Планирование синхронизации профилей для SharePoint Server 2013
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 
2016 2019 Subscription Edition SharePoint в Microsoft 365
Синхронизация профилей позволяет создавать профили пользователей путем импорта данных из других систем, используемых в организации. Прежде чем читать эту статью, ознакомьтесь с основными понятиями, представленными в статье Обзор синхронизации профилей в SharePoint Server 2013. Синхронизация профилей также используется при проверке подлинности типа "сервер-сервер" и позволяет серверам обращаться к ресурсам друг друга и запрашивать их от имени пользователей. Дополнительные сведения см. в статье Проверка подлинности между серверами и профили пользователей в SharePoint Server.
В этой статье описываются:
Способ получения данных, необходимых для настройки синхронизации профилей.
Кооперация для сбора требуемых данных.
Внешние типы контента, которые должны быть созданы при необходимости.
В этой статье не описывается, как реализовать разработанный план. Этот аспект освещается в статье Синхронизация профилей пользователей и групп в SharePoint Server 2013.
Подготовка к работе
Перед началом работы над задачами планирования, описанными в статье, вы должны знать следующее:
Узнайте, какие пользователи должны иметь профили в SharePoint Server 2013.
Узнайте, какие свойства будет иметь профиль пользователя, и заполните лист Планирование свойств профиля пользователя, как описано в статье Планирование профилей пользователей в SharePoint Server.
Иметь общее представление о службах каталогов.
Планирование синхронизации профилей
Первым шагом при планировании реализации синхронизации профилей является определение подключений синхронизации и сбор данных, которые потребуются при создании подключений. Если потребуются какие-либо внешние типы контента, необходимо задокументировать требования к ним, предоставить требования разработчику и получить информацию, которая будут использоваться для настройки подключений синхронизации к бизнес-системе.
Затем необходимо решить, как будут сопоставляться свойства профилей пользователей с данными внешних систем, чтобы они могли синхронизироваться.
Наконец, надо будет ответить на более простые вопросы: "Синхронизировать ли группы?", "Какой сервер будет использоваться для запуска службы синхронизации?" и "Как часто следует синхронизировать сведения профилей?".
Планирование реализации подключений синхронизации
Каждое свойство профиля пользователя может заполняться из внешней системы. Имеется два типа внешних систем: службы каталогов и бизнес-системы. В этой статье термин бизнес-система используется для обозначения внешней системы, не являющейся службой каталогов. Примерами бизнес-систем могут быть SAP, Siebel, SQL Server и специализированные приложения.
Примечание.
Список поддерживаемых служб каталогов см. в статье Общие сведения о синхронизации профилей.
В SharePoint Server 2013 подключение синхронизации — это способ получения сведений о профиле пользователя из внешней системы. Чтобы импортировать профили из одной из поддерживаемых служб каталогов, к ней создается подключение синхронизации. Чтобы импортировать дополнительные свойства профиля из бизнес-системы, создайте внешний тип контента, чтобы перенести данные из бизнес-системы в SharePoint Server 2013, а затем создать подключение синхронизации к внешнему типу контента. В следующих разделах описано, как собирать требуемые данные о подключениях синхронизации.
Подключения к службам каталогов
Каждый пользователь, у которого требуется профиль в SharePoint Server 2013, должен иметь удостоверение в службе каталогов. Выясните, какая служба каталогов содержит сведения о пользователях. Если отсутствует прямой доступ к этой службе каталогов, необходимо обратиться к ее администратору. Его помощь потребуется, чтобы собрать некоторые данные, необходимые для создания подключений синхронизации.
