• 项目

本文基于 Microsoft Identity Lifecycle Manager "2" 的预发布版。文中的所有信息均有可能发生变更。

身份管理

Identity Lifecycle Manager 2 简介

Aung Oo

 

概览:

  • 新门户体验
  • 自助式工具
  • 业务流程管理
  • 无代码置备

目录

门户体验
管理员
标准用户的情形
组管理的情形
自助式密码管理
Office 集成
业务流程管理
无代码置备
结束语

Identity Lifecycle Manager "2"(或 ILM "2")的新版本(在撰写本文时是测试版 3)以 Microsoft Identity Integration Server 2003 (MIIS 2003) 和 ILM 2007 中的身份管理功能为基础。它新增了许多功能和改进—您可以使用自助式工具降低成本、使用业务流程建模提高安全合规性、使用直观的开发工具缩短开发时间。

在本文中,我想介绍一下新增的重要功能和改进,并探讨 ILM "2" 能够为公司带来哪些益处。我将着重讨论 ILM "2" 在以下方面的门户体验:管理用户配置文件和组、自助密码管理、业务流程和工作流设计、与 Microsoft Office 集成以及不使用代码(称为无代码置备)制定同步规则的能力。最后(但同样重要),我将介绍实现 ILM "2" 的软件、硬件和暂定的授权要求。

门户体验

Web 门户是 ILM "2" 最显著的新增功能之一,因为这是 Microsoft 首次为使用自助服务功能的最终用户引进 UI。Web 界面为授权用户和管理员提供了一个入口点,通过该入口点可以管理用户和组、定义业务规则,甚至允许开发无代码置备来设置帐户。

ILM "2" 利用 Windows 集成身份验证和 Active Directory,以便组织可以使用已在 Active Directory 中定义的现有用户和组来提供身份验证并对新用户授权。具有管理权限的用户和组可以执行管理功能(如为过程定义工作流、配置同步规则)以及最终用户可以执行的任务。

管理员

如果您登录到门户网站且您具有管理权限,则与标准用户相比,您可以访问更多功能(请参见图 1)。您可以查看并更新现有记录,也可以在连接目录中为新员工申请帐户。

fig01.gif

图 1 ILM “2” 门户

使用门户设置新用户时,您可以提交姓名、显示名、电子邮件地址、开始日期、结束日期等用户详细信息。页面上的字段可以根据需要进行配置。使用对象可视化,您可以扩大门户架构,使请求的数据类型达到最多(如员工的鞋号)。

同步引擎可检测新记录和从门户所做的更改,并在连接目录中相应地设置用户信息。在连接目录中使用同步引擎设置帐户的过程与 ILM 2007 中的过程相同。现在的主要变化是管理员可以通过门户输入和更新员工信息,然后门户将其提供给同步引擎,从而能更灵活地在连接目录中收集和更新用户信息。

人力资源数据库通常不包含合同工和临时工(如学生实习生),因此很难管理这些帐户。这些帐户通常都是使用多种应用程序手动创建的,因此很容易让人忘记在必要时手动将其删除。这就会造成潜在的安全漏洞(用户离开了组织后帐户仍然处于激活状态)。

一种方法是使用 ILM "2" 门户设置和跟踪临时工个人资料。人力资源数据库仍然是员工和合同工记录的权威来源,而门户只是作为另一种输入和更新个人资料的方式,对人力资源数据库起到辅助作用。

标准用户的情形

门户还赋予标准用户一些权限。用户可以更新他们的部分信息,然后将信息传送给连接目录,在这一过程中仍使用 ILM "2" 同步引擎。作为管理员,您可以配置用户有权更新的属性,也可以验证用户输入的字段信息的格式。此方法可以帮助保证各种数据源中有最新数据。

这与目前所使用的笨拙方法形成鲜明对比。为了使用户能够更新其信息,许多组织依赖于第三方的电话簿解决方案,或在内部构建自己的解决方案。其他组织要求用户实际致电技术支持或提交书面材料才能更新信息。

这两种方法都存在一些重大缺点。第三方应用程序和自定义的内部解决方案都非常昂贵且难以维护。一个这样的解决方案中包含的更新信息通常不使用同步引擎来更新其他连接目录。同时,让用户致电技术支持来更新信息会大大增加 IT 支持成本,也会让支持人员被琐碎的任务缠得无法脱身。

组管理的情形

通过定义查询来根据用户属性值或按名称对成员进行分类,管理员现在可以使用连接目录中的成员设置安全组和通讯组列表。所有操作均可使用基于 Web 的简单 UI 完成。通过显式添加用户置备组很简单,它还能处理更为复杂的情况。

您可以使用计算出的成员置备组,从而创建以上下级关系和特定属性为基础的组。这通过定义工作流操作来完成。例如,管理员可以通过定义查询来对营销部门中的所有用户进行分组,在组名称中指派一个 "marketing" 值(参与营销的所有用户)。ILM "2" 同步引擎根据定义导入组,然后在连接目录中置备组。使用布尔逻辑查找多个属性可大大简化开发复杂查询的难度。

最终用户还可以创建通讯组列表并通过门户在列表中执行添加或删除。可以加入工作流的批准逻辑,以便只有经批准的通讯组列表或授权用户才可以加入列表。

先前版本的 ILM 允许您通过 Web 界面管理组,但这需要一个单独的下载项—它是 Microsoft 身份和访问管理系列中置备和工作流一节的内容。该解决方案仅适用于管理员,不允许最终用户加入和离开分配的组。

