quarta-feira, 20 de outubro de 2010

Usando Object Types customizáveis na Ferramenta de Sincronização do FIM2010 (FIM Synchronization Engine)

Olá… Despois de um tempo ausente, “vou retornando” aos poucos!!!

Esse post de hoje saiu meio que na necessidade… Você já reparou que no Metaverse existem vários tipos de objetos e que você pode criar os seus… Então! Tenho um Object Type chamado perfil_acesso criado no Metaverse e também criado no Schema do FIM.

image

Quando fui alterar o meu Management Agent do FIM para importar as informações desse perfil_acesso, este meu Object Type não estava listado para ser selecionado nos Object Types disponíveis.

image

COMO RESOLVER ISSO???

A solução para ter seus Object Types customizados listados no Management Agent do FIM é bem simples.

No Portal, em Administration, clique no link All Resources e localize o recurso Synchronization Filter clique na guia Extended Attributes e no campo Synchronize ObjectTypeDescription adicione o seu Object Type.

image

Volte para o FIM Synchronization Engine, de um “Refresh Schema”. A partir deste momento seu objecto customizado aparecerá na lista de object Types disponíveis para sincronização.

image

Após marcá-lo você terá que selecionar os atributos referentes ao seu objeto em Select Attributes, mapeá-lo em Configure Object Type Mappings para o objeto correspondente no Metaverse para então configurar os Attribute Flows. Um item importante e mandatório é que seu Object Type customizado tem que ter um atributo chamado csObjectID do tipo String (Indexable). Este atributo já existe na lista de atributos bastando apenas ter que selecioná-lo para que seja adicionado ao seu objeto customizável!

Ah… Gostaria de agradecer ao amigo de trabalho, Lucas Marques, pela ajuda para resolver este problema que, como disse antes, foi necessário para que as atividades do dia de hoje podessem chegar ao FIM.

Até Breve!!! (Espero!!!)

terça-feira, 7 de setembro de 2010

O TechEd Brasil 2010 está aí!!!

Olá a todos…

Após 20 dias off de férias, voltei!!!

Estou passando aqui para lembrar que na semana que vem acontecerá o maior evento técnico brasileiro voltado para profissionais de TI e Desenvolvedores que utilizam a tecnologia Microsoft em seu dia a dia!!!

Além das 193 sessões técnicas no eventro você poderá conhecer o que há de mais novo em termos de produtos e serviços com a tecnologia Microsoft.

Para os apaixonados por jogos, no TechEd Brasil 2010 poderá conhecer o Kinect para Xbox360…

Veja baixo o vídeo de demonstração Kinect!!!

Vejo vocês lá!!!

Um abraço!!!

terça-feira, 3 de agosto de 2010

Forefront Identity Manager 2010 (FIM 2010) SDK Documenation

Olá a todos,

foram atualizados os arquivos do SDK referentes ao Forefront Identity Manager 2010.

No site da Microsoft você pode fazer o download dos seguintes arquivos:

  • ForefrontIdentityManager2010SDK_FIMCertMgmt.chm
  • ForefrontIdentityManager2010SDK_FIMService.chm
  • ForefrontIdentityManager2010SDK_FIMSyncService.chm

Este é o Link onde os arquivos estão disponíveis!

Até Mais!!!

terça-feira, 20 de julho de 2010

TechEd Brasil 2010

Olá a todos…

Este ano fui convidado a ser palestrante no TechEd Brasil 2010. Dividirei com um amigo, o Flávio de Medeiros, a apresentação sobre Gerenciamento de Identidades Usando o Microsoft Forefront Identity Manager 2010.

Mais informações, consulte a lista de palestras disponível no site do TechEd Brasil 2010.

Abraços!!!

quarta-feira, 14 de julho de 2010

Idiomas disponíveis na família Forefront

Olá…

A lista abaixo trás um resumo a respeito dos idiomas disponíveis dos produtos da família Forefront.

A maioria dos produtos estão disponíveis nos seguintes idiomas:

  Forefront Client Security Server Protection Exchange SharePoint OCS Online Protection for Exchange TMG 2010 FIM2010
Chines Simpl.

