Zarzadzanie tozsamoscia za pomoca fim

1,671 views

Published on

Często zgłaszanymi problemami biznesowymi, w obrębie zarządzania tożsamością (Identity Management - IM), które wymagają wsparcia ze strony informatyki są następujące zagadnienia: zarządzanie uprawnieniami, jednokrotne logowanie, samoobsługa użytkownikó. Inne, złożone wymagania biznesowe z zakresu zarządzania uprawnieniami są pochodną wyżej wymienionych zagadnień.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,671
On SlideShare
0
From Embeds
0
Number of Embeds
628
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Zarzadzanie tozsamoscia za pomoca fim

  1. 1. Spis treściWstęp..........................................................................................................................2Zarządzanie uprawnieniami.........................................................................................4 Zmiana uprawnień pracownika przez jego kierownika...............................................4 Migracja pracowników między działami/stanowiskami..............................................5Single Sign On.............................................................................................................6 Pełne SSO ..................................................................................................................6 Semi-SSO ..................................................................................................................7Podsumowanie............................................................................................................9
  2. 2. WstępCzęsto zgłaszanymi problemami biznesowymi, w obrębie zarządzaniatożsamością (Identity Management - IM), które wymagają wsparcia ze stronyinformatyki są następujące zagadnienia: 1. Zarządzanie uprawnieniami. Wraz z rozwojem firmy, dynamika ruchów personalnych, zmiana przynależności pracowników do grup, definiowanie uprawnień dostępowych do aplikacji biznesowych wymagają coraz większego wsparcia. Zarządzanie tymi uprawnieniami Zarządy chcą oddać w ręce nie tylko administratorom Działu IT, ale również menadżerom liniowym (Dyrektorom Działów, Kierownikom Projektów etc). 2. Jednokrotne logowanie Jednokrotne logowanie (Single Sign-On) pozwala na uproszczenie procesów dostępowych do aplikacji biznesowych. Jego działanie upraszcza zarządzanie grupami użytkowników oraz obniża częstość interwencji i wymaganego wsparcia Działu IT w kierunku użytkowników. 3. Samoobsługa użytkowników W celu obniżenia kosztów obsługi użytkowników końcowych, stosuje się tzw. Self-Service Portal, w   którym użytkownicy samodzielnie mogą wykonywać podstawowe czynności administracyjne związane z ich profilem (zmiana hasła, podstawowych danych etc.) przy wcześniejszym zdefiniowaniu polityki firmy i/ lub zatwierdzeniu przez dział IT czy też Managera.Inne, złożone wymagania biznesowe z zakresu zarządzania uprawnieniami sąpochodną wyżej wymienionych zagadnień. Interesującym wykorzystaniem tychrozwiązań jest zarządzanie uprawnieniami dostępowymi do raportów,cyklicznie generowanych w hurtowni danych, czy komunikatów rozsyłanychpocztą i dystrybuowanych z wykorzystaniem platformy SharePoint.Rozwiązanie IT wspierające powyższe zagadnienia mogą wykorzystywać różnetechnologie informatyczne. Niniejsza propozycja, ze względu na relatywniepopularne środowisko technologiczne budowane w oparciu o produkty firmyMicrosoft, wykorzystuje rozwiązanie tego producenta: Forefront IdentityManager 2010 (FIM) Microsoft jest liderem w zakresie aplikacji biurowych, spójnych ześrodowiskiem systemowym Windows. Rozwiązania takie jak: MS ActiveDirectory, MS Exchange czy MS SharePoint stały się standardami w biznesie i sąwykorzystywane z powodzeniem przez wielu użytkowników. Do listy tychaplikacji w ostatnim roku dołączyła nowa wersja systemu zarządzaniatożsamością Forefront Identity Manager 2010. Dotychczas podstawoweelementy zarządzania tożsamością i jednokrotnego logowania realizowane były
