Usando Object Types customizáveis na Ferramenta de Sincronização do FIM2010 (FIM Synchronization Engine)

Olá… Despois de um tempo ausente, “vou retornando” aos poucos!!!

Esse post de hoje saiu meio que na necessidade… Você já reparou que no Metaverse existem vários tipos de objetos e que você pode criar os seus… Então! Tenho um Object Type chamado perfil_acesso criado no Metaverse e também criado no Schema do FIM.

Quando fui alterar o meu Management Agent do FIM para importar as informações desse perfil_acesso, este meu Object Type não estava listado para ser selecionado nos Object Types disponíveis.

COMO RESOLVER ISSO???

A solução para ter seus Object Types customizados listados no Management Agent do FIM é bem simples.

No Portal, em Administration, clique no link All Resources e localize o recurso Synchronization Filter clique na guia Extended Attributes e no campo Synchronize ObjectTypeDescription adicione o seu Object Type.

Volte para o FIM Synchronization Engine, de um “Refresh Schema”. A partir deste momento seu objecto customizado aparecerá na lista de object Types disponíveis para sincronização.

Após marcá-lo você terá que selecionar os atributos referentes ao seu objeto em Select Attributes, mapeá-lo em Configure Object Type Mappings para o objeto correspondente no Metaverse para então configurar os Attribute Flows. Um item importante e mandatório é que seu Object Type customizado tem que ter um atributo chamado csObjectID do tipo String (Indexable). Este atributo já existe na lista de atributos bastando apenas ter que selecioná-lo para que seja adicionado ao seu objeto customizável!

Ah… Gostaria de agradecer ao amigo de trabalho, Lucas Marques, pela ajuda para resolver este problema que, como disse antes, foi necessário para que as atividades do dia de hoje podessem chegar ao FIM.

Até Breve!!! (Espero!!!)

Forefront Identity Manager 2010 (FIM 2010) SDK Documenation

Olá a todos,

foram atualizados os arquivos do SDK referentes ao Forefront Identity Manager 2010.

No site da Microsoft você pode fazer o download dos seguintes arquivos:

• ForefrontIdentityManager2010SDK_FIMCertMgmt.chm
• ForefrontIdentityManager2010SDK_FIMService.chm
• ForefrontIdentityManager2010SDK_FIMSyncService.chm
  

Este é o Link onde os arquivos estão disponíveis!

Até Mais!!!

Idiomas disponíveis na família Forefront

Olá…

A lista abaixo trás um resumo a respeito dos idiomas disponíveis dos produtos da família Forefront.

A maioria dos produtos estão disponíveis nos seguintes idiomas:

	Forefront Client Security	Server Protection Exchange SharePoint OCS	Online Protection for Exchange	TMG 2010	FIM2010
Chines Simpl.	Sim	Sim	Sim	Sim	Sim
Chines Trad.	Sim	Sim	Sim	Sim	Sim
Holandês	Não	Não	Sim	Sim	Sim
Inglês	Sim	Sim	Sim	Sim	Sim
Francês	Sim	Sim	Sim	Sim	Sim
Alemão	Sim	Sim	Sim	Sim	Sim
Italiano	Sim	Sim	Sim	Sim	Sim
Japonês	Sim	Sim	Sim	Sim	Sim
Coreano	Sim	Sim	Sim	Sim	Não
Portugues Brasil	Não	Sim	Sim	Sim	Não
Portugues Portugal	Não	Não	Sim	Sim	Sim
Russo	Não	Sim	Sim	Sim	Não
Espanhol	Sim	Sim	Sim	Sim	Sim

O WebClient do Forefront Universal Access Gateway (UAG) está disponível em inglês e mais 10 outros idiomas.

Para o Forefront Identity Manager (FIM) Password Reset e os Add-ins para Outlook temos disponíveis 33 idiomas:

Bulgarian (Bulgaria) Chinese (Simplified) Chinese (Traditional) Croatian (Croatia) Czech (Czech Republic) Danish (Denmark)
Dutch (Netherlands) Estonian (Estonia) Finish (Finland)
French (France) German (Germany) Greek (Greece) Hindi (India) Hungarian (Hungary) Italian (Italy) Japanese (Japan) Korean (Korea) Latvian (Latvia) Lithuanian (Lithuania) Norwegian (Bokmal)
Polish (Poland) Portuguese (Brazil) Portuguese (Portugal) 
Romanian (Romania) Russian (Russia) Serbian (Latin)
Slovak (Slovakia) Slovenian (Slovenia) Spanish (Spain)
Swedish (Sweden) Thai (Thailand) Turkish (Turkey)
krainian (Ukraine)

Abraços!!!

