Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Implémentation

29/09/2016
1
Formation Microsoft Identity Manager (MIM) 2016 Implémentation alphorm.com™©
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Emmanuel VINAZZA
Formateur et Consultant indépendant
en Systèmes et Messagerie
Certifications : MCT, MCTS, MSCE
Formation
Implémentation de MIM 2016
(Microsoft Identity Manager)

29/09/2016
2
Plan
• Présentation du formateur
• Mes formations sur Alphorm
• Qu’est ce c’est Microsoft Identity Manager
• Cursus MIM 2016 sur Alphorm
• Les objectifs de la formation
• Le plan de formation
• Certification

29/09/2016
4
Mes formations sur Alphorm

29/09/2016
5
Qu’est ce que c’est Microsoft Identity Manager?
• Microsoft Identity Manager ou MIM, la nouvelle version de FIM
• MIM est un méta annuaire basée sur un moteur permettant la synchronisation
des objets entre plusieurs environnement
• MIM apporte un ensemble de technologies permettant la mise en œuvre de :
Synchroniser des annuaires LDAP
Synchroniser des mots de passe inter annuaires
Gérer de manière centralisée des utilisateurs
Gérer des politiques de droits
Agréger du contenu d’identités
• MIM vous permet d’optimiser la gestion d’dentités au sein d’un environnement
hétérogène

29/09/2016
6
Cursus MIM 2016 sur Alphorm
Implémentation Configuration Exploitation

29/09/2016
7
Les objectifs de la formation
• Le scénario des services :
Implémenter MIM 2016
Configurer la solution mise en œuvre
Mette en œuvre vos connecteurs
Exploiter la solution nouvellement déployée

29/09/2016
8
Le plan de formation
• Module 1 : Présentation de MIM 2016
• Module 2 : Présentation des identités
• Module 3 : Installation de MIM 2016
• Module 4 : Configuration de votre plateforme
• Module 5 : Exploitation de MIM 2016

29/09/2016
9
Certification
• Il n’existe pas de certification Microsoft et les précédentes ont été retirées.

29/09/2016
10
GO The image part with relationship ID rId3 was not found in the file.

29/09/2016
11
Emmanuel VINAZZA
Présentation du lab
de la formation

29/09/2016
12
Plan
• Mon poste de travail
• Tableau des serveurs du lab
• Configuration VMWare
• Les références des ressources logicielles
• Les liens utiles

29/09/2016
13
Mon poste de travail
• La formation reposera sur la mise en œuvre d’un
lab et de démonstration
• Le scénario de la formation sera d’implémenter
ce lab et de comprendre comment on arrive à
l’objectif
• Il vous faut une machine performante. Le
portable sur lequel je travaille a 32 Go de Ram
et je suis sur un disque SSD de 1To
• Je travaille en environnement Windows 8.1 Pro
avec VMWare WorkStation 10.0.1
Processeur : Intel(R)
Core(TM) i7-2820QM CPU
@ 2.30GHz, 2301 MHz, 4
cœur(s), 8 processeur(s)
logique(s)
Dell Precision M4700
RAM : 32 Go

29/09/2016
3
Présentation du formateur
Emmanuel Vinazza
• evinazza@tikisoft.eu
• Consultant Expert FIM & Exchange & SharePoint
• Mission d’architecture, de migration et de formation
• MCT, MCP, MCTS et MCSE Messaging
• Ma mission actuelle
• Mes références :
Mon profil Viadeo http://www.viadeo.com/fr/profile/emmanuel.vinazza
Mes certification Microsoft (Login : VINAZZA – Mot de passe : 1109) :
https://mcp.microsoft.com/authenticate/validatemcp.aspx
Mes références en tant qu’auteur : http://www.editions-eni.fr/livres/emmanuel-
vinazza/.02d03a0154a79cf05d169d1b91db83ff.html#!WithAjaxContent

29/09/2016
16
Les références des ressources logicielles
• Sources MIM 2016
https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-identity-manager-2016
• Sources Forefront TMG SP1
http://www.microsoft.com/fr-fr/download/details.aspx?id=14238
• Sources Windows 2012 R2
https://www.microsoft.com/fr-fr/evalcenter/evaluate-windows-server-2012-r2
• Sources VMWare WorkStation
https://www.vmware.com/fr/

29/09/2016
17
Les liens utiles
• Mes liens préférés
http://social.technet.microsoft.com/wiki/contents/articles/17314.fim-2010-community-feeds-
blogs.aspx
https://fimfacts.wordpress.com/
• Ceux que j’utilise régulièrement
Lien TechNet
• https://www.microsoft.com/en-us/server-cloud/products/microsoft-identity-manager/
• https://technet.microsoft.com/library/jj133885(v=ws.10).aspx
• https://technet.microsoft.com/en-us/library/hh322905(v=ws.10).aspx
• Celui qui pourra vous être utile
Lien sur les mises à jour TMG
• http://technet.microsoft.com/en-us/forefront/ff899332.aspx

29/09/2016
18
Ce qu’on a couvert
• Comment créer un Lab sur son poste de travail
• Où chercher les logiciels et ressources nécessaires à la
formation.

29/09/2016
19
Emmanuel VINAZZA
Présentation de MIM
Introduction à MIM

29/09/2016
20
Plan
• Présentation d’un méta annuaire
• Présentation du schéma technique
• Le challenge de la gestion d’identité
• Les solutions disponibles

29/09/2016
21
Présentation d’un méta annuaire
• Définition d’un annuaire :
Un annuaire contient un ensemble d’objets soumis aux mêmes schémas, à la
même configuration et aux mêmes règles de sécurité
LDAP a été initialement conçu pour accéder de manière légère aux annuaires
X.500
Un client débute une session LDAP en se connectant sur le port TCP 389 du
serveur

29/09/2016
22
Présentation d’un méta annuaire
• Définition d’un méta annuaire :
Un méta-annuaire est un logiciel qui permet de synchroniser différentes
sources de données (principalement LDAP et bases de données) tout en
maintenant un référentiel de référence. Ce type d'outils est particulièrement
utilisés en gestion d'identité.
Le méta-annuaire n'est ni plus ni moins qu'un annuaire disposant de
mécanismes supplémentaires pour récupérer les informations, effectuer des
traitements afin de comparer et rapprocher les données avec celles déjà
stockées et éviter ainsi les incohérences.