На листе Планирование подключения содержатся шаблоны сведений, которые необходимо собрать для каждого типа подключения. Каждый шаблон расположен на отдельном листе, названном по имени поставщика службы каталогов, к которому он применяется. Создайте лист для каждой выявленной вами службы каталогов. Скопируйте шаблон для типа службы каталогов на новую вкладку. Затем заполните сведения на каждой новой вкладке в соответствии со следующей таблицей.
| Название строки в электронной таблице | Применяется к следующему типу контента | Инструкции |
|---|---|---|
| Название подключения синхронизации |
Все |
Выберите имя, которое поможет запомнить, к какой службе каталогов относится конкретное подключение. |
| Тип подключения |
Все |
Тип службы каталогов, для которой создается это подключение. Это поле уже заполнено на всех листах. |
| Лес |
Доменные службы Active Directory |
Имя леса службы каталогов. |
| Контроллер домена |
Доменные службы Active Directory |
Имя основного контроллера домена. Контроллер домена требуется определять, только если в лесу есть несколько контроллеров и требуется выполнять синхронизацию только с конкретным контроллером домена. |
| Тип поставщика проверки подлинности |
Все |
Тип проверки подлинности SharePoint Server 2013 должен использовать для подключения к службе каталогов. Это один из следующих типов: Проверка подлинности Windows Проверка подлинности на основе форм Проверка подлинности на основе утверждений Эту информацию может предоставить архитектор систем. |
| Поставщик проверки подлинности |
Все |
Если будет использоваться проверка подлинности на основе форм или на основе утверждений, укажите имя доверенного поставщика. Эту информацию может предоставить архитектор систем. Для проверки подлинности Windows поставщик проверки подлинности не требуется. |
| Учетная запись синхронизации |
Все |
Учетная запись, включая домен, которая будет использоваться для подключения к службе каталогов. Скорее всего, администратор службы каталогов создаст учетную запись, которая будет использоваться для синхронизации. Примечание. Разрешения, которые должна иметь учетная запись синхронизации, описаны в разделе Планирование разрешений учетной записи этого раздела. |
| Пароль учетной записи синхронизации |
Все |
Пароль учетной записи синхронизации. Примечание. Необходимо знать пароль для учетной записи синхронизации. Не рекомендуется записывать его в электронную таблицу. |
| Порт подключения |
Все |
Порт, который будет использоваться для подключения к службе каталогов. |
| Использовать ли SSL? |
Доменные службы Active Directory |
Будет ли использоваться для связи со службой каталогов SSL-подключение. Для подключений к доменным службам Active Directory поддерживается только протокол SSL. |
| Сервер службы каталогов |
Tivoli, Sun, eDirectory |
Имя сервера службы каталогов. |
| Атрибут имени пользователя |
Tivoli, Sun, eDirectory |
Имя атрибута в службе каталогов, которое служит в качестве уникального идентификатора для каждого профиля. В большинстве случаев подходит атрибут имени пользователя по умолчанию, "uid". |
| Контейнеры |
Все |
Имена контейнеров службы каталогов, также называемые подразделениями (OU), которые содержат профили, предназначенные для синхронизации. |
| Фильтр пользователей |
Все |
См. подробные инструкции в подразделе Фильтры исключения. |
| Фильтр для групп |
Все |
См. статью Синхронизация групп. |
Фильтры исключения
SharePoint Server 2013 синхронизирует все профили из идентифицируемых контейнеров, если только вы не решите исключить профили с помощью фильтра. Например, можно создать фильтр для исключения пользователей, чьи учетные записи отключены.
Фильтр состоит из набора условий и соединителя, используемого для объединения условий. Каждое условие имеет три части:
Атрибут: атрибут службы каталогов, который обрабатывается операцией сравнения.
Значение: значение, с которым сравнивается атрибут.
Оператор: тип сравнения.
Существует два способа объединения условий фильтра исключения:
"Применяются все (И)": учетная запись удовлетворяет условиям фильтра, если она соответствует всем его условиям.
"Применяются по отдельности (ИЛИ)": учетная запись удовлетворяет условиям фильтра, если она соответствует любому из его условий.
Нельзя смешивать в одном фильтре команды И и ИЛИ.
