• Artigo

Este artigo baseia-se em uma versão de pré-lançamento do Microsoft Identity Lifecycle Manager "2". Todas as informações estão sujeitas a alterações.

Gerenciamento de identidades

Uma introdução ao Identity Lifecyicle Manager 2

Aung Oo

 

Visão geral:

  • A experiência do novo portal
  • Ferramentas de auto-atendimento
  • Gerenciamento de processo comercial
  • Provisionamento sem código

Conteúdo

Experiência do portal
O administrador
Para o usuário padrão
Para o gerenciamento de grupos
Gerenciamento de senhas de auto-atendimento
Integração de escritórios
Gerenciamento de processo comercial
Provisionamento sem código
Conclusão

O novo lançamento do Microsoft Identity Lifecycle Manager "2" (ou ILM "2"), em versão beta 3 no momento em que este artigo foi redigido, foi desenvolvido com base nos recursos de gerenciamento de identidade encontrados no Microsoft Identity Integration Server 2003 (MIIS 2003) e no ILM 2007. Ele oferece muitos recursos novos e melhorias – você pode cortar custos com ferramentas de auto-atendimento, aumentar a conformidade com a segurança, usando modelagem de processos comerciais, e reduzir o tempo de desenvolvimento com ferramentas de desenvolvimento intuitivas.

Neste artigo, quero apresentar os principais recursos novos e as melhorias, bem como abordar os benefícios que o ILM "2" pode oferecer à sua organização. Especificamente, abordarei a experiência do portal ILM "2" em gerenciamento de grupos e perfis de usuários, gerenciamento de senhas de auto-atendimento, design de fluxo de trabalho e processo comercial, integração com Microsoft Office e capacidade de desenvolver regras de sincronização sem usar código (conhecida como provisionamento sem código). Por último, mas igualmente importante, abordarei os requisitos de licenciamento provisório, de software e hardware, para implementação do ILM "2".

Experiência do portal

O portal da Web é um dos recursos mais notáveis incluídos no ILM "2", pois é a primeira vez que a Microsoft inclui uma interface do usuário para que usuários finais realizem funções de auto-atendimento. A interface da Web fornece um ponto de entrada a usuários autorizados e administradores, para que gerenciem usuários e grupos, definam regras empresariais e até mesmo permitam o desenvolvimento de provisionamento sem código para provisionar contas.

O ILM "2" faz uso da Autenticação integrada do Windows com Active Directory para que as organizações possam usar grupos e usuários existentes já definidos no Active Directory, a fim de fornecer autenticação e autorização para novos usuários. Os usuários com privilégios administrativos podem realizar funções administrativas, como definir fluxos de trabalho para processos e configurar regras de sincronização, além de tarefas que os usuários finais podem realizar.

O administrador

Se você fizer logon no portal e tiver privilégios administrativos, terá acesso a mais recursos do que os usuários padrão (veja a Figura 1). Você pode visualizar e atualizar registros existentes, bem como solicitar contas para novos funcionários no diretório conectado.

fig01.gif

Figura 1 O portal ILM “2”

Ao configurar um novo usuário com o portal, você poderá enviar detalhes desse usuário como nome, nome de exibição, endereço de email, data de início, data de término etc. Além disso, os campos na página podem ser configurados conforme necessário. Usando visualizações de objetos, é possível estender o esquema do portal para solicitar praticamente qualquer tipo de dados, como o tamanho do calçado de um funcionário, por exemplo.

O mecanismo de sincronização detecta novos registros e alterações feitos a partir do portal, e fornece aos usuários informações no diretório conectado. O processo de contas de provisionamento nos diretórios conectados usando o mecanismo de sincronização segue o mesmo processo do ILM 2007. A principal mudança neste caso é que os administradores podem inserir e atualizar informações do funcionário através do portal e o portal então alimenta o mecanismo de sincronização, oferecendo um modo mais flexível para coletar e atualizar informações do usuário em diretórios conectados.

Os bancos de dados de recursos humanos geralmente não contêm prestadores de serviços e funcionários temporários, como estagiários, o que dificulta o gerenciamento dessas contas. E essas contas são, com freqüência, criadas manualmente em vários aplicativos, o que faz com que você esqueça de excluí-las pelo método manual quando necessário. Isso cria um potencial para brechas de segurança, em que contas permanecem ativas depois que o usuário não faz mais parte da organização.

Uma abordagem é usar o portal ILM "2" para o provisionamento e o acompanhamento de perfis de funcionários temporários. O banco de dados de RH permanece sendo a fonte consagrada para registros de funcionários e prestadores de serviços, enquanto o portal simplesmente complementa o banco de dados de RH como outra forma de inserir e atualizar perfis.

Para o usuário padrão

O portal também oferece um certo poder para usuários padrão. Os usuários podem atualizar um subconjunto de suas informações e as informações são então enviadas para diretórios conectados, usando novamente o mecanismo de sincronização ILM "2". Você, o administrador, pode configurar quais atributos os usuários podem atualizar, e pode validar o formato das informações que os usuários inserem nos campos. Essa abordagem ajuda a manter os dados mais atualizados em várias fontes de dados.

