Quick Tips!!!

Olá!

Você sabe o que é um SPN?

Resumidamente, podemos definir o mapeamento SPN ou Service Principal Name como a forma de associar um serviço em um servidor específico com a conta de serviço responsável por este serviço, permitindo assim a autenticação Kerberos (mutual Kerberos Authentication). Para utilizar a autenticação Kerberos mútua, a camada de segurança do Windows deve ser capaz de determinar a conta que um serviço que está usando.

No FIM2010 para habilitar a autenticação Kerberos nós devemos estabelecer os mapeamentos SPN no domínio.

Ao estabelecer o mapeamento SPN da conta de serviço do FIM2010 com o servidor onde o FIM2010 Service está instalado fará com que o tráfego de informações seja feita de modo seguro e isso também é pré-requisito para que estações clientes se comuniquem com o FIMService.

Para Estabelecer mapeamentos SPN usamos os seguintes comandos com este cenário:

Servidor FIMService e Portal instalado: FABRIKAMFIM2010
Conta de serviço: FIMService
Dimínio: FABRIKAM

setspn –A FIMService/FABRIKAMFIM2010 FABRIKAM\FIMService
setspn –A HTTP/FABRIKAMFIM2010 FABRIKAM\FIMService

Além dos comandos acima, temos que fazer alguns ajustes na conta de computador na qual o FIM2010 está instalado:

• Na guia Delegations da conta de computador marque “Trust this computer for delegation to specified services only”, marque “Use Kerberos only” e clique no botão “Add”

• Selecione a conta de serviço do FIM2010. Os dois SPN´s deverão aparecer. Clique no botão “OK”.

• Clique no botão “OK” para confirmar.

 

Para mais detalhes sobre SPN no FIM2010 veja na documentação oficial a parte “Establish Service Principal Names (SPN) for FIM 2010”

Até breve!

ERP Configuration Manager

Olá...

Recentemente tive a necessidade de integrar o Forefront Identity Manager 2010 com o SAP HR ECC 6.0 em um projeto.

Não foi surpresa ao executar o ERP Configuration Manager ver mensagens de erro indicando a ausência de DLLs para conectar ao SAP.

Baseado nessa demanda, busquei a forma de fazer com que o ERP Configuration Manager funcionasse em meu servidor FIM2010.

O primeiro passo foi tentar instalar o SAP Connector no servidor, o qual não funcionou devido a incompatibilidades com o Windows Server 2008 X64 e a ausência do .Net Framework 1.1

Mesmo instalando o .Net Framework 1.1 a instalação do pacote MSI do Sap Connector não chegava até o final.

Para contornar este problema, eu extraí os arquivos do SAP.Net.Setup_2.0 msi usando o MSIEXEC.EXE.

A documentação existente sobre o ERP Configuration Manager diz que somente as DLL´s SAP.Connector.Dll, SAP.Connector.Rfc.dll, LibRfc.dll são necessárias.

Não há a necessidade de instalação do .Net Framework 1.1 no seu servidor FIM2010.

Para extarir os arquivos do pacote MSI execute o seguinte comando:

msiexec /a SAP.Net.Setup_2.0.msi /qb TARGETDIR=c:\SAPConnector

Os arquivos SAP.Connector.Dll, SAP.Connector.Rfc.dll estarão na raiz da pasta SAPConnector e o arquivo LibRfc.dll estará na pasta SAPConnector\System Folder.

Copie SAP.Connector.Dll, SAP.Connector.Rfc.dll para a pasta c:\windows\sysWOW64

Copie o arquivo LibRfc.dll para a pasta C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA

Após copiar os arquivos será necessário registrar as DLL´s no GAC (Global Assembly Cache). Utilize o comando GACUTIL.EXE

Para facilitar inclua o seguinte caminho no Path do windows:

Set path=%path%;C:\Program Files\Microsoft SDKs\Windows\v6.0A\Bin

Execute os dois comando a seguir:

C:\gacutil /i c:\windows\SysWOW64\SAP.Connector.dll
C:\gacutil /i c:\windows\SysWOW64\SAP.Connector.Rfc.dll

A seguinte mensagem deverá aparecer no prompt

Microsoft (R) .NET Global Assembly Cache Utility. Version 3.5.30729.1
Copyright (c) Microsoft Corporation. All rights reserved.
Assembly successfully added to the cache

Embora na documentação não cite, será necessário copiar também as DLL´s msvcp71.dll e msvcr71.dll para uma destas pastas:

• C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA
• C:\Windows\SysWOW64
• C:\Windows

O ERP Configuration Manager faz chamada a essas duas DLL´s no momento de garar a DLL que será utilizada pelo Management Agent no Synchronization Service Manager.

Após o registro das DLL´s no GAC você já conseguirá abrir o ERP Configuration Manager

Na primeira vez que você executar o ERP Configuration Manager e se conectar a um servidor SAP, um cache das BAPI´s e Structs será feito no servidor do FIM2010.

O arquivo de cache pode ser localizado no caminho C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA com o nome BapiCache_SAPPRD.mdb, onde SAPPRD é o nome do servidor SAP Indicado na janela de conexão.

