Microsoft Identity Manager

 

Après plusieurs mois en tant que bêta-testeur, je peux enfin vous proposer un tuto sur comment déployer Microsoft Identity Manager 2016, grand successeur de FIM 2010 R2. Ce premier article retrace l'installation du moteur de synchronisation qui est la première brique de la solution d'IAM de Microsoft.

Pour les connaisseurs, vous vous rendrez vite compte qu'il n'y a pas de grande différence entre FIM et MIM sur cette installation là. Pour faire simple, la seule grande différence et le niveau de support proposé par l'éditeur qui s'étend sur les dernières version de l'OS Windows Server ainsi que sur les dernières versions de SQL Server. 

 

Information disponibles

Pour plus d'information, je vous invite à consulter le lien ci dessous :

http://www.it-channels.com/microsoft/microsoft-identity-manager/174-microsoft-identity-manager-2016-mim-documentations-disponibles 

 

Environnement

Pour ma part, j'ai réalisé l'installation sur des Windows Server 2012 R2 EN. Le moteur de synchronisation se base sur une BDD SQL Server 2014 Enterprise (la version standard suffit. Le minimum requis est un SQL Server 2008 R2 SP1).

 

Installation du moteur de synchronisation de MIM

La toute première étape consiste à créer les différents comptes de services, comptes d'administrations et les groupes pour MIM.

J'ai donc créé les comptes admins suivants:

  • adm_sql (pour l'administration de l'instance SQL)
  • adm_MIM (pour l'administration de MIM)
  • adm_sharepoint (pour l'administration de ma batterie de serveur SharePoint nécessaire pour la partie portail)

Pour les comptes de service :

  • svc_sql (pour l'instance SQL)
  • svc_mimservice (utile dans mon prochain article pour faire fonctionner le service MIM)
  • svc_mima (pour les MA dans MIM) / MA = Management Agent ou alors connecteurs
  • svc_mimsync (pour faire fonctionner le service de synchronisation de MIM)
  • svc_mimsspr (pour faire fonctionner dans un second temps la réinitialisation en libre-service de mot de passe)
  • svc_sharepoint (pour faire fonctionner mon sharepoint foundation qui sera le socle de base pour installer le portail MIM)

Pour les groupes d'administration, je vous laisse suivre ce lien pour la description précise : http://www.it-channels.com/microsoft/forefront-identity-manager/85-creation-des-groupes-de-securite-necessaire-au-deploiement-de-forefront-identity-manager-2010-r2 

La dernière partie consiste à créer les SPN. A noter que cette partie est nécessaire uniquement si vous souhaitez utiliser le service/portail MIM. Si vous souhaitez juste utiliser le moteur de synchronisation, vous pouvez passer cette étape.

Ligne de commande  :

  • srv-dc1 = controleur de domaine
  • itc = domaine

 

setspn -S http/srv-dc1.itc.com itc\svc_SharePoint
setspn -S http/srv-dc1 itc\svc_SharePoint
setspn -S FIMService/srv-dc1.itc.com itc\svc_MIMService
setspn -S FIMSync/srv-dc1.itc.com itc\svc_MIMSync

Maintenant que tout est près, c'est parti...

Montée l'ISO MIM puis sélectionner Install Synchronization Service. Il est primordiale d'installer le moteur de synchronisation avant d'installer le portail FIM (bien évidemment).  :) 

Sélectionner Install Synchronization Service

Spécifier le serveur et l'instance SQL sur laquelle il faut configurer MIM. Si l'on suit les best practice, il est fortement conseillé d'utiliser une instance dédiée sur un serveur dédié.

Je renseigne ici le compte de service sur lequel va fonctionner le moteur de synchronisation de MIM.

Voilà pourquoi il est important de créé préalablement les groupes d'administrations car le wizard ne permet pas de les créer directement. Renseignez ici les groupes admins que vous avez créé.

Warning, en environnement de production, il est impératif de sécuriser les comptes de service utilisés. Cela se règle au niveau des stratégies local du serveur.

Ceci est un élément fondamental à sauvegarder. C'est cette clé qui vous permettra de réaliser un PRA (par exemple) dans le cas ou vous souhaitez créer un nouveau serveur MIM Sync. A noter que seul un serveur MIM Sync peut être exécuter à la fois.

Et voilà, le serveur de synchronisation de MIM est installé... :)

Veuillez à placer le compte sur lequel vous êtes connecté dans le groupe mimsyncadmins, sinon vous allez avoir une erreur liée à un manque de droit.

Le prochain article traitera de l'installation du service et du portail de Microsoft Identity Manager.

Consulter l'article : http://www.it-channels.com/microsoft/microsoft-identity-manager/179-installer-le-service-et-le-portail-de-mim-2016-microsoft-identity-manager 

Joris

Leave your comments

Post comment as a guest

0
Your comments are subject to administrator's moderation.
  • No comments found

Translation

S5 Box

Connexion classique

Inscription par formulaire