Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft ИТ-инфраструктура Планирование, управление и контроль Введение в диспетчер управления жизненным циклом удостоверений Identity Lifecycle Manager 2 RSS

Введение в диспетчер управления жизненным циклом удостоверений Identity Lifecycle Manager 2

Текущий рейтинг: 4 (проголосовало 6)
 Посетителей: 1794 | Просмотров: 2767 (сегодня 0)  Шрифт: - +
Новый выпуск Microsoft Identity Lifecycle Manager "2" (or ILM "2"), находившегося в третьей бета-версии на момент написания данной статьи, развивает возможности управления удостоверениями содержащиеся в Microsoft Identity Integration Server 2003 (MIIS 2003) и ILM 2007. Он предлагает множество новых функций и усовершенствований – возможность снижать затраты с помощью средств самообслуживания, повышать соответствие требованиям безопасности при помощи моделирования бизнес-процессов и снижать время разработки посредством интуитивных средств разработки.

В этой статье я хочу показать ключевые новые функции и усовершенствования и рассказать о преимуществах, которые ILM "2" может дать организации. В частности, я рассказу о предоставляемых ILM "2" порталах для управления профилями и группами пользователей, управление паролем самообслуживания, разработке бизнес-процессов и рабочих процессов, интеграции с Microsoft Office и возможности разрабатывать правила синхронизации без использования кода (известной как предоставление без помощи кода). Наконец, я охвачу такую немаловажную вещь как аппаратные, программные и пробные лицензионные требования для применения ILM "2".


Взаимодействие с порталом

Веб-портал является одним из наиболее заметных компонентов, добавленных к ILM "2", поскольку это первый раз, когда корпорация Майкрософт включила в продукт интерфейс для выполнения функций самообслуживания конечными пользователями. Этот веб-интерфейс предоставляет точку входа для пользователей, удостоверивших свою подлинность и для администраторов, давая возможность управлять пользователями и группами, определять бизнес правила и даже позволять разработку предоставления без помощи кода для предоставления учетных записей.

ILM "2" пользуется встроенной проверкой подлинности Windows с помощью Active Directory, так что организации могут использовать существующих пользователей и группы, уже определенные в Active Directory для предоставления новым пользователям проверки подлинности и авторизации. Те, у кого есть административные привилегии, могут выполнять административные функции, такие как определение рабочих процессов для процессов и настройка правил синхронизации, а также выполнение задач, которые могут выполнять конечные пользователи.


Администратор

При входе в портал, те, кто имеет административные привилегии, могут получить доступ к большему числу функций, чем простые пользователи (см. рис. 1). Они могут просматривать и обновлять существующие записи, а также запрашивать учетные записи для новых сотрудников в подключенном каталоге.

*
Увеличить

Рис. 1. Портал ILM “2”

При настройке нового пользователя с помощью этого портала, можно предоставить такие сведения о пользователе, как имя, отображаемое имя, адрес электронной почты, начальная дата, конечная дата и так далее. И поля на странице могут быть настроены по мере необходимости. Используя визуализации объектов, можно расширить схему портала, чтобы он запрашивал данные почти любого вида, скажем, размер обуви сотрудника.

Механизм синхронизации обнаруживает новые записи и изменения, внесенные из портала и предоставляет должным образом информацию о пользователе в подключенном каталоге. Процесс предоставления учетных записей в подключенных каталогах с использованием механизма синхронизации идентичен таковому процессу в ILM 2007. Ключевое изменение здесь заключается в том, что администраторы могут вводить и обновлять информацию о сотруднике через портал, а портал, вслед за этим, питает механизм синхронизации, предоставляя более гибкий способ сбора и обновления информации о пользователях в подключенных каталогах.

Базы данных людских ресурсов часто не содержат работников на контрактной основе и временных работников, таких как практикующие студенты, затрудняя управление этими ресурсами. И эти учетные записи часто создаются вручную в различных приложениях, из-за чего несложно бывает забыть вручную удалить их, когда это необходимо. Это создает потенциал для брешей в безопасности, когда учетная запись остается активной после того, как пользователь покидает организацию.

Одним из подходов является использование ILM "2" для предоставления профилей временным работникам и их отслеживания. База данных HR остается главным источником записей о сотрудниках и работающих на контрактной основе, тогда как портал просто дополняет базу данных HR как еще один способ ввода и дополнения профилей.


Для обычного пользователя

Портал также помещает часть полномочий в руки обычных пользователей. Пользователи могут обновлять часть своей информации и эта информация затем передается подключенным каталогам, опять же с использованием механизма синхронизации ILM "2". Администратор может настроить, какие атрибуты могут обновляться пользователями и утвердить формат информации, вводимой пользователями в поля. Такой подход позволяет держать данные более свежими в различных источниках данных.

