Microsoft Identity Manager 2016 - Bonnes pratiques
Cette rubrique décrit les bonnes pratiques pour déployer et exploiter Microsoft Identity Manager 2016 (MIM)
Configuration de SQL
Notes
Les recommandations suivantes concernant la configuration d’un serveur SQL partent du principe qu’il existe une instance de SQL dédiée au service FIM et une instance de SQL dédiée à la base de données FIMSynchronizationService. Si vous exécutez le service FIM dans un environnement consolidé, vous devrez effectuer des ajustements adaptés à votre configuration.
La configuration du serveur SQL (Structured Query Language) est essentielle pour bénéficier de performances système optimales. Les performances MIM dans des implémentations à grande échelle dépendent de l’application des bonnes pratiques sur un serveur SQL. Pour plus d’informations, consultez les rubriques suivantes sur les bonnes pratiques SQL :
Prédimensionner les fichiers de données et les fichiers journaux
Ne vous fiez pas à la croissance automatique. Au lieu de cela, gérez la croissance de ces fichiers manuellement. Vous pouvez laisser la croissance automatique activée pour des raisons de sécurité, mais vous devez gérer de manière proactive la croissance des fichiers de données. Pour obtenir des exemples de tailles de base de données MIM, consultez le guide de planification de la capacité FIM.
Pour prédimensionner les fichiers de données et les fichiers journaux SQL
Exécutez SQL Server Management Studio.
Accédez à la base de données FIMService, cliquez avec le bouton droit sur FIMService, puis cliquez sur Propriétés.
Dans la page Fichiers, étendez les fichiers de base de données à la taille requise.
Isoler les fichiers journaux des fichiers de données
Suivez les meilleures pratiques de SQL Server pour isoler les fichiers journaux de transactions et de données des bases de données sur des disques physiques distincts.
Créer des fichiers tempdb supplémentaires
Pour optimiser les performances, nous vous recommandons de créer un fichier de données par cœur de processeur dans le fichier tempdb.
Pour créer des fichiers tempdb supplémentaires
Exécutez SQL Server Management Studio.
Accédez à la base de données tempdb dans Bases de données système, cliquez sur tempdb, puis sur Propriétés.
Dans la page Fichiers, créez un fichier de données pour chaque cœur de processeur. Veillez à séparer les fichiers de données et les fichiers journaux tempdb sur des piles de disques et des lecteurs différents.
Garantir un espace suffisant pour les fichiers journaux
Il est important de bien comprendre les exigences en matière de disque de votre mode de récupération. Le mode de récupération simple peut convenir lors du chargement initial du système pour limiter l’utilisation de l’espace disque, mais les données créées après la sauvegarde la plus récente sont exposées à la perte de données. Lorsque vous utilisez le mode de récupération complète, vous devez gérer l’utilisation du disque par le biais de sauvegardes qui incluent des sauvegardes fréquentes du journal des transactions pour éviter une utilisation élevée de l’espace disque. Pour plus d’informations, consultez Recovery Model Overview (Vue d’ensemble du mode de récupération).
Limiter la mémoire de SQL Server
En fonction de la quantité de mémoire dont vous disposez sur votre serveur SQL, et du partage éventuel du serveur SQL avec d’autres services (autrement dit, le Service MIM 2016 et le Service de synchronisation MIM 2016), vous souhaiterez peut-être limiter la consommation de mémoire de SQL. Vous pouvez définir cette restriction en procédant comme suit.
Démarrez SQL Server Entreprise.
Sélectionnez Nouvelle requête.
Exécutez la requête suivante :
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDECet exemple reconfigure le serveur SQL pour qu’il n’utilise pas plus de 12 gigaoctets (Go) de mémoire.
Vérifiez le paramètre à l’aide de la requête suivante :
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Configuration de sauvegarde et de récupération
En général, vous devez collaborer avec votre administrateur de base de données pour concevoir une stratégie de sauvegarde et de récupération. Voici quelques recommandations :
- Effectuez des sauvegardes de base de données conformément à la stratégie de sauvegarde de votre société.
- Si des sauvegardes de journaux incrémentielles ne sont pas planifiées, la base de données doit être configurée pour le mode de récupération simple.
- Soyez sûr de bien comprendre les implications des différents modes de récupération avant d’implémenter votre stratégie de sauvegarde. Prenez connaissance de l'espace disque requis pour ces modèles. Le mode de récupération complète nécessite des sauvegardes fréquentes des journaux afin d’éviter une utilisation élevée de l’espace disque.
Pour plus d’informations, consultez Recovery Model Overview (Vue d’ensemble du mode de récupération) et le guide de sauvegarde et de restauration de FIM 2010.
Créer un compte d’administrateur de sauvegarde pour le service FIM après l’installation
Les membres du groupe d’administrateurs du service FIM disposent d’autorisations uniques essentielles au fonctionnement de votre déploiement de MIM. Si vous ne parvenez pas à ouvrir une session en tant que membre du groupe Administrateurs, la seule solution consiste à restaurer une sauvegarde précédente du système. Pour éviter cette situation, nous vous recommandons d’ajouter d’autres utilisateurs FIM au groupe Administrateurs dans le cadre de votre configuration post-installation.
