Fim

657 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
657
On SlideShare
0
From Embeds
0
Number of Embeds
55
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Labdien! Esmu Pēteris Ervalds, Infrastruktūras projektu grupas vadītājs un šodien mēs runāsim par «Vienotas IT infrastruktūras izveidi ar Microsoft ForefrontIdentityManager»! Prezentācijas otrajā daļā pastāstīšu par mūsu praktisko pieredzi ar FIM Rīgas skolās.
  • Pirms ķeramies vērsim pie ragiem, neliela iesildīšanās:Lūdzu paceļat roku, kas līdz šodienai bija kaut ko dzirdējuši par ForeFrontIdentityManager!Mans novērtējums pirms prezentācijas bija 50 %...Un otrais jautājums – paceļat lūdzu roku, kas pašreiz lieto ForeFrontIdentityManager;Ņemot vērā, ka tikai neliela daļa no Jums pazīst FIM, tad domāju, ka prezentācija būs Jums interesanta un uzzināsiet daudz jaunas lietas.
  • Kas tad īsti ir identitātes pārvaldība?Identitātes pārvaldība nodarbojas ar personu, kas parasti ir uzņēmuma darbinieki identificēšanu un to saistītas informācijas uzturēšanu šajās sistēmās. Kur šī informācija ir Vārds, Uzvārds, Amatas, vadītājs, departaments, telefons;Bieži vien identitātes pārvaldība tiek saistīta ar piekļuves pārvaldību un kopā tas tiek saukts par Identityand Access Management;Savukārt identitātes pārvaldības sistēma koordinē datu plūsmas starp dažādiem datu avotiem, kur šie datu avoti varētu būt piemēram resursu dirktorijas, datubāzes, biznesa aplikācijas;
  • Ejam tālāk – identitātes pārvaldībai ir savi izaicinājumi, ar šiem noteikti esat pazīstami arī Jūs un tie būtu:- Pirmkārt, sistēmas administratoriem tie būtu:Daudz sistēmas, kur nepieciešamas pārvaldīt kontus. Tas ir lietotājs direktorijā, lietotājs e-pasta sistēmā, lietotājs klientu vadības sistēmā vai kādā citā aplikācijā;Daudz lietotāju pieprasījumu kontu pārvaldībai. Pieprasījumi nomainīt paroles, izveidot kontus sistēmās;Otrkārt, lietotājiem:Daudz un dažādas paroles dažādās sistēmās;Kontu veidošana var aizkavēties, bieži vien dēļ cilvēku faktora;Drošības administratoriem:Galvas sāpes sagādā neaktīvi konti, vai piemēram, ka vienā sistēmā konts ir neaktīvs, bet citā aktīvs;Tiesību kontrole, piemēram, ja darbinieks maina amatu, tad bieži vien iepriekšējā amatā nepieciešamās tiesības netiek noņemtas;Un visiem kopā izaicinājums ir panākt, ka ja izmaiņas notiek vienā sistēmā, tad arī pārējās tās tiek atspoguļotas;
  • Esam nonākuši līdz FIM. FIM piedāvā automatizēt un standartizēt:Lietotāju pārvaldību;Autentifikācijas datu pārvaldību;Grupu un piekļuves pārvaldību;Dažādu politiku pārvaldību;Nākamajos slaidos pastāstīšu, kā tieši konkrētā funkcionalitāte izpaužas;
  • Betpirms ķeramies pie FIM funkcionalitātes - īsi par to, kā tad īsti FIM darbojas:FIM sinhronizācijas serviss – šī komponente uzrauga to cik bieži, dati starp sistēmām tiks sinhronizēti, kā arī kādas būs datu plūsmas un vai viss notiek veiksmīgi;Lai no FIM būtu jēga un tas veiksmīgi darbotos, tam ir nepieciešami datu avoti, kas ir direktorijas, datubāzes, dažādas aplikācijas;Otrkārt tie ir aģenti – kas nodrošina, ka dati no avotiem tiks savākti un pēc tam ierakstīti citos datu avotos;FIM portāls – tīkla vietne, kur administratori veic FIM konfigurēšanas darbus;FIM klienti – rīki, ar ko lietotāji var izmantot FIM iespējas, un šie klienti ir piemēram pats Windows vai Outlook;
