Aplicação do Update 2 do FIM2010

Olá a todos!!!
Se você, assim como eu, alterou o site do portal do FIM2010 de HTTP para HTTPS é possível que você tenha dificuldades de instalar o Update 2 do FIM2010.
Um pop-up de erro dizendo que não foi possível localizar os serviços do FIM2010 em HTTP aparecerá e a instalação não será concluída.
Esse erro se dá devido aos “Alternate Mappings” do Sharepoint. O update procura o portal em HTTP porém o portal está respondendo em HTTPS.
Para corrigir este “problema” basta adicionar o endereço do seu portal (com HTTP) nos “Alternate Mappings” do Sharepoint Administrator.
Após a aplicação do update 2 você poderá remover a entrada de HTTP, deixando seu portal funcionando somente com HTTPS.
Até breve!

Update 2 do FIM2010RC1

Olá a todos!!!
A Microsoft liberou, através do Windows Update, o Update 2 para o FIM2010 RC1.
A atualização engloba as versões disponibilizadas previamente do produto, conforme tabela abaixo:

Versão do Produto	Build do Produto
Forefront Identity Manager 2010 RC1	4.0.2560.0
Forefront Identity Manager 2010 RC1 Update 1	4.0.2570.0

Para informações mais detalhadas sobre esse update, um documento de “release notes” está disponível no site da Microsoft: FIM2010_RC1_Update2_relnotes.rtf (RTF 600Kb aproximadamente)
As atualizações disponiveis no Update 2 englogam correções e melhorias nos seguintes componentes do FIM2010:

• Sets
• Setup
• Codeless Provisioning
• Portal user interface
• Synchronization engine
• Self-service Password Reset
• Management Policy Rules
• Schema
• Workflow

Para download dos pacotes do Update 2 do FIM2010 visite o site do Windows Catalog ou habilite seu servidor para fazer atualizações através do Windows Update
Até Breve!

Algumas Terminologias referentes ao Forefront Identity Manager 2010

Olá a todos… Neste post irei mostrar algumas das novas terminologias que são utilizadas no FIM2010. Essas terminologias devem ser bem entendidas para não haver confusões na hora de entender o funcionamento nesta versão, uma vez que em versões anteriores, como o ILM 2007, elas não existiam.

Synchronization Rule (SR)

São regras que definem o fluxo de informações entre o FIM2010 e os sistemas externos conectados (Active Directoty, Open LDAP, SQL, SAP, etc). São 3 tipos de Synchronization Rules:

• 
  
  Inbound
  São regras que importam informações dos sistemas externos para o FIM2010.
• 
  
  Outbound
  São regras que exportam informações do FIM2010 para os sistemas externos.
• 
  
  Inbound and Outbound
  São regras que importam e exportam informações entre o FIM2010 e os sistemas externos.

Set

Conjunto de recursos (Users, Groups, Objects, workflows ) ao qual se dá um nome. Set´s são usados geralmente para organizar estes recursos baseados em critérios definidos para filtrá-los e definir critérios de aplicação de Policies. Ao criar um Set podemos definir seus membros de duas maneiras:

• 
  
  Criteria-based Members
  Seleciona os membros de um Set através de um filtro personalizado onde as regras deste filtro são montadas baseadas em critérios definidos pelo administrador.
• 
  
  Manually-managed Members
  Define uma lista de recursos inseridos manualmente dentro de um Set

Workflow (WF)

É um conjunto de “atividades” que devem ser executadas seguindo um fluxo, de acordo com regras de procedimentos.
Os Workflows fornecem uma maneira de descrever a ordem e as relações de dependência entre estas atividades e o fluxo é seguido do início ao fim. No FIM2010 temos 3 tipos de workflows:

• 
  
  Authentication Workflow
  Usado para validar a identidade do recurso que está fazendo uma requisição antes de executá-la.
• 
  
  Authorization Workflow
  Usado para obter uma aprovação antes que a requisição solicitada seja executada.
• 
  
  Action Workflow
  Conjuntos de atividades que devem ser executadas, em sequencia.

Um bom exemplo de aplicação de dos 3 tipos de workflows é a criação de um usuário no FIM2010: o Authentication Workflow verifica o ID do recurso que está solicitando a criação do usuário; o Authorization Workflow verifica se, depois de autenticado, o recurso está autorizado a executar a criação do usuário; o Action Workflow se encarregará de executar os passos nessesários para que ocorra a criação do usuário no FIM2010.