Sim

Sim

Sim

Sim

Sim

Chines Trad.

Sim

Sim

Sim

Sim

Sim

Holandês

Não

Não

Sim

Sim

Sim

Inglês

Sim

Sim

Sim

Sim

Sim

Francês

Sim

Sim

Sim

Sim

Sim

Alemão

Sim

Sim

Sim

Sim

Sim

Italiano

Sim

Sim

Sim

Sim

Sim

Japonês

Sim

Sim

Sim

Sim

Sim

Coreano

Sim

Sim

Sim

Sim

Não

Portugues Brasil

Não

Sim

Sim

Sim

Não

Portugues Portugal

Não

Não

Sim

Sim

Sim

Russo

Não

Sim

Sim

Sim

Não

Espanhol

Sim

Sim

Sim

Sim

Sim

O WebClient do Forefront Universal Access Gateway (UAG) está disponível em inglês e mais 10 outros idiomas.

Para o Forefront Identity Manager (FIM) Password Reset e os Add-ins para Outlook temos disponíveis 33 idiomas:

Bulgarian (Bulgaria) Chinese (Simplified) Chinese (Traditional) Croatian (Croatia) Czech (Czech Republic) Danish (Denmark)
Dutch (Netherlands) Estonian (Estonia) Finish (Finland)
French (France) German (Germany) Greek (Greece) Hindi (India) Hungarian (Hungary) Italian (Italy) Japanese (Japan) Korean (Korea) Latvian (Latvia) Lithuanian (Lithuania) Norwegian (Bokmal)
Polish (Poland) Portuguese (Brazil) Portuguese (Portugal) 
Romanian (Romania) Russian (Russia) Serbian (Latin)
Slovak (Slovakia) Slovenian (Slovenia) Spanish (Spain)
Swedish (Sweden) Thai (Thailand) Turkish (Turkey)
krainian (Ukraine)

Abraços!!!

quarta-feira, 30 de junho de 2010

FIM Visio Stencil and PPTX sample

Olá a todos…

Estou disponibilizando os arquivos de Stencil do FIM para Visio e um PPTX de exemplo.

Estes arquivos estão em uma pasta compartilhada em meu Skydrive acessível através do link abaixo:

http://cid-b638dc5602e9aa9b.skydrive.live.com/redir.aspx?resid=B638DC5602E9AA9B!4777&Bpub=SDX.Docs&Bsrc=GetSharingLink

Até a próxima!!!

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Hi Everybody!!!

I´m sharing the FIM Visio Stencil files. The files are in a shared folder in my Skydrive. You can reach the files folowing the link below:

http://cid-b638dc5602e9aa9b.skydrive.live.com/redir.aspx?resid=B638DC5602E9AA9B!4777&Bpub=SDX.Docs&Bsrc=GetSharingLink

Cheers!!!

terça-feira, 22 de junho de 2010

Listando usuários que se registraram para uso do Reset de Senha

Olá…

Para usar o Self-Service de reset de senha, os usuários devem se registrar (concluir o questionãrio de perguntas e respostas).

Para descobrir quem se registrou, você pode usar a pesquisa avançada de usuários no portal, ou utilizar um script para fazer isso.

Neste post mostrarei como fazer a pesquisa pelo portal e em breve publicarei o script, em PowerShell, para exportar a lista dos usuários que se registraram para utilizar o Reset de Senha.

Passos:

  1. No Portal, clique em Users.
  2. Clique em seguida no link “Advanced Search”
  3. Clique em “Add Statement” e selecione “AuthN Workflow Registered”
  4. Select “contains” e clique em “<click to select value>”
  5. Na caixa de pesquisa, digite “Password Reset AuthN Workflow”,  selecione “All Workflows” e execute a pesquisa.
  6. Selecione o workflow “Password Reset AuthN Workflow” nos resultados e então clique em “OK”

Após executar os passos acima, sua busca avançada ficará como mostrado na imagem abaixo.

image

Clique no botão “Search” e os usuários que se registraram para uso do SSPR (Self-Service Password Reset) serão listados.