  • Pirms ķeramies pie FIM funkcionalitātes – slaids par FIM atbalstītājām platformām:Tātad FIM spēj sinhronizēt informāciju no šādiem datu avotiem, datubāzēs:SQL Server, Oracle, IBM DB2;Direktorijām:Active Directory; GAL Sync – Exchange informācijas sihronizēšanai un Active Directory Lightweigth directory servicesCitām direktorijām:IBM Directory Server, Lotus Notes, Novell eDirecotry, Sun un Netscape direktorijām;FIM datu sinhronizēšanai kā datu avotus spēj izmantot arī korekti sagatavotus failus, piemēram, ja faili ir ACP, LDIF, DSML, CSV vai citos formātos;Papildus Microsoft izstrādātajiem aģentiem ir arī partneru izstrādātie aģenti piemēram SAPam un Dynamics Ax, taču jāņem vērā, ka aģenti, ko ražo partneri varētu lielākoties ir par maksu;
  • Beidzot esam nonākuši līdz FIM funkcionalitātei un kā pirmo minēšu lietotāju pārvaldību:Un šajā piemērā mēs iedomājamies situāciju, kad mūsu organizācijā ir personālvadības sistēma, resursu direktorija un biznesa aplikācija un mēs vēlamies automatizēt lietotāju pārvaldību. Labajā pusē ir FIM sistēma, kas sastāv no Connector space un Metaverse. Connector space nodarbojas ar datu salīdzināšanu un apstrādei, lai noteiktu kādi dati ir nākuši klāt kādi mainījušies vai arī izdzēsti. Savukārt Metaverse ir centrālā FIM datu datubāze ar identitātes datiem.Kā autoratīvais datu avots mūsu gadījumā ir personālvadības sistēma. Tas nozīmē, ka šajā sistēmā veiktās izmaiņas tiek noreplicētas uz pārējām sistēmām un tas izskatās šādi:Izveidojam lietotāju personālvadības sistēmā;’Fim pārbauda, vai šāds lietotājs jau eksistē;Tā kā lietotājs neeksistē, tad lietotājs tiek izveidots FIM datubāzē;Pienākot sinrhonizācijas ciklam FIM pārbauda, vai lietotājs eksistē resursu direktorijā. Tā kā lietotājs neeksistē, tad tas tiek izveidots;Pienākot sinhornizācijas ciklam ar biznesa aplikāciju, FIM pārbauda, vai lietotājs eksistē biznesa aplikācijaā. Tā kā lietotājs neeksistē, tad tas tiek izveidots arī šeit;Visbeidzot, ja biznesa aplikācijas administrators nejauši (kļūdas pēc) nomaina lietotāja vārdu. Tad arī šādā situācijā FIM spēj izlabot radušos kļūdu nākošajā sinhronizācijas ciklā, jo autoratīvais datu avots ir personālvadīas sistēm;
  • Nākamā ļoti noderīgā FIM funkcija ir paroles resetošana, kas ļauj lietotājam pašam atjaunot paroli un tiek nodrošināta ar FIM klienta palīdzību;Lai šo realizētu, tiek izmantota daudzos interneta portālos izmantotā metodoloģija – lietotājs atbild uz vairākiem sistēmas administatora sagatavotiem jautājumiem (piemēram, kāda ir Jūsu mīļākā filma, kāds ir jūsu mājdzīvnieka vārds), un uz šiem jautājumiem lietotājs ir devis atbildes iepriekš.Dzīvē tas izskatās šādi:Pirmo reizi piesakoties lietotājs atbild uz administratora izveidotajiem jautājumiem; Vēlāk lietotājs konstatē, ka ir aizmirsis paroli;Lietotājam Windows pieteikšanās ekrānā klikšķina «Reset password»Lietotājs atbild uz jautājumiem un ievada jauno paroleVēl varu piebilst, ka jautājumi var būt līdz desmit un ir iespēja noteikt, cik atbildēm jābūt pareizām. Piemēram, ja ir pareizas 7 atbildes no 10, tad lietotājs var ievadīt jauno paroli;Šādi mēs ietaupām ne vien administratora laiku, bet arī lietotāja;
