Funzionalità IO: gestione dell'identità e degli accessi - dal livello Base al livello Standard
In questa pagina
.gif){kind=icon}
Introduzione
Requisito: servizi directory per l'autenticazione degli utenti
Introduzione
La gestione dell'identità e degli accessi è una funzionalità relativa all'ottimizzazione dell'infrastruttura principale e costituisce la base per l'implementazione di molte funzionalità nel modello di ottimizzazione dell'infrastruttura. Nella seguente tabella vengono elencate le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Standard nella gestione dell'identità e degli accessi.
Sfide |
Soluzioni |
Vantaggi |
|---|---|---|
Gli utenti ricevono continuamente richieste di autenticazione e riscontrano problemi durante l'accesso Un numero troppo elevato di archivi di identità utente da gestire Mancata coerenza nell'accedere alle risorse Rischio di accesso non autorizzato alle informazioni riservate Difficoltà nell'implementazione della conformità alle norme di legge vigenti (Sarbanes – Sarbanes-Oxley, HIPAA, ecc.) I nuovi assunti devono attendere per accedere ai sistemi, riducendo quindi la produttività Sfide IT Aumento dei costi per il supporto tecnico associato alla reimpostazione delle password e alle richieste di accesso Perdita delle identità gestite in modo centralizzato, assenza di una visualizzazione chiara del ciclo di vita delle identità Gli account orfani comportano rischi per la protezione Le identità variano da un sistema all'altro, assenza di un archivio centrale per le identità |
Progetti Implementazione del servizio directory principale per l'autenticazione client Implementazione di client in grado di riconoscere il servizio directory |
Vantaggi per l'azienda Maggiore produttività dell'utente tramite un processo di accesso semplificato Costi di amministrazione ridotti grazie alla gestione di un numero inferiore di archivi di identità Progressi verso l'implementazione della conformità ai regolamenti Costi di gestione degli account utente ridotti Vantaggi IT Volume delle attività del supporto tecnico ridotto Minor numero di identità digitali Le identità vengono gestite in modo centralizzato Protezione migliorata |
La gestione continua dell'identità e degli accessi si basa sulle seguenti funzionalità illustrate in Microsoft Identity and Access Management Series:
La base per la gestione dell'identità e degli accessi
Gestione del ciclo di vita delle identità
Gestione degli accessi e Single Sign-On
Tenere presente che le funzionalità illustrate precedentemente sono tutte parti chiave del servizio di gestione dell'identità e degli accessi di una qualsiasi organizzazione. Per ulteriori informazioni, vedere il sito Web Microsoft Identity and Access Management Series (in inglese).
Nel modello di ottimizzazione dell'infrastruttura, il livello Standard della gestione dell'identità e degli accessi si riferisce all'esigenza dell'autenticazione degli utenti dei servizi directory e richiede un servizio directory unificato per l'autenticazione almeno dell'80% degli utenti. Al contrario, questo requisito implica che tutti i client siano in grado di riconoscere il servizio directory.
Requisito: servizi directory per l'autenticazione degli utenti
Target
Il livello Standard di ottimizzazione richiede la presenza di un servizio directory Active Directory nell'organizzazione utilizzato per autenticare almeno l'80% degli utenti. Se non si utilizza Active Directory per l'autenticazione di oltre l'80% degli utenti, è opportuno leggere questa sezione.
Panoramica
L'autenticazione degli utenti è necessaria per vari motivi nel corso del lavoro quotidiano. L'accesso alla rete, alle applicazioni, ai dati e alla posta elettronica ne sono esempi tipici. Attivando i servizi directory per l'autenticazione utente, questi requisiti di autenticazione vengono centralizzati e unificati. Gli utenti possono accedere tramite un unico accesso a tutte le risorse, applicazioni e dati a cui l'utente è autorizzato ad accedere.
Fase 1: valutazione
La fase di valutazione fa principalmente un inventario di quali servizi directory, se presenti, vengono utilizzati nell'organizzazione. L'utente stabilisce i motivi e la modalità di utilizzo per ogni servizio directory. Se l'organizzazione non dispone di un servizio directory, sarà necessario esaminare il modo in cui le identità vengono attualmente gestite e quali processi vengono utilizzati per garantire l'accesso alle risorse di dati; possono essere processi formali e documentati o informali e non documentati.
Fase 2: identificazione
Il processo di progettazione del servizio directory inizia con l'identificazione delle tecnologie disponibili per fornire il servizio e delle esigenze dell'organizzazione per l'implementazione di un servizio directory.
