[La version SP1 est disponible depuis début 2013]
Bonjour à tous,
voici un petit post qui explique clairement la création des groupes de sécurité nécessaire au déploiement de FIM 2010 / FIM 2010 R2 et FIM 2010 R2 SP1.
Lors de la planification d'une implémentation d'un serveur FIM, un ensemble de prérequis doit être mis en place. Parmi eux, il est nécessaire de créer cinq groupes de sécurité.
Cet article défini clairement les autorisations accordées par FIM en fonction de l'appartenance aux groupes.
Avec l'arrivée de MIM 2016 qui reprend la suite de FIM 2010, nous y voyons un peu plus claire sur les dates de fin de support.
Products Released | Lifecycle Start Date | Mainstream Support End Date | Extended Support End Date | Service Pack Support End Date | Notes |
---|---|---|---|---|---|
Microsoft Forefront Identity Manager 2010 | 2010-05-27 | 2017-10-10 | 2022-10-11 | Mainstream and Extended support for Microsoft Forefront Identity Manager 2010 is extended as shown in order to provide all customers with the standard lifecycle transition timeline. | |
Microsoft Forefront Identity Manager 2010 R2 | 2012-07-24 | 2017-10-10 | 2022-10-11 | 2014-04-08 | Mainstream and Extended support for Microsoft Forefront Identity Manager 2010 is extended as shown in order to provide all customers with the standard lifecycle transition timeline. |
Microsoft Forefront Identity Manager 2010 R2 Service Pack 1 | 2013-01-15 | Review Note | Review Note | Support ends 12 months after the next service pack releases or at the end of the product’s support lifecycle, whichever comes first. For more information, please see the service pack policy athttp://support.microsoft.com |
Joris
Cet article explique comment configurer le service EWS sous Forefront Identity Manager. |
Cette configuration représente un point essentiel lors de la mise en place de FIM puisque elle permet la gestion de toute la partie notification.
Sans cela, il ne sera donc pas possible d'avoir des workflow d'approbation/notification etc...
Cette configuration est automatiquement prise en compte lors de l'installation du service/portail FIM.
Toutefois, il peut y avoir des erreurs qui apparaissent, pour cela il est nécessaire d'aller vérifier le journal d'événement (Event ID 12).
Voici un article qui explique rapidement comment modifier le fuseau horaire pour le portail FIM. |
Petit article très simple et rapide qui explique comment changer le fuseau horaire dans FIM. Tout d'abord, il faut savoir que certes, cela est très simple, mais qu'il est très important de réaliser cette action sous peine d'avoir quelques surprises (gestion des attributs temporels dans le portail ;).
L'autre argument est tout simplement d'avoir un bon reporting, notamment si l'on consulte la partie "Search Request" pour vérifier le bonne exécution de la configuration. A partir de là, cela vous permettra d'avoir vos événements à la "bonne heure".
Il faut commencer par se rendre sur le portail FIM avec un compte administrateur. Accéder à la partie Administration.
Cet article décrit comment configurer PCNS (Password Change Notification Service) dans une infrastructure Microsoft. PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM). FIM, propage ensuite le mot de passe sur les Management Agent configurés. |
La première étape consiste à installer PCNS sur les contrôleurs de domaine.
Pour cela, je vous invite à suivre l'article suivant : FIM : installer Microsoft Password Change Notification Service (PCNS)
La première étape consiste à placer le Service Principal Name (SPN).
Voici la commande à passer :
setspn -A PCNSCLNT/srv-fimengine.main.consulting.com main\svc_fimsync
Il est nécessaire de réaliser la même commande si vous disposez d'un second serveur FIM (PRA / Haute Dispo en mode dégradé...).