Service FIM
Configuration des boîtes aux lettres Exchange du Service FIM
Voici les bonnes pratiques de configuration de Microsoft Exchange Server pour le compte de service de Service MIM 2016.
- Configurez le compte de service pour qu’il puisse accepter du courrier uniquement à partir d’adresses e-mail internes. Plus spécifiquement, la boîte aux lettres du compte de service ne doit jamais pouvoir recevoir d’e-mail à partir de serveurs SMTP externes.
Pour configurer le compte de service
Dans la console de gestion Exchange, sélectionnez le compte de service Service FIM.
Sélectionnez Propriétés, Paramètres du flux de messagerie, puis Restrictions de remise de courrier.
Cochez la case Exiger l’authentification de tous les expéditeurs.
Pour plus d’informations, consultez Configurer les restrictions de remise de messages.
Configurez le compte de service pour qu’il rejette les messages dont la taille dépasse 1 Mo. Suivez la bonne pratique de configuration des limites de taille de messages pour une boîte aux lettres ou un dossier Public à extension messagerie.
Configurez le compte de service pour qu’il dispose d’un quota de stockage de boîte aux lettres de 5 Go. Pour un résultat optimal, suivez les bonnes pratiques indiquées dans Configure Storage Quotas for a Mailbox (Configurer des quotas de stockage pour une boîte aux lettres).
Portail MIM
Désactiver l’indexation de SharePoint
Nous vous recommandons de désactiver l’indexation Microsoft Office SharePoint®. Il n'y a aucun document à indexer. L'indexation entraîne de nombreuses entrées dans le journal des erreurs et d'éventuels problèmes de performances dans MIM. Pour désactiver l’indexation SharePoint, procédez comme suit :
Sur le serveur qui héberge le portail MIM 2016, cliquez sur Démarrer.
Cliquez sur Tous les programmes.
Dans la liste Tous les programmes, cliquez sur Outils d’administration.
Sous Outils d’administration, cliquez sur Administration centrale de SharePoint.
Dans la page Administration centrale, cliquez sur Opérations.
Dans la page Opérations, sous Configuration globale, cliquez sur Définitions des travaux du minuteur.
Dans la page Définitions des travaux du minuteur, cliquez sur Actualisation du service Recherche SharePoint Services.
Dans la page Modifier le travail du minuteur, cliquez sur Désactiver.
Chargement initial des données MIM 2016
Cette section présente une série d’étapes pour augmenter les performances du chargement initial des données du système externe vers MIM. Il est important de bien comprendre que certaines de ces étapes sont limitées au remplissage initial du système. Elles doivent être réinitialisées une fois le chargement terminé. Ces étapes sont destinées à une opération ponctuelle et non à une synchronisation continue.
Important
Vérifiez que vous avez appliqué les bonnes pratiques décrites dans la section sur la configuration SQL de ce guide.
Étape 1 : Configurer le serveur SQL pour le chargement initial des données
Le chargement initial des données peut prendre du temps. Quand vous envisagez de charger initialement une grande quantité de données, vous pouvez raccourcir la durée nécessaire au remplissage de la base de données en désactivant temporairement la recherche en texte intégral et en la réactivant une fois l’exportation de l’agent de gestion MIM 2016 (FIM MA) terminée.
Pour désactiver temporairement la recherche en texte intégral
Exécutez SQL Server Management Studio.
Sélectionnez Nouvelle requête.
Exécutez les instructions SQL suivantes :
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Important
Ne pas appliquer ces procédures peut entraîner une utilisation élevée de l’espace disque, et donc un risque de mémoire insuffisante. Vous trouverez des détails supplémentaires à ce sujet dans Recovery Model Overview (Vue d’ensemble du mode de récupération). Le guide de restauration et de sauvegarde FIM contient des informations supplémentaires.
Étape 2 : Appliquer la configuration MIM requise minimale pendant le processus de chargement
Pendant le processus de chargement initial, vous devez appliquer uniquement la configuration minimale nécessaire à votre configuration FIM pour vos règles de stratégie de gestion (MPR) et vos définitions d’ensembles. Une fois le chargement des données terminée, créez les ensembles supplémentaires nécessaires pour votre déploiement. Utilisez le paramètre Exécution lors de la mise à jour de la stratégie sur les workflows d’action pour appliquer ces stratégies rétroactivement sur les données chargées.
Étape 3 : Configurer et remplir le Service FIM avec des données d’identités externes
À ce stade, vous devez suivre les procédures décrites dans le guide Comment synchroniser les utilisateurs de services de domaine Active Directory à FIM pour configurer et synchroniser votre système avec les utilisateurs d’Active Directory. Si vous devez synchroniser les informations de groupe, les procédures de ce processus sont décrites dans le guide Comment synchroniser les groupes de services de domaine Active Directory à FIM.
