Planeación de la sincronización de perfiles en SharePoint Server 2013
SE APLICA A:
2013 
2016 2019 Subscription Edition SharePoint en Microsoft 365
La sincronización de perfiles permite crear perfiles de usuario mediante la importación de información desde otros sistemas que se usan en la organización. Antes de leer este artículo, debe comprender los conceptos presentados en el artículo Información general de la sincronización de perfiles en SharePoint Server 2013. La sincronización de perfiles también se usa en la autenticación de servidor a servidor, lo que permite a los servidores obtener acceso y pedir recursos de otro servidor en nombre de los usuarios. Para obtener más información, vea Autenticación de servidor a servidor y perfiles de usuario en SharePoint Server.
Este artículo describe:
Cómo obtener la información necesaria para configurar la sincronización de perfiles.
Con quién deberá trabajar para recopilar la información necesaria.
Los tipos de contenido externo que deberán crearse, si es necesario.
En este artículo, no se describe cómo implementar su plan. Esa información se brinda en el artículo Sincronización de perfiles de usuario y grupo en SharePoint Server 2013.
Antes de empezar
Antes de empezar a trabajar con las tareas de planeación de este artículo, debe:
Saber qué usuarios desea tener perfiles en SharePoint Server 2013.
Sepa qué propiedades tendrá un perfil de usuario y rellene la hoja de cálculo Planeamiento de propiedades de perfil de usuario como se explica en el artículo Planear perfiles de usuario en SharePoint Server.
Comprender conceptos generales sobre los servicios de directorio.
Acerca de la planeación para la sincronización de perfiles
Como primera medida para la planeación de la sincronización de perfiles, deberá identificar las conexiones de sincronización y recopilar la información necesaria para crear la conexión. Si necesita tipos de contenido externo, deberá documentar los requisitos para esos tipos de contenido externo, proporcionarlos a un desarrollador y recibir los detalles que usará para especificar una conexión de sincronización para el sistema de negocios.
A continuación, determinará cómo asignar las propiedades de perfil de usuario a la información de los sistemas externos para que puedan sincronizarse.
Por último, responderá preguntas más sencillas, por ejemplo, si sincronizará grupos, qué servidor usará para ejecutar el servicio de sincronización y con qué frecuencia sincronizará la información del perfil.
Planeación de conexiones de sincronización
Cada propiedad de un perfil de usuario puede provenir de un sistema externo. Hay dos tipos de sistemas externos: servicios de directorio y sistemas de negocio. En este artículo, la frase sistema de negocio se usa para hacer referencia a un sistema externo que no es un servicio de directorio. SAP, Siebel, SQL Server y las aplicaciones personalizadas son ejemplos de sistemas de negocio.
Nota:
Para obtener una lista de los servicios de directorio admitidos, consulte Información general sobre la sincronización de perfiles.
En SharePoint Server 2013, una conexión de sincronización es una manera de obtener información de perfil de usuario de un sistema externo. Para importar perfiles desde uno de los servicios de directorio compatibles, cree una conexión de sincronización al servicio de directorio. Para importar propiedades de perfil adicionales desde un sistema empresarial, se crea un tipo de contenido externo para traer los datos del sistema empresarial a SharePoint Server 2013 y, a continuación, crear una conexión de sincronización con el tipo de contenido externo. En las siguientes secciones se explica cómo recopilar la información necesaria sobre cada conexión de sincronización.
Conexiones a servicios de directorio
Cada usuario que quiera tener un perfil en SharePoint Server 2013 debe tener una identidad en un servicio de directorio. (Si los usuarios no están representados en un servicio de directorio, no puede sincronizar perfiles de usuario). Identifique qué servicios de directorio contienen información sobre estos usuarios. También debe identificar un administrador del servicio de directorio, salvo que usted mismo tenga acceso. Esta persona lo ayudará a recopilar una parte de la información necesaria para crear conexiones de sincronización.