Vérifiez la bonne création du SPN, soit en ligne de commande, soit directement en interface graphique.
setspn -L main\svc_fimsync
Cet article décrit comment installer PCNS (Password Change Notification Service) dans une infrastructure Microsoft. PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM). |
Avant d'installer PCNS, il est nécessaire de disposer des droits sur :
Détails des droits :
Operations | Permissions accordées |
Installation de PCNS | Si le schéma Active Directory doit être mis à jour, vous devez être membre des groupes Administrateurs du schéma ou Administrateurs de l'entreprise. Si le schéma Active Directory est déjà à jour, vous devez être membre du groupe Administrateurs du domaine |
Synchronisation de mot de passe entre deux forêt | Il doit y avoir une approbation de forêt bidirectionnelle établie entre les forêts Active Directory |
Ports à ouvrir :
Service | Protocol | Port |
RPC Endpoint mapper | TCP | 135 |
Dynamic RPC ports (PCNS) | TCP | 5000 - 5100 |
Dynamic RPC ports (management agent for Active Directory) | TCP | 57500 - 57520 |
Voir également les recommandations suivantes :
Dans un premier temps, il est nécessaire d'étendre le schéma Active Directory. L'extension de schéma AD est toujours une phase délicate et réfléchie car cela est répercutée sur l'intégralité de la forêt.
Voici une liste des erreurs retournée par le moteur de synchronisation de Forefront Identity Manager (FIM). |
Error Value |
Description |
successful-connection |
Successful connection to the connected directory. |
failed-connection |
Connection to the connected directory has failed for a reason other than authentication. Generally, the connected directory error element will be present to assist in troubleshooting. |
dropped-connection |
The connection between the management agent and the connected directory no longer exists. The management agent will try to reconnect to the connected directory in many cases. Generally, the connected directory error element will be present to assist in troubleshooting. |
failed-authentication |
Authentication is not possible using the supplied credentials. |
failed-permission |
Insufficient rights to access a container in the connected directory. This error is only expected for LDAP management agents which search different connected directory containers. Generally the connected directory error element will be present to assist in troubleshooting and the error literal will indicate the name of the container where the problem occurred. |
failed-search |
A container or table search failed with an unexpected error. Generally, the connected directory error element will be present to assist in troubleshooting and the error literal will indicate the name of the container it had trouble searching. |
warning-no-watermark |
The management agent cannot read the watermark when doing a full import. This error is only expected for the management agent for Sun ONE Directory Server 5.1 (formerly iPlanet Directory Server) when the initial management agent configuration was completed when the connected directory had change log enabled. Later when the connected directory change log is turned off, if the management agent configuration is not updated, this warning will occur when a full import is done. |
Résumé des erreurs remontées par le service Password Change Notification Service (PCNS). |
Event | Severity | Description |
---|---|---|
6919 |
Information |
The password synchronization set operation was not performed because the timestamp was out of date. |
6921 |
Error |
The password synchronization set operation was not performed because password management is not enabled on the target management agent. |
6922 |
Error |
The password synchronization set operation was not performed because password management is not configured on the target management agent. |
6923 |
Warning |
The password synchronization set operation was not performed because the target connector space object could not be found in the connected data source. |
6927 |
Error |
The password synchronization set operation failed because the password does not satisfy the password policy of the target connected data source. |
6928 |
Error |
The password synchronization set operation failed because the password extension for the target management agent is not configured to support password set operations. |
Bonne lecture et n'hésitez pas à commenter ;)
Joris
Cet article va présenter la mise en place du module de réinitialisation de mot de passe en libre-service (SSPR : Self-Service Password Reset).
Dans un premier temps, il est nécessaire d'avoir installé et configuré le portail FIM. Voici un tutoriel step by step des installations pour le moteur de synchronization ainsi que pour la partie service & portail.
Une fois que le portail est opérationnel, nous pouvons configurer SSPR.
Le tutoriel a été réalisé sur la version 4.1.34.19.0 de FIM. En fonction des versions, certains éléments de configurations peuvent varier.
Voici un article qui traite du mécanisme de synchronisation de mot de passe proposé par Forefront Identity Manager 2010 / R2 / R2 sp1.
Article : http://www.itpro.fr/a/fim-mecanisme-synchronisation-mot-passe/
Une fois que vous aurez lu cet article, il ne restera plus qu'à mettre en place cette fonctionnalité :-)
1. Installation : http://www.it-channels.com/microsoft/forefront-identity-manager/134-fim-installer-microsoft-password-change-notification-service-pcns
2. Configuration : http://www.it-channels.com/microsoft/forefront-identity-manager/135-fim-configurer-microsoft-password-change-notification-service-pcns
3. Debug (éventuel) : http://www.it-channels.com/microsoft/forefront-identity-manager/136-fim-liste-des-erreurs-du-service-pcns
Bonne lecture et bonne installation.
