Синхронизация профилей пользователей и групп в SharePoint Server 2013

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

Настройка синхронизации профилей состоит из множества шагов. В данной статье этот процесс делится на короткие этапы с целью продемонстрировать ход настройки и сократить число шагов, которые придется отследить в случае возникновения ошибки. Настройка синхронизации профилей состоит из четырех этапов. В зависимости от конкретных условий, возможно, выполнять все этапы не потребуется. В этой статье также приводится этап 0, в котором содержатся инструкции по настройке компонентов, необходимых для настройки синхронизации профилей.

Профили и группы пользователей используются SharePoint Server 2013 с применением проверки подлинности "сервер-сервер" для доступа к ресурсам друг друга и их запроса от имени пользователей. Дополнительные сведения о проверке подлинности "сервер-сервер" см. в статье Проверка подлинности "сервер-сервер" и профили пользователей в SharePoint Server.

Перед началом работы

Перед выполнением этой операции ознакомьтесь со следующими сведениями о необходимых компонентах:

В ходе настройки синхронизации профилей потребуются определенные данные для ответа на вопросы в пользовательском интерфейсе. Также потребуются учетные записи с соответствующими разрешениями и уже частично настроенная ферма SharePoint Server 2013. В следующих подразделах описываются необходимые условия, которые нужно выполнить, прежде чем приступать к настройке синхронизации профилей.

Сбор сведений

Прежде чем выполнять процедуры, описанные в этой статье, заполните таблицы планирования свойств профилей пользователей и синхронизации профилей для SharePoint Server 2013. Данные, записанные в этих таблицах понадобятся вам при выполнении процедур из этой статьи.

• Таблица планирования подключений: содержит сведения о каждом подключении синхронизации профилей, которое вы создадите. Инструкции по заполнению таблицы указаны в статье Планирование синхронизации профилей для SharePoint Server 2013.

• Таблица свойств профиля пользователя: содержит свойства профиля пользователя, а также их сопоставление с внешними источниками данных. Инструкции по заполнению большей части таблицы приведены в статье Планирование профилей пользователей в SharePoint Server, а статья Планирование синхронизации профилей для SharePoint Server 2013 содержит инструкции по добавлению сведений о сопоставлении свойств.

• Таблица планирования синхронизации профилей: содержит сведения, которые потребуются для создания приложения-службы профилей пользователей и его необходимых компонентов. Если ферма уже содержит приложение-службу профилей пользователей, эту таблицу можно пропустить.

Вам потребуется знать имя сервера синхронизации. Сервер синхронизации — это сервер, на котором будет выполняться служба синхронизации профилей пользователей. В разделе Планирование реализации сервера синхронизации статьи Планирование синхронизации профилей для SharePoint Server 2013 содержатся указания по выбору сервера синхронизации.

Предоставление разрешений учетным записям

Чтобы настроить синхронизацию профилей, вам потребуется знать учетную запись фермы и пароль этой учетной записи, а для каждой службы каталогов, с которой требуется выполнить синхронизацию, вам потребуется учетная запись синхронизации. Разрешения, необходимые для каждой учетной записи, описаны в разделе Планирование разрешений учетных записей статьи Планирование синхронизации профилей для SharePoint Server 2013. Имейте в виду, что понять, что у учетной записи нет нужных разрешений, можно только после выполнения части процедуры настройки.

Установка обязательных компонентов

Для настройки синхронизации профилей необходимо установить SharePoint Server 2013 в конфигурации фермы.

Должна быть установлена полная версия SQL Server, а не экспресс-выпуск. Если вы установили SharePoint Server 2013 в соответствии с инструкциями, приведенными в разделе Установка SharePoint 2013 на отдельном сервере со встроенной базой данных, синхронизация профилей работать не будет.

Этап 0. Настройка фермы

На этом этапе выполняется настройка инфраструктуры для синхронизации профилей.

Этот этап включает следующие задачи:

1. Создание веб-приложения для размещения личных сайтов

2. Создание управляемого пути для личного сайтаЛичный сайт

3. Создание семейства веб-сайтов узла личных сайтов

4. Создание приложения службы профилей пользователей

5. [Включение доменных имен NetBIOS для синхронизации профилей пользователей с использованием PowerShell](configure-profile-synchronization.md# Proc)

6. Запуск службы профилей пользователей

Для выполнения задач этого шага нужно быть участником группы администраторов фермы SharePoint, а также группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

Создание веб-приложения для размещения личных сайтов

В ходе этой процедуры создается веб-приложение, где будут размещаться личные сайты. Рекомендуется разместить личные сайты в отдельном веб-приложении, которое может находиться в пуле приложений, доступном другим сайтам для совместной работы, или в отдельном пуле приложений, но на общем веб-сайте IIS. Дополнительные сведения о сайтах SharePoint Server 2013, пулах приложений и веб-сайтах IIS см. в статье Архитектура SharePoint 2013 для ИТ-специалистов. Более подробные инструкции по созданию веб-приложения см. в статье Создание веб-приложения в SharePoint Server.

Создание веб-приложения

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющая эту процедуру, является администратором фермы

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. В разделе Управление приложениями центра администрирования выберите пункт Управление веб-приложениями.

3. Нажмите кнопку Создать на ленте.

