2

UMRA - Présentation

UMRA - User Management Resource Administrator
Avant de parler un peu plus de l'application, je voudrais vous faire part de mes premières impressions sur ce logiciel.
UMRA est la première application que j'ai découvert à mon arrivée chez Tools4ever et je dois dire qu'elle ne m'a pas laissé de marbre!
Il fût un temps où j'étais développeur (Java, VB...) d'applications dans le domaine de l'infogestion, je me souviens par exemple de tout le temps que je pouvais perdre à devoir ré-implémenter des classes pour accéder à des bases de données...
Quelle fût ma réaction lorsqu'on m'a présenté UMRA : "Pardon, il est possible de lancer une requête SQL juste en glissant-déposant l'objet update database???"
Étonnant!
Vous l'avez surement deviné, UMRA est un environnement de scripting autour de la gestion d'identités. Les objets UMRA permettent par exemple de gérer un annuaire Active Directory ou bien d'accéder à des données dans une base Oracle. De plus, il est possible de créer des formulaires que l'on pourra par exemple proposer à un service de support informatique.
Si l'on me demandait de résumer en quelques mots UMRA, je dirais:

  • facilité: pas besoin de connaitre un langage de programmation
  • rapidité: un script se construit par drag'n'drop d'objets
  • fiabilité: réduction considérable des bugs potentiels par rapport à un développement lourd (C++, Java...)
UMRA se décompose en trois éléments qui seront abordés dans les paragraphes suivant.


UMRA - Console d'Administration
La console d'administration est l'emplacement où l'on va pouvoir créer ses scripts et formulaires.
Cette console se connecte dès son lancement à un serveur exécutant un service UMRA.
Sur la partie gauche de la capture d'écran suivante, vous pouvez voir l'ensemble des objets UMRA permettant de gérer un compte "user" sur un AD.


UMRA - Service
Pour s'exécuter correctement, UMRA nécessite l'installation d'un service sur un serveur. Ce service est le point central de l'architecture de l'environnement logiciel: C'est lui qui analysera les requêtes et fournira les ressources vers la(les) console(s) d'administration et l'(les) application(s) Forms. Lors de son installation, un compte UmraSvcAccount, membre du groupe Admins du domaine, est crée pour exécuter le service.




UMRA - UMRA Forms
L'application UMRA Forms permet d'accéder aux formulaires qui ont été précédemment crées dans la console d'administration. Typiquement, cette application est utilisée par les administrateurs système pour déléguer par exemple la création de compte dans l'AD aux membres du service support, sans pour autant que ces derniers aient accès à l'AD.




UMRA - Exemples d'utilisation
UMRA est implémenté principalement chez nos clients pour répondre à des problématiques de:
  • Synchronisation d'un annuaire avec le SIRH : Synchronisation Active Directory avec HR Access.
  • Synchronisation de mot de passe : Synchronisation du mot de passe Windows avec celui de SAP.
  • Délégation de tâches: Délégation de la création de compte utilisateur dans un AD.
  • Reporting Active Directory.
  • Portail Web pour la gestion des utilisateurs.

La seule limite d'UMRA est l'inventivité de son utilisateur!

0

SSRPM - Droits du compte de service SSRPM

SSRPM - Réduire les droits du compte de service SSRPM
J'ai décidé d'écrire cet article car récemment, lors d'une implémentation de SSRPM chez un de nos clients, un des souhaits de ce dernier était de réduire au maximum les droits du compte de service SSRPM.
Par defaut, le service SSRPM est exécuté par le compte de service "SSRPMSvcAccnt", compte membre du groupe "Admins du domaine".
Mais est-il possible de réduire les privilèges de ce compte sans pour autant que le service en soit degradé? Of course !

Voici la procédure:

  1. Nous devons créer un groupe de sécurité globale que nous nommerons : "SSRPM_AGENT"
  2. Editons ensuite les propriétés du compte dans "Utilisateurs et ordinateurs Active Directory":(clique droit sur le compte > propriété >onglet sécurité > avancé > onglet autorisations > Ajouter => Ajouter le groupe SSRPM_AGENT)
  3. Dans la nouvelle fenêtre, dans le champs appliquer, sélectionner "objets utilisateur descendants"
  4. Cocher les autorisations suivantes : "Lister contenu, Lire toutes les propriétés, Ecrire toutes les propriétés, Autorisations de lecture, Modifier le mot de passe, Réinitialiser mot de passe"
  5. Editons le compte de service "SSRPMSvcAccnt" dans "Utilisateurs et ordinateurs Active Directory". Il ne doit plus être membre du groupe "Admins du domaine" et doit être membre du groupe "SSRPM_AGENT"
  6. redémarrer le service "Self Service Reset Password Management Service"

Voila !

0

SSRPM – Présentation

SSRPM – Self Service Password Reset SSRPM
Le 1er article de mon blog portera sur un produit de ma société (Tools4ever) nommé Self Service Password Reset Manager (SSRPM). Alors, que peut donc bien faire cette application ? SSRPM offre aux utilisateurs le pouvoir de réinitialiser leur propre mot de passe dans Active Directory 24H/24 7j/7 en répondant à une série de questions accessibles par l’intermédiaire d’une extension de la GINA ou par une interface web. L'administrateur du système peut ajouter/supprimer des utilisateurs à SSRPM par OU ou Groupes. Il est aussi possible de modifier plusieurs options définissant comment l’utilisateur peut s’enrôler dans le système. Par exemple, l’utilisateur pourra choisir de répondre à une question prédéfinit dans SSRPM ou de définir ses propres questions.


SSRPM - SSRPM GINA
J'ai abordé dans le 1er paragraphe l'existence de deux méthodes pour réinitialiser le mot de passe. Parlons de la 1ere : Extension de la GINA!
Pour étendre la GINA de Windows, il est nécessaire d'installer une application sur le poste client. Typiquement, l'installation d'une telle application est déployée par GPO. Tools4ever livre un modèle d'administration pour SSRPM permettant ainsi de configurer différentes options lors du déploiement. Si vous regarder l'image en dessous, un bouton "mot de passe oublié" à été ajouté à la fenêtre d'identification de Windows. Si l'utilisateur clique sur ce bouton, il entre dans le processus de réinitialisation de son mot de passe: il devra répondre aux questions qu'il aura définit précédemment puis redéfinir un nouveau mot de passe.




SSRPM –SSRPM Web Interface / Portal
La Deuxième méthode pour réinitialiser le mot de passe est celle du Portail Web.
SSRPM est livré avec des sources ASP permettant de déployer un portail clé en main! Le portail s'installe sous un environnement Microsoft IIS avec support de l'ASP. Sa mise en place permettra d'effectuer toutes les taches relatives à SSRPM : Enrôlement, réinitialisation et même le déverrouillage de compte (dans Active Directory). Les sources ASP du portail utilisent des feuilles de styles CSS ce qui veut dire que son graphisme peut être facilement adapté à une charte graphique donnée. En dessous, voici une capture d'écran du portail.

Inscription à : Messages (Atom)
 

2009 ·UMRA - SSRPM - ESSOM by TNB

PostsComments