Системным администраторам неизменно приходится решать задачу создания новых пользовательских учетных записей. При поступлении на работу нового сотрудника они готовят процедуры регистрации для различных систем, таких как Active Directory (AD), Microsoft Exchange Server и SQL Server. Не менее важный процесс удаления учетных записей сотрудников, покинувших компанию, часто выявляет несогласованность между работой отдела кадров и ИТ-подразделения. Нередко системный администратор лишь случайно узнает, что некий сотрудник из юридического отдела уволился три месяца назад, но по-прежнему имеет доступ в сеть компании.

Благодаря Identity Lifecycle Manager (ILM) 2 конечные пользователи могут решать задачи, традиционно выполняемые специалистами по ИТ, в частности менять пароли и создавать либо удалять учетные записи групп и пользователей. Программа обеспечивает поток операций на основе SharePoint, в котором пользователи могут выполнять простые задачи в рамках правил политики управления, определенной в ILM. Для осуществления аудита сведения об ответственных лицах и времени выполнения действий отражаются в журнале.

Принципы работы ILM

ILM 2 — сложный продукт, состоящий из четырех основных компонентов: службы синхронизации ILM Synchronization Service (в прошлом известной как Microsoft Identity and Integration Server), совместимой с SQL Server 2008; ILM Portal, веб-портала на основе SharePoint для доступа пользователей и администраторов; ILM Client Components для интеграции с Outlook и Windows; веб-службы ILM Service для взаимодействия между Synchronization Service и ILM Portal.

Synchronization Service — центральный компонент ILM; его назначение заключается в синхронизации объектов между службами каталогов, такими как AD и Novell, в центральной базе данных, именуемой metaverse. Объекты в metaverse синхронизируются через пространства коннектора, и после обработки в ILM их можно синхронизировать с исходной службой каталогов или другим каталогом. Например, с помощью ILM можно синхронизировать пароли для объектов пользователя между службами каталогов AD и Novell, упрощая процесс регистрации для пользователей. Единый пароль для доступа ко всем системам удобен, но не всегда приемлем в среде с высокими требованиями к безопасности. ILM располагает пространствами коннектора для баз данных AD, SAP, Novell, Lotus Notes, Exchange, SQL Server и Oracle (и это не полный список).

Самое важное новшество ILM 2 — ILM Portal, обеспечивающий доступ ко всем основным функциям продукта, в том числе инструментам самостоятельной идентификации и управления группами, через веб-интерфейс как для системных администраторов, так и для конечных пользователей. Через ILM Portal можно генерировать учетные записи пользователей и групп, создавать потоки операций и изменять политики. Все изменения предоставляются в службу ILM Service, из которой запросы поступают в службу ILM Synchronization Service для обновления metaverse.

Клиентские компоненты ILM интегрированы с Microsoft Outlook с целью предоставить инструментарий управления группами, в том числе обработку членства в отключенных группах и запросов на утверждение. Клиент ILM интегрирован с процедурой регистрации Windows и предоставляет шлюз проверки подлинности на случай, если пользователям потребуется сменить забытый пароль. Администраторы могут менять данные сотрудников через ILM Portal. Затем эта информация передается службой ILM Service в службу Synchronization Service, которая обновляет соответствующие каталоги. Служба Synchronization Service обнаруживает новые записи и вносит необходимые изменения в каталог.

Установка ILM и клиентских компонентов

Системные требования каждого из серверных компонентов ILM слегка различаются. Для установки всех компонентов на одном сервере требуется 64-разрядная версия Windows Server 2008 (выпуск Standard или Enterprise), 64-разрядная версия SQL Server 2008 (Standard или Enterprise), Internet Information Services 7 (IIS), .NET Framework 3.0 или 3.5 SP1 и Windows SharePoint Services 3.0 SP1. На сервере должно быть по крайней мере 2 Гбайт свободного пространства на жестком диске и 2 Гбайт оперативной памяти. Клиентские компоненты совместимы с Windows XP Professional SP3 и Windows Vista Enterprise SP1 (32- и 64-разрядными версиями), а также с Outlook 2007. Для клиентов еще необходима среда .NET Framework 3.5 SP1.

ILM в действии — самостоятельная смена паролей

Важное новшество ILM 2 — предоставляемая пользователям возможность переназначать забытые пароли, запрашиваемые процедурой регистрации Windows. Администраторы могут организовать один или несколько шлюзов проверки подлинности, где пользователи должны ответить на ряд заранее определенных вопросов, прежде чем смогут сбросить свой пароль и перейти к следующему шлюзу.

Одним из условий прохождения шлюза может быть предъявление смарт-карты. При первой регистрации пользователя просят зарегистрироваться в системе самостоятельного управления паролем, ответив на вопросы, подготовленные администратором.

