Plano de sincronização de perfil do SharePoint Server 2013
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
A sincronização de perfil (também conhecida como "sinc de perfil") permite criar perfis de usuários importando informações de outros sistemas que são usados em sua organização. Antes de ler este artigo, deve compreender os conceitos introduzidos no artigo Descrição geral da sincronização de perfis no SharePoint Server 2013. A sincronização de perfis também é utilizada na autenticação servidor a servidor que permite que os servidores acedam e solicitem recursos entre si em nome dos utilizadores. Para obter mais informações, consulte Autenticação de servidor para servidor e perfis de usuário no SharePoint Server.
Este artigo descreve:
Como obter as informações necessárias para configurar a sincronização do perfil.
Com quem você deve trabalhar para coletar as informações necessárias.
Os tipos de conteúdo externos que precisarão ser criados, se houver a necessidade.
Este artigo não descreve como implementar o seu plano. Estas informações são abordadas no artigo Sincronizar perfis de utilizador e de grupo no SharePoint Server 2013.
Antes de começar
Antes de trabalhar nas tarefas de planejamento neste artigo, é preciso:
Saiba que utilizadores pretende ter perfis no SharePoint Server 2013.
Saiba quais as propriedades que um perfil de utilizador terá e preencha a folha de cálculo Planeamento de Propriedades do Perfil de Utilizador, conforme explicado no artigo Planear perfis de utilizador no SharePoint Server.
Entender os conceitos gerais sobre serviços de diretório.
Sobre o planejamento para sincronização de perfil
Como primeiro passo para planear a sincronização de perfis, irá identificar ligações de sincronização e recolher informações de que irá precisar quando criar a ligação. Se precisar de tipos de conteúdo externo, irá documentar os requisitos para esses tipos de conteúdo externo, fornecer os requisitos a um programador e receber os detalhes que irá utilizar para especificar uma ligação de sincronização ao sistema empresarial.
Em seguida, você determinará como associar propriedades do perfil do usuário a informações nos sistemas externos para que elas possam ser sincronizadas.
Por último, você responderá a perguntas mais diretas, por exemplo, se você sincronizará grupos, qual servidor você usará para executar o serviço de sincronização e com que frequência você sincronizará as informações do perfil.
Planejar as conexões de sincronização
Cada propriedade no perfil de um usuário pode vir de um sistema externo. Há dois tipos de sistemas externos: serviços de diretório e sistemas comerciais. Ao longo deste artigo, a expressão sistema empresarial é utilizada para significar um sistema externo que não é um serviço de diretório. SAP, Siebel, SQL Server e aplicações personalizadas são todos exemplos de sistemas empresariais.
Observação
Para obter uma lista dos serviços de diretório suportados, veja Descrição geral da sincronização de perfis.
No SharePoint Server 2013, uma ligação de sincronização é uma forma de obter informações de perfil de utilizador a partir de um sistema externo. Para importar perfis de um dos serviços de diretório suportados, crie uma conexão de sincronização com o serviço de diretório. Para importar propriedades de perfil adicionais de um sistema empresarial, crie um tipo de conteúdo externo para trazer os dados do sistema empresarial para o SharePoint Server 2013 e, em seguida, crie uma ligação de sincronização para o tipo de conteúdo externo. As secções seguintes explicam como recolher as informações necessárias sobre cada ligação de sincronização.
Conexões com serviços de diretório
Cada utilizador que pretenda ter um perfil no SharePoint Server 2013 tem de ter uma identidade num serviço de diretório. (Se os utilizadores não estiverem representados num serviço de diretório, não poderá sincronizar perfis de utilizador.) Identifique que serviços de diretório contêm informações sobre estes utilizadores. A menos que você consiga acessar o serviço de diretório, identifique também um administrador do serviço de diretório. Precisará da ajuda desta pessoa para recolher algumas informações que serão necessárias para criar ligações de sincronização.
A folha de cálculo Planeamento de ligação contém modelos para as informações que precisa de recolher para cada tipo de ligação. Cada modelo está em uma guia separada rotulada com o nome do provedor do serviço de diretório ao qual ele se aplica. Crie uma guia para cada serviço de diretório identificado. Copie o modelo do tipo de serviço de diretório para o novo separador. Em seguida, preencha as informações em cada novo separador de acordo com a tabela seguinte.
