Guide d’installation de Microsoft BHOLD Suite

Microsoft® BHOLD Suite est une collection d’applications qui, lorsqu’elles sont utilisées avec Microsoft Identity Manager 2016 SP2 (MIM), ajoutent une gestion et une attestation de rôle efficaces à MIM. Microsoft BHOLD Suite SP1 se compose des modules suivants :

• Composant principal BHOLD
• Connecteur de gestion des accès
• BHOLD Rapports
• Attestation BHOLD

BHOLD n’est pas recommandé pour les nouveaux déploiements. Microsoft Entra ID fournit désormais des révisions d’accès, qui remplacent les fonctionnalités de campagne d’attestation BHOLD et la gestion des droits d’utilisation, qui remplace les fonctionnalités d’attribution d’accès.

Présentation de ce document

Ce document explique comment planifier votre déploiement BHOLD pour répondre aux besoins de votre entreprise et installer chaque module BHOLD. Pour chaque module, matériel, infrastructure et configuration logicielle appropriée, configuration réseau de préinstallation, informations requises lors de l’installation et étapes de postinstallation, le cas échéant, sont détaillées.

Connaissances préalables requises

Ce document suppose que vous avez une compréhension de base de l’installation de logiciels sur des ordinateurs serveur. Il part également du principe que vous avez des connaissances de base sur les services de domaine Active Directory®, Forefront ou Microsoft Identity Manager (FIM) et le logiciel de base de données Microsoft SQL Server 2012. Une description de la mise en place et de la configuration des technologies dépendantes telles que AD DS et FIM est hors du cadre de cette documentation. Pour plus d’informations sur les fonctions que les modules Microsoft BHOLD exécutent, consultez le guide des concepts de la suite Microsoft BHOLD.

Public visé

Ce document est destiné aux planificateurs informatiques, aux architectes de systèmes, aux décideurs technologiques, aux consultants, aux planificateurs d’infrastructure et au personnel informatique qui envisagent de déployer Microsoft BHOLD Suite.

Considérations relatives à l’infrastructure BHOLD

Le plus souvent, BHOLD et FIM sont utilisés dans un environnement d’infrastructure volumineux. Vous pouvez adapter votre architecture BHOLD et FIM pour répondre à vos besoins métier particuliers. Les sections suivantes fournissent des solutions architecturales possibles. Cette vue d’ensemble n’est pas une liste complète de toutes les options possibles, mais suggère des façons de déployer BHOLD dans votre réseau.

Cette section traite des rubriques suivantes :

• Architecture à serveur unique
• Architecture double serveur
• Architecture à deux niveaux
• Recommandations SQL Server

Architecture à serveur unique

Pour le déploiement dans de petites organisations ou à des fins de développement, vous pouvez installer BHOLD et FIM sur le même serveur que SQL Server et AD DS, comme illustré dans la figure suivante.

Lorsque BHOLD Suite SP1 et le portail FIM sont installés ensemble sur un serveur unique, vous devez créer différents alias d’hôte (enregistrements CNAME ou A) dans DNS pour BHOLD et pour FIM. Cela permet de créer des noms de principal de service distincts pour les services BHOLD et FIM. Pour plus d’informations, consultez Installation du composant principal BHOLD. Pour obtenir des conseils sur l’installation de FIM dans une configuration à serveur unique, consultez Common Configuration for Getting Started Guides in the Microsoft TechNet Library.

Architecture double serveur

L’installation de BHOLD Core et de FIM sur des serveurs distincts offre des performances et une flexibilité accrues pour les organisations de taille moyenne qui n’ont pas besoin d’un déploiement plus complexe, tel que celui fourni par des architectures multiniveau. La figure suivante montre BHOLD et FIM installés sur leurs propres serveurs ; le serveur FIM exécute également SQL Server pour fournir des services de base de données à BHOLD et FIM. Le service de synchronisation FIM exécuté sur le serveur FIM synchronise les modifications entre les bases de données FIM et BHOLD.

