Administración de identidades
Creación de un flujo de trabajo de aprovisionamiento de un solo paso
Aung Oo
Resumen:
- Uso de MIISWorkflow
- Implementación y configuración
- Ampliación de MIISWorkflow
Si busca una interfaz basada en Web para solicitar y aprobar cuentas y su organización usa Microsoft Identity Lifecycle Manager 2007 (ILM 2007, anteriormente Microsoft Identity Integration Server 2003),
la aplicación MIISWorkflow puede ofrecerle una solución sencilla y efectiva. MIISWorkflow forma parte de MIIS 2003 Resource Tool Kit 2.0 y está disponible desde diciembre de 2004. No es, necesariamente, una solución completa para todos los entornos, pero es un buen punto de partida para crear una aplicación personalizada que se adapte a las necesidades de la organización.
MIISWorkflow proporciona la funcionalidad de aprovisionamiento basada en aprobación para ILM 2007 mediante la integración de una aplicación web. Se trata de un sistema de aprovisionamiento de un solo paso impulsado por flujos de trabajo que acepta solicitudes de usuarios y los dirige a los aprobadores (por lo general, los administradores) con la autoridad suficiente para tomar decisiones con respecto a las solicitudes específicas. En función de la decisión del aprobador, ILM prosigue con el aprovisionamiento de cuentas de usuario en los directorios conectados mediante las reglas empresariales definidas en ILM.
Esta aplicación sólo puede facilitar un flujo de trabajo de un solo paso; no puede crear características complejas de flujo de trabajo, como por ejemplo, un proceso de aprobación de varios pasos con rutas paralelas o un proceso de flujo de trabajo con una interfaz gráfica. Si su organización no necesita estas características complejas de flujo de trabajo, puede usar el ejemplo de MIISWorkflow que se incluye en MIIS Resource Tool Kit para implementar una solución.
Aquí me centraré en el departamento de recursos humanos de una compañía ficticia. En general, los sistemas de RR. HH. son la fuente autorizada para toda la información acerca de los empleados de una organización. Sin embargo, aunque estos sistemas suelen incluir información detallada acerca de los empleados permanentes, no suelen tener información completa acerca de los trabajadores temporales, como por ejemplo, contratistas y becarios. Es posible que los datos de un sistema de RR. HH. no incluyan los sistemas a los que tienen acceso los usuarios, incluida la información de la cuenta de usuario. Explicaré cómo crear un sencillo sistema de seguimiento para los trabajadores temporales de una organización.
Creación en MIISWorkflow
Para aprovechar las ventajas de MIISWorkflow, las organizaciones pueden, por ejemplo, crear una aplicación que funcione en colaboración con los sistemas existentes de RR. HH. Cuando se contrata un empleado nuevo, la información de usuario se agrega al sistema de RR. HH. Se pueden diseñar flujos de ILM que envían la información a la base de datos de MIISWorkflow y, a continuación, usar la aplicación de flujo de trabajo para dirigir la información de usuario a los aprobadores antes de que ILM transfiera la cuenta a los directorios conectados.
Si su organización no usa sistemas de RR. HH. para realizar un seguimiento de los trabajadores temporales, puede usa la aplicación MIISWorkflow como el origen de datos autorizado para la administración de las cuentas en los directorios de la empresa. La aplicación de flujo de trabajo reduce el trabajo administrativo basado en papel necesario para obtener aprobaciones, por lo que los usuarios no tienen que esperar días para obtener acceso a las cuentas de los directorios y las aplicaciones. También puede usar MIISWorkflow para habilitar la revocación rápida del acceso y, así, mejorar la seguridad de la organización.
MIISWorkflow también se puede usar como una herramienta de auditoría para realizar un seguimiento del número de sistemas al que puede obtener acceso un usuario, las fechas de solicitud y anulación de cada cuenta y el solicitante y aprobador de cada cuenta. La capacidad de generar informes con un historial de cuentas detallado puede facilitar la conformidad de una organización con leyes normativas como Sarbanes-Oxley y HIPAA.
La aplicación MIISWorkflow se ejecuta en IIS y usa características de integración de directorios y de aprovisionamiento de ILM 2007 para activar y desactivar cuentas en los directorios conectados. Los componentes de la aplicación de flujo de trabajo incluyen una serie de páginas web de ASP.NET, una base de datos de SQL Server™, un agente de administración y un almacén de directivas de autorización (consulte la figura 1). La aplicación usa SQL Server para el almacenamiento de datos, Active Directory ® para la autenticación y un almacén de directivas con el Administrador de autorización de Windows ® (comúnmente conocido como AzMan) para la autorización.
Figura 1** Arquitectura de la aplicación MIISWorkflow **(Hacer clic en la imagen para ampliarla)
La aplicación se puede ampliar y personalizar con C# y ASP.NET. MIISWorkflow consta de estas cinco páginas .aspx: Contractor Approval, Contractor History, Contractor Request, Contractor Status y Contractor Update. Estas páginas permiten a los administradores solicitar, actualizar, aprobar todas las cuentas de usuario del sistema y realizar un seguimiento del estado de éstas. Tenga en cuenta, de forma predeterminada, la aplicación MIISWorkflow está configurada para usar la autenticación de Windows integrada de IIS para sacar partido de Kerberos.
La aplicación de flujo de trabajo desencadena ILM en función de la acción del aprobador, e ILM activa o desactiva las cuentas de usuario en los directorios conectados mediante las reglas definidas. Inmediatamente después de realizar una acción en la solicitud, la aplicación desencadena ILM y no es necesario que las solicitudes esperen al próximo ciclo de sincronización de ILM para que se produzca la activación o desactivación en los directorios conectados.
La aplicación de flujo de trabajo requiere que la base de datos de MIISWorkflow almacene la información de cuenta de los usuarios. Esta base de datos no es la misma base de datos donde ILM almacena la información de metaverso, pero se configura en la misma instancia de SQL Server. Cuando los usuarios autorizados solicitan una cuenta a través de la aplicación de flujo de trabajo, MIISWorkflow guarda la información. A continuación, la información se representa en una página web de ASP.NET cuando un aprobador obtiene acceso a la página. MIISWorkflow también almacena historiales de acciones y otra información acerca de la cuenta en la base de datos. ILM importa la información desde la base de datos de MIISWorkflow mediante un agente de administración de SQL Server que se proporciona con la aplicación y activa o desactiva la cuenta según sea necesario.
AzMan, usado por MIISWorkflow para la autorización, proporciona control de acceso basado en funciones (RBAC) para administrar las tareas que pueden realizar los usuarios en la aplicación según las funciones que tengan asignadas. (Consulte go.microsoft.com/fwlink/?LinkId=85825 para obtener más información sobre RBAC.) Después de autenticar a un usuario en Active Directory, permitiéndole el acceso, la aplicación de flujo de trabajo comprueba las funciones definidas en el almacén de autorizaciones de AzMan para autorizar las operaciones que puede realizar un usuario. La aplicación cuenta con dos funciones predefinidas: solicitante de contratistas y aprobador de contratistas. Los usuarios o grupos con la función de solicitante de contratistas sólo pueden realizar una solicitud a través de la aplicación, mientras que los usuarios o grupos con la función de aprobador de contratistas pueden crear, aprobar y denegar solicitudes.
La directiva de autorización de la aplicación MIISWorkflow se almacena en un archivo XML. Las funciones definidas se pueden asignar tanto a usuarios y grupos de Windows como a grupos de aplicaciones. Los grupos de aplicaciones admiten consultas LDAP para realizar búsquedas de tiempo de ejecución de un objeto de cuenta de Active Directory o Active Directory Application Mode (ADAM) del usuario basado en el valor de atributo; el usuario está en el grupo de manera que (departamento="marketing"), por ejemplo, devuelve verdadero.
