FIM 2010 R2

  •    [La version SP1 est disponible depuis début 2013]

     

    Bonjour à tous, 

    voici un petit post qui explique clairement la création des groupes de sécurité nécessaire au déploiement de FIM 2010 / FIM 2010 R2 et FIM 2010 R2 SP1.

     

    Préambule

    Lors de la planification d'une implémentation d'un serveur FIM, un ensemble de prérequis doit être mis en place. Parmi eux, il est nécessaire de créer cinq groupes de sécurité.

    Cet article défini clairement les autorisations accordées par FIM en fonction de l'appartenance aux groupes.

  • Avec l'arrivée de MIM 2016 qui reprend la suite de FIM 2010, nous y voyons un peu plus claire sur les dates de fin de support.

    Source: https://support.microsoft.com/en-za/lifecycle/search?sort=PN&alpha=Microsoft%20Forefront%20Identity%20Manager&Filter=FilterNO

     

    Products ReleasedLifecycle Start DateMainstream Support End DateExtended Support End DateService Pack Support End DateNotes
    Microsoft Forefront Identity Manager 2010 2010-05-27 2017-10-10 2022-10-11   Mainstream and Extended support for Microsoft Forefront Identity Manager 2010 is extended as shown in order to provide all customers with the standard lifecycle transition timeline.
    Microsoft Forefront Identity Manager 2010 R2 2012-07-24 2017-10-10 2022-10-11 2014-04-08 Mainstream and Extended support for Microsoft Forefront Identity Manager 2010 is extended as shown in order to provide all customers with the standard lifecycle transition timeline.
    Microsoft Forefront Identity Manager 2010 R2 Service Pack 1 2013-01-15 Review Note Review Note   Support ends 12 months after the next service pack releases or at the end of the product’s support lifecycle, whichever comes first. For more information, please see the service pack policy athttp://support.microsoft.com

     

    Joris

  • Cet article explique comment configurer le service EWS sous Forefront Identity Manager.

    Cette configuration représente un point essentiel lors de la mise en place de FIM puisque elle permet la gestion de toute la partie notification.

    Sans cela, il ne sera donc pas possible d'avoir des workflow d'approbation/notification etc...

    Cette configuration est automatiquement prise en compte lors de l'installation du service/portail FIM.

    Toutefois, il peut y avoir des erreurs qui apparaissent, pour cela il est nécessaire d'aller vérifier le journal d'événement (Event ID 12).

     

     

  • Voici un article qui explique rapidement comment modifier le fuseau horaire pour le portail FIM.

    Mais pourquoi donc...

    Petit article très simple et rapide qui explique comment changer le fuseau horaire dans FIM. Tout d'abord, il faut savoir que certes, cela est très simple, mais qu'il est très important de réaliser cette action sous peine d'avoir quelques surprises (gestion des attributs temporels dans le portail ;).

    L'autre argument est tout simplement d'avoir un bon reporting, notamment si l'on consulte la partie "Search Request" pour vérifier le bonne exécution de la configuration. A partir de là, cela vous permettra d'avoir vos événements à la "bonne heure".

     

    Tuto

    Il faut commencer par se rendre sur le portail FIM avec un compte administrateur. Accéder à la partie Administration.

  • Cet article décrit comment configurer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

    PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM). FIM, propage ensuite le mot de passe sur les Management Agent configurés.

    Prérequis et recommandations

    La première étape consiste à installer PCNS sur les contrôleurs de domaine.

    Pour cela, je vous invite à suivre l'article suivant : FIM : installer Microsoft Password Change Notification Service (PCNS)

     

    Configuration de PCNS sur le DC

    La première étape consiste à placer le Service Principal Name (SPN).

    Voici la commande à passer :

    setspn -A PCNSCLNT/srv-fimengine.main.consulting.com main\svc_fimsync

     

    Il est nécessaire de réaliser la même commande si vous disposez d'un second serveur FIM (PRA / Haute Dispo en mode dégradé...).

    Vérifiez la bonne création du SPN, soit en ligne de commande, soit directement en interface graphique.

    setspn -L main\svc_fimsync
  • Cet article décrit comment installer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

    PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM).