4. На странице Создание веб-приложения, в разделе Проверка подлинности, выберите метод проверки подлинности, который будет использоваться для данного веб-приложения.

5. В разделе Веб-сайт IIS можно задать параметры для нового веб-приложения, выбрав один из следующих двух вариантов (см. таблицу планирования синхронизации профилей):

• Выберите Использовать существующий веб-сайт и выберите веб-сайт, на котором нужно установить новое веб-приложение.

• Щелкните Создать веб-сайт IIS, а затем введите имя веб-сайта в поле Имя.

  Для нового веб-сайта IIS также можно указать номер порта, заголовок узла или путь.

6. В разделе Конфигурация безопасности выберите поставщика проверки подлинности и задайте параметры, определяющие, разрешен ли анонимный доступ и следует ли использовать протокол SSL.

7. В разделе Пул приложений выполните одно из следующих действий.

• Если для личного сайтаЛичный сайт используется существующий пул приложений (см. таблицу планирования синхронизации профилей), щелкните Использовать существующий пул приложений и выберите пул приложений для личного сайтаЛичный сайт из раскрывающегося меню.

• Если для личного сайтаЛичный сайт используется новый пул приложений (см. таблицу планирования синхронизации профилей), щелкните Создать пул приложений, введите имя пула приложений для личного сайтаЛичный сайт и выберите существующую (см. таблицу планирования синхронизации профилей) либо создайте новую управляемую учетную запись, с использованием которой будет запускаться пул приложений.

8. В разделе Имя базы данных и режим проверки подлинности выберите сервер базы данных, имя базы данных и метод проверки подлинности для нового веб-приложения.

9. Если используется зеркальное отображение базы данных, в разделе Сервер для отработки отказа в поле Сервер базы данных для отработки отказа введите имя определенного сервера базы данных для отработки отказа, который требуется сопоставить с базой данных контента.

10. В разделе Подключения к приложениям-службам выберите подключения к приложениям-службам, которые будут доступны веб-приложению.

11. В разделе Программа улучшения качества ПО выберите Да или Нет.

12. Нажмите кнопку ОК, чтобы создать новое веб-приложение.

13. На странице Приложение создано нажмите кнопку ОК.

Введите имя веб-приложения в строке My Site Web application (Веб-приложение личных сайтов) таблицы планирования синхронизации профилей. Эти данные понадобятся позже.

Создание управляемого пути для личных сайтов

Если для узла личного сайта и личных сайтов пользователей нужно использовать URL-адрес, у которого еще нет управляемого пути, воспользуйтесь процедурой, описанной в статье Определение управляемых путей в SharePoint Server, чтобы создать управляемый путь для личного сайта в созданном ранее веб-приложении личного сайта. В большинстве случаев достаточно использовать существующие управляемые пути.

Создание семейства веб-сайтов для узла личных сайтов

В ходе этой процедуры создается семейство веб-сайтов, в котором будут размещены личные сайты пользователей. Более подробные инструкции по созданию семейства веб-сайтов см. в статье Создание семейства веб-сайтов в SharePoint Server.

Создание семейства веб-сайтов для узла личных сайтов

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющая эту процедуру, является администратором фермы

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. В Центр администрирования в разделе Управление приложениями щелкните Создание семейств веб-сайтов.

3. На странице Создание семейства веб-сайтов, в разделе Веб-приложение, выберите веб-приложение личного сайтаЛичный сайт (см. таблицу планирования синхронизации профилей).

4. В разделе Заголовок и описание введите заголовок и описание для семейства веб-сайтов.

5. В разделе Адрес веб-сайта укажите путь для URL-адреса узла личного сайтаЛичный сайт. В большинстве случаев можно использовать корневой каталог (/).

6. В разделе Выбор шаблона перейдите на вкладку Предприятие и выберите Узел личных сайтов.

7. В разделе Главный администратор семейства веб-сайтов введите имя пользователя (в формате <DOMAIN>\ <user name>), который будет администратором семейства веб-сайтов.

8. В разделе Дополнительный администратор семейства веб-сайтов введите имя пользователя, который будет дополнительным администратором семейства веб-сайтов.

9. При применении квот для управления хранением данных семейства сайтов в разделе Шаблон квот выберите шаблон из списка Выберите шаблон квот.

10. Нажмите кнопку ОК.

После создания семейства веб-сайтов для узла личного сайтаЛичный сайт появится страница Сайт верхнего уровня успешно создан. Введите этот URL-адрес в строке My Site Host site collection URL (URL-адрес семейства веб-сайтов для узла личных сайтов) таблицы планирования синхронизации профилей. Несмотря на то, что, щелкнув ссылку, можно перейти к обзору корневого каталога семейства веб-сайтов, это приводит к ошибке, поскольку невозможно загрузить профиль пользователя. Это ожидаемая ситуация, так как профили пользователей на данный момент еще не импортированы.

Создание приложения-службы профилей пользователей

В этой процедуре создается приложение-служба профилей пользователей, с помощью которого можно управлять синхронизацией профилей.

Для получения подробных сведений о создании приложения-службы профилей пользователей см. раздел Создание приложения-службы профилей пользователей.

Создание приложения-службы профилей пользователей

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющая эту процедуру, является администратором фермы

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. В разделе Управление приложениями веб-сайта Центр администрирования щелкните Управление приложениями-службами.