Se você usa BAPI´s customizadas em seu ambiente, será necessário incluí-las no filtro de Discovery. Por padrão somente as BAPI´s que atendem o seguinte filtro são colocadas no cache: BAPI_USER*;BAPI_EMPL*;BAPI_PERS*;BAPI_HR*;SUSR*;*RFC;Z*;Y*;BAPI_C*;BAPI_B*;

Após todo processo acima, iniciei a configuração para conexão com o SAP, fazendo indicação as BAPI´s que estão configuradas em meu ambiente.

Ao clicar no botão Salvar, dois arquivos (um arquivo XML e um arquivo DLL) serão criados na pasta C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\Extensions. Estes arquivos deverão ser utilizados para a criação do seu SAP Management Agente.

Até Breve!

Pré-requsitos para a instalação do FIM2010RC1

Bem-vindos novamente.

Neste Post trataremos dos pré-requisitos para a instalação do FIM2010RC1 (Synchronization Engine, FIM Portal e Password Portal) e . O FIM2010 permite que todos os seus componentes sejam instalados em um unico servidor bem como permite uma instalação em que cada componente seja instalado em servidores diferentes e ainda permite que seja feita instalação de um mesmo componente em vários servidores afim de prover um “balanceamento de carga”.

Até a versão Beta 3 do FIM2010 era possível a instalação em servidores com arquitetura 32bits. A partir do RC0, somente a arquitetura 64bits é suportada. Os requisitos de hardware são os mesmo para os componentes “Server-side”.

Hardware	Servidor	Cliente
Processador	64Bits	32bits ou 64bits
HD	2 GB	500 MB
Memória RAM	2 GB	512 MB (1GB é recomendado)

Cada um dos componentes do FIM2010 Server tem requisitos específicos de software.
FIM 2010 Synchronization Service
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
SQL Server 2008 64-bit Standard ou Enterprise Editions, Cumulative Update 2 (CU2) ou posterior;
     Database Engine Services

Microsoft .NET 3.5 SP1 Framework;

Caso você programe "Rules Extensions";
     Visual Studio 2008

Caso você vá provisionar Caixa Postal no Exchange Server 2007;
     Windows PowerShell 1.0;
     Exchange 2007 SP1 Management Console

FIM 2010 Service
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
SQL Server 2008 64-bit Standard ou Enterprise Editions, Cumulative Update 2 (CU2) ou posterior;
     Database Engine Services
           Full-Text Search
           Certifique-se que o serviço SQL Agent esteja sendo executado
SQL Server 2008 Client Tools Connectivity;
     Caso o banco de dados esteja instalado em outro servidor
Web Server (Internet Information Services) com os seguintes componentes:
    •Common HTTP Features
        •Static Content
        •Default Document
        •HTTP Errors
    •Application Development
        •ASP.NET
        •.NET Extensibility
        •ISAPI Extensions
    •Health and Diagnostics
        •HTTP Logging
        •Request Monitor
        •Tracing
    •Security
        •Windows Authentication
        •Request Filtering
    •Performance
        •Static Content Compression
    •IIS 6 Management Compatibility
        •IIS 6 WMI Compatibility
        •IIS 6 Metabase Compatibility
    •Microsoft .NET 3.0 Features
Microsoft .NET 3.5 SP1 Framework;

FIM Portal and Password Portal
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
Web Server (Internet Information Services) com os seguintes componentes:
    •Common HTTP Features
        •Static Content
        •Default Document
        •HTTP Errors
    •Application Development
        •ASP.NET
        •.NET Extensibility
        •ISAPI Extensions
    •Health and Diagnostics
        •HTTP Logging
        •Request Monitor
        •Tracing
    •Security
        •Windows Authentication
        •Request Filtering
    •Performance
        •Static Content Compression
    •IIS 6 Management Compatibility
        •IIS 6 WMI Compatibility
        •IIS 6 Metabase Compatibility
    •Microsoft .NET 3.0 Features
Microsoft .NET 3.5 SP1 Framework; (download)
Windows SharePoint Services 3.0 SP1 em inglês. (Download)

FIM Add-ins e Extensions Components
Windows XP Professional SP2 or later, 32bit or Windows Vista Enterprise SP1 or later, 32 or 64bit;
Windows Installer 3.1 or later; (download)
Microsoft .NET 3.5 SP1 Framework; (download)
Para usar o FIM Office add-in (botões de aprovação, controle de grupos, etc)

Microsoft Office Outlook 2007 SP1
Microsoft Forms 2.0 .NET Programmability Support
Smart Tag .NET Programmability Support
.Net Programmability Support for Microsoft Office Outlook

Configurações adicionais
Após os pré-requsitos cumpridos, vamos ver o que precisamos de configuração adicional no ambiente onde o FIM2010 será instalado:

Uma conta de serviço com email habilitado para o FIM Service Component;

Esta conta cuidará dos serviço FIM Service e também de processar notificações e aprovações através de email.

Uma conta de serviço para o FIM Synchronization Service;

Uma conta para o FIM Management Agent

Em uma instalação distribuida dos componentes, é necessário:

Configurar adequadamente o Firewall para permitir acesso ao SQL

Se componente Fim Service estiver instalado em um servidor que não tem o FIM Service SQL server database, o DTC deve estar devidamente configurado e as regras de firewall para o DTC devem estar habilitadas. Enable Network Access Securely for MS DTC Configure Transaction Services for Network Clients Enable Firewall Exceptions for MS DTC

Até a próxima!