FIM Visio Stencil and PPTX sample

Olá a todos…

Estou disponibilizando os arquivos de Stencil do FIM para Visio e um PPTX de exemplo.

Estes arquivos estão em uma pasta compartilhada em meu Skydrive acessível através do link abaixo:

http://cid-b638dc5602e9aa9b.skydrive.live.com/redir.aspx?resid=B638DC5602E9AA9B!4777&Bpub=SDX.Docs&Bsrc=GetSharingLink

Até a próxima!!!

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Hi Everybody!!!

I´m sharing the FIM Visio Stencil files. The files are in a shared folder in my Skydrive. You can reach the files folowing the link below:

http://cid-b638dc5602e9aa9b.skydrive.live.com/redir.aspx?resid=B638DC5602E9AA9B!4777&Bpub=SDX.Docs&Bsrc=GetSharingLink

Cheers!!!

Listando usuários que se registraram para uso do Reset de Senha

Olá…

Para usar o Self-Service de reset de senha, os usuários devem se registrar (concluir o questionãrio de perguntas e respostas).

Para descobrir quem se registrou, você pode usar a pesquisa avançada de usuários no portal, ou utilizar um script para fazer isso.

Neste post mostrarei como fazer a pesquisa pelo portal e em breve publicarei o script, em PowerShell, para exportar a lista dos usuários que se registraram para utilizar o Reset de Senha.

Passos:

1. No Portal, clique em Users.
2. Clique em seguida no link “Advanced Search”
3. Clique em “Add Statement” e selecione “AuthN Workflow Registered”
4. Select “contains” e clique em “<click to select value>”
5. Na caixa de pesquisa, digite “Password Reset AuthN Workflow”,  selecione “All Workflows” e execute a pesquisa.
6. Selecione o workflow “Password Reset AuthN Workflow” nos resultados e então clique em “OK”

Após executar os passos acima, sua busca avançada ficará como mostrado na imagem abaixo.

Clique no botão “Search” e os usuários que se registraram para uso do SSPR (Self-Service Password Reset) serão listados.

Até Breve!!!

Lista de Subordinados

Olá!!!

Neste post um script em PowerShell que fiz recentemente. Este script retorna na console do Powershell as pessoas que estão subordinadas a um gestor, e as pessolas indiretamente subordinadas a este mesmo gestor.

Para usá-lo basta chamar o script passando como parameto o DisplayName da pesssoa (gestor):

PS C:\Users\Administrator\Desktop> .\ListManager.ps1 ‘Dunga’

No exemplo mostrado acima, dois usuários, Julio Cesar e Robinho se reportam para Dunga e outros dois usuários, José e João se reportam a Julio Cesar e Robinho respectivamente.