    Prérequis et recommandations

    Avant d'installer PCNS, il est nécessaire de disposer des droits sur :

    • le/les contrôleur(s) de domaine
    • le serveur FIM (droits pour accéder au moteur de synchronisation et configurer les Management Agent)
    • les binaires pour PCNS (32 ou 64 bits) disponibles sur le site deMicrosoftou directement sur le .ISO de l'installeur FIM

     

    Détails des droits :

    Operations Permissions accordées
    Installation de PCNS Si le schéma Active Directory doit être mis à jour, vous devez être membre des groupes Administrateurs du schéma ou Administrateurs de l'entreprise. Si le schéma Active Directory est déjà à jour, vous devez être membre du groupe Administrateurs du domaine
    Synchronisation de mot de passe entre deux forêt Il doit y avoir une approbation de forêt bidirectionnelle établie entre les forêts Active Directory

     

    Ports à ouvrir :

    Service Protocol Port
    RPC Endpoint mapper TCP 135
    Dynamic RPC ports (PCNS) TCP 5000 - 5100
    Dynamic RPC ports (management agent for Active Directory) TCP 57500 - 57520

     

     

    Voir également les recommandations suivantes :

    • Il est recommandé d'installer PCNS sur tous les contrôleurs de domaine qui seront utilisés pour traiter les réinitialisations de mot de passe
    • Il sera nécessaire de redémarrer les contrôleurs de domaine après l'installation PCNS (il sera donc interessant de disposer de deux contrôleur de domaine afin de ne pas occasionner de coupure de service)

     

     

    Etendre le schéma Active Directory pour prendre en compte le service PCNS (sur la forêt)

    Dans un premier temps, il est nécessaire d'étendre le schéma Active Directory. L'extension de schéma AD est toujours une phase délicate et réfléchie car cela est répercutée sur l'intégralité de la forêt.

  • Voici une liste des erreurs retournée par le moteur de synchronisation de Forefront Identity Manager (FIM).

    CONNECTION RELATED ERRORS:

    Error Value

    Description

    successful-connection

    Successful connection to the connected directory.

    failed-connection

    Connection to the connected directory has failed for a reason other than authentication. Generally, the connected directory error element will be present to assist in troubleshooting.

    dropped-connection

    The connection between the management agent and the connected directory no longer exists. The management agent will try to reconnect to the connected directory in many cases. Generally, the connected directory error element will be present to assist in troubleshooting.

    failed-authentication

    Authentication is not possible using the supplied credentials.

    failed-permission

    Insufficient rights to access a container in the connected directory. This error is only expected for LDAP management agents which search different connected directory containers. Generally the connected directory error element will be present to assist in troubleshooting and the error literal will indicate the name of the container where the problem occurred.

    failed-search

    A container or table search failed with an unexpected error. Generally, the connected directory error element will be present to assist in troubleshooting and the error literal will indicate the name of the container it had trouble searching.

    warning-no-watermark

    The management agent cannot read the watermark when doing a full import. This error is only expected for the management agent for Sun ONE Directory Server 5.1 (formerly iPlanet Directory Server) when the initial management agent configuration was completed when the connected directory had change log enabled. Later when the connected directory change log is turned off, if the management agent configuration is not updated, this warning will occur when a full import is done.

  • Résumé des erreurs remontées par le service Password Change Notification Service (PCNS).

    Liste des erreurs

    EventSeverityDescription

    6919

    Information

    The password synchronization set operation was not performed because the timestamp was out of date.

    6921

    Error

    The password synchronization set operation was not performed because password management is not enabled on the target management agent.

    6922

    Error

    The password synchronization set operation was not performed because password management is not configured on the target management agent.

    6923

    Warning

    The password synchronization set operation was not performed because the target connector space object could not be found in the connected data source.

    6927

    Error

    The password synchronization set operation failed because the password does not satisfy the password policy of the target connected data source.

    6928

    Error

    The password synchronization set operation failed because the password extension for the target management agent is not configured to support password set operations.

     

    Bonne lecture et n'hésitez pas à commenter  ;)

    Joris

  •  

    Cet article va présenter la mise en place du module de réinitialisation de mot de passe en libre-service (SSPR : Self-Service Password Reset).