  3. 3. przy użyciu środowiska aplikacyjnego Microsoft Windows i Active Directory. FIMdokłada nowe. Połączenie tych funkcjonalności pozwala zbudować nowąjakość, która jest pochodną nie tylko wyjątkowych właściwości pojedynczegoproduktu, ale również spójności całego środowiska systemowego iaplikacyjnego.W dalszej części pokazujemy możliwy scenariusz realizacji wymagańbiznesowych wykorzystujących FIM oraz powszechnie posiadane aplikacjeMicrosoftu (Exchange, SharePoint i inne) .
  4. 4. Zarządzanie uprawnieniamiWdrożenie produktu FIM 2010 to doskonałe uzupełnienie infrastruktury klientaw zakresie zarządzania tożsamością. W szczególności, FIM integruje się z całąrodziną produktów Microsoft: Exchange, Sharepoint, serwery Windows.Instalacja FIM-a umożliwi również maksymalne wykorzystanie funkcjonalnościserwera Active Directory.Dzięki integracji pomiędzy tymi wszystkimi elementami, klient otrzyma spójnerozwiązanie, które kompleksowo rozwiązuje zgłoszone problemy biznesowe..1 Zmiana uprawnień pracownika przez jego kierownikaRys. 1: Obsługa procesu biznesowego zmiany uprawnień pracownikaProces zmiany uprawnień pracownika może być zintegrowany w dowolnymprocesie biznesowym klienta. Użytkownicy procesu posługują się znanyminarzędziami, takimi jak ekrany SharePoint czy interfejs Microsoft Outlook (wtrybie online lub off-line).
  5. 5. .2 Migracja pracowników między działami/stanowiskamiRys. 2: Zachowanie historii dokumentów i raportów przy migracji pracowowników Bardzo interesującą możliwością wykorzystania narzędzi IdentityManagement jest połączenie procesu przesunięć pracowników międzydziałami/stanowiskami pracy z możliwością dostępu do całej historii raportów iinformacji zarządczych związanych z nowym działem/stanowiskiem pracy. W wielu przypadkach raporty generowane są w różnych aplikacjach(Business Intelligence, ERP, inne). Miejscem przechowywania i udostępnianiatych raportów może być Sharepoint. Platforma dystrybucji raportów, FIM i SSO,wykorzystująca workflow do nadawania uprawnień, tworzy spójny, łatwy wużyciu system zarządzania uprawnieniami dostępowymi do informacji.Dzięki zintegrowanemu zarządzaniu Identity Management, pracownik ma łatwyi automatyczny dostęp do całej historii raportów biznesowych na nowymstanowisku pracy.
  6. 6. Single Sign OnProdukt Forefont Identity Manager 2010, jako jedyny na rynku, zapewniabezproblemową integrację z całą rodziną produktów Microsoft, zapewniającużytkownikom bezproblemowy Single Sign-On.FIM zapewnia wszystkie warianty infrastruktury SSO: zarówno „Full SSO”, zpodziałem sesji, jak i „Semi SSO”, z podstawowym wsparciem w zakresiesynchronizacji.Poniższy diagram obrazuje wykorzystanie obu wariantów SSO przezużytkownikaRys. 3: FIM jako podstawa do Single Sign On.3 Pełne SSO Pełne SSO, czyli współdzielenie sesji, razem z zarządzaniem tożsamościądaje najlepszą wygodę użytkownika przy zachowaniu optymalnegobezpieczeństwa.Jest to możliwe dzięki połączeniu produktów FIM i Active Directory/WindowsServer, który gra rolę serwera Kerberos (we wcześniejszych wersjach NTLMv2).Użytkownik logując się zwyczajowo do domeny Windows, otwiera sesję wewszystkich systemach wspierających ten protokół. Przy dostępie do systemu/
