• Articolo

Questo articolo si basa su una versione preliminare di Microsoft Identity Lifecycle Manager "2". Tutte le informazioni sono soggette a modifiche.

Gestione identità

Introduzione a Identity Lifecycle Manager 2

Aung Oo

 

In un riepilogo delle:

  • L'esperienza di portale nuova
  • Gli strumenti in modalità self-service
  • Gestione dei processi aziendali
  • Provisioning codeless

Contenuto

Portale software
L'amministratore
Per l'utente standard
Per la gestione di gruppo
Gestione password in modalità self-Service
Integrazione di Office
Business Process Management
Provisioning codeless
Disposizione dei

La nuova versione di Microsoft Identity Lifecycle Manager "2" (o ILM "2"), disponibile nella versione beta 3 al momento di scrivere questo articolo si basa sulle funzionalità di gestione identità disponibili in Microsoft Identity Integration Server 2003 (MIIS 2003) e ILM 2007. Esso offre molte nuove funzionalità e miglioramenti, è possibile ridurre i costi con gli strumenti in modalità self-service, aumentare la protezione conformità ai processi aziendali di modellazione e ridurre i tempi di sviluppo con strumenti di sviluppo intuitiva.

In questo articolo, che si desidera illustrano i miglioramenti e nuove caratteristiche chiave e descrivere i vantaggi che per l'organizzazione possono essere inseriti ILM "2". In particolare, verrà discusso ILM "2" portale esperienza nella gestione profili utente e gruppi, gestione delle password in modalità self-service progettazione del processo e del flusso di lavoro di business, integrazione con Microsoft Office e consentono di sviluppare la sincronizzazione delle regole senza utilizzare codice (noto come provisioning codeless). Ultimo, ma non meno si verrà riferiscono il software, hardware e provvisori requisiti di licenza per l'implementazione ILM "2".

Portale software

Il Web portale è una delle funzionalità più rilevanti aggiunta ILM "2" come è la prima volta Microsoft ha incluso un'interfaccia utente per gli utenti finali eseguire funzioni in modalità self-service. Dell'interfaccia Web fornisce un punto di ingresso per gli utenti autorizzati e agli amministratori di gestire utenti e gruppi, definire regole di business e consentono anche lo sviluppo di provisioning codeless ai conti di provisioning.

ILM "2" utilizza autenticazione integrata di Windows con Active Directory in modo che le organizzazioni possono utilizzare gli utenti esistenti e i gruppi già definiti in Active Directory per fornire l'autenticazione e autorizzazione ai nuovi utenti. Gli utenti con privilegi amministrativi possono eseguire funzioni amministrative, quali la definizione di flussi di lavoro per i processi e la configurazione sincronizzazione delle regole, nonché le attività che gli utenti finali possono eseguire.

L'amministratore

Se accedere al portale e si dispone dei privilegi di amministratore, sarà necessario l'accesso a più funzionalità rispetto agli utenti standard (vedere la Figura 1 ). È possibile visualizzare e aggiornare record esistenti, nonché gli account di richiesta per nuovi dipendenti nella directory connesse.

fig01.gif

Figura 1 la ILM “ 2 ” portale

Quando si configura un nuovo utente con il portale, è possibile inviare tali informazioni relative all'utente esempio nome, nome visualizzato, indirizzo di posta elettronica, data di inizio, data di fine e così via. E i campi della pagina possono essere configurati se necessario. Utilizzando gli effetti grafici oggetto, è possibile estendere lo schema del portale per richiedere più qualsiasi tipo di dati, ad esempio le dimensioni di scarpe del dipendente.

Il motore di sincronizzazione rileva nuovi record e le modifiche apportate dal portale ed esegue il provisioning di conseguenza informazioni utente nella directory connessa. Il processo di provisioning account nelle directory connesse utilizzando il modulo di gestione sincronizzazione costituito lo stesso processo come in ILM 2007. Modifica chiave è che gli amministratori possono immettere e aggiornare le informazioni dipendente tramite il portale e il portale feed quindi il motore di sincronizzazione, offrendo una soluzione più flessibile per raccogliere e aggiornare le informazioni utente nelle directory connesse.

Risorse umane database spesso non contengono appaltatori e lavoratori temporanei, ad esempio interns dello studente, rendendo difficile gestire questi account. E questi account vengono spesso creati manualmente in varie applicazioni, facilitando la dimentica di eliminare manualmente gli account quando necessario. Verrà creato un rischio di vulnerabilità di protezione, in cui gli account rimangono attivi dopo che un utente ha lasciato l'organizzazione.

Un approccio consiste nell'utilizzare ILM "2" portale per effettuare il provisioning e verificare i profili per i lavoratori temporanei. Il database di risorse UMANE rimane l'origine autorevole per i record di impiegato e dei consulenti, mentre il database di risorse UMANE nel portale del integra semplicemente come un altro modo per immettere e aggiornare i profili.

Per l'utente standard

Il portale anche inserisce una parte della potenza nel mani di utenti standard. Gli utenti possono aggiornare un sottoinsieme delle informazioni e le informazioni viene quindi inserite out per directory connesse utilizzando nuovamente il modulo di gestione di 2" sincronizzazione di ILM. L'amministratore può configurare gli attributi che gli utenti possono aggiornare ed è possibile convalidare il formato delle informazioni immessi nei campi. Questo approccio contribuiscono alla dati più recenti in diverse origini dati.

Questo è in contrasto bianco ai metodi ungainly utilizzati oggi. Per consentire agli utenti di aggiornare alle proprie informazioni, molte organizzazioni utilizzano soluzioni di terze parti Rubrica o creare proprie soluzioni internamente. Altre organizzazioni di richiedere agli utenti di effettivamente il supporto tecnico di chiamare o inviare documenti per aggiornare le informazioni.

Esistono alcuni svantaggi gravi a entrambi questi approcci. Applicazioni di terze parti e soluzioni personalizzate interni possono essere molto costose e difficili da gestire. E le informazioni aggiornate contenute in una delle seguenti queste soluzioni in genere non viene utilizzato un modulo di sincronizzazione per aggiornare altre directory connesse. Nel frattempo, chiamata agli utenti il supporto tecnico per aggiornare le informazioni può aumentare notevolmente supporto IT costi e collegare i personale di supporto con attività relativamente semplice.

Per la gestione di gruppo

Gli amministratori possono ora fornire gruppi di protezione e liste di distribuzione con appartenenze nelle directory connesse tramite definire query per classificare appartenenze in base ai valori degli attributi utente o tramite un nome. Tutte le operazioni possono essere eseguite utilizzando l'interfaccia utente basata sul Web semplice. Provisioning gruppi aggiungendo esplicitamente gli utenti è semplice, ma sono supportati più complesse.

Consente di preparare gruppi con calcolati appartenenze, creazione di gruppi basati su reporting relazione e attributi specifici. Ciò avviene definendo un'azione del flusso di lavoro. Ad esempio, l'amministratore può definire una query per raggruppare tutti gli utenti all'interno del reparto marketing, assegnazione di un valore di "marketing" nel nome del gruppo (tutti gli utenti in marketing). Il motore di 2" sincronizzazione di ILM Importa categoria secondo i gruppi di definizione e accantonamenti nella directory connesse. È possibile sviluppare query complesse abbastanza facilmente utilizzando logica booleana per cercare più attributi.

Gli utenti finali possono inoltre creare una lista di distribuzione e aggiungere o rimuovere se stessi dall'elenco tramite il portale. La logica di approvazione del flusso di lavoro può essere incorporata in modo che solo approvato liste di distribuzione o gli utenti autorizzati possono partecipare nell'elenco.

Le versioni precedenti di ILM consentono di gestire i gruppi tramite l'interfaccia Web, ma questo necessario un download separato, è stata inclusa come parte della sezione per il provisioning e flusso di lavoro del Microsoft Identity e serie di gestione di Access. Tale soluzione consente di è stato solo per gli amministratori e di non consentire utenti di fine di join e lasciare i gruppi assegnati.

Esistono anche funzioni amministrative che è possibile eseguire nel portale Web. Tra le funzionalità di amministrazione rilevanti sono incluse:

  • Assegnazione della priorità il tipo di oggetti in provisioning in una directory connessa. (Questa consente assicurarsi che determinati oggetti non abbiano attendere il ciclo di sincronizzazione intero ottenere provisioning.)
  • Modifica lo schema della pagina dei profili utente. Lo schema della pagina di raccolta delle informazioni utente può essere esteso per incorporare i campi specifici requisiti dell'organizzazione.
  • Aggiornamento dello stato dell'account utente.
  • Modifica aspetto e il funzionamento di al sito. (Questo consente di personalizzare il portale per soddisfare gli standard dell'organizzazione.)

Gestione password in modalità self-Service

Un'altra funzionalità chiave è nuova in ILM "2" è la soluzione di gestione password in modalità self-service. Le soluzioni di gestione di due password disponibili in ILM 2007 (una soluzione basata sul Web e il servizio di notifica modifica password) offrono funzionalità in modalità self-service limitata. Entrambi richiedono che l'input utente la password precedente per reimpostare la password; pertanto sono abbastanza inutile quando si tratta di una password dimenticata, in tale situazione, l'utente si debba chiama il supporto tecnico.

ILM "2" risolve questo consentendo agli utenti di reimpostare le loro password utilizzando domande di verifica / risposta, è possibile accedere dall'accesso di Windows dell'interfaccia utente. Questo, ovviamente, consente di ridurre i costi della scrivania della Guida in linea.

Una volta che viene distribuita l'applicazione gestione di password e un utente accede per la prima volta, uno schermo verrà popup, richiede che l'utente rispondere una serie di domande (ciò che era Auto prima, in cui sono state le città è che e così via). La finestra di dialogo resto password è illustrato nella Figura 2 .

fig02.gif

Nella figura 2 reimpostare la password sullo schermo

L'amministratore può specificare il tipo e numero di domande da utilizzare. È possibile specificare anche il numero di gate (ogni gate contiene una serie di domande). Inoltre, l'amministratore può configurare il numero di domande che l'utente deve essere in grado rispondere per poter reimpostare la password oppure spostare per gate successivo.

Per fornire il livello di protezione appropriato, è possibile collegare il numero di gate e domande che l'utente deve rispondere correttamente ai gruppi di protezione di Active Directory. Gli utenti del gruppo protezione executive, ad esempio, potrebbe essere necessario eseguire tre gate e devono rispondere correttamente tutte le domande in ogni gate. Gli utenti del gruppo di protezione marketing, invece, possono solo necessario passare attraverso un gate e rispondere alle domande di due dei tre. E se non desidera consentire a utenti di reimpostare le password dall'accesso di Windows, è presente un'opzione per fornire un'interfaccia utente Web per la reimpostazione delle password.

Integrazione di Office

Integrazione di office "2 ILM consente di gestire l'appartenenza gruppo dall'interno di Microsoft Office Outlook, come illustrato nella Figura 3 . Questo fornisce un metodo familiare per accedere attività comuni, ad esempio unione e lasciando liste di distribuzione, nonché aggiunta e rimozione di altri utenti dal gruppo (richiede Outlook 2007 o versione successiva).

fig03.gif

Nella figura 3 Integrazione con Outlook

Un utente può selezionare gruppo di unione, individuare nell'elenco indirizzi globale, selezionare i gruppi che utente decide di partecipare o rimuovere herself dall'appartenenza al gruppo e inviare solo la richiesta. Il proprietario della lista distribuzione riceve la richiesta tramite posta elettronica e può approvare o rifiutare tale richiesta dall'interno di Outlook. Se il proprietario del gruppo Approva la richiesta, il motore di sincronizzazione di ILM viene attivato per completare il processo.

Business Process Management

Gestione processo e il flusso di lavoro aziendali sono fondamentale per tutti gli scenari chiavi in ILM "2". Fortunatamente, regole business di processo e il flusso di lavoro possono essere adattate ai requisiti dell'organizzazione particolare. Ad esempio, è possibile specificare alcuni eventi sono presenti il trigger di sistema una serie di passaggi automatizzati, noto come processi (vedere la Figura 4 ).

fig04.gif

Nella figura 4 i processi del flusso di lavoro di configurazione

Un amministratore può associare un evento con uno dei tre tipi di processo: Authentication, Authorization and Action. Ad esempio, selezionare il tipo di processo di autorizzazione consente al proprietario di approvare tutte le richieste di unirsi o di lasciare il gruppo. Quando si seleziona il flusso di lavoro autorizzazioni, è inoltre possibile definire i nomi di responsabili approvazione, il numero di revisori e numero di giorni per cui è valido l'approvazione.

È possibile definire flussi di lavoro complessi in modo che tutte le operazioni di eliminazione eseguite ai gruppi devono essere approvate dagli amministratori e richiedere agli utenti di autenticare un processo di autenticazione in attesa e risposta. Tutti gli utenti, inclusi gli amministratori, devono passare attraverso il processo di autenticazione rispondendo che hanno registrato durante il periodo iniziale di registrazione per convalidare la propria identità alle domande proposte.

Dopo che il processo di autenticazione è completato, la richiesta per l'eliminazione del gruppo viene inviata al responsabile dell'approvazione per l'autorizzazione. Il processo di autorizzazione viene confermata l'autorizzazione dell'utente per richiedere l'operazione. Infine, l'approvatore approva la richiesta e ILM esegue l'operazione di eliminazione.

La possibilità di progettare un flusso complesso con lo strumento incorporato è un'aggiunta significativa a ILM; in precedenza, una soluzione simile al seguente richiesto il flusso di lavoro provisioning a passaggio singolo in MIIS resource strumento kit o una soluzione di terze parti. Oggi, servizio Web API sono disponibili anche in modo è possibile passare un passaggio ulteriormente per personalizzare il proprio flussi di lavoro e li integrare con ILM "2".

Provisioning codeless

Provisioning codeless consente ai professionisti IT eseguire la maggior parte delle attività che in precedenza richiesto lo sviluppo di codice. ILM 2007 è necessario utilizzare Microsoft Visual Studio per sviluppare le estensioni di regola e il codice provisioning per trasformare attributi e oggetti nella directory connesse.

Dall'interfaccia utente Web, è possibile definire il tipo di oggetti, le regole dei filtri, provisioning condizione, oggetto relazioni tra la metaverse, spazio del connettore, regole di eliminazione e flusso di dati. Verrà visualizzato tutti il mapping flusso dei dati viene definito nell'autore dell'agente di gestione, consentendo di modificare il mapping per concatenare e formattare il flusso di attributo in ingresso e in uscita flussi di. E se si preferisce la codifica, è possibile sviluppare ancora funzioni di estensione dello sviluppo e le regole di provisioning di ILM "2".

Disposizione dei

ILM "2" offre una gamma di nuove funzionalità che consente di semplificare la gestione e ridurre i costi scrivania di Guida in linea. Da un portale di nuovo e in modalità self-service le funzionalità aggiunte notevolmente necessarie al provisioning codeless, gli amministratori e gli utenti finali trarranno vantaggio da nuove funzionalità che semplificano le attività e consentono agli utenti di produttività degli utenti. E non esistono altri miglioramenti all'avanguardia, come la funzionalità di gestione del ciclo di vita dei certificati avanzata più la connettività estesa e l'estendibilità abilitato per gli agenti di gestione maggiore.

ILM "2" è pianificato per essere disponibili nella prima metà del 2009. È possibile trovare ulteriori informazioni in Microsoft Identity Lifecycle Manager "2" sito Web.

Oo Aung è un'identità gestione esperto in servizi di consulenza Microsoft. Aung è stato progettazione, sviluppo e distribuzione di enterprise identità e directory soluzioni di gestione per i clienti del sia commerciale sia governativo rispetto alla prima versione di Microsoft Identity Management.