1 Installasjonsveiledning FIM 2010

OBS! Er veldig i tvil om innholdet i denne er brukendes til noe som helst!

2 Innhold

Dette dokumentet vil beskrive hvordan Microsoft Forefront Identity Manager-løsning for Buddysamarbeidet settes opp og konfigureres.

3 INNHOLDSFORTEGNELSE

[TOC]

4 FORKORTELSER [klipp og lim fra Simon]

Tekst Forkortelse
Microsoft Identity Integration Server MIIS
Connector Space CS
Management Agent MA
Metaverse MV
Dynamic Link Library DLL
Active Directory Application Mode ADAM
Active Directory AD
Global Address List GAL
Microsoft Password Change Notification Service PCNS
Service principal name SPN
Remote Procedure Call RPC
Distinguished Name DN
Local Security Authority LSA
Secure Socket Layer SSL
Hypertext Transfer Protocol HTTP
Hypertext Transfer Protocol over Secure Socket Layer HTTPS

5 INTRODUKSJON

Dette dokumentet tar for seg installasjon og oppsett av FIM-løsning, installasjon og oppsett av passordsynkronisering, samt installasjon og oppsett/oppgradering av databasen dbMetakatalog. Det forusettes at lesere av dette dokumentet er kjent med FIM og terminologien som benyttes.

6 DATABASE

Databasen dbMetakatalog installeres ved hjelp av skriptene som ligger i mappen ’Database’ i katalogen ’Buddy Version 3.1’. Bruk den installasjonsprosedyren som passer avhengig av om det er en ny installasjon eller en oppgradering fra tidligere Buddy version.

7 FIM 2010

7.1 Nyinstallasjon

Next next next. Ganske rett fram. Benytt dedikert SQL-server.

7.2 Oppgradering fra MIIS 2003 / ILM 2007

7.2.1 Flytt databasen

  1. Eksporter databasen og importer på ny db-server om ønskelig (antar det)
  2. Eksporter nøkkelen fra gammel MIIS/ILM-server

7.3 Provisioning

Deaktiver Provisioning og kjør noen import/sync-runder for å få alt i rute på ny server først.

For å aktivere provisioning må følgende gjøres:

  1. I Identity Manager på FIM-server velg ’Tools→Options’ fra menyen eller trykk tastekombinasjonen ’Ctrl+Shift+O’.
  2. Kryss av for ’Enable Metaverse Rules Extensions’.
  3. Trykk på knappen ’Browse…’ og velg filen ’MVProvisioningExtension.dll’ i mappen ’Extensions’ under MIIS katalogen.
  4. Kryss av for ’Enable Provisioning Rules Extension’.
  5. Trykk på knappen ‘OK’ for å lagre innstillingene og lukke vinduet.

8 STØTTE FOR EXCHANGE

Må ha Powershell 2.0

9 PASSORDSYNKRONISERING

9.1 Oppsett av passord synkronisering

Gjenta punkt 1 til 6 på hver Active Directory server som MIIS skal passordsynkronisere.

  1. Logg på AD server med Administrator brukeren.
  2. Gi Administrator bruker medlemskap i gruppen ”UsersAdmins”.
  3. Logg av og logg på igjen med Administrator brukeren.
  4. Kopier filen ”Password Change Notification Service.msi” (ligger på CD med MIIS løsningen) til egnet sted på harddisken.
  5. Kjør filen ”Password Change Notification Service.msi” og følg instruksjonene på skjermen. NB! Merk at du kan få opp en boks som sier at du skal skrive inn en ganske lang tekst i ”Kjør” boksen.
  6. Dersom nytt AD skjema installeres, må installasjonsprogrammet kjøres en gang til for at servicene skal installeres (ved førstegangs kjøring installeres bare skjema).

Punkt 7 til 11 skal utføres på serveren hvor MIIS er installert.

