• Artículo

Este artículo se basa en una versión preliminar de Microsoft Identity Lifecycle Manager 2. Toda la información está sujeta a cambios.

Administración de identidades

Introducción a Identity Lifecycle Manager 2

Aung Oo

 

En resumen:

  • La nueva experiencia de portal
  • Herramientas sin intervención del administrador
  • Administración de procesos empresariales
  • Aprovisionamiento codeless

Contenido

Experiencia de portal
El administrador
Para el usuario estándar
Para la administración de grupo
Administración de contraseñas sin intervención del administrador
Integración de Office
Administración de procesos empresariales
Aprovisionamiento codeless
Ajustar hacia arriba

La nueva versión de Microsoft Identity Lifecycle Manager "2" (o ILM "2"), que se encuentra en versión beta 3 en el momento de escribir este artículo, se basa en las funciones de administración de identidad se encuentran en Microsoft Identity Integration Server 2003 (MIIS 2003) y ILM 2007. Proporciona muchas nuevas características y mejoras, puede recortar los costos con herramientas sin intervención del administrador, aumentar el cumplimiento de seguridad de proceso empresarial de modelado y reducir el tiempo de desarrollo con herramientas de desarrollo intuitiva.

En este artículo, deseo presentar claves nuevas características y mejoras y explique las ventajas de que ILM "2" puede llevar a su organización. En concreto, tratará la ILM "2" portal experiencia en la administración de perfiles de usuario y grupos, administración de contraseñas sin intervención del administrador, diseño del proceso y flujo de trabajo empresariales, integración con Microsoft Office y la capacidad para desarrollar las reglas de sincronización sin utilizar el código (conocida como el aprovisionamiento codeless). Última vez, pero no menos importante, veremos el software, hardware y requisitos de licencia provisionales para implementar ILM 2.

Experiencia de portal

El Web portal es una de las características más notables agregadas a ILM "2" ya que esto es la primera vez que Microsoft ha incluido una interfaz de usuario para los usuarios finales realizan sin intervención del administrador de funciones. La interfaz Web proporciona un punto de entrada para los usuarios autorizados y a los administradores administrar usuarios y grupos, definir reglas de negocio y incluso permitir el desarrollo del aprovisionamiento codeless a las cuentas de aprovisionamiento.

ILM "2" se utiliza autenticación integrada de Windows con Active Directory por lo que las organizaciones pueden utilizar usuarios existentes y grupos ya definidos en Active Directory para proporcionar autenticación y autorización a los nuevos usuarios. Quienes tienen privilegios administrativos pueden realizar funciones administrativas, como definir los flujos de trabajo para los procesos y configurar las reglas de sincronización, así como las tareas que puede realizar los usuarios finales.

El administrador

Si iniciar en el portal y dispone de privilegios administrativos, tendrá acceso a más características que los usuarios estándar (consulte la figura 1 ). Puede ver y actualizar los registros existentes, así como las cuentas de solicitud para nuevos empleados en el directorio conectado.

fig01.gif

Figura 1 del portal de ILM el “ 2 ”

Al configurar un nuevo usuario con el portal, puede enviar tales detalles de usuario como nombre, nombre para mostrar, dirección de correo electrónico, fecha de comienzo, fecha de finalización y similares. Y los campos de la página se pueden configurar según sea necesario. Las visualizaciones de objeto, puede extender el esquema del portal para solicitar más cualquier tipo de datos, como el tamaño de calzado del empleado.

El motor de sincronización detecta nuevos registros y los cambios realizados desde el portal y suministra información de usuario en el directorio conectado en consecuencia. El proceso de aprovisionamiento cuentas en los directorios conectados con el motor de sincronización sigue el mismo proceso como en ILM 2007. El cambio de clave aquí es que los administradores pueden escribir y actualizar información de empleado a través del portal, y el portal de suministros, a continuación, el motor de sincronización, que ofrece una forma más flexible de recopilar y actualizar información de usuario en los directorios conectados.