La hoja de cálculo Planeamiento de conexiones contiene plantillas para la información que necesita recopilar para cada tipo de conexión. Cada plantilla se encuentra en una pestaña diferente que está etiquetada con el nombre del proveedor de servicios de directorio correspondiente. Cree una pestaña nueva para cada servicio de directorio que identificó. Copie la plantilla del tipo de servicio de directorio en la nueva pestaña. A continuación, complete la información de cada nueva pestaña según la tabla siguiente.
| Nombre de la fila en la hoja de cálculo | Se aplica al tipo de conexión | Instrucciones |
|---|---|---|
| Nombre de la conexión de sincronización |
Todo |
Elija un nombre que le recuerde a qué servicio de directorio corresponde esa conexión. |
| Tipo de conexión |
Todo |
Tipo de servicio de directorio al que corresponde esta conexión. Esta información ya está incluida en cada pestaña. |
| Bosque |
AD DS |
Nombre del bosque del servicio de directorio. |
| Controlador de dominio |
AD DS |
Nombre del controlador de dominio preferido. Solo debe identificar el controlador de dominio si hay varios controladores de dominio en el bosque y usted quiere sincronizar uno en particular. |
| Tipo de proveedor de autenticación |
todas |
El tipo de autenticación que SharePoint Server 2013 debe usar para conectarse al servicio de directorio. Este puede ser alguno de los siguientes: Autenticación de Windows Autenticación basada en formularios Autenticación basada en notificaciones El arquitecto de sistemas debe proporcionar esta información. |
| Proveedor de autenticación |
Todo |
Si se va a utilizar la autenticación basada en formularios o la autenticación basada en notificaciones, rellene el nombre del proveedor de confianza. El arquitecto de sistemas debe proporcionar esta información. Para la autenticación de Windows no es necesario un proveedor de autenticación. |
| Cuenta de sincronización |
Todo |
Cuenta, incluido el dominio, que se usará para conectar al servicio de directorio. Es probable que el administrador del servicio de directorio cree una cuenta para la sincronización. Nota: Los permisos que debe tener la cuenta de sincronización se describen en la sección Planear permisos de cuenta de este tema. |
| Contraseña de la cuenta de sincronización |
Todo |
Contraseña para la cuenta de sincronización. Nota: Debe conocer la contraseña de la cuenta de sincronización. Recomendamos que no la registre en la hoja de cálculo. |
| Puerto de conexión |
Todo |
Puerto que se usará para conectar al servicio de directorio. |
| ¿Usar SSL? |
AD DS |
Opción de usar una conexión de SSL protegido para conectar al servicio de directorio. SSL solo es compatible con conexiones a AD DS. |
| Servidor de servicio de directorio |
Tivoli, Sun, eDirectory |
Nombre del servidor del servicio de directorio. |
| Atributo de nombre de usuario |
Tivoli, Sun, eDirectory |
Nombre del atributo en el servicio de directorio que actúa como el identificador único de cada perfil. En la mayoría de los casos, el atributo de nombre de usuario predeterminado "uid" es correcto. |
| Contenedores |
Todo |
Nombres de los contenedores de servicios de dominio, también denominados unidades organizativas (OU), que contienen los perfiles que hay que sincronizar. |
| Filtros para usuarios |
Todo |
Vea las instrucciones detalladas en la sección Acerca de filtros de exclusión. |
| Filtros para grupos |
Todo |
Vea la sección Sincronización de grupos. |
Acerca de filtros de exclusión
SharePoint Server 2013 sincronizará todos los perfiles de los contenedores que identifique a menos que elija excluir perfiles mediante un filtro. Por ejemplo, puede crear un filtro para excluir usuarios cuyas cuentas estén deshabilitadas.
Un filtro consiste en un conjunto de cláusulas y el conector que se usa para combinarlas. Cada cláusula tiene tres partes:
Atributo: atributo de servicio de directorio para comparar.
Valor: valor con el que se compara el atributo.
Operador: tipo de comparación.
Hay dos formas de combinar las cláusulas de un filtro de exclusión:
Aplicar todo (AND): una cuenta coincide con el filtro si aplican todas las cláusulas.
Aplicar cualquiera (OR): una cuenta coincide con el filtro si aplica cualquier cláusula.
No puede mezclar combinaciones AND y OR en un filtro.
Por ejemplo, suponga que a los empleados temporales de su organización se les asignan cuentas de Active Directory que empiezan con "T-". Usted quiere sincronizar los perfiles de todos los usuarios permanentes (no temporales) cuyas cuentas no están deshabilitadas. Puede crear un filtro que use las cláusulas de la siguiente tabla.