  1. Sett inn installasjons disken til Windows Server 2003 (Ent. Ed.).
  2. Steng innstallsjonsprogrammet dersom dette starter automatisk.
  3. Velg å utforske inneholdet på disken og naviger deg frem til mappen ””.
  4. Installer ”Windows Server 2003 Support Tools” ved å kjøre installasjonsfilen “SUPTOOLS.MSI” og følge instruksjonene på skjermen.
  5. Konfigurere Service Principal Name med setspn.exe (ligger i Window Server 2003 Support Tools). setspn.exe kjøres med følgende parametere :

Dvs. “setspn.exe –A PCNSMIIS/MINSRV MITTDOM-MIISService”

Punkt 12 til 14 skal utføres på hver AD server som MIIS skal passordsynkronisere.

  1. Åpne Command prompt (cmd) og skriv ’cd C:FilesPassword Change Notification’.
  2. Skriv ‘pcnscfg ADDTARGET /N:[ad navn]_[MIIS Servernavn] /A:[MIIS Servernavn] /S:[Service Principal Name]/[MIIS Servernavn] /FI:”Domain Users” (f.eks. ‘pcnscfg ADDTARGET /N:MITTDOM_MINSRV /A:MINSRV /S:PCNSMIIS/MINSRV /FI:”Domain Users”’) og trykk Enter.
  3. PCNS vil nå sette opp en kobling mellom seg selv og SPN på MIIS serveren. Resultatet av kjøring skal se slik ut : PCNS

Dersom det du får noe annet som svar på kjøringen har konfigureringen feilet. Kjør da følgende kommando: - ’pcnscfg DELETETARGET /N:[ad navn]_[MIIS Servernavn]’ (f.eks. ’pcnscfg DELETETARGET /N:MITTDOM_MINSRV’) og trykk Enter. Dette fjerner konfigurasjonen du la til sist (den som feilet).

Grunnen til feilen er vanskelig å avgjøre, men noen tips kan være å kjøre ping mot AD server fra MIIS server, sjekke DNS og andre nettverksinnstillinger.

Punkt 15 til 18 skal utføres i MIIS på hver enkelt MA som skal støtte passord synkronisering. 15. Åpne Egenskaper/Properties for aktuell MA. 16. Gå til siden ’Configure Extension’ og kryss av for ’Enable password management’. a. Trykk på knappen ’Settings’ og kontroller at ’Require secure connection...’ er markert. Trykk OK for å lukke vinduet. b. Dersom dette er en MA som ikke automatisk støtter passord synkronisering må du sette opp hvilken DLL som skal brukes for synkroniseringen og legge inn nødvendige verdier. 17. Dersom dette er en MA mot et AD gå til siden ’Configure Directory Partisions’. Marker ’Enable this partition as password...’. Trykk på knappen ‘Targets’ og velg hvilke MA som skal få synkronisert passordet dersom en bruker endrer passord (bare MA’er som har ’Password Management’ ’Enabled’ kan få passordet synkronisert). Hvis ønskelig spesifiseres hvor mange passord som skal kunne endres i løpet av et døgn. Trykk OK for å lukke vinduet. 18. Lukk MA Egenskap/properties vinduet ved å trykke OK.

