Automatisation de son identité dans Active Directory et Exchange

Encore une fois, nous voulons automatiser ces taches pour :

* Ne pas avoir des experts AD/Exchange « utilisés » à réaliser des opérations manuelles
* Réduire le coût de gestion des objets

• Rendre un service utilisateur plus grand, en particulier ici avec l’automatisation (grande réactivité). Nous verrons plus loin que FIM Propose également un portail utilisateur leur permettant de « s’autogérer », entrainant la aussi une meilleur satisfaction et une réduction des couûts de gestion

Pour automatiser cette création du compte AD et de la BAL Exchange (la même logique existe pour les autres identités, par exemple le téléphone de VOIP, l’accès au système financier.. Etc), nous avons donc créé cette règle de gestion (MPR). Au sein de ce MPR, nous avons créé un action qui dans ce cas est une « synchronisation » (Syncrhonisation rule). Celle-ci possède plusieurs onglets :

• Dans l’onglet GENERAL, nous allons en particulier préciser le sens de réplication, IN, OUT, ou IN/OUT
• Dans l’onglet SCOPE, nous allons définir avec quelle base nous voulons répliquer, par exemple dans notre cas avec AD.
• Etc.

Les onglets « outboundt Attribute flow » et « Inbound Attribute flow » sont particulièrement intéressant pour cet article. Ils modélisentt, une fois que l’utilisateur est dans la base FIM, comment « il/elle » doit être répliqué dans la base distante – dans notre cas Active Directory – et par effet de bord Exchange.  Via l’interface graphique (bouton Add Attribute Flow) vous allez préciser « quelle propriété prendre dans la base FIM », et comment la répliquer « dans la propriété correspondante dans la base AD » (les deux flèches rouges).

Ici nous avons deux types de cas. Une ipropriétée répliquée comme telle, « le accountname de la base FIM » est répliqué dans le « SamAccountname de la base AD ».

La flèche bleu nous montre une utilisation plus avancée ou on va concaténer des variables (des propriétés de l’utilisateur) avec du texte. Ici nous créons la valeur à positionner dans le chams DN de l’AD pour l’utilisateur. Vous voyez que le « département » est une variable que le système RH nous aura envoyé, par exemple « Service Informatique ». Ainsi, l’utilisateur sera créé dans l’Unité Organisationnelle (OU) équivalente dans l’AD.

Voici d’autres exemples afin de vous montrer à quel point l’automatisation peut aller loin. PwdLastReset à 0 indique que l’utilisateur devra changer son mot de passe à la première connexion, UserAccountCtrol a 512 indique un compte utilisateur normal, et on pré charge le mot de passe de l’utilisateur (il est aussi possible d’utiliser des fonctions  de génération aléatoire de mot de passe).

Pour la partie Exchange, on utilisera la même technique pour activer la boite aux lettres, et préciser sa localisation.

En quelques minutes, via l’interface de FIM, nous avons « modélisé » la réplication dans les deux sens (FIM<->AD), et préciser la valeur de toutes les propriétés. Il suffit alors de refaire cette opération pour chacun des annuaires de l’entreprise (RH, Finance, …), et FIM se chargera de réaliser les opérations pour vous. Vous commencez à percevoir à la fois l’intérêt de FIM, mais aussi le gain de temps que ce type d’automatisation peut procurer (et donc l’économie réalisé). Et pour autant, nous n’avons pas lancé un projet global de Gestion d’Identité qui peut être couteux car ambitieux ! Non, nous avons juste déployé FIM pour automatiser des tâches manuelles.

Voici comment on a modélisé cela dans FIM. Notez que cette configuration est faite une seule fois, et qu’en suite, pour chaque nouvel employé, FIM automatisera le tout, très rapidement, et sans aucune intervention humaine. Même si nous ne le décrirons pas ici, ce processus enverra également un Email de bienvenue à l’utilisateur (par exemple avec une liste de liens à lire), et également un email au manager contenant par exemple le mot de passe de l’utilisateur. La présentation était ici volontairement très simple mais il existe de nombreuses fonctions bien plus avancées permettant d’aller beaucoup plus loin.

FIM ne sert pas qu’à créer puis synchroniser des objets entre plusieurs annuaires. Il va intervenir tout au long du cycle de vie de l’utilisateur.