Tutorial de la aplicación
Los administradores de la aplicación controlan el acceso a la aplicación mediante AzMan. En función del uso que se haga de la aplicación en su organización, puede otorgar una función de solicitante de contratistas a todos los usuarios del dominio o sólo a los grupos seleccionados. La función de aprobador de contratistas sólo se debe otorgar a usuarios y grupos que tengan autoridad para aprobar o denegar solicitudes. Los administradores de RR. HH. seleccionados, así como los administradores del sistema y de grupos, suelen tener esta función. De forma predeterminada, la aplicación MIISWorkflow usa la autenticación de Windows integrada de IIS como método de autenticación, de modo que la aplicación autenticará a los usuarios con sus credenciales de inicio de sesión de escritorio de Windows. Esto significa que no se volverá a solicitar a los usuarios sus credenciales para autenticarse en la aplicación.
Un usuario con la función de solicitante de contratistas puede apuntar el explorador hacia la página de solicitud de contratista de la aplicación y proporcionar información acerca del contratista para solicitar una cuenta para dicho contratista. En la figura 2 se muestra la página de solicitud de contratista.
Figura 2** Página New Contractor Request **(Hacer clic en la imagen para ampliarla)
La persona con la función de solicitante rellena la información pertinente del contratista y envía la solicitud. Hay un vínculo para aprobar solicitudes y otro para comprobar el estado en la página, pero los solicitantes no pueden obtener acceso a la página del aprobador si no tienen también la función de aprobador de contratistas. Un solicitante puede hacer clic en el vínculo Contractor Status para ver sus solicitudes, pero no puede ver el estado de las solicitudes enviadas por otros usuarios.
Sólo los aprobadores de contratistas tienen acceso a la página de aprobación de contratista de la aplicación, donde pueden aprobar o denegar la solicitud tras revisar la información. En la figura 3 se muestra la interfaz de la página web Contractor Approval.
Figura 3** Página Contractor Approval **(Hacer clic en la imagen para ampliarla)
Un aprobador de contratistas puede consultar las solicitudes enviadas por todos los solicitantes. Cualquier aprobador de contratistas puede aprobar la solicitud y basta con una aprobación o negación para dirigir la solicitud a la fase siguiente. La solicitud desaparecerá de la página de aprobación de contratista después de que el aprobador haya realizado una acción. Esto minimiza las acciones redundantes del aprobador.
Para revisar las solicitudes nuevas y realizar acciones en las solicitudes pendientes de acuerdo con los requisitos de la organización, un aprobador necesita obtener acceso a la página de aprobación de contratistas con frecuencia, puesto que la aplicación no dispone de un mecanismo de notificación para avisar al aprobador de la llegada de solicitudes nuevas o un trabajo acumulado. Tan pronto como el aprobador aprueba o deniega la solicitud de la página, la aplicación desencadena ILM y las cuentas de los directorios conectados se activan o desactivan en función de la acción del aprobador.
Figura 4** Página Contractor Status **(Hacer clic en la imagen para ampliarla)
Se puede realizar un seguimiento del estado de las solicitudes pendientes y los registros de las solicitudes completadas desde la página de estado del contratista (consulte la figura 4). Un solicitante puede emprender varias acciones desde esta página. Puede ver sus propias solicitudes, incluso información como el Id. de empleado, el nombre, los apellidos, el departamento, el estado y la fecha de la última modificación. También puede editar la información existente, ver el historial y anular la cuenta de un contratista. Puede modificar la información de nombre, apellidos y departamento, y volver a enviarla para su aprobación. Por último, puede ver un registro de las acciones realizadas en la solicitud junto con la fecha y la hora de cada acción en la página de historial de contratista (consulte la figura 5).
