Управление Active Directory с помощью Forefront Identity Manager (FIM) 2010

Опубликовано: 8 Апреля, 2023
Управление Active Directory с помощью Forefront Identity Manager (FIM) 2010

Введение

В наши дни трудно найти среду Windows, которая не сильно зависит от Active Directory. Действительно, с момента появления AD в конце 90-х и начале 2000-х годов он стал де-факто предпочтительным каталогом и «единым источником достоверной информации» для учетных данных для входа в систему, схем имен пользователей, почтовых ящиков и многих других аспектов организации, связанных с идентификацией.. Многие организации просто синхронизируют данные из своей системы управления персоналом непосредственно в Active Directory и заполняют несколько информационных полей, но как управлять этими данными внутри каталога? Подготовка и отмена подготовки становятся большой проблемой, равно как и синхронизация учетных данных и автоматизация рабочих процессов в других инструментах, которые полагаются на каталог. Forefront Identity Manager (FIM) 2010 упрощает многие из этих задач, а также помогает предприятиям очищать свою среду Active Directory. В этой статье мы рассмотрим некоторые функции и возможности FIM, чтобы помочь вам решить, подходит ли он для вашей компании.

Что такое FIM и чем он хорош?

При оценке инструментов Identity и Access может быть сложно решить, сколько откусить и что действительно нужно организации с точки зрения требований. Крупные поставщики предлагают комплексные наборы инструментов, которые являются дорогостоящими и часто требуют большого количества специализированных услуг для внедрения и тонкой настройки. Для многих предприятий возникает простой набор требований при рассмотрении:

  • Синхронизация данных. Служба синхронизации FIM включает в себя метакаталог, механизм подготовки и агенты управления (MA) (см. рис. 1). Это позволяет синхронизировать базу данных FIM с другими источниками удостоверений в организации.
  • Самостоятельный сброс пароля — позволяет пользователям сбрасывать свой собственный пароль, чтобы не нагружать ресурсы службы поддержки.
  • Создание и удаление учетных записей в каталоге.

FIM соответствует этим требованиям и имеет относительно низкую стоимость входа по сравнению с другими продуктами на рынке, особенно для организаций, которые являются покупателями Microsoft и имеют набор навыков Microsoft в своей ИТ-команде.

Изображение 23242
Рис. 1. Варианты создания/подготовки агента управления (Источник: technet.com)

Синхронизация личности и пароля

Синхронизация удостоверений (особенно имен пользователей и паролей) в нескольких системах может стать быстрой победой для решения для удостоверений и доступа. Предоставление пользователю единого набора учетных данных для запоминания и управления упрощает выполнение их работы, обеспечивает более быструю подготовку и адаптацию при доступе пользователей к новым системам и службам, а также позволяет более эффективно управлять учетными данными в корпоративной среде.

FIM предлагает так называемую систему на основе состояний для синхронизации удостоверений. Он выводит изменения в хранилище идентификаторов с ранее сохраненными данными и решает, была ли модификация или нет. FIM использует агенты управления (MA) для синхронизации с другими системами, такими как Siebel, People Soft и т. д. Импорт из этих систем выполняется по принципу «дельта», импортируя только то, что изменилось из основного источника. Это позволяет постоянно применять бизнес-правила во всей среде. Например, синхронизация объектов может выполняться по регулярному расписанию (каждые 24 часа), а политика может применяться во всей среде единообразно для таких вещей, как минимальная длина пароля, срок действия пароля и т. д.

Синхронизация нескольких источников данных с помощью FIM позволяет получить важный обзор среды с точки зрения аудита и соответствия требованиям. Возможность выполнять поверхностный аудит в других системах, но при этом углубляться в безопасность учетных данных и настройку в одной системе, такой как Active Directory, через метавселенную FIM, экономит много времени и энергии с точки зрения внутренней и внешней проверки. Кроме того, возможность добавлять и удалять агенты управления обеспечивает будущий рост по мере расширения FIM за пределы простой синхронизации Active Directory и приложений отдела кадров. Если интерфейс и параметры FIM по умолчанию не предоставляют достаточно «деталей», есть компонент сценариев, который позволяет разрабатывать собственные агенты управления, и довольно активное партнерское сообщество, которое также их разрабатывает. Синхронизация удостоверений с FIM — это то, с чего вы можете начать с малого и расширять его по мере необходимости.