$credential = Get-Credential set-variable -name URI -value "http://localhost:5725/resourcemanagementservice' " -option constant clear If($args.count -ne 1)    {       Throw "Digite o DisplayName do gestor!"    } $ManagerName = $args[0] $Filter = "/Person[DisplayName='$ManagerName']" If(@(Get-PSSnapin | Where-Object {$_.Name -eq "FIMAutomation"} ).count -eq 0)    {       Add-PSSnapin FIMAutomation    } $curObject = export-fimconfig -uri $URI -credential $credential –onlyBaseResources -customconfig ($Filter) -ErrorVariable Err -ErrorAction SilentlyContinue If($Err)    {       Throw $Err    } If($curObject -eq $null)    {       Throw "Nome não encontrado!"    } $attrObjectID = (($curObject.ResourceManagementObject.ResourceManagementAttributes | Where-Object {$_.AttributeName -eq "ObjectID"}).Value).split(":")[2] $Filter_Manager = "/Person[Manager = '$attrObjectID']" [array]$curObject_Direct = export-fimconfig -uri $URI -credential $credential –onlyBaseResources -customconfig ($Filter_Manager) -ErrorVariable Err -ErrorAction SilentlyContinue write-host "Estas pessoas reportam diretamente a $ManagerName" $arrayIndireto = @() foreach($DirectReport in $curObject_Direct) {    write-host " +" ($DirectReport.ResourceManagementObject.ResourceManagementAttributes | Where-Object {$_.AttributeName -eq "DisplayName"}).Value    $Direct = (($DirectReport.ResourceManagementObject.ResourceManagementAttributes | Where-Object {$_.AttributeName -eq "ObjectID"}).Value).split(":")[2]    $Filter_Direct = "/Person[Manager = '$Direct']"    [array]$curObject_Indirect = export-fimconfig -uri $URI -credential $credential –onlyBaseResources -customconfig ($Filter_Direct) -ErrorVariable Err -ErrorAction SilentlyContinue    foreach($InDirectReport in $curObject_Indirect)    {       $Indireto = ($InDirectReport.ResourceManagementObject.ResourceManagementAttributes | Where-Object {$_.AttributeName -eq "DisplayName"}).Value       if($Indireto.Length -gt 1)       {          $arrayIndireto += $Indireto       }    } } write-host "" write-host "Estas pessoas reportam indiretamente a $ManagerName" foreach($IndirectReport in $arrayIndireto)    {       write-host " --" $IndirectReport    } write-host "" write-host "" Trap {    Throw $_.Exception.Message    Exit 1 }

Até Breve!!!

Trabalhando com o atributo accountExpires do Active Directory

No FIM2010, o formato padrão de data/hora é yyyy-MM-ddTHH:mm:ss.fff. Este é um formato ISO8601 com três dígitos de precisão fracional.

O atributo accountExpires no Active Directory é um atributo do tipo Integer8, um número de 64-bit representando data/hora (em UTC) como o número de intervalos de 100-nanosecondos desde 01/01/1601 12:00 AM.

Para trabalhar com o atributo accountExpires, seja importando ou exportando ele no FIM2010, você precisará desenvolver uma “Rule Extension” para usar no seu Active Directory Managente Agent.

Abaixo alguns exemplos de como fazer isso utilizando a linguagem C#. Trabalharemos com o accountExpires (AD) e EmployeeEndDate (FIM2010):

accountExpires –> EmployeeEndDate

if (csentry["accountExpires"].IsPresent) {    DateTime dtFileTimeUTC = DateTime.FromFileTimeUtc(csentry["accountExpires"].IntegerValue);    mventry["employeeEndDate"].Value = dtFileTimeUTC.ToUniversalTime().ToString("yyyy'-'MM'-'dd'T'HH':'mm':'ss'.000'"); }

   

accountExpires <- EmployeeEndDate

if (mventry["employeeEndDate"].IsPresent) {    FormatProvider culture = new CultureInfo("en-US", true);    DateTime EndDate;    EndDate = DateTime.Parse(mventry["employeeEndDate"].ToString(), culture);    csentry["accountExpires"].Value = EndDate.ToFileTimeUtc().ToString(); }

Marcar uma conta que está sendo provisionada para expirar daqui a 180 dias

csentry["accountExpires"].Value = DateTime.Now.AddDays(180).ToFileTimeUtc().ToString();

Até Breve!

Vídeo demo de funcionalidades FIM2010 !!!

Olá.

Um colega meu da Microsoft, que trabalha diretamente com o FIM2010 passou um link para um vídeo sobre o FIM2010.

O vídeo está disponível para download no Skydrive  e trás demonstração das seguintes informações:

• Provisionamento automático de um novo colaborador da área de Vendas no AD a partir de um arquivo texto;
• Notificação via e-mail para o gerente do colaborador com nome da conta e uma senha randômica para login no AD;
• Processo de cadastramento dos desafios para auto-serviço de reset de senha pelo novo colaborador;
• Atualização de dados do perfil pelo colaborador através do Portal de Gestão de Identidade, com aprovação da modificação via Outlook 2007 pelo gerente do colaborador;
• Execução do reset de senha pelo novo colaborador diretamente na tela de logon do Windows;
• Inclusão automática do colaborador em um grupo de segurança, para acesso a um File Share específico da área de Vendas;

O vídeo tem 46,2Mb e a narração está em português!

Até mais!