Joris
Depuis un certain temps, Microsoft fournit des Cmdlets Powershell permettant d’exporter et d’importer la configuration des serveurs FIM. Ces commandes sont incluses dans le module FIMAutomation exploitable dans l'invite de commande PowerShell. |
Depuis un certain temps, Microsoft fournit des Cmdlets Powershell permettant d’exporter et d’importer la configuration des serveurs FIM. Ces commandes sont incluses dans le module FIMAutomation exploitable dans l'invite de commande PowerShell.
Grace à ce module, vous pourrez ainsi très facilement sauvegarder et restaurer la configuration, migrer la configuration entre différents environnements (dev/homologation/production) ou différentes forêts, ou encore exporter et importer des ressources dans le portail FIM.
Pour réaliser ces actions, il est nécessaire d'utiliser le module FIMAutomation ainsi que script PowerShell fournit par Microsoft (téléchargeables ici).
Pour plus de facilité, j'ai zippé l'ensemble de ces scripts (utilisé dans le tuto + script MS) que vous téléchargerez ici.
Autorisez également l'exécution des scripts via cet commande : Set-ExecutionPolicy RemoteSigned
Veillez à valider toutes étape sur un environnement de dev au préalable. Afin de garantir une réussite optimale, il est nécessaire que les versions de FIM soient identiques entre le serveur source et le serveur cible.
Voici les différentes étapes à réaliser :
Etapes | Remarques |
1- Sauvegarde de l'environnement source et cible | Fortement conseillée |
2- Exportation du schéma FIM Service (serveur source & cible) | Obligatoire |
3- Exportation de la configuration du moteur de synchronisation de FIM | Obligatoire |
4- Exportation des policy FIM Service (serveur source & cible) | Obligatoire |
5- Activer le mode maintenance | Obligatoire |
6- Importer le schéma FIM Service | Obligatoire |
7- Importer la configuration du moteur de synchronisation de FIM | Obligatoire |
8- Importer les policy FIM Service | Obligatoire |
9- Désactiver le mode maintenance | Obligatoire |
Attention : la présence des DLLs customisées n'est pas pris en compte dans ce scénario.
Voici un lien très important qui récapitule l'intégralité des mises à jour du produit Forefront Identity Manager.
Lien : FIM 2010 Build Overview
Joris
Microsoft vient de sortir un CU pour FIM 2010 R2 SP1 : version 4.1.3613.0
Lien pour l'Europe : Télécharger le CU
Lien pour les US : Télécharger le CU
Joris
Microsoft vient de sortir un CU pour FIM 2010 R2 SP1 : version 4.1.3627.0
Lien de téléchargement : Télécharger le CU
Joris
Microsoft vient de sortir un CU pour FIM 2010 R2 SP1 : version 4.1.3634.0
Lien de téléchargement : Télécharger le CU
Joris
Nouveau hotfix pour Forefront Identity Manager 2010 R2 (FIM). |
Lorsque vous avez des requêtes XPath très longs dans le Service FIM, utilisation de l'UC peut augmenter. Cela entraîne une diminution des performances.
Le Service de synchronisation peut provoquer une fuite de mémoire lorsque vous utilisez un connecteur ECMA2.
Lorsqu'un connecteur ECMA2 existant est mis à jour lors de la configuration d'un serveur est déplacée entre les serveurs, la mise à jour peut échouer. Ce problème se produit lorsque le connecteur nécessite l'accès aux paramètres chiffrés, par exemple un mot de passe pour terminer l'opération.
Lorsque vous confirmez une importation, une erreur de mise en attente peut se produire dans de rares cas. Lorsque ce problème se produit, le message d'erreur suivant s'affiche :
Si au cours d'une importation complète sur la gestion d'Active Directory agent Il est une référence à une unité d'organisation (UO) à une unité d'organisation deux niveaux, le moteur de synchronisation s'arrête.
