Guide d’installation de Microsoft BHOLD Suite
Microsoft® BHOLD Suite est une collection d’applications qui, lorsqu’elle est utilisée avec Microsoft Identity Manager 2016 SP2 (MIM), ajoute une gestion et une attestation des rôles efficaces à MIM. Microsoft BHOLD Suite SP1 comprend les modules suivants :
- BHOLD Core
- Connecteur Access Management
- BHOLD Reporting
- BHOLD Attestation
Notes
S’applique à : Microsoft Identity Manager 2016 SP2 ou version ultérieure. Les modules BHOLD Model Generator, BHOLD Analytics et BHOLD FIM Integration seront supprimés de BHOLD, car ces modules ont une dépendance à Microsoft Silverlight, qui prendra fin le 12 octobre 2021.
BHOLD n’est pas recommandé pour les nouveaux déploiements. Microsoft Entra ID fournit désormais des révisions d’accès, qui remplacent les fonctionnalités de la campagne d’attestation BHOLD, et la gestion des droits d’utilisation, qui remplace les fonctionnalités d’attribution d’accès.
Informations contenues dans ce document
Ce document explique comment planifier votre déploiement BHOLD pour répondre aux besoins de votre entreprise et installer chaque module BHOLD. Pour chaque module, les configurations matérielle et logicielle requises ainsi que les besoins en infrastructure appropriés, la configuration réseau de préinstallation, les informations requises lors de l’installation et les étapes de post-installation, le cas échéant, sont détaillés.
Connaissances préalables
Ce document suppose que vous avez des notions de base relatives à l’installation de logiciels sur des serveurs. Il suppose également que vous possédez des connaissances de base de base de données Active Directory® Domain Services, Forefront ou Microsoft Identity Manager (FIM) et Microsoft SQL Server 2012. La description de l’installation et de la configuration de technologies connexes comme AD DS et FIM n’entre pas dans le cadre de cette documentation. Pour plus d’informations sur les fonctions des modules Microsoft BHOLD, consultez le Guide des concepts de Microsoft BHOLD Suite.
Public visé
Ce document est destiné aux organisateurs du service informatique, aux architectes système, aux responsables du secteur technologique, aux consultants, aux planificateurs de l’infrastructure et aux équipes informatiques qui envisagent de déployer Microsoft BHOLD Suite.
Éléments relatifs à l’infrastructure BHOLD à prendre en considération
En règle générale, BHOLD et FIM sont utilisés dans un grand environnement d’infrastructure. Vous pouvez adapter votre architecture BHOLD et FIM pour répondre aux besoins particuliers de votre entreprise. Les sections suivantes présentent des solutions d’architecture possibles. Cette vue d’ensemble ne constitue pas une liste complète de toutes les options possibles, mais propose des méthodes de déploiement de BHOLD dans votre réseau.
Cette section couvre les sujets suivants :
- Architecture à un seul serveur
- Architecture à deux serveurs
- Architecture à deux niveaux
- Recommandations SQL Server
Architecture à un seul serveur
Pour un déploiement dans les petites organisations ou à des fins de développement, vous pouvez installer BHOLD et FIM sur le même serveur que SQL Server et AD DS, comme indiqué dans l’illustration suivante.
Quand BHOLD Suite SP1 et le portail FIM sont installés ensemble sur un serveur unique, vous devez créer des alias d’hôtes différents (enregistrements CNAME ou A) dans DNS pour FIM et BHOLD. Vous pouvez ainsi créer des noms SPN distincts pour les services BHOLD et FIM. Pour plus d’informations, consultez Installation de BHOLD Core. Pour obtenir des conseils sur l’installation de FIM dans une configuration à un seul serveur, consultez Guides de configuration courante pour démarrer dans la bibliothèque Microsoft TechNet.
Architecture à deux serveurs
L’installation de BHOLD Core et FIM sur des serveurs distincts apporte plus de performances et de souplesse aux organisations de taille moyenne qui ne nécessitent pas de déploiement plus complexe, comme dans le cas des architectures à plusieurs niveaux. L’illustration suivante montre BHOLD et FIM installés sur leur propre serveur ; le serveur FIM exécute également SQL Server pour fournir des services de base de données à BHOLD et FIM. Le service de synchronisation FIM exécuté sur le serveur FIM synchronise les modifications entre les bases de données FIM et BHOLD.
