Forefront Identity Manager — это результат предпринятых в последнее время усилий Microsoft по разъединению процедуры идентификации и политик, созданных для защиты наиболее ценных бизнес-активов.
Фокус в том, чтобы удерживать затраты на управление идентификацией в разумных пределах и в то же время перехитрить фишеров, да еще удовлетворить аудиторов. Forefront Identity Manager 2010, преемник Identity Lifecycle Manager 2007, справляется со своими задачами в значительной мере благодаря широкому использованию “помощников” и упрощению процессов управления, которое призвано дать рядовым сотрудникам возможность с успехом реализовывать сложные и гибкие политики доступа.
Поставки Forefront Identity Manager 2010 (FIM 2010) начались 1 апреля. Цена по каталогу в США составляет 15 тыс. долл. на сервер и 18 долл. за каждую клиентскую лицензию.
Как вы легко могли догадаться, FIM 2010 продолжает традицию “лучше вместе”, которая делает его наиболее подходящим для организаций, уже использующих другие инфраструктурные продукты Microsoft, такие как Active Directory, SharePoint и Exchange. И хотя этот продукт может взаимодействовать с самыми разными системами каталогов, организации коллективной работы и электронной почты, он оптимизирован для работы с инструментами Microsoft.
Эти компоненты инфраструктуры производства софтверного гиганта составили тестовую среду, использованную мною для оценки FIM 2010. Я запускал пакет на сервере Dell PowerEdge R610 с двумя четырехъядерными процессорами Intel Xeon 5520, ОЗУ объемом 32 Гб и шестью дисками по 146 Гб.
Испытание проводилось в 64-разрядной Windows 2008 R2. Тестовая среда состояла из двенадцати виртуальных систем, на которых были установлены SharePoint, Active Directory и Exchange, а также ряд систем под управлением Windows 7, получавших доступ к различным ресурсам с помощью предоставляемых FIM 2010 сервисов идентификации.
FIM 2010 — это гораздо больше, чем просто система управления полномочиями или паролями, хотя и позволяет пользователям самостоятельно менять их. Я использовал данный продукт для управления дистанционным доступом к тестовым документам и созданием федеративного доступа к ресурсам различных организаций, а также для упрощения работы кадровой службы (процесс принятия на работу и увольнения сотрудников).
Хотя использовать FIM 2010 значительно проще, чем Identity Lifecycle Manager 2007, опыт моей работы с продуктом позволяет заключить, что его применение в повседневных операциях требует значительного труда ИТ-специалистов. Чтобы задействовать все возможности FIM 2010, почти наверняка придется заключить соглашение об обслуживании.
Как и следовало ожидать, установить новую версию продукта и даже перейти к ней от системы управления идентификацией прежнего поколения оказалось нелегко. Хотя Microsoft сумела упростить настройку, FIM 2010 функционирует в весьма чувствительной и, как правило, очень жестко регламентированной среде.
Создание динамических групп
FIM 2010 представляет собой платформу веб-сервисов и синхронизации. Одним из первых шагов, предпринятых мною в ходе оценки продукта, стало создание с его помощью динамических групп на основе атрибутов пользователей.
Для выполнения данной функции и автоматизации процесса предоставления доступа необходимо FIM 2010 интегрировать с Microsoft Exchange и Outlook. Я имел возможность создать поток работ, обеспечивающий доступ к данным о клиенте, если соответствующее разрешение давал конкретный менеджер.
В FIM 2010 оказалось довольно просто создать процесс для завершения данной процедуры. Всё обстоит точно так же, как с вождением машины. Раз я знаю, как работает мой автомобиль, то могу водить и авто, взятое напрокат, даже если его производитель и модель мне не знакомы. Те, у кого есть хотя бы небольшой опыт работы с инструментами управления идентификацией, смогут освоить азы без особых усилий, хотя бы сначала они и чувствовали себя не слишком уверенно.
Специалисты по ИТ, в общих чертах знакомые с потребностями бизнеса своих организаций, могут использовать FIM 2010 для автоматического создания групп и управления потоками работ. Хотя логика потоков работ является весьма гибкой и допускает задание довольно сложных критериев отбора и предоставления доступа, для большинства сотрудников ИТ-подразделений процесс обучения скорее всего будет недолгим.
Вероятно, для того чтобы получить экономический эффект от использования FIM 2010, нужно прежде всего освоить инструменты для создания групп и управления ими. Организации, персонал которых часто переходит из одной группы в другую, окажутся в более существенном выигрыше, если будут применять инструменты управления группами.
Управление группами упростилось, в результате снизились требования к квалификации пользователей FIM 2010. Если в Microsoft ILM 2007 для связывания атрибутов, используемых приложением в процессе управления персоналом, с теми, что применяются в FIM 2010, был необходим программист, то теперь этой операцией управляют “помощники”.
В общем, я воспользовался FIM Synchronization Service Manager для создания программы-агента, чтобы с ее помощью управлять атрибутами и автоматизировать импорт кадровой информации в FIM 2010. Трудность заключается в том, что плохо спроектированный интерфейс “помощника” практически полностью скрывает от вас ход процесса.
Поскольку мне постоянно приходилось переключаться между источником данных и результатом операции, процесс конфигурирования управляющего агента попросту утомил меня. Количество щелчков мышкой, необходимых для настройки агента, было таково, что у меня чуть не задымился палец.
Зато у этого “помощника” есть несомненное достоинство: теперь управляющий агент может быть настроен любым специалистам по ИТ (а не только разработчиком или мастером написания сценариев). Это означает, что я смог перенести данные из системы управления кадрами в FIM 2010, а затем, после конфигурирования федеративной доверенной среды, в которую я с целью тестирования включил совершенно новую организацию, распределить сотрудников по группам с различными полномочиями для просмотра и использования ресурсов обеих организаций.
Потоки работ, с помощью которых было автоматизировано распределение по группам, тоже имеют своих “помощников”. Поэтому бизнес-пользователи после минимального обучения могут создавать динамические группы в соответствии с атрибутами пользователя. Я сформировал в тестовой среде несколько групп пользователей, применив в качестве критерия вводимый вручную запрос, имя руководителя подразделения и иные атрибуты. Хотя во время тестов для уведомлений и в качестве примеров ресурсов использовались только Microsoft Outlook и SharePoint, FIM 2010 способен работать и с другими платформами, в том числе с Lotus Notes.
Смена паролей
FIM 2010 помог снизить типичные расходы на техническую поддержку. Одним из лучших примеров этого, обнаруженных мною при тестировании продукта, стала возможность самостоятельной смены паролей пользователями.
Для большинства систем смены паролей характерна регистрация после ответов на несколько вопросов типа “Как звали ваше первое домашнее животное?”. Я ответил на три вопроса, чтобы зарегистрировать своих тестовых пользователей.
Когда пользователи пытались войти в домен Windows с неверным паролем, на экране появлялась ссылка, предлагающая сменить его. Стоит упомянуть, что предназначенный для этого компонент FIM должен быть установлен на компьютере пользователя, только после этого он сможет работать. Как и должно быть, после правильных ответов на задаваемые вопросы пользователи могли сменить пароль и получали положенный им доступ к приложениям.
Хотя FIM 2010 представляет собой мощную платформу для управления идентификацией, ИТ-менеджерам следовало бы обратить внимание на экосистему не принадлежащих Microsoft инструментов, которые можно интегрировать с данным продуктом. Например, ныне он предоставляет сервис STS (Secure Token Service). Какое-то время системы STS выпускала Vordel и другие компании. Скорее всего они уже имеются во многих крупных организациях.
Для управления парольным доступом к корпоративным ресурсам широко используются и инструменты, обеспечивающие однократную регистрацию. Обычно их можно интегрировать с системой управления идентификацией в FIM 2010, дополнив имеющиеся в этом продукте сервисы аутентификации и авторизации.
Forefront Identity Manager помогает ИТ-специалистам, отслеживающим идентификацию, доступ и авторизацию пользователей в корпоративной и федеративной среде.