    Dans un premier temps, il est nécessaire d'avoir installé et configuré le portail FIM. Voici un tutoriel step by step des installations pour le moteur de synchronization ainsi que pour la partie service & portail.

     

    Une fois que le portail est opérationnel, nous pouvons configurer SSPR. 

    Le tutoriel a été réalisé sur la version 4.1.34.19.0 de FIM. En fonction des versions, certains éléments de configurations peuvent varier.

  •  

    Voici un article qui traite du mécanisme de synchronisation de mot de passe proposé par Forefront Identity Manager 2010 / R2 / R2 sp1.

    Article :  http://www.itpro.fr/a/fim-mecanisme-synchronisation-mot-passe/

     

    Une fois que vous aurez lu cet article, il ne restera plus qu'à mettre en place cette fonctionnalité :-)

    1.  Installation : http://www.it-channels.com/microsoft/forefront-identity-manager/134-fim-installer-microsoft-password-change-notification-service-pcns

    2.  Configuration : http://www.it-channels.com/microsoft/forefront-identity-manager/135-fim-configurer-microsoft-password-change-notification-service-pcns

    3.  Debug (éventuel) : http://www.it-channels.com/microsoft/forefront-identity-manager/136-fim-liste-des-erreurs-du-service-pcns 

     

    Bonne lecture et bonne installation.

    Joris

  • Depuis un certain temps, Microsoft fournit des Cmdlets Powershell permettant d’exporter et d’importer la configuration des serveurs FIM. Ces commandes sont incluses dans le module FIMAutomation exploitable dans l'invite de commande PowerShell.

    Prérequis

    Depuis un certain temps, Microsoft fournit des Cmdlets Powershell permettant d’exporter et d’importer la configuration des serveurs FIM. Ces commandes sont incluses dans le module FIMAutomation exploitable dans l'invite de commande PowerShell.

    Grace à ce module, vous pourrez ainsi très facilement sauvegarder et restaurer la configuration, migrer la configuration entre différents environnements (dev/homologation/production) ou différentes forêts, ou encore exporter et importer des ressources dans le portail FIM.

    Pour réaliser ces actions, il est nécessaire d'utiliser le module FIMAutomation ainsi que script PowerShell fournit par Microsoft (téléchargeables ici). 

    Pour plus de facilité, j'ai zippé l'ensemble de ces scripts (utilisé dans le tuto + script MS) que vous téléchargerez ici

    Autorisez également l'exécution des scripts via cet commandeSet-ExecutionPolicy RemoteSigned

     

    Veillez à valider toutes étape sur un environnement de dev au préalable. Afin de garantir une réussite optimale, il est nécessaire que les versions de FIM soient identiques entre le serveur source et le serveur cible.

     

     

    Schéma de migration

    Voici les différentes étapes à réaliser :

    Etapes Remarques
    1- Sauvegarde de l'environnement source et cible Fortement conseillée
    2- Exportation du schéma FIM Service (serveur source & cible) Obligatoire
    3- Exportation de la configuration du moteur de synchronisation de FIM Obligatoire
    4- Exportation des policy FIM Service (serveur source & cible) Obligatoire
    5- Activer le mode maintenance Obligatoire
    6- Importer le schéma FIM Service Obligatoire
    7- Importer la configuration du moteur de synchronisation de FIM Obligatoire
    8- Importer les policy FIM Service Obligatoire
    9- Désactiver le mode maintenance Obligatoire

    Attention : la présence des DLLs customisées n'est pas pris en compte dans ce scénario.

  •  

    Voici un lien très important qui récapitule l'intégralité des mises à jour du produit Forefront Identity Manager.

    Lien : FIM 2010 Build Overview

     

    Joris

  •  Microsoft vient de sortir un CU pour FIM 2010 R2 SP1 : version 4.1.3613.0

    Lien pour l'Europe : Télécharger le CU
    Lien pour les US : Télécharger le CU

     

    Joris

  • Microsoft vient de sortir un CU pour FIM 2010 R2 SP1 : version 4.1.3627.0

    Lien de téléchargement : Télécharger le CU
     

    Joris

  • Microsoft vient de sortir un CU pour FIM 2010 R2 SP1 : version 4.1.3634.0

    Lien de téléchargement : Télécharger le CU
     

    Joris

  • Nouveau hotfix pour Forefront Identity Manager 2010 R2 (FIM).