Bases de datos de recursos humanos a menudo no contienen contratistas y los trabajadores temporales, como los alumnos interns, lo que dificulta administrar estas cuentas. Y estas cuentas se crean manualmente a menudo en varias aplicaciones, facilitando la olvide eliminar manualmente las cuentas cuando sea necesario. Esto crea un potencial de carencias de seguridad, donde las cuentas permanecen activas después de que un usuario ha dejado la organización.

Una solución es utilizar el ILM "2" portal para crear y realizar el seguimiento de los perfiles para los trabajadores temporales. La base de datos HR mantiene el origen autorizado para registros de empleados y contratistas, mientras el portal simplemente complementa la base de datos HR como otra manera de escribir y actualizar los perfiles.

Para el usuario estándar

El portal pone también parte de la eficacia en manos de los usuarios estándar. Los usuarios pueden actualizar un subconjunto de su información y la información, a continuación, se inserta fuera en los directorios conectados, vuelva a mediante el motor de sincronización de "2" ILM. El administrador, puede configurar los atributos que los usuarios pueden actualizar y se puede validar el formato de la información de los usuarios introducir en los campos. Este enfoque puede ayudar a para mantener datos más actuales en diversos orígenes de datos.

Se trata en contraste radicalmente en los métodos ungainly utilizado actualmente. Para permitir a los usuarios actualizar la información de su propios, muchas organizaciones dependen de las soluciones de libreta de teléfonos de otros fabricantes o creación sus propias soluciones internamente. Otras organizaciones requieren que los usuarios realmente llamar al departamento de soporte o enviar el trabajo administrativo para actualizar la información.

Existen algunos inconvenientes graves a ambos de estos métodos. Aplicaciones de otros fabricantes y soluciones internas personalizadas pueden ser muy caro y difícil de mantener. Y la información actualizada que contiene una de estas soluciones generalmente no usa un motor de sincronización para, a continuación, actualizar otros directorios conectados. Mientras tanto, tener la llamada a los usuarios el departamento de soporte para actualizar la información puede aumentar considerablemente de soporte técnico los costos y ocupar el personal de soporte con tareas relativamente triviales.

Para la administración de grupo

Los administradores pueden ahora crear grupos de seguridad y las listas de distribución con pertenencias a grupos en los directorios conectados por definir consultas para clasificar los miembros según valores de atributos de usuario o por su nombre. Todas las operaciones se pueden realizar mediante la interfaz de usuario basada en Web sencilla. Aprovisionamiento grupos agregando explícitamente a los usuarios es sencillo, pero se admiten escenarios más complejos.

Puede crear grupos con miembros calculados, creación de grupos que se basan en informes relación y los atributos específicos. Para ello, definir una acción de flujo de trabajo. Por ejemplo, el administrador puede definir una consulta para agrupar todos los usuarios dentro del departamento de marketing, asignar un valor de "marketing" en el nombre de grupo (todos los usuarios de marketing). El motor de sincronización de "2" ILM importa el grupo en función de los grupos de definición y disposiciones en el directorio conectado. Las consultas complejas se pueden desarrollar bastante fácilmente mediante lógica booleana para buscar varios atributos.

Los usuarios finales también puede crear una lista de distribución y agregar o quitar a sí mismos en la lista a través del portal. Se puede incorporar la lógica de aprobación del flujo de trabajo para que sólo aprobado las listas de distribución o los usuarios autorizados pueden unirse a la lista.

Las versiones anteriores de ILM permiten administrar los grupos a través de la interfaz de Web, aunque esto requería una descarga independiente, se incluye como parte de la sección de provisión y flujo de trabajo de la Identidades y Microsoft Access Management Series. Esa solución era sólo para los administradores y no ha permitir a usuarios finales unirse y deje los grupos asignados.