Até Breve!!!

segunda-feira, 10 de maio de 2010

Lista de Subordinados

Olá!!!

Neste post um script em PowerShell que fiz recentemente. Este script retorna na console do Powershell as pessoas que estão subordinadas a um gestor, e as pessolas indiretamente subordinadas a este mesmo gestor.

Para usá-lo basta chamar o script passando como parameto o DisplayName da pesssoa (gestor):

PS C:\Users\Administrator\Desktop> .\ListManager.ps1 ‘Dunga’

image

imageimage

No exemplo mostrado acima, dois usuários, Julio Cesar e Robinho se reportam para Dunga e outros dois usuários, José e João se reportam a Julio Cesar e Robinho respectivamente.

$credential = Get-Credential

set-variable -name URI -value "http://localhost:5725/resourcemanagementservice' " -option constant

clear
If
($args.count -ne 1)
   {
      Throw "Digite o DisplayName do gestor!"
   }

$ManagerName = $args[0]
$Filter = "/Person[DisplayName='$ManagerName']"


If(@(Get-PSSnapin | Where-Object {$_.Name -eq "FIMAutomation"} ).count -eq 0)
   {
      Add-PSSnapin FIMAutomation
   }

$curObject = export-fimconfig -uri $URI -credential $credential –onlyBaseResources -customconfig ($Filter) -ErrorVariable Err -ErrorAction SilentlyContinue

If($Err)
   {
      Throw $Err
   }

If($curObject -eq $null)
   {
      Throw "Nome não encontrado!"
   }

$attrObjectID = (($curObject.ResourceManagementObject.ResourceManagementAttributes | Where-Object {$_.AttributeName -eq "ObjectID"}).Value).split(":")[2]

$Filter_Manager = "/Person[Manager = '$attrObjectID']"

[array]$curObject_Direct = export-fimconfig -uri $URI -credential $credential –onlyBaseResources -customconfig ($Filter_Manager) -ErrorVariable Err -ErrorAction SilentlyContinue

write-host "Estas pessoas reportam diretamente a $ManagerName"

$arrayIndireto = @()

foreach($DirectReport in $curObject_Direct)
{
   write-host " +" ($DirectReport.ResourceManagementObject.ResourceManagementAttributes | Where-Object {$_.AttributeName -eq "DisplayName"}).Value
   $Direct = (($DirectReport.ResourceManagementObject.ResourceManagementAttributes | Where-Object {$_.AttributeName -eq "ObjectID"}).Value).split(":")[2]
   $Filter_Direct = "/Person[Manager = '$Direct']"
   [array]$curObject_Indirect = export-fimconfig -uri $URI -credential $credential –onlyBaseResources -customconfig ($Filter_Direct) -ErrorVariable Err -ErrorAction SilentlyContinue

   foreach($InDirectReport in $curObject_Indirect)
   {
      $Indireto = ($InDirectReport.ResourceManagementObject.ResourceManagementAttributes | Where-Object {$_.AttributeName -eq "DisplayName"}).Value
      if($Indireto.Length -gt 1)
      {
         $arrayIndireto += $Indireto
      }
   }
}
write-host ""
write-host "Estas pessoas reportam indiretamente a $ManagerName"
foreach($IndirectReport in $arrayIndireto)
   {
      write-host " --" $IndirectReport
   }
write-host ""
write-host ""

Trap
{
   Throw $_.Exception.Message
   Exit 1
}

Até Breve!!!

quarta-feira, 28 de abril de 2010

Update Disponível !!!

