Często zgłaszanymi problemami biznesowymi, w obrębie zarządzania tożsamością (Identity Management - IM), które wymagają wsparcia ze strony informatyki są następujące zagadnienia: zarządzanie uprawnieniami, jednokrotne logowanie, samoobsługa użytkownikó. Inne, złożone wymagania biznesowe z zakresu zarządzania uprawnieniami są pochodną wyżej wymienionych zagadnień.
2. Wstęp
Często zgłaszanymi problemami biznesowymi, w obrębie zarządzania
tożsamością (Identity Management - IM), które wymagają wsparcia ze strony
informatyki są następujące zagadnienia:
1. Zarządzanie uprawnieniami.
Wraz z rozwojem firmy, dynamika ruchów personalnych, zmiana przynależności
pracowników do grup, definiowanie uprawnień dostępowych do aplikacji
biznesowych wymagają coraz większego wsparcia. Zarządzanie tymi
uprawnieniami Zarządy chcą oddać w ręce nie tylko administratorom Działu IT,
ale również menadżerom liniowym (Dyrektorom Działów, Kierownikom
Projektów etc).
2. Jednokrotne logowanie
Jednokrotne logowanie (Single Sign-On) pozwala na uproszczenie procesów
dostępowych do aplikacji biznesowych. Jego działanie upraszcza zarządzanie
grupami użytkowników oraz obniża częstość interwencji i wymaganego
wsparcia Działu IT w kierunku użytkowników.
3. Samoobsługa użytkowników
W celu obniżenia kosztów obsługi użytkowników końcowych, stosuje się tzw.
Self-Service Portal, w którym użytkownicy samodzielnie mogą wykonywać
podstawowe czynności administracyjne związane z ich profilem (zmiana hasła,
podstawowych danych etc.) przy wcześniejszym zdefiniowaniu polityki firmy i/
lub zatwierdzeniu przez dział IT czy też Managera.
Inne, złożone wymagania biznesowe z zakresu zarządzania uprawnieniami są
pochodną wyżej wymienionych zagadnień. Interesującym wykorzystaniem tych
rozwiązań jest zarządzanie uprawnieniami dostępowymi do raportów,
cyklicznie generowanych w hurtowni danych, czy komunikatów rozsyłanych
pocztą i dystrybuowanych z wykorzystaniem platformy SharePoint.
Rozwiązanie IT wspierające powyższe zagadnienia mogą wykorzystywać różne
technologie informatyczne. Niniejsza propozycja, ze względu na relatywnie
popularne środowisko technologiczne budowane w oparciu o produkty firmy
Microsoft, wykorzystuje rozwiązanie tego producenta: Forefront Identity
Manager 2010 (FIM)
Microsoft jest liderem w zakresie aplikacji biurowych, spójnych ze
środowiskiem systemowym Windows. Rozwiązania takie jak: MS Active
Directory, MS Exchange czy MS SharePoint stały się standardami w biznesie i są
wykorzystywane z powodzeniem przez wielu użytkowników. Do listy tych
aplikacji w ostatnim roku dołączyła nowa wersja systemu zarządzania
tożsamością Forefront Identity Manager 2010. Dotychczas podstawowe
elementy zarządzania tożsamością i jednokrotnego logowania realizowane były
3. przy użyciu środowiska aplikacyjnego Microsoft Windows i Active Directory. FIM
dokłada nowe. Połączenie tych funkcjonalności pozwala zbudować nową
jakość, która jest pochodną nie tylko wyjątkowych właściwości pojedynczego
produktu, ale również spójności całego środowiska systemowego i
aplikacyjnego.
W dalszej części pokazujemy możliwy scenariusz realizacji wymagań
biznesowych wykorzystujących FIM oraz powszechnie posiadane aplikacje
Microsoftu (Exchange, SharePoint i inne) .
4. Zarządzanie uprawnieniami
Wdrożenie produktu FIM 2010 to doskonałe uzupełnienie infrastruktury klienta
w zakresie zarządzania tożsamością. W szczególności, FIM integruje się z całą
rodziną produktów Microsoft: Exchange, Sharepoint, serwery Windows.
