MIIS-ILM-FIM Password Synchronization: PCNS Wiki

  Comme vous le savez certainement, le module Microsoft PCNS est un moyen d’intercepter la nouvelle valeur du mot de passe d’un utilisateur lorsque celui-ci modifie son mot de passe – la nouvelle valeur est interceptée dans la mémoire vive du contrôleur de domaine réalisant le changement de mot de passe. Comme cette valeur n’est pas encore « cryptée » dans la base de donnée Active Directory (opération généralement non réversible), il est alors possible de pousser ce nouveau mot de passe vers des cibles techniques afin de maintenir une valeur unifiée de ce mot de passe dans différents systèmes. Par exemple, on veut pouvoir maintenir le même mot de passe utilisateur entre Active Directory et un annuaire OpenLDAP.

Cette opération ne fonctionne que dans le sens AD -> « Autre Chose », car le module PCNS est installé sur les Contrôleurs de domaine Active Directory et ne sait intercepter la nouvelle valeur du mot de passe qu’à ce niveau ci.

Ce module est généralement utiliser avec FIM afin de permettre une « synchronisation » de mot de passe entre différents référentiels d’identités ( ce n’est pas à proprement parler une synchronisation, mais bon restons simple ) – moins connu, il est tout à fait possible d’utiliser ce module PCNS avec vos propres scripts ou même une application que vous auriez vous même développée, l’utilisation de MIIS, ILM ou FIM n’est donc pas une obligation.

Bonne idée de la part de Microsoft, une page Wiki a été créée sur le Technet afin de lister l’ensemble des liens techniques importants à connaitre pour le bon paramétrage de ce module parfois obscure pour le débutant. Je vous invite à commencer par cette page pour tester ou re-découvrir ce module. C’est [ ICI ]

Quelques mots de Frédéric Esnouf pendant les Techdays 2012…

  Les Microsoft Techdays 2012 sont aussi l’occasion de croiser quelques personnes de référence côté Microsoft France. Frédéric est Architecte sur la partie IAM (FIM & AD RMS principalement) chez Microsoft France.

Vous retrouverez son interview sur le site de ITPro.

Vous retrouverez un article évoquant la gestion des environnements Cloud avec FIM sur le site de ITPro.

Vous retrouverez des informations techniques autour de FIM et d’AD RMS sur son blog.

Ca sent le sapin chez Omada…

La nouvelle est tombée le 23 septembre dernier: Microsoft a racheté « certains actifs » de la société BHOLD.

Pour ceux qui ne connaissent pas BHOLD, cette société, est, pour faire simple, un concurrent direct d’Omada sur la partie RBAC (Role Based Access Control) pour l’environnement FIM 2010. Rappelons que FIM 2010 n’est pas « équipé nativement » pour faire du RABC, donc dans les cas clients qui désirent cette fonction, 4 choix possibles:

1/ développement spécifique

2/ acheter la fonction RBAC chez Omada

3/ acheter la fonction RBAC chez BHOLD

4/ revenir sur sa décision après avoir calculer le ROI des trois premiers choix 😉

En achetant les sources de la fonction RBAC chez BHOLD, Microsoft démontre clairement son désir d’intégrer cette fonction de façon  native au sein de FIM – il est certainement trop tard pour l’intégrer dans la prochaine version FIM 2010 R2, mais vraisemblablement dans la V. Next suivante à R2.

Il est clair qu’une telle acquisition compromet disons fortement l’avenir de l’éditeur Danois Omada- en effet – après une telle annonce, et même si la fonction intégrée dans FIM parait lointaine, quelle société voudra investir dans une technologie vouée à disparaitre ? De plus, le site Pathway laisse planer un doute malicieux sur les fonctions précises et sur le planning à venir, laissant sous-entendre que le produit RBAC serait peut-être disponible à court terme, en tant que module supplémentaire, pour la version actuelle ou R2 de FIM 2010… « More information will be disclosed at a future date« … je vous laisse apprécier…

Bref, cette acquisition est une excellente nouvelle pour les clients utilisant FIM 2010, une excellente nouvelle pour la position de Microsoft vis à vis des concurrents IAM (IBM, Oracle, Novell), une excellente nouvelle pour la pérennité de l’offre FIM et de la société BHOLD, mais une très mauvaise surprise pour le « Identity and Security Partner of the Year 2011« …

Pour en savoir plus, se rendre [ ici ]

J’espère de nombreux commentaires de la part des consultants FIM 😉

 

 

Microsoft annonce la sortie de FIM 2010 R2 Beta

Microsoft vient d’annoncer la mise à disposition de la version Beta de FIM 2010 R2.

