Portail FIM : synchroniser des utilisateurs AD DS (sync AD DS users to FIM portal)

 

Nouvel article autour d'une notion bien obscure qu'est l'IAM ;)

Ce post traite de la synchronisation des utilisateurs AD DS dans le portail FIM.

 

Bonne lecture/configuration à toi.

Installation d'une infrastructure FIM

Cet article est la suite des tutoriaux d'installation du moteur de synchronisation ainsi que du portail FIM. Il va permettre de synchroniser les utilisateurs AD DS dans le portail FIM.

1- Installer le moteur de synchronisation de Forefront Identity Manager (FIM Sync)

2- Installer le portail FIM (FIM portal)

 

Synchroniser les utilisateurs dans le portail FIM 

La première étape consiste à créer le Management Agent pour connecter la metaverse à l'annuaire Active Directory.

Il faut donc bien sélectionner le MA AD DS. 

 

Ensuite, il faut renseigner les informations d'identifications pour pouvoir se connecter à Active Directory. Pour cela, je renseigne le compte de service svc_fimadma spécialement créé à cet effet.

Cette étape consiste à définir les conteneurs sources qui vont être synchronisés avec le portail FIM.

C'est également dans cette étape qu'il est possible de déclarer des DCs préférentiels pour la connexion entre FIM et votre forêt/domaine AD.

De plus, dans le cas d'utilisation de PCNS (Password Change Notification Service) ou du module de self-reset password, il faudra activer ici la partie "Password Synchronization".

PCNS permet de détecter le reset de mot de passe dans AD est de pousser (sur un AD LDS par exemple) le ce mot de passe avant qu'il soit encrypté.

Voici l'article qui explique comment implémenter Password Change Notification Service (PCNS) dans FIM.  

Next

Je définis les objets AD que je souhaite synchroniser.

Je récupère/sélectionne les attributs spécifiques que je souhaite remonter dans mon portail FIM.

Je peux appliquer des filtres sur certains objets défini ou répondant à des critères définis. Cette configuration sera appliquée directement depuis le portail FIM.

NOTE : Un exemple type d’objets à filtrer est d’écarter de la synchronisation le compte utilisateur d’administration du Portail FIM ainsi que le compte de synchronisation.

Next

Next

Next

Finish

Je vais maintenant créer un connecteur (Management Agent) pour lier mon metaverse à mon portail FIM.

Il faut bien prendre le bon connecteur (erreur sur le SC) qui est FIM Service Management Agent.

Je renseigne les informations d'identification au serveur SQL pour la connexion à la BDD des services FIM.

Next

Next

Je peux appliquer des filtres sur certains objets défini ou répondant à des critères définis.

NOTE : Un exemple type d’objets à filtrer est d’écarter de la synchronisation le compte utilisateur d’administration du Portail FIM ainsi que le compte de synchronisation.

Je définis le mapping entre les classes d'objet de mon métaverse et celles de mon portail FIM.

Next

Je configure les "attibute flow" suivant :

DisplayName <-- displayName

Domain <-- domain

FirstName <-- firstName

LastName <-- lastName

ObjectSID <-- objectSid


Si vous souhaitez synchroniser d'autres attributs, il faudra également les configurer lors de cette étape.

Next

Next

Finish

La création des MA est maintenant terminée.

Il ne suffit pas de créer un Management Agent mais il faut également préciser le contexte d’exécution de cet agent dans le moteur de synchronisation. 

Je vais maintenant créer les Run Profile qui régissent les sens des flux entre les MAs et le metaverse (Importation / Synchronisation / Exportation).

Liste des profils d’exécution (Run profil) à créer pour chaque Management Agent :

 

Full Import

Full synchronization

Delta Import

Delta synchronization

Export (export contient une deuxième étape qui est le "Delta Import")

Delta import, delta synchronization

 

New profile...

Il faut définir le profil d'exécution (étape et valeur).

Je vais maintenant configurer le Management Agent (AD DS initié en tout début d'article) directement depuis le portail FIM.

Pour cela, il faut se rendre sur le portail web FIM, puis cliquer sur Synchronization Rules. 

New

Cochez Inbound car nous allons créer un flux d'importation AD -> Metaverse 

Il faut maintenant mapper votre classe d'objet entre AD et le metaverse.

Il est également possible de définir un/des filtre(s).

L'attribut qui permettra la relation (pour la classe d'objet "person") dans le metaverse entre les différents connecteurs (AD / SQL / FIM Portail) sera "accountName". Ce champs récupérera la valeur de l'attribut SAMAccountName dans l'annuaire Active Directory.

Cochez bien "Create resource un FIM".

Cette étape va permettre de mapper les autres attributs entre AD et le metaverse pour la classe d'objet "Person".

L'onglet source correspond au connecteur Active Directory.

L'onglet Destination correspond au metaverse FIM.

 Récupération du domain SID.

Point spécifique pour le mappage du domaine SID : 

Il est nécessaire de passer par une CustomExpression --> IIF(Eq(Left(ConvertSidToString(objectSid),41),"S-1-5-21-1895002779-2757058985-1187698395"),"MAIN","Unknown")

 

Mappage effectué… Next

Envoyer le formulaire de configuration en cliquant sur Submit.

 

Il ne reste plus qu'à exécuter les profils d'exécution dans cet ordre pour l'initialisation :

1- MA Portail:

  1. Full import
  2. Full synchronization
  3. Export, Delta import

 

2- MA AD:

  1. Full import
  2. Full synchronization

 

3- MA Portail:

  1. Export, Delta import

 

Il ne reste plus qu'à exécuter les profils d'exécution dans cet ordre pour les synchronisations régulières ou ponctuelles:

1- MA AD

  • Delta Import, Delta Sync

2- MA Portail

  • Export, Delta Import

 

 

N'hésitez pas à commenter si vous souhaitez des précisions.

Bonne lecture, bon partage et n'hésitez pas à commenter  ;)

Joris


Please publish modules in offcanvas position.