Планирование синхронизации профилей для SharePoint Server 2013

  • Статья

 

**Применимо к:**SharePoint Server 2013

**Последнее изменение раздела:**2017-08-01

Сводка: Узнайте, как реализовать синхронизации профилей в SharePoint Server 2013.

Синхронизация профилей позволяет создавать профили пользователей путем импорта данных из других систем, используемых в организации. Прежде чем читать эту статью, нужно разобраться в понятиях, введенных в статье Обзор синхронизации профилей в SharePoint Server 2013. Синхронизация профилей также используется при проверке подлинности типа "сервер-сервер" и позволяет серверам обращаться к ресурсам друг друга и запрашивать их от имени пользователей. Дополнительные сведения см. в статье Межсерверная проверка подлинности и профили пользователей в SharePoint Server.

В этой статье описываются:

  • Способ получения данных, необходимых для настройки синхронизации профилей.

  • Кооперация для сбора требуемых данных.

  • Внешние типы контента, которые должны быть созданы при необходимости.

По мере чтения статьи можно заполнять электронные таблицы для документирования своих решений. После прочтения этой статьи и заполнения электронных таблиц у вас будут данные, необходимые для настройки синхронизации профилей с помощью центра Центр администрирования. Заполненные электронные таблицы можно либо передать администратору синхронизации профилей, или использовать их для самостоятельной настройки. Если потребуются внешние типы контента, представляющие данные из внешних бизнес-систем, будут определены требования к этим внешним типам контента. Спецификации можно передать разработчику, создающему внешние типы контента.

В этой статье не описывается, как реализовать разработанный план. Этот аспект освещается в статье Синхронизация профилей пользователей и групп в SharePoint Server 2013.

В этой статье

  • Перед началом работы

  • Планирование синхронизации профилей

  • Планирование реализации подключений синхронизации

  • Определение сопоставлений свойств

  • Синхронизация групп

  • Планирование реализации сервера синхронизации

  • Планирование расписания синхронизации

  • Планирование разрешений учетных записей

  • Дополнительные действия

  • Электронные таблицы

Перед началом работы

Перед началом работы над задачами планирования, описанными в статье, вы должны знать следующее:

  • Каким пользователям требуется предоставить профили в SharePoint Server 2013.

  • Из каких свойств будут состоять профили пользователей. При этом необходимо заполнить таблицу планирования свойств профилей пользователей, как описано в статье Планирование профилей пользователей в SharePoint Server.

  • Иметь общее представление о службах каталогов.

Планирование синхронизации профилей

Первым шагом при планировании реализации синхронизации профилей является определение подключений синхронизации и сбор данных, которые потребуются при создании подключений. Если потребуются какие-либо внешние типы контента, необходимо задокументировать требования к ним, предоставить требования разработчику и получить информацию, которая будут использоваться для настройки подключений синхронизации к бизнес-системе.

Затем необходимо решить, как будут сопоставляться свойства профилей пользователей с данными внешних систем, чтобы они могли синхронизироваться.

Наконец, надо будет ответить на более простые вопросы: "Синхронизировать ли группы?", "Какой сервер будет использоваться для запуска службы синхронизации?" и "Как часто следует синхронизировать сведения профилей?".

Планирование реализации подключений синхронизации

Каждое свойство профиля пользователя может заполняться из внешней системы. Имеется два типа внешних систем: службы каталогов и бизнес-системы. В этой статье термин бизнес-система используется для обозначения внешней системы, не являющейся службой каталогов. Примерами бизнес-систем могут быть SAP, Siebel, SQL Server и специализированные приложения.

Примечание

Список поддерживаемых служб каталогов см. в разделе Поддерживаемые службы каталогов статьи "Обзор синхронизации профилей".

В SharePoint Server 2013подключения для синхронизации — это способ получения сведений о профиле пользователя из внешней системы. Чтобы импортировать профили из одного из поддерживаемые службы каталогов, создание подключения синхронизации к службе каталогов. Чтобы импортировать дополнительные свойства профилей из бизнес-системы, создайте внешний тип контента для переноса данных из бизнес-системы в SharePoint Server 2013 и создайте подключения синхронизации для внешнего типа контента. Ниже описывается, как собирать сведения, которые могут понадобиться о каждом подключения для синхронизации.

Подключения к службам каталогов

Каждый пользователь, который вы хотите профилем в SharePoint Server 2013 необходимо иметь удостоверение в службе каталогов. (Если пользователи не представлены в службе каталогов, не могут синхронизация профилей пользователей.) Определите, какие службы каталогов содержат сведения об этих пользователей. Если вы можно получить доступ к службе каталогов самостоятельно, необходимо также определить администратор службы каталогов. Будет нужна помощь этого человека, необходимо собрать некоторые данные, необходимый для создания подключений для синхронизации.

Таблица планирования подключений содержит шаблоны для данных, которые потребуется собрать для каждого типа подключений. Каждый шаблон расположен на отдельном листе, названном по имени поставщика службы каталогов, к которому он применяется. Создайте лист для каждой выявленной вами службы каталогов. Скопируйте шаблон для этого типа службы каталогов на новый лист. Затем заполните все новые листы данными в соответствии со следующей таблицей.

Название строки в электронной таблице Применяется к следующему типу контента Инструкции

Название подключения синхронизации

Все

Выберите имя, которое поможет запомнить, к какой службе каталогов относится конкретное подключение.

Тип подключения

Все

Тип службы каталогов, для которой создается это подключение.

Это поле уже заполнено на всех листах.

Лес

Доменные службы Active Directory

Имя леса службы каталогов.

Контроллер домена

Доменные службы Active Directory

Имя основного контроллера домена. Контроллер домена требуется определять, только если в лесу есть несколько контроллеров и требуется выполнять синхронизацию только с конкретным контроллером домена.

Тип поставщика проверки подлинности

Все

Тип проверки подлинности SharePoint Server 2013 следует использовать для подключения к службе каталогов. Это один из следующих:

  • Проверка подлинности Windows

  • Проверка подлинности на основе форм

  • Проверка подлинности на основе утверждений

Эту информацию может предоставить архитектор систем.

Поставщик проверки подлинности

Все

Если будет использоваться проверка подлинности на основе форм или на основе утверждений, укажите имя доверенного поставщика. Эту информацию может предоставить архитектор систем. Для проверки подлинности Windows поставщик проверки подлинности не требуется.

Учетная запись синхронизации

Все

Учетная запись, включая домен, которая будет использоваться для подключения к службе каталогов. Скорее всего, администратор службы каталогов создаст учетную запись, которая будет использоваться для синхронизации.

Примечание

Разрешения, которыми должна обладать учетная запись синхронизации, описаны в разделе Планирование реализации разрешений учетных записей этой статьи.

Пароль учетной записи синхронизации

Все

Пароль учетной записи синхронизации.

Заметка о безопасностиSecurity
Потребуется знать пароль учетной записи синхронизации. Не рекомендуется записывать его в электронную таблицу.

Порт подключения

Все

Порт, который будет использоваться для подключения к службе каталогов.

Использовать ли SSL?

Доменные службы Active Directory

Будет ли использоваться для связи со службой каталогов SSL-подключение. Для подключений к доменным службам Active Directory поддерживается только протокол SSL.

Сервер службы каталогов

Tivoli, Sun, eDirectory

Имя сервера службы каталогов.

Атрибут имени пользователя

Tivoli, Sun, eDirectory

Имя атрибута в службе каталогов, которое служит в качестве уникального идентификатора для каждого профиля. В большинстве случаев подходит атрибут имени пользователя по умолчанию, "uid".

Контейнеры

Все

Имена контейнеров службы каталогов, также называемые подразделениями (OU), которые содержат профили, предназначенные для синхронизации.

Фильтр пользователей

Все

См. подробные инструкции в подразделе Фильтры исключения.

Фильтр для групп

Все

См. статью Синхронизация групп.

Фильтры исключения

SharePoint Server 2013 будет синхронизировать все профили из контейнеров, чтобы указать, если не выбрано исключение профилей с помощью фильтра. Например можно создать фильтр, чтобы исключить отключенными учетными записями пользователей.

Фильтр состоит из набора условий и соединителя, используемого для объединения условий. Каждое условие имеет три части:

  • Атрибут: атрибут службы каталогов, который обрабатывается операцией сравнения.

  • Значение: значение, с которым сравнивается атрибут.

  • Оператор: тип сравнения. Дополнительные сведения о том, какие операторы доступны для каждого типа данных доменных служб Active Directory (AD DS), см. в статье Операторы и типы данных фильтра подключений в SharePoint Server 2013.

Существует два способа объединения условий фильтра исключения:

  • "Применяются все (И)": учетная запись удовлетворяет условиям фильтра, если она соответствует всем его условиям.

  • "Применяются по отдельности (ИЛИ)": учетная запись удовлетворяет условиям фильтра, если она соответствует любому из его условий.

Нельзя смешивать в одном фильтре команды И и ИЛИ.

Например, предположим, что временным сотрудникам организации выданы учетные записи Active Directory, начинающиеся с "T-". Требуется синхронизировать профили для всех постоянных пользователей, чьи учетные записи не отключены. Можно создать фильтр, использующий условия, приведенные в следующей таблице.

Примечание

После внесения изменений в фильтр необходимо выполнить полную синхронизацию.

Атрибут Оператор Значение

sAMAccountName

Начинается с

T-

userAccountControl

Установленный бит равен

2

Фильтр должен объединять условия при помощи метода "Применяются по отдельности (ИЛИ)".

Примечание

В доменных службах Active Directory атрибут userAccountControl является битовой маской, которая представляет определенные полезные сведения о состоянии учетной записи пользователя. Список некоторых наиболее часто используемых фильтров, которые можно создать при помощи атрибута userAccountControl, см. в статье Управление свойствами UserAccountControl с использованием флагов контроля учетных записей.

Невозможно создать фильтр, основанный на участии в группе службы каталогов, например в списке рассылки. Альтернативы импорту пользователей на основе участия в группах см. по адресу https://go.microsoft.com/fwlink/p/?LinkId=220892.

Подключения к бизнес-системам

Импорт свойств из бизнес-системы, необходимо будет внешнего типа контента, который возвращает значение свойства из внешней системы в SharePoint Server 2013. В этой статье не рассматривается создание внешнего типа контента. Эту задачу обычно выполняется разработчиком. В этой статье описываются данные, необходимо собрать и предоставить для разработчика, и о том, что делать со сведениями об ошибке. Дополнительные сведения для разработчиков просмотрите внешние типы контента в SharePoint 2013.

Для указания внешних типов контента, которые потребуется создать, можно использовать таблицу планирования реализации внешнего типа контента. Просмотрите электронную таблицу планирования User Profile Properties, заполненную при чтении статьи Планирование профилей пользователей в SharePoint Server. В таблице планирования реализации внешнего типа контента создайте по одной строке для каждого свойства профиля пользователя, извлекаемого из бизнес-системы. Заполните первые три столбца каждой строки в соответствии с инструкциями, приведенными в следующей таблице.

Столбец электронной таблицы Инструкции

Бизнес-система

Понятное имя, обозначающее бизнес-систему, содержащую свойство.

Элемент

Данные в бизнес-системе, соответствующие свойству. Рекомендуется указывать их максимально конкретно. Например, если бизнес-системой является база данных, предоставьте имя таблицы и столбец, если они известны.

Возможные идентификаторы

Список свойств профиля пользователя, которые позволяют однозначно определить пользователя.

После заполнения первых трех столбцов для всех строк передайте электронную таблицу разработчику внешних типов контента. Разработчик должен выполнить следующие действия и вернуть электронную таблицу:

  • Создать внешние типы контента для предоставления данных внешней системы, описанных в электронной таблице.

  • Выбрать подходящий идентификатор для каждого внешнего типа контента.

  • Если для профилей пользователей будет задано отношение "один к одному" с элементами внешнего типа контента, создать метод конкретного поиска. Примером отношения "один к одному" является внешний тип контента, содержащий дату рождения пользователя. Каждый профиль пользователя будет соответствовать одному элементу внешнего типа контента.

  • Если профили пользователей будут иметь отношение "один ко многим" с элементами внешнего типа контента, создать метод поиска и фильтр сравнения. Тип внешнего контента, содержащий номер машины пользователя, является примером отношения "один ко многим". Пользователь может иметь несколько машин, поэтому каждый профиль пользователя может соответствовать нескольким элементам внешнего типа контента.

  • Обновить электронную таблицу для описания созданных внешних типов контента.

Таблица планирования подключений (https://go.microsoft.com/fwlink/p/?LinkId=267109) содержит лист для подключения к бизнес-системе. При получении информации от разработчика внешнего типа контента объедините вместе все свойства профилей пользователей, которые имеют общий внешний тип контента. Создайте вкладку в таблице планирования подключений для каждого внешнего типа контента и скопируйте данные с листа Бизнес-система на все новые листы. Заполните каждый созданный лист данными в соответствии с инструкциями, приведенными в следующей таблице.

Строка на листе Инструкции

Название подключения синхронизации

Выберите имя, которое поможет запомнить, к какой бизнес-системе относится конкретное подключение.

Тип подключения

Подключение к бизнес-системе

Это поле уже заполнено.

Сущность подключения к бизнес-системе

Имя внешнего типа контента.

Сопоставление "один к одному" или "один ко многим"

Число элементов внешнего типа контента, которые могут сопоставляться с заданным профилем пользователя. Введите, соответственно, "один к одному" или "один ко многим".

Свойство профиля, с которым производится сопоставление

Имя свойства профиля пользователя, соответствующее идентификатору внешнего типа контента.

Фильтр сравнения

Имя фильтра сравнения.

Фильтр требуется только для сопоставлений "один ко многим".

Определение сопоставлений свойств

Для указания того, что свойство профиля пользователя извлекается из внешней системы, это свойство сопоставляется с определенным атрибутом внешней системы. Некоторые свойства профилей пользователей сопоставлены по умолчанию. Список сопоставлений по умолчанию для всех типов служб каталогов см. в статье Сопоставления свойств профилей пользователей по умолчанию в SharePoint Server 2013. Свойство профиля можно сопоставить только с атрибутом, тип данных которого совместим с типом данных свойства. Например, невозможно сопоставить свойство профиля пользователя SPS-HireDate с атрибутом Active Directory homePhone, так как свойство SPS-HireDate является датой, а homePhone является строкой Юникода. Список совместимости между типами данных свойств профилей пользователей и типами данных доменных служб Active Directory, см. в статье Типы данных свойств профилей пользователей в SharePoint Server 2013.

При синхронизации данных профилей, в дополнение к Импорт свойств профиля из внешних систем, можно также данные записываются обратно в службе каталогов. Вы не можете записывать данные обратно бизнес-системы. Указывает, что этот SharePoint Server 2013 следует экспортировать свойства профиля пользователя, сопоставить свойство и задать направление сопоставления для экспорта. Каждое свойство можно сопоставить только в одном направлении. Как нельзя импортировать и экспортировать же свойства профиля пользователя. Экспорт данных перезаписывает все значения, которые могут уже присутствовать в службе каталогов. Это характерно для многозначных свойств также — экспортированного значение не добавляется к существующие значения, он переопределяет их.

Проверьте электронную таблицу планирования профилей пользователей "User Profile Properties", заполненную во время прочтения статьи Планирование профилей пользователей в SharePoint Server. Для каждой строки (свойства), чье значение будет импортироваться из внешней системы, заполните последние три столбца в соответствии с инструкциями, приведенными в следующей таблице.