Management Policy Rules (MPR)

As MPR´s fornecem um mecanismo de regulamentação para a execução de workflows ou para dar permissões a recursos dentro do FIM2010.
A forma de trabalho de uma MPR pode ser resumida baseada em: quem está fazendo uma solicitação, o que o alvo desta solicitação é antes da execução e o que o alvo será após a execução da solicitação (baseado nas ações definidas na MPR). Se estes “critérios” forem satisfatórios então a MPR dará permissão a quem está requsitando a solicitação de executá-la ou disparará os workflows definidos na MPR.

Resource Control Display Configuration (RCDC)

São configurações que servem para customizar como o Portal FIM mostra os recursos e suas propriedades. Um RCDC pode incluir a personalização de títulos, descrições, layouts de tela e quais atributos são exibidos e como serão exibidos no portal. O FIM2010 possui vários RCDC pré-configurados, os quais podem ser customizados através da edição de seus arquivos XML de origem.

Estas foram as explicações resumidas de algumas das terminologias inseridas no FIM2010. futuramente irei detalhar cada uma destas terminologias com exemplos melhores.

Até a proxima!

Terminologias

Para entender o funcionamento de sistemas de gestão de identidade é preciso primeiro entender os “termos” usados por esses sistemas.

vamos ver alguns deles:

Identidade (Identity)

An Identity is the summary of information about a person, group or resource (computer, printer etc.) or any “thing” about which you wish store data. This data is typically contained in different, and often incompatible, directories and databases throughout an organization.

IDM

An IdM (Identity management System) is an application (or service) that co-ordinates information held in different data sources throughout an organization. In most organizations, this information is typically scattered in different directories, databases, and other data repositories throughout the Information Technology (IT) infrastructure. It is usually heavily redundant; it is likely to be inconsistent, giving rise to conflicts; it will generally be frustrating and expensive to administer; and it may the cause of security holes.

An IdM system enables you to manage identity information by controlling the flow of identity information between directories.

Metadirectory

A metadirectory collects information from different data sources throughout an organization and then combines all or part of that information into an integrated, unified view. This unified view presents all of the information about an object, such as a person or network resource, that is contained throughout the organization. An IdM system may have a metadirectory at its heart, and MIIS 2003 is such a system

Connected Data Source

A Connected Data Source (CD) is a data source – a directory, database, or other data repository that contains identity data to be integrated within MIIS. CDs can be enterprise directories, NOS directories, databases, or data in flat files, such as LDIF, DSML or delimited text.

Management Agent

A Management Agent (MA) manages the data associated with a specific Connected Data Source (CD). The MA not only connects to the CD, but is responsible for managing the flow of data (inbound and outbound). There is at least one management agent for each CD.

Metaverse

The Metaverse (MV) is a set of tables within MIIS 2003 that contain the integrated identity information from multiple connected sources. All identity information about a specific person or object, which is stored in multiple connected sources, is synthesized into a single entry in the MV.

Connector Space

The Connector Space (CS) is a storage area, and a staging area. It stores the holograms (states) that are used to decide whether information in a CD has changed, or needs to be changed. It is also where changes are staged on their way into or out of MIIS. Each CD has its own logical area in the Connector Space, which is managed by its corresponding MA. The CS is essentially a mirror of the related connected data source, with each object in the connected data source having a corresponding entry in the connector space. The connector space does not contain the Connected Data Source object itself, but a subset of the object’s attributes, as defined by the MA.

Joins e Projections

When a CS object is connected to a corresponding entry in the MV – that is called Joining. If an entry in the Connector Space should be represented in the Metaverse, but no corresponding entry in the Metaverse can be found by the Join process, a new Metaverse object may be created for this entry (according to how the MA is configured). The creation of a new MV object is known as Projection, and following projection, the CS entry will stay connected to the new MV object.

Attribute Flow

Once connections are made (CD to CS to MV, and back again), Attribute Flow can take place according to defined Attribute Flow Rules

Provisioning e Deprovisioning

It is possible to define object flow rules in MIIS 2003 which imply that the presence of an entry in one Connected Data Source requires the presence of a corresponding entry in another CD. For example, the existence of an entry in a Human Resources system (representing an employee) might require the existence of an Active Directory account for this employee. In order to enforce this rule, MIIS 2003 may be configured to create and remove entries in (for example) the Active Directory – the creation of entries is Provisioning and the removal of entries is Deprovisioning.

Essas e muitas outras terminologias devem ser entendidas para que “confusãoes” não aconteção na hora de usá-las!!!
Até Mais!

Run Profiles

Olá novamente!!!