Séquences de synchronisation et d’exportation
Pour optimiser les performances, exécutez une exportation après une synchronisation qui génère un grand nombre d’opérations d’exportation en attente dans un espace connecteur. Ensuite, exécutez une importation de confirmation sur l’agent de gestion associé à l’espace connecteur concerné. Par exemple, quand vous devez exécuter un profil d’exécution de synchronisation sur plusieurs agents de gestion dans le cadre d’un chargement initial des données, vous devez exécuter une exportation suivie d’une importation différentielle après chaque exécution de synchronisation. Pour chaque agent de gestion source qui fait partie de votre cycle d’initialisation, effectuez les étapes suivantes :
Importation complète sur un agent de gestion source.
Synchronisation complète sur l’agent de gestion source.
Exportation sur tous les agents de gestion cibles concernés avec des opérations d’exportation intermédiaires.
Importation différentielle sur tous les agents de gestion cibles concernés avec des opérations d’exportation intermédiaires.
Étape 4 : Appliquer votre configuration MIM complète
Une fois le chargement initial des données terminé, vous devez appliquer la configuration MIM complète pour votre déploiement.
Selon vos scénarios, cette étape peut inclure la création d’ensembles, de mprs et de workflows supplémentaires. Pour toute stratégie que vous devez appliquer rétroactivement à tous les objets existants dans le système, utilisez le paramètre Exécution lors de la mise à jour de la stratégie sur les workflows d’action pour appliquer ces stratégies rétroactivement sur les données chargées.
Étape 5 : Reconfigurer SQL avec les paramètres précédents
N’oubliez pas de rétablir les paramètres SQL normaux. Ces modifications sont les suivantes :
Activation de la recherche en texte intégral
Mise à jour de votre stratégie de sauvegarde conformément à la stratégie de votre organisation
Une fois le chargement initial des données terminé, vous devez réactiver la recherche en texte intégral. Exécutez les instructions SQL suivantes pour réactiver la recherche en texte intégral :
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Si vous devez passer en mode de récupération simple, veillez à reconfigurer votre planning de sauvegarde conformément à la stratégie de sauvegarde de votre organisation. Vous trouverez plus de détails sur les plannings de sauvegarde FIM dans le guide de restauration et de sauvegarde FIM.
Migration de la configuration
Évitez de modifier les noms d’affichage
Pour de nombreux types d’objet tels que les MPR, le script syncproduction.ps1 utilise le nom d’affichage comme unique attribut d’ancrage entre deux systèmes. Par conséquent, la modification du nom d’affichage d’une MPR existante entraîne la suppression de cette règle, suivie de la création d’une nouvelle MPR. Ceci est dû au fait que le processus de migration ne peut pas joindre des MPR dont les critères de jointure ont changé. Pour éviter ce problème, vous pouvez lier un attribut personnalisé à tous les types d’objets de configuration et utiliser cet attribut comme critère de jointure. Ce processus vous permet de modifier les noms d’affichage sans affecter le processus de migration.
Évitez de changer le contenu des fichiers intermédiaires
Bien que le format de fichier et l’API des objets de bas niveau soient publics et que les manipulations soient prises en charge par les développeurs, nous vous déconseillons de changer le contenu des formats intermédiaires durant la migration. Toutefois, il peut être nécessaire de supprimer des ImportObjects entiers de changes.xml, ou d’effectuer des opérations de recherche et de remplacement sur pilot.xml pour remplacer les numéros de version ou les informations DNS (Domain Name System) pilotes pour les informations DNS de production.
Vérifiez que le numéro de version est correct dans pilot.xml lors de la migration entre les versions
Bien que les migrations entre les numéros de version ne soient pas recommandées ou prises en charge, vous pouvez souvent effectuer cette migration en remplaçant le numéro de version pilote par le numéro de version de production dans pilot.xml. Plus précisément, les objets WorkflowDefinition et
ActivityInformationConfiguration exigent que le numéro de version fasse précisément référence à des activités de workflows dans l’environnement de production. Si vous ne remplacez pas le numéro de version, l’applet de commande Compare-FIMConfig identifie des différences entre les attributs XOML (Extensible Object Markup Language) sur WorkflowDefinitions et la migration du numéro de version du pilote. Le Service FIM de production risque de ne pas pouvoir démarrer les activités de workflows avec le numéro de version incorrect.
Évitez les références cycliques
En général, les références cycliques ne sont pas recommandées dans une configuration MIM. Toutefois, des cycles se produisent parfois quand l’Ensemble A référence l’Ensemble B et que l’Ensemble B référence également l’Ensemble A. Pour éviter tout problème de référence cyclique, vous devez changer la définition de l’Ensemble A ou de l’Ensemble B pour qu’elles ne se référencent pas mutuellement. Ensuite, redémarrez le processus de migration. Si vous avez des références cycliques et que l’applet de commande Compare-FIMConfig génère une erreur, vous devez rompre le cycle manuellement. Étant donné que l’applet de commande Compare-FIMConfig génère une liste de modifications par ordre de priorité, elle exige qu’aucun cycle n’existe parmi les références d’objets de configuration.