Например, предположим, что временным сотрудникам организации выданы учетные записи Active Directory, начинающиеся с "T-". Требуется синхронизировать профили для всех постоянных пользователей, чьи учетные записи не отключены. Можно создать фильтр, использующий условия, приведенные в следующей таблице.
Примечание.
После внесения изменений в фильтр необходимо выполнить полную синхронизацию.
| Атрибут | Оператор | Значение |
|---|---|---|
| Samaccountname |
Начинается с |
T- |
| userAccountControl |
Установленный бит равен |
2 |
Фильтр должен объединять условия при помощи метода "Применяются по отдельности (ИЛИ)".
Примечание.
В доменных службах Active Directory атрибут userAccountControl является битовой маской, которая представляет определенные полезные сведения о состоянии учетной записи пользователя. Список некоторых наиболее часто используемых фильтров, которые можно создать с помощью атрибута userAccountControl , см. в статье Использование флагов UserAccountControl для управления свойствами учетной записи пользователя.
Невозможно создать фильтр, основанный на членстве в группе служб каталогов, например в списке рассылки. Альтернативы импорту пользователей на основе членства в группах см . в разделе Невозможность импорта пользователей на основе членства в группах.
Подключения к бизнес-системам
Чтобы импортировать свойства из бизнес-системы, потребуется внешний тип контента, который передает значение свойства из внешней системы в SharePoint Server 2013. В этой статье не описывается создание внешних типов контента. Эта задача обычно выполняется разработчиками. В статье описаны данные, которые необходимо собрать и передать разработчику, и действия, выполняемые с информацией, полученной от разработчика. Сама разработка внешних типов контента рассматривается в статье Внешние типы контента в SharePoint 2013.
Для указания внешних типов контента, которые потребуется создать, можно использовать таблицу планирования реализации внешнего типа контента. Перейдите к листу Планирование свойств профиля пользователей, который вы выполнили, прочитав статью Планирование профилей пользователей в SharePoint Server. В таблице планирования реализации внешнего типа контента создайте по одной строке для каждого свойства профиля пользователя, извлекаемого из бизнес-системы. Заполните первые три столбца каждой строки в соответствии с инструкциями, приведенными в следующей таблице.
| Столбец электронной таблицы | Инструкции |
|---|---|
| Бизнес-система |
Понятное имя, обозначающее бизнес-систему, содержащую свойство. |
| Элемент |
Данные в бизнес-системе, соответствующие свойству. Рекомендуется указывать их максимально конкретно. Например, если бизнес-системой является база данных, предоставьте имя таблицы и столбец, если они известны. |
| Возможные идентификаторы |
Список свойств профиля пользователя, которые позволяют однозначно определить пользователя. |
После заполнения первых трех столбцов для всех строк передайте электронную таблицу разработчику внешних типов контента. Разработчик должен выполнить следующие действия и вернуть электронную таблицу:
Создать внешние типы контента для предоставления данных внешней системы, описанных в электронной таблице.
Выбрать подходящий идентификатор для каждого внешнего типа контента.
Если для профилей пользователей будет задано отношение "один к одному" с элементами внешнего типа контента, создать метод конкретного поиска. Примером отношения "один к одному" является внешний тип контента, содержащий дату рождения пользователя. Каждый профиль пользователя будет соответствовать одному элементу внешнего типа контента.
Если профили пользователей будут иметь связь "один ко многим" с элементами внешнего типа контента, создайте метод finder и фильтр сравнения. Примером связи "один ко многим" является внешний тип контента, содержащий номерной знак транспортного средства, которым владеет пользователь. Пользователь может владеть несколькими транспортными средствами. Таким образом, каждый профиль пользователя может соответствовать нескольким элементам внешнего типа контента.
Обновить электронную таблицу для описания созданных внешних типов контента.
