Введение в управление идентификацией и Forefront Identity Manager 2010 R2 с пакетом обновления 1 (часть 1)

Опубликовано: 19 Марта, 2023

Даже в 2013 году многие организации продолжают бороться с текущими потребностями в управлении идентификацией. Если вы не знакомы с этим термином, под управлением идентификацией в мире ИТ понимается «управление индивидуальной идентификацией, их аутентификацией, авторизацией, ролями и привилегиями внутри или за пределами системы и предприятия с целью повышения безопасности и производительности при снижение затрат, времени простоя и повторяющихся задач». С точки зрения непрофессионала, управление идентификацией — это всеобъемлющий процесс, с помощью которого организации отвечают на следующие вопросы:

  • Кто? Кому разрешен доступ к конкретным системам или службам в организации?
  • Какая? Какой уровень доступа разрешен к отдельным системам и службам?
  • Как? Какими способами пользователю разрешен доступ к этим системам и службам?

Для многих управление идентификацией сводится просто к созданию учетной записи пользователя и управлению паролями. Хотя это один из элементов управления идентификацией, это важные аспекты службы. Однако комплексное решение для управления идентификацией должно уметь делать гораздо больше, в том числе:

  • Автоматическое создание учетной записи пользователя Active Directory на основе информации, полученной из базы данных, которая считается авторитетным источником. Во многих случаях это база данных кадров или платежных ведомостей.
  • Автоматическое создание почтового ящика пользователя Exchange или Office 365.
  • Автоматическое создание домашнего каталога пользователя на файловом сервере.
  • Автоматическое включение учетной записи пользователя в любые группы безопасности, подходящие для его работы. Опять же, правомерность доступа к конкретной группе будет определяться информацией в авторитетной исходной базе данных.
  • Самостоятельное управление паролем пользователя. Пользователь должен иметь возможность сбросить свой пароль по требованию, и ему должен быть предоставлен механизм, с помощью которого можно сбросить свой пароль в случае, если он будет забыт.

Обратите внимание, что все в приведенном выше списке подразумевает, что ИТ-отдел в основном занимает позицию невмешательства в отношении текущего управления идентификацией. Поскольку эта деятельность может полностью поглощать людей, особенно в организациях с большой текучестью кадров, автоматизация и самообслуживание переносят бремя процесса с персонала и превращают его в еще одну ИТ-услугу. Лично я рассматриваю управление идентификацией во многих организациях как «легко висящий фрукт», который может сэкономить времени ИТ-специалистам и помочь отделу больше сосредоточиться на потребностях, ориентированных на конечный результат.

Кроме того, надежное управление идентификацией предоставляет организациям дополнительный уровень безопасности. Например, ИТ-отдел может быть не проинформирован сразу об увольнении высокопоставленного лица, но вы можете поспорить, что уведомление о платежной ведомости было получено. Можно создать правило для деактивации учетной записи, когда платежная ведомость выполняет действие по прекращению в их системе. Это может помочь организации обеспечить доступ к системе только авторизованным пользователям.

Управление идентификацией также может стать проблемой соответствия, особенно если оно сделано некачественно.

Существует множество способов атаковать гориллу управления идентификацией, но в этой серии я сосредоточусь на Microsoft Forefront Identity Manager 2010 R2 SP1. С помощью этого продукта администраторы, контролирующие ориентированные на Microsoft среды, могут автоматизировать и распределять важные задачи, связанные с идентификацией и правами. С помощью FIM, например, администратор может автоматизировать подготовку учетной записи Active Directory и передать помощнику по административным вопросам возможность управлять разрешениями в группах распределения и безопасности в подразделении этого человека.

Это еще один способ, с помощью которого ИТ-отдел может вернуть пользователям тщательно контролируемые ключи от королевства, тем самым еще больше уменьшив необходимость участия ИТ-отдела во всех действиях, связанных с учетными записями в организации. С полностью реализованным решением для управления идентификацией участие ИТ-отдела сводится только к надзору и обработке исключений. ИТ-отдел по-прежнему несет ответственность за автоматизированные системы, но может легко делегировать некоторые операционные задачи.

Прежде чем я перейду к Forefront, важно, чтобы вы поняли некоторые предпосылки, которые должны быть выполнены, прежде чем вы приступите к управлению идентификацией в вашей организации.

