Los Perfiles de Usuarios permiten identificar a los usuarios de SharePoint (o de nuestro dominio) con su información laboral y personal. Pasaremos de conocer a un usuario como “adiaz” a “Alberto Diaz Martin” con teléfono XXXX del departamento XXXX con el puesto XXXX con la foto XXXX con, con, con…

Esta información se puede introducir manualmente, desde la administración de perfiles en la administración central de nuestro SharePoint, o utilizando las capacidades de sincronización con otros orígenes externos (LDAP, Active Directory, un servicio Web, una base de datos, etc.).

Una de las novedades de SharePoint 2010, es que podemos realizar importaciones (ya podíamos hacerlas con SharePoint 2007) y exportaciones de los datos de los perfiles de los usuarios; esto es, vamos a ser capaces de traernos datos y almacenarlos en la base de datos (o algo parecido) de SharePoint y enviar los datos que se encuentran en SharePoint hacia un origen externo (por ejemplo, enviar la foto o el teléfono a nuestro Active Directory).

Suena bien, ¿no?

Pongamos como ejemplo el siguiente escenario: tenemos nuestra granja de SharePoint 2010, nuestro Directorio Activo y la aplicación de RRHH (Recursos in-Humanos). Lo normal, con estos 3 sistemas, es que la información de la aplicación de RRHH la podamos consultar desde los perfiles de nuestro SharePoint, esto es, que podamos ver la fecha de alta en la empresa de un empleado, su centro de trabajo, su formación profesional, sus números de teléfonos, Departamento al que pertenece, etc. También sería deseable, ya que SharePoint 2010 nos ofrece esta opción, que la información que importemos con la aplicación de RRHH sea exportada al Directorio Activo y así la podamos consultar también desde nuestro Outlook.

Pues siento deciros que va a ser que no, desde la administración de propiedades de usuarios en SharePoint 2010, no nos permite habilitar un campo para importación y exportación al mismo tiempo. Con lo bien que sonaba y el potencial que tenía. No podemos tener actualizada la información de nuestro Directorio Activo (no he visto uno en el que los técnicos de IT lo mantengan al día con la información necesaria) desde los perfiles en SharePoint junto con la aplicación de RRHH.

¿Y no podemos hacer nada?

Sabemos que SharePoint 2010 utiliza para la sincronización, una versión de FIM (Microsoft Forefront Identity Manager 2010) y conociendo este producto, ¿cómo es que no puedo? FIM es un gestor empresarial de identidades, credenciales y políticas de acceso que unifica distintos orígenes. En SharePoint 2010, de una forma transparente, configuramos los agentes de sincronización de FIM que son los que el Servicio de Sincronización utiliza para mantener actualizada la información, en ambos sentidos.

Si abrimos la ruta C:Program FilesMicrosoft Office Servers14.0Synchronization ServiceBin, tenemos el Service Manager (miiskmu.exe) que nos ofrece la información de la sincronización, la configuración de los agentes y otras opciones como el esquema del metaverse, etc.

Desde esta consola podemos analizar la sincronización de nuestros perfiles de usuarios y modificar los agentes creados en la administración de SharePoint. ¿Modificar los agentes? ¿Podemos configurar un atributo para que sea importable y exportable a la vez?

La respuesta es sí, pero mucho cuidado donde tocamos. Vemos un ejemplo: hemos configurado desde SharePoint que el campo teléfono se importe desde un BCS que es la aplicación de RRHH. Fíjense que nos permite importar de varios orígenes, pero no importar y exportar a la vez.

Una vez comprobada que la importación se realiza correctamente, vamos a modificar el agente GSC AD (el agente que se ha creado para el Directorio Activo) para que se exporta el atributo Teléfono del trabajo a uno de los atributos de nuestro Directorio Activo. Para esto, nos vamos al Service Manager de FIM, y en la pestaña de Management Agents, abrimos el agente encargado del Active Directory Domain Services.

En la configuración del agente, podemos ver el bosque de directorio al que está conectado, los atributos que se obtienen en la consulta de los usuarios, los filtros de consulta, y, la sección que nos interesa, el flujo de los atributos. En esta opción, es donde tenemos que seleccionar los atributos de ambos lados y añadirlos a la sincronización utilizando la opción de Export. Esta opción, que no tenemos habilitada en SharePoint si hemos elegido importarlo desde otro origen, nos permite configurar la exportación de los atributos del perfil hacia los atributos del directorio activo, a la vez que lo estamos importando con el agente de BCS original.

Ya tenemos configurada nuestra sincronización, aunque debemos tener mucho cuidado ya que estamos modificando al agente y estos cambios no los vamos a ver desde la administración en SharePoint, así que habrá que documentar bien estos procesos para no cambiar o equivocarnos con algún atributo.

 

Saludos a todos…