Vamos falar sobre Run Profiles…

Run Profiles definem ações para serem executadas em um Management Agent (MA). Essas ações podem incluir importar e exportar dados das fontes conectadas (AD, SAP, SQL, etc.) e sincronizá-las com o METAVERSE.

Cada MA requer pelo menos um “Run Profile” que é composto de pelo menos uma etapa que podem ser do tipo:

Import

Solicita os dados das fontes conectadas. Temos 2 tipos de Imports: o Full e o Delta.

Full Import (Stage only)

Menos eficiente que o Delta Import pois lê a base “source” completa a cada execução.

Delta Import (Stage only)

Importa somente objetos “novos” ou que tiveram alguma alteração de valor baseados em um mecanismo de atualização da base “source”. Por exemplo, no caso do AD o FIM usa o USN do objeto. É necessário que se verifique se sua fonde de dados possue algum mecanismo de atualização de objeto antes de usar um import do tipo delta.

Synchronization

Define o fulxo de sincronismo, seja entrada, saída ou ambos. Assim como o Import, temos também Full e Delta Synchronizations.

Full Synchronization

O MA processa todos os objetos no Conector Space e então os sincroniza de acordo com as regras de critérios existentes.

Delta Synchronization

O MA processa somente os objetos que foram colocados em seu Conector Space que tiveram alguma alteração ou são novos. Esses objetos então serão sincronizados de acordo com as regras de critérios existentes.

Export

Exporta as informações do METAVERSE para as bases “Source”

É possível montar Run Profiles a partir da combinação das etapas citadas. Com um Profile de Import e Synchronization é possível “ganhar tempo” na forma de como as informações serão tratadas!

Até a proxima!

Disponível: Forefront Identity Manager 2010 RC1 Update 1 e VHD de demonstração (para Hyper-V) !

Uma atualização para o Forefront Identity Manager 2010 RC1 está disponível no site do Connect. Essa atualização inclui 8 arquivos, sendo 2 atualizações para o Server e 6 atualizações para os Clientes (32bits, 64bits e language packs).

Está também disponível uma imagem VHD com uma versão de demonstração do Microsoft FIM2010RC1. Tudo que você precisa para testar a integração com o Active Directory, Exchange 2007 e Outlook 2007 vem instalado.
Faça o download desta imagem diretamente do site da Microsoft, mas seja rápido porque todos os softwares instalados na imagem são de avaliação e expirarão em março de 2010.

Download FIM2010RC1 e Forefront Identity Manager 2010 site.

Informações Importantes!!!!

Abaixo, alguns links relacionados ao FIM2010 e também seus antecessores. Todos os links abaixo levam a sites com conteúdo  em inglês.

FIM2010

• Site Oficial do FIM2010
• Download do FIM 2010 RC1 (~8GB compactado)
• Understanding FIM 2010 White Paper (Docx Word 2007)
• FIM2010_datasheet.pdf (Arquivo Pdf)

Technet Library

• Documentation Roadmap (Html)
• Release Notes (Html)
• FIM2010RC1 Installation Guide
• FIM2010RC1 Developer Reference (SDK)

ILM 2007

• Getting Started Collection (10 Docs Winword)
• ILM 2007 Design Concepts (6 Docs Winword)
• ILM 2007 Technical Overview (demo)
• CLM Getting Started

MIIS 2003

• Technical Library

Webcast e Podcast:

• TechNet Webcast: Microsoft Identity Lifecycle Manager "2" (ILM "2") for IT Professionals (Level 300)
• TechNet Webcast: Identity Lifecycle Manager "2" (Part 1 of 3): Empowering Users with Self-Service Identity Management Solutions (Level 200)
• TechNet Webcast: Identity Lifecycle Manager "2" (Part 2 of 3): Expressing and Enforcing Business Policy (Level 300)
• TechNet Webcast: Identity Lifecycle Manager "2" (Part 3 of 3): Extensibility and Provisioning with Forefront Identity Manager (Formally ILM “2”) (Level 300)
• Introduction to ILM “2” Beta 3 Webcast
• How MSIT is Using ILM “2” Podcast

Pré-requsitos para a instalação do FIM2010RC1

Bem-vindos novamente.

Neste Post trataremos dos pré-requisitos para a instalação do FIM2010RC1 (Synchronization Engine, FIM Portal e Password Portal) e . O FIM2010 permite que todos os seus componentes sejam instalados em um unico servidor bem como permite uma instalação em que cada componente seja instalado em servidores diferentes e ainda permite que seja feita instalação de um mesmo componente em vários servidores afim de prover um “balanceamento de carga”.