  • Katrā organizācijā grupas tiek izmantotas, lai būtu ērtāk piešķirt tiesības dažādās sistēmās. Taču lietotāju kontu pievienošana grupās tik un tā palieka manuāls administratora darbs. FIM piedāvā automatizēt grupu veidošanas procesus. Un tātad, FIMā ir trīs grupu veidi:1) Manuālās, kur lietotājus pievieno no FIM portāla, vai lietotājs var pats pievientoies grupai izmantojot Outlook addinu. Šajā gadījumā tas izskatītos šādi – lietotājs pieprasa piekļuvi noteiktai grupai no Outlook, persona, kas atbild par šo grupu saņem pieprasījumu uz Outlook un izlemj, vai atļauj pievienoties šim lietotājam.2) Grupas, kas tiek veidotas balstoties uz vadītāju. Respektīvi, ja lietotājam kā vadītājs ir norādīts Galvenais grāmatvedis, tad tas uzreiz nonāk grupā «Grāmatveži»;3) Grupas, kas veidotas balstoties uz noteiktiem kritērijiem. Te mēs varam veidot automātiskos likumus pēc sirds patikas – piemēram, ja lietotājam kā darba atrašanās vieta norādīta Liepāja, tad lietotājs automātiski nokļūst grupā «Liepājas lietotāji»Un protams FIM integrējas ar AD, kas nozīmē, ka FIM grupu saturs sinrhonizējas ar AD.
  • FIM poltikas tiek izmantotas diviem mērķiem:Tiesību piešķiršanai. Kā piemēru varam minēt šādu politiku, ja darbinieks strādā pārdošanas nodaļā, tad tam tiek piešķirtas labošanas tiesības. Bet visiem pārējiem lietotājiem tiek piešķirtas lasīšanas tiesības;Veidot darbaplūsmas. Piemērs varētu būt šāds, ja darbinieks ir grupā Grāmatveži, tad tam tiek izveidots konts grāmatvedības sistēmā. Visiem pārējiem darbiniekiem šāds konts netiek veidots;
  • Esam nonākuši līdz reālam FIM piemēram dzīvē, tas ir DPA spilgtākais projekts ar FIM Rīgas skolās!Šo projektu vislabāk raksturo šādi skaitļi:Kopā ir aptuveni 170 tūkstoši skolēni un skolotāji;Kopā ir aptuvevni 160 skolas;Ir aptuveni 8000 darbstacijas pa visām skolāmProjekta uzsākšanas mirklī situācija šāda:Bija personāla datubāze, kurā tika uzskaitīti skolēni un skolotāji un informācija par tiem;Visas skolas saslēgtas vienotā tīklā;Nav centralizētas pārvaldības, kas reāli izpaudās tā, ka dažās skolās ir katrai sava aktīvā direktorija, bet lielākoties visi datori darbojas workgroup vidē;
  • Pašlaik šajā projektā mēs atrodamies piloprojekta fāzē un esam ieviesuši risinājumu 1 skolā.Īsumā par projekta mērķiem un tie ir:Ievest AD visās skolās un nodrošināt centralizētu kontroli;Katram skolotājam un skolēnam savu e-pasta kastīti;Katram skolotājam un skolēnam savu failu glabātuvi;Jūs taču saprotat, ka lai operēt ar šādu lietotāju skaitu, ja tas būtu jādara manuāli būtu praktiski neiespējami, pie tam katru gadu nāk klāt jauni skolēni un aiziet prom tie, kas beidz 12-to klasi.FiM šeit nāk palīgā un nodrošina visu procesu automatizāciju, kā rezultātā mēs iegūstam, ka:Katrs skolēns un skolotājs var strādāt no jebkura datora;Katram skolotājam un skolēnam ir sava e-pasta kastīte, kas nodrošina visas pilnu Exchange funkcionalitāti un šo nodrošina Microsoft piedāvātais risinājums izglītības iestādēm Live @edu;Katram skolēnam ir sava failu glabātuve, kurai viņš var piekļūt no jebkuras darbstacijas un citiem nav iespēja piekļūt tai;Projekta rezultātā mēs protams varam centralizētu kontrolēt visus skolu datorusUn protams, ja mums ir sakārtota bāzes infrastruktūra, tad varam domāt par jau citu risinājumu centralizētu vadību kā piemēram SCCMs, FEP darbstacijām u.c.