Sécurité
Compte de l’agent de gestion MIM
Le compte de l’agent de gestion MIM n’est pas considéré comme un compte de service et doit être un compte d’utilisateur normal. Les comptes doivent pouvoir ouvrir une session localement pour que le compte de service du Service de synchronisation FIM puisse emprunter son identité.
Pour permettre au compte de l’agent de gestion MIM d’ouvrir une session localement
Cliquez sur Démarrer, sur Outils d’administration, puis sur Stratégie de sécurité locale.
Ouvrez le nœud Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
Dans la stratégie Autoriser l’ouverture d’une session locale, vérifiez que le compte de l’agent de gestion FIM est spécifié explicitement, ou ajoutez-le à l’un des groupes qui disposent déjà de l’accès.
Comptes du Service de synchronisation FIM et du Service FIM
Pour configurer les serveurs exécutant les composants de serveur MIM de manière sécurisée, les comptes de service doivent être limités. En appliquant la procédure précédente pour activer le compte de l’agent de gestion MIM, définissez les restrictions suivantes sur les comptes du Service de synchronisation FIM et du Service FIM :
Interdire l’ouverture de session en tant que tâche
Refuser les ouvertures de session locales
Refuser l'accès à cet ordinateur à partir du réseau
Les comptes de service ne doivent pas être membres du groupe Administrateurs local.
Le compte de service du Service de synchronisation FIM ne doit pas être un membre des groupes de sécurité utilisés pour contrôler l’accès au Service de synchronisation FIM (groupes commençant par FIMSync, par exemple FIMSyncAdmins).
Important
Si vous sélectionnez les options pour utiliser le même compte pour les deux comptes de service et que vous séparez le Service FIM et le Service de synchronisation FIM, vous ne pouvez pas définir Refuser l’accès à un ordinateur à partir du réseau sur le serveur du Service de synchronisation mms. Si l’accès est refusé, cela empêchera le Service FIM de contacter le Service de synchronisation FIM pour changer la configuration et gérer les mots de passe.
La réinitialisation de mot de passe déployée sur les ordinateurs en libre utilisation doit définir la sécurité locale pour effacer le fichier d’échange de mémoire virtuelle
Lors du déploiement de la réinitialisation de mot de passe FIM sur une station de travail destinée à être un kiosque, nous vous recommandons d’activer le Shutdown: Clear virtual memory pagefile paramètre de stratégie de sécurité locale pour garantir que les informations sensibles de la mémoire de traitement ne sont pas disponibles pour les utilisateurs non autorisés.
Implémentation de SSL pour le portail FIM
Nous vous recommandons vivement d’utiliser SSL (Secure Sockets Layer) sur le serveur de portail FIM pour sécuriser le trafic entre les clients et le serveur.
Pour implémenter SSL
Sur le serveur de portail MIM, ouvrez le Gestionnaire des services Internet.
Cliquez sur le nom de l’ordinateur local.
Cliquez sur Certificats de serveur.
Cliquez sur Créer la demande de certificat.
Dans la zone de texte Nom commun, entrez le nom du serveur.
Cliquez deux fois sur Suivant.
Enregistrez le fichier à n’importe quel emplacement. Vous devrez accéder à cet emplacement lors des étapes suivantes.
Accédez à https://servername/certsrv. Remplacez nom_serveur par le nom du serveur qui délivrent les certificats.
Cliquez sur Demander un nouveau certificat.
Cliquez sur Envoyer une demande avancée.
Cliquez sur Soumettez une demande de certificat en utilisant un fichier codé en base 64.
Collez le contenu du fichier que vous avez enregistré à l’étape précédente.
Dans Modèle de certificat, sélectionnez Serveur web.
Cliquez sur Soumettre.
Enregistrez le certificat sur votre bureau.
Dans le Gestionnaire des services Internet, cliquez sur Terminer la demande de certificat.
Pointez le Gestionnaire des services Internet sur le certificat que vous venez d’enregistrer sur le bureau.
Dans Nom convivial, tapez le nom du serveur.
Cliquez sur Sites, puis sélectionnez SharePoint – 80.
Cliquez sur Liaisons, puis sur Ajouter.
Sélectionnez HTTPS.
Pour certificat, sélectionnez celui qui porte le même nom que le serveur, le certificat que vous venez d’importer.
Cliquez sur OK.
Supprimez la liaison HTTP.
Cliquez sur Paramètres SSL, puis activez Exiger SSL.
Enregistrez les paramètres.
Cliquez sur Démarrer, sur Outils d’administration, puis sur Administration centrale SharePoint 3.0.
Cliquez sur Opérations, puis sur Mappages des accès de substitution.
Cliquez sur https://servername.
Changez le nom de https://servername en https://servername, puis cliquez sur OK.
Cliquez sur Démarrer, sur Exécuter, tapez iisreset, puis cliquez sur OK.
Performances
Pour bénéficier de performances optimales :
Appliquez les bonnes pratiques en matière de configuration de SQL, comme décrit dans la section sur la configuration SQL dans ce document.
Désactivez l’indexation de SharePoint sur le site de portail MIM. Pour plus d’informations, consultez la section Désactiver l’indexation SharePoint .