Olá a todos…

Desde o dia 26/04/2010 está disponível através do Windows Update uma atualização para o Forefront Identity Manager 2010.

os arquivos estão disponíveis também através do Windows Catalog no link http://catalog.update.microsoft.com/v7/site/Search.aspx?q=Forefront%20Identity%20Manager

Forefront Identity Manager 2010 PCNS Update (KB978864)
Forefront Identity Manager 2010 Certificate Management Client Update (KB978864)
Forefront Identity Manager 2010 Certificate Management Update (KB978864)
Forefront Identity Manager 2010 Certificate Management Bulk Client Update (KB978864)
Forefront Identity Manager 2010 Synchronization Service Update (KB978864)
Forefront Identity Manager 2010 Service and Portal Update (KB978864)
Forefront Identity Manager 2010 Service and Portal Language Pack Update (KB978864)
Forefront Identity Manager 2010 Add-ins and Extensions Update (KB978864)
Forefront Identity Manager 2010 Add-ins and Extensions Language Pack Update (KB978864)

Até Mais!!

quinta-feira, 15 de abril de 2010

Trabalhando com o atributo accountExpires do Active Directory

No FIM2010, o formato padrão de data/hora é yyyy-MM-ddTHH:mm:ss.fff. Este é um formato ISO8601 com três dígitos de precisão fracional.

O atributo accountExpires no Active Directory é um atributo do tipo Integer8, um número de 64-bit representando data/hora (em UTC) como o número de intervalos de 100-nanosecondos desde 01/01/1601 12:00 AM.

Para trabalhar com o atributo accountExpires, seja importando ou exportando ele no FIM2010, você precisará desenvolver uma “Rule Extension” para usar no seu Active Directory Managente Agent.

Abaixo alguns exemplos de como fazer isso utilizando a linguagem C#. Trabalharemos com o accountExpires (AD) e EmployeeEndDate (FIM2010):

accountExpires –> EmployeeEndDate

if (csentry["accountExpires"].IsPresent)
{
  
DateTime dtFileTimeUTC = DateTime.FromFileTimeUtc(csentry["accountExpires"].IntegerValue);
   mventry[
"employeeEndDate"].Value = dtFileTimeUTC.ToUniversalTime().ToString("yyyy'-'MM'-'dd'T'HH':'mm':'ss'.000'");
}
   

accountExpires <- EmployeeEndDate

if (mventry["employeeEndDate"].IsPresent)
{

   FormatProvider
culture = new CultureInfo("en-US", true);
   DateTime
EndDate;
   EndDate =
DateTime.Parse(mventry["employeeEndDate"
].ToString(), culture);
   csentry[
"accountExpires"].Value = EndDate.ToFileTimeUtc().ToString();
}

Marcar uma conta que está sendo provisionada para expirar daqui a 180 dias

csentry["accountExpires"].Value = DateTime.Now.AddDays(180).ToFileTimeUtc().ToString();

Até Breve!

quarta-feira, 3 de março de 2010

Vídeo demo de funcionalidades FIM2010 !!!

Olá.

Um colega meu da Microsoft, que trabalha diretamente com o FIM2010 passou um link para um vídeo sobre o FIM2010.

O vídeo está disponível para download no Skydrive  e trás demonstração das seguintes informações:

  • Provisionamento automático de um novo colaborador da área de Vendas no AD a partir de um arquivo texto;
  • Notificação via e-mail para o gerente do colaborador com nome da conta e uma senha randômica para login no AD;
  • Processo de cadastramento dos desafios para auto-serviço de reset de senha pelo novo colaborador;
  • Atualização de dados do perfil pelo colaborador através do Portal de Gestão de Identidade, com aprovação da modificação via Outlook 2007 pelo gerente do colaborador;
  • Execução do reset de senha pelo novo colaborador diretamente na tela de logon do Windows;
  • Inclusão automática do colaborador em um grupo de segurança, para acesso a um File Share específico da área de Vendas;

O vídeo tem 46,2Mb e a narração está em português!

Até mais!