3. На странице Управление приложениями-службами щелкните Создать и выберите Приложение-служба профилей пользователей.

4. В разделе Имя введите имя приложения-службы профилей пользователей (см. таблицу планирования синхронизации профилей).

5. В разделе Пул приложений выберите пул приложений, в котором будет работать приложение-служба профилей пользователей (если он существует), или создайте новый пул приложений (см. таблицу планирования синхронизации профилей).

6. Примите параметры по умолчанию для базы данных профилей, базы данных синхронизации и базы данных социальных тегов (если не требуются разные имена) и укажите серверы отработки отказа, если они используются.

7. В разделе Экземпляр синхронизации профилей выберите сервер синхронизации (см. таблицу планирования синхронизации профилей).

8. В разделе URL-адрес узла личных сайтов укажите URL-адрес семейства веб-сайтов для узла личного сайтаЛичный сайт, созданного на предыдущем шаге (см. таблицу планирования синхронизации профилей).

9. In the My Site Managed Path section, enter the part of the path which, when appended to the My Site host URL, will give the path of users' My Sites (see the Profile Synchronization Planning worksheet). Например, если для узла личного сайта используется URL-адрес http://server:12345/, а для личного сайта каждого пользователя нужно использовать http://server:12345/personal/user-name, введите /personal для управляемого пути личного сайта. Введенный управляемый путь создается автоматически. Управляемый путь с указанным именем необязательно должен уже существовать.

10. В разделе Формат имен сайтов выберите схему именования.

11. В разделе Группа прокси по умолчанию укажите, должен ли прокси-сервер этой службы профилей пользователей входить в группу прокси-серверов по умолчанию в этой ферме.

12. Нажмите кнопку Создать.

13. Когда на странице Создание нового приложения-службы профилей пользователей появится сообщение Приложение-служба профилей создано успешно, нажмите кнопку ОК.

Чтобы проверить, было ли создано приложение-служба профилей пользователей, обновите страницу Управление приложениями-службами. Должно появиться две записи, значением которых в столбце Имя является имя, указанное для созданного ранее приложения-службы профилей пользователей. Первая запись — это само приложение-служба. Вторая запись — это подключение (то есть "прокси") к приложению-службе.

Включение доменных имен NetBIOS для синхронизации профилей пользователей с использованием PowerShell

Если имя NetBIOS любого домена, с которым выполняется синхронизация, отличается от полного доменного имени, в приложении-службе профилей пользователей нужно включить доменные имена NetBIOS. Если все имена NetBIOS совпадают с доменными именами, эту процедуру можно пропустить.

Включение доменных имен NetBIOS для синхронизации профилей пользователей с использованием PowerShell

1. Убедитесь, что вы являетесь участником следующих групп:

• Предопределенная роль сервера securityadmin для экземпляра SQL Server.

• Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

• Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

• Обязательно прочитайте статью о политиках выполнения.

  Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint Server 2013.

  Примечание.

  При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделах Разрешения и Add-SPShellAdmin.

2. Вставьте следующий код в текстовый редактор, например Блокнот:

3. $ServiceApps = Get-SPServiceApplication
   $UserProfileServiceApp = ""
   foreach ($sa in $ServiceApps)
     {if ($sa.DisplayName -eq "<UPSAName>") 
       {$UserProfileServiceApp = $sa}
     }
   $UserProfileServiceApp.NetBIOSDomainNamesEnabled = 1
   $UserProfileServiceApp.Update()
   

4. Замените <UPSAName> именем приложения службы профилей пользователей.

5. Сохраните файл и добавьте расширение ".ps1", например EnableNetBIOS.ps1.

   Примечание.

   В качестве имени файла можно указать любое другое имя, однако файл должен быть сохранен в виде текстового файла в формате ANSI

6. Запустите командную консоль SharePoint 2013.

7. Измените каталог сохранения файла.

8. В командной строке PowerShell введите следующую команду:

& .\EnableNetBIOS.ps1

Запуск службы профилей пользователей

В этой процедуре запускается служба профилей пользователей.

Запуск службы профилей пользователей

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющая эту процедуру, является администратором фермы

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. В центре Центр администрирования в разделе Параметры системы щелкните Управление службами на сервере.

3. На странице Службы на сервере, в поле Сервер, выберите сервер синхронизации (см. таблицу планирования синхронизации профилей).

4. Найдите строку, у которой в столбце Служба находится значение Служба профилей пользователей. Если значение в столбце Состояние равно Остановлено, щелкните Запустить в столбце Действие.

Этап 1. Запуск службы синхронизации профилей пользователей

На этом этапе запускается служба синхронизации профилей пользователей.

Этот этап состоит из перечисленных ниже задач.

1. Запуск службы синхронизации профилей пользователей

2. Удаление ненужных разрешений

3. Сброс IIS

Для выполнения задач этого шага нужно быть участником группы администраторов фермы SharePoint, а также группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

Запуск службы синхронизации профилей пользователей

В этой процедуре запускается служба синхронизации профилей пользователей. Служба синхронизации профилей пользователей взаимодействует с Microsoft Forefront Identity Manager (FIM) для синхронизации данных с внешними системами.

Запуск службы синхронизации профилей пользователей

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющая эту процедуру, является администратором фермы

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. В центре Центр администрирования в разделе Параметры системы щелкните Управление службами на сервере.