29/09/2016
23
Présentation du schéma technique

29/09/2016
24
Le challenge de la gestion d’identité
• Toutes les entreprises fournissent un certain nombre de services basés
sur une authentification
• La plupart se base sur une authentification LDAP mais pas uniquement
• La gestion de l’authentification, et plus précisément, des identités au
sein d’une entreprise devient de plus en plus complexe
• Le vrai challenge aujourd'hui est de centraliser la gestion de ces
identités mais pas que…
Le vrai challenge est de pouvoir enrichir une base unique de données où sont
stockées vos identités
Le vrai challenge est de corriger les incohérences de vos identités afin
d’assurer la parfaite intégrité de celles ci

29/09/2016
25
Les solutions disponibles
• MIM 2016
• Sun One Directory Proxy Server Enterprise
• Penrose

29/09/2016
26
Liens utiles
• Voici une liste de liens utiles où vous trouverez les références de ce que
je vous présente :
https://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
http://www.01net.com/actualites/les-meta-annuaires-federent-les-donnees-
des-annuaires-existants-121804.html
http://blog.smile.fr/Les-meta-annuaires-d-entreprise

29/09/2016
27
• Comprendre la notion d’un méta annuaire
• Relever le défi pour la mise en œuvre de ce type de solution
The image part with relationship ID rId3 was not found in the file.

29/09/2016
28
Emmanuel VINAZZA
Présentation des
capacités du produit

29/09/2016
29
Plan
• Les préalables à la formation
• Synchronisation d’annuaires entre plusieurs annuaires, bases de
données et applications
• Délégation de la gestion des mots de passe, de l’appartenance aux
groupes et des certificats
• Sécurisation de l’administration via des stratégies, des privilèges et des
rôles

29/09/2016
30
Les préalables à la formation
• Avant de commencer cette formation vous devez avoir les
connaissances suivantes :
Connaitre le protocole LDAP
Savoir faire des requêtes LDAP
Avoir mis en œuvre et exploiter une solution Active Directory ou LDS
Avoir gérer des systèmes d’authentification
Comprendre le fonctionnement d’une synchronisation d’annuaire via DirSync
ou via une requête d'USN à l'aide de l'attribut uSNChanged

29/09/2016
31
Synchronisation d’annuaires
• FIM (Forefront Identity Manager) est un gestionnaire d’identité
• Il se compose de :
FIM Service avec son portail et sa base de données associée
FIM Synchronization service
FIM Certificate Management utilisé pour gérer les certificats
FIM Password Reset Client pour la gestion des mots de passe
• Les évolutions entre FIM 2010 R2 et MIM étant réellement non
signifiante, je présenterai FIM avec des updates MIM

29/09/2016
32
Délégation de la gestion
• FIM fournit :
La gestion des utilisateurs
La gestion groupes
La gestion des credentials
La gestion des Policy
• FIM apporte la gestion de l'identité à l'utilisateur, ce qui permet d’affiner
des délégations d'autorisations en fournissant une utilisation via des
interfaces client familières et accessibles

29/09/2016
33
Sécurisation de l’administration
• FIM apporte une solution d’administration simple et sécurisée
• Cela permet entre autre de :
Déléguer la gestion d’un compte à lui-même
Déléguer la gestion des utilisateurs ou des groupes à une identité
De fournir un portail de gestion intuitif

29/09/2016
34
Liens utiles
• La synchronisation d’objets
https://support.microsoft.com/fr-fr/kb/891995
• Le started Guide
https://technet.microsoft.com/en-
us/library/ee621259%28WS.10%29.aspx?f=255&MSPPError=-2147217396

29/09/2016
35
• Les grandes fonctionnalités de MIM 2016
• Les avantages à déployer ce type de solutions
• Le niveau de connaissances qu’il vous faut avoir

29/09/2016
36
Emmanuel VINAZZA
Planifier votre
architecture MIM

29/09/2016
37
Plan
• Prise de connaissance des préalables
• Analyse de votre environnement
• Définition des besoins
• Identification des moyens
• Préparation de la plateforme
• Gestion des niveaux de services

29/09/2016
38
Prise de connaissance des préalables
• Avant de commencer votre installation, vous devez vous
assurer d’avoir les éléments suivants en place :
Un annuaire Active Directory
Un serveur Windows 2008 ou ultérieur
Un serveur SQL 2008 ou ultérieur
Des comptes de services créés

29/09/2016
39
Analyse de votre environnement
• Avant de démarrer votre installation, vous devez prendre
connaissance de votre environnement, c’est-à-dire :
Prendre conscience d’une mise en œuvre de MIM
Comprendre vos attentes et les traduire en langage MIM
Comprendre les contraintes à la mise en œuvre
Appréhender les risques d’une implémentation

29/09/2016
40
Définition des besoins
• La définition des besoins ne se résument pas uniquement à définir des
pré-requis techniques
• Les besoins doivent inclurent les points d’analyse suivants :
Quel service dois je fournir ?
Quel niveau de service ai-je besoin ?
Quelles seront les évolutions souhaitées ?
Comment vais-je surveiller, exploiter et administrer ma plateforme?

29/09/2016
41
Identification des moyens
• Avant de vous lancer dans le design de votre architecture, vous devez
identifier l’ensemble des moyens dont vous aurez besoin pour mener à
bien votre mission.
• Un proverbe dit : « A l’impossible nul n’est tenu ». Ce qui signifie pour
vous de savoir mettre en adéquation les besoins et les moyens.
• En résumé, ai-je les moyens de mes ambitions?
• Suis-je entièrement autonome pour mener à bien cette mise en œuvre
ou devrais je faire appel à une prestation extérieure?
• Serais-je capable de maintenir cette plateforme une fois déployée?

