Portail FIM : synchroniser des utilisateurs AD DS (sync AD DS users to FIM portal)

     

    Nouvel article autour d'une notion bien obscure qu'est l'IAM ;)

    Ce post traite de la synchronisation des utilisateurs AD DS dans le portail FIM.

     

    Bonne lecture/configuration à toi.

    Installation d'une infrastructure FIM

    Cet article est la suite des tutoriaux d'installation du moteur de synchronisation ainsi que du portail FIM. Il va permettre de synchroniser les utilisateurs AD DS dans le portail FIM.

    1- Installer le moteur de synchronisation de Forefront Identity Manager (FIM Sync)

    2- Installer le portail FIM (FIM portal)

     

    Synchroniser les utilisateurs dans le portail FIM 

    La première étape consiste à créer le Management Agent pour connecter la metaverseà l'annuaire Active Directory.

    Il faut donc bien sélectionner le MA AD DS. 

     

    Ensuite, il faut renseigner les informations d'identifications pour pouvoir se connecter àActive Directory. Pour cela, je renseigne le compte de service svc_fimadma spécialement crééà cet effet.

    Cette étape consiste à définir les conteneurs sources qui vont être synchronisés avec le portail FIM.

    C'est également dans cette étape qu'il est possible de déclarer des DCs préférentiels pour la connexion entre FIM et votre forêt/domaine AD.

    De plus, dans le cas d'utilisation de PCNS (Password Change Notification Service) ou du module de self-reset password, il faudra activer ici la partie "Password Synchronization".

    PCNS permet de détecter le reset de mot de passe dans AD est de pousser (sur un AD LDS par exemple) le ce mot de passe avant qu'il soit encrypté.

    Voici l'article qui explique comment implémenter Password Change Notification Service (PCNS) dans FIM. 

    Next

    Je définis les objets AD que je souhaite synchroniser.

    Je récupère/sélectionne les attributs spécifiques que je souhaite remonter dans mon portail FIM.

    Je peux appliquer des filtres sur certains objets défini ou répondant à des critères définis.Cette configuration sera appliquée directement depuis le portail FIM.

    NOTE : Un exemple type d’objets à filtrer est d’écarter de la synchronisation le compte utilisateur d’administration du Portail FIM ainsi que le compte de synchronisation.

    Next

    Next

    Next

    Finish

    Je vais maintenant créer un connecteur (Management Agent) pour lier mon metaverse à mon portail FIM.

    Il faut bien prendre le bon connecteur (erreur sur le SC) qui est FIM Service Management Agent.

    Je renseigne les informations d'identification au serveur SQL pour la connexion à la BDD des services FIM.

    Next

    Next

    Je peux appliquer des filtres sur certains objets défini ou répondant à des critères définis.

    NOTE : Un exemple type d’objets à filtrer est d’écarter de la synchronisation le compte utilisateur d’administration du Portail FIM ainsi que le compte de synchronisation.

    Je définis le mapping entre les classes d'objet de mon métaverse et celles de mon portail FIM.

    Next

    Je configure les "attibute flow" suivant :

    DisplayName <-- displayName

    Domain <-- domain

    FirstName <-- firstName

    LastName <-- lastName

    ObjectSID <-- objectSid


    Si vous souhaitez synchroniser d'autres attributs, il faudra également les configurer lors de cette étape.

    Next

    Next

    Finish

    La création des MA est maintenant terminée.

    Il ne suffit pas de créer un Management Agent mais il faut également préciser le contexte d’exécution de cet agent dans le moteur de synchronisation. 

    Je vais maintenant créer les Run Profile qui régissent les sens des flux entre les MAs et le metaverse (Importation / Synchronisation / Exportation).

    Liste des profils d’exécution (Run profil) à créer pour chaque Management Agent :

     

    Full Import

    Full synchronization

    Delta Import

    Delta synchronization

    Export (export contient une deuxième étape qui est le "Delta Import")

    Delta import, delta synchronization

     

    New profile...

    Il faut définir le profil d'exécution (étape et valeur).

    Je vais maintenant configurer le Management Agent (AD DS initié en tout début d'article) directement depuis le portail FIM.

    Pour cela, il faut se rendre sur le portail web FIM, puis cliquer sur Synchronization Rules. 

    New

    Cochez Inbound car nous allons créer un flux d'importation AD -> Metaverse 

    Il faut maintenant mapper votre classe d'objet entre AD et le metaverse.

    Il est également possible de définir un/des filtre(s).

    L'attribut qui permettra la relation (pour la classe d'objet "person") dans le metaverse entre les différents connecteurs (AD / SQL / FIM Portail) sera "accountName".Ce champs récupérera la valeur de l'attribut SAMAccountName dans l'annuaire Active Directory.

    Cochez bien "Create resource un FIM".

    Cette étape va permettre de mapper les autres attributs entre AD et le metaverse pour la classe d'objet "Person".

    L'onglet source correspond au connecteur Active Directory.

    L'onglet Destination correspond au metaverse FIM.

     Récupération du domain SID.

    Point spécifique pour le mappage du domaine SID : 

    Il est nécessaire de passer par une CustomExpression --> IIF(Eq(Left(ConvertSidToString(objectSid),41),"S-1-5-21-1895002779-2757058985-1187698395"),"MAIN","Unknown")

     

    Mappage effectué…Next

    Envoyer le formulaire de configuration en cliquant sur Submit.

     

    Il ne reste plus qu'à exécuter les profils d'exécution dans cet ordre pour l'initialisation :

    1- MA Portail:

    1. Full import
    2. Full synchronization
    3. Export, Delta import

     

    2- MA AD:

    1. Full import
    2. Full synchronization

     

    3- MA Portail:

    1. Export, Delta import

     

    Il ne reste plus qu'à exécuter les profils d'exécution dans cet ordre pour les synchronisations régulières ou ponctuelles:

    1- MA AD

    • Delta Import, Delta Sync

    2- MA Portail

    • Export, Delta Import

     

     

    N'hésitez pas à commenter si vous souhaitez des précisions.

    Bonne lecture, bon partage et n'hésitez pas à commenter  ;)

    Joris



    Leave your comments

    Post comment as a guest

    0
    Your comments are subject to administrator's moderation.
      • No comments found

      Menu principal