Cet article est basé sur une version préliminaire de Microsoft Identity Lifecycle Manager « 2 ». Toutes les informations sont sujets à modification.

Gestion des identités

Introduction à Identity Lifecycle Manager 2

Aung Oo

 

À une vue d'ensemble :

  • L'expérience nouveau portail
  • Outils libre-service
  • Gestion des processus métier
  • Mise en service codeless

Contenu

Expérience de portail
L'administrateur
Pour l'utilisateur standard
Pour la gestion de groupe
Gestion des mots de passe libre-service
Intégration d'Office
Gestion des processus entreprise
Mise en service codeless
Conclusion

La nouvelle version de Microsoft Identity Lifecycle Manager « 2 » (ou ILM « 2 »), en version bêta 3 au moment de l'écriture de cet article, s'appuie sur les capacités de gestion des identités trouvées dans Microsoft Identity Integration Server 2003 (MIIS 2003) et ILM 2007. Il offre de nombreuses nouvelles fonctionnalités et améliorations, vous pouvez couper coûts avec Outils libre-service, améliorer la sécurité la conformité avec les processus métier de modélisation et réduire le temps de développement avec outils de développement intuitive.

Dans cet article, je souhaite illustrer clées nouvelles fonctionnalités et améliorations et décrivez les avantages QU'ILM 2 peut arriver dans votre organisation. En particulier, j'aborderai ILM 2 portail d'expérience dans Gestion des profils utilisateurs et groupes, gestion libre-service mot de passe, entreprise processus et des flux de travail de conception, intégration avec Microsoft Office et la possibilité de développer des règles de synchronisation sans utiliser de code (appelé mise en service codeless). Dernière, mais non des moindres, je couvrent le logiciel, matériel et provisoires licences requis pour implémenter ILM « 2 ».

Expérience de portail

Le Web portail est une des plus importantes fonctionnalités ajoutées à ILM « 2 » comme c'est la première fois Microsoft a inclus une interface utilisateur pour les utilisateurs finaux exécuter les fonctions de libre-service. L'interface Web offre un point d'entrée pour les utilisateurs autorisés et les administrateurs à gérer les utilisateurs et les groupes, définir des règles de métier et même permettre le développement d'attribution de privilèges codeless d'accès aux comptes de mise en service.

ILM 2 utilise l'authentification Windows intégrée à Active Directory afin les organisations peuvent utiliser les utilisateurs existants et les groupes déjà définis dans Active Directory pour fournissent l'authentification et les autorisations aux nouveaux utilisateurs. Ceux avec des privilèges d'administrateur peuvent exécuter des fonctions d'administration, comme définition de flux de travail pour les processus et configuration de règles de synchronisation, ainsi que les tâches que les utilisateurs finaux peut effectuer.

L'administrateur

Si vous vous connectez dans le portail et que vous disposez des privilèges d'administration, vous vous avez accès à plus de fonctionnalités que les utilisateurs standard (voir figure 1 ). Vous pouvez afficher et mettre à jour les enregistrements existants, ainsi que les comptes de demande pour nouveaux employés dans le répertoire connecté.

fig01.gif

Figure 1 portail ILM le “ 2 ”

Lorsque vous paramétrez un nouvel utilisateur avec le portail, vous pouvez envoyer ces utilisateur détails que nom, nom complet, adresse de messagerie, date de début, date de fin et le type. Et les champs de la page peuvent être configurés si nécessaire. Utilisez visualisations de l'objet, vous pouvez étendre le schéma du portail pour demander plus n'importe quel type de données, telles que taille chaussures du salarié.

Le moteur de synchronisation détecte les nouveaux enregistrements et les modifications apportées à partir du portail et met en place les informations utilisateur dans le répertoire connecté en conséquence. Le processus de comptes d'attribution de privilèges d'accès dans les annuaires connectés à l'aide du moteur de synchronisation suit le même processus que dans ILM 2007. La modification de clé ici est que les administrateurs peuvent entrer et mettre à jour employé informations via le portail, et le portail flux puis le moteur de synchronisation, offrant plus d'une grande souplesse Collecter et mettre à jour les informations utilisateur dans les annuaires connectés.

Bases de données ressources humaines souvent ne contiennent pas sous-traitants et des travailleurs temporaires, tels que les étudiants interns, rendant difficile de gérer ces comptes. Et ces comptes sont souvent créés manuellement dans différentes applications, ce qui facilite oubliez puis supprimer manuellement les comptes lorsque cela est nécessaire. Cela crée un risque de failles de sécurité, où les comptes restent actifs après qu'un utilisateur a quitté l'organisation.

Une approche consiste à utiliser ILM « 2 » portail pour attribuer et suivre les profils pour les travailleurs temporaires. La base de données RH reste source d'autorité pour les enregistrements employé et fournisseur, tandis que le portail complète simplement la base de données RH comme un autre moyen entrer et mettre à jour de profils.

Pour l'utilisateur standard

Le portail de la puissance place également dans les mains d'utilisateurs standard. Les utilisateurs peuvent mettre à jour un sous-ensemble de leurs informations et les informations sont puis placées les aux répertoires connectés, nouveau utilisant le moteur de synchronisation "2 ILM. Vous, l'administrateur, pouvez configurer les attributs que les utilisateurs peuvent mettre à jour et vous pouvez contrôler le format des informations que les utilisateurs entrer dans les champs. Cette approche peut aider à conserver la plus récente des données dans diverses sources de données.

C'est dans fort contraste dans les méthodes ungainly utilisés aujourd'hui. Afin de permettre aux utilisateurs de mettre à jour leurs propres informations, de nombreuses entreprises reposent sur les solutions d'annuaire téléphonique tiers ou créer leurs propres solutions en interne. Autres organisations requièrent que les utilisateurs en fait appeler le support technique ou envoyer des formulaires pour mettre à jour les informations.

Il existe certains inconvénients graves aux deux de ces approches. Les applications tierces et des solutions personnalisées internes peuvent être très coûteux et difficile à gérer. Et les informations mises à jour contenues dans une des ces solutions généralement n'utilise pas un moteur de synchronisation pour ensuite mettre à jour autres annuaires connectés. En outre, appel aux utilisateurs le support technique pour mettre à jour les informations peut augmenter considérablement support informatique les coûts et occuper de support technique avec les tâches relativement trivial.

Pour la gestion de groupe

Les administrateurs peuvent attribuer maintenant des groupes de sécurité et des listes de distribution avec appartenances dans les annuaires connectés par définir des requêtes pour classer les appartenances selon les valeurs des attributs utilisateur ou par son nom. Toutes les opérations peuvent être effectuées à l'aide l'interface utilisateur basée sur le Web simple. Mise en service groupes en ajoutant des utilisateurs est simple, mais des scénarios plus complexes sont pris en charge explicitement.

Vous pouvez mettre en service groupes avec appartenances calculés, création de groupes basés sur la génération d'états relation et des attributs spécifiques. Pour cela en définissant une action de workflow. Par exemple, l'administrateur peut définir une requête pour regrouper tous les utilisateurs dans le service marketing, affecter une valeur de « marketing » dans le nom groupe (tous les utilisateurs dans marketing). Le moteur de synchronisation "2 ILM importe le groupe en fonction des groupes de définition et met en service dans le répertoire connecté. Des requêtes complexes peuvent être développées très facilement l'utilisation logique booléenne pour rechercher plusieurs attributs.

Les utilisateurs finaux peuvent également créer une liste de distribution et ajouter ou eux-mêmes supprimer de la liste via le portail. La logique d'approbation de flux de travail peut être incorporée afin que seulement approuvé les listes de distribution ou les utilisateurs autorisés peuvent rejoindre la liste.

Les versions précédentes de ILM vous permettent de gérer des groupes via l'interface Web, mais ce obligatoire un téléchargement séparé, il était inclus comme une partie de la section Attribution de privilèges d'accès et le flux de travail de la Microsoft Identity Kit de gestion des et des accès. Cette solution était uniquement pour les administrateurs et n'autorise pas aux utilisateurs de joindre et conserver les groupes affectés.

Il existe également des fonctions d'administration que vous pouvez effectuer sur le portail Web. Voici quelques-unes des fonctionnalités d'administration importantes :

  • Priorités le type des objets est mis en service à un répertoire connecté. (Cela permet pour vous assurer que certains objets ne présente pas d'attendre le cycle de synchronisation entière pour obtenir mis en service.)
  • Modification du schéma de la page de profils utilisateur. (Le schéma de la page pour la collecte des informations utilisateur peut être étendu pour intégrer des champs qui sont spécifiques aux exigences de votre organisation.)
  • Mise à jour l'état du compte utilisateur.
  • Modification comment le site se présente et fonctionne. (Cela permet de personnaliser le portail à prendre en charge les normes de votre organisation.)

Gestion des mots de passe libre-service

Une autre fonctionnalité clée qui est nouveau dans ILM « 2 » est la solution de gestion libre-service mot de passe. Les mot de passe deux solutions de gestion disponibles dans ILM 2007 (une solution basée sur le Web et le service de notification modifier le mot de passe) offrent des fonctionnalités libre-service limitées. Requièrent que l'utilisateur entrée son ancien mot de passe pour réinitialiser son mot de passe ; ainsi, ils sont relativement inutiles lorsqu'il s'agit un mot de passe oublié ; dans ce cas, l'utilisateur doit appeler le support technique.

ILM 2 résout en permettant aux utilisateurs de réinitialiser leurs mots de passe à l'aide questions stimulation / réponse, qui est accessible à partir de l'ouverture de session Windows l'interface utilisateur. Pouvez bien entendu, contribuer à réduire les coûts de support technique Aide.

Une fois que l'application de gestion de mot de passe est déployée et un utilisateur ouvre une session pour la première fois, un écran apparaît, demandant que l'utilisateur répondre à un ensemble de questions (ce qui a été votre voiture premier, en le Ville ont été de né et le type). La boîte de dialogue mot de passe reste est illustré figure 2 .

fig02.gif

La figure 2 écran de réinitialisation de le mot de passe

L'administrateur peut spécifier le type et le nombre de questions à utiliser. Il peut également spécifier le nombre de portes (chaque opérateur contient un ensemble de questions). En outre, l'administrateur peut configurer le nombre de questions que l'utilisateur doit pouvoir répondre pour pouvoir réinitialiser le mot de passe ou déplacez vers le portail suivant.

Pour fournir le niveau approprié de sécurité, vous pouvez lier le nombre de portes et les questions de que l'utilisateur doit répondre correctement aux groupes de sécurité Active Directory. Par exemple, les utilisateurs du groupe de sécurité direction devrez passer par trois portes et doivent répondre toutes les questions à chaque opérateur correctement. Les utilisateurs du groupe de sécurité marketing, d'autre part, seulement devrez passer par un opérateur et répondre aux questions deux de trois. Et si vous ne souhaitez pas permettre aux utilisateurs pour la réinitialisation mots de passe de l'ouverture de session Windows, il est une option pour fournir une interface utilisateur Web pour réinitialiser les mots de passe.

Intégration d'Office

Intégration d'Office "2 ILM permet aux utilisateurs de gérer l'appartenance groupe à partir de dans Microsoft Office Outlook, comme illustré figure 3 . Cela permet familier pour accéder aux tâches courantes, telles que joindre et laisser des listes de distribution, ainsi qu'ajout et suppression d'autres utilisateurs du groupe (ceci nécessite Outlook 2007 ou toute version ultérieure).

fig03.gif

La figure 3 Intégration à Outlook

Un utilisateur peut sélectionner Joindre groupe, parcourir la liste d'adresses globale, sélectionnez les groupes qu'il souhaite joindre ou supprimer elle-même d'appartenance au groupe et puis envoyez la demande. Le propriétaire de la liste de distribution reçoit la demande par courrier électronique et peut approuver ou refuser qui demande à partir d'Outlook. Si le propriétaire du groupe approuve la demande, le moteur de synchronisation ILM est déclenchée pour terminer le processus.

Gestion des processus entreprise

Processus et des flux de travail Gestion des métier sont fondamentaux à tous les scénarios clés dans ILM « 2 ». Heureusement, processus et des flux de travail logique peut être adaptée aux exigences de votre organisation spécifique. Par exemple, vous pouvez spécifier pour avoir certains événements dans le déclencheur de système une série d'étapes automatisées, appelé processus (voir figure 4 ).

fig04.gif

La figure 4 processus de flux de travail de configuration

Un administrateur peut associer un événement un des trois types de processus : l'authentification, autorisation et action. Par exemple, la en sélectionnant le type processus d'autorisation permet au propriétaire d'approuver toutes les demandes pour joindre ou laisser le groupe. Lorsque vous sélectionnez le flux de travail d'autorisations, vous pouvez également définir les noms des approbateurs, le nombre d'approbateurs et nombre de jours de validité de l'approbation.

Flux de travail complexes peut être définis afin que toutes les opérations de suppression effectuées à des groupes doivent être approuvées par les administrateurs et les utilisateurs doivent s'authentifier auprès d'un processus d'authentification stimulation / réponse. Tous les utilisateurs, y compris les administrateurs, doivent passer par le processus d'authentification en répondant aux questions qu'ils ont enregistrés pendant la période d'enregistrement initial pour valider leur identité.

Une fois le processus d'authentification opération effectué, la demande pour la suppression du groupe est envoyée à l'approbateur pour l'autorisation. Le processus d'autorisation confirme l'autorisation de l'utilisateur pour demander l'opération. Enfin, l'approbateur approuve la demande et ILM exécute l'opération de suppression.

La capacité à concevoir un flux de travail complexe utilisant l'outil intégré est un ajout important à ILM ; précédemment, une solution ainsi requis le workflow seule étape d'attribution de privilèges d'accès dans le kit d'outil MIIS ressource ou une solution tierce. Aujourd'hui, service Web API sont également disponibles pour vous pouvez passer une étape davantage pour personnaliser vos propres flux de travail et les intégrer dans ILM « 2 ».

Mise en service codeless

Mise en service codeless permet informatique à effectuer la plupart des tâches précédemment requise développement de code. ILM 2007 requis d'utiliser Microsoft Visual Studio pour développer des extensions de règles et code d'attribution de privilèges d'accès pour transformer les attributs et les objets dans le répertoire connecté.

À partir de l'interface utilisateur Web, vous pouvez définir le type des objets, règles de filtrage, la mise en service condition, objet relations entre les métaverse et espace du connecteur, règle de suppression et flux de données. Tout le mappage de flux de données est défini dans le concepteur d'agent de gestion s'affiche, vous permettant de modifier le mappage pour concaténer et de formater le flux des attributs dans les flux entrants et sortants. Et si vous préférez codage, vous pouvez toujours développer des fonctions par extension de développement et les règles d'attribution de privilèges d'accès pour ILM « 2 ».

Conclusion

ILM 2 offre une gamme de nouvelles fonctionnalités qui vous permettent de simplifier la gestion et réduire les coûts de support technique Aide. Dans un nouveau portail et fonctionnalités libre-service qui sont des ajouts considérablement nécessaires aux codeless Attribution de privilèges d'accès, les administrateurs et les utilisateurs bénéficieront dans nouvelles fonctionnalités qui simplifient les tâches et aider les utilisateurs à être plus productif. Et autres améliorations intéressantes, telles que la fonctionnalité de gestion de cycle de vie de certificats améliorée ainsi que les connectivité étendue et l'extensibilité activé par une augmentation des agents de gestion.

ILM « 2 » est prévue pour être disponible dans la première moitié du 2009. Vous trouverez plus d'informations à Microsoft Identité Lifecycle Manager 2 site Web.

Ô Aung consiste une identité gestion objet expert de Microsoft Consulting Services. Aung a été conception, développement et déploiement solutions de gestion des Entreprise annuaire et identité pour clients commercial et gouvernementales depuis la première version de gestion des identités de Microsoft.