本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

規劃 SharePoint Server 2013 Preview 的設定檔同步處理

 

適用版本:SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard

上次修改主題的時間:2016-12-16

摘要:了解如何在 SharePoint Server 2013 中實作設定檔同步處理。

設定檔同步處理 (profile synchronization,又稱為「profile sync」) 可讓您從組織內部使用的其他系統匯入資訊,以建立使用者設定檔。在您閱讀本文之前,必須先了解 SharePoint Server 2013 的設定檔同步處理概觀 文章中介紹的概念。設定檔同步處理亦可用於伺服器對伺服器驗證,這可讓伺服器代表使用者從另一部伺服器存取及要求資源。如需詳細資訊,請參閱 SharePoint Server 2013 的伺服器對伺服器驗證及使用者設定檔

本文說明:

  • 如何取得設定設定檔同步處理所需的資訊。

  • 您需要合作以收集必要資訊的人員。

  • 需要建立的外部內容類型 (若有的話)。

當您閱讀本文時,您可以填寫工作表以記錄您的決策。閱讀完本文並完成工作表之後,您將具備使用管理中心設定設定檔同步處理所需的資訊。您可以將完成的工作表提供給設定檔同步處理管理員,也可以自行使用這些工作表進行設定。如果您需要表示外部商務系統資訊的外部內容類型,請指定這些外部內容類型的需求。您可以將規格提供給建立外部內容類型的開發人員。

本文不討論如何實作計畫。<同步處理 SharePoint Server 2013 中的使用者與群組設定檔>一文將涵蓋該資訊。

本文內容:

完成本文中的規劃工作之前,您必須:

  • 了解要在 SharePoint Server 中具有設定檔的使用者。

  • 了解使用者設定檔包含的屬性,並依照<規劃 SharePoint Server 2013 中的使用者設定檔>一文所述來填寫使用者設定檔屬性規劃工作表。

  • 了解目錄服務的一般概念。

規劃設定檔同步處理的第一個步驟是識別同步處理連線,以及收集建立連線所需的資訊。如果您需要任何外部內容類型,請記載這些外部內容類型的需求、將需求提供給開發人員,然後接收用來指定商務系統同步處理連線的詳細資料。

接著,您將決定如何將使用者設定檔屬性對應至外部系統中的資訊,以進行同步處理。

最後,您將回答較直接的問題;例如,您是否要同步處理群組、您要用來執行同步處理服務的伺服器,以及同步處理設定檔資訊的頻率。

使用者設定檔中的每個屬性皆可來自外部系統。外部系統有兩種類型:目錄服務和商務系統。「商務系統」一詞在本文中可用來表示非目錄服務的外部系統。SAP、Siebel、SQL Server 及自訂應用程式都是商務系統的範例。

注意事項 附註:
如需支援的目錄服務清單,請參閱<設定檔同步處理概觀>一文中的<支援的目錄服務>一節。

在 SharePoint Server 中,「同步處理連線」是從外部系統取得使用者設定檔資訊的方式。若要從其中一個支援的目錄服務匯入設定檔,您可以建立目錄服務的同步處理連線。若要從商務系統匯入其他設定檔屬性,您可以建立外部內容類型,將商務系統資料整合至 SharePoint Server 中,然後再建立外部內容類型的同步處理連線。下列部分章節說明如何收集每次同步處理連線所需的資訊。

您要在 SharePoint Server 中具有設定檔的每位使用者,都必須在目錄服務中擁有一個身分識別 (如果使用者不是以目錄服務表示,則無法同步處理使用者設定檔)。請識別包含這些使用者資訊的目錄服務。除非能夠親自存取目錄服務,否則您也應識別目錄服務的管理員。因為,您需要此人員的協助,才能收集建立同步處理連線所需的部分資訊。

連線規劃工作表包含範本您需要收集每一種連線資訊。每個範本是它所套用的目錄服務提供者的名稱會標示為不同] 索引標籤中。建立您已識別每個目錄服務的索引標籤。將的目錄服務類型的範本複製到新的索引標籤。然後完成在下表根據每個新項目] 索引標籤上的資訊。

 

工作表中的列名稱 套用至連線類型 指示

同步處理連線名稱

全部

選擇一個容易記住的目錄服務連線名稱。

連線類型

全部

目錄服務的連線類型。

已在每個索引標籤中填入此資訊。

樹系

AD DS

目錄服務樹系的名稱。

網域控制站

AD DS

偏好的網域控制站名稱。如果樹系中有多個網域控制站,且您想與特定網域控制站進行同步處理,才需要指出該網域控制站。

驗證提供者類型

全部

SharePoint Server 連線至目錄服務所應使用的驗證類型,可以是下列其中之一:

  • Windows 驗證

  • 表單型驗證

  • 宣告式驗證

系統架構師必須可提供此資訊。

驗證提供者

全部

如果使用表單型驗證或宣告式驗證,請填入信任提供者的名稱。系統架構師可提供此資訊。Windows 驗證不需要驗證提供者。

同步處理帳戶

全部

用來連線至目錄服務的帳戶,包括網域。目錄服務管理員可能會建立用於同步處理的帳戶。

注意事項 附註:
本主題的<規劃帳戶權限>一節將說明同步處理帳戶必須具有的權限。

同步處理帳戶密碼

全部

同步處理帳戶的密碼。

安全性提示 安全性
您必須知道同步處理帳戶的密碼。建議您不要將密碼記錄在工作表中。

連線連接埠

全部

用來連線至目錄服務的連接埠。

使用 SSL?

AD DS

是否使用 SSL 安全連線連線至目錄服務。SSL 僅支援連線至 AD DS。

目錄服務伺服器

Tivoli、Sun、eDirectory

目錄服務伺服器的名稱。

使用者名稱屬性

Tivoli、Sun、eDirectory

目錄服務中用作各個設定檔之唯一識別碼的屬性名稱。在大多數情況下,"uid" 的預設使用者名稱屬性正確。

容器

全部

目錄服務容器的名稱 (又稱為組織單位 (OU)),包含要同步處理的設定檔。

使用者的篩選

全部

請參閱<關於排除篩選>一節中的詳細指示。

群組的篩選

全部

請參閱<同步處理群組>一節。

除非您選擇使用篩選排除設定檔,否則 SharePoint Server 會同步處理您識別之容器中的所有設定檔。例如,您可以建立篩選,排除停用帳戶的使用者。

篩選包含一組子句,以及聯結子句的連接子。每個子句可分為三部分:

您可以使用兩種方式加入排除篩選的子句:

  • 全部套用 (AND):如果所有子句適用,則帳戶符合篩選。

  • 任何套用 (OR):如果任一子句適用,則帳戶符合篩選。

您無法在篩選內混合 AND 和 OR。

例如,假設將開頭為 "T-" 的 Active Directory 帳戶指定給組織中的臨時員工。您想同步處理未停用帳戶之所有永久 (非臨時) 使用者的設定檔。您可以建立使用下表中之子句的篩選。

注意事項 附註:
篩選會有任何變更之後,完整同步處理,則需要。

 

屬性 運算子

sAMAccountName

starts with

T-

userAccountControl

bit on equals

2

篩選會使用任何套用 (OR) 加入子句。

注意事項 附註:
AD DS 中userAccountControl是代表之使用者帳戶狀態的相關實用不同面向位元遮罩。您可以使用userAccountControl屬性建立更常用於篩選的部分清單,請參閱如何使用 UserAccountControl 標幟來管理使用者帳戶屬性

您不能建立篩選器為基礎的目錄服務群組,例如通訊群組清單成員資格。替代方式來匯入根據群組成員資格的使用者,請參閱https://go.microsoft.com/fwlink/p/?LinkId=220892

從商務系統匯入內容,您必須將此屬性值從外部系統整合到SharePoint Server 2013的外部內容類型。本文未涵蓋如何建立外部內容類型。該任務通常由開發人員。本文說明您必須收集並授與開發人員、 資料及將會告訴您如何處理收到的資訊。開發人員資訊,請參閱在 SharePoint 2013 中的外部內容類型

您可以使用外部內容類型規劃工作表來指定要建立的外部內容類型。移到您完成時請閱讀本文規劃 SharePoint Server 2013 中的使用者設定檔的使用者設定檔屬性規劃工作表。[外部內容類型規劃工作表中建立一個資料列是來自商務系統的每個使用者設定檔屬性。填入根據下表中的指示每一個資料列的前三個欄。

 

工作表中的欄 指示

商務系統

您選擇以識別包含屬性之商務系統的名稱。

項目

商務系統中對應至屬性的資料。請儘可能明確。例如,如果商務系統是資料庫,請提供已知的表格和欄名稱。

可能的識別碼

可唯一識別使用者之使用者設定檔屬性的清單。

填入每列的前三欄之後,請將工作表提供給外部內容類型開發人員。開發人員應遵循下列步驟,然後傳回工作表:

  • 建立提供工作表所述之外部系統資料的外部內容類型。

  • 選擇適用於每個外部內容類型的識別碼。

  • 如果使用者設定檔與外部內容類型項目具有一對一關係,請建立特定尋找工具方法。包含使用者生日的外部內容類型即為一對一關係範例。每個使用者設定檔會符合其中一個外部內容類型項目。

