Microsoft Identity Manager (anciennement FIM – Forefront Identity Manager) est la solution de Microsoft qui permet (notamment) d’effectuer des synchronisations d’Active Directory. Cette solution est composée de plusieurs produits distincts et notamment un portail web ainsi que le moteur de synchronisation.
Je vous propose dans cet article de voir comment installer le moteur de synchronisation. C’est ce dernier qui se connecte à vos différentes sources d’informations qu’elles soient Active Directory, applicative, GAL (ou autres) afin d’opérer des analyses, synchronisations ou créations d’objets dans l’AD.
Pour chaque type de source, on créera alors un Management Agent (MA) spécifique à la source qu’il doit gérer. Vous trouverez ci-dessous la liste des sources que MIM est capable de gérer. Dans mon cas, j’ai besoin de gérer plusieurs Active Directory, effectuer des analyses précises puis créer des objets correspondant dans un nouvel AD (…).
Etape 0 – Prérequis
Avant d’aller plus loin, assurez-vous que vous disposez bien d’un serveur SQL qui vous permettra d’accueillir la base de données spécifique à MIM (je suis parti sur un SQL Server 2012 avec le dernier SP3 et les derniers correctifs disponibles à date).
Je vous recommande également d’installer également Microsoft .NET 4.6 sur le serveur sur lequel vous avez prévu d’installer MIM.
Vous aurez également besoin d’un compte de service qui opérera le module de synchronisation de MIM. Disons par exemple svc_mim (libre à vous d’adapter le nom en fonction de vos conventions de nommage).
Pour ce même compte de service, connectez-vous sur la VM/serveur MIM et configurez les Local Security Policy (Local Policies > User Rights Assignment) de manière à Deny les actions suivantes pour le compte de service MIM :
- Deny log on as a batch job
- Deny log on locally
- Deny access to this computer from the network
Vous devrez ensuite pré-créer les groupes AD suivants (sinon il seront créés localement sur le serveur MIM au moment de l’installation) :
- MIMSyncAdmins
- MIMSyncOperators
- MIMSyncJoiners
- MIMSyncBrowse
- MIMSyncPasswordSet
Pensez au passage, à mettre votre compte personnel dans le groupe (à minima) MIMSyncAdmins afin que vous puissiez plus tard ouvrir la console MIM.
Je n’aborde pas la configuration spécifique éventuelle à réaliser sur le SQL Server à vous de voir pour les plans de maintenance ou encore l’allocation RAM/CPU si vous travaillez sur une VM. Nous pouvons donc passer à l’installation du service MIM.
Etape 1 – Installation de MIM Synchronization Service
Insérez maintenant l’ISO MIM et procédez à l’installation comme décrit ci-dessous. Sélectionnez Install Synchronization Service.
Dans le cas présent, j’ai mutualisé cette même machine virtuelle pour accueillir à la fois mon instance SQL Server et MIM. Si ce n’est pas votre cas, adaptez cette partie en sélectionnant Remote Machine et éventuellement le nom de votre instance SQL (si vous n’avez pas laissé le nom par défaut MSSQLSERVER).
Spécifiez maintenant le compte de service que vous avez précédemment créé ainsi que le mot de passe et le NetBios name de votre nom de domaine. Puis cliquez sur Next.
Spécifiez également les différents groupes AD que nous avons créé en prérequis.
Tout est prêt, il ne vous reste plus qu’à cliquer sur Install pour démarrer l’installation.
Si vous avez la fenêtre ci-dessus avec un Warning 25051, c’est que vous n’avez pas configuré correctement votre compte de service notamment les 3 actions de Deny qu’il faut mettre en place dans les Local Security Policy (je vous renvoi à l’Etape 0 – Prérequis pour reprendre cette partie). Sinon, vous ne devriez pas voir ce message.
Il ne vous reste plus qu’à sauvegarder votre encryption key quelque part sur le serveur (et archivé également ailleurs) en cas de problème.
Cliquez sur Finish, l’installation est terminée.
Bien que non demandé, je vous recommande un petit redémarrage après ça et vous devriez alors pouvoir ouvrir la console qui gère les Management Agent MIM en cliquant sur Synchronization Service Manager depuis le menu Démarrer.
Bien entendu, pour l’instant, nous n’avons qu’installer le module de synchronisation MIM. Il vous faut maintenant créer et configurer vos Management Agent pour qu’ils se connectent à vos différentes sources et éventuellement mettre en place les Rules Extension (en C#) qui vont définir vos actions d’import, de synchronisation et d’export (avec ou sans provisioning Exchange). Nous y reviendrons dans un prochain article.