Nota:
Después de realizar cambios en un filtro, se requiere una sincronización completa.
| Atributo | Operador | Valor |
|---|---|---|
| Samaccountname |
empieza con |
T- |
| userAccountControl |
bit encendido es igual a |
2 |
El filtro combinaría las cláusulas mediante Aplicar cualquiera (OR).
Nota:
En AD DS, userAccountControl es una máscara de bits que representa varios aspectos útiles sobre el estado de la cuenta de usuario. Para obtener una lista de algunos de los filtros más usados que puede crear mediante el atributo userAccountControl , consulte Uso de las marcas UserAccountControl para manipular las propiedades de la cuenta de usuario.
No puede crear un filtro que esté basado en la pertenencia a un grupo de servicios de directorio, como una lista de distribución. Para obtener alternativas a la importación de usuarios en función de la pertenencia a grupos, consulte Incapacidad para importar usuarios en función de la pertenencia a grupos.
Conexiones a sistemas de negocio
Para importar propiedades de un sistema de negocio, necesitará un tipo de contenido externo que traiga el valor de la propiedad desde el sistema externo hasta SharePoint Server 2013. En este artículo no se describe cómo crear un tipo de contenido externo. Esta tarea suele realizarla un desarrollador. En este artículo se describen los datos que tiene que recopilar y proporcionar al desarrollador, y lo que tiene que hacer con la información que reciba. Para obtener más información sobre desarrolladores, vea Tipos de contenido externo en SharePoint 2013.
Puede usar la hoja de cálculo de planeación del tipo de contenido externo para especificar los tipos de contenido externo que tienen que crearse. Vaya a la hoja de cálculo Planeamiento de propiedades de perfil de usuario que completó al leer el artículo Planear perfiles de usuario en SharePoint Server. En la hoja de cálculo de planeación del tipo de contenido externo, cree una fila para cada propiedad de perfil de usuario que venga de un sistema de negocio. Rellene las primeras tres columnas de cada fila según las instrucciones de la siguiente tabla.
| Columna de la hoja de cálculo | Instrucciones |
|---|---|
| Sistema de negocio |
Nombre que elige para identificar un sistema de negocio que contiene la propiedad. |
| Elemento |
Datos del sistema de negocio que corresponden a la propiedad. Sea lo más específico posible. Por ejemplo, si el sistema de negocio es una base de datos, proporcione el nombre de la tabla y de la columna, si los sabe. |
| Identificadores posibles |
Lista de las propiedades de perfil de usuario que podrían identificar al usuario de forma única. |
Una vez que haya terminado de rellenar las primeras tres columnas de cada fila, entréguele la hoja de cálculo al desarrollador de tipo de contenido externo. El desarrollador debe llevar a cabo las siguientes tareas y, a continuación, devolver la hoja de cálculo:
Cree tipos de contenido externo para proporcionar los datos del sistema externo que se describen en la hoja de cálculo.
Elija un identificador adecuado para cada tipo de contenido externo.
Si los perfiles de los usuarios tendrán una relación uno a uno con los elementos del tipo de contenido externo, cree un método de buscador específico. Un tipo de contenido externo que contiene la fecha de nacimiento de un usuario es un ejemplo de relación uno a uno. Cada perfil de usuario coincidirá con un elemento del tipo de contenido externo.
Si los perfiles de usuario tendrán una relación uno a varios con los elementos del tipo de contenido externo, cree un método de buscador y un filtro de comparación. Un tipo de contenido externo que contiene la matrícula de un vehículo del usuario es un ejemplo de relación uno a varios. Un usuario puede tener varios vehículos. Por tanto, cada perfil de usuario puede coincidir con más de un elemento del tipo de contenido externo.
Actualice la hoja de cálculo para describir los tipos de contenido externo que se crearon.