Nome da linha na planilha | Aplica-se ao tipo de conexão | Instruções |
---|---|---|
Nome da conexão de sincronização |
Todos |
Escolha um nome que o ajudará a se lembrar com qual serviço de diretório isso se conecta. |
Tipo de conexão |
Todos |
O tipo de serviço de diretório com o qual ocorre uma conexão. Essas informações já estão preenchidas em cada guia. |
Floresta |
AD DS |
O nome da floresta do serviço de diretório. |
Controlador de domínio |
AD DS |
O nome do controlador de domínio preferido. Você precisará apenas identificar o controlador de domínio se houver vários controladores de domínio na floresta e você quiser sincronizar com um controlador de domínio específico. |
Tipo de provedor de autenticação |
Todos |
O tipo de autenticação do SharePoint Server 2013 deve ser utilizado para ligar ao serviço de diretório. Pode ser um dos seguintes: Autenticação do Windows Autenticação baseada em formulários Autenticação baseada em declarações O arquiteto de sistemas deve ser capaz de fornecer essas informações. |
Provedor de autenticação |
Todos |
Caso a autenticação com base em formulários ou em reivindicações for usada, preencha o nome do provedor confiável. O arquiteto de sistemas deve ser capaz de fornecer essas informações. Não é necessário um fornecedor de autenticação para a autenticação do Windows. |
Conta de sincronização |
Todos |
A conta, inclusive o domínio, que será usada para a conexão com o serviço de diretório. Provavelmente, o administrador do serviço de diretório criará uma conta a ser usada na sincronização. Nota: as permissões que a conta de sincronização tem de ter estão descritas na secção Permissões da conta de plano deste tópico. |
Senha de sincronização da conta |
Todos |
A senha para a conta de sincronização. Nota: tem de saber a palavra-passe da conta de sincronização. É recomendável não registrar a senha na planilha. |
Porta de conexão |
Todos |
A porta que será usada para se conectar ao serviço de diretório. |
Usar SSL? |
AD DS |
Se deve usar uma conexão protegida por SSL para se conectar ao serviço de diretório. O SSL é suportado somente para conexões com o AD DS. |
Servidor de serviços de diretório |
Tivoli, Sun, eDirectory |
O nome do servidor de serviços de diretório. |
Atributo Username |
Tivoli, Sun, eDirectory |
O nome do atributo no serviço de diretório que serve como o identificador exclusivo para cada perfil. Na maioria dos casos, o atributo username padrão de "uid" está correto. |
Contêineres |
Todos |
Os nomes dos contêineres do serviço de diretório, também conhecidos como UO (unidade organizacional), contêm os perfis para sincronização. |
Filtro para usuários |
Todos |
See the detailed instructions in the section Sobre a exclusão de filtros. |
Filtro para grupos |
Todos |
Consulte a seção Sincronizando grupos. |
Sobre a exclusão de filtros
O SharePoint Server 2013 irá sincronizar todos os perfis dos contentores que identificar, a menos que opte por excluir perfis através de um filtro. Por exemplo, você pode criar um filtro para excluir usuários cujas contas estão desabilitadas.
Um filtro é composto por um conjunto de cláusulas e pelo conectar que unirá as cláusulas. Cada cláusula tem três partes:
Atributo: o atributo do serviço de diretório para comparação.
Valor: o valor ao qual comparar o atributo.
Operador: o tipo de comparação.
Há duas formas de unir as cláusulas de um filtro de exclusão:
Todas se aplicam (AND): uma conta corresponderá ao filtro se todas as cláusulas forem aplicadas.
Qualquer uma se aplica (OR): uma conta corresponderá ao filtro se qualquer cláusula for aplicada.
Não pode misturar ANDs e ORs num filtro.
Por exemplo, suponha que funcionários temporários em sua organização recebam contas do Active Directory que começam com "T-". Quer sincronizar perfis para todos os utilizadores permanentes (não temporários) cujas contas não estão desativadas. É possível criar um filtro que use as cláusulas na seguinte tabela.