Figura 5** Página Contractor History **(Hacer clic en la imagen para ampliarla)
La aplicación MIISWorkflow posibilita una anulación perfecta de las cuentas al permitir que un solicitante anule cuentas de contratista desde la página de estado del contratista. El solicitante puede hacer clic en el vínculo de anulación para deshabilitar o eliminar inmediatamente cuentas de contratista de los directorios conectados. La ventaja de esta capacidad de anular cuentas de contratista desde la aplicación de flujo de trabajo es que los administradores del sistema no tienen que buscar la cuenta del contratista en todos los directorios y eliminar las cuentas manualmente. La aplicación MIISWorkflow desencadena ILM inmediatamente para que desactive las cuentas de los directorios conectados, no existe retraso a la hora de eliminar esas cuentas.
Configuración de la aplicación
La configuración de la aplicación MIISWorkflow implica la configuración de una cuenta de servicio, la configuración de la base de datos para la aplicación, la configuración de ILM para que funcione con la aplicación de flujo de trabajo, la configuración de IIS y la configuración del almacén de directivas. La aplicación contiene secuencias de comandos y archivos de configuración creados previamente para simplificar este proceso.
La aplicación MIISWorkflow incluye un archivo de consultas T-SQL para facilitar el proceso de creación de una base de datos de MIISWorkflow. Puede cargar el archivo de consultas en el Analizador de consultas y ejecutar la consulta para crear la base de datos automáticamente.
La configuración de IIS implica la creación de un grupo de aplicaciones IIS y un directorio virtual nuevos, y el establecimiento de la autenticación y el control de acceso para alojar páginas de ASP.NET. La aplicación también incluye un archivo XML con funciones predefinidas para configurar un almacén de directivas de autorización. Puede asignar usuarios y grupos a las funciones existentes y crear funciones nuevas con la MMC de AzMan.
El último paso es configurar el agente de administración en ILM para la importación de datos desde la base de datos de MIISWorkflow a ILM. Para ello, importe la configuración del agente de administración en el archivo XML y copie un archivo de extensión creado previamente para el agente de administración de SQL Server. El archivo XML y el archivo de extensión del agente de administración se proporcionan con la aplicación. Encontrará instrucciones paso a paso sobre cómo configurar estos pasos en el archivo Léame.
Ampliación de la aplicación
La aplicación MIISWorkflow ofrece un punto de partida para desarrollar la integración del flujo de trabajo simple con MIIS; es posible que tenga que realizar algunas personalizaciones para ampliar la aplicación. Además de modificaciones sencillas como cambios en las páginas web, existen muchas más maneras de ampliar esta aplicación.
Puede agregar una característica de notificación para que el aprobador reciba un mensaje de correo electrónico cuando haya una solicitud pendiente. Esta característica también podría enviar un recordatorio al aprobador, en un intervalo de días especificado, si no se ha efectuado ninguna acción sobre la solicitud. Si desea más información acerca de los usuarios de que la que se proporciona en la página predeterminada, puede agregar campos a las páginas de solicitud de contratista y de actualización de contratista. Puede agregar más funciones a la aplicación, como por ejemplo, una función de auditor que permita a un usuario ver el historial de todas las solicitudes, no sólo las solicitudes que envió.
Esta aplicación no da cabida características de flujo de trabajo más complejas, como por ejemplo, un flujo de trabajo de varios pasos y la capacidad de diseñar un flujo de trabajo con un diseñador gráfico. No obstante, puede usar Windows Workflow Foundation para desarrollar una aplicación más robusta con características de flujo de trabajo complejas.
Encontrará MIIS Resource Tool Kit en la dirección go.microsoft.com/fwlink/?LinkId=85829. Descárguelo hoy y empiece a crear sus propias soluciones de flujo de trabajo de identidades.
Aung Oo es un experto en administración de identidades de los Servicios de consultoría de Microsoft (Microsoft Consulting Services, MCS). Aung diseña, desarrolla e implementa soluciones de administración de identidades y directorios empresariales para clientes comerciales y del gobierno desde el primer lanzamiento de Microsoft Identity Management.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.