SharePoint Server: Sincronizzazione con Active Directory – Parte prima

Premessa

Fino alla versione 2010, SharePoint Server ha sempre rappresentato una spina nel fianco dell’amministratore di sistema quando si arrivava al punto di dover sincronizzare i dati degli utenti gestiti da SharePoint (i cosiddetti “User Profiles”) con un sistema di Identity Management esterno, ad esempio Active Directory.

L’obiettivo di popolare automaticamente tutti i campi SharePoint relativi alle proprietà anagrafiche delle utenze richiedeva una serie di operazioni estremamente coreografata (per usare un delicato eufemismo), tra le quali anche l’inserimento dell’account di servizio della Farm nel gruppo amministrativo locale di ogni server SharePoint, azione che – sebbene temporanea – contrasta con le best practices Microsoft.

La maggior parte dei problemi di implementazione era legata alla dipendenza dello User Profile Synchronization Service di SharePoint dal servizio Windows Forefront Identity Manager (FIM), dipendenza che spesso costringeva gli amministratori a combattere contro il famigerato status perennemente in “starting”.

Figura 1 – Attendere, prego…

Per maggiori info sullo User Profile Synchronization Service si rimanda a questo articolo: https://technet.microsoft.com/en-us/library/ee662538.aspx.

La buona notizia è che nelle versioni successive di SharePoint sono stati apportati sensibili miglioramenti ai meccanismi di sincronizzazione con Active Directory e in questa serie di articoli ne andremo a scoprire i dettagli:

  • Active Directory Import (ADI),
  • Microsoft Identity Management Server 2016.

SharePoint 2013: Welcome ADI!

A partire da SharePoint 2013 è stata introdotta la feature chiamata Active Directory Import (ADI), che consente di importare utenti da Active Directory nella User Profile Service Application di SharePoint.

Con ADI, l’amministratore ha la possibilità di evitare FIM per accedere ad Active Directory, sebbene con qualche limitazione:

  • FIM può sincronizzare la User Profile Service Application di SharePoint con Active Directory e (tramite i Business Connectivity Services, BCS) con sistemi esterni, mentre ADI parla solo con Active Directory;
  • FIM può effettuare una sincronizzazione “bidirezionale”, ADI è “one-way”;
  • FIM può sincronizzare dati da più origini in parallelo, ADI può importare solo da un repository alla volta;
  • ADI non permette la sincronizzazione delle foto del profilo.

Figura 2 – SharePoint 2013 FIM vs ADI

Ci sono comunque numerosi punti a favore di ADI rispetto a FIM:

  • Performance;
  • Facilità di configurazione;
  • Possibilità di schedulare importazioni incrementali ogni 5 minuti;
  • Possibilità di selezionare quali utenti importare attraverso filtri LDAP.

Le operazioni necessarie ad implementare ADI sono piuttosto semplici e vanno effettuate dopo i medesimi step propedeutici all’utilizzo di FIM:

  • Creazione di una Web Application e di una Site Collection per ospitare i “My Sites”;
  • Creazione di un’istanza della User Profile Service Application.

È richiesto un account con privilegi di Farm Administrator che sia membro del gruppo locale Administrators del server SharePoint.

Creare la Web Application per i “My Sites”

Nota: I passaggi qui descritti riguardano nello specifico SharePoint 2013, sebbene in SharePoint 2016 siano del tutto simili.

Accedere alla Central Administration di SharePoint.

Nella sezione Application Management, fare clic su Manage
web
applications.

Figura 3 – Manage web applications

Nel ribbon, fare clic su New.

Nella pagina Create New Web Application:

  • Nella sezione Authentication, selezionare il metodo di autenticazione desiderato;
  • Nella sezione IIS Web Site decidere se utilizzare un sito web esistente o se crearne uno nuovo (e nel caso definirne il nome nella text box Name);
  • Nella sezione Security Configuration specificare un authentication provider, specificare se è consentito l’accesso anonimo e l’eventuale utilizzo di SSL;
  • Nella sezione Application Pool, optare per un application pool esistente o crearne uno nuovo;
  • Nella sezione Database Name and Authentication selezionare il nome del SQL Server, il nome del database per la Web Application e il metodo di autenticazione;
  • Nel caso in cui si utilizzi il database mirroring, nella sezione Failover Database specificare il nome del SQL Server di failover;
  • Nella sezione Service Application Connections selezionare le connessioni alla Service Application che saranno disponibili per la Web Application;
  • Nella sezione Customer Experience Improvement
    Program selezionare Yes o No.

Fare clic su OK.

Creare la Site Collection per i “My Sites”

Nella Central Administration, sezione Application Management, fare clic su Create site collections.

Figura 4 – Create site collection

Nella pagina Create site collection:

  • Nella sezione Web Application, selezionare la Web Application creata precedentemente;
  • Nella sezione Title and Description digitare un nome ed una descrizione;
  • Nella sezione Web Site Address selezionare l’URL per consentire agli utenti di accedere al sito (ad esempio la root “/”);

Figura 5 – Create site collection

  • Nella sezione Template Selection, fare clic su Enterprise e selezionare My Site Host;

Figura 6 – Template Selection

  • Specificare il nome dell’amministratore della Site collection nella sezione Primary Site Collection Administrator nella forma DOMINIO\NomeUtente;
  • Eventualmente specificare un amministratore secondario nella sezione Secondary Site Collection Administrator;
  • Nella sezione Quota Template, qualora si utilizzino le quote per limitare lo spazio occupato dalle Site Collections, selezionare un modello nell’elenco Select a quota template.

Fare clic su OK.

Creare la User Profile Service Application

Nella Central Administration, sezione Application Management, fare clic su Manage service applications.

Figura 7 – Manage service applications

Nel ribbon, fare clic su New e selezionare User Profile Service Application:

  • Nella sezione Name, digitare il nome della User Profile service application;
  • Nella sezione Application Pool, optare per un application pool esistente o crearne uno nuovo;

Figura 8 – Create New User Profile Service Application

  • Accettare le opzioni di default per i database da creare e, qualora presente, specificare i server di failover;
  • Nella sezione Profile Synchronization Instance, qualora necessario, specificare il nome del server SharePoint che eseguirà la sincronizzazione;
  • Nella sezione My Site Host URL, specificare l’URL della Site Collection creata precedentemente;
  • Nella sezione My Site Managed Path, digitare la parte del percorso che porterà ai siti personali;

Figura 9 – My Site Host URL e My Site Managed Path

  • Nella sezione Site Naming Format, selezionare una modalità di generazione automatica del nome dei siti personali;

Figura 10 – Site Naming Format

  • Fare clic su Create.

Al termine delle attività di creazione, nella pagina Create New User Profile Service Application fare clic su OK.

Avviare il servizio User Profile

Nella Central Administration, fare clic su System Settings e poi fare clic su Manage services on server.

Nella pagina Services on Server, qualora necessario, nella casella Server, selezionare il server che eseguirà la sincronizzazione.

Figura 11 – Services on Server

Nella riga User Profile Service, se il valore della colonna Status è “Stopped“, fare clic su Start nella colonna Action.

Figura 12 – User Profile Service partito!

Abilitare ADI

Per abilitare Active Directory Import è necessario disporre di un account di servizio che abbia privilegi di “Replicate Directory Changes” sul dominio Active Directory.

A tal fine, seguire le indicazioni riportate nell’articolo di Microsoft https://technet.microsoft.com/en-us/library/hh296982.aspx per assegnare i diritti necessari attraverso il Delegation of Control Wizard di Active Directory Users and Computers.

Figura 13 – Assegnazione del privilegio Replicate Directory Changes

Di nuovo accedere alla Central Administration di SharePoint e nella sezione Application Management fare clic su Manage service applications.

Nella pagina Manage Service Applications, fare clic sul nome della User Profile service application.

Nella pagina Manage Profile Service, sezione Synchronization, clic su Configure Synchronization Settings.

Figura 14 – Configure Synchronization Settings

Nella pagina Configure Synchronization Settings, sezione Synchronization Options, selezionare l’opzione Use SharePoint Active Directory Import e fare clic su OK.

Figura 15 – Versione SharePoint 2013

Figura 16 – Versione SharePoint 2016

Nel prossimo articolo

Fin qui abbiamo configurato i prerequisiti di Active Directory Import. Nel prossimo articolo vedremo come impostarne la sincronizzazione con Active Directory e abbinare le informazioni anagrafiche degli utenti raccolte da ADI con le proprietà dei profili utente gestiti da SharePoint.