3. На странице Службы на сервере, в поле Сервер, выберите сервер синхронизации.

4. Найдите строку, у которой в столбце Служба находится значение Служба синхронизации профилей пользователей. Если значение в столбце Состояние равно Остановлено, щелкните Запустить в столбце Действие.

5. На странице Служба синхронизации профилей пользователей, в разделе Выбор приложения профилей пользователей, выберите приложение-службу профилей пользователей.

6. В разделе Имя и пароль учетной записи службы уже выбрана учетная запись фермы. Введите пароль для учетной записи фермы в поле Пароль и введите его снова в поле Подтверждение пароля.

7. Нажмите кнопку ОК.

На странице Службы на сервере показывается, что служба синхронизации профилей пользователей имеет состояние Запускается. При запуске службы синхронизации профилей пользователей SharePoint Server 2013 подготавливает FIM для участия в синхронизации. Этот процесс может занять до 10 минут. Чтобы определить, запущена ли служба синхронизации профилей пользователей, обновите страницу Службы на сервере.

Если служба синхронизации профилей пользователей не запускается, убедитесь, что учетная запись фермы имеет необходимые разрешения на сервере синхронизации. Дополнительные сведения о необходимых разрешениях см. в разделе Планирование разрешений учетной записи статьи "Планирование синхронизации профилей".

Удаление ненужных разрешений

После запуска службы синхронизации профилей пользователей для осуществления повседневных операций учетной записи фермы не требуется входить в группу администраторов на компьютере, где запущена служба синхронизации. Чтобы повысить безопасность установки SharePoint Server 2013, удалите учетную запись фермы из группы администраторов на компьютере, где запущена служба синхронизации. Однако при выполнении резервного копирования приложения профилей пользователей служба синхронизации снова подготавливает приложение профилей пользователей к работе. В рамках такой подготовки приложения профилей пользователей учетной записи фермы требуется останавливать и запускать службу синхронизации. Для этого эта учетная запись фермы должна входить в группу администраторов на компьютере с запущенной службой синхронизации. Поэтому перед выполнением резервного копирования добавьте учетную запись фермы в группу администраторов на компьютере, где запущена служба синхронизации. После завершения резервного копирования можно удалить учетную запись фермы из группы администраторов.

Предоставление учетной записи фермы разрешения "Включить удаленно" в Microsoft FIM 2010

1. На сервере, на котором запущена служба синхронизации, нажмите Пуск.

2. Нажмите Выполнить, введите wmimgmt.msc, а затем нажмите кнопку "ОК".

3. Щелкните правой кнопкой мыши Элемент управления WMI, а затем нажмите Свойства.

4. В диалоговом окне Свойства элемента управления WMI откройте вкладку Безопасность .

5. Раскройте список Корень, а затем выберите пространство имен Microsoft FIM 2010 MicrosoftIdentityIntegrationServer.

6. Нажмите кнопку Безопасность.

7. Добавьте учетную запись фермы в список групп и пользователей, а затем в поле Разрешения для пользователей, прошедших проверку подлинности выберите значение Разрешить для разрешения Включить удаленно.

8. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Безопасность для ROOT\MicrosoftIdentityIntegrationServer , а затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства элемента управления WMI .

Сброс IIS

Если веб-сайт Веб-сайт центра администрирования SharePoint и служба синхронизации профилей пользователей запускаются на одном сервере, после запуска службы синхронизации профилей пользователей необходимо сбросить параметры служб IIS. Если они запускаются на разных серверах, эту процедуру можно пропустить.

Порядок сброса IIS

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющая эту процедуру, является администратором фермы

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. Запустите командную строку с повышенными привилегиями.

3. В диалоговом окне Контроль учетных записей нажмите кнопку Да.

4. В окне Администратор: командная строка введите "iisreset" и нажмите клавишу ВВОД.

5. После появления сообщения Интернет-службы успешно перезапущены закройте окно Администратор: командная строка.

Этап 2. Настройка подключений и импорт данных из служб каталогов

Чтобы импортировать профили, необходимо иметь по крайней мере одно подключение синхронизации к службе каталогов. На этом этапе создается подключение синхронизации к каждой службе каталогов, из которой нужно импортировать профили. Проводить синхронизацию можно после создания каждого подключения или сразу после создания всех подключений. Синхронизация после каждого подключения занимает больше времени, однако в этом случае упрощается поиск возможных ошибок.

Для выполнения этих процедур нужно быть администратором фермы или администратором приложения-службы синхронизации профилей. В противном случае для запуска процедур используйте страницу Служба управления профилями.

Этот этап состоит из перечисленных ниже задач.

1. Создание подключения синхронизации к службе каталогов

2. Определение фильтров исключений для подключения синхронизации

3. Сопоставление свойств профиля пользователя

4. Запуск синхронизации профилей

Создание подключения синхронизации к службе каталогов

В данной процедуре создается подключение к службе каталогов. В подключении указываются элементы для синхронизации и содержатся учетные данные, которые используются для взаимодействия со службой каталогов. Вводимая вами информация берется из таблицы планирования подключений.

Порядок создания подключения синхронизации профилей к службе каталогов

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы или администратору приложения-службы профилей пользователей.

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. Если учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы, выполните эти шаги. В противном случае перейдите к следующему шагу:

3. В разделе Управление приложениями веб-сайта Центр администрирования щелкните Управление приложениями-службами.