Это ярко контрастирует с неуклюжими методами, используемыми сейчас. Чтобы дать пользователям возможность обновлять их собственную информацию, многие организаторы полагаются на решения телефонных книг от сторонних производителей или создают свои собственные решение внутренне. Другие организации даже требуют от пользователей вызывать службу поддержки или заполнять бумаги, для обновления информации.

Оба эти подхода имеют серьезные недостатки. Приложения от сторонних производителей и самостоятельно созданные решения могут быть очень дорогими и сложными в обслуживании. И обновленная информация, содержащаяся в одном из этих решений, обычно не использует механизма синхронизации, чтобы затем обновить другие подключенные каталоги. В то же время, вызовы в службу поддержи для обновления информации могут намного увеличить расходы на ИТ-поддержку и связать персонал выполнением относительно тривиальных задач.


Для управления группами

Администраторы теперь могут предоставлять группы безопасности и списки рассылки с членством в подключенных каталогах, путем определения запросов для классификации членства на основе значений атрибутов пользователей или имен. Все операции могут выполняться с помощью простого веб-интерфейса пользователя. Подготовка групп, путем прямого добавления пользователей, прямолинейна, но поддерживаются и более сложные сценарии.

Можно предоставлять группам вычисляемое членство, можно создавать группы, основанные на отношениях отчетности и конкретных атрибутах. Это производится путем определения действия рабочего процесса. Например, администратор может определить запрос для сведения в группы всех пользователей внутри отдела маркетинга, назначив значение "marketing" в имя группы (All Users in Marketing). Механизм синхронизации ILM "2" импортирует группу в соответствии с определением и предоставляет данные группам в подключенном каталоге. Используя булеву логику для поиска нескольких атрибутов, можно легко создавать сложные запросы.

Конечные пользователи могут также создать через портал список рассылки и добавить себя в него, либо удалить из него. Сюда можно включить логику утверждения рабочего процесса, чтобы лишь утвержденные списки рассылки или авторизованные пользователи могли бы присоединиться к списку.

Предыдущие версии ILM позволяли управлять группами через веб-интерфейс, но это требовало отдельной загрузки – она включалась в раздел подготовки и рабочего процесса инфраструктуры управления идентификаторами и доступом Майкрософт. Это решение было предназначено только для администраторов и не позволяло конечным пользователям присоединяться к выделенным группам или покидать их.

На веб-портале также можно выполнять функции администрирования. Некоторые из заслуживающих упоминания административных возможностей включают:

  • Приоритезацию типов объектов, предоставляемых подключенному каталогу. (Это позволяет гарантировать, что определенным объектам не придется ждать выполнения всего цикла синхронизации, чтобы быть предоставленными.)
  • Модификация схемы на странице профилей пользователей. (Схема страницы по сбору информации пользователей может быть расширена, чтобы включать поля, относящиеся к требованиям конкретной организации.)
  • Обновление состояния учетных записей пользователей.
  • Изменение внешнего вида и функций веб-узла. (Это позволяет индивидуализировать портал, для соответствия стандартам организации.)

Самообслуживание при управлении паролем

Другой новой и ключевой функцией ILM "2" является решение самообслуживания при управлении паролем. Два решения управления паролем, доступные в ILM 2007 (веб-решение и служба уведомления об изменении пароля) имели ограниченные возможности самообслуживания. Оба требовали от пользователя ввести его старый пароль, чтобы сбросить его пароль и, таким образом, были довольно бесполезны, когда речь заходила о забытом пароле – в таком случае, пользователю приходилось вызывать службу поддержки.

ILM "2" решает эту проблему, позволяя пользователям сбрасывать пароли, с помощью вопросов вызов/ответ, доступ к которым может быть получен из интерфейса пользователя входа в систему Windows. Очевидно, что это может помочь в уменьшении затрат на службу поддержки.

После того, как приложение управления паролями развернуто и пользователь входит в систему первый раз, появится экран, требующий от пользователя ответа на ряд вопросов (каким был его автомобиль, в каком городе он родился и так далее). Диалог сброса пароля показан на рис. 2.

*
Увеличить

Рис. 2. Экран сброса пароля

Администратор может указать тип и число вопросов, которые следует использовать. Он также может указать число шлюзов (каждый шлюз содержит набор вопросов). Вдобавок, администратор может настроить число вопросов, на которые пользователь должен суметь ответить перед получением возможности сбросить пароль или перейти к следующему шлюзу.

