Введение в управление идентификацией и Forefront Identity Manager 2010 R2 с пакетом обновления 1 (часть 2)

Опубликовано: 19 Марта, 2023

на информационный бюллетень WindowsNetworking.com, посвященный обновлению статей в режиме реального времени

Введение

Когда мы в последний раз встречались, мы только что завершили обсуждение в 1300 слов о важности управления идентификацией на предприятии и обрисовали в общих чертах некоторые из его преимуществ. Мы также обсудили некоторые основополагающие вопросы, которые необходимо учитывать, прежде чем приступать к управлению идентификацией в вашей организации. В этой части этой серии статей я познакомлю вас с ответом Microsoft на управление идентификацией. Продукт Microsoft под названием Forefront Identity Manager 2010 R2 предоставляет организациям полный набор функций управления идентификацией.

Покупка FIM 2010 R2

Прежде чем мы перейдем к набору функций продукта, давайте посмотрим, как он лицензируется. Как обычно бывает с продуктами Microsoft, лицензирование FIM 2010 R2 запутано и сложно.

Серверы

Прежде всего, для каждого сервера, на котором вы развертываете компонент FIM, вы должны купить серверную лицензию для запуска программного обеспечения.

База данных

Для работы FIM требуется база данных SQL Server. Честно говоря, я ошеломлен тем, что Microsoft не предоставляет исполняемый экземпляр SQL для FIM, но, согласно полному лицензионному документу, разработчики FIM также должны покупать лицензию SQL Server.

Пользователи

Для каждого пользователя, которым вы управляете через FIM, вам нужна клиентская лицензия (CAL). Если вы являетесь магазином Microsoft, у вас, вероятно, уже есть эти лицензии.

Кроме того, для каждого пользователя, которым вы управляете через FIM, требуется FIM CAL. Администраторам, которые управляют пользователями через FIM, также требуется клиентская лицензия.

Если у вас есть внешние пользователи, которых необходимо включить в среду FIM, вам также потребуется лицензия , а также клиентская лицензия для каждого внешнего пользователя.

Составление отчетов

FIM 2010 R2 использует функции создания отчетов из System Center Service Manager. При покупке FIM вам предоставляется лицензия SCSM, специально предназначенная для создания отчетов.

Компоненты FIM 2010 R2

В небольших средах вы можете развернуть большую часть среды FIM на одном сервере, но по мере роста среды вам, вероятно, будет проще развернуть FIM на нескольких серверах. Это упрощает расширение тех аспектов среды, которые наиболее часто используются. В таблице ниже описаны основные компоненты FIM.

Составная часть

Описание

Служба синхронизации FIM

Служба синхронизации — одна из основных служб FIM. Он обрабатывает синхронизацию идентификаторов между источниками данных на уровне «метавселенной». Эта служба создает и поддерживает удостоверения в других системах.

ФИМ-сервис

Служба FIM — это компонент веб-службы, который предоставляет функции подключения за кулисами в FIM.

Портал ФИМ

Портал FIM — это компонент, предназначенный для пользователей и администраторов, который предоставляет пользователям большую часть функциональных возможностей FIM, включая возможность сброса пароля, задачи управления группами и параметры администрирования. Портал работает на SharePoint.

Управление сертификатами FIM

Компонент управления сертификатами обычно используется вместе со смарт-картами и не интегрирован глубоко в остальную часть пакета. Многие развертывания FIM даже не включают этот компонент.

FIM-отчетность

FIM использует механизм отчетности System Center Service Manager. Отчеты в FIM обрабатываются с помощью этой специальной службы SCSM. Пользователям FIM предоставляется лицензия на выполнение компонента отчетности SCSM для включения этой функции.

Портал регистрации паролей FIM

Одной из лучших функций FIM является возможность предоставить пользователям возможность устанавливать контрольные вопросы и ответы, которые они могут использовать для самостоятельного сброса своих паролей в случае, если они будут забыты.

Портал сброса пароля FIM

Если пользователь задает контрольные вопросы и забывает свой пароль, он может посетить портал сброса пароля и сбросить его, не обращаясь в службу технической поддержки. В R2 портал сброса пароля полностью основан на Интернете, поэтому его можно использовать на любой платформе. Больше нет элементов управления ActiveX. Инструмент сброса пароля также может интегрироваться с экраном входа в систему Windows, чтобы пользователи могли сбрасывать свои пароли, даже если они не могут войти на свои ПК.

SQL (база данных службы FIM)

База данных FIM хранит всю информацию о среде и используется для определенных преобразований.