4. На странице Управление приложениями-службами выберите приложение-службу профилей пользователей.

5. В центре Центр администрирования на странице Управление службой профилей в разделе Синхронизация щелкните Настройка подключений для синхронизации.

6. На странице Подключения синхронизации нажмите Создать подключение.

7. На странице Добавление нового подключения синхронизации введите имя подключения синхронизации в поле Имя подключения.

8. В списке Тип выберите тип службы каталогов, к которой требуется подключиться.

9. Заполните поля в разделе Параметры подключения данными службы каталогов, для которой создается подключение.

   Для доменных служб Active Directory (AD DS) выполните перечисленные ниже действия.

10. В поле Имя леса введите имя леса.

11. Выполните одно из указанных ниже действий.

• Если в лесу имеется только один контроллер домена, выберите Автоматическое обнаружение контроллера домена.

• Если в лесу имеется несколько контроллеров домена, выберите Укажите контроллер домена и введите имя контроллера домена в поле Имя контроллера домена.

3. В поле Тип поставщика проверки подлинности выберите тип поставщика проверки подлинности.

4. Если вы выбрали Проверка подлинности с помощью форм или Проверка подлинности надежного поставщика утверждений, выберите поставщика проверки подлинности из поля Экземпляр поставщика проверки подлинности.

   В поле Экземпляр поставщика проверки подлинности перечисляются только те поставщики проверки подлинности, которые используются сейчас веб-приложением.

   Совет

   Возможно, для отображения списка поставщиков проверки подлинности вам потребуется выбрать элемент Проверка подлинности надежного поставщика утверждений и затем элемент Проверка подлинности на основе форм в поле Тип поставщика проверки подлинности.

5. В поле Имя учетной записи введите учетную запись синхронизации.

6. В поле Пароль введите пароль учетной записи синхронизации.

7. В поле Подтверждение пароля введите пароль учетной записи синхронизации еще раз.

8. В поле Порт введите номер порта подключения.

9. Если для подключения к службе каталогов требуется протокол SSL, установите флажок Использовать SSL-подключение:.

   Важно!

   При использовании SSL-подключения необходимо экспортировать сертификат контроллера домена из сервера Active Directory и импортировать его на сервер синхронизации.

   Для Novell eDirectory, Sun Java System Directory Server и IBM Tivoli Directory Server (ITDS) выполните перечисленные ниже действия.

10. В поле Имя сервера службы каталогов введите имя сервера службы каталогов.

11. В поле Тип поставщика проверки подлинности выберите тип поставщика проверки подлинности.

12. В поле Экземпляр поставщика проверки подлинности выберите поставщика проверки подлинности.

    В поле Экземпляр поставщика проверки подлинности перечисляются только те поставщики проверки подлинности, которые используются сейчас веб-приложением.

    Совет

    Возможно, для отображения списка поставщиков проверки подлинности вам потребуется выбрать элемент Проверка подлинности надежного поставщика утверждений и затем элемент Проверка подлинности на основе форм в поле Тип поставщика проверки подлинности.

13. В поле Имя учетной записи введите учетную запись синхронизации в формате LDAP, например, uid=имя_пользователя,ou=имя_подразделения,dc=ваша_компания,dc=Com.

14. В поле Пароль введите пароль учетной записи синхронизации.

15. В поле Подтверждение пароля введите пароль учетной записи синхронизации еще раз.

16. В поле Порт введите номер порта подключения.

17. Убедитесь, что флажок Использовать SSL-подключение не установлен. SSL-подключения для этих служб каталогов не поддерживаются.

18. В поле Атрибут имени пользователя введите имя атрибута в службе каталогов, который выступает в качестве уникального идентификатора каждого профиля.

19. В разделе Контейнеры щелкните Заполнить контейнеры и выберите контейнеры из службы каталогов, которые необходимо синхронизировать.

20. Нажмите кнопку ОК.

Определение фильтров исключений для подключения синхронизации

В данной процедуре определяются фильтры для подключения, в которых указывается, какие профили пользователей и группы будут исключены из синхронизации. Вводимая вами информация берется из таблицы планирования подключений.

Определение фильтров подключений

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы или администратору приложения-службы профилей пользователей.

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. Если учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы, выполните эти шаги. В противном случае перейдите к следующему шагу:

3. В разделе Управление приложениями веб-сайта Центр администрирования щелкните Управление приложениями-службами.

4. На странице Управление приложениями-службами выберите приложение-службу профилей пользователей.

5. В центре Центр администрирования на странице Управление службой профилей в разделе Синхронизация щелкните Настройка подключений для синхронизации.

6. На странице Подключения синхронизации щелкните правой кнопкой мыши подключение, для которого требуется задать фильтры подключения для синхронизации профилей пользователей, и выберите пункт Изменение фильтров подключений.

7. На странице Изменение фильтров подключений, в разделе Фильтры исключений для пользователей, выберите оператор, используемый для объединения предложений фильтра.

• Чтобы указать, что истинными должны быть все предложения фильтра, выберите Применяются все (И).

• Чтобы указать, что истинным должно быть хотя бы одно предложение фильтра, выберите Применяются по отдельности (ИЛИ).

6. В списке Атрибуты выберите атрибут службы каталогов, который обрабатывается операцией сравнения.