Observação
Depois de efetuar alterações a um filtro, é necessária uma sincronização completa.
Atributo | Operator | Valor |
---|---|---|
sAMAccountName |
começa com |
T- |
userAccountControl |
Bit ativado igual |
2 |
O filtro uniria as cláusulas usando Qualquer uma se aplica (OR).
Observação
No AD DS, userAccountControl é uma máscara de bits que representa vários aspectos úteis sobre o status da conta do usuário. Para obter uma lista de alguns dos filtros utilizados mais frequentemente que pode criar com o atributo userAccountControl , veja Como utilizar os sinalizadores UserAccountControl para manipular as propriedades da conta de utilizador.
Não pode criar um filtro baseado na associação num grupo de serviços de diretório, como uma lista de distribuição. Para obter alternativas à importação de utilizadores com base na associação a grupos, veja Incapacidade de importar utilizadores com base na associação a grupos.
Conexões com sistemas comerciais
Para importar propriedades de um sistema empresarial, precisará de um tipo de conteúdo externo que traga o valor da propriedade do sistema externo para o SharePoint Server 2013. Este artigo não abrange como criar um tipo de conteúdo externo. Geralmente, essa tarefa é feita por um desenvolvedor.. Este artigo descreve os dados que devem ser coletados e fornecidos ao desenvolvedor e informa o que deve ser feito com as informações recebidas. Para obter informações sobre programadores, consulte Tipos de conteúdo externos no SharePoint 2013.
Pode utilizar a folha de cálculo Planeamento do tipo de conteúdo externo para especificar os tipos de conteúdo externo a criar. Percorra a folha de cálculo Planeamento de Propriedades do Perfil de Utilizador que concluiu quando leu o artigo Planear perfis de utilizador no SharePoint Server. Na planilha Planejamento de tipo de conteúdo externo, crie uma linha para cada propriedade do perfil do usuário que vier de um sistema comercial. Preencha as três primeiras colunas de cada linha de acordo com as instruções da tabela a seguir.
Coluna na planilha | Instruções |
---|---|
Sistema comercial |
Um nome de sua escolha que identifique o sistema comercial que contém a propriedade. |
Item |
Os dados no sistema comercial que correspondem à propriedade. Seja o mais específico possível. Por exemplo, se o sistema comercial for um banco de dados, forneça o nome da tabela e da coluna, se souber. |
Possíveis identificadores |
Uma lista das propriedades do perfil de usuário que podem identificar exclusivamente um usuário. |
Depois de preencher as três primeiras colunas de cada linha, entregue a planilha para o desenvolvedor de tipo de conteúdo externo. O desenvolvedor deve seguir estas etapas e devolver a planilha:
Criar tipos de conteúdo externos para fornecer os dados do sistema externo descritos na planilha.
Escolher um identificador apropriado para cada tipo de conteúdo externo.
Se os perfis de usuário tiverem um relacionamento um para um com os itens do tipo de conteúdo externo, crie um método de localização específico. Um tipo de conteúdo externo que contém a data de nascimento de um usuário é um exemplo de um relacionamento um para um. Cada perfil de usuário corresponderá a um item do tipo de conteúdo externo.
Se os perfis de utilizador tiverem uma relação um-para-muitos com itens do tipo de conteúdo externo, crie um método finder e um filtro de comparação. Um tipo de conteúdo externo que contém a matrícula de um veículo que o utilizador possui é um exemplo de uma relação um-para-muitos. Um utilizador pode ser proprietário de vários veículos. Por conseguinte, cada perfil de utilizador pode corresponder a mais do que um item do tipo de conteúdo externo.
Atualize a planilha para descrever os tipos de conteúdo externos que foram criados.
