Archives de catégorie : FIM

Changement dans la gamme Forefront

Nous attendions avec impatience les nouvelles Roadmap des solutions qui composent la gamme Forefront. Il est important de comprendre que Forefront, n’est pas un nom de produit mais un terme marketing lancé par Microsoft il y a maintenant 10 ans. Forefront n’est donc pas un produit, ni une équipe. Ainsi, les équipes de Forefront UAG ne sont pas les mêmes que Forefront FIM par exemple, même si parfois elles peuvent bien entendu collaborer ensemble.

L’année dernière, il a été annoncé l’arrêt de l’évolution majeure de la solution TMG. A cette même occasion, on y apprend que les solutions antimalwares prenaient une nouvelle orientation. Pour rappel voici l’annonce officielle :

Sur cette fin d’année 2013, Microsoft nous annonce un nouveau changement majeur dans la gamme de produit Forefront : . Le terme marketing Forefront est donc amené à disparaitre.

Concernant Microsoft Forefront Identity Manager 2010

Microsoft maintient son investissement dans le produit Identity Manager (FIM) avec l’annonce d’une prochaine version majeure, courant 2015. Les premières informations disponible à son sujet font état de :

  • La prise en charge des scénarios de type Hybride avec l’intégration avec Windows Azure Active Directory.
  • La gestion des accès et des utilisateurs
  • L’audit et la conformité
  • D’autres nouvelles fonctionnalités, notamment avec Azure, sont à venir

Il est à noter que le composant « DirSync » de FIM, est incontournable dans tous les projets Office 365 et autres scénarios Azure. Il permet de mettre en œuvre une synchronisation d’annuaire On-Premise vers Azure Active Directory (AAD) nécessaire pour Office 365. FIM est donc juste incontournable pour tous les projets nécessitant des synchronisations d’annuaire et de gestion des identités. Dans un contexte de sécurité, les principales attaques/vol d’identités viennent de la non-gestion (utilisateurs, groupes, permissions) des identités dans AD.

Ainsi la prochaine version de la solution de gestion des identités changera très certainement de nom, et perdra tout naturellement la dénomination « Forefront » dans son appellation marketing. Nous le découvrirons sous peu, et vous le partagerons dès que possible.

 

Concernant Microsoft Forefront UAG 2010

Microsoft a pris la décision d’arrêter ses investissements dans le produit Forefront Unified Access Gateway 2010. Le produit restera supporté par Microsoft jusqu’au 14 Avril 2015 pour la phase de support standard et s’arrêtera le 14 Avril 2020 pour la phase de support étendue. Les clients disposant d’un contrat de type « Software Assurance » à la date du 1er décembre 2013 seront en mesure de déployer de nouveaux serveurs et prendre en charge de nouveaux utilisateurs sans cout de licence additionnel.

Néanmoins, le produit peut continuer de publier des ressources de manière sécurisée et s’assurer que seuls les utilisateurs autorisés puissent y accéder. Microsoft a récemment mis à disposition le Service Pack 4. Ce dernier Service Pack, prend en charge la publication de services tel que SharePoint 2013 ou Exchange 2013. Il prend en compte les dernières versions des clients (Windows 8.x & Internet Explorer 11). En plus de quelques autres améliorations mineures, le SP4 permet aussi la prise en charge de RemoteApp et les autres services RDS de Windows 2012/2012R2.

Pour les clients disposant déjà d’une solution UAG dans votre SI, il n’est pas obligatoire de migrer rapidement vers une autre solution comme WAP. La flexibilité d’UAG, la mise à jour récente du SP4 et un support jusqu’en 2020 doit permettre de répondre encore longtemps à vos besoins actuels.

Il y a toujours une forte communauté autour de la solution UAG, animée par la présence de nombreux MVP et experts communautaires. Cela permet d’apporter un support continu à la solution UAG, même au-delà de 2020. Le forum à consulter est sur le site de Technet : http://social.technet.microsoft.com/Forums/forefront/en-US/home?forum=forefrontedgeiag

 

Rappel au sujet des accès VPN et DirectAccess dans UAG :

Cela a déjà été évoqué il y a un peu moins de deux ans, depuis la sortie de Windows 2012, Microsoft recommande de privilégier le rôle Unified Remote Access de Windows Server 2012/2012 R2 en lieu et place d’UAG pour implémenter DirectAccess. Microsoft n’apportera plus d’évolution à l’implémentation DirectAccess au sein de Foreront UAG 2010.

Les implémentations de DirectAccess réalisées sur UAG devront donc être migrées vers Windows 2012 R2. Avec la solution Unified Remote Access, il est également possible de faire du VPN PPTP, L2TP et SSTP tout en ayant DirectAccess.