También hay funciones administrativas que puede realizar en el portal Web. Algunas de las capacidades administrativas notables son:

  • Asignar prioridades al tipo de objetos que se va a proporcionar a un directorio conectado. (Esto permite garantizar que ciertos objetos de no tienen que esperar el ciclo de sincronización completa para obtener aprovisionado.)
  • Modificar el esquema de la página Perfiles de usuario. El esquema de la página para recopilar información de usuario puede ampliarse para incluir campos que sean específicos de los requisitos de su organización.
  • Actualizar el estado de la cuenta de usuario.
  • Modificación de cómo el sitio parece y funciones. (Esto permite que puede personalizar el portal para dar cabida a los estándares de la organización.)

Administración de contraseñas sin intervención del administrador

Otra característica clave que es nueva en ILM "2" es la solución de administración de contraseña sin intervención del administrador. Las soluciones de administración de contraseña dos disponibles en ILM 2007 (una solución basada en Web y el servicio de notificación cambiar contraseña) ofrecen capacidades de autoservicio limitadas. Ambos requieren que el usuario escribir su contraseña para restablecer su contraseña antigua; por tanto, son bastante inútiles cuando se trata de una contraseña olvidada: en esta situación, el usuario tendría que llame al departamento de soporte.

ILM "2" direcciones permitiendo a los usuarios restablecer sus contraseñas mediante desafío y respuesta preguntas, que se puede obtener acceso desde el inicio de sesión Windows interfaz de usuario. Esto, obviamente, puede ayudar a reducir los costos de asistencia al cliente de ayuda.

Una vez que está implementada la aplicación de administración de contraseña y un usuario inicia sesión por primera vez, una pantalla aparecerá, solicitando que el usuario responder a un conjunto de preguntas (lo que era el primer coche, en qué ciudades, que, se y similares). El cuadro de diálogo del resto de contraseña se muestra en la figura 2 .

fig02.gif

La Figura 2 pantalla de restablecer la contraseña

El administrador puede especificar el tipo y número de preguntas que se va a utilizar. También puede especificar el número de puertas (cada puerta de entrada contiene un conjunto de preguntas). Además, el administrador puede configurar la cantidad de preguntas que el usuario debe ser capaz de responder para poder restablecer la contraseña o pasar a la siguiente puerta de entrada.

Para proporcionar el nivel apropiado de seguridad, puede vincular el número de puertas y las preguntas que el usuario debe responder correctamente a grupos de seguridad de Active Directory. Por ejemplo, los usuarios del grupo de seguridad ejecutivo posible que necesite pasar por tres puertas y deben responder correctamente todas las preguntas en cada puerta de entrada. Los usuarios del grupo de seguridad marketing, por otro lado, es posible que sólo necesita pasar por una puerta y responder a dos de tres preguntas. Y, si no desea conceder a los usuarios la capacidad de restablecer las contraseñas de inicio de sesión de Windows, hay una opción de proporcionar una interfaz de usuario Web para restablecer contraseñas.

Integración de Office

Integración de office "2" de ILM permite a los usuarios administrar la pertenencia a grupo desde dentro de Microsoft Office Outlook, como se muestra en la figura 3 . Esto proporciona una manera familiar para tener acceso a tareas comunes, como unirse a y dejar las listas de distribución, así como agregar y quitar otros usuarios del grupo (requiere Outlook 2007 o posterior).

fig03.gif

La figura 3 integración con Outlook

Un usuario puede seleccionar grupo de combinación, explorar la lista global de direcciones, seleccione los grupos que desea combinar, o quitar su pertenencia a grupos y, a continuación, sólo enviar la solicitud. El propietario de la lista de distribución recibe la solicitud a través del correo electrónico y puede aprobar o rechazar esa petición desde dentro de Outlook. Si el propietario del grupo aprueba la solicitud, se desencadena el motor de sincronización de ILM para completar el proceso.