  • Un šeit mēs redzam kā tas strādā:Augšējā kreisajā stūrī ir jau pieminētā personāla datubāze, kurā ir visi dati par skolotājiem un skolēniem. Šīs informācijas savākšanu un apstrādi nodrošina FIMFIM veic nepieciešamo AD kontu izveidi un ievietošanu pareizājā OU. Ja, piemēram, skolēns maina skolu, tad viņš tiek pārvietots uz attiecīgo OU; FIm nodrošina arī AD kontu dzēšanu, ja skolēns vai skolotājs ir pazudis no personāla datubāzes;Otrajā procesa daļā tiek veikta lietotāju izveidošana Live@EDU, kas savukārt nodrošina, ka katram aktīvam lietotājam ir sava pastkaste mākonī un tai var piekļūt ar tādu pašu lietotāju un paroli, kā AD. Ja lietotājs pazūd no AD, tad arī e-pasta kastīte tiek nodzēsta.
  • Šeit varam apskatīt šo shēmu no serveru viedokļa, kur redzams, kaDatucentrā mums ir AD serveri, FiM serveri un personāla datubāzeBet skolās darbojas divi virtuāli serveri, viens no tiem pilda Read-Only domēna kontroliera lomu, bet otrs failu servera un DHCP servera lomu;16 GB RAM, 4-kodoli
  • Pamazām jau tuvojamies prezentācijas beigām un esam nonākuši līdz FIM licenču cenām, tātad:FIM servera licence maksā sākot no nedaudz pāri 3000 latiem gadāUn katram lietotājam ar nepieciešama CAL licence, kas maksā nedaudz vairāk par 4 latiem gadām.
  • Un visbeidzot par DPA piedāvājumu identitātes pārvaldības optimizācijai:Pirmkārt, ja vēlaties automatizēt identitātes pārvaldības procesus, tad rekomendēju sākt ar esošās situācijas audituJa esat izlēmuši, ka gribat FIM, bet nepieciešamība tā ieviešanai, tad piedāvājam:Saplānot un ieviest FIM atbilstoši ražotāja rekomendācijām un labajai prakseiVeikt FIM politiku plānošanu uzstādīšanu un konfigurēšanu un arī risinājuma uzturēšanu atbilstoši Jūsu biznesa prasībām
  • Tas arī no manas puses pagaidām viss – ja ir kādi jautājumi par šo vai citām IT infrastruktūras lietām, tad būšu sastopams visa vakara garumā. Paldies par uzmanību.
  • Fim

    1. 1. Vienotas IT infrastruktūras izveide ar Microsoft Forefront Identity ManagerPēteris ErvaldsInfrastruktūras projektu grupas vadītājs02.11.2011
    2. 2. Ievads / Aptauja• Cik no Jums ir dzirdējuši par ForeFront Identity Manager? – 50 %• Kurš pašreiz lieto ForeFront Identity Manager? – 0% ?