Punkt 19 og 20 utføres i MIIS. 19. I MIIS trykk på Tools-->Options i menyen. 20. I Options vinduet skal ’Enable Password Synchronization’ markeres. Trykk OK for å lagre innstillingen og lukke vinduet. 7.2. Logging For å kontrollere at passord synkroniseringen fungerer kan det være nødvendig å øke nivået på loggingen. All logging i forbindelse med passord synkronisering skjer direkte i operativsystemets ’Event Log’. Logging for PCNS på hver enkelt AD server settes opp og leses på følgende måte: 1. Åpne ’Registry’ (Start --> Run --> ’regedit’ + Enter). 2. Naviger deg frem til følgende register plassering : “HKEY_LOCAL_MACHINE System”. 3. For nøkkelen ’EventLogLevel’ har du muligheten for å angi 4 forskjellige nivåer/verdier : a. 0 = Minimal Logging b. 1 = Normal logging (default) c. 2 = High logging d. 3 = Verbose logging 4. Angi ønsket nivå for logging og lukk register editoren. 5. Åpne ’Event Viewer’ (Start --> Run --> ’eventvwr’ + Enter). 6. I loggen ’Application’ sorterer du på ’Source’ (kilde) og scroller ned til kilden ’PCNSSVC’. Ut fra ’Type’ (type) kan du se om det er en feil eller informasjon om hva som har skjedd. Ved passordbytte vil du (dersom loggnivå er satt til 2) få to eventer i loggen. En som sier at en beskjed om det nye passordet er sendt, og en som forteller at beskjeden ble mottatt av alle mål (targets). Logging for passord synkronisering på MIIS serveren settes opp og leses på følgende måte: 1. Åpne ’Registry’ (Start --> Run --> ’regedit’ + Enter). 2. Naviger deg frem til følgende register plasseringen : “HKEY_LOCAL_MACHINE System”. 3. Dersom nøkkelen ’FeaturePwdSyncLogLevel’ ikke eksisterer må denne lages. Dette gjøres ved å høyre klikke på ’Mappen’ ’Logging’ og velge ’New --> DWORD Value’. Gi den nye nøkkelen navnet ’FeaturePwdSyncLogLevel’. 4. For nøkkelen ’FeaturePwdSyncLogLevel’ har du muligheten for å angi 4 forskjellige nivåer/verdier : a. 0 = Minimal Logging b. 1 = Normal logging (default) c. 2 = High logging d. 3 = Verbose logging 5. Angi ønsket nivå for logging og lukk register editoren. 6. Åpne ’Event Viewer’ (Start --> Run --> ’eventvwr’ + Enter). 7. I loggen ’Application’ sorterer du på ’Source’ (kilde) og scroller ned til kilden ’MIIServer’. Ut fra ’Type’ (type) kan du se om det er en feil eller informasjon om hva som har skjedd. Ved passordbytte vil du (dersom loggnivå er satt til 2) nye eventer i loggen dersom passord synkroniseringen feilet.

10 KONFIG FIL

For at extension kode skal kunne koble seg til databasen dbMetakatalog er den avhengig av at tilkoblingsstreng til databasen står beskrevet. Dette er løst ved at det er opprettet en xml fil hvor slik konfigurasjon kan lagres. XML filen kan se slik ut:

<?xml version="1.0" encoding="utf-8"?>
<root>
 <database-properties>
    <connection-string>Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security        Info=False;Initial Catalog=dbMetakatalog;Data Source=MIIS\MIIS;Use Procedure for        Prepare=1;Auto Translate=True;Packet Size=4096;Workstation ID=MIIS;Use Encryption for       Data=False;Tag with column collation when possible=False</connection-string>
 </database-properties>
</root>

Denne xml’en lagres i en fil som for eksempel kan kalles ’config.xml’ og plasseres på et egnet sted på MIIS serveren (For eksempel i mappen ’C:Config’).

For at koden skal vite hvor denne filen er plassert må stien til filen legges inn i en fil som kalles ’miis_config.ini’. Denne filen skal legges i Extension mappen i MIIS katalogen og for eksempel kan stien som skal stå i denne filen ha følgende verdi: ’C:Config.xml’.

11 APPLIKASJONER

Mappen ’MIIS Tools’ som inneholder alle applikasjoner kopieres til C: disken.

12 ABC ENTERPRISE IMPORT FILE MA

Denne agenten benyttes for å lese inn ABC Enterprise filer.

12.1 Installasjon

Det forutsettes at FIM er installert og at skjema med objekttyper er lagt inn.