  7. 7. serwisu, jego stacja robocza w przeźroczysty sposób potwierdza dostępność,bez interwencji użytkownika, jak na diagramie przedstawionym poniżej.Rys. 4: Schemat działania pełnego SSO w infrastrukturze Microsoft (źródło: microsoft.com)Dzięki połączeniu FIM-AD-Windows, możliwa jest kompletna integracja całegołańcucha dostępów do różnych systemów. W FIM 2010 możliwa jest również autoryzacja używając bardziejzaawansowane metody bezpieczeństwa niż hasło, np. wykorzystującaSmartcards. Po implementacji kart w FIM, ich funkcjonalność będzieautomatycznie dostępna dla wszystkich produktów Microsoft..4 Semi-SSODla systemów, gdzie wsparcie Kerberos/NTLM nie jest możliwe, wykorzystanieFIM pozwoli na gwarancję synchronizacji dostępów użytkowników do tychsystemów np. przy zmianie hasła.W naturalny sposób zwiększa to bezpieczeństwo całej infrastruktury, bo dajeużytkownikowi możliwość zapamiętania tylko jednego hasła przy logowaniu dokilku różnych aplikacji.Możliwe jest tutaj zarówno wykorzystanie aplikacji, które kontaktują się zserwerem Active Directory i obsługując kontrolę hasła przez LDAP, jak i dla
  8. 8. aplikacji, które muszą wykorzystywać lokalne repozytorium loginów i haseł, jakna poniższym schemacie:Rys. 5: Schemat działania Semi - SSO w infrastrukturze heterogenicznejNależy zaznaczyć, że integracja FIM z aplikacjami biznesowymi i systemowymiużywa standardowych mechanizmów synchronizacji tożsamości (tzw.Management Agents) oraz pozwala na zbudowanie własnych dla aplikacji, którenie są wspierane przez FIM.Wbudowane mechanizmy FIM pozwalają min na: • Integrację z aplikacjami, które używają oryginalnego, 64bitowego klienta bazy danych Oracle. • Automatyczną integrację z wszelkimi aplikacjami Microsoft (SharePoint, Windows Server, Exchange, AD i inne) • Tworzenie nowych agentów do aplikacji, które nie są standardowo obsługiwane przez interfejsy wbudowane w FIM. Do technicznej realizacji agentów używa się standardowych narzędzi .Net firmy Microsoft. Stworzone w ten sposób oprogramowanie komunikacyjne ma identyczne możliwości jak dostarczone z systemem. Pozwala to na zastosowanie go w dowolnym procesie biznesowym. Agenci uruchamiani są w trybie synchronizacji aktywnej, bez konieczności modyfikowania procesu autoryzacji w docelowym systemie. Daje to gwarancję poprawnego działania wszelkich aplikacji biznesowych nawet w sytuacji niedostępności serwera FIM 2010
  9. 9. PodsumowanieGłówne elementy biznesowe przemawiające za wdrożeniem produktu FIM 2010w firmie są następujące: 1. Jest spójny technologicznie z rozwiązaniami Microsoft powszechnie używanymi w wielu firmach i instytucjach publicznych 2. Zapewnia pełne wsparcie dla kompleksowego rozwiązania problemu zarządzania tożsamością i SSO 3. Pozwala na pełną integrację z używanymi aplikacjami 4. Daje najlepsze możliwości rozwoju i dopasowania do zmieniającego się środowiska biznesowego firmy, bez ponoszenia dodatkowych kosztów finansowych związanych z integracją. 5. Daje gwarancję najszybszych efektów, z punktu widzenia szkolenia użytkowników wykorzystujących narzędzia zarządzania tożsamością. 6. Jest najbardziej efektywny kosztowo; pozwala na nie ograniczone rozbudowanie funkcjonalności procesowych (workflow) korzystających z narzędzi Identity Management.Dla działu IT i administratorów, wykorzystanie FIM w zintegrowanymśrodowisku systemowym, opartym na produktach jednego producenta(Microsoft) przyniesie również wymierne korzyści. Poniżej kilka z nich: • Proste i bezpieczne mechanizmy wspierające rutynowe procesy dodawania i usuwania członków grupy (zwolnienie pracownika, przyjęcie nowego pracownika etc) • Łatwa i szybka możliwość realizacji żądanych funkcjonalności procesowych przydziału pracowników do grup lub do katalogów, w zależności od potrzeb. • Prosta implementacja polityki bezpieczeństwa w zakresie archiwizacji informacji o tożsamości • Sprawna kontrola nad przebiegami procesów migracji pracowników • Mniejsza liczba interwencji u użytkowników (HelpDesk, ServiceDesk) ze względu na znajomość narzędzi (Outlook, SharePoint, MS Office) • Szybsza reakcja producenta i naprawa błędów przez Microsoft (środowisko oparte o produkty jednego producenta: Microsoft)

×