规划配置文件同步 (SharePoint Server 2010)
适用于: SharePoint Server 2010
上一次修改主题: 2016-11-30
本文提供帮助您规划如何在 Microsoft SharePoint Server 2010 中实现配置文件同步的指南。利用配置文件同步,您可以通过从组织中使用的其他系统导入信息来创建用户配置文件。在阅读本文之前,您应了解配置文件同步概述 (SharePoint Server 2010) 一文中介绍的概念。
本文将介绍:
如何获取配置配置文件同步时需要的信息。
您将需要与谁合作收集必要信息。
必须创建的外部内容类型(如果有)。
在浏览本文时,您可填写工作表来记录您的决定。在阅读完本文并填完工作表后,您将会了解到使用管理中心配置配置文件同步时所需的信息。您可以向配置文件同步管理员提供完成的工作表,或者也可以使用完成的工作表自行配置。如果您需要外部内容类型来呈现来自外部业务系统的信息,则必须已指定这些外部内容类型的要求。您可以向将创建外部内容类型的开发人员提供相应规范。
本文将不会介绍如何实现您的规划。配置同步配置文件 (SharePoint Server 2010) 一文中提供了这方面的信息。
在执行本文中的规划任务之前,您应做好以下准备:
了解您希望在 SharePoint Server 中具有哪些用户的配置文件。
了解用户配置文件将具有的属性,已填写“用户配置文件属性规划”工作表,如规划用户配置文件 (SharePoint Server 2010) 一文中所述。
了解有关目录服务的一般概念。
本文内容:
关于规划配置文件同步
规划同步连接
标识属性映射
同步组
规划同步服务器
规划同步计划
规划帐户权限
后续步骤
工作表
关于规划配置文件同步
作为规划配置文件同步的第一步,您将标识同步连接,并收集在创建该连接时需要的信息。如果您需要任何外部内容类型,则应记录这些外部内容类型的要求,向开发人员提出这些要求,并接收用于指定与业务系统的同步连接的详细信息。
接下来,您将决定如何将用户配置文件属性映射到外部系统中的信息,以便对它们进行同步。
最后,您将回答一些比较简单的问题(例如,您是否会同步组,您将使用哪台服务器运行同步服务以及您同步配置文件信息的频率)。
规划同步连接
用户的配置文件中的每个属性都可来自于外部系统。有两种类型的外部系统:目录服务和业务系统。在本文中,短语业务系统 用于表示不是目录服务的外部系统。SAP、Siebel、SQL Server 和自定义应用程序都是业务系统的示例。
备注
有关支持的目录服务的列表,请参阅“配置文件同步概述”一文中的支持的目录服务一节。
在 SharePoint Server 中,同步连接 是一种从外部系统获取用户配置文件信息的方式。若要从某个支持的目录服务导入配置文件,则可以创建一个与该目录服务的同步连接。若要从业务系统导入其他配置文件属性,则可以创建一个外部内容类型,以将数据从业务系统引入到 SharePoint Server,然后创建一个与该外部内容类型的同步连接。以下各节介绍如何收集您需要的与各个同步连接有关的信息。
备注
若要从不受支持的目录服务中导入配置文件,则可以导入一个轻型目录交换格式 (LDIF) 文件。若要以任何其他方式创建用户配置文件,则必须编写自定义程序。有关如何导入 LDIF 文件的详细信息,请参阅使用轻型目录交换格式 (LDIF) 文件配置配置文件同步 (SharePoint Server 2010)。
与目录服务的连接
每个需要在 SharePoint Server 中具有配置文件的用户都必须在目录服务中具有一个标识。(如果用户未在目录服务中出现,则无法同步用户配置文件。)标识哪些目录服务包含有关这些用户的信息。除非您能够自行访问目录服务,否则,您还应标识目录服务的管理员。您要在此人的帮助下才能收集在创建同步连接时需要的某些信息。
“连接规划”工作表 (https://go.microsoft.com/fwlink/?linkid=202832&clcid=0x804(该链接可能指向英文页面)) 包含您需要为每种类型的连接收集的信息的模板。每个模板位于单独的选项卡中,这些选项卡使用其适用的目录服务提供程序的名称进行标记。为您标识的每个目录服务创建一个新选项卡。将目录服务类型的模板复制到新选项卡。然后根据下表在各新选项卡中填写信息。
| 工作表中的行名 | 适用的连接类型 | 说明 | ||
|---|---|---|---|---|
同步连接名称 |
全部 |
选择将有助于您记住所连接的目录服务的名称。 |
||
连接类型 |
全部 |
所连接的目录服务的类型。 已在各选项卡中填写了此信息。 |
||
林 |
AD DS |
目录服务林的名称。 |
||
域控制器 |
AD DS |
首选域控制器的名称。如果林中存在多个域控制器,并且您要与特定域控制器同步,则只需要标识该域控制器。 |
||
身份验证提供程序类型 |
全部 |
SharePoint Server 应该用于连接到目录服务的身份验证的类型。它应为以下类型之一:
系统架构师应能提供此信息。 |
||
身份验证提供程序 |
全部 |
如果将使用基于表单的身份验证或基于声明的身份验证,则填写受信任的提供程序的名称。系统架构师应能提供此信息。Windows 身份验证不需要身份验证提供程序。 |
||
同步帐户 |
全部 |
将用于连接到目录服务的帐户(包括域)。目录服务管理员可能会创建要用于同步的新帐户。 备注 本主题的规划帐户权限一节介绍了同步帐户所必须具有的权限。 |
||
同步帐户密码 |
全部 |
同步帐户的密码。
|
||
连接端口 |
全部 |
用于连接到目录服务的端口。 |
||
是否使用 SSL? |
AD DS |
是否使用可靠的 SSL 连接来连接到目录服务。只有与 AD DS 的连接才支持 SSL。 |
||
目录服务服务器 |
Tivoli、Sun、eDirectory |
目录服务服务器的名称。 |
||
用户名属性 |
Tivoli、Sun、eDirectory |
目录服务中充当各个配置文件的唯一标识符的属性的名称。大多数情况下,默认用户名属性“uid”是正确的。 |
||
容器 |
全部 |
包含要同步的配置文件的目录服务容器(也称为“组织单位”(OU))的名称。 |
||
用户筛选器 |
全部 |
请参阅关于排除筛选器部分的详细说明。 |
||
组筛选器 |
全部 |
请参阅同步组部分。 |
.gif "安全注释")
Security Note关于排除筛选器
除非您选择使用筛选器排除配置文件,否则 SharePoint Server 将同步您标识的容器中的所有配置文件。例如,您可以创建一个筛选器来排除其帐户被禁用的用户。
筛选器包含一组子句以及用于联接子句的连接符。每个子句包括三个部分:
属性:要比较的目录服务属性。
值:要与其比较属性的值。
运算符:比较类型。有关可用于各个 Active Directory 域服务 (AD DS) 数据类型的运算符的详细信息,请参阅连接筛选器数据类型和运算符 (SharePoint Server 2010)。
有两种方法可联接排除筛选器的子句:
全部适用 (AND):如果所有子句都适用,则帐户与筛选器匹配。
任意适用 (OR):如果任意子句适用,则帐户与筛选器匹配。
您不能在筛选器中混用 AND 和 OR。
例如,假定为您的组织中的临时员工提供了以“T-”开头的 Active Directory 帐户。您要同步所有未禁用帐户的永久(非临时)用户的配置文件。您可以创建一个使用下表中的子句的筛选器。
| 属性 | 运算符 | 值 |
|---|---|---|
sAMAccountName |
starts with |
T- |
userAccountControl |
bit on equals |
2 |
筛选器将使用任意适用 (OR) 联接子句。
备注
在 AD DS 中,userAccountControl 是一个位掩码,它表示与用户帐户的状态有关的几个有用方面。有关可以使用 userAccountControl 属性创建的某些最常用的筛选器的列表,请参阅 https://go.microsoft.com/fwlink/?linkid=217163&clcid=0x804。
您无法创建基于目录服务组中的成员身份的筛选器(如通讯组列表)。有关基于组成员身份导入用户的备选方法,请参阅 https://go.microsoft.com/fwlink/?linkid=220892&clcid=0x804(该链接可能指向英文页面)。
与业务系统的连接
若要从业务系统导入属性,则需要一个将属性值从外部系统引入 SharePoint Server 2010 的外部内容类型。本文不介绍如何创建外部内容类型。该任务通常由开发人员完成。本文介绍您必须收集并提供给开发人员的数据,并告诉您如何处理收到的信息。有关开发人员信息,请参阅如何:创建外部内容类型。
