MIM Synchronization Services 2016 -> une solution économique pour créer, modifier et supprimer vos comptes utilisateurs depuis un référentiel RH / paie - Par Guillaume Mathieu
Présentation générale de MIM 2016
– Les licences MIM 2016
– Présentation de MIM 2016 Synchronization Services (inclus dans une licence Windows Server)
Vue d’ensemble du moteur de synchronisation.
– Les astuces pour démarrer avec MIM 2016 Synchronization Services
– Développer avec MIM 2016 Synchronization Services
Démo de 5 cas d’usage :
– Création, modification, suppression de l’objet identités (Metaverse rule) à partir d’un référentiel RH.
– Génération d’attributs à l’aide règles de transformations avancées (via les rules extensions)
– Réconciliation de plusieurs sources de données RH / paie.
– La mobilité inter-base RH.
– Le provisionning des autres systèmes cibles (Exchange, base de données…).
Similar a MIM Synchronization Services 2016 -> une solution économique pour créer, modifier et supprimer vos comptes utilisateurs depuis un référentiel RH / paie - Par Guillaume Mathieu
Similar a MIM Synchronization Services 2016 -> une solution économique pour créer, modifier et supprimer vos comptes utilisateurs depuis un référentiel RH / paie - Par Guillaume Mathieu (20)
Nouvelle approche pour étendre le zéro trust à Active Directory
MIM Synchronization Services 2016 -> une solution économique pour créer, modifier et supprimer vos comptes utilisateurs depuis un référentiel RH / paie - Par Guillaume Mathieu
1. Merci à tous nos partenaires !
24 octobre 2019 - PARIS
@IdentityDays #identitydays2019
2. Créer, modifier et supprimer ses identités (et les
comptes utilisateurs associés) depuis un référentiel
RH / paie avec MIM Synchronization Service 2016
Guillaume MATHIEU
24 octobre 2019 - PARIS
Identity Days 2019
3. Guillaume
MATHIEU
Architecte
MVP Cloud Datacenter
Management
Auteur du blog
http://msreport.free.fr
Contact :
msreport@free.fr
+33607449844
• La gestion des identités au service de la sécurité
• Les 6 points clés pour réussir son projet de gestion des
identités
• Pourquoi choisir MIM 2016 Synchronization Service ?
• Le moteur de synchronisation
• Démo 1 : comment travailler avec 200 systèmes RH
indépendants ?
• Démo 2 : processus d’arrivée
• Démo 3 : processus de départ
• Démo 4 : processus de mobilité (département, site)
AGENDA DE LA CONFÉRENCE
24 octobre 2019 - PARIS
Identity Days 2019
4. La gestion des identités au service de la sécurité
Identity Days 2019
24 octobre 2019 - PARIS
5. La sécurité en quelques chiffres
280 jours : délais pour détecter une attaque
63 jours : délais pour s’en remettre
20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegardes HS
81 % : les entreprises Françaises ciblées par une attaque informatique
(probablement plus).
35 % : source de l’incident de sécurité, l’équipe IT
800 000 euros : prix (moyenne) pour s’en remettre
Identity Days 2019
24 octobre 2019 - PARIS
6. Attaques par élévation de privilèges
Je deviens administrateur local (sethc.exe -> cmd.exe)
Analyse de la mémoire du processus LSASS.EXE ou des LSA SECRETS
(HKEY_LOCAL_MACHINESECURITY) -> obtention des NTHASH
Pass the Hash (Mimikatz, PowerSploit) pour se connecter à distance sur une autre
machine
Réappliquer la même méthode sur une autre machine.
mimikatz.exe privilege::debug" "sekurlsa::pth /user:Guillaume-hack
/ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra
Je deviens Domain Admins et je mets en place des portes dérobées (Golden
Ticket, DCSHADOW…).
Identity Days 2019
24 octobre 2019 - PARIS
8. La pyramide de la sécurité
Identity Days 2019
24 octobre 2019 - PARIS
9. Les 6 points clés pour réussir son projet de
gestion des identités
Identity Days 2019
24 octobre 2019 - PARIS
10. Les 6 points clés pour réussir son projet de gestion des identités
Identifier et consolider les sources de données (RH, paie, achats…).
2 identifiants uniques pour chaque utilisateur :
▪ EmployeeID (matricule)
▪ Un nouvel identifiant généré par le système.
Choisir une solution adaptée à ses cas d’usages, son budget et anticiper les besoins en
formation de son équipe projet
Déprovisionner les comptes utilisateurs inactifs pour améliorer le niveau de sécurité et réduire
les coûts des licences des applications métiers.
Déléguer aux équipes métiers la gestion des identités et des habilitations.
La remédiation de l’existant est un prérequis pour la mise en production de la solution :
▪ Suppression des doublons de comptes.
▪ Respect des convention de nommage.
Identity Days 2019
24 octobre 2019 - PARIS
11. Pourquoi choisir MIM 2016 Synchronization
Service ?