  1. Start ’Identity Manager’ på FIM-server.
  2. Trykk på knappen ’Management Agents’.
  3. Fra ’Actions’ menyen, velg ’Import Management Agent’
  4. I katalogen ’Buddy Version 3.1’ åpnes mappen ’Management Agents’.
  5. Marker ’ABC Enterprise Import File MA.xml’ og trykk ’Open’.
  6. Det åpnes nå et nytt vindu for å konfigurere agenten.
  7. I konfigurasjons elementet ’Properties’ gjøres ingen endringer. Trykk ’Next’.
  8. I konfigurasjons elementet ’Configure Connection Properties’ gjøres ingen endringer. Trykk ’Next’.
  9. I konfigurasjons elementet ’Configure Additional Parameters’ er det en del parametere som skal tilpasses. Se eget kapittel for hvordan dette gjøres. Trykk ’Next’.
  10. I konfigurasjons elementet ’Configure Attributes’ gjøres ingen endringer. Trykk ’Next’.
  11. I konfigurasjons elementet ’Define Object Types’ gjøres ingen endringer. Trykk ’Next’.
  12. I konfigurasjons elementet ’Configure Connector Filter’ kan det legges inn filter på objekter som ikke skal importeres inn i MIIS av agenten. Om nødvendig – legg inn filter. Trykk ’Next’.
  13. I konfigurasjons elementet ’Configure Join and Projection Rules’ gjøres ingen endringer. Trykk ’Next’.
  14. I konfigurasjons elementet ’Configure Attribute Flow’ gjøres ingen endringer. Trykk ’Next’.
  15. I konfigurasjons elementet ’Configure Deprovisioning’ gjøres ingen endringer. Trykk ’Next’.
  16. I konfigurasjons elementet ’Configure Extensions’ gjøres ingen endringer. Trykk ’Finish’.

12.2 Parametere

Agenten har et sett med parametere som bl.a. styrer hvordan ABC Enterprise filer importeres.

Navn Eksempel Verdi Beskrivelse Encoding Windows-1252 Angir hvordan koden skal tolke tegnene i filen som importeres. Windows-1252 dekker de fleste behov. ABC Data Filer C:1.xml; C:2.xml Her defineres en eller flere ABC Enterprise filer, med full sti til den enkelte fil, som agenten skal lese inn. Dersom flere filer skal leses inn adskilles stiene med semikolon (;). ABC Skjema Fil C:.xsd Her defineres skjemaet, med full sti til filen, som skal benyttes ved innlesning av ABC Enterprise filer. Logg Nivå Verbose Her angis hvilket loggnivå som skal benyttes. Logg filen som det skrives til blir plassert i mappen til agenten i ’MAData’ katalogen til MIIS. De ulike logg nivåene som kan benyttes er (forklaring i parantes): - Off (ingen logging) - Error (kun feil) - Warning (feil og advarsler) - Info (feil, advarsler og informasjon) - Verbose (alt logges) Maks Loggfil Størrelse 5 Her angis maks størrelse på loggfil i hele megabyte (MB). Dersom loggfil blir større enn angitt maks størrelse slettes loggfil. Valider Filer True Her angis det om ABC Enterprise filer skal valideres mot skjema fil. Dersom det er mange feil i ABC Enterprise fil og man ønsker å importere det den uten å validere den kan man sette dette parametere til ’False’. Det er også en liten tidsgevinst å hente dersom man slår av valideringen og man har veldig store ABC Enterprise filer. Mulige verdier: True eller False Stopp Ved Valideringsfeil True Dersom man angir ’True’ og det under validering blir oppdaget feil vil import jobben bli stoppet. Dersom det kun blir funnet advarsler ved valideringen vil import jobben fortsette. Dersom man angir ’False’ vil import jobben fortsette uansett om det oppstår feil eller ikke under validering. Mulige verdier: True eller False Stopp Ved Innlesningsfeil True Dersom man angir ’True’ og det under innlesning av en ABC Enterprise fil vil import jobben stoppe. Dersom man angir ’False’ innlesningen fortsette med neste objekt i ABC Enterprise fil og import jobben fullføres. Mulige verdier: True eller False Konverter Enhets ID Filer C: Konverter.txt Her kan man angi en eller flere filer (adskilt med semikolon) som benyttes for å konvertere enhets ID fra for eksempel organisasjonsnummer til enhetskode. Dersom man ønsker å konvertere enhets ID for en eller flere enheter angis det i en fil, en rad per enhet, gjeldende enhets ID og den nye enhets ID adskilt med semikolon. For eksempel: 929292929;TESTENHET1 919191919;TESTENHET2

