AD Domain und AD LDS via MIM 2016 synchronisieren

Wie bereits im Artikel zu AD LDS Proxy Authentication beschrieben, lässt sich selbige hervorragend für die zentrale Weiterleitung von Anmeldeanforderungen nutzen. Damit die AD LDS Instanz eine Weiterleitung auslösen kann, müssen die Benutzerobjekte aus der Active Directory Domain als sogenannte userProxy Objekte im AD LDS vorhanden sein. Wie diese Objekte mit Unterstützung der MIM 2016 Sync Engine erzeugt und verwaltet werden können, werde ich in diesem Artikel beschreiben:

MIM 2016 Sync Engine

Seit April 2015 ist die Sync Engine des MIM 2016 / FIM 2010R2 lizenzkostfrei einsetzbar. Es bietet sich daher an, die userProxy Objekte mittels MIM 2016 anzulegen. Eine komplette Anleitung zur Installation und Konfiguration von MIM 2016 zu beschreiben, würde hier den Rahmen des Artikels sprengen. Der Beitrag wird sich aus diesem Grund auf die speziellen Einstellungen zur Erzeugung von userProxy Objekten beziehen.

AD Domain und AD LDS synchronisieren

In unserem Beispiel sollen eine Active Directory Domain mit einer AD LDS Instanz synchronisiert werden. Die AD Domain wird mittels Active Directory Management Agent (AD MA) angebunden. Für die AD LDS Instanz wählen wir den AD LDS Management Agent (AD LDS MA).

Ziel der Konfiguration ist es, in AD LDS ein userProxy Objekt anzulegen, welches als ObjectSID die ObjectSID des Active Directory Benutzers hat. Kurz: Die Synchronisation von Objekten zwischen AD Domain und AD LDS. Der AD MA wird die Benutzerobjekte aus der AD Domain einlesen und sogenannte Hologramme in der MIM 2016 Metaverse anlegen.

Active Directory Management Agent (AD MA)

Damit die ObjectSID der AD Konten in der MIM Metaverse verfügbar werden, müssen wir einen Attribute Flow dafür konfigurieren. ObjectSID (AD) → ObjectSID (MV). Um das AD LDS Objekt mit weiteren Attributen anreichern zu können, empfiehlt es sich hier weitere Eigenschaften hinzuzufügen, z.B. SamAccountName, Displayname, Vorname, Nachname usw.

Active Directory Lightweight Directory Services Management Agent (AD LDS MA)

Wichtig bei der Konfiguration des AD LDS MA ist, dass wir den Object-Type “userProxyFull” auswählen, da dieser sonst bei der Konfiguration des Attribute-Flow nicht zur Verfügung stehen wird. Erst durch das Setzen des Häkchens „show all“ wird der Object-Type auswählbar.

AD LDS Object-Provisioning

Die FIM 2010R2 / MIM 2016 Sync Engine ist „out-of-the-box“ leider nicht fähig Objekte in einer AD Domain oder AD LDS Instanz anzulegen.
Um dies zu bewerkstelligen muss eine sogenannte „Metaverse Rules Extension“ eingebunden werden.

„Metaverse Rules Extensions“ sind DLLs, welche als C# Code z.B. in Visual Studio erstellt werden können. Die Entwickler der Firstattribute AG haben uns hier tatkräftig unterstützt und eine Extension für die Provisionierung von AD LDS Objekten erzeugt. Kontaktieren Sie uns, wenn Sie Unterstützung benötigen.

Bei der Konfiguration des AD LDS MA Attribute-Flow (MV → AD LDS) stell man fest, dass MIM 2016 es nicht zulässt die ObjectSID des AD LDS Objekts direkt zu beschreiben.

Auch hier kann die „Metaverse Rules Extension“ unterstützen und die ObjectSID des AD LDS Objektes beschreiben. Ein Auszug aus einem Beispiel Code für eine einfache Metaverse Rules Extension könnte so aussehen:

csentry =          ConnectorSpace Object des AD LDS MA
mventry =        Metaverse Obiect

Es wird ein AD LDS Objekt angelegt, bei welchem lediglich der CN und die ObjectSID gefüllt sind. Die weiteren Eigenschaften des Objekts können per Attribute Flow hinzugefügt werden. Das Bild des Attribute Flow der MIM Sync Engine zeigt nochmals den speziellen Object-Type „userProxyFull“ der AD LDS Instanz.

Zusammenfassung

Die Management Agents (AD MA / AD LDS MA) der MIM 2016 Sync Engine synchronisieren die Eigenschaften der Objekte von der AD Domain in die AD LDS Instanz. Für die Anlage neuer Objekte in der AD LDS Instanz muss eine Metaverse Rules Extension eingesetzt werden.

Haben Sie Interesse an einer AD LDS Proxy Authentication mit MIM 2016 Synchronization – dann sprechen Sie uns an. Die Consultants und Entwickler der Firstattribute AG unterstützen Sie gerne.