Lorsque vous sélectionnez l'option abandonner la clé définie dans l'utilitaire de gestion clé de Service de synchronisation, l'opération peut être échoue. En outre, le message d'erreur suivant s'affiche :
Le traitement des entrées de la file d'attente BHOLD prend plus de temps que prévu pour se terminer après l'application d'un correctif antérieur.
Vous ne pouvez pas ajouter une autorisation pour un utilisateur à l'aide du connecteur BHOLD si l'autorisation a été déjà refusée pour l'utilisateur.
La suppression des autorisations d'un rôle personnel (ayant pour préfixe PR-) ne déclenche pas la suppression de ces autorisations de l'utilisateur.
Joris
Un certain nombre de cas de figure nécessite de passer par un développement PowerShell. Voici un article qui explique comment activer ce module dans le portail FIM. Nativement ce module n'est pas accessible. |
Récupérer les trois archives ci-dessous :
FIMPowerShellModuleV2-1 -> http://fimpowershellwf.codeplex.com/
FimExtensions.FimActivityLibrary -> http://fimpowershellmodule.codeplex.com/
Powershell Wftest ->http://www.anykeyonline.nl/blogdownloads/powershellwftest.zip
Commencer par créer trois répertoires sur votre serveur qui héberge le service FIM (portail FIM) tel que démontré ci-dessous et deziper les archives dans ces répertoires.
Il faut attendre les périodes de noël pour que je puisse dégager un peu de temps pour bloguer à ma guise. Voila bientôt un an que je laisse de côté un certains nombres d'articles sur FIM. Celui-ci est le premier (d'une longue série j'espère) visant à expliquer comment installer le moteur de synchronisation de FIM. Le suivant portera sur l'installation du portail (un peu plus complexe...).
Bonne lecture/installation à toi. |
Microsoft Forefront Identity Manager (FIM) 2010 R2 vous permet d'offrir une gestion des identités libre-service à vos utilisateurs, une gestion automatique du cycle de vie sur des plateformes hétérogènes à vos administrateurs et une riche infrastructure de stratégies pour l'application des stratégies de sécurité d'entreprise et des fonctionnalités d'audit détaillées.
FIM 2010 R2 intègre de nouvelles fonctionnalités au moyen de Microsoft BHOLD Suite pour fournir un contrôle d'accès basé sur les rôles et permettre aux administrateurs de revoir continuellement les droits d'accès au sein de l'organisation. La version FIM 2010 R2 ajoute également une expérience de réinitialisation de mot de passe en libre-service améliorée, ainsi que des améliorations apportées aux performances, aux diagnostics et à la création de rapports.
Il faut attendre les périodes de noël pour que je puisse dégager un peu de temps pour bloguer à ma guise. Voila bientôt un an que je laisse de côté un certains nombres d'articles sur FIM. Cet article est le deuxième de la série. Le premier étant l'installation du moteur de synchronisation : Installer le moteur de synchronisation de Forefront Identity Manager (FIM Sync). Voici la suite logique qui explique comment installer le portail FIM.
Bonne lecture/installation à toi. |
Configuration minimum requise
Configuration requise pour le serveur :
Le(s) serveur(s) hébergeant les composants FIM doivent avoir les configurations suivantes :
Système d'exploitation | Windows Server 2008 x64 ou plus SQL Server 2008 x64 ou plus Web Server Windows SharePoint Services 3.0 SP1 ou plus Microsoft .NET 3.0 ou plus Exchange 2007 SP1 Management Console Windows Installer 4.5 Windows PowerShell 1.0 ou plus |
---|---|
Processeur | Architecture X64 |
Mémoire | 2 Go de RAM minimum |
Disque Dur | 2 Go d'espace disque disponible |
Configuration requise pour le poste client :
Le(s) postes clients hébergeant les composants clients de FIM doivent avoir les configurations suivantes :
Système d'exploitation | Windows XP Professional SP2 ou plus Windows Installer 3.1 ou plus Microsoft .NET framework 3.5 SP1 ou plus |
---|---|
Mémoire | 512Mo de RAM (1Go recommandé) |
Disque Dur | 500 Mo d'espace disque disponible |
Résolution | Résolution de 1024x768 minimum |
Pour plus de détails : http://technet.microsoft.com/fr-fr/library/hh332708(v=ws.10).aspx
L'ensemble de mes articles seront présentés avec l'infrastructure FIM 2010R2 SP1. Le portail FIM sera configuré sous SharePoint Foundation 2013. Il est donc nécessaire de disposer d'un Windows SQL Server/Express 2008R2 SP1 au minimum.