Pour rappel, au rayon des nouveautés:

• Gestion des mots de passe en self service via une interface web complète ( ne nécessite plus que le PC fasse parti du domaine AD pour utiliser la fonction de gestion de mot de passe)
• Amélioration des fonction de rapports et d’historique via une intégration à System Center Service Manager
• Amélioration des performances globales et mise à disposition d’outils de diagnostics
• Support de Microsoft Outlook 2010 et de Microsoft SharePoint Foundation 2010

L’inscription au programme Beta est possible via le site Microsoft Connect

metaconomy: reporting pour FIM2010 en mode SaaS

Un nouvel éditeur, nommé metaconomy vient de sortir une solution de reporting pour FIM 2010. Ce système basé sur une technologie Azure permet d’utiliser un module externalisé pour générer des rapports dédiés à l’utilisation de FIM 2010. je n’ai pas testé par moi-même le service, mais l’idée est intéressante.

Reste à savoir si cette plate-forme ne va pas être quelque peu obsolète lorsque le Service Pack 1 pour FIM 2010 va sortir. En effet, celui-ci va inclure des améliorations significatives en ce qui concerne la gestion des logs et du reporting.

Je suis très intéressé par des retours des personnes qui testeront la solution de metaconomy. vous pouvez également utiliser les commentaires de ce blog.

Présentation FIM 2010 des Techdays 2011

fred_esnouf Frédéric Esnouf, Tech Specialist IAM chez Microsoft France a réussi la performance de présenter FIM 2010 en 1 heure condensée. Si vous vous posez des questions sur FIM 2010 et sur les scénarios d’utilisation, je vous invite a regarder ce webcast enregistré directement pendant les Techdays 2011.


Get Microsoft Silverlight


A regarder et à diffuser sans limitation 😉

OCG propose un livre blanc pour évaluer le ROI d’un projet IAM

whitepaper Si vous ne connaissez pas encore Oxford Computer Group (OCG), OCG est une société anglaise spécialisée dans les problématiques IAM en général, et sur MIIS-ILM-FIM en particulier. En effet, OCG est le partenaire privilégié de Microsoft UK pour les projets FIM 2010 outre-manche. OCG possède une très forte expertise des sujets IAM, et met en ligne un livre blanc permettant d’évaluer les retours sur investissements des projets IAM. Il ne s’agit pas là d’avoir une matrice Excel complète mais plutôt de lister quels sont les objectifs à courts et moyens termes, et surtout évaluer quels peuvent être les bénéfices pour le business à mettre en œuvre ce type de projet. Même si ce livre blanc est en anglais, il présente une approche plutôt pragmatique de la problématique IAM. A télécharger [ ICI ]

Formation en ligne pour FIM 2010

rampupfim2010 Microsoft a mis en ligne un ensemble d’outils et de documents afin de permettre un apprentissage en douceur de FIM 2010. Ce cours introduit et explique les fonctions et les capacités de FIM 2010 et fournit un ensemble de scénarios reliés au solutions couvertes par FIM 2010 dans le cadre des organisations. Le « ramp up » « implementing Forefront Identity Manager 2010 » est accessible [ ici ]

Evènement autour de FIM 2010

OCG-logo OCG organise conjointement avec Microsoft, les 22 & 23 septembre prochains un évènement européen autour de FIM 2010.  Cet  » OCG European Identity and Access Summit 2010  » prendra place à Reading, UK. Ne résistant pas aux sirènes marketing du « cloud », le thème de cet annné sera « Identity and Security on Premise and in the Cloud ».

Point important, des membres de l’équipe produit Microsoft Corp seront présents et disponibles pour répondre aux questions. L’agenda semble de qualité, et est accessible ici: http://www.oxfordcomputergroup.com/iasuk/agenda-and-speakers

Chose assez rare, l’évènement est gratuit et entièrement sponsorisé, les inscriptions sont ici: http://www.oxfordcomputergroup.com/iasuk/iasuk-register



Un livre sur les bonnes practiques autour de FIM

ilm_best_pratices David Lundell, MVP reconnu sur Forefront Identity Manager vient de publier un livre sur les bonnes pratiques de mise en œuvre de FIM 2010.

Ce livre est l’actualisation d’un précédent ouvrage portant sur ILM.

Au programme:

CHAPTER 1: What is Identity Management ?
CHAPTER 2: Forefront Identity Manager 2010
CHAPTER 3: FIM Architecture
CHAPTER 4: FIM Installation Topologies
CHAPTER 5: Sizing Your FIM Installation
CHAPTER 6: Installing the Prerequisites
CHAPTER 7: Installing FIM
CHAPTER 8: Updating the FIM Components
CHAPTER 9: Post Install Tasks

Pour acheter ce livre: [ Le site de LuLu ]

Microsoft Forefront Identity Manager 2010 disponible en RTM

FIM2010_logoMicrosoft a annoncé il y a peu la mise à disposition en RTM de FIM 2010 ( enfin !!! ) –  Il est possible de télécharger une version d’évaluation sur le site de Microsoft. Après les annonces en cascade autour de Geneva, le rachat de Sentillion et les accords autour de l’interopérabilité, il était extrêmement important pour Microsoft de lancer la version définitive de sa solution de gestion des identités. L’attitude des « ex »-partenaires IAM de Microsoft qui sont maintenant des concurrents directs va être très intéressante à observer…

