SharePoint Server: Sincronizzazione con Active Directory – Parte seconda

Premessa

A partire da SharePoint 2013 sono stati apportati sensibili miglioramenti ai meccanismi di sincronizzazione con Active Directory.

Nell’articolo SharePoint Server: Sincronizzazione con Active Directory – Parte prima abbiamo introdotto Active Directory Import (ADI), feature che permette di non utilizzare i servizi di Forefront Identity Management (FIM) per accedere ad Active Directory.

Abbiamo anche elencato le operazioni preliminari all’implementazione di ADI:

  • Creare una Web Application e una Site Collection per i “My Sites”;
  • Creare un’istanza della User Profile Service Application.

In questo articolo proseguiamo le attività impostando la sincronizzazione con Active Directory per poi effettuare il match delle informazioni raccolte da ADI con le proprietà dei profili utente gestiti da SharePoint.

Come già specificato, tutte le operazioni vanno svolte utilizzando un account con privilegi di Farm Administrator facente parte del gruppo locale Administrators dei server SharePoint.

Configurare le Connection Properties

Accedere al sito della Central Administration di SharePoint e, in Application Management, fare clic su Manage Service Application.

Nella pagina Manage
Service
Applications fare clic su nome della User Profile service application.

Figura 1 – Manage service applications

Nella pagina Manage Profile Service, sezione Synchronization, clic su Configure Synchronization Connections.

Figura 2 – Configure Synchronization Connections

Nella pagina Synchronizations
Connections fare clic su Create New Connection.

Figura 3 – Synchronizations Connections

Nella pagina Add new synchronization
connection, nella casella di testo Connection Name digitare il nome che si intende dare alla synchronization connection (ad esempio “ADI Sync”) e nell’elenco Type selezionare Active Directory Import.

Nella casella Fully Qualified Domain Name digitare il FQDN del dominio Active Directory (nel nostro caso demolab.local). Qualora necessario, specificare un Autentication Provider diverso da “Windows Authentication” a seconda delle caratteristiche della Web Application a cui afferisce la Site Collection dei “My Sites” (vedi prima parte di questa serie di articoli).

Nella casella Account digitare il nome che sarà utilizzato da ADI per effettuare la sincronizzazione con Active Directory, nell’esempio DEMOLAB\ADRepUser. Questo account è stato precedentemente configurato in modo che abbia i privilegi di Replicate Directory Changes a livello di dominio (vedi articolo precedente).

Nelle caselle Password e Confirm password digitare la password del suddetto account.

Figura 4 – Add new synchronization connection (1)

È possibile filtrare gli utenti disabilitati e specificare una query LDAP per sincronizzare solo alcuni oggetti. Ad esempio, con la query

    (&(objectCategory=person)(objectClass=user))

si estraggono solo gli oggetti di tipo “user”.

Figura 5 – Add new synchronization connection (2)

Maggiori informazioni sulle query LDAP possono essere trovate qui: https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx

Nella sezione Containers fare clic su Populate Containers e selezionare le OU e i containers che si intendono sincronizzare, poi fare clic su OK.

Nota: selezionando una OU vengono automaticamente selezionare anche tutte le sotto-OU.

Figura 6 – Add new synchronization connection (3)

Nella pagina Synchronizations
Connections viene inventariata la nuova connection appena creata.

Figura 7 – Connection creata e disponibile

Abbinare le proprietà degli User Profile agli attributi di Active Directory

Nella Central Administration, in Application Management, fare clic su Manage Service Application.

Nella pagina Manage
Service
Applications fare clic su nome della User Profile service application.

Nella pagina Manage Profile Service, sezione People, clic su Manage User Properties.

Figura 8 – Manage User Properties

Nella pagina Manage User Properties fare clic con il tasto destro sul nome della proprietà che si desidera abbinare ad un attributo preso da Active Directory e fare clic su Edit.

Figura 9 – Abbinamento User Properties

Per aggiungere un nuovo abbinamento, nella sezione Add New Mapping, nell’elenco Source Data Connection, selezionare la Data Connection che rappresenta il servizio di directory a cui vogliamo relazionarci (nel nostro esempio “ADI Sync”).

Nella casella di testo Attribute occorre poi digitare il nome dell’attributo presente in Active Directory a cui si desidera abbinare la proprietà, ad esempio “Description”, poi fare clic su Add.

Figura 10 – Add New Mapping

La stessa operazione va ripetuta per ogni ulteriore proprietà che vogliamo abbinare ad un attributo di Active Directory.

Avviare la sincronizzazione dei Profili

A questo punto siamo pronti per avviare la sincronizzazione dei profili: nella Central Administration, sezione Application Management, fare clic su Manage Service Application.

Nella pagina Manage Service Applications, fare clic su User Profile Service Application.

Nella pagina Manage Profile Service, nella sezione Syncronization, fare clic su Start Profile Syncronization.

Nella pagina Start Profile Synchronization fare clic su Start Full Syncronization.

Figura 11 – Avvio della sincronizzazione dei profili

Qualora sia stata già effettuata una sincronizzazione in precedenza, è anche possibile utilizzare l’opzione Start Incremental Syncronization.

Nel prossimo articolo

Nella terza parte di questa serie affronteremo l’integrazione di SharePoint Server 2016 con Microsoft Identity Management Server 2016, prodotto che sebbene richieda un server dedicato aumentando di fatto la complessità dell’infrastruttura, porta con sé alcune funzionalità di grande interesse, fra cui il supporto a scenari multi-foresta e la bidirezionalità del flusso con Active Directory.