Architecture à deux niveaux
Dans la plupart des environnements, en particulier ceux où les performances sont importantes, vous devez exécuter BHOLD Suite SP1, FIM et SQL Server sur des serveurs distincts (architecture à deux niveaux). Dans une architecture à deux niveaux, de la mémoire et des ressources de processeur sont dédiées pour chaque niveau. L’illustration suivante montre une manière de configurer une architecture à deux niveaux. Le service de synchronisation FIM exécuté sur le serveur FIM synchronise les modifications entre les bases de données FIM et BHOLD.
Recommandations SQL Server
Si vous déployez BHOLD dans une grande organisation, il est fortement recommandé de suivre ces instructions pour configurer la base de données Microsoft SQL Server :
- Déployez SQL Server sur un serveur distinct de tous les services FIM ou BHOLD.
- Isolez le fichier journal du fichier de données au niveau du disque physique.
- Si vous utilisez RAID pour assurer la redondance de stockage, utilisez RAID niveau 10 (1+0). N’utilisez pas RAID niveau 5.
- Veillez à configurer les paramètres corrects lors de l’utilisation de plus de 2 Go de mémoire physique pour le serveur exécutant SQL Server.
Pour plus d’informations sur les bonnes pratiques SQL Server, consultez 10 bonnes pratiques de stockage dans la bibliothèque Microsoft TechNet.
Mise à jour de la liste des certificats de confiance
Windows peut être configuré pour valider des chaînes de certificats avant de démarrer un service. Sur ces systèmes, un service ne peut pas démarrer si le code exécutable du service a été signé avec un certificat qui n’est pas dans la liste des certificats de confiance du serveur. Le logiciel Microsoft BHOLD Suite SP1 est un code signé à l’aide d’une chaîne de certificats de signature de code qui accompagne le certificat de l’autorité de certification racine Microsoft 2010. Windows peut être configuré pour récupérer des certificats racines à partir de Microsoft via une connexion Internet. Toutefois, sur un système déconnecté, Windows Server inclut uniquement les certificats qui étaient présents dans le programme racine avant la sortie de Windows. Dans les versions de Windows Server antérieures à Windows Server 2010, ces certificats n’incluent pas le certificat racine nécessaire pour la validation de la chaîne de certificats de signature de code BHOLD Suite SP1. Si vous envisagez d’installer un ou plusieurs modules Microsoft BHOLD Suite SP1 sur un système dont la liste des certificats de confiance n’est peut-être pas à jour, vous devez télécharger et installer le package de mise à jour de la racine ou utiliser une stratégie de groupe pour l’installer avant d’installer un module BHOLD Suite SP1. Pour plus d’informations, consultez Configurer des racines de confiance et des certificats non autorisés.
Étape nécessaire de l’installation de BHOLD Suite SP1 sur Windows Server 2012/2016
Si vous installez BHOLD Suite SP1 sur Windows Server 2012 ou 2016, les pages web BHOLD ne sont pas disponibles tant que vous n’avez pas modifié le fichier applicationHost.config situé dans C:\Windows\System32\inetsrv\config. Dans la section <globalModules>, ajoutez preCondition="bitness64 à l’entrée qui commence par <add name="SPNativeRequestModule" afin qu’elle s’affiche comme suit :
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
Après avoir modifié et enregistré le fichier, exécutez la commande iisreset pour réinitialiser le serveur IIS.
Mise à niveau de BHOLD Suite
Vous ne pouvez pas mettre à niveau une installation existante de BHOLD Suite. Au lieu de cela, vous devez désinstaller une installation existante de BHOLD Suite avant de pouvoir mettre à jour des modules BHOLD. Si vous avez déjà un modèle de rôle BHOLD, vous pouvez mettre à niveau la base de données BHOLD et l’utiliser quand vous installez le module BHOLD Core mis à jour. Pour plus d’informations, consultez Remplacement de BHOLD Suite par BHOLD Suite SP1.