Link: http://cid-9a907e9861071fb7.skydrive.live.com/browse.aspx/Video%20Forefront%20Identity%20Manager%202010?authkey=fIrOMRAaE10%24

FIM2010 RTM

Olá pessoal!!!!
Foi disponibilizado ontem, 02/03/2010, o RTM do FIM2010
O Download da versão de avaliação está disponível no site da Microsoft através do Link http://technet.microsoft.com/en-us/evalcenter/cc872861.aspx.
Para fazer o download é preciso se registrar. Além do FIM2010 (Forefront Identity Manager EVAL.exe) estão disponíveis também os seguintes arquivos:
FIM_RTM_Relnotes_2-25-10.docx
Forefront Identity Manager Group Policy Templates.exe
Forefront Identity Manager Language Packs.exe
O download total dos arquivos disponíveis varia de 37 KB - 176.5 MB (dependendo do que você escolher)
É isso aí!!! aproveitem!!!
Até a próxima!

quinta-feira, 25 de fevereiro de 2010

Concatenando Valores

Para montar um valor a partir de outros valores utilize o botão “Concatenate Value” na sua página de “Flow Definition” quando estiver montando uma Synchronization Rule.

concatenate

O “Concatenate Value” pode ser usado para montar expressões utilizando também de funções embarcadas no FIM2010 como:

ProperCase: Esta função converte o primeiro caracter de cada palavra em uma frase para maiúsculo:
Exemplo: ProperCase("TESTE dE PRopercASe") = "Teste De Propercase"

concatenate2

Até Breve!

quarta-feira, 17 de fevereiro de 2010

userAccountControl: BitAnd e BitOr

userAccountControl é um atributo do tipo inteiro.

Se você quiser usá-lo apenas para habilitar ou desabilitar uma conta, você pode utilizar estas funções: BitAnd e BitOr.

  • BITAND = A função BitAnd muda um bit especifico em um valor para 0.

  • BITOR = A função BitOr muda um bit especifico em um valor para 1.

userAccountControl armazena outras informações sobre o status de uma conta tais como se a senha tem que ser alterada no próximo logon, se uma conta nunca expira.

Por exemplo: uma conta normal tem o valor 512 (1000000000 em binario) e uma conta desabilitada tem o valor 514 (1000000010).

Com as funções BitAnd e BitOr, nós podemos setar o segundo bit do campo userAccountControl conforme precisamos.

Uso da função BitAnd em uma Synchronization Rule

bitAnd

Uso da função BitOr em uma Synchronization Rule

bitOr

Até a próxima!!!

quarta-feira, 3 de fevereiro de 2010

Quick Tips!!!

Olá!

Você sabe o que é um SPN?

Resumidamente, podemos definir o mapeamento SPN ou Service Principal Name como a forma de associar um serviço em um servidor específico com a conta de serviço responsável por este serviço, permitindo assim a autenticação Kerberos (mutual Kerberos Authentication). Para utilizar a autenticação Kerberos mútua, a camada de segurança do Windows deve ser capaz de determinar a conta que um serviço que está usando.

No FIM2010 para habilitar a autenticação Kerberos nós devemos estabelecer os mapeamentos SPN no domínio.

Ao estabelecer o mapeamento SPN da conta de serviço do FIM2010 com o servidor onde o FIM2010 Service está instalado fará com que o tráfego de informações seja feita de modo seguro e isso também é pré-requisito para que estações clientes se comuniquem com o FIMService.

Para Estabelecer mapeamentos SPN usamos os seguintes comandos com este cenário:

Servidor FIMService e Portal instalado: FABRIKAMFIM2010
Conta de serviço: FIMService
Dimínio: FABRIKAM

setspn –A FIMService/FABRIKAMFIM2010 FABRIKAM\FIMService
setspn –A HTTP/FABRIKAMFIM2010 FABRIKAM\FIMService

Além dos comandos acima, temos que fazer alguns ajustes na conta de computador na qual o FIM2010 está instalado:

  • Na guia Delegations da conta de computador marque “Trust this computer for delegation to specified services only”, marque “Use Kerberos only” e clique no botão “Add

ComputerAccount1

  • Selecione a conta de serviço do FIM2010. Os dois SPN´s deverão aparecer. Clique no botão “OK”.

ComputerAccount2

  • Clique no botão “OK” para confirmar.