29/09/2016
42
Préparation de la plateforme
• Avant de démarrer votre installation, vous devez préparer votre
plateforme. Cela se résume en quelques points que nous reverrons en
détails lors de l’installation de la plateforme mais voici les points
importants à retenir :
Un annuaire Active Directory déployé avec un serveur membre du domaine
pour MIM
Les prérequis matériel et logiciel tels que définis comme suit :
• Processeur x64- 2 Go d’espace disque - 2 GB de RAM
• Edition 2008 Server 64 bits ou ultérieurs
Des comptes de services créés pour FIM

29/09/2016
43
Gestion des niveaux de services
• La gestion des niveaux de service se résume en trois points :
1. RTO : définit le temps maximum d’arrêt de service
2. RPO : définit la perte maximale de données
3. SLA : définit le niveau de service de votre plateforme basée sur le RTO, RPO
et d’autres critères de satisfaction

29/09/2016
44
Les liens utiles à regarder
• Prérequis
https://technet.microsoft.com/en-us/library/ff512684(v=ws.10).aspx
• Les préparations
https://technet.microsoft.com/en-us/library/ff512685(v=ws.10).aspx

29/09/2016
45
• Comprendre les besoins avant de déployer la solution
• Designer l’architecture cible en fonction des besoins et d’un SLA
• Assimiler techniquement les concepts fondamentaux de MIM

29/09/2016
46
Emmanuel VINAZZA
Validation des acquis

29/09/2016
47
Les questions
• Quel est le principal objectif de MIM ?
• MIM peut créer automatiquement des sites SharePoint ?
• MIM ne peut se connecter qu’à des annuaires LDS ?
• MIM peut il être installé sans Active Directory ?
• Que signifie RTO et RPO ?
• Pour installer MIM il faut obligatoirement un serveur physique ?

29/09/2016
48
• Prendre connaissance du produit MIM
• Identifier les capacités fonctionnelles
• Identifier les moyens à la mise en œuvre

29/09/2016
49
Emmanuel VINAZZA
Présentation des identités
Introduction à l’identité

29/09/2016
55
Emmanuel VINAZZA
Présentation d'une autre
approche de la synchronisation
d'annuaire

29/09/2016
56
Plan
• Les enjeux de la synchronisation d’annuaire
• Développer sa propre solution en PowerShell

29/09/2016
57
Les enjeux de la synchronisation d’annuaire
• Maitriser l’annuaire et LDAP
• Maitriser les translations de classes et d’attributs
• Maitriser les notions du contrat d’interface

29/09/2016
58
Développer sa propre solution en PowerShell
• Une identité n’est ni plus ni moins qu’un objet ayant un ensemble de
classes, d’attributs et de valeurs
• Une identité doit être unique mais doit permettre de rapprocher
l’ensemble des informations provenant de plusieurs annuaires
• Via PowerShell vous pouvez manipuler l’ensemble de vos objets
• Attention : Manipuler des objets sur la couche LDAP est aussi puissant
que dangereux. Lorsque vous faites des modifications d’objets, vous
outrepassez l’ensemble des contrôles applicatifs

29/09/2016
59
• Se familiariser avec les solutions de synchronisations
• Appréhender un développement de synchronisation
d’annuaire

29/09/2016
60
Emmanuel VINAZZA
Analyse du contrat
d'interface

29/09/2016
61
Plan
• Définition d’un contrat d’interface
• Identification des attributs mandatory
• Implémentation d’une convention d’unicité
• DEMO : Se familiariser avec un contrat d’interface
• DEMO : S’initier au premier développement PowerShell

29/09/2016
62
Définition d’un contrat d’interface
• Pour définir un contrat d’interface il vous faut commencer par :
Définir de quoi est constitué votre annuaire source
Définir de quoi sera constitué votre annuaire cible
• Pour designer un contrat d’interface il vous faut commencer par :
Lister l’ensemble des classes et attributs soumis à la synchronisation
Lister l’ensemble des translations nécessaires
Lister l’ensemble des projections directes

29/09/2016
63
Identification des attributs mandatory
• Bien que vous puissiez faire entièrement ce que vous souhaitez au sein
de vos annuaires, il faut respecter une règle :
Toutes les classes sont translatables
Tous les attributs sont translatables
Certains attributs sont obligatoires
L’ensemble des attributs n’ont qu’un seul et unique propriétaire
Un objet est toujours unique au sein d’un méta annuaire

29/09/2016
64
Implémentation d’une convention d’unicité
• Retenez deux points importants avant de vous lancer dans l’aventure
extraordinaire de votre outil de synchronisation
Vous devez établir votre convention de nomination des attributs
Vous devez vous assurer d’assurer l’unicité de vos objets

29/09/2016
65
DEMO : Se familiariser avec un contrat d’interface
• Dans cette démonstration, je vais vous présenter un contrat d’interface.
L’objectif est principalement de vous mettre à l’aise avec ces notions. En
aucun cas, je vous demande de maitriser la conception d’un contrat
d’interface

29/09/2016
66
DEMO : S’initier au premier développement PowerShell
• Dans cette démonstration, je vais vous présenter un script PowerShell
permettant la manipulation d’objets en masse. L’objectif est que vous
puissiez vous familiariser avec le scripting et avec la manipulation des
objets via PowerShell.

29/09/2016
67
• Comprendre la complexité d’un contrat d’interface
• S’initier au scripting PowerShell pour gérer vos objets Identité

29/09/2016
68
Emmanuel VINAZZA
Identification des objets

29/09/2016
69
Plan
• Présentation d’un annuaire AD
• Démo : Comprendre la base : l’objet

29/09/2016
70
Présentation d’un annuaire AD
• Présentation du Schéma
• Présentation de la Configuration
• Présentation du domaine
• Présentation des données

29/09/2016
71
Démo : Comprendre la base : l’objet
• Dans cette démonstration, je vais vous présenter les objets d’un
annuaire Active Directory et vous montrer comment nous pouvons
manipuler les objets. L’objectif principal est de vous mettre en confiance
sur la gestion de vos annuaires.