A folha de cálculo Planeamento de Ligações (propriedades do perfil de utilizador e folha de cálculo de planeamento de sincronização de perfis) contém um separador para uma ligação a um sistema empresarial. Quando receber as informações de volta do desenvolvedor do tipo de conteúdo externo, agrupe todas as propriedades do perfil do usuário que compartilharem o mesmo tipo de conteúdo externo. Crie um separador na folha de cálculo Planeamento de Ligação para cada tipo de conteúdo externo e copie as informações do separador Sistemas empresariais para cada novo separador. Em cada separador que criou, preencha as informações de acordo com as instruções na tabela seguinte.
Linha na planilha | Instruções |
---|---|
Nome da conexão de sincronização |
Escolha um nome que o ajudará a se lembrar com qual sistema comercial isso se conecta. |
Tipo de conexão |
"Conectividade de dados comerciais" Essas informações já foram preenchidas. |
Entidade de conectividade dos dados comerciais |
O nome do tipo de conteúdo externo. |
Mapeamento um para um ou um para muitos |
O número de itens do tipo de conteúdo externo que pode corresponder a um determinado perfil de usuário. Insira "um para um" ou "um para muitos", conforme apropriado. |
A propriedade do perfil precisa corresponder |
O nome da propriedade do perfil de usuário que corresponde ao identificador do tipo de conteúdo externo. |
Filtro de comparação |
O nome do filtro de comparação. Um filtro é necessários somente para mapeamentos um para muitos. |
Identificar os mapeamentos de propriedade
Para indicar se a propriedade de um perfil de usuário vem de um sistema externo, associe a propriedade a um atributo específico do sistema externo. Por padrão, determinadas propriedades do perfil do usuário são mapeadas. Só é possível associar uma propriedade de perfil para um atributo cujo tipo de dados seja compatível com o tipo de dados da propriedade. Por exemplo, não pode mapear a propriedade de perfil de utilizador SPS-HireDate para o atributo homePhone Active Directory porque SPS-HireDate é uma data e homePhone é uma cadeia Unicode. Para obter uma lista dos tipos de dados de propriedade de perfil que são compatíveis com quais tipos de dados AD DS, consulte User profile property data types in SharePoint Server 2013.
Ao sincronizar informações de perfil, além de importar as propriedades de perfil de sistemas externos, também é possível gravar dados em um serviço de diretório. Não é possível escrever dados num sistema empresarial. Para indicar que o SharePoint Server 2013 deve exportar uma propriedade de perfil de utilizador, mapeie a propriedade e defina a direção do mapeamento para Exportar. Cada propriedade pode ser mapeada somente em uma direção. Não pode importar e exportar a mesma propriedade de perfil de utilizador. Os dados exportados sobrescrevem todos os valores que já possam estar presentes no serviço de diretório. Isto também se aplica a propriedades de valores múltiplos— o valor exportado não é acrescentado aos valores existentes, substitui-os.
Examine a folha de cálculo Planeamento de Propriedades do Perfil de Utilizador que concluiu ao ler o tópico Planear perfis de utilizador no SharePoint Server . Para cada linha (propriedade) cujo valor será importado de um sistema externo, preencha as três colunas finais de acordo com as instruções da tabela abaixo.
Linha na planilha | Instruções |
---|---|
Direção |
"Importar", que indica que a propriedade será importada para o SharePoint Server 2013. |
Conexão de sincronização |
O nome da conexão de sincronização por meio da qual essa propriedade será fornecida. |
Atributo |
O nome do elemento do sistema externo que fornecerá o valor da propriedade de perfil de usuário. Se a conexão de sincronização ocorrer com um serviço de diretório, esse será o nome do atributo do serviço de diretório. Se a conexão de sincronização ocorrer com um sistema comercial, esse será o nome da coluna no tipo de conteúdo externo. |
Observação
Não pode utilizar uma ligação a um sistema empresarial para mapear uma propriedade binária para uma propriedade que implementa o método de acessório do Stream .
Para cada linha (propriedade) cujo valor será exportado para um serviço de diretório, preencha as três colunas finais de acordo com as instruções da tabela abaixo.