 

Scénario de publication :

Windows 2012 R2 apporte un nouveau rôle nommé WAP (Web Application Proxy). Ce celui-ci permet de prendre en charge certains scénarios jusqu’alors assurés par Forefront UAG 2010. Le tableau-ci-dessous synthétise les fonctionnalités offertes par les deux solutions:

Scénario

Solution possible

Publication simple d’Exchange

WAP ou Forefront UAG

Publication simple de SharePoint

WAP ou Forefront UAG

Publication de Lync WebServices

WAP ou Forefront UAG

Publication Web simple

WAP ou Forefront UAG

Publication d’Exchange avec customisation

Forefront UAG

Publication de SharePoint avec customisation

Forefront UAG

Publication Web avancée

Forefront UAG

Prise en charge de la conformité des postes

Forefront UAG

Mise en œuvre d’un portail

Forefront UAG

Single-sign-on entre les applications publiées

Forefront UAG

Personnalisation avancée

Forefront UAG

BYOD

WAP

Fédération

WAP

Si la solution Forefront UAG est déjà existante dans un réseau il n’est pas nécessaire de migrer vers la solution WAP pour le moment, en effet cette dernière est une solution encore jeune avec certaines limite :

  • Ne propose à ce jour que des scénarios de mise en œuvre « Basiques »
  • Principalement basé sur une pré-authentification AD FS ou pass-through
  • La haute disponibilité se base que sur des répartiteurs de charge matérielle
  • La configuration se trouve stockée dans l’infrastructure AD FS
  • La translation d’URL possède des limitations

 

Voici quelques articles qui présentent comment réaliser la publication des services les plus courants :

En conclusion, la majorité des scénarios de publication courants que nous avions à disposition avec Forefront UAG sont aussi disponibles avec la fonctionnalité Web Application Proxy de Windows Server 2012 R2. A ce jour, la migration de Forefront UAG 2010 vers WAP ne peut être envisagée que pour les scénarios pour lesquels WAP propose le même niveau de fonctionnalité d’UAG.

Auteurs (un peu en retard cette fois) :

FIM 2010 R2 SP1

Le Service Pack 1 de FIM 2010 R2 est désormais disponible, celui-ci introduit bon nombre de fonctionnalités propres à FIM. Pour une liste exhaustive, reportez-vous à la rubrique Technet suivante. Plus généralement, on peur retenir les améliorations suivantes :

  • Support de Windows Serve 2012 comme socle pour FIM 2010 R2
  • Support des contrôleurs de domaine Windows Server 2012 pour le connecteur Active Directory
  • Support de SQL Server comme base de données pour le connecteur SQL Server
  • Support du navigateur Internet Explorer 10
  • Support du système Windows 8 pour le FIM Client-Add-in
  • Support d’Office 2013 pour le FIM Client-Add-in
  • Support d’Exchange 2013 pour le scénario de provisionning de messagerie du connecteur Active Directory
  • Introduction du oracle Management agent regroupant SUN 7X et oracle 11.

Le Service Pack est disponible à cette adresse : KB2772429.

 

Comme pour toute mise à jour majeure de FIM, la recommandation reste la même : Tester sur un environnement représentatif avant de déployer en production.

 

BenoîtS – Simple and Secure by Design but Business compliant

FIM 2010 R2 est enfin RTM

Après un long moment de gestation, FIM 2010 R2 est enfin disponible en RTM. Le produit est disponible pour les abonnés Technet Plus et MSDN. En attendant de pouvoir le télécharger en version d’évaluation, on peut déjà se faire une idée des changements avec les rubriques Technet qui vont bien :

 

BenoîtS – Simple and Secure but Business compliant.

Forefront Identity Manager (FIM) 2010 Capacity Planning Guide

ForeFront identity Management est un produit complexe. Il intègre à la fois une partie technique (qui est tout de même conséquente) ainsi qu’une partie organisationnelle à base de workflow (au moins aussi conséquente si ce n’est plus).

 

Afin que l’assemblage des deux parties produise le résultat attendu, il peut être intéressant de disposer d’éléments de réflexions sur le “capacity planning” de tous les éléments impliqués depuis le matériel, les bases de données, la volumétrie des change opérations.

 

Le document FIM 2010 Capacity Planning Guide de Microsoft propose aussi une démarche pour réaliser un test de performance grandeur nature.

 

Un document à conserver dans un coin histoire de s’assurer que l’infrastructure qui sera mise en œuvre va tenir la route.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Business Ready Security (BRS)

Le meilleur moyen de tester les produits Microsoft, c’est en premier lieu de les mettre en situation. Problème, surtout avec les produits de sécurité, c’est qu’il faut monter un environnement complet. C’est super long à monter.

 

Microsoft met à disposition un environnement comprenant tous les produits de sécurité de l’éditeur (FIM, FCS, PFE, ADFS, RMS, TMG, UAG, DirectAccess), le tout avec un environnement aussi représentatif que possible. Il faut juste un peu plus de 13Go de mémoire vive pour héberger le tout. C’est le Business Ready Security.

 

image

Avec un environnement aussi riche, on peut tester :

  • la publication d’Exchange au travers d’UAG
  • Le contrôle de la confidentialité des mails
  • La protection antispam d’Exchange
  • L’intégration d’Oulook avec AD RMS
  • L’interconnexion avec des partenaires avec ADFS et RMS
  • La sécurisation des flux réseaux avec TMG
  • DirectAccess (une version très allégée)
  • La protection d’Exchange 2010 avec AD RMS
  • La protection de Sharepoint 2007 avec AD RMS
  • La mise en œuvre de la “File Classification Infrastructure” couplé avec RMS
  • La gestion d’identité avec FIM
  • Les workflow FIM au travers d’Outlook
  • Et pour finir, le plat de résistance : Les claims de ADFS V2

 

Le tout est livré avec des scénarios déjà assez intéressants. Bref, que du lourd. Perso, il manque tous les aspect d’équilibrage de charge UAG, mais bon, il faut déjà la mémoire vive pour faire tourner tout le bousin.

 

Petite note : Même si tout est packagé, n’essayez pas de mettre en place ces machines virtuelles sans passer par le script proposé par Microsoft, c’est s’exposé à beaucoup de problèmes, vraiment beaucoup de problèmes.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)