1.Identity Lifecycle Manager用MAの設定
前回のISR設定時に定義したILMSDB MAに逆方向(ILM"2" ポータル上で作成したユーザもMetaverseに取り込みたいので)の属性フローを設定します。 ただ、RC0では既存のMAのプロパティを変更して保存しようとするとエラーが出るので、Export Management Agent→手動でXMLファイルの編集→Update Management Agentをするか、MA自体を再作成します。(私の環境の問題かも知れませんが・・・)
12/28 connectサイトにMicrosoft Identity Integration Serverサービスを再起動すれば直るとの情報がありました。試してみると確かに治ります。が、何をトリガーに事象が発生するのかは依然不明です・・・
変更箇所はAttribute Flow部分です。前回はExportのみを設定しましたが、今回は同じ属性についてImportも設定します。
Configure Attribute Flow
Datasource(ILMSDB) Metaverse
AccountName → accountName
LastName → sn
FirstName → givenName
DisplayName → displayName
Email → email
Department → department
JobTitle → title
Manager → manager
2.Active Directory Domain Service用MAの作成
以下の通りMAを作成します。
MA名:ADDS MA
Connect to Active Directory Forest
Forest name:ilm2.local
User name:Administrator
Password:xxx
Domain:ilm2.local
Configure Directory Partitions
Select directory partitions:DC=ilm2,DC=local
Select containers for this partition:OU=ilm2users,DC=ilm2,DC=local
Select Object Types
userを追加でチェック
Select Attributes
displayName
givenName
manager
sAMAccountName
sn
title
unicodePwd
userAccountControl
次に以下の実行プロファイルを作成しておきます。
Full Import
Full Synchronization
Export
3.Outbound Synchronization Rule(OSR)の作成
次はILM"2"ポータルの管理画面よりOSRを作成します。操作方法は前回のISR作成時とほぼ同じです。
General Information
Name:OSR ADDS
Flow Type:Outbound
Scope
Metaverse Object Type:person
Connected System:ADDS MA
Connected Object Type:user
Relationship
Relationship Criteria
MetaverseObject:person(Attribute):accountName
ConnectedSystemObject:user(Attribute):sAMAccountName
Object Creation in Connected System:True
Outbound Attribute Flow
Metaverse ADDSコネクタ空間
○accountName → sAMAccountName
○"CN="+accountName+",ou=ilm2users,dc=ilm2,dc=local" → dn
○512(数値) → userAccountControl
○"P@ssw0rd" → unicodePwd
email → mail
sn → sn
givenName → givenName
manager → manager
displayName → displayName
department → department
title → title
※○は初期同期のみ
4.同期対象ユーザセットの作成
同期対象のユーザを絞り込むため、オブジェクトセットを作成します。 ここではシステムユーザ以外は全員対象としたいので、ilm2adminとBuilt-inユーザ以外でセットを作成します。
Basic Info
Name:[SET]NonSystemUsers
Dynamic Membership
対象:people
条件:match all
Display Name is not ilm2admin
Display Name not starts with Built-in
→Display Nameがilm2adminではなく、Built-inで始まらないユーザのみを対象とします。
5.OSR適用フローの作成(Action Flow)
OSRを実際に実行するためのアクションフローを作成します。
Basic Information
Workflow Name:AW ADDS
Workflow Type:Action
Activities
Activity Picker:Synchroniozation Rule Activity
Synchronization Rule:OSR ADDS
Action Selection:Add
6.管理ポリシールール(Management Policy Rule/MPR)の作成
4て定義したオブジェクトセットに5で定義したアクションフローが実行できるようにMPRを作成します。
General Information
Display Name:MPR ADDS
Requesters and Operations
Requesters:Specific Set of Requesters:[SET]NonSystemUsers
Operation:Create resource、Modify resource attributes
Target Resources
Target Resource Definition Before Request:
Specific Set of Objectes:[SET]NonSystemUsers
Target Resource Definition After Request:
Specific Set of Objectes:[SET]NonSystemUsers
Policy Workflows
Action:AW ADDS
7.同期の実行
実際に定義したルールを動かしてみます。
まず、Active Directoryのツリー構造を一旦コネクタ空間へ取り込むため、ADDS MAのFull Importを実行します。
次にILMSDBのFull Importを行い、先ほど作成した同期ルールを含む情報をコネクタ空間へ取り込みます。
その状態でILMSDBのコネクタ空間とMetaverseの同期を行います。 すると、OSRが実行されるので、ADDS MA(CS)へユーザが追加されます。
そこまで来たら後はADDS MAでExportすればAD上へユーザが作成されます。
8.AD上のユーザ確認
ドメインコントローラにログインし、ActiveDirectoryユーザとコンピュータでユーザが作成されていることが確認できます。
これで基本的に入方向と出方向の両方の同期ができました。
他にもパスワードの同期や承認フローの設定など色々と試すことがあるので、いずれ解説したいと思います。(それよりもMPR、AW、SETの考え方、ERL属性の仕組みを整理した方が全体の理解が進むかもしれませんが。。。このあたりがこの製品をややこしくしている根源な気がします)
投稿
0 件のコメント:
コメントを投稿