    3. 3. Identitātes pārvaldība• Nodrošina personu identificēšanu sistēmās un saistītās informācijas uzturēšanu• Konteksts ar piekļuves pārvaldību (Identity and Access Management)• Sistēma datu plūsmu starp dažādiem datu avotiem (resursu direktorijas, datubāzes, biznesa aplikācijas) koordinēšanai
    4. 4. Identitātes pārvaldības izaicinājumi• Administratoriem: – Daudz sistēmu, kurās nepieciešams pārvaldīt kontus – Daudz pieprasījumu kontu pārvaldībai• Lietotājiem: – Daudz dažādu paroļu – Piekļuves izveidošana var tikt aizkavēta• Drošības administratoriem: – Neaktīvi konti – Tiesību kontrole• Dažādi kontu atribūti dažādās sistēmās
    5. 5. ForeFront Identity Manager 2010
    6. 6. FIM komponentes• FIM sinhronizācijas serviss• Datu avoti• Aģenti• FIM portāls• FIM klienti
    7. 7. Pieejamie FIM aģenti• Datubāzes: SQL Server, Oracle, IBM DB2• Active Directory: Domain Services, GAL Sync, AD LDS;• Citas direktorijas: IBM Directory Server, Lotus Notes, Novell eDirectory, Sun un Netscape Directory Server• Failu aģenti, kas atpazīst AVP, LDIF, DSML, CSV, u.c. tipu failus• Partneru aģenti. SAP, Dynamics Ax u.c.• Iespēja pašiem veidot aģentus
    8. 8. Lietotāju pārvaldība Metadirectory Jānis Bērziņš Connector Space Metaverse Vārds Jānis Bērziņš Darbinieka ID Vārds Amats Personālvadības 1 Darbinieka ID Telefona Nr. sistēma Amats Telefona Nr. Jānis Bērziņš Jānis Bērziņš Vārds Jānis Bērziņš Vārds Darbinieka ID Resursu Vārds AmatsDarbinieka ID Amats direktorija 4 Darbinieka ID 3 Telefona Nr. Amats Telefona Nr. Telefona Nr. PēterisBērziņš Jānis Bērziņš Jānis Bērziņš Vārds Biznesa Vārds 6Darbinieka ID aplikācija Darbinieka ID Amats Amats Telefona Nr.Telefona Nr. Telefona Nr.
    9. 9. Self-Service password reset
    10. 10. Grupu pārvaldība• Grupu tipi: – Manuālas - grupas locekļus var pievienot, izmantojot FIM portālu vai Outlook – Grupas, kas veidotas, par pamatu ņemot vadītāju (manager-based) – Grupas, kas veidotas, balstoties uz noteiktiem kritērijiem (criteria- based)• Integrācija ar AD
    11. 11. Politiku pārvaldība• Tiesību kontrole• Darbaplūsmu (workflow) izpilde: – Autentifikācijas darbaplūsmas – Autorizācijas darbaplūsmas – Darbības (action) darbaplūsmas
    12. 12. FIM darbībā – Rīgas skolu piemērs• Sākuma situācijas raksturojums: – Skolotāji un skolēni: ~170 000 !!! – Skolas: ~160 – Darbstacijas skolas: ~8000 – Personāla datubāze (skolotāji, skolēni) – Vienots tīkls – Nav centralizētas pārvaldības
    13. 13. FIM darbībā – Rīgas skolu piemērs• Pēc FIM ieviešanas: – Katram skolēnam un skolotājam savs AD konts – Katram skolēnam un skolotājam no jebkuras vietas pieejama sava e- pasta pastkaste Microsoft mākoņskaitļošanas pakalpojumā izglītības iestādēm - Live@EDU – Katram skolēnam un skolotājam sava failu glabātuve, kas pieejama no jebkuras skolas jebkura datora – Centralizēti kontrolējami skolu datori
    14. 14. Rīgas skolu infrastruktūra
    15. 15. Forefront Identity Manager licenčucenas• FIM Servera licence – no 3130 LVL bez PVN gadā• FIM klienta licence (CAL) – no 4,20 LVL bez PVN gadā
    16. 16. DPA piedāvājums identitātespārvaldības optimizācijai:• Esošās situācijas audits ar rekomendācijām• FIM arhitektūras plānošana un ieviešana atbilstoši ražotāja rekomendācijām un labajai praksei• FIM politiku plānošana, uzstādīšana, konfigurēšana un uzturēšana atbilstoši Jūsu biznesa prasībām
    17. 17. Paldies par uzmanībuPĒTERIS ERVALDS

    ×