Per il modello di ottimizzazione dell'infrastruttura principale è necessaria un'infrastruttura di Active Directory che fornisca il supporto di base per molti servizi richiesti dall'organizzazione, tra cui messaggistica e collaborazione, gestione dei sistemi e servizi di protezione. Active Directory è il servizio directory incentrato sulla rete incluso in Microsoft® Windows® 2000 e Windows Server® 2003.
Fase 3: stima e pianificazione
La fase di stima e pianificazione conduce attraverso il processo di progettazione e pianificazione adatto a soddisfare le esigenze dell'azienda. È fondamentale gestire le informazioni relative ai collaboratori e il loro utilizzo delle risorse informatiche con un unico sistema di autenticazione coerente che possegga le caratteristiche necessarie per rendere il più efficace possibile la gestione di queste informazioni.
Deve essere organizzato e presentato come una directory.
È necessario che sia supportato un metodo comune di richiesta, indipendentemente dal tipo di dati richiesto.
Le informazioni con caratteristiche simili devono essere gestite in modo analogo.
Il modo in cui le informazioni vengono raggruppate e gestite deve essere determinato dall'organizzazione, in modo da abbinarsi ai sistemi esistenti dell'organizzazione.
Progettazione del servizio directory
Durante la progettazione del servizio vengono utilizzate cinque categorie di directory:
Directory a uso specifico
Directory delle applicazioni
Directory incentrate sulla rete
Directory a scopo generale
Metadirectory
Un amministratore Active Directory ha il controllo completo sul modo in cui vengono presentate le informazioni nella directory. Le informazioni possono essere raggruppate in contenitori denominati unità organizzative (OU), spesso organizzati in modo da semplificare l'archiviazione gerarchica dei dati. I tipi di dati archiviati nella directory vengono definiti tramite uno schema che ne specifica le classi denominate oggetti. Un oggetto utente, ad esempio, corrisponde alla classe Utente definita nello schema. Gli attributi dell'oggetto utente contengono informazioni, quali nome, password e numero di telefono dell'utente. L'amministratore può aggiornare lo schema in modo da includere nuovi attributi o classi, quando ve ne è la necessità.
Per ulteriori informazioni sulla definizione del servizio directory Active Directory, andare all'indirizzo https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#E4F.
Progettazione della struttura di Active Directory
La struttura logica di Active Directory può essere considerata come una serie di directory logiche denominate domini. L'insieme dei domini è denominato foresta poiché i dati della directory in ogni dominio in genere sono organizzati in una struttura ad albero che rispecchia l'organizzazione.
Il processo per la progettazione della struttura logica consiste nelle seguenti operazioni:
Requisiti di progettazione della struttura logica. Le funzionalità di Active Directory per la delega amministrativa sono fondamentali nella progettazione della struttura logica. L'amministrazione delle OU organizzative può essere delegata per ottenere l'autonomia o l'isolamento di un servizio o dei dati. La delega amministrativa viene effettuata per soddisfare i requisiti legali, operativi e organizzativi della struttura.
Progettazione della foresta. Un modello di progettazione della foresta viene selezionato dopo aver determinato il numero appropriato di foreste nel processo di progettazione del servizio; ad esempio, quando sono necessarie diverse directory o le definizioni degli oggetti cambiano all'interno di un'organizzazione. A parte rare eccezioni, si consiglia di conservare un'unica foresta per poter standardizzare il servizio directory.
Progettazione del dominio. A questo punto, viene selezionato un modello di dominio per ogni foresta.
Progettazione radice della foresta. Le decisioni relative alla radice della foresta si basano sulla progettazione del dominio. Se viene selezionato un modello di dominio singolo, quest'ultimo funziona da dominio radice della foresta. Se viene selezionato un modello di dominio regionale, il proprietario della foresta deve determinare la radice della foresta.
Pianificazione dello spazio dei nomi di Active Directory. Una volta determinato il modello di dominio per ogni foresta, è necessario definire lo spazio dei nomi per la foresta e i domini.
Infrastruttura DNS per supportare Active Directory. Dopo aver progettato le strutture di dominio e la foresta di Active Directory, è possibile completare la progettazione dell'infrastruttura Dynamic Name System (DNS) per Active Directory.
Creazione della progettazione di un'unità organizzativa. Le strutture delle OU sono univoche per il dominio a differenza della foresta, quindi ogni proprietario di dominio è responsabile della progettazione della struttura della OU per il proprio dominio.