Até a versão Beta 3 do FIM2010 era possível a instalação em servidores com arquitetura 32bits. A partir do RC0, somente a arquitetura 64bits é suportada. Os requisitos de hardware são os mesmo para os componentes “Server-side”.

Hardware	Servidor	Cliente
Processador	64Bits	32bits ou 64bits
HD	2 GB	500 MB
Memória RAM	2 GB	512 MB (1GB é recomendado)

Cada um dos componentes do FIM2010 Server tem requisitos específicos de software.
FIM 2010 Synchronization Service
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
SQL Server 2008 64-bit Standard ou Enterprise Editions, Cumulative Update 2 (CU2) ou posterior;
     Database Engine Services

Microsoft .NET 3.5 SP1 Framework;

Caso você programe "Rules Extensions";
     Visual Studio 2008

Caso você vá provisionar Caixa Postal no Exchange Server 2007;
     Windows PowerShell 1.0;
     Exchange 2007 SP1 Management Console

FIM 2010 Service
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
SQL Server 2008 64-bit Standard ou Enterprise Editions, Cumulative Update 2 (CU2) ou posterior;
     Database Engine Services
           Full-Text Search
           Certifique-se que o serviço SQL Agent esteja sendo executado
SQL Server 2008 Client Tools Connectivity;
     Caso o banco de dados esteja instalado em outro servidor
Web Server (Internet Information Services) com os seguintes componentes:
    •Common HTTP Features
        •Static Content
        •Default Document
        •HTTP Errors
    •Application Development
        •ASP.NET
        •.NET Extensibility
        •ISAPI Extensions
    •Health and Diagnostics
        •HTTP Logging
        •Request Monitor
        •Tracing
    •Security
        •Windows Authentication
        •Request Filtering
    •Performance
        •Static Content Compression
    •IIS 6 Management Compatibility
        •IIS 6 WMI Compatibility
        •IIS 6 Metabase Compatibility
    •Microsoft .NET 3.0 Features
Microsoft .NET 3.5 SP1 Framework;

FIM Portal and Password Portal
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
Web Server (Internet Information Services) com os seguintes componentes:
    •Common HTTP Features
        •Static Content
        •Default Document
        •HTTP Errors
    •Application Development
        •ASP.NET
        •.NET Extensibility
        •ISAPI Extensions
    •Health and Diagnostics
        •HTTP Logging
        •Request Monitor
        •Tracing
    •Security
        •Windows Authentication
        •Request Filtering
    •Performance
        •Static Content Compression
    •IIS 6 Management Compatibility
        •IIS 6 WMI Compatibility
        •IIS 6 Metabase Compatibility
    •Microsoft .NET 3.0 Features
Microsoft .NET 3.5 SP1 Framework; (download)
Windows SharePoint Services 3.0 SP1 em inglês. (Download)

FIM Add-ins e Extensions Components
Windows XP Professional SP2 or later, 32bit or Windows Vista Enterprise SP1 or later, 32 or 64bit;
Windows Installer 3.1 or later; (download)
Microsoft .NET 3.5 SP1 Framework; (download)
Para usar o FIM Office add-in (botões de aprovação, controle de grupos, etc)

Microsoft Office Outlook 2007 SP1
Microsoft Forms 2.0 .NET Programmability Support
Smart Tag .NET Programmability Support
.Net Programmability Support for Microsoft Office Outlook

Configurações adicionais
Após os pré-requsitos cumpridos, vamos ver o que precisamos de configuração adicional no ambiente onde o FIM2010 será instalado:

Uma conta de serviço com email habilitado para o FIM Service Component;

Esta conta cuidará dos serviço FIM Service e também de processar notificações e aprovações através de email.

Uma conta de serviço para o FIM Synchronization Service;

Uma conta para o FIM Management Agent

Em uma instalação distribuida dos componentes, é necessário:

Configurar adequadamente o Firewall para permitir acesso ao SQL

Se componente Fim Service estiver instalado em um servidor que não tem o FIM Service SQL server database, o DTC deve estar devidamente configurado e as regras de firewall para o DTC devem estar habilitadas. Enable Network Access Securely for MS DTC Configure Transaction Services for Network Clients Enable Firewall Exceptions for MS DTC

Até a próxima!

Forefront Identity Manager 2010

Olá!!! Este é o primeiro post do Blog. Vamos aproveitar e falar um pouco do FIM2010.

