确认请求者对请求中指定的资源执行请求的操作的权限。 所有依赖的授权工作流并行运行,但请求不会提交到MIM对象存储,除非所有工作流都已完成并且所有工作流都已成功。

  • 处理:MIM 2016 对应用程序存储区执行MIM操作。

  • 操作:MIM 2016 将执行因请求的操作而发生的任何进程。 所有操作工作流并行运行。 读取操作没有任何工作流应用于其处理。 这包括 RMPR 中配置的工作流,以及集基于转换的 MPR 中的工作流。

    注意

    同步帐户启动的请求会绕过适用于它们的所有身份验证和授权工作流。 应用任何适用的操作工作流。

请求者:向 2016 年 1 月提交请求MIM标识。

请求者范围:可提交请求的用户的已配置集合。 可以是"所有人"或筛选器定义的一组特定用户。

resource:2016 年 1 月中的MIM实例。 每个资源都由其 ObjectID 唯一标识 (ResourceID) 属性。

资源控制显示配置 (RCDC) :RCDC是配置资源,用于呈现资源控制 (RC) 中的 UI,用于在 MIM 2016 中创作特定资源类型。

资源当前集:管理策略规则的一部分 (MPR) 条件定义。 收到请求时的目标资源的集合。 适用于读取、删除和修改操作类型。

资源最终集:管理策略规则中条件定义的一部分。 处理请求后的目标资源的集合。 仅适用于创建和修改操作类型。

资源层次结构:在目录服务中,资源项的层次结构是命名上下文的基项与该资源项之间的目录项集合。

资源范围:一组可以提交请求的资源。

资源类型:架构的一部分,用于定义 2016 年 MIM 中的资源表示形式。

资源类型映射:用于表示 MIM 2016 中的资源的资源类型与用于在 metaverse 中表示该资源的资源类之间的关系。

role:组织分配的安全主体,用于管理访问权限。

规则扩展:规则扩展是一个动态链接库 (.dll) ,其中包含一组定义的用于管理数据的规则。 可以在同步期间使用规则扩展来扩展功能。 例如,可以使用规则扩展合并来自两个源属性的数据,并流式传输到一个目标属性 (例如,并流入 sngivenNamedisplayName) 。

运行历史记录:一组统计信息,显示管理代理单次运行的结果。

运行配置文件:运行配置文件表示一组步骤,这些步骤指定如何运行管理代理和配置设置,以确定管理代理的运行方式。 管理代理可以有多个运行配置文件,这些配置文件与管理代理一起存储。 运行配置文件由至少一个运行配置文件步骤组成。

S

search 文件夹:请参阅"approvals search folder"条目。

搜索范围:指定用户可从 2016 门户MIM特定搜索上下文的属性。 例如,用户可以从"所有用户"、"所有通讯组列表"和"我的待审批"下拉列表中选择搜索范围,除了用户指定的任何搜索词外,搜索结果将受限于满足这些条件的项。

安全描述符:包含安全对象资源的安全信息的结构和关联数据。 安全描述符标识资源的所有者和主组。 它还可以包含一个 DACL,用于控制对资源的访问,以及一个 SACL,用于控制尝试访问资源的日志记录。

安全主体:用于安全管理的标识,例如用户帐户,可以向服务进行身份验证。

安全令牌:基于凭据传输身份验证和授权信息的协议元素。 在 Web 服务协议中,安全令牌表示为 SOAP 标头中的 XML 元素,由 WS-Security 定义。

security token service:一种实现 WS-Trust 协议的服务,用于基于安全令牌交换来管理客户端和服务之间的信任。

顺序工作流:MIM 2016 年的所有工作流都派生自 Windows Workflow 基础顺序工作流。 它按顺序包括多个工作流。

服务帐户:Windows服务使用的帐户,而不是用户用来登录计算机系统的Windows帐户。 它表示系统帐户MIM。

设置:资源的命名集合。 通常,"集"用于根据规则组织资源。 集中的成员身份是手动管理的或基于条件的。 这意味着,可以手动将资源添加到集,并可以定义基于筛选语句自动将资源添加到集的条件。 当资源满足筛选条件时,它会自动添加到相关集。

将转换管理策略规则 (TMPR) : 对集成员身份的更改应用的管理策略规则。 当对象转换到或退出 MPR 中的指定集时,设置 TMPR 应用操作工作流。

TMPR 有两种类型:

  • 转换方式:资源将成为转换集的成员。

  • 转换出:资源离开转换集。

    注意

    删除转换集时,系统会将删除视为受影响对象的转换事件。

    响应是对应用的状态更改的响应。 调用相关的 MPR 时,已应用条件。 这意味着受影响的资源已转换到转换集或转换集外。 对于 TMPR,响应的目标不是定义对请求的操作的反应,而是定义对所应用操作的响应。 换句话说,对于一组基于转换的 MPR,与如何达到状态无关。 与状态更改的结果相关。

    在 MIM 中配置基于转换的 MPR 时,需要指定以下三个设置:

  • 转换集

  • 转换类型

  • 策略工作流

    策略工作流是需要调用以响应状态更改的进程的定义。 基于状态 MDR 的最常见用例是授予或撤销权利,以及预配和取消预配外部数据源。

    下图概述了一组基于转换的 MPR 的完整体系结构:

    设置 TMPR 体系结构

    请求激活基于转换的 MDR 集。 当 RMPR 处理和批准请求时,MIM 服务还会确定已批准的请求是否会导致状态转换,以及是否存在处理状态更改的基于状态转换的 MPR。

    下图概述了请求与一组基于转换的 MPR 之间的关系:

    请求与一组 TMPR 之间的关系

SID:用于标识用户帐户、组帐户或登录会话的唯一值。

SOAP:一种协议,用于交换软件组件之间的结构化信息。

同步:将选定数据保留在多个数据源的协议中的过程。 同步表示仅对对象中的MIM。 同步可以是针对整个数据集的操作,根据自上次已知操作以来的更改,在管理代理上定义同步或增量操作。 同步运行配置文件步骤定义入站和出站同步过程。

同步运行配置文件步骤有两个子类型:

  • 增量同步

  • 完全同步

    在增量同步期间,MIM仅处理导入的对象,这些对象是标记为挂起导入的暂存对象。 此运行配置文件步骤仅可用于处理那些具有挂起的更改,但在以前的同步运行期间未处理的对象。

    增量同步在两个预定义的运行配置文件中使用,并且在每个配置文件中的行为略有不同。 第一个运行配置文件是增量同步,其中不执行任何连接的源的导入,但评估连接器空间的所有对象,并处理任何挂起的更改的对象。 第二个运行配置文件是"增量导入"和"增量同步"的组合。 此运行配置文件仅从连接数据源导入这些对象和属性,这些数据源的值自上次运行管理代理以来已更改。 然后,仅将管理代理规则重新应用到具有增量导入挂起更改的对象。 不计算未挂起来自该增量导入的更改的对象。

    在完全同步期间,MIM评估同步规则,并应用于连接器空间的所有暂存对象。 只要对给定环境的规则应用了更改,就应启动完全同步。 根据连接器空间中的对象数,这可能是一个时间和资源密集型操作,因此应避免在生产环境中频繁更改同步规则。

同步筛选器:一个筛选器,用于防止 metaverse 中的资源传输到 MIM 2016 数据库。

同步规则:一个规则,用于将资源信息MIM服务器 (,包括MIM引擎) 连接的外部系统。

T

时态策略:绑定到时态集的集转换 MPR。 策略在一段时间内应用,因为对象根据时态集的定义转换到集和从集外转换。

时态集:基于相对日期的集对象的类型。 时态集提供一种机制,该机制可以完全自动执行根据时间推移转换到集或从集外转换的过程。 例如,可以针对从今天起过期一周的所有组定义临时集。 系统会自动评估系统中的对象,并每日将它们添加到此集。 其他示例允许对时间引用进行动态定义,例如基于"今天 x 天"的筛选器。

timed 事件:在经过配置的时间间隔或达到特定日期和时间后发生的转换事件。

timeout:2016 MIM等待审批响应的时间段,直到活动升级。

转换集:在设置转换管理策略规则的定义中使用的集。 策略应用于集成员身份中的更改,这些更改可以是进入或离开集的对象,具体取决于 TMPR 的配置。

U

未锁定的组:组的所有者外的用户可更改该组的成员身份。

通用组:具有通用范围的组是可以包含特定林中成员的 Active Directory 组。 可以在任何域或林中为通用组分配权限。 通讯组列表通常具有通用范围。  具有通用作用域的安全组可以保护同一林中的资源。

更新请求:更改资源属性的请求。

usage 关键字:usage 关键字用于确定为门户 UI 中的特定页面显示哪些搜索范围。 UI 中的每个列表视图页指定零个或多个用法关键字,该页的 UI 包含包含匹配关键字的所有搜索范围。 创作搜索范围时,客户可以为每个搜索范围指定零个或多个关键字,以自定义 UI 中给定页面的搜索范围。 它还用于确定向哪个用户集显示哪个主页资源和导航栏资源。 它还在架构管理中用于保护和标记架构元素,这些元素是应用程序的各个组件MIM。

W

Web 门户:由软件应用程序通过 Web 服务器组件(如 IIS)实现的用户界面。

Web 服务:与使用基于 HTTP 的协议实现的服务的协议接口。

工作流:工作流是一组称为活动的元素单元,它们存储为描述实际进程的模型。 工作流提供了一种描述工作项之间的顺序和依赖关系的方法。 此工作从头到头通过模型,活动可能由人员或系统函数执行。 换句话说,如果对请求的响应需要复杂的处理,则步骤将封装在工作流对象中。 工作流是可选组件,与 MDR 密切相关。 工作流定义在处理 MPR 期间必须发生的活动。 MIM安装多个默认工作流,这些工作流可以像现在一样使用,也可以作为自定义工作流的基础。

工作流活动的示例包括:

  • 发送自动电子邮件以请求审批。

  • 限制用户在自定义搜索期间可以看到的属性。

  • 根据新指南或AD DS验证MIM组。

  • 在同步规则的范围内添加或删除对象。

    为了满足环境中的所有处理要求,MIM体系结构定义了三种类型的工作流:

  • 身份验证:在继续请求之前执行其他用户标识验证

  • 授权:通过一系列活动验证请求,例如在处理请求之前获取必要的外部批准。

  • 操作:在原始请求成功完成后处理任何进一步的活动。

    这三个工作流是请求处理模型的一部分。

工作流定义:工作流定义以 WF Windows Workflow Foundation (定义的 XOML) 。 这将定义活动、活动的参数及其运行顺序。

工作流设计器:工作流构造的设计时体验。

工作流宿主:处理工作流运行的服务器组件。 在 MIM 2016 中,MIM 2016 服务是工作流主机。

工作流实例:作为请求效果的工作流定义的运行实例。

工作流管理:MIM 2016 功能,用于设计、执行和管理工作流。 工作流管理包括工作流设计器、请求管理和工作流宿主。