Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Utilizando o IIFP (Identity Integration Feature Pack)

Por Anderson Patricio

O IIFP (Identity Integration Feature Pack) é um serviço gratuito que roda no Windows Server 2003 Enterprise Edition. Com o IIFP podemos gerenciar informações de identidade em um local centralizado, sincronizar informações de identidade, criar novos objetos e sincronizar senhas entre diferentes diretórios.

Até pouco tempo quando era necessário integrar 2 organizações Exchange diferentes era necessário trabalhar junto com a MCS (Microsoft Consulting Services) para fazer tal tarefa. Hoje, com o avanço da tecnologia de diretórios e a demanda cada vez maior de integração para o usuário final ter mais produtividade a Microsoft disponibilizou o IIFP, que é uma ferramenta gratuita e que faz integração e sincronização de diferentes diretórios. O IIFP é uma pequena parte do produto MIIS (Microsot Identity Integration Server), a seguir uma tabela com os repositórios e qual ferramenta é adequada (MIIS ou IIFP):

Repositórios

MIIS

IIFP

Active Directory

X

X

Active Directory Application Mode

X

X

Attribute value pair text files

X

 

Delimited text files

X

 

Directory Services Markup Language

X

 

Fixed width text files

X

 

Global Address Lists (Exchange)

X

X

LDAP Directory Interchange Format

X

 

Lotus Notes/Domino 4.6 & 5.0

X

 

Microsoft NT 4 Domains

X

 

Microsoft Exchange 5.5 Bridgeheads

X

 

Microsoft Exchange 5.5, 2000 & 2003

X

 

Microsoft SQL 7 & 2000 databases

X

 

Novell eDirectory v8.6.2 & v8.7

X

 

Oracle 8i & 9i databases

X

 

SunONE/iPlanet/Netscape Directory

X

 

IBM Informix, DB2, dBase, Access, Excel, OLE DB via SQL DTS

X

 

Como podemos perceber o IIFP é muito específico, ou seja, somente entre Active Directory, ADAM e GAL (Exchange 2000/2003), com qualquer outro tipo de diretório é necessário o uso do MIIS.

CONCEITO DO IIFP

Antes de implementarmos o produto é interessante sabermos o funcionamento do mesmo. A primeira vista o IIFP pode parecer difícil, mas sabendo os seus conceitos e como é a lógica do produto fica muito fácil de ser implementado. Graficamente o IIFP pode ser visto desta forma:

Cc668528.IIFP_01(pt-br,TechNet.10).jpg

O IIFP é composto de e entidades: metadirectory, Connected data sources e Management Agents, que podem ser definidos da seguinte forma:

Metadirectory

É dividido em 2 componentes:

  • Metaverse

    É um conjunto de tabelas de uma base de dados em um servidor Microsoft SQL que contém informações integradas da identidade de múltiplos data sources. Todas informações de identidade são armazenadas em múltiplos connected data sources que ficam em um único objeto chamado metaverse.

  • Connector Space

    É uma área de armazenamento que os management agents usam para mover dados para ou de um connected data source. Cada connected data source tem sua área lógica ou partição em um connector space. O connector space é a representação de cada connected data source, onde cada objeto em um connected data source tem uma entrada correspondente no connector space. O dados que estão no connector space são sincronizados com os dados da metaverse.

Connected data sources

É um diretório, base de dados ou outro tipo de repositório que contenha informações que possam ser integradas na metaverse. O IIFP tem 3 tipos de connected data sources: Active Directory, ADAM e GAL. Sendo que a Gal que o nosso objetivo neste artigo nada mais é que pegar os usuários mail-enabled de uma floresta e criar como Contact na outra floresta.

Management agents

Conecta um connected data source (AD, GAL e/ou ADAM) específico ao metadirectory. O management agent é responsável pela movimentação dos dados entre o connected data source para o connector space, e então determinando qual informação do connector space é sincronizada com o metaverse. Quando os dados no metadirectory são modificados, o management agent pode exportar os dados para o connected data sources para manter o mesmo sincronizado com o metaverse.

INSTALANDO O IIFP

O IIFP tem alguns pré-requisitos para sua implementação:

  • Windows Server 2003 Enterprise Edition

  • SQL Server 2000 Enterprise, Standard ou Developer Edition com Service Pack 3a

  • Criar uma conta simples para o usuário de serviço do IIFP, para o nosso artigo criamos uma conta chamado service.iifp, a mesma não pertence a nenhum grupo somente Domain Users. Importante: Colocar esta conta com um forte esquema de senha.

