Cet article va présenter la mise en place du module de réinitialisation de mot de passe en libre-service (SSPR : Self-Service Password Reset).
Dans un premier temps, il est nécessaire d'avoir installé et configuré le portail FIM. Voici un tutoriel step by step des installations pour le moteur de synchronization ainsi que pour la partie service & portail.
- Moteur de synchronization : http://www.it-channels.com/forefront-identity-manager/121-installer-le-moteur-de-synchronisation-de-forefront-identity-manager-fim-sync
- Portail FIM (incluant le portail d'enregistrement ainsi que le portail réinitialisation de mot de passe) : http://www.it-channels.com/forefront-identity-manager/122-installer-le-portail-fim-fim-portal
Une fois que le portail est opérationnel, nous pouvons configurer SSPR.
Le tutoriel a été réalisé sur la version 4.1.34.19.0 de FIM. En fonction des versions, certains éléments de configurations peuvent varier.
Dans un premiers temps, il faut bien veiller à ce que le portail d'enregistrement ainsi que le portail de réinitialisation disposent d'un certificats pour crypter les échanges (SSL non obligatoire mais recommandé). Veiller également que les deux sites IIS soient bien démarrés.
Avant de partir dans la configuration, vous pouvez valider que vous accédez bien aux deux sites...
Dans un premier temps, il faut ajouter le compte FIM Service dans les goupes fimsyncbrowse et fimsyncpasswordset.
Redémarrer ensuite le service FIM Sync.
Il faut ensuite lancer le moteur de synchronization de FIM, puis "Activer la gestion du mot de passe" / "Enable Password Management".
Etape 1 :
Etape 2 :
Etape 3 :
Pour la suite de la configuration, il est nécessaire d'activer les "Advanced Features".
Il faut maintenant autoriser les compte de service FIM à réinitialiser le mot de passe des utilisateurs. Il faut appliquer cette configuration sur le noeud souhaité au niveau de votre arborescence.
Etape 1 :
Etape 2 :
Etape 3 :
Etape 4 : ceci est une étape de vérification. Cette configuration devrait être mise en place lors de la création du Management Agent pour Active Directory.
Octroyer les privilèges WMi pour le compte de service FIM.
Etape 1 :
Etape 2 :
Configurer le protocole DCOM pour le compte de service FIM.
Etape 1 :
Etape 2 :
Etape 3 :
Etape 4 :
Créer ensuite un ensemble (Set) qui regroupera les utilisateurs qui pourront réinitialiser leur mot de passe en libre-service. Vous pouvez utiliser l'ensemble créé par défaut dans FIM (Password Reset Users Set).
Ajout manuel ou définir une règle basée sur les attributs.
L'étape qui suit consiste à modifier le workflow qui va permettre de configurer le formulaire et quelques paramétrages autour de cette fonctionnalité.
Etape 1 :
Etape 2 :
Activer ensuite les MPRs suivants :
- Anonymous users can reset their password
- Password reset users set can read password reset objects
- Password Reset Users can update the lockout attribute of themselves
- User management: Users can read attributes of their own
- General: Users can read non-administrative configuration resources
- Administration: Administrators can read and update Users
Il ne reste plus qu'à tester le reset sur un utilisateur appartenant au set préalablement créé.
Etape 1 :
Etape 2 :
Etape 3 : il est d'abord nécessaire que l'utilisateur réponde à un questionnaire avant de pouvoir profiter de cette fonctionnalité. D'autres alternatives existent tels que recevoir un OTP (One-time password) par SMS ou sur une adresse email alternative.
Etape 4 : compléter le formulaire.
Etape 5 :
Test de réinitialisation de mot de passe.
Etape 1 : indiquer l'identité de la personne.
Etape 2 : répondre au formulaire.
Etape 3 : entrer le nouveau mot de passe.
Etape 4 : well done :)
Etape 5 : vérification.
Lien Microsoft : http://technet.microsoft.com/en-us/library/hh824694%28v=ws.10%29.aspx
Bonne configuration.
Joris