Чтобы предоставить должный уровень безопасности, число шлюзов и вопросов, на которые пользователь должен правильно ответить, можно привязать к группам безопасности Active Directory. Например, от пользователей в группе безопасности руководителей может требоваться проход через три шлюза, с правильными ответами на все вопросы. От пользователей в группе безопасности маркетинга, с другой стороны, может требоваться проход лишь через один шлюз с правильными ответами на два из трех вопросов. Если же предоставлять пользователям возможность сбрасывать пароли из механизма входа в систему Windows нежелательно, то есть возможность предоставления веб-интерфейса для сброса паролей.


Интеграция с Office

Механизм интеграции ILM "2" позволяет пользователям управлять членством в группах изнутри Microsoft Office Outlook, как показано на рис. 3. Это предоставляет знакомый способ доступа к обычным задачам, таким, как присоединение к списку рассылки, а также добавление других пользователей в группу и удаление из нее (Outlook 2007 и более поздние версии).

*
Увеличить

Рис. 3. Интеграция с Outlook

Пользователь может выбрать присоединение к группе, просмотреть глобальный список адресов, выбрать группы, к которым желает присоединиться, либо вывести себя из группы и затем просто послать запрос. Владелец списка рассылки получает запрос по электронной почте и может одобрить или отвергнуть его изнутри Outlook. Если владелец группы одобряет запрос, запускается механизм синхронизации ILM для завершения процесса.


Управление бизнес-процессами

Управление бизнес процессами и рабочими процессами лежит в основе всех ключевых сценариев работы ILM "2." К счастью, логику бизнес-процессов и рабочих процессов можно подогнать под требования конкретной организации. Например, можно указать, чтобы определенные события вызывали серию автоматических действий, известных как процессы (см. рис. 4).

*
Увеличить

Рис. 4. Настройка рабочих процессов

Администратор может связать событие с одним из трех типов процессов: проверки подлинности, авторизации или действия. Например, выбор такого типа процесса, как авторизация, позволит владельцу одобрять все запросы на присоединение к группе или выход из нее. При выборе рабочего процесса авторизации, можно также определить имена и число одобряющих и число дней, в течении которого одобрение действительно.

Комплексные рабочие процессы можно определить так, что все операции удаления, выполняемые с группами, должны быть одобрены администраторами и требовать от пользователей проверки подлинности с помощью процесса вызов/ответ. Все пользователи, включая администраторов, должны проходить через процесс проверки подлинности, отвечая на вопросы, зарегистрированные ими в ходе первоначального периода регистрации, для удостоверения их личности.

После того, как процесс проверки подлинности завершен, запрос на удаление группы отсылается одобряющему на авторизацию. Процесс авторизации подтверждает разрешение пользователя на запрос операции. Наконец, одобряющий одобряет запрос и ILM выполняет операцию удаления.

Способность разработать комплексный рабочий процесс с использованием встроенного средства является существенным добавлением к ILM; ранее решения вроде этого требовали построения процесса одношаговой подготовки в наборе ресурсов MIIS или решения от стороннего производителя. Теперь также доступны API веб-службы, так что можно продвинуться на шаг дальше в деле индивидуализации рабочих процессов и интеграции их с ILM "2".


Предоставление без помощи кода

Предоставление без помощи кода позволяет ИТ-специалистам выполнять основную часть задач, ранее требовавших разработки кода. ILM 2007 требовал использовать Microsoft Visual Studio для разработки расширений правил и подготовки кода для преобразования атрибутов и объектов в подключенном каталоге.

Из веб-интерфейса пользователя можно определить тип объектов, правила фильтра, условие предоставления, отношения объектов между метавселенной и пространством соединителя, правило удаления и поток данных. Отображается все сопоставление потока данных, определенное в конструкторе агента управления, позволяя отредактировать совпадение для соединения и форматирования передачи атрибутов во входящих и исходящих потоков. Те же, кто предпочитает писать код, по-прежнему могут разрабатывать функции, создавая правила расширения и предоставления для ILM "2".


Заключение

ILM "2" предлагает диапазон новых функций, которые могут помочь в упрощении управления и уменьшении затрат на службу поддержки. От новых функций портала и самообслуживания, являющихся весьма необходимыми дополнениями, до предоставления без помощи кода, новые функции помогут как администраторам так и конечным пользователям, упрощая задачи и помогая конечным пользователям быть более продуктивными. Имеются и другие заманчивые улучшения, такие, как улучшенная функция управления жизненным циклом сертификатов и повышенная соединяемость с расширяемостью, позволяемые возросшим числом агентов управления.

ILM "2" должен стать доступен в первой половине 2009 года. Дополнительные сведения можно найти на веб-узле Майкрософт Identity Lifecycle Manager "2".

Автор: Онг Оо  •  Иcточник: TechNet Magazine  •  Опубликована: 10.02.2009
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.