Bonnes pratiques spécifiques aux fonctionnalités
Gestion des demandes
Par défaut MIM 2016 purge les objets système ayant expiré, ce qui inclut les demandes terminées avec des approbations associées, les réponses d’approbation et les instances de workflows sur un intervalle de 30 jours. Si votre organisation a besoin d’un historique des demandes plus long, vous devez exporter les requêtes à partir de MIM et les stocker dans une base de données auxiliaire pour les conserver au-delà de la fenêtre de 30 jours. La fenêtre de suppression des demandes de 30 jours est configurable, mais étendre cette fenêtre peut nuire aux performances à cause des objets supplémentaires dans le système.
Règles de stratégie de gestion
Utiliser le type de règle de stratégie de gestion approprié
MIM fournit deux types de MPR, Demande et Transition définie :
Règle de stratégie de gestion Demande (RMPR)
- Utilisé pour définir la stratégie de contrôle d’accès (authentification, autorisation et action) pour les opérations de création, de lecture, de mise à jour ou de suppression (CRUD) sur les ressources,
- Appliqué lorsqu’une opération CRUD est émise sur une ressource cible dans MIM, et
- Son étendue est déterminée par les critères définis dans la règle, autrement dit à quelles demandes CRUD la règle s’applique.
Règle de stratégie de gestion Transition définie (TMPR)
- Sert à définir des stratégies quelle que soit la façon dont l’objet a basculé à l’état actuel représenté par l’Ensemble de transitions. Utilisez TMPR pour modéliser les stratégies de droits.
- Appliqué lorsqu’une ressource entre ou quitte un jeu associé, et
- A comme étendue les membres de l’ensemble.
Notes
Pour plus d’informations, consultez Conception de règles de stratégie d’entreprise.
Activez les MPR uniquement si nécessaire
Utilisez le principe du moindre privilège lors de l’application de votre configuration. Les MPR contrôlent la stratégie d’accès à votre déploiement de MIM. Activez uniquement les fonctionnalités utilisées par la plupart de vos utilisateurs. Par exemple, les utilisateurs n’utilisent pas tous MIM pour la gestion de groupes ; les MPR de gestion de groupe associées doivent donc être désactivées. Par défaut, la plupart des autorisations utilisateur non-administrateur sont désactivées dans MIM.
Dupliquez les MPR intégrées au lieu de les modifier directement
Quand vous avez besoin de modifier les MPR intégrées, vous devez créer une nouvelle MPR avec la configuration requise et désactiver les MPR intégrées. La création de ce nouveau MPR garantit que les modifications futures apportées aux fichiers MPR intégrés introduits par le biais du processus de mise à niveau n’ont pas d’impact négatif sur la configuration de votre système.
Les autorisations des utilisateurs finaux doivent utiliser des listes d’attributs explicites adaptées aux besoins des utilisateurs
L’utilisation de listes d’attributs explicites permet d’empêcher l’octroi accidentel d’autorisations à des utilisateurs sans privilèges quand des attributs sont ajoutés à des objets. Les administrateurs doivent explicitement avoir besoin d’accorder l’accès aux nouveaux attributs au lieu de tenter de supprimer l’accès.
L’accès aux données doit être adapté aux besoins des utilisateurs. Par exemple, les membres d’un groupe ne doivent pas avoir accès à l’attribut de filtre du groupe dont ils sont membres. Le filtre peut révéler par inadvertance des données d’organisation auxquelles l’utilisateur n’aurait normalement pas accès.
Les MPR doivent refléter les autorisations effectives dans le système
Évitez d’accorder des autorisations à des attributs que l’utilisateur ne peut jamais utiliser. Par exemple, vous ne devez pas accorder d’autorisation de modifier des attributs de ressources principaux tels qu’objectType. Malgré le mpr, toute tentative de modification du type d’une ressource après la création de la ressource est refusée par le système.
Les autorisations de lecture doivent être distinctes des autorisations de création et de modification lors de l’utilisation d’attributs explicites dans des MPR
Lors de l’énumération explicite des attributs dans des MPR, les attributs requis pour la création et la modification sont généralement différents de ceux disponibles pour la lecture. Par exemple, l’autorisation de lecture peut être accordée sur des attributs système tels que Créateur ou objectId, tandis que l’autorisation de création ou de modification ne peut pas être spécifiée pour les attributs système.
Les autorisations de création doivent être distinctes des autorisations de modification lors de l’utilisation d’attributs explicites dans les règles
L’opération de création nécessite que l’utilisateur sélectionne le type d’objet (objectType). Cet attribut est un attribut système principal qui ne peut pas être modifié après une opération Create.
Utilisez une MPR de demande pour tous les attributs avec les mêmes exigences d’accès
Pour plus d’efficacité, vous pouvez combiner en une seule MPR de demande les attributs ayant les mêmes exigences d’accès qui ne sont pas supposés changer.