Пользователей можно разделить на категории, чтобы имеющие доступ к конфиденциальной информации проходили через большее количество шлюзов проверки подлинности. Функцию смены паролей при регистрации можно отменить и организовать эту процедуру через веб-интерфейс.

Управление удостоверениями для пользователей

ILM Portal можно настроить для доступа разных категорий пользователей к таким функциям, как управление членством в списках рассылки, внутренними телефонными номерами или номерами офисов (см. экран 1). Возможность управлять группами безопасности или списками рассылки через ILM Portal — естественное расширение системы SharePoint, уже знакомой многим пользователям.

Экран 1. Главный экран ILM

Помимо возможности самостоятельной смены пароля, клиентские компоненты ILM интегрированы с Outlook и располагают знакомым интерфейсом для управления членством в списках рассылки. Запрос членства в списке рассылки посылается из меню Groups в правом верхнем углу Outlook. Запросы обрабатываются с помощью форм Outlook, в которых пользователи могут искать группы с использованием стандартных диалоговых окон Outlook. Владельцы групп также управляют утверждениями по электронной почте, участвуя в голосовании кнопками «принять/отказать», как показано на экране 2.

Экран 2. Утверждение с использованием электронной почты

ILM для системных администраторов — подготовка пользователей и групп

Объекты пользователей формируются в подключенных каталогах через ILM Portal с помощью простого мастера, в котором администраторы могут указывать такие данные о сотрудниках, как даты начала и конца работы и кто руководитель. Пользователи автоматически добавляются в соответствующие группы в подключенных каталогах на основе информации (в частности, о подразделении и статусе), введенной при создании нового пользователя. Рассмотрим процесс формирования группы безопасности с динамическим членством. Для начала следует зарегистрироваться на сервере ILM в качестве администратора.

  1. Откройте ILM Portal в Internet Explorer (http:///identity management, заменив именем сервера ILM).
  2. Щелкните Security Groups на панели навигации, а затем New на странице All Groups.
  3. На вкладке Basic Info назначьте группе отображаемое имя и имя учетной записи. Выберите Calculated в разделе Selection of Members и нажмите кнопку Next.
  4. Выберите Object ID на вкладке Members и пункт Department в меню.
  5. Укажите выбранное значение и введите имя подразделения, например «Финансы», как показано на экране 3. Нажмите кнопку Next для продолжения.
  6. Оставьте поле Expiration Time пустым и нажмите Next.
  7. Оставьте администратора владельцем группы и нажмите кнопку Next.
  8. Посмотрите настройки на вкладке Summary и нажмите кнопку Submit, завершая процесс.

Членство в группах может быть и статическим, при этом запросы присоединения обрабатываются и утверждаются через ILM Portal. Удаление также выполняется через портал, и можно создать потоки операций для удаления объектов пользователей из нескольких каталогов одним щелчком мыши.

Экран 3. Создание учетных записей пользователей по подразделениям

Компоненты ILM Portal

Прежде чем задействовать все возможности ILM, необходимо познакомиться с компонентами и концепциями ILM. Наборы представляют собой коллекции объектов, которые синхронизированы из подключенного каталога и могут динамически формироваться на основе информации об атрибутах, хранящейся с объектами в базе данных metaverse. На экране 4 показан набор, именуемый _Security Group Administrators, содержащий сотрудников с атрибутом подразделения Support.

Экран 4. Набор _Security Group Administrators

Кроме того, в наборах можно динамически группировать элементы интерфейса пользователя ILM Portal на основе ключевых слов. На экране 5 показан набор с именем All Basic Home Page Configurations для объектов интерфейса пользователя, в котором ключевое слово определено как BasicUI.

Экран 5. Набор All Basic Home Page Configurations

Потоки операций определяются, чтобы обеспечить проверку подлинности (шлюзы проверки подлинности, авторизацию путем проверки членства в группах или обязательное утверждение) или действие, например оповещение по электронной почте или смену пароля. С помощью мастеров в ILM Portal можно подготовить простые потоки операций (этот процесс известен как «бескодовая подготовка» — codeless provisioning).

Политики управления используются для запуска потоков операций и управления кругом лиц и правами их доступа в ILM Portal. Например, если пользователь попытается создать новую учетную запись через ILM Portal, политика управления запустит соответствующий поток операций.

Политика управления может предоставить набору, именуемому Administrators, разрешения на чтение для другого набора, именуемого All Objects.