Linha na planilha | Instruções |
---|---|
Direção |
"Exportar", que indica que a propriedade será exportada do SharePoint Server 2013 para um serviço de diretório. |
Conexão de sincronização |
O nome da conexão de sincronização por meio da qual essa propriedade será exportada. Pode ser apenas uma conexão com um serviço de diretório. |
Atributo |
O nome do atributo de serviço de diretório cujo valor deve ser atualizado com o valor da propriedade de perfil de usuário. |
Sincronizando grupos
Por predefinição, o SharePoint Server 2013 sincroniza grupos, como listas de distribuição, quando sincroniza perfis de utilizador. Pode desativar esta funcionalidade na página Configurar Definições de Sincronização da Administração Central. A sincronização de grupos é suportada apenas para AD DS.
Se sincronizar grupos para além dos utilizadores, o SharePoint Server 2013 importa informações sobre os grupos e sobre os utilizadores que são membros dos grupos. A sincronização de um grupo não cria um perfil para o grupo e não faz com que não sejam criados perfis de utilizador adicionais. No SharePoint Server 2013, os grupos só são utilizados para criar audiências e para apresentar as associações que um visitante tem em comum com a pessoa cujo O Meu Site a pessoa está a visitar.
Se decidir sincronizar grupos, o SharePoint Server 2013 importará informações sobre todos os grupos existentes nos contentores do serviço de diretório que está a sincronizar, a menos que opte por excluir grupos através de um filtro. O filtro para exclusão de grupos é diferente do filtro para exclusão de usuários, embora ambos sigam o mesmo formato.
Volte à planilha Planejamento de conexão e preencha o Filtro para a célula de grupos.
Planejar o servidor de sincronização
Além de determinar as conexões de sincronização e identificar os mapeamentos de propriedade, também é necessário planejar os aspectos mais diretos da sincronização de perfis. A primeira delas é a identificação do servidor de sincronização.
É possível executar somente uma instância do serviço Sincronização do perfil de usuário em um farm. O computador no qual o serviço Sincronização do perfil de usuário executa é chamado servidor de sincronização . Especifique o servidor de sincronização ao criar o aplicativo de serviço Perfil de usuário. O SharePoint Server 2013 aprovisiona uma versão do Microsoft Forefront Identity Manager (FIM) neste computador para participar na sincronização.
Quando o SharePoint Server 2013 sincroniza perfis, utiliza intensamente a rede para comunicar entre o servidor de sincronização e os controladores de domínio. Escolher um servidor de sincronização fisicamente próximo aos controladores de domínio reduzirá o tempo exigido para a sincronização.
Planejar a agenda de sincronização
Da primeira vez que sincronizar as informações de perfil entre o SharePoint Server 2013 e os sistemas externos, tem de executar uma sincronização completa. Depois disso, configure o trabalho de timer Sincronização Incremental do Perfil de Usuário a fim de realizar uma sincronização incremental em uma agenda recorrente. É possível configurar o trabalho de timer para executar com um intervalo de alguns minutos ou por hora, dia, semana ou mês. Usando as opções por hora, diariamente, semanalmente e mensalmente, você especifica quando deseja que o trabalho de timer comece.
Quanto mais o trabalho de timer de sincronização for realizado, menos alterações existirão para sincronizar e, portanto, mais rápida será a conclusão do trabalho. A frequência padrão é diária. Recomendamos que você agende o início da sincronização para um horário no qual a rede é pouco utilizada.
Para obter instruções sobre como configurar a tarefa de temporizador de Sincronização Incremental de Perfis de Utilizador, veja Agendar a sincronização de perfis no SharePoint Server.
Planejar permissões de conta
Na planilha Planejamento de conexão, você forneceu o nome de uma conta de sincronização para cada serviço de diretório. Essas contas de sincronização precisam receber permissões específicas de modo que o serviço de sincronização possa obter as informações necessárias do serviço de diretório. As seções a seguir identificam quais permissões são necessárias para cada tipo de serviço de diretório. Trabalhe com o administrador do serviço de diretório para conceder às contas as permissões apropriadas.
Serviços de Domínio Active Directory (AD DS)
A conta de sincronização para uma conexão com os Serviços de Domínio Active Directory (AD DS) deve ter as seguintes permissões:
É preciso ter a permissão Duplicar alterações na pasta no domínio com o qual será feita a sincronização.