Comunicazione della progettazione logica
Dopo aver completato le operazioni di progettazione del servizio, è possibile creare una progettazione logica che può essere utilizzata per comunicare il progetto ad altri e per verificare l'integrità della progettazione proposta. Questa progettazione logica deve fornire il livello di dettagli richiesto per consentire ai progettisti e ai professionisti IT di comprendere la progettazione proposta e di garantire che soddisfi i requisiti dei servizi di cui sono responsabili all'interno dell'intera progettazione aziendale. Il diagramma seguente è un esempio di progettazione logica. Nell'esempio riportato di seguito, la foresta aziendale utilizza un modello di dominio regionale selezionato affinché la replica lungo la WAN possa essere efficacemente controllata.
.jpg)
Per ulteriori informazioni sulla progettazione della struttura logica di Active Directory, andare all'indirizzo https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#EELAE.
Fase 4: distribuzione
Dopo aver eseguito una buona valutazione dell'ambiente corrente e determinato gli obiettivi di distribuzione di Active Directory, è possibile determinare la strategia di distribuzione migliore per il proprio ambiente. Nell'immagine riportata di seguito vengono illustrate le operazioni necessarie alla definizione del processo di distribuzione di Active Directory.
.jpg)
La strategia di distribuzione di Active Directory applicata varia in base alla configurazione di rete esistente. Ad esempio, se attualmente nei computer dell'organizzazione è in esecuzione Windows 2000, è possibile aggiornare semplicemente il sistema operativo a Windows Server 2003. Tuttavia, se è in esecuzione Microsoft Windows NT® 4.0 o un sistema operativo di rete non Windows, è necessario progettare un'infrastruttura di Active Directory prima di eseguire l'aggiornamento a Windows Server 2003.
Il processo di distribuzione potrebbe coinvolgere la ristrutturazione dei domini esistenti, in una foresta di Active Directory o tra le foreste di Active Directory. Potrebbe essere necessario ristrutturare i domini esistenti dopo aver distribuito Windows Server 2003 Active Directory o successivamente a modifiche organizzative o acquisizioni aziendali.
Per ulteriori informazioni sui prerequisiti per la distribuzione dell'infrastruttura di Active Directory, andare all'indirizzo http://technet2.microsoft.com/WindowsServer/en/library/e0966784-1185-4b41-a259-68513689493b1033.mspx.
Operazioni
L'obiettivo dei servizi directory è assicurare che le informazioni nella rete siano accessibili tramite un processo semplice e organizzato, da parte di coloro che le richiedono e che dispongono delle autorizzazioni appropriate. Le risorse riportate di seguito forniscono informazioni su come rendere operativo Active Directory nell'organizzazione, dopo l'implementazione e dopo che tutti gli oggetti siano stati definiti. L'attivazione di un'infrastruttura di Active Directory necessita di un'appropriata amministrazione dei trust tra foreste e domini, del servizio Ora di Windows, di SYSVOL, del catalogo globale, delle operazioni di backup e ripristino di Active Directory, della replica tra siti, del database di Active Directory e dei controller di dominio.
Per ulteriori informazioni, visitare:
Microsoft Operations Framework Directory Services Administration (in inglese)
Windows Server 2003 Technical Library (in inglese):
Nel Technology Center per Active Directory in Windows Server 2003 sono disponibili informazioni sull'implementazione di Active Directory in Windows Server 2003:
Nel Product and Technology Security Center per Active Directory e Kerberos, è possibile trovare un elenco consolidato di risorse consultabili per aggiornamenti relativi alla protezione e indicazioni tecniche:
Per informazioni su Active Directory nel sito Web del Supporto tecnico Microsoft, andare all'indirizzo https://support.microsoft.com/default.aspx?scid=fh;EN-US;winsvr2003ad.
Ulteriori informazioni
Per ulteriori informazioni sui servizi directory e sull'autenticazione, visitare il sito Web Microsoft TechNet ed effettuare una ricerca sull'autenticazione in Active Directory.
Per ulteriori indicazioni relative al prodotto Active Directory, vedere
Planning an Active Directory Deployment Project (in inglese) * *
Designing the Active Directory Logical Structure (in inglese)
Per informazioni su come Microsoft utilizza Active Directory, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/managead.mspx.
Checkpoint: servizi directory per l'autenticazione degli utenti
|
Requisiti |
|---|---|
Servizio directory Active Directory implementato per l'autenticazione di almeno l'80% degli utenti collegati |
.gif)
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per questa funzionalità basata sul modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le ulteriori risorse delle procedure consigliate per rendere operativa l'infrastruttura di Active Directory dopo averla distribuita.
Passare alla domanda di autovalutazione successiva.