Identity Days 2019
24 octobre 2019 - PARIS
12. Pourquoi choisir MIM 2016 Synchronization Service ?
MIM 2016 est une suite de produits :
▪ MIM Synchronisation Service : moteur de synchronisation avec de nombreux connecteurs
▪ MIM portal + MIM Services + MIMWALL : moteur de workflow, portail web
▪ BHOLD : gestion des rôles (composant déprécié à ne pas déployer)
▪ MIM 2016 Certificate Management : gestion des certificats
▪ PAM : gestion des comptes à fort privilèges
https://docs.microsoft.com/en-us/microsoft-identity-manager/microsoft-identity-manager-
2016-deprecated-features
MIM Synchronization Service ne nécessite pas l’achat de licences !
https://social.technet.microsoft.com/wiki/contents/articles/2487.how-to-license-fim-2010-
and-mim-2016.aspx
Identity Days 2019
24 octobre 2019 - PARIS
13. Pourquoi choisir MIM 2016 Synchronization Services ?
MIM Synchronisation Services 2016 SP2 :
▪ Moteur de synchronisation simple à déployer : http://msreport.free.fr/?p=844
▪ Nombreux connecteurs : https://docs.microsoft.com/fr-fr/microsoft-identity-
manager/supported-management-agents
▪ Support dernière version Windows Server / SQL Server, TLS 1.2 avec la version SP2 :
https://docs.microsoft.com/en-us/microsoft-identity-manager/reference/version-history
Pour prendre en charge tous les cas d’usage d’une solution de gestion des identités (interface
web, certification, règle de SOD, rôles métiers…) :
▪ Si licences EMS E3 : déployer MIM Services / MIM portal / MIMWALL.
http://msreport.free.fr/articles/MIM_2016_V0.1.pdf
▪ Sinon investir dans des solutions comme One Identity Manager , Usercube, SailPoint
https://www.youtube.com/watch?v=EHBkCn3Dy6g
Identity Days 2019
24 octobre 2019 - PARIS
14. Le moteur de synchronisation
Identity Days 2019
24 octobre 2019 - PARIS
15. Identity Days 2019
24 octobre 2019 - PARIS
Management Agent : connecteur MIM Synchronization Service (AD, SQL, fichier texte, LDAP…).
Connecteur space : copie en lecture seule du contenu d’un connecteur (AD, SQL…).
Import : le contenu du système cible est copié dans le connecteur space.
Export : le contenu du connecteur space est copié dans le système cible.
16. Identity Days 2019
24 octobre 2019 - PARIS
Les actions effectuées lors d’une FULL Synchronization :
▪ Filter/Delete : les objets filtrés sont chargés dans le connecteur space du Management Agent (pas dans la
Metaverse).
▪ Join : permet d’associer un objet du connecteur space avec un objet de la Metaverse selon une règle de jointure.
Exemple : ExtensionAttribute1 du connecteur space AD = EmployeeID de la Metaverse)
▪ Projection : création d’une entrée dans la Metaverse à partir d’un objet d’un connecteur space.
▪ Provision : création d’une entrée dans un connecteur space à partir d’un objet de la Metaverse.
Cette opération nécessite l’écriture d’une Metaverse Rule.
Cette dernière est une DLL qui doit être écrite en VBNET ou en C#.
▪ Import Attributes Flow (IAF) : application des règles de synchronisation connecteur space → Metaverse.
Les règles de transformation complexes nécessitent le développement d’une Rule Extension.
Cette dernière est une DLL écrite en VBNET ou en C#.
▪ Export Attributes Flow (EAF) : application des règles de synchronisation connecteur space Metaverse.
Les règles de transformation complexes nécessitent le développement d’une Rule Extension.
Cette dernière est une DLL écrite en VBNET ou en C#.
17. Identity Days 2019
24 octobre 2019 - PARIS
Notions générales sur le moteur de synchronisation :
http://msreport.free.fr/?p=786
https://blog.piservices.fr/post/2016/05/13/FIM-Synchronization-Service-Partie-1-Introduction-concepts-et-licensing
Création d’une Rule Extension :
https://blogs.msdn.microsoft.com/connector_space/2016/08/19/creating-an-ma-extension
https://blog.piservices.fr/post/2016/09/04/FIM-Synchronization-Service-Partie-6-Creation-dune-regle-dextension-
(transformations-dattributs)
Création d’une Métaverse Rule :
http://www.wapshere.com/missmiis/account-deprovisioning-scenarios
Les trucs et astuces à connaître :
https://docs.microsoft.com/en-us/previous-versions/windows/desktop/identity-lifecycle-
manager/ms698819(v%3Dvs.85)
https://social.technet.microsoft.com/wiki/contents/articles/25704.how-to-calculate-manager-reference-value-from-
peoplesoft-sql-view.aspx?wa=wsignin1.0
https://blogs.msdn.microsoft.com/therabournidentity/2008/04/29/miisilm-code-experiment-populating-the-
manager-field-in-active-directory/
19. Démonstrations :
Démo 1 : comment travailler avec 200 systèmes RH indépendants ?