ComputerAccount3 

Para mais detalhes sobre SPN no FIM2010 veja na documentação oficial a parte “Establish Service Principal Names (SPN) for FIM 2010

Até breve!

sexta-feira, 29 de janeiro de 2010

FIM2010 RC1 Update 3

Olá!
Está disponivel no site do Connect o Update 3 do FIM2010.
Ao contrário do Update 2, esta atualização está disponível para download através do FTM (File Transfer Manager). Este Update foi disponibilizado como um “full instalation” entretanto, você não precisa repetir os passo dos pré-requisitos ao fazer a atualização do Update 2 para o update 3. A atualização para o Update 3 de um servidor em uso que tenha o Update 2 aplicado poderá demorá algumas horas dependendo da quantidade de objetos existentes no Banco de dados do FIM2010.
Antes de aplicar o Update 3 leia com bastante atenção o documento FIM_ReleaseNotes_Update3.docx, pois ele dá informações importantes sobre o que acontece ao seu FIM2010 após a aplicação do Update!
Até mais!!!

terça-feira, 12 de janeiro de 2010

ERP Configuration Manager

Olá...

Recentemente tive a necessidade de integrar o Forefront Identity Manager 2010 com o SAP HR ECC 6.0 em um projeto.

Não foi surpresa ao executar o ERP Configuration Manager ver mensagens de erro indicando a ausência de DLLs para conectar ao SAP.

clip_image001

Baseado nessa demanda, busquei a forma de fazer com que o ERP Configuration Manager funcionasse em meu servidor FIM2010.

O primeiro passo foi tentar instalar o SAP Connector no servidor, o qual não funcionou devido a incompatibilidades com o Windows Server 2008 X64 e a ausência do .Net Framework 1.1

clip_image002

Mesmo instalando o .Net Framework 1.1 a instalação do pacote MSI do Sap Connector não chegava até o final.

Para contornar este problema, eu extraí os arquivos do SAP.Net.Setup_2.0 msi usando o MSIEXEC.EXE.

A documentação existente sobre o ERP Configuration Manager diz que somente as DLL´s SAP.Connector.Dll, SAP.Connector.Rfc.dll, LibRfc.dll são necessárias.

Não há a necessidade de instalação do .Net Framework 1.1 no seu servidor FIM2010.

Para extarir os arquivos do pacote MSI execute o seguinte comando:

msiexec /a SAP.Net.Setup_2.0.msi /qb TARGETDIR=c:\SAPConnector

clip_image004

Os arquivos SAP.Connector.Dll, SAP.Connector.Rfc.dll estarão na raiz da pasta SAPConnector e o arquivo LibRfc.dll estará na pasta SAPConnector\System Folder.

Copie SAP.Connector.Dll, SAP.Connector.Rfc.dll para a pasta c:\windows\sysWOW64

clip_image006

Copie o arquivo LibRfc.dll para a pasta C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA

Após copiar os arquivos será necessário registrar as DLL´s no GAC (Global Assembly Cache). Utilize o comando GACUTIL.EXE

Para facilitar inclua o seguinte caminho no Path do windows:

Set path=%path%;C:\Program Files\Microsoft SDKs\Windows\v6.0A\Bin

Execute os dois comando a seguir:

C:\gacutil /i c:\windows\SysWOW64\SAP.Connector.dll
C:\gacutil /i c:\windows\SysWOW64\SAP.Connector.Rfc.dll

A seguinte mensagem deverá aparecer no prompt

Microsoft (R) .NET Global Assembly Cache Utility. Version 3.5.30729.1
Copyright (c) Microsoft Corporation. All rights reserved.
Assembly successfully added to the cache

Embora na documentação não cite, será necessário copiar também as DLL´s msvcp71.dll e msvcr71.dll para uma destas pastas:

  • C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA
  • C:\Windows\SysWOW64
  • C:\Windows

O ERP Configuration Manager faz chamada a essas duas DLL´s no momento de garar a DLL que será utilizada pelo Management Agent no Synchronization Service Manager.