Évitez d’accorder un accès illimité, même aux groupes principaux sélectionnés
Dans MIM, les autorisations sont définies en tant qu’assertion positive. MIM ne prenant pas en charge les autorisations Refuser, le fait d’accorder l’accès illimité à une ressource complique la spécification d’exclusions dans les autorisations. En guise de bonne pratique, vous devez accorder uniquement les autorisations nécessaires.
Utilisez des TMPR pour définir des droits personnalisés
Utilisez des règles de stratégie de gestion Transition définie (TMPR) au lieu de règles de stratégie de gestion Demande (RMPR) pour définir des droits d’accès personnalisés. Les TMPR fournissent un modèle basé sur l’état pour accorder ou supprimer des droits d’accès en fonction de l’appartenance aux ensembles de transitions définis, ou rôles, et des activités de workflows associées. Les TMPR doivent toujours être définis par paires, l’une pour les ressources transitionnant et l’autre pour les ressources sortantes. En outre, chaque MPR de transition doit contenir des flux de travail distincts pour les activités de provisionnement et de déprovisionnement.
Notes
Tout workflow d’annulation d’approvisionnement doit garantir que l’attribut Exécution lors de la mise à jour de la stratégie a la valeur true.
Activez la MPR entrante de Transition définie en dernier
Quand vous créez une paire TMPR, activez la MPR entrante de Transition définie en dernier. Cet ordre garantit qu’aucune ressource n’est laissée avec les droits si elle est ajoutée et retiré de l’ensemble pendant que la MPR entrante est activée mais avant que la MPR sortante soit activée.
Les workflows dans la TMPR doivent vérifier l’état de la ressource cible en premier
Les workflows d’approvisionnement doivent d’abord vérifier si la ressource cible a déjà été approvisionnée conformément au droit. Si c’est le cas, ils ne doivent rien faire.
Les workflows d’annulation d’approvisionnement doivent d’abord vérifier si la ressource cible a été approvisionnée. Si c’est le cas, ils doivent annuler l’approvisionnement de la ressource cible. Dans le cas contraire, ils ne doivent rien faire.
Sélectionnez Exécution lors de la mise à jour pour les TMPR
Ce paramètre garantit que le comportement d’approvisionnement correct s’applique lors de l’implémentation des mises à jour de stratégie et utilise l’indicateur de mise à jour de la stratégie RunOn sur les flux de travail d’action associés aux TMPR, et que les modifications apportées aux définitions de stratégie appliquent les workflows d’action aux nouveaux membres du groupe de transition.
Évitez d’associer le même droit à deux ensembles de transition différents
Associer le même droit à deux ensembles de transition différents peut entraîner une annulation et un ré-octroi inutiles des droits si la ressource bascule d’un ensemble à l’autre. En guise de bonne pratique, vérifiez qu’un seul ensemble contient toutes les ressources qui nécessitent le droit associé. Cette procédure garantit une relation un-à-un entre le jeu de transition et le droit d’octroi du flux de travail.
Utilisez une séquence d’opérations appropriée lors de la suppression des droits dans le système
L’ordre des étapes effectuées lors de la suppression des droits dans le système peut générer deux résultats opérationnels différents. Soyez sûr de bien comprendre l’ordre qui s’applique à l’effet souhaité.
Pour supprimer un droit du système (et le révoquer pour tous les membres qui détiennent actuellement le droit)
Désactivez la MPR de transition entrante. Cette modification évite de nouvelles subventions.
Supprimez le filtre d’ensemble de transitions ou changez-le et faites en sorte que l’ensemble soit vide. Cela provoque la transition sortante de tous les membres existants et applique la stratégie de transition sortante, notamment les workflows d’annulation d’approvisionnement configurés associés au droit.
Désactivez la MPR de transition sortante.
Pour supprimer un droit mais laisser intacts les membres actuels (par exemple pour cesser d’utiliser MIM pour gérer le droit) :
Désactivez la MPR de transition entrante. Ce changement évite de nouvelles subventions.
Désactivez la MPR de transition sortante.
Supprimez le filtre d’ensemble de transitions ou changez-le et faites en sorte que l’ensemble soit vide. L’ensemble n’étant plus lié à une TMPR, aucun workflow d’annulation d’approvisionnement n’est appliqué.
Groupes
Lors de l’application des bonnes pratiques pour les ensembles, vous devez prendre en compte l’impact des optimisations sur la facilité de gestion et d’administration ultérieure. Vous devez effectuer des tests appropriés à l’échelle de production prévue pour identifier le bon équilibre entre les performances et la facilité de gestion avant d’appliquer ces recommandations.
Notes
Toutes les instructions suivantes s’appliquent aux ensembles dynamiques et aux groupes dynamiques.
Limitez l’utilisation de l’imbrication dynamique
Une imbrication dynamique existe quand le filtre d’un ensemble fait référence à l’attribut ComputedMember d’un autre ensemble. L’imbrication d’ensembles a généralement pour but d’éviter de dupliquer une condition d’appartenance parmi plusieurs ensembles. Cette approche peut simplifier la gestion des ensembles, mais elle a un coût en termes de performances. Vous pouvez optimiser les performances en dupliquant les conditions d’appartenance d’un ensemble imbriqué au lieu d’imbriquer l’ensemble proprement dit.