Isso contrasta totalmente com os estranhos métodos usados hoje em dia. Para permitir que os usuários atualizem suas próprias informações, muitas organizações contam com soluções de catálogo telefônico de terceiros ou criam suas próprias soluções internamente. Outras organizações requerem que os usuários liguem para o suporte técnico ou enviem documentos em papel para atualizar informações.

As duas abordagens apresentam algumas sérias desvantagens. Aplicativos de terceiros e soluções internas personalizadas podem ser muito caros e difíceis de manter. Além disso, as informações atualizadas contidas em uma dessas soluções geralmente não usam um mecanismo de sincronização para então atualizar outros diretórios conectados. Ao mesmo tempo, fazer com que os usuários liguem para o suporte técnico para atualizar informações aumenta consideravelmente os custos de suporte de TI, além de ocupar o pessoal de suporte com tarefas relativamente triviais.

Para o gerenciamento de grupos

Os administradores agora podem provisionar grupos de segurança e listas de distribuição com associações em diretórios conectados, definindo consultas para classificar associações com base em valores de atributos de usuário ou por nome. Todas as operações podem ser realizadas usando a simples interface do usuário baseada na Web. O provisionamento de grupos adicionando usuários explicitamente é fácil, mas também há suporte para situações mais complexas.

Você pode provisionar grupos com associações calculadas, criando grupos baseados em atributos específicos e relação de relatório. Isso é feito definindo-se uma ação de fluxo de trabalho. Por exemplo, o administrador pode definir uma consulta para agrupar todos os usuários no departamento de marketing, atribuindo um valor de "marketing" no nome do grupo (All Users em Marketing). O mecanismo de sincronização do ILM "2" importa o grupo de acordo com a definição e os grupos de provisionamentos no diretório conectado. Consultas complexas podem ser desenvolvidas facilmente usando a lógica booleana para pesquisar vários atributos.

Os usuários finais também podem criar uma lista de distribuição e se auto-adicionar ou remover da lista através do portal. A lógica de aprovação do fluxo de trabalho pode ser incorporada, de modo que apenas as listas de distribuição ou os usuários autorizados possam ingressar na lista.

As versões anteriores do ILM permitiam que você gerenciasse grupos através da interface da Web, mas isso exigia um download separado: ele estava incluído como parte da seção de fluxo de trabalho e provisionamento da Microsoft Identity and Access Management Series. Essa solução era exclusiva para administradores e não permitia que usuários finais ingressassem e saíssem de grupos atribuídos.

Também há funções administrativas que você pode realizar no portal da Web. Entre alguns dos recursos administrativos importantes estão:

  • A priorização do tipo de objetos em provisionamento a um diretório conectado. (Isso permite garantir que determinados objetos não precisem aguardar o ciclo completo de sincronização para que sejam provisionados.)
  • Modificação do esquema da página de perfis de usuário. (O esquema da página para coleta de informações de usuário pode ser estendido para incorporar campos que são específicos para os requisitos da sua organização.)
  • Atualização do status da conta de usuário.
  • Modificação da aparência e do funcionamento do site. (Isso permite que você personalize o portal para acomodar os padrões da sua organização.)

Gerenciamento de senhas de auto-atendimento

Outro recurso importante novo no ILM "2" é a solução de gerenciamento de senhas de auto-atendimento. As duas soluções de gerenciamento de senhas disponíveis no ILM 2007 (uma solução baseada na Web e o serviço de notificação de alteração de senha) oferecem recursos limitados de auto-atendimento. Ambas exigem que o usuário insira a senha antiga para redefinir sua senha; portanto, elas são praticamente inúteis no que diz respeito a uma senha esquecida – nessa situação, o usuário precisaria ligar para o suporte técnico.

O ILM "2" aborda isso, permitindo que os usuários redefinam suas senhas usando perguntas do tipo desafio/resposta, que podem ser acessadas da interface do usuário de logon do Windows. Isso, obviamente, pode ajudar a reduzir os custos de suporte técnico.

Assim que o aplicativo de gerenciamento de senhas for implantado e um usuário fizer logon pela primeira vez, uma tela será exibida, solicitando que o usuário responda a um conjunto de perguntas (qual foi o seu primeiro carro, em que cidade você nasceu etc.). A caixa de diálogo de redefinição de senha é mostrada na Figura 2.

fig02.gif

Figura 2 A tela de redefinição de senha

O administrador pode especificar o tipo e o número de perguntas a serem usadas. Ele também pode especificar o número de grupos (cada grupo contém um conjunto de perguntas). Além disso, o administrador pode configurar o número de perguntas que o usuário deve ser capaz de responder, a fim de poder redefinir a senha ou passar para o próximo grupo.

Para fornecer o nível apropriado de segurança, você pode vincular o número de grupos e questões que o usuário deve responder corretamente a grupos de segurança do Active Directory. Por exemplo, os usuários no grupo de segurança executivo podem precisar acessar os três grupos e devem responder corretamente a todas as perguntas em cada conjunto. Por outro lado, os usuários no grupo de segurança de marketing podem precisar acessar apenas um grupo e responder duas de três perguntas. Além disso, se você não quiser fornecer aos usuários a capacidade de redefinir senhas a partir do logon do Windows, há uma opção para fornecer uma interface do usuário da Web para a redefinição de senhas.

Integração de escritórios

A integração de usuários do ILM "2" permite que os usuários gerenciem a associação de grupos no Microsoft Office Outlook, como mostra a Figura 3. Isso proporciona um modo conhecido para acesso a tarefas comuns, como ingressar e sair de listas de distribuição, bem como adicionar e remover outros usuários do grupo (isso requer o Outlook 2007 ou versão posterior).

fig03.gif

Figura 3 Integração com o Outlook

Um usuário pode selecionar o grupo Join (Ingressar), percorrer a lista global de endereços, selecionar os grupos nos quais deseja ingressar ou remover-se da associação do grupo e então apenas enviar a solicitação. O proprietário da lista de distribuição recebe a solicitação por email e pode aprovar ou negar essa solicitação a partir do Outlook. Se o proprietário do grupo aprovar a solicitação, o mecanismo de sincronização do ILM será disparado para concluir o processo.

Gerenciamento de processo comercial

O gerenciamento do fluxo de trabalho e o processo comercial são fundamentais para todos os principais cenários no ILM "2". Felizmente, o processo comercial e a lógica do fluxo de trabalho podem ser adaptados aos requisitos específicos da sua organização. Por exemplo, você pode especificar que determinados eventos no sistema disparem uma série de etapas automatizadas, conhecidas como processos (veja a Figura 4).

fig04.gif

Figura 4 Configuração de processos de fluxo de trabalho

Um administrador pode associar um evento a um dos três tipos de processo: autenticação, autorização e ação. Por exemplo, a seleção do tipo de processo Autorização permitirá que o proprietário aprove todas as solicitações para ingresso ou saída do grupo. Ao selecionar o fluxo de trabalho Autorização, você também pode definir os nomes de aprovadores, o número de aprovadores e o número de dias para os quais a aprovação é válida.

Podem ser definidos fluxos de trabalho complexos, de modo que todas as operações de exclusão realizadas para grupos devem ser aprovadas por administradores e exigir que os usuários sejam autenticados em um processo de autenticação de desafio/resposta. Todos os usuários, incluindo administradores, devem passar pelo processo de autenticação respondendo perguntas que já tenham registrado durante o período de registro inicial para validar sua identidade.

Assim que o processo de autenticação for concluído, a solicitação da exclusão do grupo será enviada para autorização do aprovador. O processo de autorização confirma a permissão do usuário para solicitar a operação. Finalmente, o aprovador aprova a solicitação e o ILM realiza a operação de exclusão.

A capacidade de criar um fluxo de trabalho complexo usando a ferramenta incorporada é um acréscimo significativo ao ILM; anteriormente, uma solução como essa exigia o fluxo de trabalho de provisionamento passo a passo no MIIS Resource Tool Kit ou solução de terceiros. Atualmente, também estão disponíveis APIs de serviço Web para que você possa personalizar seus próprios fluxos de trabalho e integrá-los ao ILM "2".

Provisionamento sem código

O provisionamento sem código permite que profissionais de TI realizem praticamente todas as tarefas que anteriormente exigiam o desenvolvimento de código necessário. O ILM 2007 exigia que você usasse o Microsoft Visual Studio para desenvolver extensões de regra e código de provisionamento para transformar atributos e objetos no diretório conectado.

A partir da interface de usuário da Web, você pode definir tipo de objetos, regras de filtro, condição de provisionamento, relações de objetos entre o metaverse e o espaço do conector, regra de exclusão e fluxo de dados. Todo o mapeamento de fluxo de dados definido no designer de agente de gerenciamento é exibido, permitindo que você edite o mapeamento para concatenar e formatar o fluxo de atributo nos fluxos de entrada e saída. Além disso, se você preferir a codificação, ainda poderá desenvolver funções, desenvolvendo regras de extensão e provisionamento para ILM "2".

Conclusão

O ILM "2" oferece uma variedade de novos recursos que podem ajudar a simplificar o gerenciamento e reduzir os custos de suporte técnico. Desde um novo portal e recursos de auto-atendimento que são acréscimos extremamente necessários, até o provisionamento sem código, administradores e usuários finais se beneficiarão dos novos recursos que simplificam tarefas e ajudam os usuários a ser mais produtivos. Além disso, há outras melhorias interessantes, como o recurso Certificate LifeCycle Management aprimorado, bem como a extensibilidade e conectividade estendida habilitadas pelos agentes de gerenciamento ampliados.

O ILM "2" deve ser disponibilizado no primeiro semestre de 2009. É possível encontrar mais informações no site Identity Lifecycle Manager "2" da Microsoft.

Aung Oo é especialista em gerenciamento de identidades nos Serviços de Consultoria Microsoft. Aung projeta, desenvolve e implanta soluções de gerenciamento de identidades e diretórios empresariais para clientes comerciais e governamentais desde a primeira versão do Gerenciamento de Identidades Microsoft.