A permissão Duplicar Alterações na Pasta permite que uma conta consulte as alterações no diretório. Esta permissão não permite que uma conta faça alterações no diretório.
Se o controlador de domínio estiver a executar o Windows Server 2003, a conta de sincronização tem de ser membro do grupo incorporado Acesso Compatível com o Windows 2000.
Se o nome NetBIOS do domínio for diferente do nome de domínio totalmente qualificado, a conta de sincronização deverá ter a permissão Duplicar alterações na pasta no contêiner cn=configuration. Por exemplo, se o nome de domínio NetBIOS for contoso e o nome de domínio totalmente qualificado for contoso-corp.com, será necessário conceder a permissão Duplicar alterações na pasta no contêiner cn=configuration.
Se exportar valores de propriedades do SharePoint Server 2013 para o AD DS, a conta de sincronização tem de ter as permissões Criar Objetos Subordinados (este objeto e todos os descendentes) e Escrever Todas as Propriedades (este objeto e todos os descendentes) na unidade organizacional (UO) com a qual está a sincronizar.
Novell eDirectory versão 8.7.3
A conta de sincronização para uma conexão com o Novell eDirectory deve ter as seguintes permissões:
Direitos de entrada: direitos de navegação para a árvore especificada.
Direitos para todos os atributos: direitos de leitura, gravação e comparação para a árvore especificada.
Sun Java System Directory Server versão 5.2
A conta de sincronização para uma conexão com o Sun Java System Directory Server deve ter as seguintes permissões:
Permissões de leitura, gravação, comparação e pesquisa para o RootDSE.
Para realizar uma sincronização incremental, a conta de sincronização também precisará ter permissões de leitura, comparação e pesquisa para o log de alterações (cn=changelog). Se o registo de alterações não existir, tem de criá-lo antes de sincronizar.
IBM Tivoli versão 5.2
A conta de sincronização para uma conexão com o IBM Tivoli deve ter a seguinte permissão:
- A conta de sincronização deve ser membro de um grupo administrativo.
A conta do farm
O serviço Sincronização do Perfil do Usuário é executado sob a conta do farm. A conta do farm exige permissões específicas para configurar a sincronização de perfil. Uma pessoa com direitos de administrador no servidor de sincronização pode conceder essas permissões.
A conta precisa ser um membro do grupo Administradores no servidor de sincronização. é possível remover essa permissão depois de configurar o serviço Sincronização do Perfil de Usuário.
A conta deve conseguir fazer logon localmente no servidor de sincronização.
Observação
A conta do farm difere da conta do administrador de farm. Para determinar a conta do farm, na Administração Central, clique em Configurar contas de serviço e, em seguida, clique em Conta de farm.
Se for sincronizar perfis de usuários com um sistema comercial usando um tipo de conteúdo externo, a conta do farm também deverá ter permissão para executar operações no tipo de conteúdo externo. Um administrador do farm pode usar o procedimento " Definir permissões em um tipo de conteúdo externo" para conceder à conta do farm a permissão Executar em cada tipo de conteúdo externo com o qual será feita a sincronização.
Próximas etapas
Para implementar o seu plano de sincronização de perfis, siga as instruções no artigo Sincronizar perfis de utilizador e de grupo no SharePoint Server 2013. Depois de configurar a sincronização de perfis e as informações de perfil sincronizadas pela primeira vez, implemente a agenda de sincronização ao seguir o procedimento descrito no artigo Agendar a sincronização de perfis no SharePoint Server.
Planilhas
Para transferir a folha de cálculo de planeamento de ligações, a folha de cálculo de planeamento do tipo de conteúdo externo e as folhas de cálculo de planeamento do perfil de utilizador, aceda a Propriedades do perfil de utilizador e folhas de cálculo de planeamento da sincronização de perfis para o SharePoint Server 2013.
Confira também
Conceitos
Visão geral da sincronização de perfil no SharePoint Server 2013
Planejar perfis de usuário no SharePoint Server
Sincronizar perfis de usuário e grupo no SharePoint Server 2013
Administrar o serviço do Perfil de Usuário no SharePoint Server