您可以使用“外部内容类型规划”工作表 (https://go.microsoft.com/fwlink/?linkid=202832&clcid=0x804(该链接可能指向英文页面)) 来指定要创建的外部内容类型。在阅读规划用户配置文件 (SharePoint Server 2010) 一文时,查看您填写的“用户配置文件规划”工作表。在“外部内容类型规划”工作表中,为来自业务系统的每个用户配置文件属性创建一行。根据下表中的说明填写每行的前三列。
| 工作表中的列 | 说明 |
|---|---|
业务系统 |
您选择用于标识包含该属性的业务系统的名称。 |
项目 |
业务系统中对应于该属性的数据。越详细越好。例如,如果业务系统是数据库,请提供表和列的名称(如果已知)。 |
可能的标识符 |
可唯一标识用户的用户配置文件属性的列表。 |
在填写完每行的前三列后,将工作表提供给外部内容类型开发人员。开发人员应执行以下任务,然后返回工作表:
创建外部内容类型以提供工作表中所介绍的外部系统数据。
为每个外部内容类型选择相应的标识符。
如果用户配置文件与外部内容类型的项目具有一对一关系,则创建一个特定的查找工具方法。包含用户出生日期的外部内容类型是一对一关系的一个示例。每个用户配置文件将与外部内容类型的一个项目匹配。
如果用户配置文件与外部内容类型的项目具有一对多关系,则创建一个查找工具方法和一个比较筛选器。包含用户所拥有车辆的牌照的外部内容类型是一对多关系的示例。用户可以拥有多部车辆,因此,每个用户配置文件可能与外部内容类型的多个项目匹配。
更新工作表以介绍已创建的外部内容类型。
“连接规划”工作表 (https://go.microsoft.com/fwlink/?linkid=202832&clcid=0x804(该链接可能指向英文页面)) 包含针对与业务系统的连接的选项卡。当您收到从外部内容类型开发人员返回的信息时,请将共享相同外部内容类型的所有用户配置文件属性分为一组。在“连接规划”工作表中为每个外部内容类型创建一个新选项卡,并将信息从“业务系统”选项卡复制到所有新选项卡。根据下表中的说明在您创建的每个选项卡中填写信息。
| 工作表中的行 | 说明 |
|---|---|
同步连接名称 |
选择将有助于您记住所连接的业务系统的名称。 |
连接类型 |
“业务数据连接” 已填写此信息。 |
业务数据连接实体 |
外部内容类型的名称。 |
一对一或一对多映射 |
可能与给定的用户配置文件匹配的外部内容类型的项目数。请根据情况输入“一对一”或“一对多”。 |
与之匹配的配置文件属性 |
对应于外部内容类型的标识符的用户配置文件属性的名称。 |
比较筛选器 |
比较筛选器的名称。 只有一对多映射需要筛选器。 |
标识属性映射
若要指示某个用户配置文件属性来自某个外部系统,请将该属性映射到该外部系统的特定属性。默认情况下将映射某些用户配置文件属性。有关各种类型的目录服务的默认映射的列表,请参阅默认用户配置文件属性映射 (SharePoint Server 2010)。您只能将配置文件属性 (Property) 映射到其数据类型与该属性 (Property) 的数据类型兼容的属性 (Attribute)。例如,您不能将 SPS-HireDate 用户配置文件属性映射到 homePhone Active Directory 属性 (Attribute),因为 SPS-HireDate 是一个日期而 homePhone 是一个 Unicode 字符串。有关用户配置文件属性数据类型与 AD DS 数据类型的兼容情况的列表,请参阅用户配置文件属性数据类型 (SharePoint Server 2010)。
在同步配置文件信息时,除了从外部系统导入配置文件属性之外,还可将数据写回目录服务。您不能将数据写回业务系统。若要指示 SharePoint Server 应导出一个用户配置文件属性,则映射该属性,并将映射方向设置为“导出”。每个属性只能向一个方向映射。您不能同时导入和导出同一用户配置文件属性。导出的数据将覆盖目录服务中已呈现的所有值。这对于多值属性同样适用,也就是说,导出值不会追加到现有值,而会覆盖现有值。