29/09/2016
72
• Assimiler les fondamentaux d’un annuaire Active Directory
• Comprendre la nature d’un objet identité au sein d’un annuaire

29/09/2016
74
Plan
• Initiation au PowerShell
• Identification d’une requête LDAP
• Construction d’un script
• Démo : Débuter en scripting PowerShell Identité

29/09/2016
75
Initiation au PowerShell
• Présentation du PowerShell
Méthode
Propriétés
• Présentation des variables
• Présentation des verbes et des noms
• Les conditions
• Les boucles

29/09/2016
76
Identification d’une requête LDAP
• Syntaxe d’une requête LDAP
Le pipe |
Le &
Les filtres
• Exemple :
(|(&(ObjectClass=user)(sAmaccountName=test))(mail=monadresse@soci
ete.com))

29/09/2016
77
Construction d’un script
• Pour construire un script vous devez commencer par suivre pas à pas le
mode opératoire suivant :
Penser à ce que vous voulez faire
Ecrire l’algorithme de votre script
Penser à sortir tout ce qui peut être variable
Enumérer vos fonctions

29/09/2016
78
Démo : Débuter en scripting PowerShell Identité
• Dans cette démonstration, je vais vous présenter comment vous allez
pouvoir rédiger votre premier script de gestion d’identité. L’objectif est
de vous mettre en confiance dans la lecture et l’écriture d’un script.

29/09/2016
79
• Comprendre une requête LDAP
• Maitriser les notions du PowerShell
• Réaliser un script pour gérer des identités

29/09/2016
80
Emmanuel VINAZZA
Exportation et
importation d'objets

29/09/2016
81
Plan
• Présentation des outils d’import/export
• Présentation d’un script d’export
• Démo : Exporter un contenu sous forme d’un fichier csv

29/09/2016
82
Présentation des outils d’import/export
• Il existe plusieurs outils de gestion d’annuaire :
Apache Directory Studio
LDAP Administrator & Browser
PowerShell
LDIFDE

29/09/2016
83
Présentation d’un script d’export
• Exporter en PowerShell reste une solution simple et efficace
• LDIFDE offre des possibilités plus efficaces quand à la gestion du
schéma et de la configuration
• L’utilisation des deux outils permet de réaliser l’ensemble des tâches
d’administration liées à l’annuaire

29/09/2016
84
Démo : Exporter un contenu sous forme d’un fichier csv
• Dans cette démonstration, je vais vous présenter un export de données
depuis un annuaire Active Directory. Nous verrons comment via
PowerShell, nous pouvons exporter des données, les modifier ou les
supprimer. L’objectif principal est surtout que vous maitrisiez vos
imports/exports massifs d’objets.

29/09/2016
85
• Comprendre comment importer ou exporter des données
• Maitriser les outils de gestion d’objets

29/09/2016
86
Emmanuel VINAZZA
Modification et
suppression d'objets

29/09/2016
87
Plan
• Présentation des modifications d’objets
• Démo : Scripter les modifications massives d’objets

29/09/2016
88
Présentation des modifications d’objets
• Pour modifier un objet il faut commencer par savoir ce vous serez autoriser à
faire. Vous disposez de plusieurs outils tels que LDIFDE ou PowerShell tout
simplement
• La création, suppression ou changement d’objet se fait très simplement via
PowerShell et peuvent outrepasser l’ensemble des contrôles applicatifs
Exemple : vous avez tout le loisir de mettre à deux utilisateurs deux fois la même
adresse mail alors que si vous passiez par Exchange, cela vous serait refusé
• A retenir :
TOUS les changements doivent être logés
TOUS les changements doivent faire l’objet d’un retour arrière possible

29/09/2016
89
Démo : Scripter les modifications massives d’objets
• Dans cette démonstration, je vais vous présenter un script PowerShell
permettant de modifier en masse vos objets identité. L’objectif pour
vous étant de commencer à maitriser l’ensemble des notions liées aux
changements de vos objets au sein de vos annuaires via PowerShell.

29/09/2016
90
• Finaliser l’apprentissage du scripting PowerShell dédié aux
manipulations d’objets
• Maitriser l’ensemble des notions nécessaires à la gestion d’identité

29/09/2016
91
Emmanuel VINAZZA

29/09/2016
95
Emmanuel VINAZZA
Installation de MIM 2016
Préparation
de l'installation

29/09/2016
96
Plan
• Préparation des sources
• Identification des besoins
• Définition de l’architecture cible

29/09/2016
97
Présentation des sources
• Identification des sources MIM
• Choix des composants MIM
FIM Service incluant le portail et la base de données
FIM Synchronisation Service
FIM Certificat Management
FIM Reset des mots de passe utilisateurs

29/09/2016
98
Identification des besoins
• Préparation de votre environnement
Préparation des comptes de services
Préparation du serveur MIM
Préparation du serveur SQL

29/09/2016
99
Définition de l’architecture cible
• Choix de vos sources de synchronisation
Bases de données: Microsoft® SQL Server®, Oracle, IBM DB2 Universal Database
Active Directory : Domain Services, GAL Sync, Lightweight Directory Services (AD LDS)
Autres annuaires: IBM Directory Server, Lotus Notes, Novell eDirectory, Sun and
Netscape Directory Servers
Basés sur des fichiers: Attribute Value Pair (AVP), LDAP Directory Interchange Format
(LDIF), Directory Services Mark-up Language (DSML), Fichiers CSV, Tous les fichiers
avec séparateurs fixes
Autres: SAP R/3 (Microsoft), Extensible Connectivity FIM
• Définition de votre architecture de lab

29/09/2016
100
• Appréhender l’installation de MIM
• Assimiler les capacités du produit
• Préparer son environnement

29/09/2016
101
Emmanuel VINAZZA
Préparation du domaine

29/09/2016
102
Plan
•Les comptes de services
•Le serveur MIM
•Le serveur SQL

29/09/2016
103
Les comptes de services
• Pour créer vos comptes de services utilisez la puissance du PowerShell

29/09/2016
104
Le serveur MIM
• Pour préparer vos serveurs, oubliez vos repères en console graphique.
Conservons la puissance du PowerShell

29/09/2016
105
Le serveur SQL
• Enfin, préférez l’installation SQL en mode autonome