Démo 2 : processus d’arrivée
Démo 3 : processus de départ
Démo 4 : processus de mobilité (département, site)
Identity Days 2019
24 octobre 2019 - PARIS
20. Préparation des démonstrations
Identity Days 2019
24 octobre 2019 - PARIS
Créer un domaine Active Directory appelé IDDAY.INTRA
(IDDAY).
Créer la même topologie d’unités d’organisation que la
capture de droite.
Créer dans l’OU IT, les groupes suivantes et les comptes
de services suivants (mettre ce mot de passe : P@ssword)
21. Préparation des démonstrations
Identity Days 2019
24 octobre 2019 - PARIS
Installer le serveur IDDAYMIM1 en tant que membre du domaine (Windows 2016).
Installer SQL Server 2016 SP2 standard sur ce serveur (composant base de données et Integration
Services).
Installer MIM Synchronization Services (avec IDDAYservice-mim comme compte de service).
Mot de passe pour le compte de services : P@ssword
http://msreport.free.fr/?p=844
22. Préparation des démonstrations
Exporter chaque systèmes RH sous forme d’un fichier CSV. Dans cet exemple, copier les fichiers
sources (Sources HR.zip) dans le dossier C:_AdmSources sur le serveur IDDAYMIM1.
Créer la base de données appelées Identities (à l’aide du fichier Identities-database.sql).
Créer un login SQL appelé service-mim-sql avec le rôle DBOWNER sur la table HRIdentities.
La table HRIdentities (base Identities) permet de consolider les identités de tous les fichiers CSV
de désactiver les identités en doublon (via un attribut Boolean).
Installer Visual Studio et SQL Server Data Tools :
https://docs.microsoft.com/en-us/sql/ssdt/download-sql-server-data-tools-ssdt?view=sql-
server-ver15
Identity Days 2019
24 octobre 2019 - PARIS
23. Démo 1 : comment travailler avec 200 systèmes RH indépendants ?
Lire les documents suivants pour apprendre à utiliser SQL Server Integration Service.
https://analytics4all.org/2018/03/07/ssis-tutorial-introduction/
https://www.mssqltips.com/sqlservertip/5082/synchronize-table-data-using-a-merge-join-in-ssis/
https://docs.microsoft.com/en-us/sql/integration-services/packages/sql-server-agent-jobs-for-
packages?view=sql-server-ver15#schedule
Importer le projet SQL Server Integration Services dans Visual Studio / SQL Server Data Tools.
Ce dernier est disponible dans le fichier Import-CSV-SIIS.zip.
Identity Days 2019
24 octobre 2019 - PARIS
24. Démo 1 : comment travailler avec 200 systèmes RH indépendants ?
Identity Days 2019
24 octobre 2019 - PARIS
Lancer l’intégration des données.
Vérifier que toutes les entrées ont été créées dans la
table HRIdentities.
25. Démo 2,3,4 : synchronisation de la table HRIdentities avec AD
Identity Days 2019
24 octobre 2019 - PARIS
Installer MIM Synchronization Service.
Restaurer la configuration du serveur MIM Synchronization Service (fichier Backup-MIM-SYNC.zip).
Le mot de passe des comptes de service des Management Agent sera demandé (P@ssword).
Compiler ensuite les 2 Rules Extension (AD et SQL) dans Visual Studio.
Compiler ensuite la Metaverse Rule dans Visual Studio.
26. Démo 2,3,4 : synchronisation de la table HRIdentities avec AD
Identity Days 2019
24 octobre 2019 - PARIS
Lancer ensuite la séquence pour synchroniser
HRIdentities -> AD :
▪ Full Import SQL
▪ Full Import AD
▪ Full Synchronize SQL
▪ Full Synchronize AD
▪ Export AD
▪ Full Import AD
27. Démo 2,3,4 : synchronisation de la table HRIdentities avec AD
Identity Days 2019
24 octobre 2019 - PARIS
Pour jouer la démo 2 (processus d’arrivée) :
▪ Créer une nouvelle entrée dans le fichier HR1 / HR2 (penser à changer le numéro d’employée).
Exécuter la procédure Import CSV (SQL Server Integration Service) pour importer les données
dans HRIdentities.
▪ Lancer la synchronisation dans MIM (voir slide précédente). Un nouvel objet doit apparaître
dans le connecteur space SQL, dans la Metaverse, le connecteur space AD puis dans l’AD.
Pour jouer la démo 3 (processus de départ) :
▪ Mettre la TerminationDate à la date d’hier. Lancer la synchronisation.
▪ Le compte AD doit être désactivé.
Pour jouer la démo 4 (processus de mobilité) :
▪ Modifier le champ Site d’une entrée du fichier CSV HR1 de Paris à Nemours ou inversement.
▪ Le compte AD doit changer d’unités d’organisation.
28. Merci à tous nos partenaires !
24 octobre 2019 - PARIS
@IdentityDays #identitydays2019