  • 如果使用者設定檔的外部內容類型項目具有一對多關係,請建立尋找工具方法和比較篩選。包含使用者擁有之車輛牌照的外部內容類型即為一對多關係範例。使用者可以擁有多台車輛,因此每個使用者設定檔可能會符合多個外部內容類型項目。

  • 更新工作表以說明建立的外部內容類型。

連線規劃工作表 (https://go.microsoft.com/fwlink/p/?LinkId=267109) 包含商務系統連線] 索引標籤。當您收到資訊後來自外部內容的類型開發人員時、 群組所有共用同一個外部內容類型的使用者設定檔屬性。針對每個外部內容的類型,連線規劃工作表中建立] 索引標籤,並將資訊從商務系統] 索引標籤複製至每個新的索引標籤。您建立的每個索引標籤,完成下列表格中的指示資訊。

 

工作表中的列 指示

同步處理連線名稱

選擇一個容易記住的商務系統連線名稱。

連線類型

"Business Data Connectivity"

已填入此資訊。

Business Data Connectivity 實體

外部內容類型的名稱。

一對一或一對多對應

可能符合指定使用者設定檔之外部內容類型的項目數。視需要輸入「一對一」或「一對多」。

比對的設定檔屬性

對應至外部內容類型識別碼的使用者設定檔屬性名稱。

比較篩選

比較篩選的名稱。

一對多對應只需要一個篩選。

若要表示使用者設定檔屬性來自外部系統,您可以將屬性對應至外部系統的特定屬性。預設會對應特定使用者設定檔屬性。如需每種目錄服務類型的預設對應清單,請參閱 SharePoint Server 2013 的預設使用者設定檔屬性對應。您僅可將設定檔屬性 (Property) 對應至其資料類型與該屬性的資料類型相容的屬性 (Attribute)。例如,您無法將 SPS-HireDate 使用者設定檔屬性 (Property) 對應至 homePhone Active Directory 屬性 (Attribute),因為 SPS-HireDate 是日期,而 homePhone 是 Unicode 字串。如需與 AD DS 資料類型相容之使用者設定檔屬性資料類型的清單,請參閱 SharePoint Server 2013 的使用者設定檔屬性資料類型

當您同步處理設定檔資訊時,除了從外部系統匯入設定檔屬性之外,您還可以將資料寫回目錄服務。您無法將資料寫回商務系統。若要表示 SharePoint Server 應匯出使用者設定檔屬性,您可以對應屬性,並將對應的方向設為 [匯出]。每個屬性僅可有一個對應方向。您無法同時匯入及匯出相同的使用者設定檔屬性。匯出的資料會覆寫目錄服務中可能已存在的任何值。多值屬性亦然,匯出的值不會附加至現有的值,而是會覆寫現有的值。

當您閱讀<規劃 SharePoint Server 2013 中的使用者設定檔>主題時,請同時檢閱完成的使用者設定檔屬性規劃工作表。針對包含從外部系統匯入之值的每列 (屬性),根據下表中的指示填入最後三欄。

 

工作表中的列 指示

方向

「匯入」,表示屬性將匯入至 SharePoint Server 中。

同步處理連線

提供此屬性之同步處理連線的名稱。

屬性

提供使用者設定檔屬性值之外部系統元素的名稱。

如果同步處理連線至目錄服務,這會是目錄服務屬性的名稱。

如果同步處理連線至商務系統,這會是外部內容類型的欄名稱。

注意事項 附註:
您不能使用商務系統連線將二進位屬性對應到實作 Stream 存取子方法的屬性。

針對包含匯出至目錄服務之值的每列 (屬性),根據下表中的指示填入最後三欄。

 

工作表中的列 指示

方向

「匯出」,表示屬性將從 SharePoint Server 匯出至目錄服務。

同步處理連線

匯出此屬性之同步處理連線的名稱。僅可為目錄服務的連線。

屬性

目錄服務屬性的名稱,其值應以使用者設定檔屬性值更新。

根據預設,當 SharePoint Server 同步處理使用者設定檔時,會同步處理群組,例如通訊群組清單。您可以從管理中心的 [設定同步處理設定] 頁面關閉此功能。僅 AD DS 支援同步處理群組。

如果您除了使用者之外,還同步處理群組,SharePoint Server 會匯入群組資訊,以及屬於這些群組的使用者資訊。同步處理群組不會建立群組的設定檔,也不會建立任何其他使用者設定檔。在 SharePoint Server 中,群組僅可用來建立對象,以及顯示訪客與造訪「我的網站」之人員相同的成員資格。