Строка на листе Инструкции

Направление

«Импорт», указывающего на то, что свойство будет импортироваться в SharePoint Server 2013.

Подключение синхронизации

Имя подключения синхронизации, используемого для получения этого свойства.

Атрибут

Имя элемента внешней системы, из которого будет извлечено значение для свойства профиля пользователя.

Если подключение синхронизации предназначено для службы каталогов, здесь указывается имя атрибута службы каталогов.

Если подключение синхронизации предназначено для бизнес-системы, здесь указывается имя столбца во внешнем типе контента.

Примечание

Нельзя использовать подключение к бизнес-системе для сопоставления двоичного свойства со свойством, реализующим метод доступа к данным Stream.

Для каждой строки (свойства), чье значение будет экспортироваться в службу каталогов, заполните последние три столбца в соответствии с инструкциями, приведенными в следующей таблице.

Строка на листе Инструкции

Направление

«Экспорт», указывающего на то, что свойство будет экспортироваться из SharePoint Server 2013 службы каталогов.

Подключение синхронизации

Имя подключения синхронизации, используемого для экспорта свойства. Это может быть только подключение к службе каталогов.

Атрибут

Имя атрибута службы каталогов, значение которого должно быть изменено на значение свойства профиля пользователя.

Синхронизация групп

По умолчанию SharePoint Server 2013 синхронизирует групп, таких как списки рассылки, при синхронизации профилей пользователей. Можно отключить эту функцию на странице Настройка параметров синхронизации Центр администрирования. Синхронизация групп поддерживается только для службы AD DS.

При синхронизации групп в дополнение к пользователям, SharePoint Server 2013 импортирует сведения о группах и о том, какие пользователи являются членами групп. Синхронизация группы не создать профиль для группы и вызывает профили без дополнительных пользователей будет создан. В SharePoint Server 2013 группы используются только для создания аудиторий и для отображения какие участие в группах посетитель имеет общее человека, Личный сайт, посетив человека.

Если вы решили синхронизации групп, SharePoint Server 2013 будет импортировать сведения обо всех групп, существующих в контейнеров службы каталогов, синхронизируемые не выбрано исключение групп с помощью фильтра. Фильтр для исключение групп отличается от фильтра для исключения пользователей, несмотря на то, что оба выполните тот же формат.

Вернитесь к таблице планирования подключений и заполните ячейку "Фильтр для групп".

Планирование реализации сервера синхронизации

Кроме определения подключений синхронизации и сопоставлений свойств, необходимо также спланировать и более простые моменты синхронизации профилей. Первым из них является определение сервера синхронизации.

Можно выполнить только один экземпляр службы синхронизации профилей пользователей в ферме. Компьютер, на котором запущена служба синхронизации профилей пользователей называется сервер синхронизации. Укажите сервер синхронизации, при создании приложения-службы профилей пользователей. SharePoint Server 2013 подготавливает версии из Microsoft Forefront Identity Manager (FIM) на данном компьютере для участия в синхронизации.

При SharePoint Server 2013 синхронизации профилей, усложняет использование сети для связи между сервером синхронизации и контроллеров домена. Выбор синхронизации сервера, на котором физически приближается к завершению контроллеров домена будет сократить время, требуемое для синхронизации.

Планирование расписания синхронизации

Первый раз, синхронизации данных профилей между SharePoint Server 2013 и внешних систем, необходимо выполнить полную синхронизацию. После этого следует настроить задание таймера добавочной синхронизации профилей пользователей для выполнения добавочной синхронизации на основе регулярного расписания. Вы можете настроить задания таймера для запуска каждые несколько минут, каждый час, ежедневно, еженедельно или ежемесячно. С помощью ежечасно, ежедневно, еженедельно и ежемесячно параметры, указать, если вам требуется для запуска задания таймера.

Чем чаще запускается задание таймера синхронизации, тем меньше изменений придется синхронизировать и поэтому задание будет быстрее завершаться. Частота по умолчанию — "Ежедневно". Рекомендуется спланировать синхронизацию на то время, когда сеть не сильно загружена.

