Vienotas IT infrastruktūras izveide ar Microsoft

Forefront Identity Manager

Pēteris ErvaldsInfrastruktūras projektu grupas vadītājs02.11.2011

Ievads / Aptauja

• Cik no Jums ir dzirdējuši par ForeFront Identity Manager?– 50 %

• Kurš pašreiz lieto ForeFront Identity Manager?– 0% ?

Identitātes pārvaldība

• Nodrošina personu identificēšanu sistēmās un saistītās informācijas uzturēšanu

• Konteksts ar piekļuves pārvaldību (Identity and Access Management)

• Sistēma datu plūsmu starp dažādiem datu avotiem (resursu direktorijas, datubāzes, biznesa aplikācijas) koordinēšanai

Identitātes pārvaldības izaicinājumi

• Administratoriem:– Daudz sistēmu, kurās nepieciešams pārvaldīt kontus– Daudz pieprasījumu kontu pārvaldībai

• Lietotājiem:– Daudz dažādu paroļu– Piekļuves izveidošana var tikt aizkavēta

• Drošības administratoriem:– Neaktīvi konti– Tiesību kontrole

• Dažādi kontu atribūti dažādās sistēmās

ForeFront Identity Manager 2010

FIM komponentes

• FIM sinhronizācijas serviss• Datu avoti• Aģenti• FIM portāls• FIM klienti

Pieejamie FIM aģenti

• Datubāzes: SQL Server, Oracle, IBM DB2• Active Directory: Domain Services, GAL Sync, AD LDS;• Citas direktorijas: IBM Directory Server, Lotus Notes, Novell

eDirectory, Sun un Netscape Directory Server• Failu aģenti, kas atpazīst AVP, LDIF, DSML, CSV, u.c. tipu

failus• Partneru aģenti. SAP, Dynamics Ax u.c.• Iespēja pašiem veidot aģentus

Lietotāju pārvaldība

VārdsDarbinieka ID

AmatsTelefona Nr.

Jānis Bērziņš

MetadirectoryConnector Space Metaverse

Personālvadības sistēma

Resursu direktorija

Biznesa aplikācija

VārdsDarbinieka ID

AmatsTelefona Nr.

Jānis Bērziņš

2

VārdsDarbinieka ID

AmatsTelefona Nr.

Jānis Bērziņš

1

4 3

VārdsDarbinieka ID

AmatsTelefona Nr.

Jānis Bērziņš 56

VārdsDarbinieka ID

AmatsTelefona Nr.

Jānis Bērziņš

VārdsDarbinieka ID

AmatsTelefona Nr.

Jānis Bērziņš

VārdsDarbinieka ID

AmatsTelefona Nr.

Jānis Bērziņš

VārdsDarbinieka ID

AmatsTelefona Nr.

Pēteris BērziņšVārds

Darbinieka IDAmats

Telefona Nr.

Jānis Bērziņš

Self-Service password reset

Grupu pārvaldība

• Grupu tipi:– Manuālas - grupas locekļus var pievienot, izmantojot FIM portālu vai

Outlook– Grupas, kas veidotas, par pamatu ņemot vadītāju (manager-based)– Grupas, kas veidotas, balstoties uz noteiktiem kritērijiem (criteria-

based)

• Integrācija ar AD

Politiku pārvaldība

• Tiesību kontrole• Darbaplūsmu (workflow) izpilde:

– Autentifikācijas darbaplūsmas– Autorizācijas darbaplūsmas– Darbības (action) darbaplūsmas

FIM darbībā – Rīgas skolu piemērs

• Sākuma situācijas raksturojums:– Skolotāji un skolēni: ~170 000 !!!– Skolas: ~160 – Darbstacijas skolas: ~8000– Personāla datubāze (skolotāji, skolēni)– Vienots tīkls– Nav centralizētas pārvaldības

FIM darbībā – Rīgas skolu piemērs

• Pēc FIM ieviešanas:– Katram skolēnam un skolotājam savs AD konts – Katram skolēnam un skolotājam no jebkuras vietas pieejama sava e-

pasta pastkaste Microsoft mākoņskaitļošanas pakalpojumā izglītības iestādēm - Live@EDU

– Katram skolēnam un skolotājam sava failu glabātuve, kas pieejama no jebkuras skolas jebkura datora

– Centralizēti kontrolējami skolu datori

Rīgas skolu infrastruktūra

Forefront Identity Manager licenču cenas

• FIM Servera licence – no 3130 LVL bez PVN gadā• FIM klienta licence (CAL) – no 4,20 LVL bez PVN gadā

DPA piedāvājums identitātes pārvaldības optimizācijai:

• Esošās situācijas audits ar rekomendācijām• FIM arhitektūras plānošana un ieviešana atbilstoši ražotāja

rekomendācijām un labajai praksei• FIM politiku plānošana, uzstādīšana, konfigurēšana un

uzturēšana atbilstoši Jūsu biznesa prasībām

PĒTERIS ERVALDSPaldies par uzmanību