  • Adicionar a conta de serviço criada nas restrições do computador:

    • Deny users access to log on as a batch job.

    • Deny users access to log on locally.

    • Deny users access to log on by using Terminal Services.

    • Deny users access to this computer from the network.

      Importante: estas restrições são boas práticas de segurança de implementação do IIFP, o mesmo pode ser instalado sem estas restrições.

Como a instalação do produto possui várias telas, as telas que não necessitam de configurações específicas serão colocados em um tamanho menor.

Cc668528.IIFP_02(pt-br,TechNet.10).jpg

Devemos escolher Install Identity Integration Feature Pack 1a. O mesmo pode ser baixado do seguinte site http://www.microsoft.com/downloads e procurarmos por IIFP, devemos baixar a versão mais nova do produto.

Cc668528.IIFP_03(pt-br,TechNet.10).jpg

A primeira janela sera o "Welcome to the Identity Integration Feature Pack Setup Wizard", devemos clicar em Next;

Cc668528.IIFP_04(pt-br,TechNet.10).jpg

Janela de licenciamento. Devemos marcar "I accept the terms of the license agreement"

Cc668528.IIFP_05(pt-br,TechNet.10).jpg

Tipo de instalação, deve ser escolhido Complete ou Custom, vamos optar por Custom.

Cc668528.IIFP_06(pt-br,TechNet.10).jpg

Todos as opções ficam marcadas por padrão

Cc668528.IIFP_07(pt-br,TechNet.10).jpg

O setup do IIFP questiona onde será o servidor SQL e sua instância. Em nosso laboratório o servidor SQL está instalado na mesma máquina devemos marcar: This computer e The default database.

Cc668528.IIFP_08(pt-br,TechNet.10).jpg

Localização dos arquivos da base de dados do SQL: no diretório e instalação do IIFP ou no padrão do SQL, optamos por "Identity Integration Feature Pack folder"

Cc668528.IIFP_09(pt-br,TechNet.10).jpg

Conta que criamos que será a conta de serviço do IIFP. Nota: Esta conta serve somente para o serviço do IIFP.

Cc668528.IIFP_10(pt-br,TechNet.10).jpg

Os grupos criados por padrão na instalação do produto. As seguintes permissões são atribuídas a cada grupo:

MIISAdmins: Acesso completo no Identity Manager;

MIISOperatos: Acesso de operação no Identity Mnager (rodar management agents, visualizar sincronização e salvar histórico para um arquivo)

MIISJoiners: Acesso ao Joiner e Metaverse Search no Identity Manager.

MIISBrowse: funciona em conjunto com outros grupos para abrir links nas sincronizações.

Cc668528.IIFP_11(pt-br,TechNet.10).jpg

Janela de início da instalação.

Cc668528.IIFP_12(pt-br,TechNet.10).jpg

Aparecerá a mensagem "Warning 25061: The Identity Integration Feature Pack service account is not secure...", isto ocorre quando as restrições não estão aplicadas ao computador.

Cc668528.IIFP_13(pt-br,TechNet.10).jpg

Nesta janela ele informa que irá criar um backup da chave de criptografia. Clicando no Ok será aberto uma janela onde devemos salvar a chave criptografada do IIFP.

Cc668528.IIFP_14(pt-br,TechNet.10).jpg

Esta chave é utilizada para todas transações que o IIFP utiliza com sincronismo de senha.

Cc668528.IIFP_15(pt-br,TechNet.10).jpg

Finalizando a instalação do IIFP

Para validarmos o êxito do processo de instalação devemos verificar se foram criados quatro grupos (MIISAdmin, MIISBrowsers, MIISJoiners, MIISOperator) na máquina ou domínio (isto depende se a instalação do IIFP foi feita em um servidor membro ou controlador de domínio consequentemente).

Tendo esta validação devemos dar um logoff após a instalação e um novo logon e deve-se abrir a tela principal do IIFP o Identity Manager:

Cc668528.IIFP_16(pt-br,TechNet.10).jpg

CONCLUSÃO

Nesta primeira parte, verificamos como o IIFP funciona e como é feita sua instalação de acordo com as boas práticas de segurança da Microsoft, no próximo artigo iremos validar a sincronização da GAL entre duas florestas Active Directory.

Anderson Patricio
MSN: ander.patricio@terra.com.br

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft