Automatiser la gestion de l’Active Directory avec Forefront Identity Manager

De nombreux lecteurs de IT Pro Magazine utilisent Microsoft Active Directory (AD) sur leur infrastructure et ce depuis des années. A travers différentes consoles d’administration, il est non seulement possible de gérer AD du point de vue technique (Forêts, Domaines, GPOs, …) mais également de gérer un aspect plus fonctionnel comme les comptes utilisateurs, les groupes de sécurité et de distribution.

Comment automatiser la gestion de l’Active Directory avec Forefront Identity Manager ?

Cette administration fonctionnelle de l’AD est assez impactante pour les experts AD. En effet, plus l’entreprise compte de collaborateurs, et plus la charge d’administration peut devenir importante. On peut citer des tâches comme l’arrivée de nouveaux collaborateurs ou de stagiaires, l’ajout/suppression d’utilisateurs dans des groupes de sécurité donnant accès à des applications et des données.

Ces tâches d’administration peuvent être identifiées comme rébarbatives au quotidien, et pourtant elles sont tellement importantes : donner accès aux utilisateurs aux ressources/applications le plus rapidement possible pour des besoins de production (image du marque du service informatique si le traitement est trop long), mais également en matière de sécurité (verrouiller le compte et les accès d’un collaborateur qui quitte l’entreprise pour le concurrent, veiller à ce que seuls les employés autorisés aient accès aux données confidentielles et stratégique à l’entreprise),… et il existe de nombreux autres exemples.

Afin de remédier à ces contraintes, que ce soit sur la charge de travail (et donc le coût) mais également  sur les aspects de sécurité, faisons un exercice très simple dans cet article.

Et si nous gérions nos objets de l’Active Directory à travers un système de Gestion des Identités ?

Dans IT Pro Magazine (Voir édition de février 2010 dans le Club Abonnés), j’ai eu l’occasion de vous présenter la solution Forefront Identity Manager (FIM) au sens large. Dans cet article au contraire, nous allons voir comment utiliser FIM avec une approche plus opérationnelle, centrée autour de la gestion d’Active Directory (mais si vous avez un autre annuaire l’exercice est tout aussi intéressant). Non seulement l’on souhaite obtenir un retour sur investissement rapide (liste de fonctions positives la plus longue possible), mais également capitaliser sur ce projet comme une première étape vers une gestion des identités plus avancée (ressources humaines, applications, rôles).

La clé de notre approche va donc consister à utiliser les capacités de FIM à « automatiser des traitements sur la base de règles de gestion ». On va donc être en mesure de piloter de façon automatique tous les objets de notre Active Directory, comme l’administrateur de la forêt ou du domaine, la délégation fine de l’administration au-delà d’une OU, la gestion des utilisateurs, des groupes de sécurité et liste de distribution.