Лист "Планирование подключения" (свойства профиля пользователя и лист планирования синхронизации профилей) содержит вкладку для подключения к бизнес-системе. При получении информации от разработчика внешнего типа контента объедините вместе все свойства профилей пользователей, которые имеют общий внешний тип контента. Создайте вкладку на листе Планирование подключений для каждого внешнего типа контента и скопируйте информацию из вкладки Бизнес-системы на каждую новую вкладку. На каждой созданной вкладке заполните сведения в соответствии с инструкциями в следующей таблице.
| Строка на листе | Инструкции |
|---|---|
| Название подключения синхронизации |
Выберите имя, которое поможет запомнить, к какой бизнес-системе относится конкретное подключение. |
| Тип подключения |
Подключение к бизнес-системе Это поле уже заполнено. |
| Сущность подключения к бизнес-системе |
Имя внешнего типа контента. |
| Сопоставление "один к одному" или "один ко многим" |
Число элементов внешнего типа контента, которые могут сопоставляться с заданным профилем пользователя. Введите, соответственно, "один к одному" или "один ко многим". |
| Свойство профиля, с которым производится сопоставление |
Имя свойства профиля пользователя, соответствующее идентификатору внешнего типа контента. |
| Фильтр сравнения |
Имя фильтра сравнения. Фильтр требуется только для сопоставлений "один ко многим". |
Определение сопоставлений свойств
Для указания того, что свойство профиля пользователя извлекается из внешней системы, это свойство сопоставляется с определенным атрибутом внешней системы. Некоторые свойства профилей пользователей сопоставлены по умолчанию. Свойство профиля можно сопоставить только с атрибутом, тип данных которого совместим с типом данных свойства. Например, нельзя сопоставить свойство профиля пользователя SPS-HireDate с атрибутом homePhone Active Directory, так как SPS-HireDate — это дата, а homePhone — строка Юникода. Список совместимости между типами данных свойств профилей пользователей и типами данных доменных служб Active Directory, см. в статье User profile property data types in SharePoint Server 2013.
При синхронизации сведений профилей помимо импортирования свойств профилей из внешних систем можно записывать данные обратно в службу каталогов. Записывать данные в бизнес-систему невозможно. Чтобы указать, что SharePoint Server 2013 должен экспортировать свойство профиля пользователя, необходимо сопоставить свойство и задать направление сопоставления в значение Экспорт. Каждое свойство может быть сопоставлено только в одном направлении. Невозможно импортировать и экспортировать одно и то же свойство профилей пользователей. Экспортируемые данные перезаписывают значения, хранящиеся в службе каталогов. Это также относится и к свойствам с несколькими значениями экспортируемое значение не добавляется к существующему, а перезаписывает его.
Изучите лист Планирование свойств профиля пользователей, который вы завершили при чтении статьи Планирование профилей пользователей в SharePoint Server . Для каждой строки (свойства), чье значение будет импортироваться из внешней системы, заполните последние три столбца в соответствии с инструкциями, приведенными в следующей таблице.
| Строка на листе | Инструкции |
|---|---|
| Направление |
"Import", указывающий, что свойство будет импортировано в SharePoint Server 2013. |
| Подключение синхронизации |
Имя подключения синхронизации, используемого для получения этого свойства. |
| Атрибут |
Имя элемента внешней системы, из которого будет извлечено значение для свойства профиля пользователя. Если подключение синхронизации предназначено для службы каталогов, здесь указывается имя атрибута службы каталогов. Если подключение синхронизации предназначено для бизнес-системы, здесь указывается имя столбца во внешнем типе контента. |
Примечание.
Нельзя использовать подключение к бизнес-системе для сопоставления двоичного свойства со свойством, реализующим метод доступа к данным Stream.