还有一些可以在 Web 门户上执行的管理功能。这些重要的管理功能包括:

  • 确定置备到连接目录的对象类型的优先级。(这可以确保某些对象不必等待整个同步循环完成就可以进行置备。)
  • 修改用户配置文件页面的架构。(要纳入组织要求专用的字段,可以通过扩展用于收集用户信息的页面架构来实现。)
  • 更新用户帐户状态。
  • 修改站点的外观和运行方式。(这允许您自定义门户以适应贵组织的标准。)

自助密码管理

ILM "2" 中新增的另一个关键功能是自助密码管理解决方案。ILM 2007 中可用的两个密码管理解决方案(基于 Web 的解决方案和密码更改通知服务)提供了有限的自助服务功能。这两个解决方案都需要用户输入旧密码才能重置其密码;这样他们在忘记密码时就会非常的无助—此种情况下,用户将需要致电技术支持。

ILM "2" 允许用户使用质询-响应问题(可从 Windows logon UI 进行访问)重置他们的密码,从而解决了这一问题。很明显,这能够帮助降低技术支持的开支。

部署了密码管理应用程序且用户首次登录后,即会弹出一个屏幕,要求用户回答一组问题(您的第一部车是什么,您出生在哪个城市等等)。密码重置对话框如图 2 所示。

fig02.gif

图 2 密码重置屏幕

管理员可以指定所用问题的类型和数量。他还可以指定关口的数量(每个关口包含一组问题)。此外,管理员还可以配置用户重置密码或前进到下一个关口必须回答的问题数。

为提供适当的安全级别,您可以将关口数和用户必须正确回答的问题数与 Active Directory 安全组相关联。例如,主管安全组中的用户可能需要通过三关,并且必须正确回答在每个关口中设置的所有问题。而营销安全组中的用户可能只需要通过一个关口,回答三个问题中的任意两个。如果您不想让用户通过 Windows 登录重置密码,可以选择使用 Web UI 重置密码。

Office 集成

利用 ILM "2" office 集成,用户可以在 Microsoft Office Outlook 内管理组成员,如图 3 所示。这样就提供了一种访问常见任务的惯用方式,如加入和离开通讯组列表以及从组中添加和删除其他用户(此操作需要 Outlook 2007 或更高版本)。

fig03.gif

图 3 与 Outlook 集成

用户可以选择加入组、浏览全局地址列表、选择想加入的组,或者从组成员中将自己删除,然后只发送请求。通讯组列表的负责人通过电子邮件接收请求,然后可以在 Outlook 中批准或拒绝该请求。如果通讯组负责人批准了请求,则将会触发 ILM 同步引擎来完成此过程。

业务流程管理

业务流程和工作流管理是 ILM "2" 中所有主要方案的基础。令人欣慰的是,可以针对特殊组织的需求来量身定制业务流程和工作流逻辑。例如,您可以指定让系统中的某些事件触发一系列的自动步骤,它们称为流程(请参见图 4)。

fig04.gif

图 4 配置工作流程

管理员可以将某个事件与以下三种流程中的一个相关联:身份验证、授权和操作。例如,选择授权流程将允许负责人批准所有加入或离开组的请求。选择授权工作流时,您还可以定义审批者的姓名、审批者的数量以及批准生效的天数。

也可以定义复杂的工作流,要求必须由管理员批准对组执行的所有删除操作,并要求用户根据质询和响应身份验证流程进行身份验证。所有用户(包括管理员)都必须履行身份验证流程,回答他们在初始注册期间注册的问题,从而验证他们的身份。

完成身份验证流程后,删除组的请求即会被发送至执行授权的审批者。授权流程用于确认用户请求操作的权限。最后,审批者批准请求,ILM 执行删除操作。

使用内置工具设计复杂工作流的能力是 ILM 的一个重要的新增功能;以前,这类解决方案需要 MIIS 资源工具包中的单步置备工作流或第三方解决方案。而如今还可以使用 Web 服务 API,这样您就可以进一步自定义自己的工作流并将它们与 ILM "2" 集成。

无代码置备

无代码置备允许 IT 专业人员执行许多以前需要开发代码才能完成的任务。ILM 2007 需要您使用 Microsoft Visual Studio 开发规则扩展和置备代码,以转换连接目录中的属性和对象。

从 Web UI,您可以定义对象的类型、筛选规则、置备条件、Metaverse 与连接器空间之间的对象关系、删除规则以及数据流。所有在管理代理设计器中定义的数据流映射均显示出来,允许您在入站流和出站流中编辑映射以连接和格式化属性流。如果您更喜欢编码,仍可以通过为 ILM "2" 开发扩展项和置备规则来挖掘一些功能。

结束语

ILM "2" 提供了多个可以帮助简化管理并降低技术支持开支的新功能。有了新门户和无代码置备极需的自助服务功能,管理员和最终用户都会从能够简化任务并帮助用户提高生产率的新功能中获益。此外还有一些其他的显著改进(如增强的证书生命周期管理功能和改善管理代理带来的更好连接性和扩展性)。

ILM "2" 计划在 2009 年上半年投放市场。 更多信息请访问 Microsoft 的 Identity Lifecycle Manager "2" 站点。

Aung Oo 是 Microsoft 咨询服务的身份标识管理主题专家。自首次发布 Microsoft Identity Management 以来,Aung 就一直致力于为商业和政府客户设计、开发和部署企业目录及身份标识管理解决方案。