Após o registro das DLL´s no GAC você já conseguirá abrir o ERP Configuration Manager

clip_image008

Na primeira vez que você executar o ERP Configuration Manager e se conectar a um servidor SAP, um cache das BAPI´s e Structs será feito no servidor do FIM2010.

O arquivo de cache pode ser localizado no caminho C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA com o nome BapiCache_SAPPRD.mdb, onde SAPPRD é o nome do servidor SAP Indicado na janela de conexão.

clip_image009

Se você usa BAPI´s customizadas em seu ambiente, será necessário incluí-las no filtro de Discovery. Por padrão somente as BAPI´s que atendem o seguinte filtro são colocadas no cache: BAPI_USER*;BAPI_EMPL*;BAPI_PERS*;BAPI_HR*;SUSR*;*RFC;Z*;Y*;BAPI_C*;BAPI_B*;

clip_image011

Após todo processo acima, iniciei a configuração para conexão com o SAP, fazendo indicação as BAPI´s que estão configuradas em meu ambiente.

clip_image013

Ao clicar no botão Salvar, dois arquivos (um arquivo XML e um arquivo DLL) serão criados na pasta C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\Extensions. Estes arquivos deverão ser utilizados para a criação do seu SAP Management Agente.

Até Breve!

quarta-feira, 6 de janeiro de 2010

Quick Tips!!!

Olá…
A partir de hoje aqui no Blog terei a sessão de “Quick Tips”…
Quick Tips, ou dicas rápidas, são posts curtos onde dou dicas de como fazer algumas coisas no FIM2010!
Lá vai a primeira!
É possível que você, em seu ambiente de testes, configure um unico servidor com todos os pré-requisitos para a instalação do FIM2010. Até aí, nenhum problema!
Quando você vai configurar os Management Agents, que segundo as melhores práticas, devem ser contas comuns, estas contas não têm privilégios de logon em Domain Controller (lembre-se que você instalou tudo em um único servidor).
Para driblar esse tipo de problema basta colocar suas contas dos MA´s no grupo Domain Admin, garantindo assim que as mesmas podem efetuar logon em seu Domain Controller (que também tem seu SQL, Exchange, Sharepoint, etc, instalados)
Só para exemplificar o que estou falando, é comum dar um pop-up de erro com a mensagem abaixo quando configurar o MA do FIM:
Failed to connect to the specified database.
Failed to connect to the specified database or Forefront Identity Management Service. Please check the specified database location, service host address, and account information.
Até a próxima!

terça-feira, 5 de janeiro de 2010

Como configurar corretamente uma conta de rede para o Management Agent do Active Directory

Olá!!!
Um ponto abordado quando falamos de contas de serviço para os Management Agents do FIM2010 é o nível de permissões que essas contas precisam ter.
No caso do  uma conta comum é sulficiente.
Quando você configura um ADMA (Active Directory Management Agent) no seu ambiente, você precisa fornecer uma conta que será usada pelo seu agente para se conectar ao Active Directory.
Para o FIM2010, não há necessidade de usar uma conta de usuário do AD que seja membro de grupos de segurança administrativa (Ex.: Domain Admins).

Definido como “Melhores Práticas”, você deve usar uma conta de usuário padrão. No entanto, a conta deve ter direitos suficientes para garantir que informações possam ser trocadas entre o FIM2010 e o AD. Essas informações são trocadas de duas formas distintas:
  • Importaçao de Informações (Import)
  • Exportação de Informações (Export)
Para garantir que uma conta comum tenha as permissões apropriadas para fazer esse sincronismo de informações entre o AD e o FIM2010, basta que a conta tenha permissão de consulta ao DirSync, uma vez que a conta não consultará as OU´s que foram configuradas no seu MA.
A forma de configurar essa permissão, através da guia de segurança do domínio, é permitir “Replicating Directory Changes” para a conta conforme imagem abaixo:
account
Além da permissão dada acima, devemos também dar permissão de “Full Control” em todas as OU´s que o MA precisará gerenciar. Caso você não de a permissão nas OU´s o Synchronization Engine mostrará mensagens de “permission-issue”.
Em breve, mais posts… Até mais!!!