7. В списке Оператор выберите используемый оператор сравнения.

   Примечание.

   Доступные операторы зависят от типа данных выбранного атрибута. Список операторов, доступных для каждого типа данных, см. в статье Операторы и типы данных фильтра подключений в SharePoint Server 2013.

8. В поле Фильтр введите значение, с которым следует сравнивать атрибут.

9. Нажмите кнопку Добавить.

   Добавленное предложение отображается в области Фильтр исключения для пользователей.

10. Чтобы добавить в фильтр предложения, повторите действия 5–9.

11. Чтобы отфильтровать синхронизируемые группы, повторите действия 5–9, используя раздел Фильтр исключения для групп страницы.

12. После добавления требуемых фильтров подключений нажмите кнопку ОК.

Сопоставление свойств профилей пользователей

В ходе данной процедуры определяется способ сопоставления свойств профилей пользователей в SharePoint Server 2013 с данными, которые извлекаются из службы каталогов. Способ сопоставления свойств профилей пользователей должен был быть определен на листе User profile properties (Свойства профиля пользователя) в таблице планирования синхронизации профилей.

На следующих этапах придется вернуться к этой процедуре для сопоставления свойств профилей пользователей с данными, которые извлекаются из бизнес-систем, и определения способа использования свойств профилей пользователей в SharePoint Server 2013 для обратной записи данных в службу каталогов. Если эти этапы пока не выполняются, пропустите части процедуры, которые касаются работы с бизнес-системами и экспортом данных.

Сопоставление свойств профилей пользователей

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы или администратору приложения-службы профилей пользователей.

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. Если учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы, выполните эти шаги. В противном случае перейдите к следующему шагу:

3. В разделе Управление приложениями веб-сайта Центр администрирования щелкните Управление приложениями-службами.

4. На странице Управление приложениями-службами выберите приложение-службу профилей пользователей.

5. В центре Центр администрирования на странице Управление службой профилей в разделе Пользователи щелкните Управление свойствами пользователей.

6. На странице Управление свойствами пользователей щелкните правой кнопкой мыши свойство SharePoint Server 2013, которое необходимо сопоставить со свойством в службе каталогов, и выберите пункт Изменить.

7. Для удаления существующего сопоставления выберите в разделе Сопоставление свойств для синхронизации сопоставление, которое нужно удалить, и затем щелкните Удалить.

8. Чтобы добавить новое сопоставление, выполните следующие действия:

9. В разделе Добавление нового сопоставления списка Подключение к исходным данным выберите подключение к данным, представляющее внешнюю систему, с которой требуется сопоставить свойство SharePoint Server 2013.

10. В списке Атрибут выберите имя атрибута во внешней системе, с которым требуется сопоставить свойство,

    Совет

    Свойство профиля пользователя можно сопоставить с атрибутом внешней системы, только если типы данных совместимы. Если атрибут, который требуется сопоставить с профилем пользователя, отсутствует в списке при попытке создать новое сопоставление, это может быть вызвано несоответствием типов данных между свойством профиля пользователя и атрибутом. Дополнительные сведения о том, какие типы данных совместимы, см . в статье Типы данных свойств профиля пользователя в SharePoint Server 2013.

11. В списке Направление выберите направление сопоставления.

    Направление Импорт означает, что значение атрибута во внешней системе импортируется в SharePoint Server 2013 и используется для задания значения свойства SharePoint Server 2013. Направление Экспорт означает, что значение свойства SharePoint Server 2013 экспортируется во внешнюю систему и используется для задания значения атрибута во внешней системе.

    Примечание.

    Изменить сопоставление нельзя. Чтобы изменить направление сопоставления, сначала необходимо удалить сопоставление со старым направлением, а затем создать и добавить сопоставление с новым направлением.

12. Нажмите кнопку Добавить.

13. Нажмите кнопку ОК.

14. Повторите шаги 4–7, чтобы сопоставить другие свойства.

Запуск синхронизации профилей

Эта процедура используется для синхронизации данных профилей между SharePoint Server 2013 и внешними системами, такими как службы каталогов и бизнес-системы.

Запуск синхронизации профилей

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы или администратору приложения-службы профилей пользователей.

• Учетная запись пользователя, выполняющая эту процедуру, является участником группы администраторов на компьютере, на котором запущен сервер SharePoint Server 2013.

2. Если вы уже импортировали пользователей или создали личные сайты и включили имена доменов NetBIOS, перед запуском синхронизации профилей следует отключить задание таймера очистки личного сайта.

3. Если учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы, выполните эти шаги. В противном случае перейдите к следующему шагу:

4. В разделе Управление приложениями веб-сайта Центр администрирования щелкните Управление приложениями-службами.

5. На странице Управление приложениями-службами выберите приложение-службу профилей пользователей.

6. В центре Центр администрирования на странице Управление службой профилей в разделе Синхронизация щелкните Запуск синхронизации профилей.

7. На странице Запуск синхронизации профилей выберите Начать полную синхронизацию, если синхронизация проводится впервые или со времени последней синхронизации были добавлены или изменены подключения синхронизации или сопоставления свойств. Выберите Начать добавочную синхронизацию, чтобы синхронизировать только данные, которые были изменены со времени последней синхронизации.

8. Нажмите кнопку ОК.

   Появится страница Служба управления профилями.

9. Если вы намереваетесь включить задание таймера очистки личного сайтаЛичный сайт, прежде всего, выполните следующие дополнительные действия:

10. Еще раз запустите синхронизацию профилей, как описано в данном разделе.

11. После завершения второй синхронизации профилей в разделе Управление приложениями центра Центр администрирования щелкните Управление приложениями-службами.

12. Выберите имя приложения-службы профилей пользователей и щелкните Управление профилями пользователей.

13. На странице Служба управления профилями, в разделе Пользователи, щелкните Управление профилями пользователей.

14. Рядом с элементом Просмотр выберите Профили, не включенные в импорт.

15. В поле Найти профили введите домен для профилей, а затем нажмите кнопку Найти.

16. Для каждого возвращаемого профиля проверьте исходную службу каталогов, такую как Active Directory, для определения состояния этого профиля. Если состояние какого-либо из возвращаемых профилей в каталоге не отключено или не удалено, не включайте задание таймера очистки личного сайта. Для получения дополнительной помощи обратитесь в службу поддержки Майкрософт. В противном случае включите задание таймера очистки личного сайта. Для получения дополнительных сведений о командлетах PowerShell, используемых для включения или отключения этого задания таймера, см. статью Справка по командлетам SharePoint Server.

Полная синхронизация может занять много времени. Если обновить страницу Управление службой профилей, в правой части страницы отображается индикатор хода выполнения задания синхронизации. Помните, что синхронизация профилей состоит из нескольких этапов, и профили не будут импортированы немедленно. Страница Служба управления профилями во время синхронизации не обновляется автоматически.

Этап 3. Настройка подключений и импорт данных из бизнес-систем

Вы можете импортировать данные из бизнес-системы, например из системы персонала или финансовой системы, и использовать эти данные для добавления свойств в существующие профили пользователей. Вы уже создали внешний тип контента, который переносит сведения из внешней системы в SharePoint Server 2013. Дополнительные сведения о создании внешнего типа контента для синхронизации с бизнес-системой см. в статье Планирование синхронизации профилей для SharePoint Server 2013.

Этот этап является необязательным.

Для выполнения этих процедур нужно быть администратором фермы или администратором приложения-службы профилей пользователей и службы Служба подключения к бизнес-данным. В противном случае для запуска процедур используйте страницу Служба управления профилями.

Этот этап состоит из перечисленных ниже задач.

1. Предоставление приложению-службе профилей пользователей разрешения на использование внешнего типа контента

2. Настройка подключения синхронизации со службой подключения к бизнес-данным

3. Добавление и изменение свойств профилей пользователей

4. Импорт данных

Предоставление приложению-службе профилей пользователей разрешения на использование внешнего типа контента

Используйте эту процедуру, чтобы предоставить учетной записи фермы разрешение на выполнение операций с внешним типом контента. Дополнительные сведения о настройке разрешений для внешнего типа контента см. в разделе Установка разрешений для внешнего типа контента.

Порядок предоставления приложению-службе профилей пользователей разрешения на использование внешнего типа контента

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы или администратору приложения службы Служба подключения к бизнес-данным.

• Учетная запись пользователя, выполняющая эту процедуру, имеет разрешение на задание разрешений для внешнего типа контента, с которым выполняется синхронизация.

2. Если учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы, выполните эти шаги. В противном случае перейдите к следующему шагу:

• В разделе Управление приложениями веб-сайта Веб-сайт центра администрирования SharePoint щелкните Управление приложениями-службами.

3. Выберите приложение службы Служба подключения к бизнес-данным на странице Управление приложениями-службами центра Центр администрирования.

4. Установите флажок для внешнего типа контента, представляющего данные, с которыми проводится синхронизация.

5. В группе Разрешения нажмите кнопку Задать разрешения для объекта.

6. В поле введите учетную запись фермы и щелкните Добавить.

7. В поле Разрешения для <учетная_запись> выберите Выполнить.

   Примечание.

   Если учетная запись фермы является единственной учетной записью, указанной в поле Разрешения для <учетная_запись>, следует также назначить этой учетной записи фермы разрешение "Установить разрешения" для внешнего типа контента. В списке управления доступом внешнего типа контента по крайней мере один пользователь, группа или утверждение должны иметь разрешение на установку разрешений.

8. Нажмите кнопку ОК.

9. Убедитесь, что установлен флажок Распространение разрешений на все методы данного внешнего типа контента. При этом будут перезаписаны существующие разрешения..

10. Повторите эти шаги, чтобы задать разрешения для других внешних типов контента.

Настройка подключения синхронизации со службой подключения к бизнес-данным

В этой процедуре создается подключение для каждого внешнего типа контента. В подключении указывается, как данные бизнес-системы связаны со свойствами профиля. Вводимая вами информация берется из таблицы планирования подключений.

Порядок создания подключения для синхронизации профилей пользователей

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы или администратору как приложения-службы профилей пользователей, так и приложения службы Служба подключения к бизнес-данным.

2. Если учетная запись пользователя, выполняющего эту процедуру, принадлежит администратору фермы, выполните эти шаги. В противном случае перейдите к следующему шагу:

3. В разделе Управление приложениями веб-сайта Центр администрирования щелкните Управление приложениями-службами.

4. На странице Управление приложениями-службами выберите приложение-службу профилей пользователей.