Для каждой строки (свойства), чье значение будет экспортироваться в службу каталогов, заполните последние три столбца в соответствии с инструкциями, приведенными в следующей таблице.
| Строка на листе | Инструкции |
|---|---|
| Направление |
"Export", указывающий, что свойство будет экспортировано из SharePoint Server 2013 в службу каталогов. |
| Подключение синхронизации |
Имя подключения синхронизации, используемого для экспорта свойства. Это может быть только подключение к службе каталогов. |
| Атрибут |
Имя атрибута службы каталогов, значение которого должно быть изменено на значение свойства профиля пользователя. |
Синхронизация групп
По умолчанию SharePoint Server 2013 синхронизирует группы, например списки рассылки, при синхронизации профилей пользователей. Эту функциональность можно отключить на странице "Настройка параметров синхронизации" центра Центр администрирования. Синхронизация групп поддерживается только для доменных служб Active Directory.
Если вы синхронизируете группы в дополнение к пользователям, SharePoint Server 2013 импортирует сведения о группах и о том, какие пользователи являются членами групп. При синхронизации группы не создается ни профиль для этой группы, ни какие-либо дополнительные профили пользователей. В SharePoint Server 2013 группы используются только для создания аудиторий и отображения общего членства посетителя с пользователем, чей личный сайт он посещает.
Если вы решите синхронизировать группы, SharePoint Server 2013 импортирует сведения обо всех группах, существующих в контейнерах службы каталогов, которые синхронизируются, если только вы не исключите группы с помощью фильтра. Фильтр для исключения групп отличается от фильтра для исключения пользователей, хотя оба используют одинаковый формат.
Вернитесь к таблице планирования подключений и заполните ячейку "Фильтр для групп".
Планирование реализации сервера синхронизации
Кроме определения подключений синхронизации и сопоставлений свойств, необходимо также спланировать и более простые моменты синхронизации профилей. Первым из них является определение сервера синхронизации.
В ферме можно запускать только один экземпляр службы синхронизации профилей пользователей. Компьютер, на котором работает служба синхронизации профилей пользователей, называется сервером синхронизации. Сервер синхронизации определяется при создании приложения-службы синхронизации профилей пользователей. SharePoint Server 2013 подготавливает версию Microsoft Forefront Identity Manager (FIM) на этом компьютере для участия в синхронизации.
Когда SharePoint Server 2013 синхронизирует профили, он интенсивно использует сеть для обмена данными между сервером синхронизации и контроллерами домена. Выбор сервера синхронизации, который физически расположен близко к контроллерам домена, ускорит синхронизацию.
Планирование расписания синхронизации
При первой синхронизации данных профиля между SharePoint Server 2013 и внешними системами необходимо выполнить полную синхронизацию. После этого необходимо настроить задание таймера добавочной синхронизации профилей пользователей для выполнения добавочной синхронизации с помощью повторяющегося расписания. Можно настроить запуск задания таймера каждые несколько минут, ежечасно, ежедневно, еженедельно или ежемесячно. Для вариантов ежечасной, ежедневной, еженедельной и ежемесячной синхронизации задается время запуска задания таймера.
Чем чаще запускается задание таймера синхронизации, тем меньше изменений придется синхронизировать и поэтому задание будет быстрее завершаться. Частота по умолчанию "Ежедневно". Рекомендуется спланировать синхронизацию на то время, когда сеть не сильно загружена.
Инструкции по настройке задания таймера добавочной синхронизации профиля пользователя см. в разделе Планирование синхронизации профилей в SharePoint Server.
Планирование разрешений учетных записей
В таблице планирования подключений было указано имя учетной записи синхронизации для каждой из служб каталогов. Этим учетным записям синхронизации должны быть предоставлены определенные разрешения, чтобы служба синхронизации могла получать необходимые ей данные из службы каталогов. В следующих разделах указаны разрешения, которые необходимы для каждого типа службы каталогов. Обратитесь к администратору службы каталогов для предоставления учетной записи нужных разрешений.
доменные службы Active Directory;
У учетной записи синхронизации для подключения к доменным службам Active Directory (AD DS) должны быть следующие разрешения.
"Репликация изменений каталога" для домена, с которым выполняется синхронизация.