Architecture à deux niveaux

Dans la plupart des environnements, en particulier ceux où les performances sont importantes, vous devez exécuter BHOLD Suite SP1, FIM et SQL Server sur des serveurs distincts (architecture à deux niveaux). Avec une architecture à deux niveaux, les ressources de mémoire et d’UC sont dédiées pour chaque niveau. L’illustration suivante montre une méthode possible pour configurer une architecture à deux niveaux. Le service de synchronisation FIM exécuté sur le serveur FIM synchronise les modifications entre les bases de données FIM et BHOLD.

Recommandations SQL Server

Si vous déployez BHOLD dans une grande organisation, il est vivement recommandé de suivre ces instructions pour configurer la base de données Microsoft SQL Server :

• Déployez SQL Server sur un serveur distinct de tous les services FIM ou BHOLD.
• Isolez le fichier journal du fichier de données au niveau du disque physique.
• Si vous utilisez RAID pour fournir une redondance de stockage, utilisez raid niveau 10 (1+0). N’utilisez pas raid niveau 5.
• Veillez à configurer les paramètres appropriés lors de l’utilisation de plus de 2 Go de mémoire physique pour le serveur exécutant SQL Server.

Pour plus d’informations sur les meilleures pratiques sql Server, consultez les 10 meilleures pratiques de stockage dans la bibliothèque Microsoft TechNet.

Mise à jour de la liste des certificats approuvés

Windows peut être configuré pour valider les chaînes de certificats avant de démarrer un service. Sur ces systèmes, un service ne peut pas démarrer si le code exécutable du service a été signé avec un certificat qui n’est pas dans la liste de certificats approuvés (TCL) du serveur. Le logiciel Microsoft BHOLD Suite SP1 est signé à l’aide d’une chaîne de certificats de signature de code qui provient du certificat Microsoft Root Certificate Authority 2010. Windows peut être configuré pour récupérer des certificats racines à partir de Microsoft via une connexion Internet. Toutefois, sur un système déconnecté, Windows Server inclut uniquement les certificats qui étaient présents dans le programme racine avant le lancement de Windows. Dans les versions de Windows Server antérieures à Windows Server 2010, ces certificats n’incluent pas le certificat racine nécessaire pour valider la chaîne de certificats de signature de code BHOLD Suite SP1. Si vous envisagez d’installer un ou plusieurs modules Microsoft BHOLD Suite SP1 sur un système qui n’ont peut-être pas de TCL à jour, vous devez télécharger et installer le package de mise à jour racine ou utiliser la stratégie de groupe pour installer le package de mise à jour racine, avant d’installer un module BHOLD Suite SP1. Pour plus d’informations, consultez les membres du programme de certificat racine Windows.

Installation de BHOLD Suite SP1 sur Windows Server 2012/2016 Étape requise

Si vous installez BHOLD Suite SP1 sur Windows Server 2012 ou 2016, les pages web BHOLD ne seront pas disponibles tant que vous ne modifiez pas le fichier applicationHost.config situé dans C:\Windows\System32\inetsrv\config. Dans la <globalModules> section, ajoutez preCondition="bitness64 à l'entrée qui commence <add name="SPNativeRequestModule" afin qu'il se lise comme suit :

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

Après avoir modifié et enregistré le fichier, exécutez la commande iisreset pour réinitialiser le serveur IIS.

Mise à niveau de BHOLD Suite

Vous ne pouvez pas mettre à niveau une installation BHOLD Suite existante. Au lieu de cela, vous devez désinstaller une installation existante de BHOLD Suite avant de pouvoir mettre à jour les modules BHOLD. Si vous disposez d’un modèle de rôle BHOLD existant, vous pouvez mettre à niveau la base de données BHOLD et l’utiliser lorsque vous installez le module BHOLD Core mis à jour. Pour plus d’informations, consultez Remplacer BHOLD Suite par BHOLD Suite SP1.

Étapes suivantes

• référence pour les développeurs BHOLD
• historique des versions BHOLD