Denne funksjonen kan være nyttig i ulike sammenhenger. For eksempel dersom man har en enhet som er identifisert ulikt i to ulike systemer og man ønsker at de skal samles under et enhetsobjekt i løsningen eller dersom man har to ulike enheter og ønsker å slå sammen disse. Suffiks Gruppe Navn Elev Elever Verdien som angis settes som suffiks på alle elev grupper (OBS! Gjelder kun grupper med groupType = 'Gruppe'). Prefiks Gruppe Navn Elev G Verdien som angis settes som prefiks på alle elev grupper (OBS! Gjelder kun grupper med groupType = 'Gruppe'). Suffiks Gruppe Navn Lærer Lærere Verdien som angis settes som suffiks på alle lærer grupper (OBS! Gjelder kun grupper med groupType = 'Gruppe'). Prefiks Gruppe Navn Lærer G Verdien som angis settes som prefiks på alle lærer grupper (OBS! Gjelder kun grupper med groupType = 'Gruppe'). Suffiks Gruppe Navn Ansatt Ansatte Verdien som angis settes som suffiks på alle ansatt grupper (OBS! Gjelder kun grupper med groupType = 'Gruppe'). Prefiks Gruppe Navn Ansatt G Verdien som angis settes som prefiks på alle ansatt grupper (OBS! Gjelder kun grupper med groupType = 'Gruppe'). Suffiks Gruppe Navn Alle Alle Verdien som angis settes som suffiks på alle "alle" (grupper som inneholder både ansatte, lærere og elever) grupper (OBS! Gjelder kun grupper med groupType = 'Gruppe'). Prefiks Gruppe Navn Alle G Verdien som angis settes som prefiks på alle alle "alle" (grupper som inneholder både ansatte, lærere og elever) grupper (OBS! Gjelder kun grupper med groupType = 'Gruppe'). Legg Til Eier Av Gruppen Som Medlem False Dersom man angir 'True' vil den eller de som er angitt som eiere av en gruppe også bli lagt til som medlemmer av gruppen. Dersom man angir 'False' vil den eller de som er angitt som eiere av en gruppe ikke bli lagt til som medlemmer av gruppen så fremt de ikke er lagt inn som medlem av gruppen fra kilden.

12.3 Logging

Agenten har en egen loggfil som blir generert når import jobb kjøres på agenten. Loggfilen blir plassert i agentens mappe i katalogen ’MAData’ i MIIS sin programkatalog (for eksempel ’C:FilesIdentity Integration ServerENTERPRISE IMPORT FILE MA’).

I loggfilen vil det, avhengig av logg nivå, bli logget hva som skjer når det kjøres import jobb på agenten. Hver gang en ny import jobb startes vil det, uavhengig av loggnivå, skrives et starttidspunkt inn i loggfilen.

En linje i loggfilen er bygget opp på følgende måte:

[Dato] [Tidspunkt] – [Nivå]: [Melding]

For eksempel:

25.03.2009 14:56:30 - Verbose: Parameter 'Encoding' verdi 'Windows-1252'

OBS! Når agenten stopper under import jobb er det viktig at loggfilen åpnes og at det kontrolleres hva som gikk feil.

13 FRONTER IMS MA

Denne agenten benyttes for å eksportere data fra MIIS til Fronter. OBS: For at agenten skal kunne benyttes må den også konfigureres i tabellen tblMAProperties (se kapitel 5.1 i dokumentet "Brukerveiledning - MIIS.doc"). En Fronter IMS agent skal ikke ha noen konfigurasjon i tabellene tblDNPaths eller tblDNPathsFilter. For å angi hvilke objekter som skal håndteres benyttes applikasjonen "OrganizationConfiguration.exe" (se kapitel 7 i dokumentet Brukerveiledning - MIIS.doc). 11.1. Installasjon Det forutsettes av MIIS er installert og at skjema med objekttyper er lagt inn.

  1. Start ’Identity Manager’ på MIIS server.
  2. Trykk på knappen ’Management Agents’.
  3. Fra ’Actions’ menyen, velg ’Import Management Agent’
  4. I katalogen ’Buddy Version 3.1’ åpnes mappen ’Management Agents’.
  5. Marker ’FRONTER IMS MA.xml’ og trykk ’Open’.
  6. Det åpnes nå et nytt vindu for å konfigurere agenten.
  7. I konfigurasjons elementet ’Properties’ gjøres ingen endringer. Trykk ’Next’.
  8. I konfigurasjons elementet ’Configure Connection Properties’ gjøres ingen endringer. Trykk ’Next’.
  9. I konfigurasjons elementet ’Configure Additional Parameters’ er det en del parametere som skal tilpasses. Se eget kapittel for hvordan dette gjøres. Trykk ’Next’.
  10. I konfigurasjons elementet ’Configure Attributes’ gjøres ingen endringer. Trykk ’Next’.
  11. I konfigurasjons elementet ’Define Object Types’ gjøres ingen endringer. Trykk ’Next’.
  12. I konfigurasjons elementet ’Configure Connector Filter’ kan det legges inn filter på objekter som ikke skal importeres inn i MIIS av agenten. Om nødvendig – legg inn filter. Trykk ’Next’.
  13. I konfigurasjons elementet ’Configure Join and Projection Rules’ gjøres ingen endringer. Trykk ’Next’.
  14. I konfigurasjons elementet ’Configure Attribute Flow’ gjøres ingen endringer. Trykk ’Next’.
  15. I konfigurasjons elementet ’Configure Deprovisioning’ gjøres ingen endringer. Trykk ’Next’.
  16. I konfigurasjons elementet ’Configure Extensions’ gjøres ingen endringer. Trykk ’Finish’.

13.1 Parametere

Agenten har et sett med parametere som bl.a. styrer hvordan ABC Enterprise filer importeres.

Navn Eksempel Verdi Beskrivelse Encoding ISO-8859-1 Angir hvilken tegnkode som skal benyttes for eksporten til Fronter. Logg Nivå Verbose Her angis hvilket loggnivå som skal benyttes. Logg filen som det skrives til blir plassert i mappen til agenten i ’MAData’ katalogen til MIIS. De ulike logg nivåene som kan benyttes er (forklaring i parantes): - Off (ingen logging) - Error (kun feil) - Warning (feil og advarsler) - Info (feil, advarsler og informasjon) - Verbose (alt logges) Maks Loggfil Størrelse 5 Her angis maks størrelse på loggfil i hele megabyte (MB). Dersom loggfil blir større enn angitt maks størrelse slettes loggfil. URL https://ws.fronter.com/es/?authkey=BAEBD-7C14D-5081C-3EE94-0449C-4F05C-9170A-178DE Angi den stien som du får oppgitt av Fronter for å laste opp filer til. Passord Verdi ldap1: Angi den verdien som skal benyttes i passordfeltet til brukerne. Slett Fil Etter Vellykket Eksport True Angi 'True' eller 'False' om filen som blir generert av agenten og eksportert til Fronter skal slettes når en vellykket overføring har skjedd. Data Kilde Navn SATSTestFylkeVGS Angi den verdien som skal benyttes i attributtet 'datasource' i filen som overføres til Fronter. Data Mål Navn LMS Angi den verdien som skal benyttes i attributtet 'target' i filen som overføres til Fronter. Kommentar Utlasting av LMS-data Angi den verdien som skal benyttes i attributtet 'comments' i filen som overføres til Fronter. Bruk Description Som DisplayName På KontaktGrupper True Angi 'True' eller 'False' om verdien i attributtet 'description' for kontaktgrupper skal benyttes som visningsnavn i Fronter. Med dette unngås at personnummer vises i Fronter.

13.2 Logging

Agenten har en egen loggfil som blir generert når import jobb kjøres på agenten. Loggfilen blir plassert i agentens mappe i katalogen ’MAData’ i MIIS sin programkatalog (for eksempel ’C:FilesIdentity Integration ServerIMS MA’).

I loggfilen vil det, avhengig av logg nivå, bli logget hva som skjer når det kjøres import jobb på agenten. Hver gang en ny import jobb startes vil det, uavhengig av loggnivå, skrives et starttidspunkt inn i loggfilen.

En linje i loggfilen er bygget opp på følgende måte:

[Dato] [Tidspunkt] – [Nivå]: [Melding]

For eksempel:

25.03.2009 14:56:30 - Verbose: Parameter 'Encoding' verdi 'ISO-8859-1'

OBS! Når agenten stopper under import jobb er det viktig at loggfilen åpnes og at det kontrolleres hva som gikk feil.

14 Konfigurasjon

14.1 Informasjon angående løsninger som benytter flere domener

14.2 Etter installasjon av MIIS modulene

Etter alle agenter er importert i MIIS må man sjekke at ”Attribute Flow Precedence” er konfigurert riktig. Dette gjøres fra Metaverse Designer og for alle attributter som har to eller flere flytregler (angitt i ”import flow”). Se systemdokumentasjonen for hva som er riktig prioritet for attributtflyt.

14.3 Hvordan sikre fødselsnummer i Active Directory

I standardoppsettet i Buddy versjon 3 er at fødselsnummeret eksporteres til attributtet employeeID i Active Directory (AD). Dette attributtet er ikke mulig å gjøre konfidensielt i AD. Det betyr at attributtet kan leses av vanlige brukere. For å sikre at fødselsnummeret ikke kan leses av andre enn administratorer så må fødselsnummeret eksporteres til attributtet employeeNumber i AD. I tillegg må attributtet employeeNumber gjøres konfidensielt i AD (se oppskrift hos Microsoft: http://support.microsoft.com/kb/922836/en-us)

Gjør følgende endring på AD agenten i MIIS for å eksportere fødselsnummeret til employeeNumber attributtet i AD:

Endre på ”Join og Projection Rules” for objektet ”user”. EmployeeID erstattes med employeeNumber på brukerobjekter (Person). Se skjermbilde under:

Endre på ”Attribute Flow” for brukerobjekter (Person), slik at employeeID erstattes med employeeNumber:

14.4 Hvordan angi e-postadresse til organisasjon i FEIDE-katalogen

For å sette e-postadresse på organisasjon i FEIDE-katalogen må applikasjonen Organization Configuration.exe benyttes. Start applikasjonen og velg å endre den organisasjonen du vil registrere e-post adresse på. Angi korrekt mailadresse og trykk oppdater.

14.5 E-postadresser blir ikke slettet når postboksen slettes

Hvis man sletter postboksen til en person i Active Directory så blir ikke e-postadressen fjernet i FEIDE-katalogen. For å få dette til må attributtflyten for FEIDE-agenten endres slik at ”Allow Nulls” settes for mail-attributtet. Merk at dette må gjøres for objekttypen Person.

14.6 Hvordan endre visningsnavn (displayname)

Standardoppsettet for Buddy setter visningsnavnet (displayname) til ”fornavn etternavn”. Dette betyr at for eksempel global adresseliste i Exchange blir sortert med ”fornavn etternavn”. Følg denne oppskriften hvis du ønsker å endre formatet på visningsnavnet:

  1. I MIIS endres management agenten ”ABC ENTERPRISE IMPORT FILE MA”.
  2. Fjern flytregelen DisplayName → displayName for objektet Person.
  3. Lag en av følgende ny avansert importflytregel for objektet Person (navnet på Rules Extension forklarer hvordan displayName blir formatert):

Data kilde attributt Retning Metaverse Attributt Mapping Type Person Person
GivenName, SN → displayName Rules Extension - displayname_firstname_lastname GivenName, SN → displayName Rules Extension - displayname_lastname_comma_firstname GivenName, SN → displayNameExtra Rules Extension - displaynameextra_lastname_comma_firstname

Merk! Dersom Metaverse Attributt ”displayNameExtra” skal benyttes må den først legges inn på Person objektet ved hjelp av Metaverse Designer.

  1. Åpne Metaverse Designer og sørg for at ”Attribute Flow Precedence” er riktig for displayName for objektet Person. ABC ENTERPRISE IMPORT FILE MA skal ha prioritet nummer en. 12.6. Hvordan unngå ”stygge” brukernavn For å unngå at brukere får opprettet brukernavn som inneholder støtende ord, så kan følgende prosedyre benyttes:
  2. Åpne tabellen tblBadUsernames i databasen dbMetakatalog.
  3. I feltet ”BadUsernamePart” legges tekststrengen som skal bli erstattet. F.eks. ”drit”
  4. I feltet ”ReplaceWith” legges tekststrengen som BadUsernamePart skal bli erstattet med. F.eks. ”itdr”.

MERK at brukere som allerede har fått generert brukernavn ikke vil få endret dette etter at tabellen tblBadUsernames er oppdatert. Det anbefales derfor at denne prosedyren innføres før brukernavnene genereres.

14.7 Grenseverdier på ABC ENTERPRISE IMPORT FILE MA

I Buddy 4.0 er det lagt inn mulighet for å kontrollere importerte data i forhold til gitt grenseverdier. Disse grenseverdiene ligger i filen “Configuration.xml” som er plassert i agentens MAData mappe. Dersom filen ikke eksisterer vil den opprettes automatisk ved første kjøring av “Full import” på agenten eller så kan den kopieres fra installasjonspakken (filen legges i agentens MAData mappe).

Et eksempel på hvordan filen “Configuration.xml” kan se ut er illustrert under: Grenseverdier

En innstilling som er viktig å legge merke til er “Thresholds Override”. Denne innstillingen tar True eller False som verdi og tillatter import av data via ABC ENTERPRISE FILE IMPORT MA selv om grenseverdier overskrides. Dersom innstillingen settes til True gjelder dette for en import uavhengig om grenseverdier overskrides eller ikke. Terskelverdiene kan angis i antall eller prosent. Agenten vil sammenligne aktuelt resultat med forrige resultat og sammenlikne dette med terskelverdiene. Ved overskridelse vil kjøring ikke bli godkjent (så fremt agenten er konfigurert for å bruke terskelverdier). Dersom en eller flere terskelverdier overskrides vil agenten stoppe med en feilmelding i MIIS/ILM/FIM. Det er ikke mulig å lese ut hva som er feil direkte i grensesnittet til MIIS/ILM/FIM. Man må derfor gå inn i MAData mappen til agenten og sjekke siste linje i agentens logg fil.

Dersom det er ønskelig at agenten skal sende en mail dersom grenseverdier overskrides så må alle SMTP innstillinger fylles ut. Dersom SMTP server krever autentisering fylles NETWORK innstillinger ut. Det er ikke nødvendig å fylle ut DOMAIN for NETWORK innstillinger.

Dersom det er ønskelig å logge til SysLog server angis IP adresse til SysLog server i konfigurasjons filen. Lognivået til SysLog server er det samme som er angitt i parameteret “Logg nivå” i agentens parametere.

14.7.1 Thresholds (grenseverdier som benyttes ved import – overstiges en av grenseverdiene blir ikke importen godkjent og agenten stoppes med en feilmelding):

14.7.2 SMTP

Benyttes dersom det er ønskelig at agenten skal sende mail med logg for import – må sees i sammenheng med MAIL og NETWORK

14.7.3 NETWORK

Dersom SMTP server krever autentisering for å sende mail angis informasjon om bruker som skal benyttes her:

14.7.4 MAIL

14.7.5 SYSLOG