29/09/2016
107
Emmanuel VINAZZA
Préparation du serveur

29/09/2016
108
Plan
•Installation de SharePoint Foundation 2013
•Configuration de votre portail SharePoint

29/09/2016
109
Installation de SharePoint Foundation 2013
• Avant de déployer votre solution MIM Portail, vous devez installer
SharePoint Foundation
https://www.microsoft.com/fr-fr/download/details.aspx?id=35488
• Assurez vous que votre serveur soit connecté à Internet
• Téléchargez et installez l’ensemble des prérequis pour SharePoint
• Faites une installation telle que détaillée sur le lien TechNet
https://technet.microsoft.com/fr-fr/library/mt219039.aspx

29/09/2016
110
Configuration de votre portail SharePoint
• Pour finaliser la configuration de votre serveur SharePoint, préférez le
PowerShell :

29/09/2016
111
•Installer SharePoint Foundation 2013
•Configurer SharePoint pour MIM

29/09/2016
112
Emmanuel VINAZZA
Installation des
composants MIM

29/09/2016
117
• L’installation des composants principaux de MIM 2016
• La configuration d’un Management Agent
• La configuration d’un Run Profiles

29/09/2016
118
Emmanuel VINAZZA
Installation du service
PCNS

29/09/2016
119
Plan
•Présentation du service PCNS
•Déploiement du service PCNS

29/09/2016
120
Présentation du service PCNS
• Déploiement du service de notification de modification de mot de passe
MIM (PCNS) sur un contrôleur de domaine
• Le service PCNS (Password Change Notification Service) est un service
que vous installez sur les contrôleurs de domaine et qui autorise la
synchronisation des mots de passe par MIM avec d'autres systèmes, tels
que le serveur d'annuaire d'un autre fournisseur.
Pour la synchronisation des mots de passe, installez le service PCNS sur
chaque serveur contrôleur de domaine.

29/09/2016
121
Déploiement du service PCNS
• Pour installer le service PCNS, vous devez copier les sources
PCNS sur votre contrôleur de domaine puis assurez vous d’être
connecté en tant qu’administrateur du domaine puis suivez les
étapes suivantes :
• Préparez le schéma pour le service PCNS en copiant cette ligne
de commande dans un raccourci puis exécutez le raccourci
• Installer le service pour le service PCNS en réexécutant le fichier
msi mais cette fois ci sans option
• Redémarrez votre serveur
• Exécutez la configuration du service via l’exécutable C:Program
FilesMicrosoft Password Change Notification/pcnscfg.exe

29/09/2016
122
•La présentation du service PCNS
•Le déploiement du service PCNS

29/09/2016
123
Emmanuel VINAZZA
Installation de MIM
2016

29/09/2016
124
Plan
•Avant de commencer la démonstration
•Démo : Installer MIM 2016

29/09/2016
125
Avant de commencer la démonstration
• Cette démonstration ne traite pas la configuration de MIM que nous
verrons dans le module suivant
• La configuration de MIM impose que vous maitrisiez correctement les
notions techniques liées aux Management Agent, aux règles de
translation ainsi que les connexions aux environnements Active
Directory
• Soyez attentif à la démonstration suivante car nous allons voir un
nombre de points techniques importants et complexes mais nécessaires
pour la suite

29/09/2016
126
Démo : Installer MIM 2016
• Dans cette démonstration, je vais vous présenter l’installation complète
de la solution MIM 2016. L’objectif principal étant de vous présenter
l’installation purement technique et non la configuration.
• Cette démonstration va se dérouler selon les parties suivantes :
• P1 - Comptes de service SPN Kerberos
• P2 - Préparation du serveur MIM
• P3 - Préparation du serveur SQL
• P4 - Installation SharePoint Foundation
• P5 - Installation Synchronisation Service
• P6 - Installation Service et Portail
• P7 - Configuration de base MIM

29/09/2016
127
•Le déploiement de MIM

29/09/2016
129
Plan
• Identification des tâches post installation
• Définition des Best Practises MIM
• Démo : Exécution des tâches post installation

29/09/2016
130
Identification des tâches post installation
• Une fois MIM déployé, vous devrez réaliser un ensemble de tâches pour
optimiser votre solution
• Il s’agit principalement de mettre en place une configuration stable,
évolutive et pérenne.
• Vous trouverez sur le lien Technet suivant l’ensemble des tâches à
réaliser suite à votre installation de MIM 2016
https://technet.microsoft.com/en-us/library/hh322920(v=ws.10).aspx

29/09/2016
131
Définition des Best Practises MIM
• Les Best Practises MIM sont essentiellement basées sur trois critères :
La disponibilité
La performance
L’intégrité
• Parmi ces trois critères, aucun n’est plus prioritaire l’un par rapport à l’autre.
• Les points les plus importants portent sur la capacité I/O du serveur SQL et sur
les conseils quand à la virtualisation
• Le lien Technet qui vous sera utile à regarder et que nous verrons pendant la
démonstration
https://technet.microsoft.com/en-us/library/cc966534.aspx

29/09/2016
132
Démo : Exécution des tâches post installation
• Dans cette démonstration, je vais vous présenter l’ensemble des tâches
post installation à réaliser. L’objectif est que vous puissiez assurer une
mise en production fiable en prenant en charge les deux notions liées
au SLA, la disponibilité et la performance.