5. В центре Центр администрирования на странице Управление службой профилей в разделе Синхронизация щелкните Настройка подключений для синхронизации.

6. На странице Подключения синхронизации нажмите Создать подключение.

7. На странице Добавление нового подключения синхронизации введите имя подключения для синхронизации в поле Имя подключения.

8. В списке Тип выберите Служба подключения к бизнес-данным.

9. В поле Сущность службы подключения к бизнес-данным введите имя внешнего типа контента.

   Совет

   Если имя внешнего типа контента неизвестно, нажмите кнопку Выбрать тип внешнего типа контента, чтобы просмотреть все внешние типы контента. Выберите в списке внешний тип контента и нажмите кнопку ОК.

10. Если каждый профиль пользователя сопоставляется только с одним экземпляром внешнего типа контента, выполните перечисленные ниже действия.

11. Выберите Подключить хранилище профилей пользователя к сущности службы подключения к бизнес-данным с сопоставлением "один к одному".

12. В списке Возвращаемые элементы, определяемые этим свойством профиля выберите свойство профиля пользователя, которое используется для сопоставления профилей пользователей с экземплярами внешнего типа контента. Свойство профиля пользователя и идентификатор внешнего типа контента задают отношение "один ко одному" между профилями пользователей и внешним типом контента и позволяют обеспечить применение импортированных свойств к правильному профилю пользователя.

    Совет

    В списке Возвращаемые элементы, определяемые этим свойством профиля возвращаются все свойства профилей пользователей, имеющие тип данных, аналогичный идентификатору внешнего типа контента.

13. Если профиль пользователя может сопоставляться с несколькими экземплярами внешнего типа контента, выполните перечисленные ниже действия.

14. Выберите Подключить хранилище профилей пользователя к сущности службы подключения к бизнес-данным с сопоставлением "один ко многим".

15. В списке Фильтровать элементы по: выберите фильтр, который будет использоваться для поиска набора экземпляров внешнего типа контента, которые применяются к профилю пользователя.

    Примечание.

    В списке Фильтровать элементы по: представлены все фильтры, определенные во внешнем типе контента.

16. В списке Использовать это свойство профиля как значение фильтра выберите свойство профиля пользователя, которое используется для сопоставления профилей пользователей с экземплярами внешнего типа контента.

17. Нажмите кнопку ОК.

18. Повторите шаги 4–10, чтобы добавить другие подключения.

Добавление и изменение свойств профилей пользователей

Перед импортом данных бизнес-системы необходимо указать способ сопоставления данных бизнес-системы со свойствами профилей пользователей. На листе Свойства профилей пользователей таблицы свойств профилей пользователей приведен список свойств бизнес-системы, которые нужно импортировать, и указан способ сопоставления этих свойств со свойствами профилей в хранилище профилей SharePoint Server 2013.

Выполните процедуру, описанную в разделе Сопоставление свойств профилей пользователей, чтобы сопоставить дополнительные свойства профилей пользователей. Если данные сопоставляются с существующим свойством профиля пользователя, измените свойство и добавьте новое сопоставление импорта. Если данные не сопоставляются с существующим свойством профиля пользователя, добавьте новое настраиваемое свойство и выполните сопоставление свойства.

Импорт данных

Для импорта данных из бизнес-системы необходимо выполнить полную синхронизацию. Выполните процедуру из раздела Запуск синхронизации профилей, чтобы начать полную синхронизацию.

Этап 4. Настройка подключений и экспорт данных в службы каталогов

На предыдущих этапах вы настраивали необходимые подключения для синхронизации профилей. Чтобы записать данные профилей обратно в службу каталогов, сопоставьте свойства профиля с атрибутами в службе каталогов, используя направление сопоставления Экспорт. При следующем проведении этой синхронизации профилей свойства будут импортированы и экспортированы в соответствии с заданными сопоставлениями.

Этот этап является необязательным.

Для выполнения этих процедур нужно быть администратором фермы или администратором приложения-службы синхронизации профилей. В противном случае для запуска процедур используйте страницу Служба управления профилями.

Не создавайте новое подключение синхронизации для экспорта свойств. Чтобы экспортировать свойства в службу каталогов, воспользуйтесь подключением синхронизации, которое было создано для импорта свойств из службы каталогов. Использовать подключение синхронизации только для экспорта свойств нельзя.

Снова выполните процедуру из раздела Сопоставление свойств профилей пользователей, но в этот раз в качестве направления сопоставления выберите Экспорт. Сопоставленные свойства будут экспортированы из SharePoint Server 2013 в службу каталогов, подключение к которой выбрано.

Снова выполните процедуру из раздела Запуск синхронизации профилей, но в этот раз выберите добавочную синхронизацию. Будут обновлены значения всех свойств профилей SharePoint Server 2013, которые были сопоставлены с атрибутами службы каталогов для экспорта.

Благодарности

Группа SharePoint Server 2013 Content Publishing благодарит Спенсера Харбара (Spencer Harbar), специалиста по Enterprise Architect, за помощь в подготовке этой статьи. Его блог находится по адресу http://www.harbar.net.

См. также

Концепции

Управление синхронизацией профилей пользователей в SharePoint Server

Планирование синхронизации профилей в SharePoint Server

Планирование синхронизации профилей для SharePoint Server 2013