Link: http://cid-9a907e9861071fb7.skydrive.live.com/browse.aspx/Video%20Forefront%20Identity%20Manager%202010?authkey=fIrOMRAaE10%24

Concatenando Valores

Para montar um valor a partir de outros valores utilize o botão “Concatenate Value” na sua página de “Flow Definition” quando estiver montando uma Synchronization Rule.

O “Concatenate Value” pode ser usado para montar expressões utilizando também de funções embarcadas no FIM2010 como:

ProperCase: Esta função converte o primeiro caracter de cada palavra em uma frase para maiúsculo:
Exemplo: ProperCase("TESTE dE PRopercASe") = "Teste De Propercase"

Até Breve!

userAccountControl: BitAnd e BitOr

userAccountControl é um atributo do tipo inteiro.

Se você quiser usá-lo apenas para habilitar ou desabilitar uma conta, você pode utilizar estas funções: BitAnd e BitOr.

• BITAND = A função BitAnd muda um bit especifico em um valor para 0.
• 
  BITOR = A função BitOr muda um bit especifico em um valor para 1.

userAccountControl armazena outras informações sobre o status de uma conta tais como se a senha tem que ser alterada no próximo logon, se uma conta nunca expira.

Por exemplo: uma conta normal tem o valor 512 (1000000000 em binario) e uma conta desabilitada tem o valor 514 (1000000010).

Com as funções BitAnd e BitOr, nós podemos setar o segundo bit do campo userAccountControl conforme precisamos.

Uso da função BitAnd em uma Synchronization Rule

Uso da função BitOr em uma Synchronization Rule

Até a próxima!!!

Quick Tips!!!

Olá!

Você sabe o que é um SPN?

Resumidamente, podemos definir o mapeamento SPN ou Service Principal Name como a forma de associar um serviço em um servidor específico com a conta de serviço responsável por este serviço, permitindo assim a autenticação Kerberos (mutual Kerberos Authentication). Para utilizar a autenticação Kerberos mútua, a camada de segurança do Windows deve ser capaz de determinar a conta que um serviço que está usando.

No FIM2010 para habilitar a autenticação Kerberos nós devemos estabelecer os mapeamentos SPN no domínio.

Ao estabelecer o mapeamento SPN da conta de serviço do FIM2010 com o servidor onde o FIM2010 Service está instalado fará com que o tráfego de informações seja feita de modo seguro e isso também é pré-requisito para que estações clientes se comuniquem com o FIMService.

Para Estabelecer mapeamentos SPN usamos os seguintes comandos com este cenário:

Servidor FIMService e Portal instalado: FABRIKAMFIM2010
Conta de serviço: FIMService
Dimínio: FABRIKAM

setspn –A FIMService/FABRIKAMFIM2010 FABRIKAM\FIMService
setspn –A HTTP/FABRIKAMFIM2010 FABRIKAM\FIMService

Além dos comandos acima, temos que fazer alguns ajustes na conta de computador na qual o FIM2010 está instalado:

• Na guia Delegations da conta de computador marque “Trust this computer for delegation to specified services only”, marque “Use Kerberos only” e clique no botão “Add”

• Selecione a conta de serviço do FIM2010. Os dois SPN´s deverão aparecer. Clique no botão “OK”.

• Clique no botão “OK” para confirmar.

 

Para mais detalhes sobre SPN no FIM2010 veja na documentação oficial a parte “Establish Service Principal Names (SPN) for FIM 2010”

Até breve!

ERP Configuration Manager

Olá...

Recentemente tive a necessidade de integrar o Forefront Identity Manager 2010 com o SAP HR ECC 6.0 em um projeto.

Não foi surpresa ao executar o ERP Configuration Manager ver mensagens de erro indicando a ausência de DLLs para conectar ao SAP.

Baseado nessa demanda, busquei a forma de fazer com que o ERP Configuration Manager funcionasse em meu servidor FIM2010.

O primeiro passo foi tentar instalar o SAP Connector no servidor, o qual não funcionou devido a incompatibilidades com o Windows Server 2008 X64 e a ausência do .Net Framework 1.1

Mesmo instalando o .Net Framework 1.1 a instalação do pacote MSI do Sap Connector não chegava até o final.

Para contornar este problema, eu extraí os arquivos do SAP.Net.Setup_2.0 msi usando o MSIEXEC.EXE.