Administración de procesos empresariales

Administración de flujo de trabajo y procesos empresariales son fundamental para todos los escenarios clave en ILM 2. Por suerte, lógica empresarial de proceso y el flujo de trabajo se puede adaptar a los requisitos de su organización determinada. Por ejemplo, puede especificar tiene ciertos eventos en el activador del sistema una serie de pasos automatizadas, conocido como procesos (consulte la figura 4 ).

fig04.gif

La figura 4 los procesos de flujo de trabajo de configuración

Un administrador puede asociar un evento con uno de los tres tipos de proceso: Authentication, Authorization and acción. Por ejemplo, seleccionar el tipo de proceso de autorización permitirá el propietario para aprobar todas las solicitudes para unirse o abandonar el grupo. Al seleccionar el flujo de trabajo de autorización, también puede definir los nombres de aprobadores, el número de los aprobadores y el número de días para el que la aprobación válida.

Los flujos de trabajo complejas se pueden definir para que todos los operaciones de eliminación realizadas a grupos deben ser aprobadas por administradores y requieren los usuarios se autentiquen contra un proceso de autenticación mediante desafío y respuesta. Todos los usuarios, incluidos los administradores, deben pasar por el proceso de autenticación por respuesta preguntas que ha registrado durante el período inicial en el registro para validar su identidad.

Una vez hecho el proceso de autenticación, la solicitud para la eliminación de grupo se envía al aprobador para la autorización. El proceso de autorización Confirma permiso del usuario para solicitar la operación. Por último, el aprobador aprueba la solicitud y ILM lleva a cabo la operación de eliminación.

La capacidad de diseñar un flujo de trabajo complejo con la herramienta integrada es una adición importante para ILM; anteriormente, una solución como éste requería la Workflow único paso de aprovisionamiento en el kit de herramientas de recursos MIIS o una solución de terceros. Hoy en día, servicio Web API también están disponibles por lo que puede ir un paso más para personalizar sus propios flujos de trabajo e integrarlas con ILM 2.

Aprovisionamiento codeless

Aprovisionamiento codeless permite los profesionales de TI INFORMÁTICA realizar la mayoría de las tareas que anteriormente requerían desarrollo del código. ILM 2007 requiere el uso de Microsoft Visual Studio para desarrollar extensiones de reglas y código de aprovisionamiento para transformar atributos y objetos en el directorio conectado.

Desde la interfaz de usuario Web, puede definir el tipo de objetos, las reglas de filtro, aprovisionamiento condición, objeto relaciones entre el metaverso y espacio del conector, la regla de eliminación y flujo de datos. Se muestra todos los la asignación de flujo de datos que está definida en el diseñador de agente de administración, lo que permite editar la asignación para concatenar y dar formato el flujo de atributos en flujos de entrada y salidas. Y si lo prefiere codificación, aún puede desarrollar funciones por extensión de desarrollo y las reglas de aprovisionamiento para ILM 2.

Ajustar hacia arriba

ILM "2" ofrece una variedad de nuevas características que puede ayudar a simplificar la administración y reducir los costos de asistencia al cliente de ayuda. Un nuevo portal y características sin intervención del administrador que son adiciones enormemente necesarios al aprovisionamiento codeless, los administradores y usuarios finales se beneficiarán de nuevas características que simplifican las tareas y ayudar a los usuarios a ser más productivo. Y hay otras mejoras convincentes, como la característica mejorada de administración de certificados del ciclo de vida más la conectividad extendida y extensibilidad habilitado de forma agentes de administración mayor.

ILM "2" está programada para estar disponible en la primera mitad de 2009. Puede encontrar más información en Microsoft Identidad del ciclo de vida del administrador "2" sitio Web.

Aung oo es una identidad administración experto de servicios de consultoría de Microsoft. Aung se ha diseñar, desarrollar y implementar soluciones de administración de directorios y la identidad de empresa para clientes comerciales y gobierno desde el primer lanzamiento de administración de identidades de Microsoft.