Разрешение "Репликация изменений каталога" позволяет учетной записи запрашивать изменения в каталоге. Это разрешение не позволяет учетной записи вносить какие-либо изменения в каталог.
Если контроллер домена работает под управлением Windows Server 2003, учетная запись синхронизации должна быть членом встроенной группы "Совместимый доступ до Windows 2000".
Если NetBIOS-имя домена отличается от полного доменного имени, учетной записи синхронизации должно быть предоставлено разрешение "Репликация изменений каталога" для контейнера cn=configuration. Например, если NetBIOS-именем домена является contoso, а полным доменным именем является contoso-corp.com, необходимо предоставить разрешение "Репликация изменений каталога" для контейнера cn=configuration.
Если вы экспортируете значения свойств из SharePoint Server 2013 в AD DS, учетная запись синхронизации должна иметь разрешения На создание дочерних объектов (этот объект и все потомки) и Написать все свойства (этот объект и все потомки) в подразделении, с которым выполняется синхронизация.
Novell eDirectory 8.7.3
У учетной записи синхронизации для подключения к Novell eDirectory должны быть следующие разрешения.
"Entry Rights" права на просмотр для заданного дерева.
"All Attributes Rights" — чтение, запись и сравнение для заданного дерева.
Sun Java System Directory Server 5.2
У учетной записи синхронизации для подключения к Sun Java System Directory Server должны быть следующие разрешения.
Разрешения на чтение (Read), запись (Write), сравнение (Compare) и поиск (Search) для RootDSE.
Для проведения добавочной синхронизации у учетной записи синхронизации также должны быть разрешения на чтение, сравнение и поиск в журнале изменений (cn=changelog). Если журнал изменений отсутствует, перед синхронизацией его нужно создать.
IBM Tivoli version 5.2
У учетной записи синхронизации для подключения к IBM Tivoli должны быть указанные ниже разрешения.
- Учетная запись синхронизации должна входить в группу администраторов.
Учетная запись фермы
Служба синхронизации профилей пользователей выполняется от имени учетной записи фермы. Учетная запись фермы требует определенных разрешений для настройки синхронизации профилей. Эти разрешения может предоставить сотрудник с правами администратора на сервере синхронизации.
Учетная запись должна входить в группу администраторов на сервере синхронизации. После настройки службы синхронизации профилей пользователей это разрешение можно удалить.
Учетная запись должна обладать возможностью локального входа на сервер синхронизации.
Примечание.
Учетная запись фермы отличается от учетной записи администратора фермы. Чтобы определить учетную запись фермы, в центре Центр администрирования последовательно щелкните Настройка учетных записей служб и Учетная запись фермы.
Если профили пользователей будут синхронизироваться с бизнес-системой с помощью внешнего типа контента, учетная запись фермы должна также обладать разрешением на выполнение операций с внешним типом контента. Администратор фермы может использовать процедуру Установка разрешений для внешнего типа контента, чтобы предоставить учетной записи фермы разрешения "Выполнение" для каждого внешнего типа контента, с которым будет производиться синхронизация.
Дальнейшие действия
Чтобы реализовать план синхронизации профилей, следуйте инструкциям в статье Синхронизация профилей пользователей и групп в SharePoint Server 2013. После первой настройки синхронизации профилей и синхронизации сведений профиля реализуйте расписание синхронизации, выполнив процедуру, описанную в статье Планирование синхронизации профилей в SharePoint Server.
Листы
Чтобы скачать лист планирования подключения, лист планирования внешнего типа контента и листы планирования профилей пользователей, перейдите в раздел Свойства профиля пользователей и листы планирования синхронизации профилей для SharePoint Server 2013.
См. также
Понятия
Обзор синхронизации профилей в SharePoint Server 2013
Планирование профилей пользователей в SharePoint Server
Синхронизация профилей пользователей и групп в SharePoint Server 2013
Администрирование службы профилей пользователей в SharePoint Server