A documentação existente sobre o ERP Configuration Manager diz que somente as DLL´s SAP.Connector.Dll, SAP.Connector.Rfc.dll, LibRfc.dll são necessárias.

Não há a necessidade de instalação do .Net Framework 1.1 no seu servidor FIM2010.

Para extarir os arquivos do pacote MSI execute o seguinte comando:

msiexec /a SAP.Net.Setup_2.0.msi /qb TARGETDIR=c:\SAPConnector

Os arquivos SAP.Connector.Dll, SAP.Connector.Rfc.dll estarão na raiz da pasta SAPConnector e o arquivo LibRfc.dll estará na pasta SAPConnector\System Folder.

Copie SAP.Connector.Dll, SAP.Connector.Rfc.dll para a pasta c:\windows\sysWOW64

Copie o arquivo LibRfc.dll para a pasta C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA

Após copiar os arquivos será necessário registrar as DLL´s no GAC (Global Assembly Cache). Utilize o comando GACUTIL.EXE

Para facilitar inclua o seguinte caminho no Path do windows:

Set path=%path%;C:\Program Files\Microsoft SDKs\Windows\v6.0A\Bin

Execute os dois comando a seguir:

C:\gacutil /i c:\windows\SysWOW64\SAP.Connector.dll
C:\gacutil /i c:\windows\SysWOW64\SAP.Connector.Rfc.dll

A seguinte mensagem deverá aparecer no prompt

Microsoft (R) .NET Global Assembly Cache Utility. Version 3.5.30729.1
Copyright (c) Microsoft Corporation. All rights reserved.
Assembly successfully added to the cache

Embora na documentação não cite, será necessário copiar também as DLL´s msvcp71.dll e msvcr71.dll para uma destas pastas:

• C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA
• C:\Windows\SysWOW64
• C:\Windows

O ERP Configuration Manager faz chamada a essas duas DLL´s no momento de garar a DLL que será utilizada pelo Management Agent no Synchronization Service Manager.

Após o registro das DLL´s no GAC você já conseguirá abrir o ERP Configuration Manager

Na primeira vez que você executar o ERP Configuration Manager e se conectar a um servidor SAP, um cache das BAPI´s e Structs será feito no servidor do FIM2010.

O arquivo de cache pode ser localizado no caminho C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\UIShell\ERPMA com o nome BapiCache_SAPPRD.mdb, onde SAPPRD é o nome do servidor SAP Indicado na janela de conexão.

Se você usa BAPI´s customizadas em seu ambiente, será necessário incluí-las no filtro de Discovery. Por padrão somente as BAPI´s que atendem o seguinte filtro são colocadas no cache: BAPI_USER*;BAPI_EMPL*;BAPI_PERS*;BAPI_HR*;SUSR*;*RFC;Z*;Y*;BAPI_C*;BAPI_B*;

Após todo processo acima, iniciei a configuração para conexão com o SAP, fazendo indicação as BAPI´s que estão configuradas em meu ambiente.

Ao clicar no botão Salvar, dois arquivos (um arquivo XML e um arquivo DLL) serão criados na pasta C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\Extensions. Estes arquivos deverão ser utilizados para a criação do seu SAP Management Agente.

Até Breve!

Quick Tips!!!

Olá…
A partir de hoje aqui no Blog terei a sessão de “Quick Tips”…
Quick Tips, ou dicas rápidas, são posts curtos onde dou dicas de como fazer algumas coisas no FIM2010!
Lá vai a primeira!
É possível que você, em seu ambiente de testes, configure um unico servidor com todos os pré-requisitos para a instalação do FIM2010. Até aí, nenhum problema!
Quando você vai configurar os Management Agents, que segundo as melhores práticas, devem ser contas comuns, estas contas não têm privilégios de logon em Domain Controller (lembre-se que você instalou tudo em um único servidor).
Para driblar esse tipo de problema basta colocar suas contas dos MA´s no grupo Domain Admin, garantindo assim que as mesmas podem efetuar logon em seu Domain Controller (que também tem seu SQL, Exchange, Sharepoint, etc, instalados)
Só para exemplificar o que estou falando, é comum dar um pop-up de erro com a mensagem abaixo quando configurar o MA do FIM:

Failed to connect to the specified database.
Failed to connect to the specified database or Forefront Identity Management Service. Please check the specified database location, service host address, and account information.

Até a próxima!