Réunion de la CADIM (Communauté Active Directory & Identity Management) le 17 mars 2010 dans les locaux de Microsoft France

cadim_logo

La prochaine réunion de la CADIM aura lieu le 17 Mars 2010  dans les nouveaux locaux de Microsoft France, à Issy-les-Moulineaux – Cette prochaine réunion sera l’occasion d’évoquer les nouveautés produit de chez Microsoft sur les annuaires et la gestion des identités:

  • FIM 2010  – les nouveautés sur le portail utilisateurs et le système de Workflow
  • Utilisation de Kerberos en tant que système de Single Sign On (SSP) à l’ensemble des systèmes et des applications
  • Couplage de la gestion des accès physique (accès aux bâtiments) et logique (gestion de l’ouverture de session Windows) via la solution HID on the Desktop

Comme d’habitude, les démonstrations et l’interaction entre les personnes présentes seront privilégiées. Venez découvrir des éléments techniques que vous ne verrez QUE dans le cadre de la communauté  CADIM !

***   DEBUT DE LA REUNION A 14H – VOUS POUVEZ VOUS INSCRIRE A CETTE REUNION DU 17 MARS 2010   ***

[ INSCRIPTION ICI ]

FIM 2010 RC1 est disponible !!!

FIM2010_logoMicrosoft annonce la disponibilité de la RC1 de FIM 2010 (Forefront Identity Manager 2010). Cette nouvelle release propose des changements majeurs en terme fonctionel. La RC1 est disponible en téléchargement ICI. Voici les nouveautés par rapport à la RC0 d’ILM:

  • Nouveau nom : ILM  « 2 » devient FIM 2010 (pour Forefront Identity manager)
  • Améliorations sur la gestion

    • Management Policy Rules (MPR)
      • MPR Explorer permet de trouver rapidement les MPRs suivant différents critères
      • Désactivation possible des MPRs
    • Plus d’événements logués dans l’Event Viewer
    • Management Pack SCOM
  • Sur le déploiement
    • Configuration Migration Tools , ensemble de commandes Powershell pour faciliter le transfert de configuration entre environnements de test vers production, par exemple
    • A partir de cette RC1 les patches seront délivrés par Windows Update
  • Sur les Usages
    • Nouveau portail
    • Personnalisation de tous les emails
    • XP SP2 supporté pour le scénario de « Password Reset »
    • Mise à jours des MAs pour la partie synchronisation
    • Support des langues suivantes, Chinois (Simplifié & Traditionnel), Hollandais, Anglais, Français, Allemand, Italien, Japonais, Portugais, EspagnolSur la partie « Certificate Management »
  • Sur la partie « Certificate Management »:  API et documentation pour le support d’ACs tierces
  • Quelques correctifs

Il n’y a plus qu’à tester !!!

Vidéo: Gestion du cycle de vie des Tokens OTP depuis Forefront Identity Manager 2010

gemalto_dualdotnet Gérer le cycle des identités en prenant en compte les modules OTP, tel est le challenge de cette vidéo qui démontre comment intégrer le provisioning des modules OTP Gemalto, et comment les associer à un utilisateur physique depuis un processus Forefront Identity Manager 2010.

Depuis une dizaine d’années de nombreuses organisations ont investi dans les technologies « One Time Password » (OTP) afin de sécuriser les accès VPN ou les accès à des applications sensibles telles que Outlook Web Access par exemple. Mais la création du Token OTP et son association avec l’utilisateur physique nécessitait généralement une intégration complexe dans le système de gestion des identités de l’entreprise ou une procédure manuelle couteuse et génératrice d’erreurs. L’association de FIM 2010 et des solutions Gemalto Protiva semble pouvoir couvrir ce problème récurrent.

ILM est mort…Vive FIM !!!

fim2010 Exit ILM V2, c’est sous le nom de Forefront Identity Manager 2010 (FIM 2010) que Microsoft lancera très prochainement (Q1 2010 ?) la nouvelle mouture de sa suite de gestion des identités et des accès.

Ce changement de nom retranscrit il un virage « sécuritaire » de la vision de Microsoft sur le segment de la gestion des identités ? Ce qui est certain, c’est que la sortie de FIM 2010 coïncide avec un besoin croissant de la part des entreprises à gérer de façon efficace le cycle de vie des utilisateurs ainsi que les habilitations de chaque utilisateur au sein des processus métier: L’intégration de FIM avec .NET et WS-* permettra de réaliser des portails web utilisateurs et des workflow d’approbation de façon extrêmement simple pour la plupart des administrateurs et des gestionnaires de « provisioning »dans l’ensemble des organisations.