     

    Télécharger le hotfix

     

    Corrections

    Service FIM

    Problème 1

    Lorsque vous avez des requêtes XPath très longs dans le Service FIM, utilisation de l'UC peut augmenter. Cela entraîne une diminution des performances.

    Service de synchronisation FIM

    Problème 1

    Le Service de synchronisation peut provoquer une fuite de mémoire lorsque vous utilisez un connecteur ECMA2.

    Problème 2

    Lorsqu'un connecteur ECMA2 existant est mis à jour lors de la configuration d'un serveur est déplacée entre les serveurs, la mise à jour peut échouer. Ce problème se produit lorsque le connecteur nécessite l'accès aux paramètres chiffrés, par exemple un mot de passe pour terminer l'opération.

    Problème 3

    Lorsque vous confirmez une importation, une erreur de mise en attente peut se produire dans de rares cas. Lorsque ce problème se produit, le message d'erreur suivant s'affiche :

    Impossible d'insérer une ligne de clé en double dans l'objet « dbo.mms_cs_link »

     

    Problème 4

    Si au cours d'une importation complète sur la gestion d'Active Directory agent Il est une référence à une unité d'organisation (UO) à une unité d'organisation deux niveaux, le moteur de synchronisation s'arrête.

    Problème 5

    Lorsque vous sélectionnez l'option abandonner la clé définie dans l'utilitaire de gestion clé de Service de synchronisation, l'opération peut être échoue. En outre, le message d'erreur suivant s'affiche :

    Valeur n'est pas dans la plage attendue.

     

    Suite BHOLD

    Problème 1

    Le traitement des entrées de la file d'attente BHOLD prend plus de temps que prévu pour se terminer après l'application d'un correctif antérieur.

    Problème 2

    Vous ne pouvez pas ajouter une autorisation pour un utilisateur à l'aide du connecteur BHOLD si l'autorisation a été déjà refusée pour l'utilisateur.

    Problème 3

    La suppression des autorisations d'un rôle personnel (ayant pour préfixe PR-) ne déclenche pas la suppression de ces autorisations de l'utilisateur.

     

     

    Joris

  • Un certain nombre de cas de figure nécessite de passer par un développement PowerShell.

    Voici un article qui explique comment activer ce module dans le portail FIM. Nativement ce module n'est pas accessible.

     Phase de déploiement

    Récupérer les trois archives ci-dessous :

     

    FIMPowerShellModuleV2-1 -> http://fimpowershellwf.codeplex.com/

    FimExtensions.FimActivityLibrary -> http://fimpowershellmodule.codeplex.com/ 

    Powershell Wftest ->http://www.anykeyonline.nl/blogdownloads/powershellwftest.zip

     

    Commencer par créer trois répertoires sur votre serveur qui héberge le service FIM (portail FIM) tel que démontré ci-dessous et deziper les archives dans ces répertoires.

  • Il faut attendre les périodes de noël pour que je puisse dégager un peu de temps pour bloguer à ma guise. Voila bientôt un an que je laisse de côté un certains nombres d'articles sur FIM.

    Celui-ci est le premier (d'une longue série j'espère) visant à expliquer comment installer le moteur de synchronisation de FIM. Le suivant portera sur l'installation du portail (un peu plus complexe...).

     

    Bonne lecture/installation à toi.

    Préambule

    Microsoft Forefront Identity Manager (FIM) 2010 R2 vous permet d'offrir une gestion des identités libre-service à vos utilisateurs, une gestion automatique du cycle de vie sur des plateformes hétérogènes à vos administrateurs et une riche infrastructure de stratégies pour l'application des stratégies de sécurité d'entreprise et des fonctionnalités d'audit détaillées.

    FIM 2010 R2 intègre de nouvelles fonctionnalités au moyen de Microsoft BHOLD Suite pour fournir un contrôle d'accès basé sur les rôles et permettre aux administrateurs de revoir continuellement les droits d'accès au sein de l'organisation. La version FIM 2010 R2 ajoute également une expérience de réinitialisation de mot de passe en libre-service améliorée, ainsi que des améliorations apportées aux performances, aux diagnostics et à la création de rapports.