在阅读规划用户配置文件 (SharePoint Server 2010) 主题时,请检查您填完的“用户配置文件属性规划”工作表。对于将从外部系统导入其值的各行(属性),请根据下表中的说明填写后三列。
| 工作表中的行 | 说明 |
|---|---|
方向 |
“导入”,指示该属性将被导入到 SharePoint Server 中。 |
同步连接 |
提供此属性时要借助的同步连接的名称。 |
属性 |
将提供用户配置文件属性的值的外部系统元素的名称。 如果同步连接指向目录服务,则这是目录服务属性的名称。 如果同步连接指向业务系统,则这是外部内容类型中列的名称。 |
备注
您不能使用与业务系统的连接来将二进制属性映射到实现 Stream 访问器方法的属性。
对于要将值导出到目录服务的每个行(属性),根据下表中的说明填写后三列。
| 工作表中的行 | 说明 |
|---|---|
方向 |
“导出”,指示要将该属性从 SharePoint Server 导出到目录服务。 |
同步连接 |
导出此属性时要借助的同步连接的名称。它只能是与目录服务的连接。 |
属性 |
应使用用户配置文件属性 (Property) 的值更新其值的目录服务属性 (Attribute) 的名称。 |
同步组
默认情况下,SharePoint Server 在同步用户配置文件时将同步组(如通讯组列表)。您可以从管理中心的“配置同步设置”页关闭此功能。仅 AD DS 支持同步组。
如果除了用户之外还同步组,则 SharePoint Server 将导入有关组和作为组成员的用户的信息。同步某个组将不会为该组创建配置文件,且不会导致创建任何其他用户配置文件。在 SharePoint Server 中,组仅用于创建访问群体以及显示访问者与正访问其“我的网站”的人具有哪些共同的成员资格。
如果您决定同步组,则除非您选择使用筛选器排除组,否则,SharePoint Server 将导入要与之同步的目录服务容器中存在的所有组的相关信息。用于排除组的筛选器不同于用于排除用户的筛选器,尽管二者都遵循相同的格式。
返回到“连接规划”工作表并为组单元格填写筛选器。
规划同步服务器
除了确定同步连接和标识属性映射,还必须规划同步配置文件的一些比较简单的方面。这其中首先要做的便是标识同步服务器。
您在一个服务器场上只能运行用户配置文件同步服务的一个实例。运行用户配置文件同步服务的计算机称为同步服务器。您可在创建 User Profile Service 应用程序时指定同步服务器。SharePoint Server 将在此计算机上设置要参与同步的 Microsoft Forefront Identity Manager (FIM) 的版本。
当 SharePoint Server 同步配置文件时,它将大量使用网络,以便在同步服务器和域控制器之间进行通信。选择一台在物理上与域控制器接近的同步服务器将减少同步所需的时间。
规划同步计划
首次在 SharePoint Server 和外部系统之间同步配置文件信息时,您必须运行完全同步。之后,您应配置用户配置文件增量同步计时器作业,以根据定期计划执行增强同步。您可以将该计时器作业配置为每几分钟运行一次、每小时运行一次、每天运行一次、每周运行一次或每月运行一次。利用“每小时”、“每天”、“每周”和“每月”选项,您可以指定计时器作业的启动时间。
同步计时器作业运行越频繁,要同步的更改就越少,从而作业完成的速度就越快。默认频率为“每天”。建议您将同步安排在网络使用量较小时启动。
有关如何配置用户配置文件增量同步计时器作业的说明,请参阅计划定期配置文件同步 (SharePoint Server 2010)。
规划帐户权限
在“连接规划”工作表中,您为每个目录服务提供了一个同步帐户名称。必须向这些同步帐户授予特定权限,以便同步服务可从目录服务中获取所需信息。以下各节将介绍各种类型的目录服务需要的权限。请与目录服务管理员合作,以向帐户授予相应的权限。
Active Directory 域服务 (AD DS)
用于与 Active Directory 域服务 (AD DS) 的连接的同步帐户必须具有以下权限:
它必须具有对将与之同步的域的复制目录更改权限。有关详细信息,请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予对域的复制目录更改权限一节。
备注
复制目录更改权限允许帐户查询目录中的更改。此权限不允许帐户在目录中进行任何更改。