Il peut arriver que vous soyez obligé d’imbriquer des ensembles pour répondre à une exigence fonctionnelle. Il s’agit des principaux scénarios où vous devez imbriquer des ensembles. Par exemple, pour définir l’ensemble de tous les groupes sans propriétaires Employé à plein temps,vous devez utiliser l’imbrication d’ensembles comme suit : /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], où « X » est l’ObjectID de l’ensemble Tous les employés à plein temps.
Limitez l’utilisation des conditions négatives
Les conditions négatives sont les conditions d’appartenance qui utilisent les fonctions ou les opérateurs suivants : !=, not(), \< , \<=. Pour optimiser les performances, dans la mesure du possible, exprimez la condition souhaitée avec plusieurs conditions positives plutôt que comme condition négative.
Limitez l’utilisation des conditions d’appartenance basées sur des attributs de référence à valeurs multiples
Vous devez limiter l’utilisation des conditions basées sur des attributs de référence à valeurs multiples, car si le nombre de ces ensembles est élevé, cela peut affecter les performances des opérations sur l’attribut utilisé dans la condition d’appartenance.
Réinitialisation de mot de passe
Les ordinateurs en libre utilisation utilisés pour la réinitialisation du mot de passe doivent définir la sécurité locale pour effacer le fichier d’échange de mémoire virtuelle
Quand vous déployez la réinitialisation de mot de passe MIM sur une station de travail destinée à être en libre utilisation, nous vous recommandons d’activer le paramètre de stratégie de sécurité locale Arrêt : effacer le fichier d’échange de mémoire virtuelle pour être sûr que les informations sensibles de la mémoire de processus ne sont pas accessibles aux utilisateurs non autorisés.
Les utilisateurs doivent toujours s’inscrire pour la réinitialisation du mot de passe sur un ordinateur auquel ils sont connectés
Quand un utilisateur tente de s’inscrire pour la réinitialisation du mot de passe par l’intermédiaire d’un portail web, MIM démarre toujours l’inscription pour le compte de l’utilisateur connecté, quelle que soit l’identité de la personne connectée au site web. Les utilisateurs doivent toujours s’inscrire pour la réinitialisation du mot de passe sur un ordinateur auquel ils sont connectés.
N’affectez pas la valeur true à la clé de Registre AvoidPdcOnWan
Quand vous utilisez la réinitialisation du mot de passe MIM 2016, n’affectez pas la valeur true à la clé de Registre AvoidPdcOnWan.
Si cette clé de Registre a la valeur true, il est probable que l’utilisateur traverse le portail de mot de passe, réinitialise son mot de passe sur le contrôleur de domaine principal et tente de se connecter. À cause de cette clé de Registre, le contrôleur de domaine local n’effectue pas de validation secondaire auprès du contrôleur de domaine principal, et la demande d’ouverture de session est donc refusée. Si l’utilisateur est refusé plusieurs fois, il risque d’être verrouillé hors du domaine et de devoir appeler le support technique.
N’activez pas l’enregistrement des mots de passe en texte clair
Vous pouvez enregistrer dans le journal les mots de passe en texte clair quand vous activez le traçage de diagnostic au niveau du service dans Windows
Communication Foundation (WCF). Cette option n’est pas activée par défaut, et nous vous déconseillons de l’activer dans les environnements de production. Ces mots de passe sont visibles en tant qu’éléments en texte clair dans un message SOAP (Simple Object Access Protocol) chiffré quand les utilisateurs s’inscrivent pour la réinitialisation du mot de passe. Pour plus d’informations, consultez Configuration de la journalisation des messages.
Ne mappez pas un workflow d’autorisation au processus de réinitialisation du mot de passe
Vous ne devez pas attacher un workflow d’autorisation à une opération de réinitialisation de mot de passe. La réinitialisation du mot de passe nécessite une réponse synchrone, et les workflows d’autorisation qui contiennent des activités telles que l’activité d’approbation sont asynchrones.
Ne mappez pas plusieurs activités d’action à la réinitialisation du mot de passe
Vous ne devez pas attacher un workflow qui contient plusieurs activités d’action à une opération de réinitialisation de mot de passe. Vous pourriez par exemple souhaiter attacher une deuxième activité de réinitialisation du mot de passe AD DS à une MPR de réinitialisation du mot de passe. Ce scénario n'est pas pris en charge.
Exigez la réinscription lors de l’ajout, de la suppression ou de la modification de l’ordre des activités dans un workflow existant
Lors de l’ajout, de la suppression ou de la modification de l’ordre des activités dans un workflow existant, sélectionnez toujours l’option exigeant la réinscription. Les utilisateurs qui tentent de s’authentifier pour la réinitialisation du mot de passe après qu’une activité a été ajoutée ou supprimée d’un workflow, mais avant qu’ils ne se soient réinscrits, peuvent rencontrer des effets indésirables.