La hoja de cálculo Planeamiento de conexiones (propiedades de perfil de usuario y hoja de cálculo de planeamiento de sincronización de perfiles) contiene una pestaña para una conexión a un sistema empresarial. Cuando el desarrollador de tipo de contenido externo le devuelva la información, agrupe todas las propiedades de perfil que comparten el mismo tipo de contenido externo. Cree una pestaña en la hoja de cálculo Planeamiento de conexiones para cada tipo de contenido externo y copie la información de la pestaña Sistemas empresariales en cada nueva pestaña. En cada pestaña que haya creado, complete la información de acuerdo con las instrucciones de la tabla siguiente.
| Fila de la hoja de cálculo | Instrucciones |
|---|---|
| Nombre de la conexión de sincronización |
Elija un nombre que le recuerde a qué sistema de negocio corresponde esa conexión. |
| Tipo de conexión |
"Conectividad a datos empresariales" Esta información ya se rellenó. |
| Entidad de la conectividad de datos empresariales |
Nombre del tipo de contenido externo. |
| Asignación uno a uno o uno a varios |
Cantidad de elementos del tipo de contenido externo que pueden coincidir con un perfil de usuario determinado. Introduzca "uno a uno" o "uno a varios", según corresponda. |
| Propiedad de perfil para cotejar |
Nombre de la propiedad de perfil de usuario que corresponde al identificador de tipo de contenido externo. |
| Filtro de comparación |
Nombre del filtro de comparación. Solo se necesita un filtro en las asignaciones uno a varios. |
Identificación de las asignaciones de propiedad
Para indicar que una propiedad de perfil de usuario proviene de un sistema externo, asigne la propiedad a un atributo específico del sistema externo. Algunas propiedades de perfil de usuario se asignan de forma predeterminada. Solo puede asignar una propiedad de perfil a un atributo cuyo tipo de datos es compatible con el tipo de datos de la propiedad. Por ejemplo, no puede asignar la propiedad de perfil de usuario SPS-HireDate al atributo de Active Directory homePhone porque SPS-HireDate es una fecha y homePhone es una cadena Unicode. Para obtener una lista en la que se especifique qué tipos de datos de propiedades de perfil de usuario son compatibles con qué tipos de datos AD DS, vea User profile property data types in SharePoint Server 2013.
Al sincronizar información del perfil, además de importar propiedades de perfil desde sistemas externos, puede volver a escribir datos en un servicio de directorio. No puede volver a escribir datos en un sistema de negocio. Para indicar que SharePoint Server 2013 debe exportar una propiedad de perfil de usuario, asigne la propiedad y establezca la dirección de la asignación en Exportar. Cada propiedad puede asignarse en una dirección únicamente. No puede importar y exportar la misma propiedad de perfil de usuario. Los datos que se exportan sobrescriben todos los valores que puedan seguir existiendo en el servicio de directorio. Esto también ocurre con propiedades multivalor: el valor exportado no se anexa a los valores existentes, sino que los sobrescriben.
Examine la hoja de cálculo Planeamiento de propiedades de perfil de usuario que completó al leer el tema Planear perfiles de usuario en SharePoint Server . En cada fila (propiedad) cuyo valor se importará desde un sistema externo, rellene las tres últimas columnas según las instrucciones de la siguiente tabla.
| Fila de la hoja de cálculo | Instrucciones |
|---|---|
| Dirección |
"Importar", que indica que la propiedad se importará en SharePoint Server 2013. |
| Conexión de sincronización |
Nombre de la conexión de sincronización mediante la que se proporcionará esta propiedad. |
| Atributo |
Nombre del elemento del sistema externo que proporcionará el valor de la propiedad de perfil de usuario. Si la conexión de sincronización se hace a un servicio de directorio, este es el nombre del atributo del servicio de directorio. Si la conexión de sincronización se hace a un sistema de negocio, este es el nombre de la columna en el tipo de contenido externo. |
Nota:
No puede usar una conexión a un sistema de negocio para asignar una propiedad binaria a una propiedad que implementa el método de acceso Stream.
En cada fila (propiedad) cuyo valor se exportará a un servicio de directorio, rellene las tres últimas columnas según las instrucciones de la siguiente tabla.
| Fila de la hoja de cálculo | Instrucciones |
|---|---|
| Dirección |
"Exportar", que indica que la propiedad se exportará desde SharePoint Server 2013 a un servicio de directorio. |
| Conexión de sincronización |
Nombre de la conexión de sincronización mediante la que se exportará esta propiedad. Solo puede ser una conexión a un servicio de directorio. |
| Atributo |
Nombre del atributo del servicio de directorio cuyo valor debe actualizarse con el valor de la propiedad de perfil de usuario. |
Sincronización de grupos
De forma predeterminada, SharePoint Server 2013 sincroniza grupos, como listas de distribución, cuando sincroniza los perfiles de usuario. Puede apagar esta funcionalidad en la página Configurar sincronización en Administración central. La sincronización de grupos solo es compatible para AD DS.