Microsoft Forefront Identity Manager 2010

Definido como uma evolução do ILM 2007 (Identity Lifecycle Manager), o Forefront Identity Manager 2010 provê ao usuário final a capacidade de executar tarefas através de seus “Self-Services”. Mas não é somente para os usuários finais que o FIM2010 tem novidades, administradores de TI podem contar com ferramentas para auxiliar nas tarefas do dia-a-dia, como por exemplo a criação de workflows para ajudar no gerenciamento de recursos. Com o Microsoft Visual Studio é possível desenvolver soluções customizadas e extensíveis devido sua a base de desenvolvimento do FIM2010: .NET e WS-* Foundation.

O FIM2010 possui uma interface de usuário intuitiva (em WSS) que permite que os arquitetos de sistemas, administradores de TI e usuários finais trabalhem com regras para usuários e grupos usando formulários pré configurados.

O Gerenciamento visual de workflow baseado no Windows Workflow Foundation, permite rapidamente definir, automatizar e aplicar políticas de gestão de identidade.

Algumas caracteristicas

Dá Poder ao Usuário Final:

Ferramentas de Self-Service baseados em Office e Windows;

Console Web para gestão de Identidades (Sharepoint Based);

Mais produtividade no trabalho diário;

Notificações e aprovações integrados ao E-mail (MS Exchange 2007 + Outlook 2007);

Aumenta a agilidade e eficiência:

Redução de custos através de automação e Self-Service;

Maximiza investimentos na infra-estrutura de identidade existente;

Integra com ferramentas de desenvolvimento conhecidas;

Otimização das equipes de help-desk;

Aumenta a segurança e configmidade:

Integra gestão de identidade, credenciais e acessos;

Implementa um modelo avançado de permissionamento e delegação;

Permite a auditoria de sistemas e conformidades;

Sincronização de identidade heterogênea e consistente

Oferece integração com vários sistemas operacionais de rede, e-mail, banco de dados, serviços de diretório e aplicações. O FIM2010 suporta conectores para o Active Directory, Novell, Sun, IBM, Lotus Notes, Microsoft Exchange Server, Oracle, Microsoft SQL Server ™, SAP e outros.

Gerenciamento de Credenciais integrado com provisionamento.

Com o FIM2010 os administradores de TI são capazes de definirem políticas que gerem o processo de provisionamento de contas de usuário e credenciais. Isto significa que um Workflow pode ser configurado para automaticamente fazer o provisionamento de uma conta de usuário, definir a sua senha inicial, e até iniciar o processo de emissão certificados digitais para Smart Cards.

Self-service de gerenciamento de perfil de usuário

É possível para os usuários gerenciarem suas próprias informações de identidade (Telefone, Ramal, etc.). A área de TI pode usar o FIM2010 para definir as políticas com workflows, solicitando aprovação a gestores ou gerando notificações para estas alterações feitas pelos usuários.

Self-service com ferramentas avançadas de gerenciamento de grupo

Fornece Self-service de gerenciamento de lista de distribuição e grupos de segurança através do portal FIM2010. A integração com o Outlook permite que os usuários possam gerenciar sua adesão a grupos. Com os botões de aprovar e rejeitar a funcionalidade fornecida no Outlook para aprovar ou rejeitar pedidos de adesão, tornando possível para os usuários a gerenciar a associação de grupos sem que seja necessária a ajuda da organização de TI. Para gestores a integração com o Outlook permite aprovar/rejeitar ações executadas por workflows envolvendo seus subordinados (ex.: desabilitação de contas).

Gerenciamento de Recursos

Policy Management

• 
  
  Console baseado em SharePoint para criação, execução e auditoria de Policies
• 
  
  Extensible WS-* APIs e workflows baseados no Windows Workflow Foundation
• 
  
  Sincronização de identidade heterogêneos & consistência

Credential Management

• 
  
  Suporte de gerenciamento de certificados heterogêneos com  CA´s terceiras
• 
  
  Gerenciamento de vários tipos de credencial
• 
  
  Self-service de reset de senha integrado com o login do Windows, bem como a o Password portal (web)

User Management

• 
  
  Provisionamento integrado de  identidades, credenciais e recursos
• 
  
  provisionamento automatizado de usuários: codeless provisioning e deprovisioning
• 
  
  Self-service para gerenciamento de perfil de usuário

Group Management

• 
  
  Ferramentas de gerenciamento de grupo de auto-atendimento baseados em aplicativos Office (MS Outlook 2007 SP1)
• 
  
  Aprovações off-line por meio de Outlook 2007
• 
  
  Gerenciamento de grupos de segurança e de listas de distribuição baseado em atributos dos usuários.

Com o Forefront IdentityManagement 2010 as empresas tem como reduzir custos.

Em breve, mais informações!!!