29/09/2016
133
•L’optimisation de la plateforme
•Le top 10 des Best Practices FIM

29/09/2016
134
Emmanuel VINAZZA
Désinstallation de MIM

29/09/2016
135
Plan
• Avant de commencer la désinstallation
• Démo : Désinstallation de MIM 2016

29/09/2016
136
Avant de commencer la désinstallation
• La désinstallation impose de vous assurer que l’ensemble de la solution
n’est plus utilisée :
Pensez à mesurer les impacts de la désinstallation
Pensez à supprimer les éléments restants
Référez vous au lien TechNet suivant
• https://technet.microsoft.com/en-us/library/jj200258(v=ws.10).aspx

29/09/2016
137
Démo : Désinstallation de MIM 2016
• Dans cette démonstration, je vais vous présenter la désinstallation de
MIM 2016. L’objectif principal est de vous mettre en confiance sur la
désinstallation de la solution et sur les impacts de votre opération

29/09/2016
138
•Comprendre les enjeux de la désinstallation
•Désinstaller MIM de votre environnement

29/09/2016
139
Emmanuel VINAZZA

29/09/2016
140
Les questions
• Vrai ou Faux : Vous pouvez déployer MIM sur un serveur non
membre d’un domaine ?
• Vrai ou Faux : Vous pouvez déployer MIM Synchronisation
Service sur un serveur virtuel ?
• Vrai ou Faux : La désinstallation de MIM peut corrompre votre
annuaire Active Directory ?
• Vrai ou Faux : Les trois critères des Best Practises sont la
disponibilité, la performance et la scalabilité ?
• Savez vous décrire les deux étapes pour installer le service
PCNS ?

29/09/2016
141
Les liens utiles
• Veuillez trouver principalement des liens Technet indispensables
Les Best Practises MIM
• https://technet.microsoft.com/en-us/library/ff608274(v=ws.10).aspx
Les tâches post installation
Unattended Installation

29/09/2016
142
• Une révision sur le process d’installation et de
désinstallation de MIM
• Des liens utiles à votre environnement de lab

29/09/2016
144
Plan
•Présentation détaillée de MIM
•Présentation des notions fondamentales
•Identification des points techniques à retenir

29/09/2016
145
Présentation détaillée de MIM
• MIM est un outil de synchronisation d’annuaire
• Pour comprendre MIM, vous devez comprendre les
concepts suivants que nous verrons en détails sur les
chapitres suivants :
MetaVerse ou MV
Management Agent ou MA
Connecteur Space ou CS
Attribute Flow
Provisionning

29/09/2016
146
Présentation des notions fondamentales
• Voici les trois catégories de synchronisation
Importation
Synchronisation
Exportation
• Ces flow PROJECTION, JOIN et IMPORT représentent la base
des différentes étapes pour créer et agréger les vues à
distribuer dans le MV

29/09/2016
147
Identification des points techniques à retenir
• Vous devez toujours garder à l’idée les points techniques
suivants :
MIM s’appuie sur une base de données SQL dans laquelle tous les
objets sont stockés
MIM traite lui-même l’ensemble des transactions sur les objets MV.
MIM ne peut pas avoir deux fois le même objet MV

29/09/2016
148
•Introduction au MetaVerse
•Introduction à MIM

29/09/2016
149
Emmanuel VINAZZA
Présentation
du MetaVerse
Configuration de MIM 2016

29/09/2016
150
Plan
•Introduction au MétaVerse ou MV
•Présentation technique du MV

29/09/2016
151
Introduction au MétaVerse ou MV
• Le MétaVerse (MV) est un ensemble de tables dans la base de données
SQL Server contenant les informations d'identité combinée/agrégée
pour une identité.
• Les Management Agent (MA) mettent à jour le MV à partir de plusieurs
sources de données connectées, puis utilisent les données dans le MV
pour mettre à jour et modifier les sources de données connectées.
• Le MV contient son propre schéma. Ce schéma définit les types d'objets
et attribut que le MV peut contenir

29/09/2016
152
Présentation technique du MV
CS 1
CS 4
CS 2
CS 3
MV
Source 1
Source 4 Source 3
Source 2
Export
Import
Sync

29/09/2016
153
•Comprendre la notion d’un MV
•Maitriser le concept du fonctionnement du MV

29/09/2016
154
Emmanuel VINAZZA
Présentation des
Management Agents

29/09/2016
155
Plan
•Introduction au Management Agent ou MA
•Présentation technique des MA

29/09/2016
156
Introduction au Management Agent ou MA
• Les Management Agent (MA) peuvent contenir plusieurs types de
règles.
• Ces règles déterminent comment traiter les objets et leurs attributs
lorsque le MA est exécuté.
• En utilisant le MA Designer, vous pouvez créer, modifier ces règles ou
en développant vous pouvez écrire une extension de règles.
• Chaque fois que vous exécutez un MA, MIM applique les règles de ce
MA aux objets

29/09/2016
157
Présentation technique des MA

29/09/2016
158
•Comprendre la notion d’un MA
•Maitriser le Workflow d’un MA

29/09/2016
159
Emmanuel VINAZZA
Présentation des
Synchronisation

29/09/2016
163
Schéma technique

29/09/2016
164
Liaison entre le MA et les workflow
• Connector Filter Rules : Quand vous lancez un MA en mode Import, le
[connector filter rules] est appliqué en premier sur l’objet. Ce filter
permet de determiner si le MA doit faire un join ou un project dans le
CS du MV
• Join rules : Il determine le lien entre le CS et un object existant dans le
MV
• Projection Rules : Contrairement au Join Rules, il permet de savoir s’il
doit ou pas créer un objet dans le MV
• Deprovisioning Rules : Il permet de supprimer les objets déconnectés
du MV. La déconnexion peut être manuelle, par un filtre ou si vous
supprimez un MA

29/09/2016
165
•Comprendre la synchronisation
•Maitriser les concepts des workflow

29/09/2016
166
Emmanuel VINAZZA
Présentation des
Run Profiles

29/09/2016
167
Plan
•Introduction aux Run Profiles
•Présentation technique des Run Profiles
•Automatiser un Run Profiles

29/09/2016
168
Introduction aux Run Profiles
• Les Run Profiles vont vous permettre d’ordonnancer l’ensemble de vos
cycles dans un ordre spécifique :
Vous devez tout d’abord comprendre les deux notions suivantes :
• Full : Tous les attributs des objets seront updatés
• Delta : Seuls les attributs modifiés seront updatés
• Vous devez toujours garder à l’esprit qu’il faut démarrer au démarrage
par des synchronisation Full puis toujours en Delta. Réservez les Full de
manière plus ponctuelle (Hebdomadaire ou plus selon votre
environnement)

29/09/2016
169
Présentation technique des Run Profiles
• Vous devrez toujours suivre l’ordre ci dessous :
Import : Vous importez l’ensemble des objets depuis la source vers le CS
Synchronisation : Vous synchronisez l’ensemble de vos objets entre vos CS
Export : Vous exportez l’ensemble de vos objets entre vos CS et votre cible
• Vous devrez également prendre en considération les contraintes entre
l’ensemble de vos MA et de vos sources connectées. En effet, vous aurez parfois
besoin de faire et refaire des Export/Import sur une seule source dans le cas de
vérification ou de calcul ne permettant pas de faire tout dans un seul step de
cycle
• Nous parlerons d’un Run profile, qui exécutent plusieurs MA et pour chaque MA
nous lancerons plusieurs Step de type import, export, synchronisation.