Инструкции по настройке задания таймера добавочной синхронизации профилей пользователей см. в статье Планирование синхронизации профилей в SharePoint Server.

Планирование разрешений учетных записей

В таблице планирования подключений было указано имя учетной записи синхронизации для каждой из служб каталогов. Этим учетным записям синхронизации должны быть предоставлены определенные разрешения, чтобы служба синхронизации могла получать необходимые ей данные из службы каталогов. В следующих разделах указаны разрешения, которые необходимы для каждого типа службы каталогов. Обратитесь к администратору службы каталогов для предоставления учетной записи нужных разрешений.

Доменные службы Active Directory

У учетной записи синхронизации для подключения к доменным службам Active Directory (AD DS) должны быть следующие разрешения.

Novell eDirectory 8.7.3

У учетной записи синхронизации для подключения к Novell eDirectory должны быть следующие разрешения.

  • "Entry Rights" — права на просмотр для заданного дерева.

  • "All Attributes Rights" — чтение, запись и сравнение для заданного дерева.

Sun Java System Directory Server 5.2

У учетной записи синхронизации для подключения к Sun Java System Directory Server должны быть следующие разрешения.

  • Разрешения на чтение (Read), запись (Write), сравнение (Compare) и поиск (Search) для RootDSE.

  • Для проведения добавочной синхронизации у учетной записи синхронизации также должны быть разрешения на чтение, сравнение и поиск в журнале изменений (cn=changelog). Если журнал изменений отсутствует, перед синхронизацией его нужно создать.

IBM Tivoli version 5.2

У учетной записи синхронизации для подключения к IBM Tivoli должны быть указанные ниже разрешения.

  • Учетная запись синхронизации должна входить в группу администраторов.

Учетная запись фермы

Служба синхронизации профилей пользователей выполняется от имени учетной записи фермы. Учетная запись фермы требует определенных разрешений для настройки синхронизации профилей. Эти разрешения может предоставить сотрудник с правами администратора на сервере синхронизации.

  • Учетная запись должна входить в группу администраторов на сервере синхронизации. После настройки службы синхронизации профилей пользователей это разрешение можно удалить.

  • Учетная запись должна обладать возможностью локального входа на сервер синхронизации.

    Примечание

    Учетная запись фермы отличается от учетной записи администратора фермы. Чтобы определить учетную запись фермы, в центре Центр администрирования последовательно щелкните Настройка учетных записей служб и Учетная запись фермы.

Если профили пользователей будут синхронизироваться с бизнес-системой с помощью внешнего типа контента, учетная запись фермы должна также обладать разрешением на выполнение операций с внешним типом контента. Администратор фермы может использовать процедуру Установка разрешений для внешнего типа контента, чтобы предоставить учетной записи фермы разрешения "Выполнение" для каждого внешнего типа контента, с которым будет производиться синхронизация.

Дальнейшие действия

Чтобы реализовать план синхронизации профилей, следуйте инструкциям в статье Синхронизация профилей пользователей и групп в SharePoint Server 2013. После настройки синхронизации профилей и выполнения первой синхронизации сведений профилей реализуйте расписание синхронизации профилей, следуя процедуре, описанной в статье Планирование синхронизации профилей в SharePoint Server.

Электронные таблицы

Загрузите электронные таблицы планирования реализации подключений, внешнего типа контента и профилей пользователей со страницы Электронные таблицы планирования свойств профилей пользователей и синхронизации профилей для SharePoint Server 2010.

See also

Планирование использования личных сайтов и OneDrive для бизнеса в SharePoint Server
Обзор синхронизации профилей в SharePoint Server 2013
Планирование профилей пользователей в SharePoint Server
Синхронизация профилей пользователей и групп в SharePoint Server 2013
Администрирование службы профилей пользователей в SharePoint Server
Обзор архитектуры службы профилей пользователей в SharePoint Server

Предоставление доменным службам Active Directory разрешений для синхронизации профилей в SharePoint Server 2013