如果域控制器运行的是 Windows Server 2003,则同步帐户必须是 Pre-Windows 2000 Compatible Access 内置组的成员。有关详细信息,请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的向 Pre-Windows 2000 Compatible Access 组添加帐户一节。
如果域的 NetBIOS 名称不同于完全限定的域名,则同步帐户必须对 cn=configuration 容器具有复制目录更改权限。例如,如果 NetBIOS 域名为 contoso,完全限定的域名为 contoso-corp.com,则必须授予对 cn=configuration 容器的复制目录更改权限。有关详细信息,请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予对 cn=configuration 容器的复制目录更改权限一节。
如果要将属性值从 SharePoint Server 导出到 AD DS,则同步帐户必须对要与之同步的组织单位 (OU) 具有创建子对象(此对象及所有后代)和写入所有属性(此对象及所有后代)权限。有关详细信息,请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予创建子对象和写入权限一节。
Novell eDirectory 8.7.3 版
用于与 Novell eDirectory 的连接的同步帐户必须具有以下权限:
输入权限:对指定树的浏览权限。
所有属性权限:对指定树的读取、写入和比较权限。
Sun Java System Directory Server 5.2 版
用于与 Sun Java System Directory Server 的连接的同步帐户必须具有以下权限:
对 RootDSE 的读取、写入、比较和搜索权限。
若要执行增量同步,则同步帐户还必须具有对更改日志 (cn=changelog) 的读取、比较和搜索权限。如果更改日志不存在,则必须在同步之前创建它。
IBM Tivoli 5.2 版
用于与 IBM Tivoli 的连接的同步帐户必须具有以下权限:
- 同步帐户必须是管理组的成员。
服务器场帐户
用户配置文件同步服务使用服务器场帐户运行。服务器场帐户需要特定权限才能配置配置文件同步。在同步服务器上具有管理员权限的用户可授予这些权限。
帐户必须是同步服务器上 Administrators 组的成员。在配置用户配置文件同步服务之后,您可以删除此权限。
帐户必须能够本地登录到同步服务器。
备注
服务器场帐户不同于服务器场管理员帐户。若要确定服务器场帐户,请从管理中心中,单击“配置服务帐户”,然后单击“服务器场帐户”。
如果您将使用外部内容类型将用户配置文件与业务系统同步,则服务器场帐户还必须具有对外部内容类型执行操作的权限。服务器场管理员可使用过程“对外部内容类型设置权限”向服务器场帐户授予对要与之同步的各外部内容类型的执行权限。
后续步骤
若要实现您的配置文件同步规划,请按照配置同步配置文件 (SharePoint Server 2010) 一文中的说明操作。在配置配置文件同步并首次同步配置文件信息之后,请按照计划定期配置文件同步 (SharePoint Server 2010) 一文中所述的过程操作,以实现您的同步计划。
工作表
从以下来源中下载“连接规划”工作表、“外部内容类型规划”工作表和“用户配置文件规划”工作表:https://go.microsoft.com/fwlink/?linkid=202832&clcid=0x804(该链接可能指向英文页面)。
See Also
Concepts
配置文件同步概述 (SharePoint Server 2010)
规划用户配置文件 (SharePoint Server 2010)
配置同步配置文件 (SharePoint Server 2010)
授予 Active Directory 域服务权限以同步配置文件 (SharePoint Server 2010)
Other Resources
资源中心:SharePoint Server 2010 中的企业协作(该链接可能指向英文页面)
资源中心:SharePoint Server 2010 中的社会计算(该链接可能指向英文页面)