Einrichten eines Synchronisierung von Daten ins Active Directory

Basis der Synchronisation der Benutzerprofileigenschaften nach SharePoint 2010 ist im Hintergrund ein kompletter ForeFront Identity Manager 2010. Dieser darf zwar nicht als voller FIM genutzt werden (ohne eine FIM-Lizenz zu erwerben), aber schon in der Beta ist ersichtlich, dass damit einiges mehr an Funktionalität abgedeckt werden kann, als in der Vorgängerversion.

Die Einrichtung des User Profile Sync in der derzeitigen Beta ist nicht ganz einfach, aber es gibt bereits genug Artikel darüber. Einer der detailliertesten ist  der Blogbeitrag von Jie Li.

Vorteile der Nutzung von FIM si

  • Flexible Synchronisation über ein Metaversum
  • Nutzung der Active Directory Replikationstechnologie
  • Integration bestehender Technologien
  • In Zusammenhang mit dem zweiten Punkt, eine schnellere Replikation, da auch minütlich synchronisiert werden kann.

FIM kann jedoch nicht nur in eine Richtung, sondern auch in die andere Richtung synchronisieren, d.h. vom User Profile Store in das Active Directory, was Self Service Lösungen auf einfache Weise ermöglicht. Und diese Funktionalität ist bereits in der Beta funktionsfähig.

Folgende Punkte sollten unbedingt mit dem System Account, also dem Farmaccount durchgeführt werden, weil man nur dort (wie bei der Einrichtung des User Profile Sync) die Connections sieht, die man hier benötigt.

Hierzu ruft man zuerst mal die Central Administration und die User Profile Service Application Management Page auf. Unter Manage User Properties verwaltet man die Profileigenschaften.In diesem Beispiel verwende ich das Feld "About me" und bearbeite dessen Eigenschaften. Im folgenden Dialog können nun ganz unten Mappings hinzugefügt werden und zwar einerseits "Import"-Mappings wie unter MOSS 2007, aber andererseits auch Export-Mappings.

Wenn man nun ein Export-Mapping für dieses User Profile Property hinzufügt und als AD-Attribut bspw. "info" verwendet, werden nach einem Klick auf OK (der bis zu ein paar Minuten dauern kann) die Management Agents des FIM angepasst und eine Synchronisation das Attributs "About me" aus SharePoint in das Metaversum und von dort in das AD-Attribut "info" vorgenommen.

Sollten die Syncs nicht korrekt funktionieren, ruft man den MIIS-Client unter C:\Program Files\Microsoft Office Server\14.0\SynchronizationService\UIShell\ auf und führt unter Management Agents einmal vom MOSS-PropertyStore ein Import durch, danach im ILMMA ein FullSync und anschließend im MOSSAD-Agent einen Export, dann sollte das geänderte Attribut im AD sichtbar sein.