Instalacja FIM-a umożliwi również maksymalne wykorzystanie funkcjonalności
serwera Active Directory.
Dzięki integracji pomiędzy tymi wszystkimi elementami, klient otrzyma spójne
rozwiązanie, które kompleksowo rozwiązuje zgłoszone problemy biznesowe.
.1 Zmiana uprawnień pracownika przez jego kierownika
Rys. 1: Obsługa procesu biznesowego zmiany uprawnień pracownika
Proces zmiany uprawnień pracownika może być zintegrowany w dowolnym
procesie biznesowym klienta. Użytkownicy procesu posługują się znanymi
narzędziami, takimi jak ekrany SharePoint czy interfejs Microsoft Outlook (w
trybie online lub off-line).
5. .2 Migracja pracowników między działami/stanowiskami
Rys. 2: Zachowanie historii dokumentów i raportów przy migracji pracowowników
Bardzo interesującą możliwością wykorzystania narzędzi Identity
Management jest połączenie procesu przesunięć pracowników między
działami/stanowiskami pracy z możliwością dostępu do całej historii raportów i
informacji zarządczych związanych z nowym działem/stanowiskiem pracy.
W wielu przypadkach raporty generowane są w różnych aplikacjach
(Business Intelligence, ERP, inne). Miejscem przechowywania i udostępniania
tych raportów może być Sharepoint. Platforma dystrybucji raportów, FIM i SSO,
wykorzystująca workflow do nadawania uprawnień, tworzy spójny, łatwy w
użyciu system zarządzania uprawnieniami dostępowymi do informacji.
Dzięki zintegrowanemu zarządzaniu Identity Management, pracownik ma łatwy
i automatyczny dostęp do całej historii raportów biznesowych na nowym
stanowisku pracy.
6. Single Sign On
Produkt Forefont Identity Manager 2010, jako jedyny na rynku, zapewnia
bezproblemową integrację z całą rodziną produktów Microsoft, zapewniając
użytkownikom bezproblemowy Single Sign-On.
FIM zapewnia wszystkie warianty infrastruktury SSO: zarówno „Full SSO”, z
podziałem sesji, jak i „Semi SSO”, z podstawowym wsparciem w zakresie
synchronizacji.
Poniższy diagram obrazuje wykorzystanie obu wariantów SSO przez
użytkownika
Rys. 3: FIM jako podstawa do Single Sign On
.3 Pełne SSO
Pełne SSO, czyli współdzielenie sesji, razem z zarządzaniem tożsamością
daje najlepszą wygodę użytkownika przy zachowaniu optymalnego
bezpieczeństwa.
Jest to możliwe dzięki połączeniu produktów FIM i Active Directory/Windows
Server, który gra rolę serwera Kerberos (we wcześniejszych wersjach NTLMv2).
Użytkownik logując się zwyczajowo do domeny Windows, otwiera sesję we
wszystkich systemach wspierających ten protokół. Przy dostępie do systemu/
7. serwisu, jego stacja robocza w przeźroczysty sposób potwierdza dostępność,
bez interwencji użytkownika, jak na diagramie przedstawionym poniżej.
Rys. 4: Schemat działania pełnego SSO w infrastrukturze Microsoft (źródło: microsoft.com)
Dzięki połączeniu FIM-AD-Windows, możliwa jest kompletna integracja całego
łańcucha dostępów do różnych systemów.
W FIM 2010 możliwa jest również autoryzacja używając bardziej
zaawansowane metody bezpieczeństwa niż hasło, np. wykorzystująca
Smartcards. Po implementacji kart w FIM, ich funkcjonalność będzie
automatycznie dostępna dla wszystkich produktów Microsoft.
.4 Semi-SSO
Dla systemów, gdzie wsparcie Kerberos/NTLM nie jest możliwe, wykorzystanie
FIM pozwoli na gwarancję synchronizacji dostępów użytkowników do tych
systemów np. przy zmianie hasła.
W naturalny sposób zwiększa to bezpieczeństwo całej infrastruktury, bo daje
użytkownikowi możliwość zapamiętania tylko jednego hasła przy logowaniu do
kilku różnych aplikacji.
Możliwe jest tutaj zarówno wykorzystanie aplikacji, które kontaktują się z
serwerem Active Directory i obsługując kontrolę hasła przez LDAP, jak i dla
8. aplikacji, które muszą wykorzystywać lokalne repozytorium loginów i haseł, jak
na poniższym schemacie:
Rys. 5: Schemat działania Semi - SSO w infrastrukturze heterogenicznej
Należy zaznaczyć, że integracja FIM z aplikacjami biznesowymi i systemowymi
używa standardowych mechanizmów synchronizacji tożsamości (tzw.
Management Agents) oraz pozwala na zbudowanie własnych dla aplikacji, które
nie są wspierane przez FIM.
Wbudowane mechanizmy FIM pozwalają min na:
• Integrację z aplikacjami, które używają oryginalnego, 64bitowego klienta bazy
danych Oracle.
• Automatyczną integrację z wszelkimi aplikacjami Microsoft (SharePoint,
Windows Server, Exchange, AD i inne)
• Tworzenie nowych agentów do aplikacji, które nie są standardowo obsługiwane
przez interfejsy wbudowane w FIM. Do technicznej realizacji agentów używa się
standardowych narzędzi .Net firmy Microsoft. Stworzone w ten sposób
oprogramowanie komunikacyjne ma identyczne możliwości jak dostarczone z
systemem. Pozwala to na zastosowanie go w dowolnym procesie biznesowym.
Agenci uruchamiani są w trybie synchronizacji aktywnej, bez konieczności
modyfikowania procesu autoryzacji w docelowym systemie. Daje to gwarancję
poprawnego działania wszelkich aplikacji biznesowych nawet w sytuacji
niedostępności serwera FIM 2010
9. Podsumowanie
Główne elementy biznesowe przemawiające za wdrożeniem produktu FIM 2010
w firmie są następujące:
1. Jest spójny technologicznie z rozwiązaniami Microsoft powszechnie używanymi
w wielu firmach i instytucjach publicznych
2. Zapewnia pełne wsparcie dla kompleksowego rozwiązania problemu
zarządzania tożsamością i SSO
3. Pozwala na pełną integrację z używanymi aplikacjami
4. Daje najlepsze możliwości rozwoju i dopasowania do zmieniającego się
środowiska biznesowego firmy, bez ponoszenia dodatkowych kosztów
finansowych związanych z integracją.
5. Daje gwarancję najszybszych efektów, z punktu widzenia szkolenia
użytkowników wykorzystujących narzędzia zarządzania tożsamością.
6. Jest najbardziej efektywny kosztowo; pozwala na nie ograniczone rozbudowanie
funkcjonalności procesowych (workflow) korzystających z narzędzi Identity
Management.
Dla działu IT i administratorów, wykorzystanie FIM w zintegrowanym
środowisku systemowym, opartym na produktach jednego producenta
(Microsoft) przyniesie również wymierne korzyści. Poniżej kilka z nich:
• Proste i bezpieczne mechanizmy wspierające rutynowe procesy dodawania i
usuwania członków grupy (zwolnienie pracownika, przyjęcie nowego
pracownika etc)
• Łatwa i szybka możliwość realizacji żądanych funkcjonalności procesowych
przydziału pracowników do grup lub do katalogów, w zależności od potrzeb.
• Prosta implementacja polityki bezpieczeństwa w zakresie archiwizacji informacji
o tożsamości
• Sprawna kontrola nad przebiegami procesów migracji pracowników
• Mniejsza liczba interwencji u użytkowników (HelpDesk, ServiceDesk) ze względu
na znajomość narzędzi (Outlook, SharePoint, MS Office)
• Szybsza reakcja producenta i naprawa błędów przez Microsoft (środowisko
oparte o produkty jednego producenta: Microsoft)