Создание потока операций для подготовки объекта нового пользователя

С помощью системы бескодовой подготовки ILM можно строить простые потоки операций для управления учетными данными в подключенных каталогах. Далее будет описано создание потока операций, который позволяет пользователям с соответствующими разрешениями в ILM Portal подготовить объект пользователя. В ILM Portal предусмотрены готовые потоки операций и политики для создания учетных записей пользователей в AD, поэтому описанные ниже шаги должны дать более точное представление о работе ILM и способах создания объекта пользователя в службе каталогов, отличной от Windows. В первую очередь следует зарегистрироваться на сервере ILM в качестве администратора.

  1. Откройте ILM Portal в Internet Explorer (http:///identity management, заменив именем ILM-сервера).
  2. Щелкните Workflows в разделе Management Policies на панели навигации слева.
  3. Щелкните New на странице All Workflows.
  4. На вкладке Basic Information назовите поток операций Create User; в разделе Workflow Action выберите Action и нажмите кнопку Next.
  5. Выберите Password Reset Activity и нажмите Select.
  6. Примите выбранный по умолчанию произвольный пароль, нажав кнопку Save.
  7. В разделе Password Reset Activity щелкните Add Activity.
  8. Выберите Synchronization Rule Activity из Activity Picker и нажмите кнопку Select.
  9. Выберите_AD Inbound Sync Rule for Users, оставив для Action Selection значение Add и нажмите кнопку Save.
  10. Под Add the target resource to Synchronization Rule щелкните Add Activity. Выберите Notification из Activity Picker и нажмите кнопку Select.
  11. В поле Recipients введите administrator. Щелкните мышью на значке Browse справа от поля Email Template и выберите соответствующий шаблон из списка. Нажмите кнопку Save, чтобы продолжить.
  12. Таким образом, действие для этого потока операций определено. Нажмите кнопку Next внизу страницы Create Workflow. Итоговая картина должна быть примерно такой, как показано на экране 6.
  13. На вкладке Summary нажмите кнопку Submit, чтобы завершить подготовку потока операций.

Экран 6. Страница Create Workflow

После того как поток операций создан, нужно определить политику управления для запуска потока операций.

  1. Щелкните Management Policies на панели навигации на главной странице ILM.
  2. Щелкните New на странице Management Policies. Дайте политике имя на вкладке General Information и нажмите кнопку Next.
  3. Введите Administrators в поле Specific Set of Requestors и щелкните на пиктограмме Check Names справа. Выберите пункт Administrators из раскрывающегося меню, чтобы подтвердить выбор, и текст должен оказаться подчеркнутым.
  4. Выберите Create resource в разделе Operation и нажмите кнопку Next.
  5. В поле Specific Set of Objects введите All People и щелкните на пиктограмме Check Names справа. Нажмите кнопку Next, чтобы продолжить.
  6. Прокрутите экран до Action на вкладке Policy Workflows и отметьте Create User. Возможно, потребуется прокрутить несколько страниц, чтобы найти нужную политику. Поток операций Create User должен находиться под Selected Objects. Нажмите кнопку Next, чтобы продолжить.
  7. Проверьте данные на вкладке Summary и нажмите кнопку Submit.

Политика управления и поток операций подготовлены. Новые объекты пользователей, созданные с помощью ILM Portal, должны помещаться в базу данных metaverse и синхронизироваться с указанным каталогом.

Полезный, но сложный инструмент

Среди улучшений ILM 2 по сравнению с ILM 2007 — интегрированный веб-портал и объединение самостоятельной смены пароля с процедурой регистрации Windows. Система бескодовой подготовки, реализованная в портале, — хорошее дополнение, но ее функциональность недостаточна для создания потоков операций для Exchange и SQL Server, двух основных продуктов Windows для большинства компаний. Это несколько снижает целесообразность использования ILM. Нельзя даже изменить встроенный поток операций для создания объектов пользователей AD, так как отсутствует поддержка Exchange в системе бескодовой подготовки. Таким образом, чтобы с пользой применить ILM 2, необходимо, как и в предшествующих версиях ILM, подготовить программный код VB.NET или C#.NET.

Другой продукт, Identity and Integration Feature Pack (IIFP), бесплатно загружаемый с сайта Microsoft, располагает подмножеством функций Microsoft Identity Integration Server (MIIS), ориентированных на синхронизацию объектов между лесами AD для упрощения миграции Exchange. Это гораздо удобней для тех компаний, чьи нужды ограничиваются лишь такими действиями.

Простые потоки операций, заранее заготовленные в ILM, вероятно, будут полезны, но, чтобы применение ILM в компании было эффективным, необходимы специалисты с глубоким пониманием подключенных каталогов и компонентов сервера ILM. Кроме того, при использовании ILM повышается уровень сложности среды, а это может перевесить преимущества, если компании приходится решать сложные задачи, не имея квалифицированных специалистов.

Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF