FF205: Жизненный цикл учётных записей – от рассвета до заката. Николай Сальников Майкрософт Microsoft Платформа 2010 http://msplatforma.ru УПРАВЛЕНИЕ ИДЕНТИФИКАЦИОННОЕ ИНФОРМАЦИЕЙ И ДОСТУПОМ Microsoft Платформа 2010 http://msplatforma.ru Задачи управления идентификационной информацией и доступом Соответствие нормативным и законодательным требованиям Снижение нагрузки на службу поддержки Аудит процессов предоставления доступа к ресурсам Повышение управляемости распределенной структурой идентификационных данных Соответствие нормативным требованиям Эксплуатационная эффективность Гибкость и оперативность для бизнеса Информационная безопасность Обеспечение поддержки новых бизнес - сценариев Поддержка процессов поглощения, слияния и реорганизации компаний Управление доставкой идентификационных данных пользователя Обеспечение доступа для авторизированных пользователей Microsoft Платформа 2010 http://msplatforma.ru 4 Стратегия Microsoft в области IDA Управление доступом Compliance and Audit: Мониторинг, отчетность, аудит действий по управлению идентификационными данными Policy Management: Политики управления идентификационными данными, ролевой доступ к системам, делегирование полномочий Access Management: Управление группами/ролями Identity & Credential Management: Доставка идентифкационных данных, управление сертификатами и смарткартами, средства самообслуживания Контролируемый доступ Remote Access • Удаленный доступr к ресурсам - SSL VPN Network Access • Identity-oriented edge access - NAP App Access • SSO, Web/Ent/Host Access, Federation Info Access • Drive Encryption, ILP, Rights Management Инфраструктура Службы каталогов, метакаталоги, базовые политики Microsoft Платформа 2010 http://msplatforma.ru 5 Стратегия Microsoft в области систем управления доступом Целостность Интерфейс Стоимость владения Сервис- Варинты лицензирования Единый интерфейс Платформа разработки Легкость развертывания Privacy Enabled Открытость Готовое решение Интеграция с продуктами Office Работа в облаках Поддержа виртуализации Открытость ориентированность Microsoft Платформа 2010 Легкость развития http://msplatforma.ru 6 СИСТЕМЫ УПРАВЛЕНИЯ ДОСТУПОМ Microsoft Платформа 2010 http://msplatforma.ru Управление учетными данными и доступом Прием на работу Доставка учетных данных Назначение паролей/пин-кодов Назначение ролей Управление политиками Разработка политик Применениеполитик Подтверждения и уведомления Аудит Изменения Изменение ролей Увольнение Сброс пароля/пин-кода Отзыв учетных данных Запрос дополнительного доступа Отзыв полномочий Microsoft Платформа 2010 http://msplatforma.ru Ситуация: Сложность управления идентификационными данными IT-Профессионалы Управление разнородными системами Обработка множественных запросов со стороны HelpDesk-а Управление полномочиями пользователей вручную Сотрудники Сложность Звонки в HelpDesk для запроса доступа и сброса пароля Ожидание предоставления доступа Ошибки Высокая стоимость Разработчики Разработка вспомогательных средств, решающих локальные задачи Точечная реализация бизнес-политик Необходимость ведения разработки под разнородные платформы Microsoft Платформа 2010 http://msplatforma.ru Преимущества FIM 2010 Инструменты для сотрудников Гибкость и эффективность Повышение безопасности, соответствие стандартам Использование стандартных программ MS Office Административная консоль SharePoint для администрирования Большая продуктивность как следствие уменьшения времени на выполнение операций Уменьшение затрат за счет автоматизации процессов и внедрения средств самообслуживания Максимизация отдачи от существующих вложений в инфраструктуру Использование привычной среды разработки для описания новых бизнес-процессов Интегрированное управление доступом Обширные возможности для делегирования Аудит и отчетность Microsoft Платформа 2010 http://msplatforma.ru Forefront Identity Manager – функциональные возможности Управление политиками Управление учетными данными Управление пользователями Управление группами Интерфейс администратора на базе SharePoint для управления политиками, контроля и аудита WS-* API, Windows Workflow Foundation workflows Взаимодействие с системами и приложениями в гетерогенной среде Управление сертификатами и смарт-картами Управление различными видами идентификационных данных Средства самостоятельного сброса пароля, интегрированные с Windows Logon Доставка идентификационных данных в целевые системы Возможности самообслуживания для пользователей Управление членством в группах из Microsoft Outlook Согласование запросов на включение в группы из Microsoft Outlook Процессы автоматического управления членством в группах 11 Microsoft Платформа 2010 http://msplatforma.ru Пользовательские сценарии Пример сценария Управление политиками Управление учетными данными Преимущества FIM 2010 Для предоставления доступа к финансовому приложению для нового сотрудника необходимо одобрение CFO Все пользователи имеют возможность сбросить забытый пароль Пользователь может Управление пользователями изменить номер своего мобильного телефона Управление группами Пользователь может запросить членство в группе безопасности Возможность определения маршрутов согласования заявок Одобрение или отклонение заявок из Outlook Аудит событий Интеграция с Windows Logon Нет необходимости связываться с HelpDesk-ом Уменьшение времени простоя Автоматическое обновление информации во всех системах Нет необходимости связываться с HelpDesk-ом Создание и обработка заявки в Outlook Нет необходимости связываться с HelpDesk-ом Уменьшение времени простоя Microsoft Платформа 2010 http://msplatforma.ru 12 Сценарии администратора Управление политиками Управление учетными данными Управление пользователями Управление группами Пример сценария Создается новая политика, требующая одобрения руководителя кадровой службы при изменении должности сотрудника Преимущества FIM 2010 Централизованное управление Средства контроля достоверности данных в целевых системах Создается процесс, описывающий правила для автоматического создания пароля и выпуска смарткарты для нового сотрудника Создание паролей, автоматическая доставка OTP пользователям Интрегрированное управление смарт-картами Автоматическое создание учетных записи AD и почтового ящика для всех новых сотрудников Автоматизация процедур по управлению учетными данными Автоматический отзыв учетных данных при увольнении Определяется правило для автоматического создания групп безопасности для всех департаментов Автоматическое управление членством в группах Безопасное предоставление доступа к ресурсам с возможностью повседневного контроля 13 Identity Lifecycle Manager -> Forefront Identity Manager User Management Credential Management Синхронизация каталогов Доставка/отзыв идентификационных данных Управление сертификатами и смарт-карты Common Platform Workflow Connectors Logging Web Service API Synchronization Group Management Policy Management Интеграция с приложениями MS Office и средства самообслуживания Поддержка УЦ других вендоров Codeless Provisioning Политики и процессы Microsoft Платформа 2010 http://msplatforma.ru График выпуска FIM2010 RTM 1-й квартал 2010 Release Candidate 1 30 сентября 2009 Release Candidate Ноябрь 2008 Beta 3 Июнь 2008 Microsoft Платформа 2010 http://msplatforma.ru ТИПОВЫЕ СЦЕНАРИИ ОРГАНИЗАЦИИ И FIM 2010 Microsoft Платформа 2010 http://msplatforma.ru Прием на работу MANAGER APPROVAL Given Name Елена Surname Петрова Title Title Аналитик Аналитик Department Department Бухгалтерия Бухгалтерия Employee ID Employee Employee ID ID Employee type Employee Employee type type 122145 122145 122145 Full Time Full Full Time Time email email mpetrova@ contoso.com HR SYSTEM Политики применены FIM 2010 MANAGER APPROVAL MAINFRAME FINANCE APPLICATION ACTIVE DIRECTORY EXCHANGE FINANCE PORTAL SMART CARD iPLANET Microsoft Платформа 2010 http://msplatforma.ru Перевод Given GivenName Name Given Name Surname Surname Surname Title Title Title Department Department Department Employee Employee ID ID Employee ID Employee type type Employee Employee type email email email HR SYSTEM Елена Елена Елена Петрова Петрова Петрова Менеджер по по Менеджер Аналитик маркетингу маркетингу Департамент Бухгалтерия Marketing маркетинга 122145 122145 122145 Full FullTime Time Full Time mpetrova@ mpetrova@ mpetrova@ contoso.com contoso.com contoso.com Политики применены FIM 2010 MAINFRAME ACTIVE DIRECTORY MARKETING FINANCE APPLICATION APPLICATION EXCHANGE FINANCE MARKETING PORTAL PORTAL SMART CARD iPLANET Microsoft Платформа 2010 http://msplatforma.ru Увольнение Given Name Given GivenName Name Елена Елена Елена Surname Surname Surname Петрова Петрова Петрова Title Title Title Менеджер по Менеджерпо по Менеджер маркетингу маркетингу маркетингу Department Department Department Департамент Департамент Департамент маркетинга маркетинга маркетинга EmployeeI D EmployeeID ID Employee 122145 122145 122145 Employee type Employeetype type Employee Terminated Terminated Full Time email email email mpetrova@ mpetrova@ mpetrova@ contoso.com contoso.com contoso.com HR SYSTEM Политики применены FIM 2010 MAINFRAME ACTIVE DIRECTORY MARKETING APPLICATION EXCHANGE MARKETING PORTAL SMART CARD iPLANET Microsoft Платформа 2010 http://msplatforma.ru Сброс и синхронизация пароля Елена PASSWORD SYCHRONIZATION WINDOWS MACHINE FIM 2010 iPLANET FINANCE APPLICATION ACTIVE DIRECTORY FINANCE PORTAL Microsoft Платформа 2010 http://msplatforma.ru ДЕМОНСТРАЦИЯ РЕШЕНИЯ НА БАЗЕ FIM 2010 Microsoft Платформа 2010 http://msplatforma.ru Система управления ролями и правами доступа на базе FIM 2010 Видео Microsoft Платформа 2010 http://msplatforma.ru Ресурсы Узнайте больше о FIM 2010 FIM 2010 Product Page: www.microsoft.com/fim ILM 2007 Product Page: www.microsoft.com/ILM2007 Узнайте больше о линейке продуктов Forefront Forefront Home Page: www.microsoft.com/forefront Попробуйте FIM2010 в действии Посетите www.microsoft.com/fim Microsoft Платформа 2010 http://msplatforma.ru Вопросы Николай Сальников Консультант niksa@microsoft.com http://blogs.technet.com/niksa Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада Microsoft Платформа 2010 http://msplatforma.ru