29/09/2016
170
Automatiser un Run Profiles
• Vous pouvez entièrement automatiser le déroulement d’un cycle.
Je vous rappelle qu’un cycle MIM contient plusieurs steps de plusieurs MA
• Cela passe par la configuration du MA via la console et au biais de script

29/09/2016
171
•Comprendre les Run Profiles
•Maitriser l’ordonnancement des Run Profiles

29/09/2016
172
Emmanuel VINAZZA
Déploiement des MA

29/09/2016
177
Emmanuel VINAZZA
Création des
Run Profiles

29/09/2016
178
Plan
•Démo : Configurer un Run Profiles

29/09/2016
179
• Cette démonstration ne traite pas la configuration des scripts .bat et
.ps1 que nous verrons dans la formation suivante MIM Avancée
• La création des Run Profiles impose que vous maitrisiez parfaitement les
notions d’import, d’export et de synchronisation ainsi que
l’ordonnancement des steps
• Soyez attentif à la démonstration suivante car nous allons voir un
nombre de points techniques importants et complexes mais nécessaires
pour la suite

29/09/2016
180
Démo : Configurer un Run Profiles
• Dans cette démonstration, je vais vous présenter la configuration
complète d’un Run Profiles. L’objectif principal étant de vous présenter
comment gérer l’ensemble de vos steps au sein d’un cycle et de mieux
maitriser les risques.

29/09/2016
181
•La configuration d’un Run Profiles

29/09/2016
182
Emmanuel VINAZZA
Analyse des cycles

29/09/2016
183
Plan
•Démo : Analyser les cycles

29/09/2016
184
• Cette démonstration ne traite pas la gestion des erreurs et l’analyse des
logs SQL de MIM que nous verrons dans la formation suivante MIM
Avancée
• Cette partie ne vous demande pas de maitrise particulière. Vous devez
simplement apprendre à gérer les cycles et les steps d’un cycle
• Nous passerons pas un Notepad++ pour la lecture des logs

29/09/2016
185
Démo : Analyse des cycles
• Dans cette démonstration, je vais vous présenter comment analyser les
résultats des cycles, et savoir lire les logs MIM

29/09/2016
186
•L’analyse des cycles MIM

29/09/2016
187
Emmanuel VINAZZA

29/09/2016
191
Emmanuel VINAZZA
Exploitation de MIM 2016
Les concepts de
la synchronisation

29/09/2016
192
Plan
• Introduction
• Définition du provisionnement
• Comment le mettre en œuvre
• Présentation du schéma technique
• Définition des règles de suppression
• Les règles de suppression
• La synchronisation des objets
• Les points à retenir

29/09/2016
193
Introduction
• Pour comprendre les notions du provisionnement des utilisateurs, vous
devez d’abord comprendre les notions de synchronisation Inbound et
Outbound
• Dans ce chapitre, nous allons voir comment mettre en place le
provisionning des utilisateurs afin d’aborder la synchronisation des
objets dans le chapitre suivant
• Ce chapitre va être le plus long de la formation car nous allons utiliser
tout ce que nous avons vu au cours des différents modules

29/09/2016
194
Définition du provisionnement
• Le provisionning est le process qui permet de créer, de connecter ou de
déconnecter un objet au sein d’un Connecteur Space.
• Ceci est réalisé sur les changements de l’objet au sein du MetaVerse
• Les actions du provisionning sont :
Création d’un nouveau connecteur space pour un objet et la première
configuration de ses valeurs
Déconnexion des objets via le connecteur space de la MetaVerse
Renommage et déplacement des objets existants au sein d’un connecteur
space

29/09/2016
195
Comment le mettre en œuvre
• Pour implémenter le provisionning vous devez commencer par créer et
activer des règles d’extension (Rules Extension)
• Lorsque vous activez une règle de provisionning, cette règle affectera
tous les objets dans le MetaVerse
• Les méthodes utilisées par le provisionning sont :
Un attribut a été ajouté, modifié ou supprimé via les règles
Un CS a réalisé un Join ou une Projection sur un objet dans le MV
Un CS a été connecté à un Joiner
Un CS a été déconnecté de la MV et l’objet MV a été supprimé

29/09/2016
196
Présentation du schéma technique
• Ce schéma vous explique le
processus de provisionning
d’objets
• Vous devez toujours garder à
l’esprit ce schéma car il fait partie
des bases indispensables à retenir
pour cette formation

29/09/2016
197
Définition des règles de suppression
• Via MIM, vous allez provisionnez
des objets mais vous allez aussi
supprimer des objets
• Le MV détermine le moment où il
doit supprimer un objet
• Un objet en MV peut avoir
plusieurs CS. Lorsque vous
déconnectez un objet sur un CS,
les règles de suppression
déterminent l’action à réaliser

29/09/2016
198
Les règles de suppression
• Pour configurer une règle de suppression, vous devrez passer par le
Metaverse Designer. Vous pouvez
Supprimer l’objet en MV quand le dernier CS a été déconnecté. C’est le
paramètre par défaut
Supprimer l’objet en MV quand un CS spécifique est déconnecté dans un MA
Supprimer l’objet selon des règles d’extension. La règle d’extension a
seulement un droit d’accès en lecture sur le CS qui est supprimé et à l’objet
lié dans le MV. La règle déterminera si l’objet doit être supprimé ou pas

29/09/2016
199
La synchronisation des objets
• La synchronisation est l’étape qui permet de synchroniser vos objets
entre les CS et vos sources connectées
• Le principe de la synchronisation est d’assurer la cohérence entre votre
objet en MV, les CS et les valeurs
• Vous pourrez jouer sur des synchronisation en Delta ou en Full. Le
mode Full doit être utilisé de manière ponctuelle et maitrisée.