  • Вы должны иметь четкое представление о рабочем процессе, связанном с созданием учетных записей в вашей организации, вплоть до полевого уровня. Вы не можете автоматизировать то, чего не понимаете.
  • Вы должны понимать, что запускает различные действия в жизненном цикле удостоверения. Например, какое действие инициирует создание новых учетных данных в конкретной системе? Какие действия деактивируют определенный уровень доступа или учетные данные?
  • У вас должна быть полная инвентаризация систем и понимание механизмов аутентификации для каждой из них.
  • Ваши «авторитетные системы» должны быть чистыми. Например, если вы собираетесь использовать систему управления персоналом в качестве исходного репозитория для идентификации сотрудников, вы должны убедиться, что данные в системе действительны и полны. Например, вы фиксируете имя менеджера нового сотрудника? В противном случае вы лишаете FIM возможности автоматически отправлять учетные данные новых пользователей по электронной почте руководителю нового сотрудника.

Как только вы поймете существующий ландшафт вашей организации, вы можете приступить к терраформированию с помощью Forefront Identity Manager.

Набор функций

Forefront Identity Manager 2010 R2 предоставляет ИТ-специалистам множество функций, которые могут упростить управление идентификацией. Я не скажу, что создание полностью реализованной системы управления идентификацией — это легкое дело; это не так. Однако, как только организация возьмет на себя обязательство и доведет дело до конца, функция продукта продемонстрирует явную выгоду.

Портал самообслуживания

Система управления идентификацией не будет полной, если пользователь не сможет самостоятельно выполнять некоторые функции самообслуживания. Опять же, это помогает ИТ-специалистам сосредоточиться на том, что важно, а не на повседневных делах. В FIM 2010 R2 есть такой портал, основанный на SharePoint. На портале есть возможность:

  • Управляйте личной информацией.
  • Управление членством в группах.
  • Управление паролем, включая самостоятельный сброс пароля.

Возможность самостоятельного сброса пароля FIM довольно хороша. Он работает, требуя, чтобы пользователь сначала зарегистрировался в службе сброса пароля. Как и в случае со своим банком, вам задают ряд личных вопросов, и ваши ответы хранятся в базе данных. Если вы случайно забыли свой пароль, вы можете перейти на веб-сайт, чтобы сбросить его, или, если вы не можете войти на свой компьютер, вы можете воспользоваться возможностью FIM интегрироваться с экраном входа в систему Windows, как показано ниже. ниже. Когда вы нажимаете ссылку «Сбросить пароль», вам предоставляется достаточно вычислительной среды для сброса пароля, после чего вы можете войти в систему как обычно.

Изображение 4908
Рис. 1. FIM интегрируется с экраном входа в систему Windows.

Некоторые службы поддержки тратят более половины своего времени на решение проблем с паролями пользователей. Что, если этот конкретный класс вызовов исчезнет или, по крайней мере, сократится до минимума? Это может означать значительную экономию для ИТ-отдела и возможность перенаправить кадровые ресурсы на более приоритетные проекты.

С помощью FIM вы можете предоставить пользователям столько или меньше прав, которые я описал выше, используя встроенную возможность FIM для детального управления ролями и назначениями ролей.

Бескодовое управление пользователями

Для относительно простых развертываний FIM 2010 включает возможность предварительной подготовки и удаления пользователей без необходимости написания большого количества кода. Конечно, это поддерживается не во всех сценариях, но поддерживается для таких элементов, как Active Directory, и может немного упростить развертывание продукта.

Текущая синхронизация данных

Организации не являются статичными созданиями. Они меняются каждый день. Меняются люди, меняются отделы и даже целые компании. С помощью FIM, если вы вносите изменения в авторитетные данные, вы можете настроить продукт для автоматического отражения этого изменения во всех системах. Например, если вы измените название отдела, любые пользователи в этом отделе могут обновить свои учетные записи Active Directory, чтобы отразить это изменение.

Рабочий процесс

Хотя автоматизация прекрасна, иногда для утверждения требуется участие человека. Например, если пользователь пытается использовать портал самообслуживания для изменения своего псевдонима, отдел кадров может создать политику, запрещающую это изменение без одобрения отдела кадров.

Резюме

Эта статья предоставила вам основу для понимания важности управления идентификацией и начала знакомства с FIM 2010 R2 SP1. В следующей части этой серии мы продолжим изучение продукта.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Рейтинг лучших процессоров Intel Xeon для игр и домашних сборок
21 Февраля, 2026
Что такое proxy IPv4: как работает, виды, отличия от IPv6 и как выбрать под задачи
14 Июня, 2023
Что такое оптический патч-корд: виды, разъёмы, полировка, параметры и правила выбора
11 Мая, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023