  • Il faut attendre les périodes de noël pour que je puisse dégager un peu de temps pour bloguer à ma guise. Voila bientôt un an que je laisse de côté un certains nombres d'articles sur FIM.

    Cet article est le deuxième de la série. Le premier étant l'installation du moteur de synchronisation : Installer le moteur de synchronisation de Forefront Identity Manager (FIM Sync). Voici la suite logique qui explique comment installer le portail FIM.

     

    Bonne lecture/installation à toi.

     Prérequis

    Configuration minimum requise

    Configuration requise pour le serveur :
    Le(s) serveur(s) hébergeant les composants FIM doivent avoir les configurations suivantes :

    Système d'exploitation Windows Server 2008 x64 ou plus
    SQL Server 2008 x64 ou plus
    Web Server
    Windows SharePoint Services 3.0 SP1 ou plus
    Microsoft .NET 3.0 ou plus
    Exchange 2007 SP1 Management Console
    Windows Installer 4.5
    Windows PowerShell 1.0 ou plus
    Processeur Architecture X64
    Mémoire 2 Go de RAM minimum
    Disque Dur 2 Go d'espace disque disponible

     

    Configuration requise pour le poste client :
    Le(s) postes clients hébergeant les composants clients de FIM doivent avoir les configurations suivantes :

    Système d'exploitation Windows XP Professional SP2 ou plus
    Windows Installer 3.1 ou plus
    Microsoft .NET framework 3.5 SP1 ou plus
    Mémoire 512Mo de RAM (1Go recommandé)
    Disque Dur 500 Mo d'espace disque disponible
    Résolution Résolution de 1024x768 minimum

     

    Pour plus de détails : http://technet.microsoft.com/fr-fr/library/hh332708(v=ws.10).aspx

    Avant l'installation, il est nécessaire de réaliser les étapes suivantes : http://technet.microsoft.com/fr-fr/library/hh332707(v=ws.10).aspx

     

    L'ensemble de mes articles seront présentés avec l'infrastructure FIM 2010R2 SP1. Le portail FIM sera configuré sous SharePoint Foundation 2013. Il est donc nécessaire de disposer d'un Windows SQL Server/Express 2008R2 SP1 au minimum.

     

    Principales Vérifications / Actions préalables

  • Voici un article qui explique comment installer Microsoft BHOLD Suite SP1 afin de l'intégrer à une installation Microsoft FIM2010 R2 SP1.

    Introduction

    Microsoft BHOLD Suite fournit un contrôle d'accès basé sur les rôles et permet aux administrateurs de revoir continuellement les droits d'accès au sein de l'organisation.

     La suite comprend les modules suivants :

    • BHOLD Core
    • BHOLD Analytics
    • BHOLD Attestation
    • BHOLD FIM Integration
    • BHOLD FIM Provisioning
    • BHOLD Model Generator
    • BHOLD Reporting

     

    Comment BHOLD s’intègre-t-il avec FIM ?

    Les rôles sont modélisés dans une base de données dédiée, et ces informations sont ajoutées au metaverse via un Management Agent fourni. La modélisation est soit manuelle, soit automatique avec le générateur dédié.

     

    Avec le duo FIM 2010 R2 et Microsoft BHOLD, les problématiques suivantes sont donc adressables :

    • Gestion du cycle de vie des identités
    • Provisioning / Deprovisioning de comptes automatique, avec un grand nombre de connecteurs « agent-less », dont un nouveau connecteur pour WebServices http://www.microsoft.com/en-us/download/details.aspx?id=29944
    • Synchronisation d’annuaires
    • Réinitialisation du mot de passe en self-service
    • Demande de droits en self-service
    • Demande d’ajout à une liste de distribution en self-service
    • Approbation par workflow avec plugin pour Outlook
    • Contrôle d’accès basé sur les rôles et séparation des droits (avec BHOLD)
    • Recertifications de droits d’accès
    • Modélisation de rôles
    • Gestion du cycle de vie des certificats avec FIM 2010 R2 Certificate Management

    Les avantages principaux de la solution sont une excellente intégration avec l’écosystème Microsoft Active Directory / Exchange, sa robustesse issue d’un moteur de synchronisation MIIS éprouvé depuis des années, et son déploiement rapide à fort ROI.