Configuration du portail et configuration de l’affichage du contrôle des ressources
Ajoutez une clause d’exclusion de confidentialité à la page de profil utilisateur
Dans MIM, par défaut, certaines informations de profil utilisateur peuvent être présentées à d’autres utilisateurs. Par courtoisie envers les utilisateurs, les administrateurs doivent ajouter à la page de profil utilisateur du texte personnalisé cohérent avec les stratégies de leur entreprise. Pour plus d’informations sur l’ajout de texte personnalisé à une page du portail MIM, consultez Introduction to Configuring and Customizing the FIM Portal (Introduction à la configuration et à la personnalisation du portail FIM).
schéma
Ne supprimez pas le type de ressource Personne ou Groupe
Bien que les types de ressources Personne et Groupe ne soient pas marqués comme types de ressource de base, vous ne devez pas supprimer les ressources proprement dites ni les attributs qui leur sont affectés. L’interface utilisateur du portail MIM exige que les types de ressources Personne et Groupe et leurs attributs soient présents.
Ne modifiez pas les attributs principaux
Il existe 13 attributs principaux affectés à tous les types de ressources. Vous ne devez en aucun cas modifier leur relation avec les types de ressources. Les 13 attributs principaux sont les suivants :
CreatedTime
Creator
DeletedTime
Description
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Paramètres régionaux
MVObjectID
ObjectID
ObjectType
ResourceTime
Ne supprimez pas une ressource de schéma ayant une dépendance envers les exigences d’audit
Vous ne devez pas supprimer vos ressources de schéma quand il existe encore des exigences d’audit pour ces ressources.
Non-respect de la casse des expressions régulières
Dans MIM, il peut être utile de faire en sorte que certaines expressions régulières ne respectent pas la casse. Vous pouvez ignorer la casse au sein d’un groupe à l’aide de ?!:. Par exemple, pour Employee Type, utilisez
\^(?!:contractor\|full time employee)%.
Calcul de l’attribut member
L’attribut member exposé au moteur de synchronisation est en fait mappé à ComputedMembers. Il s’agit d’une combinaison de membres basés sur des critères et de membres sélectionnés manuellement. Même si vous ajoutez les trois attributs (Filter, ExplicitMembers et ComputedMembers), le calcul dynamique de l’attribut member n’a pas lieu pour les types de ressources autres que groupe et ensemble.
Les espaces de début et de fin dans les chaînes sont ignorés
Dans MIM, vous pouvez entrer des chaînes avec des espaces de début et de fin, mais le système MIM ignore ces espaces. Si vous envoyez une chaîne avec un espace de début et de fin, le moteur de synchronisation et les services Web ignorent ces espaces.
Les chaînes vides ne sont pas égales à null
Les chaînes vides ne sont pas égales à la valeur null dans cette version de MIM. L’entrée de chaîne vide est considérée comme une valeur valide. L’absence est considérée comme une valeur null.
Traitement de workflow et de demande
Ne supprimez pas les workflows par défaut fournis avec MIM 2016
Les workflows suivants sont fournis avec MIM et ne doivent pas être supprimés :
Workflow d’expiration
Workflow de validation de filtre pour les administrateurs
Workflow de validation de filtre pour les non-administrateurs
Workflow de notification d’expiration de groupe
Workflow de validation de groupe
Workflow d’approbation de propriétaire
Workflow d’action de réinitialisation de mot de passe
Workflow d’authentification de réinitialisation de mot de passe
Validation du demandeur avec autorisation du propriétaire
Validation du demandeur sans autorisation du propriétaire
Workflow système requis pour l’inscription
N’exécutez pas plusieurs ApprovalActivities en parallèle
Vous ne devez pas exécuter plusieurs ApprovalActivities en parallèle, car la demande risque de rester bloquée dans la phase d’autorisation. En cas d’approbations multiples, incluez une liste plus complète d’approbateurs dans l’approbation ou séquencez les deux activités l’une à la suite de l’autre.
Les activités d’autorisation ne doivent pas modifier les données de ressources MIM
Évitez d’utiliser des activités qui modifient les ressources MIM, telles que l’activité Évaluation de fonction, dans le cadre des workflows dans les workflows d’autorisation. La demande n’ayant pas encore été validée quand elle est dans la phase d’autorisation du traitement, toute modification apportée aux informations d’identité peut être appliquée même si la demande est rejetée.
Présentation des partitions du service FIM
L’objectif de MIM consiste à traiter les demandes qui peuvent être initiées par divers clients MIM tels que le service de synchronisation MIM et les composants libre-service conformément à vos stratégies d’entreprise configurées. Par défaut, chaque instance du service FIM appartient à un groupe logique composé d’une ou plusieurs instances du service FIM, également connu sous le nom de partition du service FIM. Si vous n’avez déployé qu’une seule instance du service FIM pour gérer toutes les demandes, il est possible que vous observiez des latences de traitement. Certaines opérations peuvent même dépasser les valeurs de délai d’attente par défaut qui conviennent aux opérations libre-service. Les partitions de service FIM peuvent vous aider à résoudre ce problème.
Pour plus d’informations, consultez Présentation des partitions de service FIM.