Si sincroniza grupos además de usuarios, SharePoint Server 2013 importa información sobre los grupos y sobre qué usuarios son miembros de los grupos. La sincronización de un grupo no crea un perfil para el grupo y no hace que se creen perfiles de usuario adicionales. En SharePoint Server 2013, los grupos solo se usan para crear audiencias y mostrar qué pertenencias tiene un visitante en común con la persona a la que está visitando Mi sitio.
Si decide sincronizar grupos, SharePoint Server 2013 importará información sobre todos los grupos que existen en los contenedores de servicio de directorio que va a sincronizar a menos que elija excluir grupos mediante un filtro. El filtro para la exclusión de grupos es diferente al filtro para la exclusión de usuarios, aunque ambos tienen el mismo formato.
Vuelva a la hoja de cálculo de planeación de la conexión y rellene la celda Filtro para grupos.
Planeación del servidor de sincronización
Además de determinar las conexiones de sincronización y de identificar las asignaciones de propiedades, también hay que planear aspectos más sencillos de los perfiles de sincronización. El primero de ellos es la identificación del servidor de sincronización.
Solo se puede ejecutar una instancia del servicio de sincronización de perfile de usuario en una granja. El equipo en el que se ejecuta el servicio de sincronización de perfil de usuario se llama servidor de sincronización. El servidor de sincronización se especifica al crear la aplicación de servicio de perfiles de usuario. SharePoint Server 2013 aprovisiona una versión de Microsoft Forefront Identity Manager (FIM) en este equipo para participar en la sincronización.
Cuando SharePoint Server 2013 sincroniza perfiles, hace un uso intensivo de la red para comunicarse entre el servidor de sincronización y los controladores de dominio. Elegir un servidor de comunicación que esté físicamente cerca de los controladores de dominio reducirá el tiempo requerido para la sincronización.
Planeación de la programación de sincronización
La primera vez que sincronice la información de perfil entre SharePoint Server 2013 y sistemas externos, debe ejecutar una sincronización completa. Después, debe configurar el trabajo del temporizador de sincronización incremental del perfil de usuario para hacer una sincronización incremental con una programación periódica. Puede configurar el trabajo del temporizador para que se ejecute cada cinco minutos, por hora, por día, por semana o por mes. En las opciones por hora, por día, por semana y por mes, usted especifica cuándo quiere que comience el trabajo del temporizador.
Cuanto mayor sea la frecuencia de ejecución del trabajo del temporizador de sincronización, menos modificaciones habrá para sincronizar y, por lo tanto, más rápido se hará el trabajo. La frecuencia predeterminada es por día. Le recomendamos que programe la sincronización para que comience en un momento en el que la red se utilice poco.
Para obtener instrucciones sobre cómo configurar el trabajo del temporizador de sincronización incremental de perfil de usuario, vea Programar la sincronización de perfiles en SharePoint Server.
Planeación de permisos de cuenta
En la hoja de cálculo de planeación de la conexión, usted proporcionó el nombre de una cuenta de sincronización para cada servicio de directorio. A estas cuentas de sincronización se les deben otorgar permisos específicos de manera que el servicio de sincronización pueda obtener la información que necesita del servicio de directorio. En las secciones que siguen, se identifican los permisos necesarios para cada tipo de servicio de directorio. Trabaje con el administrador del servicio de directorio para otorgarles los permisos correspondientes a las cuentas.
Servicios de dominio de Active Directory (AD DS)
La cuenta de sincronización para una conexión a Servicios de dominio de Active Directory (AD DS) debe tener los permisos siguientes:
Debe tener el permiso Replicar cambios de directorio en el dominio con el que realizará la sincronización.
El permiso Replicar cambios de directorio permite que una cuenta consulte los cambios en el directorio. Este permiso no permite que una cuenta realice cambios en el directorio.