如果您決定同步處理群組,除非您選擇使用篩選排除群組,否則 SharePoint Server 會匯入您同步處理之目錄服務容器中的所有群組資訊。排除群組的篩選與排除使用者的篩選雖然採用相同的格式,但其實互不相同。

返回連線規劃工作表並填入 [群組的篩選] 儲存格。

除了決定同步處理連線及識別屬性對應之外,您還必須規劃同步處理設定檔更直接的觀點。第一點是識別同步處理伺服器。

您僅可在伺服器陣列上執行一個 User Profile Synchronization Service 執行個體。User Profile Synchronization Service 執行所在的電腦稱為「同步處理伺服器」。當您建立 User Profile Synchronization Service 應用程式時,您可以指定同步處理伺服器。SharePoint Server 會在此電腦上佈建 Microsoft Forefront Identity Manager (FIM) 版本,以參與同步處理。

當 SharePoint Server 同步處理設定檔時,會大量使用網路進行同步處理伺服器與網域控制站之間的通訊。選擇實體上接近網域控制站的同步處理伺服器可縮短同步處理所需的時間。

當您第一次在 SharePoint Server 與外部系統之間同步處理設定檔資訊時,必須執行完整同步處理。在這之後,您應設定「使用者設定檔累加同步處理」計時器工作依週期性排程執行累加同步處理。您可以設定計時器工作每數分鐘、每小時、每天、每週或每月執行。透過 [每小時]、[每天]、[每週] 及 [每月] 選項,您可以指定計時器工作啟動的時間。

同步處理計時器工作的執行頻率愈頻繁,所要同步處理的變更便愈少,因此工作愈快完成。預設頻率為 [每天]。建議您排程在網路使用量較低時啟動同步處理。

如需如何設定「使用者設定檔累加同步處理」計時器工作的指示,請參閱在 SharePoint Server 2013 中排程設定檔同步處理

在連線規劃工作表中,您為每個目錄服務提供了同步處理帳戶名稱。您必須將特定權限授與這些同步處理帳戶,同步處理服務才可以取得所需的目錄服務資訊。下列各節識別每種目錄服務類型所需的權限。請與目錄服務管理員合作,以授與帳戶適當權限。

連線至 Active Directory 網域服務 (AD DS) 所使用的同步處理帳戶必須具備下列權限:

連線至 Novell eDirectory 所使用的同步處理帳戶必須具備下列權限:

  • Entry Rights:指定樹狀目錄的「瀏覽」權限。

  • All Attributes Rights:指定樹狀目錄的「讀取」、「寫入」及「比較」權限。

連線至 Sun Java System Directory Server 所使用的同步處理帳戶必須具備下列權限:

  • RootDSE 的「讀取」、「寫入」、「比較」及「搜尋」權限。

  • 若要執行累加同步處理,同步處理帳戶還必須具備變更記錄 (cn=changelog) 的「讀取」、「比較」及「搜尋」權限。如果變更記錄不存在,您必須予以建立再進行同步處理。

連線至 IBM Tivoli 所使用的同步處理帳戶必須具備下列權限:

  • 此同步處理帳戶必須是管理群組的成員。

User Profile Synchronization Service 會以伺服器陣列帳戶的身分執行。伺服器陣列帳戶需要特定權限,才可以設定設定檔同步處理。具有同步處理伺服器之管理員權限的人員才可以授與這些權限。

  • 此帳戶必須是同步處理伺服器上的管理員群組成員。您可以在設定 User Profile Synchronization Service 之後移除此權限。

  • 此帳戶必須能夠從本機登入同步處理伺服器。

    注意事項 附註:
    伺服器陣列帳戶與伺服器陣列系統管理員帳戶不同。若要決定伺服器陣列帳戶,請從管理中心按一下 [設定服務帳戶],然後按一下 [伺服器陣列帳戶]。

如果您使用外部內容類型同步處理使用者設定檔與商務系統,伺服器陣列帳戶也必須具有執行外部內容類型作業的權限。伺服器陣列管理員可以使用設定外部內容類型的權限程序,將您要同步處理的每種外部內容類型的「執行」權限授與伺服器陣列帳戶。

若要實作設定檔同步處理計畫,請遵循<同步處理 SharePoint Server 2013 中的使用者與群組設定檔>一文中的指示。當您設定設定檔同步處理並首次同步處理設定檔資訊之後,即可遵循<在 SharePoint Server 2013 中排程設定檔同步處理>一文所述的程序實作同步處理排程。

若要下載連線規劃工作表、 外部內容類型規劃工作表及使用者設定檔規劃工作表、 前往使用者設定檔屬性與 SharePoint Server 2010 的設定檔同步處理規劃工作表

https://technet.microsoft.com/zh-tw/library/hh296982.aspx
顯示: