Поделиться через

  • Статья

Управление идентификацией

Построение процесса одношаговой подготовки

Онг Оо (Aung Oo)

 

Краткий обзор:

  • Использование приложения MIISWorkflow
  • Реализация и настройка
  • Расширение возможностей MIISWorkflow

Если вы искали веб-интерфейс для запроса и подтверждения учетных записей, и в вашей организации используется Microsoft Identity Lifecycle Manager 2007 (ILM 2007, ранее Microsoft Identity Integration Server 2003, MIIS),

тогда приложение MIISWorkflow может оказаться простым и эффективным решением. Приложение MIISWorkflow входит в состав набора MIIS 2003 Resource Tool Kit 2.0 и доступно с декабря 2004. Хотя оно не обязательно окажется полным решением для любой среды, с него удобно начать построение собственного приложения, полностью удовлетворяющего нуждам вашей организации.

MIISWorkflow предоставляет ILM 2007 функциональность подготовки на основе подтверждений путем объединения с веб-приложением. Это одношаговая, контролируемая процессом система подготовки, принимающая запросы пользователей и направляющая их к подтверждающим (обычно менеджерам) с достаточной властью, чтобы принимать решения по поводу конкретных запросов. Основываясь на решении подтверждающего, ILM подготавливает учетную запись пользователя в доступных ему каталогах, используя бизнес-правила, определенные в ILM.

Это приложение может обеспечивать только одношаговый процесс; оно не может создавать сложные технологические возможности, такие как многошаговый процесс подтверждения с параллельными путями или технологический процесс с графическим интерфейсом. Если вашей организации не нужны такие сложные возможности, вы можете использовать пример MIISWorkflow, поставляемый в наборе MIIS Resource Tool Kit, для воплощения решения.

Я сконцентрируюсь на отделе кадров воображаемой компании. Обычно системы отдела кадров являются авторитетным источником всей информации о сотрудниках в организации. Однако, хотя в этих системах обычно присутствуют детальные сведения о постоянных сотрудниках, очень часто в них не хватает данных о временных работниках, таких как работники по договору и студенты-практиканты. Данные систем отдела кадров могут не отслеживать, к каким системам у сотрудников есть доступ, включая сведения об учетных записях. Я продемонстрирую, как построить простую систему по отслеживанию временных работников в организации.

Расширение возможностей MIISWorkflow

Примером того, как организации могут воспользоваться приложением MIISWorkflow, будет создание приложения, работающего вместе с существующими системами отдела кадров. При найме новых сотрудников информация о пользователях добавляется в систему отдела кадров. Можно спроектировать потоки в ILM, которые отправляют сведения в базу данных MIISWorkflow, а затем использовать это приложение для направления сведений о пользователях подтверждающим, прежде чем ILM создаст учетные записи в подключенных каталогах.

Если в вашей организации системы отдела кадров не используются для отслеживания временных сотрудников, то приложение MIISWorkflow может выступать авторитетным источником данных для управления их учетными записями в каталогах предприятия. Поскольку автоматизирующее документооборот приложение снижает количество бумажной административной работы, необходимой для получения подтверждений, пользователям не приходится днями ожидать учетных записей для доступа к каталогам и приложениям. Также можно использовать MIISWorkflow для быстрого отзыва доступа, улучшая безопасность организации.

MIISWorkflow можно использовать для аудита, чтобы определить число систем, куда у пользователя есть доступ, даты запроса и окончания для каждой учетной записи, а также запросившего и подтвердившего для каждой учетной записи. Возможность создавать отчеты с детализованным журналом учетных записей может обеспечить организации следование нормативным актам, таким как закон Сарбэйнса-Оксли и HIPAA.

Приложение MIISWorkflow выполняется на сервере IIS и использует возможности ILM 2007 по интеграции каталогов и подготовке для создания и удаления учетных записей в подключенных каталогах. Компоненты приложения включают набор веб-страниц ASP.NET, базу данных SQL Server™, управляющий агент и хранилище политики авторизации (см. Рис. 1). Приложение использует SQL Server для хранения данных, Active Directory® для проверки подлинности и хранилище политики диспетчера авторизации Windows® (Authorization Manager, широко известный как AzMan) для авторизации.

Рис. 1 Архитектура приложения MIISWorkflow

Рис. 1** Архитектура приложения MIISWorkflow **(Щелкните изображение, чтобы увеличить его)

Приложение может быть расширено и настроено при помощи C# и ASP.NET. MIISWorkflow состоит из пяти страниц ASPX: ContractorApproval, ContractorHistory, ContractorRequest, ContractorStatus и ContractorUpdate. Эти страницы позволяют администраторам запрашивать, обновлять, подтверждать и отслеживать состояние любой пользовательской учетной записи в системе. Обратите внимание, что по умолчанию приложение MIISWorkflow настроено использовать встроенную в IIS проверку подлинности Windows, чтобы задействовать Kerberos.

Приложение управляет ILM в зависимости от действий подтверждающего, и ILM создает или удаляет учетные записи пользователей в подключенных каталогах, используя заданные правила. Как только было осуществлено действие по запросу, приложение инициирует операцию ILM и запросам не приходится ожидать следующего цикла синхронизации, чтобы изменения вступили в силу в подключенных каталогах.

Приложению необходима база данных MIISWorkflow, чтобы хранить сведения об учетных записях пользователей. Она отделена от базы данных, где ILM хранит всю свою информацию, но она настроена на том же экземпляре SQL Server. Когда авторизованный пользователь запрашивает учетную запись через приложение, сведения сохраняются MIISWorkflow. Когда подтверждающий открывает страницу, данные выдаются через ASP.NET. MIISWorkflow также хранит в базе данных историю операций и другую информацию об учетной записи. ILM импортирует данные из базы данных MIISWorkflow, используя управляющий агент SQL Server, поставляемый с приложением, и соответствующим образом предоставляет или отзывает учетную запись.

AzMan, используемый MIISWorkflow для авторизации, предоставляет контроль доступа, основанный на ролях (RBAC), для управления задачами, которые пользователи могут выполнять в зависимости от назначенных им ролей. (См. go.microsoft.com/fwlink/?LinkId=85825 для получения дополнительных сведений по RBAC). После того, как пользователь прошел проверку подлинности Active Directory и получил доступ, приложение сверяется с ролями, определенными в хранилище авторизации AzMan, чтобы определить, какие операции позволены этому пользователю. Две роли предопределены для приложения: contractor requestor и contractor approver. Пользователи или группы с ролью «contractor requestor» могут лишь размещать запросы через приложение, а пользователям или группам с ролью «contractor approver» позволено создавать, а также подтверждать или отклонять запросы.

Политика авторизации приложения MIISWorkflow хранится в файле формата XML. Роли могут быть назначены либо пользователям и группам Windows, либо группам пользователей приложения. Группы пользователей приложения дают возможность выполнить во время исполнения запрос LDAP для поиска объекта пользовательской учетной записи Active Directory или Active Directory Application Mode (ADAM) на основании значения атрибута; для сотрудника отдела маркетинга, например, «(department=‘marketing’)» окажется истинным.

Подробнее о приложении

Администраторы приложения контролируют доступ к нему при помощи AzMan. В зависимости от того, как приложение используется в вашей организации, вы может назначить роль «contractor requestor» всем пользователям в домене, либо только избранным группам. Роль «contractor approver» должна быть назначена лишь тем пользователям и группам, у кого есть право подтверждать или отклонять запросы. Обычно эта роль присваивается избранным администраторам отдела кадров, а также системным администраторам и администраторам групп. По умолчанию, приложение MIISWorkflow использует встроенную в IIS проверку подлинности Windows в качестве метода проверки подлинности, так что приложение будет осуществлять проверку подлинности пользователей на основании данных входа в Windows – это означает, что у пользователей не будут дополнительно запрашивать данные для проверки подлинности для доступа к приложению.

Пользователь с ролью «contractor requestor» может открыть в обозревателе страницу ContractorRequest и предоставить информацию о временном сотруднике, чтобы запросить для него учетную запись. На рис. 2 показана страница ContractorRequest.

Рис. 2 Страница ContractorRequest

Рис. 2** Страница ContractorRequest **(Щелкните изображение, чтобы увеличить его)

Запрашивающий заполняет соответствующие данные временного сотрудника и отправляет запрос. На странице есть ссылки на подтверждение запросов и на проверку состояния запроса, но запрашивающий не может получить доступ к странице подтверждения, если у него нет роли «contractor approver» . Запрашивающий может щелкнуть ссылку ContractorStatus, чтобы просмотреть свои запросы, но он будет не в состоянии увидеть состояние запросов, отправленных другими.

Только у пользователя с ролью «contractor approver» есть доступ к странице ContractorApproval, где он может подтвердить или отклонить запрос после просмотра информации. На Рис. 3 показана интерфейс веб-страницы ContractorApproval.

Рис. 3 Страница ContractorApproval

Рис. 3** Страница ContractorApproval **(Щелкните изображение, чтобы увеличить его)

Пользователю с ролью «contractor approver» видны все отправленные запросы. Любой пользователь с ролью «contractor approver» может подтвердить запрос, и только одно подтверждение или отклонение необходим, чтобы направить запрос на следующий этап обработки. Как только подтверждающий принял решение по запросу, запрос пропадает со страницы ContractorApproval. Это уменьшает число избыточных действий подтверждающих.

Подтверждающему необходимо регулярно (в зависимости от требований организации) посещать страницу ContractorApproval для просмотра новых запросов и принятия решений по существующим, потому что в приложении нет механизма извещения о поступлении новых запросов или скоплении необработанных запросов. Как только подтверждающий подтверждает или отклоняет запрос на странице, приложение инициирует операцию ILM, и учетные записи пользователей предоставляются или удаляются в подключенных каталогах, в зависимости от действий подтверждающего.

Рис. 4 Страница ContractorStatus

Рис. 4** Страница ContractorStatus **(Щелкните изображение, чтобы увеличить его)

Состояние ожидающих запросов и записи о завершенных запросах доступны со страницы ContractorStatus (см. Рис. 4). На этой странице запрашивающий может предпринять несколько действий. Можно видеть собственные запросы, включая такую информацию, как идентификатор сотрудника, имя и фамилию, отдел, состояние и дату последнего изменения. Можно также изменять существующую информацию, просматривать журнал и закрывать учетную запись. Вы можете изменить сведения об имени, фамилии и отделе и заново отправить сведения на подтверждение. И, наконец, можно просмотреть журнал действий над запросом с временем и датой каждого действия на странице ContractorHistory (см. рис. 5).

Рис. 5 Страница ContractorHistory

Рис. 5** Страница ContractorHistory **(Щелкните изображение, чтобы увеличить его)

Приложение MIISWorkflow делает процесс закрытия учетной записи незаметным, позволяя запрашивающему закрыть учетные записи временного работника со страницы ContractorStatus. Можно щелкнуть ссылку закрытия, чтобы немедленно отключить или удалить учетные записи временного работника в подключенных каталогах. Преимущество такой возможности закрывать учетные записи из приложения в том, что системным администраторам не придется искать и вручную удалять учетные записи в каждом каталоге. Поскольку приложение немедленно инициирует операцию ILM по удалению этих учетных записей из подключенных каталогов, нет временной задержки при их удалении.

Настройка приложения

Настройка приложения MIISWorkflow включает заведение служебной учетной записи, создание базы данных для приложения, настройку ILM для совместной работы, настройку IIS и настройку хранилища политики. Для упрощения процесса приложение содержит подготовленные сценарии и файлы настройки.

Приложение MIISWorkflow поставляется с файлом запросов T-SQL для облегчения процесса создания базы данных. Вы можете загрузить файл запроса в средство Query Analyzer и исполнить его, чтобы автоматически создать базу данных.

Настройка IIS включает создание нового пула приложений IIS и виртуального каталога, а также определение проверки подлинности и контроля доступа для размещения страниц ASP.NET. С приложением также поставляется файл формата XML с предопределенными ролями для настройки хранилища политики авторизации. Используя оснастку MMC AzMan, можно назначать существующие роли пользователям и группам, а также создавать новые роли.

Последним шагом является настройка управляющего агента ILM на импорт данных из базы данных MIISWorkflow в ILM. Это делается путем импорта настройки управляющего агента из файла XML и копирования файла расширения для управляющего агента SQL Server. И файл XML, и файл расширения управляющего агента поставляются с приложением. Файл readme содержит пошаговые инструкции по настройке каждого из этапов.

Расширение приложения

Приложение MIISWorkflow предоставляет отправную точку для разработки простой интеграции процесса с MIIS и для расширения функциональности вам может потребоваться внести изменения. Помимо простых изменений, таких как изменения веб-страниц, есть много других способов расширить это приложение.

Вы можете дополнить его возможностью оповещения, так что подтверждающий будет получать сообщение по электронной почте, когда есть ожидающий подтверждения запрос. Эта возможность могла бы также посылать напоминание подтверждающему, если запрос не был обработан в заданное время. Если вам нужно, чтобы выводилось больше информации о пользователях, чем предоставлено на страницах по умолчанию, вы можете добавить поля как на страницу ContractorUpdate, так и на страницу ContractorRequest. Вы можете добавить больше ролей, например, роль аудитора, которая будет позволять пользователю просматривать историю всех запросов, не только собственных.

Более сложные функции, такие как многошаговый процесс и возможность разрабатывать потоки при помощи графического планировщика, выходят за пределы данного приложения. Однако, вы можете использовать Windows Workflow Foundation для разработки более устойчивого приложения с поддержкой сложных функций процесса.

MIIS Resource Tool Kit доступен по адресу go.microsoft.com/fwlink/?LinkId=85829. Загрузите его сегодня и начните создавать ваши собственные решения по управлению идентификацией.

Онг Оо (Aung Oo) работает экспертом по вопросам управления идентификацией в консультационной службе Майкрософт (MCS). Онг занимался проектированием, разработкой и развертыванием корпоративных каталогов и решений по управлению идентификацией как для коммерческих, так и для правительственных заказчиков с момента выхода первого выпуска Microsoft Identity Management.

© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.