ДЕРЖАТЬ

BHOLD — это относительно новое дополнение к FIM, которое позволяет организациям делегировать управление ролями пользователям. Это может еще больше упростить процесс управления идентификацией в организации.

Клиент FIM Outlook

Для ряда действий FIM требуется авторизация через встроенные рабочие процессы. С помощью клиентской надстройки FIM Outlook пользователи и администраторы могут утверждать или отклонять действия прямо из Outlook, не открывая отдельное приложение.

Таблица 1

В этой серии статей вы узнаете об управлении идентификацией и сбросе пароля в FIM, но я не буду обсуждать управление сертификатами.

Некоторая дополнительная терминология

Как вы могли догадаться, FIM — это относительно сложная программная платформа, и для ее развертывания требуется много дополнительных знаний. Таким образом, существует довольно много терминологии, которую важно понимать.

  • Метавселенная. Согласно Microsoft, метавселенная — это «…набор таблиц в базе данных SQL Server, который содержит объединенную идентификационную информацию для человека или ресурса. Агенты управления обновляют и изменяют метавселенную из нескольких подключенных источников данных, и, в свою очередь, агенты управления используют данные в метавселенной для обновления и изменения подключенных источников данных. Метавселенная содержит собственную схему, которая определяет, какие типы объектов и атрибуты могут содержаться в метавселенной». Другими словами, метавселенная — это вселенная, в которой находятся различные объекты FIM.
  • Пространство разъема. Это область, в которой объекты записываются перед синхронизацией с метавселенной или подключенным источником данных.
  • Соединитель. В FIM соединитель — это объект, представляющий собой пространство соединителя, которое связано с объектом в метавселенной.
  • Явный коннектор. Специализированный тип соединителя, который можно создать только вручную и который остается подключенным даже при наличии фильтров.
  • Агент управления. В FIM агент управления отвечает за подключение к определенному источнику данных.

Параметры источника данных

FIM может подключаться к различным источникам данных. В приведенном ниже списке описано, какие источники данных поддерживает Microsoft Forefront Identity Manager (FIM) 2010 R2:

  • Доменные службы Active Directory 2000, 2003, 2003 R2, 2008
  • Службы облегченного доступа к каталогам Active Directory (ADLDS)
  • Глобальный список адресов Active Directory (GAL)
  • Текстовые файлы пары атрибут-значение
  • Управление сертификатами FIM
  • Текстовые файлы с разделителями
  • Язык разметки служб каталогов (DSML) 2.0
  • Microsoft Exchange Server 2007 и 2010 (используйте агент управления для Active Directory)
  • Microsoft SQL Server 2000, SQL Server 2005, SQL Server 2008
  • Текстовые файлы фиксированной ширины
  • Универсальная база данных IBM DB2 9.1 или 9.5
  • IBM Directory Server 6.0 или 6.2
  • Формат обмена данными LDAP (LDIF)
  • Lotus Notes версии 6.5 или 7.0
  • Novell eDirectory 8.7.3 или 8.8
  • База данных Oracle10g
  • AP R/3 Enterprise (4.7), mySAP 2004 (ECC 5.0)
  • Sun ONE и Netscape Directory Server 5.1 и 5.2
  • SAP HCM
  • Пакет Oracle для электронного бизнеса
  • Oracle PeopleSoft

Существуют также некоторые дополнительные агенты управления, доступные для определенных онлайн-сервисов, таких как Office 365. Используя эти источники данных, вы можете управлять удостоверениями практически в любой системе.

Обзор развертывания высокого уровня

Принимая во внимание, что в этой серии статей я не буду рассматривать части FIM, связанные с управлением сертификатами, можно развернуть FIM в различных сценариях. Вот некоторые вещи, о которых следует помнить:

  • ролей могут сосуществовать на одном сервере. Как правило, это подходит только для очень маленьких или лабораторных сред.
  • Служба хранилища данных SCSM должна работать отдельно от других служб.
  • Для масштабируемости администраторы часто размещают каждую роль на отдельном сервере. В мире виртуализации это довольно легко сделать, и это дает возможность масштабировать компоненты по мере необходимости.
  • Лучшей практикой является установка портала FIM и службы FIM вместе.

Что касается масштаба, то не все службы FIM могут балансировать нагрузку или использовать несколько серверов. Поддерживается только один сервер типа роли.

Резюме

Имея дополнительные базовые элементы, в следующей части этой серии мы рассмотрим начальные этапы развертывания FIM.

на информационный бюллетень WindowsNetworking.com, посвященный обновлению статей в режиме реального времени

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023