Самостоятельный сброс пароля

Поскольку многие организации называют сброс пароля запросом №1 в службу поддержки, возможность перехода к варианту самообслуживания очень привлекательна. Предоставление пользователям набора вопросов и процесса (см. рис. 2) для самостоятельного сброса пароля может сэкономить десятки тысяч долларов времени и ресурсов в течение года. Действительно, многие компании оправдывают стоимость решения для идентификации и доступа потенциальной экономией средств за счет этого модуля.

Изображение 23243
Рис. 2. Экран регистрации для самостоятельного сброса пароля FIM (источник: blogs.technet.com)

В FIM есть два компонента модуля самостоятельного сброса пароля: портал сброса пароля FIM и клиент сброса пароля FIM, который устанавливается локально на управляемых компьютерах. Текущий недостаток решения сегодня заключается в том, что его необходимо установить на клиенте, присоединенном к домену. Microsoft намекнула, что в будущих версиях FIM этот модуль будет расширен для работы с клиентами, не присоединенными к домену.

Чтобы использовать инструмент управления паролями, пользователи должны сначала зарегистрироваться в системе и ввести ряд точек данных. Набор контрольных вопросов создается администратором, на которые пользователь должен дать действительные ответы. Эти вопросы могут быть определены администратором, и у пользователя есть возможность выбрать, на какие из них он хотел бы ответить. Например, «В каком городе вы родились?» или «Как звали твоего первого питомца?» Такая гибкость снижает вероятность того, что пользователя можно будет легко подделать, а настройка вопросов позволяет администратору в максимально возможной степени использовать подход «невмешательства» к процессу сброса.

С точки зрения пользовательского интерфейса, модуль самостоятельного сброса пароля в FIM интегрируется в экран входа в систему Windows, обеспечивая удобство работы для конечного пользователя. Это огромный плюс при обучении конечных пользователей процессу изменения или сброса пароля.

Создание и удаление учетных записей

FIM можно использовать в качестве авторитетного инструмента подготовки и отмены подготовки для Active Directory. Это здорово с точки зрения очистки Active Directory, поскольку пользователям можно назначать группы для таких вещей, как рабочие роли или физический сайт, а также при перемещении из одного места в другое. С помощью FIM процесс подготовки можно запустить с помощью рабочего процесса, встроенного в такой инструмент, как SharePoint, или даже в Outlook для управления группами. Можно применить бизнес-правила для автоматического удаления доступа к определенным ресурсам или удаления объектов из групп по мере того, как пользователи передают роли в компании (например, переход от организационной роли отдела кадров к организационной роли ИТ).

Большой проблемой при подготовке учетных записей является отсутствие согласованного и простого в использовании процесса добавления, удаления или изменения учетных записей администратором учетных записей. Инструмент «Пользователи и группы Active Directory» — не самый интуитивно понятный пользовательский интерфейс, и в нем легко ошибиться. FIM предоставляет пошаговый план предоставления нового сотрудника и раскрывающийся список для работы или роли, что устраняет большую часть фактора человеческой ошибки (см. рис. 3). Опять же, это очень полезно с точки зрения аудита и соответствия требованиям.

Изображение 23244
Рисунок 3: Пользовательский экран администрирования портала FIM. (Источник: blogs.msdn.com)

Резюме

Forefront Identity Manager — это относительно недорогое решение для управления идентификацией и доступом. Это не так сложно, как некоторые другие продукты на рынке, но простая интеграция с Active Directory и тесное сосуществование с экосистемой Microsoft, большой или маленькой. С пользовательским интерфейсом для самостоятельного сброса пароля сложно конкурировать. Синхронизация объектов в метавселенной — это легко автоматизируемый процесс, который можно расширить до ряда различных систем. Узнайте больше о FIM здесь и посмотрите, имеет ли смысл развертывание в вашей среде.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023