29/09/2016
200
Les points à retenir
• La synchronisation de manière générale c’est :
De l’agrégation de données d’identités; en combinant l’ensemble des
informations provenant de plusieurs sources, en présentant une vue globale
de toutes ces valeurs, en fournissant une plateforme basée sur un système
d’ID unique et en décidant qui a autorité pour changer un attribut
De la synchronisation d’identité; en exécutant un ensemble de flux d’attributs
entre plusieurs sources connectées, en établissant des règles de translation et
d’autorité
Du changement imposé de valeur; en poussant une valeur unique pour
toutes les sources connectées, en maitrisant les changement (autorisé,
bloqué ou restauré)

29/09/2016
201
•Le provisionnement des objets
•La mise en œuvre
•Le fonctionnement des synchronisations

29/09/2016
202
Emmanuel VINAZZA
Présentation de
la console MIM

29/09/2016
203
Plan
•Introduction
•Démo : Présentation de la console MIM

29/09/2016
204
Introduction
• Avant de commencer, sachez que la démonstration qui va suivre a pour
but de présenter la console pour laquelle nous allons revoir l’ensemble
des termes et notions techniques abordées au cours des chapitres
précédents
• Cette démonstration est très importante dans la mesure où cette
console deviendra votre meilleure amie mais surtout parce que vous
n’avez que cette console et peu d’options

29/09/2016
205
Démo : Présentation de la console MIM
• Dans cette démonstration, nous allons éclaircir l’ensemble des points
techniques de cette formation. L’objectif est principalement est de
transformer ce que vous avez vu en acquis. Nous ne manipulerons pas
d’objet dans cette séquence.

29/09/2016
206
•La présentation de la console MIM

29/09/2016
207
Emmanuel VINAZZA
Sauvegarde et
Restauration de MIM

29/09/2016
14
Tableau des serveurs du lab
• Le lab de la formation
• Le nom DNS du domaine AD 1 sera alphorm.local
• Le nom DNS du domaine AD 2 sera domaine.corp
• Le nom NetBIOS du domaine AD 1 sera ALPHORM
• Le nom NetBIOS du domaine AD 2 sera DOMAINE
• L’adressage IP sera 10.10.40.0/24
• Le firewall sera un Forefront TMG 2010 FR SP2
NOM VM NOM SERVEUR SUFFIXE DNS IP LAN IP WAN
DISQUE C
Go
RAM OS
fr_2008R2_All_TMG tmg1 alphorm.local 10.10.40.254 DHCP 40 3 GB Windows 2008 R2 Enterprise FR
fr_alph_dc1 alph-dc1 alphorm.local 10.10.40.5 40 3 GB Windows 2012 DataCenter FR
fr_alph_dc2 alph-dc2 domaine.corp 10.10.40.10 40 3 GB Windows 2012 DataCenter FR
fr_alph_mim1 alph-mim1 alphorm.local 10.10.40.11 40 3 GB Windows 2012 DataCenter FR
fr_alph_sql1 alph-sql1 alphorm.local 10.10.40.12 40 3 GB Windows 2012 DataCenter FR
fr_alph_wks1 alph-wks1 alphorm.local 10.10.40.100 40 3 GB Windows 8 Entreprise FR

29/09/2016
212
Emmanuel VINAZZA
Provision et
Synchronisation

29/09/2016
213
Plan
•Introduction
•Démo : Provision et Synchronisation

29/09/2016
214
Introduction
• Pour cette dernière démonstration, nous allons avoir besoin de
maitriser toutes les notions techniques de MIM
• Vous allez devoir réviser si nécessaire certains chapitres où les notions
techniques ont été évoquées
• Vous allez comprendre pourquoi il était important d’avoir bien assimilé
les notions théoriques des chapitres précédents

29/09/2016
215
Démo: Provision et Synchronisation
• Dans cette dernière démonstration, il est temps de voir MIM
fonctionner en mode normal. L’objectif étant de valider que vous avez
compris les fondamentaux du produit et que vous êtes aptes à passer à
la formation suivante MIM Avancée

29/09/2016
216
•La synchronisation et le provisionning d’objet

29/09/2016
217
Emmanuel VINAZZA

29/09/2016
218
Les questions
• Vrai ou Faux : Vous pouvez exporter la clé de cryptage via
la console Service Manager ?
• Vrai ou Faux : La restauration de la base de données MIM
peut se faire sur un autre serveur SQL que le serveur
nominal ?
• Vrai ou Faux : La suppression des objets est automatique
lorsque l’objet est déconnecté de la MV ?
• Vrai ou Faux : Vous ne pouvez pas avoir un objet en MV
connecté à plusieurs CS pour une même source de
données ?

29/09/2016
219
Les liens utiles
• Veuillez trouver principalement des liens Technet indispensables
Le module PowerShell Technet
• http://social.technet.microsoft.com/wiki/contents/articles/32347.fim2010-
fim-service-powershell-module.aspx
Le module PowerShell CodePlex
• https://fim.codeplex.com/
Le How To pour synchroniser
• https://technet.microsoft.com/en-us/library/ff686264(v=ws.10).aspx

29/09/2016
220
• Une révision sur le fonctionnement de MIM
• Des liens utiles à votre environnement de lab

29/09/2016
221
Emmanuel VINAZZA
Conclusion
Implémentation du MIM 2016
(Microsoft Identity Manager)

29/09/2016
222
Entre nous
• Point sur la formation
• A venir pour la suite MIM Avancée
• Votre feedback sur cette formation
• Mon objectif
• Mon retour d’expérience

29/09/2016
223
THE ENDThe image part with relationship ID rId3 was not found in the file.

Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Implémentation

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Implémentation

Similaire à Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Implémentation (20)

Plus de Alphorm

Plus de Alphorm (20)

Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Implémentation