Voici un article qui explique comment installer Microsoft BHOLD Suite SP1 afin de l'intégrer à une installation Microsoft FIM2010 R2 SP1.
Microsoft BHOLD Suite fournit un contrôle d'accès basé sur les rôles et permet aux administrateurs de revoir continuellement les droits d'accès au sein de l'organisation.
La suite comprend les modules suivants :
Les rôles sont modélisés dans une base de données dédiée, et ces informations sont ajoutées au metaverse via un Management Agent fourni. La modélisation est soit manuelle, soit automatique avec le générateur dédié.
Avec le duo FIM 2010 R2 et Microsoft BHOLD, les problématiques suivantes sont donc adressables :
Les avantages principaux de la solution sont une excellente intégration avec l’écosystème Microsoft Active Directory / Exchange, sa robustesse issue d’un moteur de synchronisation MIIS éprouvé depuis des années, et son déploiement rapide à fort ROI.
Source : http://blogs.technet.com/b/frmcs-security_identity/archive/2012/06/18/fim-2010-r2-disponible.aspx
Informations complémentaires : ici!
A l’occasion de la 1ère édition de l’évènement Microsoft Ignite, qui se déroule du 4 au 8 mai à Chicago, Microsoft a présenté les nouveaux produits et services à destination des professionnels de l’IT pour les aider à entrer dans la nouvelle ère de l’informatique d’entreprise.
Vous trouverez 2 vidéos très très intéressantes :
In this session we will cover how to upgrade from Forefront Identity Manager and earlier products to the upcoming Microsoft Identity Manager (MIM), demonstrate how MIM integrates with Azure Active Directory (AD), and review best practices for integrating private and public cloud identity and access management.
In this session we will cover our strategy and investments in Windows Server, PowerShell, Active Directory, Identity Manager, and Azure Active Directory for addressing the risks of administrator access, through stronger authentication and managing just-in-time and just-enough administrator access.
Bon visionnage.
Joris
Vous trouverez en suivant ce lien le nouveau licensing pour FIM valable à partir du 1er Avril de cette année.
Joris
Voici une présentation sympathique présentant les nouveautés de la version R2 de Forefront Identity Manager.
|
Bon visionnage.
Joris
[(UPDATE)La version SP1 est disponible depuis début 2013]
Bonjour à tous,
Voici quelques articles intéressants du Technet présentant quelques différences entre FIM 2010 et FIM 2010 R2 :
Bonne lecture.
Joris
A l'occasion des TechDays 2015, j'ai eu la chance de publier un article qui traite du module de réinitialisation de mot de passe en libre-service. Cet article oppose les deux solutions proposées par Microsoft, une étant un module à part entière de la solution FIM, l'autre étant une option rattachée au service cloud Office 365.
Bonne lecture : http://www.itpro.fr/a/reinitialisation-mot-passe-en-libre-service/
Joris
[La version SP1 est disponible depuis début 2013]
Bonjour à tous,
la version SP1 de FIM est disponible depuis début 2013.
"Nous espérons que vous avez apprécié votre premier mois d'utilisation de Microsoft Forefront Identity Manager 2010 R2 SP1 et que vous avez eu l'occasion de vous familiariser avec ses fonctions de base. Nous souhaitons vous rappeler que la page des ressources Forefront Identity Manager 2010 R2 SP1 est là pour vous permettre d'approfondir votre expérience. Vous pouvez notamment consulter les ressources suivantes :"
|
|
|
|
|
Joris
Rapide post pour expliquer comment trouver la correspondance entre un ObjectID et la resource présente dans le portail FIM. |
Cette procédure peut s'avérer utile dans de nombreux cas. EN ce moment, je l'utilise beaucoup lors de mes migrations FIM lorsque j'ai des erreurs de remontées (CF ci-dessous avec l'ObjectID 7fb2b853[...]).
Nous avons 68 invités et aucun membre en ligne