    Source : http://blogs.technet.com/b/frmcs-security_identity/archive/2012/06/18/fim-2010-r2-disponible.aspx

    Informations complémentaires : ici!

  • A l’occasion de la 1ère édition de l’évènement Microsoft Ignite, qui se déroule du 4 au 8 mai à Chicago, Microsoft a présenté les nouveaux produits et services à destination des professionnels de l’IT pour les aider à entrer dans la nouvelle ère de l’informatique d’entreprise.

    Vous trouverez 2 vidéos très très intéressantes :

    In this session we will cover how to upgrade from Forefront Identity Manager and earlier products to the upcoming Microsoft Identity Manager (MIM), demonstrate how MIM integrates with Azure Active Directory (AD), and review best practices for integrating private and public cloud identity and access management.

    In this session we will cover our strategy and investments in Windows Server, PowerShell, Active Directory, Identity Manager, and Azure Active Directory for addressing the risks of administrator access, through stronger authentication and managing just-in-time and just-enough administrator access.

     

    Bon visionnage. 

    Joris

  • Vous trouverez en suivant ce lien le nouveau licensing pour FIM valable à partir du 1er Avril de cette année.

    Lien : https://identityunderground.wordpress.com/2015/04/01/fim2010-licensing-model-is-changing-as-of-1st-of-april-2015/

     

    Joris

  • Voici une présentation sympathique présentant les nouveautés de la version R2 de Forefront Identity Manager.

     

    Voir la présentation 

     Bon visionnage.

    Joris

  •    [(UPDATE)La version SP1 est disponible depuis début 2013]

     

    Bonjour à tous, 

    Voici quelques articles intéressants du Technet présentant quelques différences entre FIM 2010 et FIM 2010 R2 :

    •  

    TROUBLESHOOTING: (FIM CM) The RPC server is unavailable. (Exception from HRESULT: 0x800706BA) 

     

     

    REFERENCE: FIM Installation Companion – ServicePrincipleNames (SPNs) – Adding and Troubleshooting

     

    •  

    REFERENCE: FIM 2010 R2 Installation Companion – Synchronization Service Install (en-US)

     

     

    REFERENCE: FIM 2010 R2 Installation Companion – FIM Service (en-US) 

     

    REFERENCE: FIM 2010 R2 – Installation Companion – FIM Portal, Password Reset Portal, Registration Portal

     

    Bonne lecture.

    Joris

  •  

    A l'occasion des TechDays 2015, j'ai eu la chance de publier un article qui traite du module de réinitialisation de mot de passe en libre-service. Cet article oppose les deux solutions proposées par Microsoft, une étant un module à part entière de la solution FIM, l'autre étant une option rattachée au service cloud Office 365.

    Bonne lecture : http://www.itpro.fr/a/reinitialisation-mot-passe-en-libre-service/

     

    Joris

  •    [La version SP1 est disponible depuis début 2013]

     

    Bonjour à tous, 

    la version SP1 de FIM est disponible depuis début 2013.

     

    "Nous espérons que vous avez apprécié votre premier mois d'utilisation de Microsoft Forefront Identity Manager 2010 R2 SP1 et que vous avez eu l'occasion de vous familiariser avec ses fonctions de base. Nous souhaitons vous rappeler que la page des ressources Forefront Identity Manager 2010 R2 SP1 est là pour vous permettre d'approfondir votre expérience. Vous pouvez notamment consulter les ressources suivantes :"

     

    •  

    Forum Forefront Identity Manager

    •  

    Vidéos des procédures Forefront Identity Manager

    •  

    Scriptbox Forefront Identity Manager

     

    » Accéder aux ressources

     

    Joris

  • Rapide post pour expliquer comment trouver la correspondance entre un ObjectID et la resource présente dans le portail FIM. 

    Procédure

    Cette procédure peut s'avérer utile dans de nombreux cas. EN ce moment, je l'utilise beaucoup lors de mes migrations FIM lorsque j'ai des erreurs de remontées (CF ci-dessous avec l'ObjectID 7fb2b853[...]).

     

Please publish modules in offcanvas position.