Si el controlador de dominio ejecuta Windows Server 2003, la cuenta de sincronización debe pertenecer al grupo integrado Acceso compatible con versiones anteriores de Windows 2000.
Si el nombre NetBIOS del dominio es diferente del nombre de dominio completo, la cuenta de sincronización debe tener el permiso Replicar cambios de directorio en el contenedor cn=configuration. Por ejemplo, si el nombre NetBIOS del dominio es contoso y el nombre de dominio completo es contoso-corp.com, debe otorgar el permiso Replicar cambios de directorio en el contenedor cn=configuration.
Si va a exportar valores de propiedad de SharePoint Server 2013 a AD DS, la cuenta de sincronización debe tener permisos Crear objetos secundarios (este objeto y todos los descendientes) y Escribir todas las propiedades (este objeto y todos los descendientes) en la unidad organizativa (OU) con la que se sincroniza.
Novell eDirectory versión 8.7.3
La cuenta de sincronización para una conexión a Novell eDirectory debe tener los permisos siguientes:
Entry Rights (Derechos de entrada): derechos de búsqueda para el árbol especificado.
All Attributes Rights (Derechos de todos los atributos): derechos de lectura, escritura y comparación para el árbol especificado.
Servidor de directorio Sun Java System versión 5.2
La cuenta de sincronización para una conexión al servidor de directorio Sun Java System debe tener los permisos siguientes:
Permisos de lectura, escritura, comparación y búsqueda para RootDSE.
Para realizar la sincronización incremental, la cuenta de sincronización también debe tener permisos de lectura, comparación y búsqueda para el registro de cambios (cn=changelog). Si no existe el registro de cambios, debe crearlo antes de realizar la sincronización.
IBM Tivoli versión 5.2
La cuenta de sincronización para una conexión a IBM Tivoli debe tener el permiso siguiente:
- La cuenta de sincronización debe pertenecer a un grupo administrativo.
Cuenta de la granja de servidores
El servicio de sincronización de perfiles de usuario se ejecuta con la cuenta de la granja de servidores. La cuenta de la granja de servidores necesita permisos específicos para configurar la sincronización de perfiles. Una persona que tenga derechos de administrador en el servidor de sincronización puede otorgar estos permisos.
La cuenta debe pertenecer al grupo Administradores del servidor de sincronización. Después de configurar el servicio de sincronización de perfiles de usuario, puede quitar este permiso.
La cuenta debe poder iniciar sesión localmente en el servidor de sincronización.
Nota:
La cuenta de la granja de servidores no es igual a la cuenta del administrador de la granja de servidores. Para determinar la cuenta de la granja de servidores, en Administración central, haga clic en Configurar cuentas de servicio y haga clic en Cuenta de la granja de servidores.
Si va a sincronizar perfiles de usuario con un sistema de negocio usando un tipo de contenido externo, la cuenta de la granja de servidores también debe tener un permiso para ejecutar operaciones en el tipo de contenido externo. Un administrador de la granja de servidores puede usar el procedimiento "Establecimiento de permisos en un tipo de contenido externo" para dar permiso de ejecución a la cuenta de la granja de servidores para cada tipo de contenido externo con el que realizará la sincronización.
Pasos siguientes
Para implementar su plan de sincronización de perfiles, siga las instrucciones del artículo Sincronización de perfiles de usuario y grupo en SharePoint Server 2013. Después de configurar la sincronización de perfiles y la información de perfil sincronizada por primera vez, implemente la programación de sincronización siguiendo el procedimiento descrito en el artículo Programación de la sincronización de perfiles en SharePoint Server.
Worksheets
Para descargar la hoja de cálculo de planeamiento de conexiones, la hoja de cálculo de planeamiento de tipos de contenido externo y las hojas de cálculo de planeamiento de perfiles de usuario, vaya a Propiedades de perfil de usuario y hojas de cálculo de planeamiento de sincronización de perfiles para SharePoint Server 2013.
Consulte también
Conceptos
Información general sobre la sincronización de perfiles en SharePoint Server 2013
Plan de perfiles de usuario de SharePoint Server
Sincronización de perfiles de usuario y grupo en SharePoint Server 2013
Administración del servicio de perfiles de usuario en SharePoint Server
Información general sobre el servicio de perfiles de usuario