Interested Article - Novell Identity Manager

Novell Identity Manager — решение для унификации управления пользователями в корпоративной сети . Identity Manager выполняет автоматическую синхронизацию учётных записей пользователей между разнородными службами каталогов и базами данных , как внутри предприятия, так и между различными предприятиями.

Identity Manager позволяет автоматически предоставлять, изменять или отзывать разрешения пользователя на доступ во всех системах в реальном времени. Это позволяет незамедлительно предоставлять новым сотрудникам доступ ко всем ресурсам, необходимым им для продуктивного выполнения поставленных задач с первого дня работы в организации. При прекращении работы сотрудника в организации его доступ к ресурсам предприятия прекращается автоматически, это значительно снижает риск утечки важной информации или вредительства со стороны бывших сотрудников.

Identity Manager позволяет снизить число паролей , которые необходимо помнить пользователям. В результате сотрудники IT-подразделений тратят меньше времени на решение проблем пользователей с паролями и получают возможность уделять больше времени стратегически важным проектам. Сотрудники могут сами изменять свои пароли через специализированный портал самообслуживания без обращения к службе поддержки . Двунаправленная синхронизация паролей позволяет пользователям менять свои пароли с использованием основных инструментов системы, в которой они работают (например, Windows), после чего Identity Manager производит синхронизацию паролей в остальных системах, с которыми должен работать пользователь. Identity Manager также предоставляет средства для реализации глобальной политики управления паролями, что способствует большему усилению защиты во всех информационных системах предприятия. Политика позволяет контролировать такие параметры, как синтаксис паролей, их свойства, время жизни, использование специальных символов и различные исключения. Identity Manager позволяет использовать как централизованное так и распределенное управление различными параметрами учётных записей. Можно назначить любую базу данных или каталог в качестве основного источника информации и определить бизнес-правила, которые контролируют результат проведения изменений в учётной записи в различных информационных системах.

Управление доступом на основе ролей

Подключаемые модули управления Identity Manager для Novell iManager вместе с Identity Designer также служат для создания политик нового типа — так называемых политик управления правами на основе ролей (Entitlements). Функция Entitlements позволяет назначать для персоны или группы критерии, при удовлетворении которых инициируется событие по предоставлению или ликвидации прав доступа к ресурсам организации в синхронизируемых системах. Это создает ещё один уровень контроля и автоматизации процесса выделения и аннулирования ресурсов. Политики на базе ролей представляют собой новый и элегантный способ управления доступом к ресурсам многих систем — на основе бизнес-требований, которые и определяют роли пользователей в организации. Например, можно создать политику Sales Entitlement, предоставляющую всем сотрудникам отдела продаж доступ к определённым сетевым службам через членство в группе eDirectory, а также права учётных записей пользователей Lotus Notes и учётных записей Active Directory с автоматической регистрацией почтового ящика в Microsoft Exchange .

В интерфейсах iManager (Role-Based Entitlements) и Identity Designer (Entitlement Wizard) доступны мастера, помогающие выполнить процесс создания основанной на ролях политики доступа, делая процесс управления правами доступа в различных системах значительно проще, чем это было когда-либо ранее.

Управление ресурсами на базе рабочих потоков, предоставление прав «методом двух рук»

Novell Identity Manager приводит в действие бизнес-правила организации, автоматизируя процесс выделения ресурсов сотрудникам таким образом, чтобы с первого дня у них был доступ ко всему, что им нужно для работы. Он связывает основные службы предприятия, такие как система учёта кадров (HR), системы электронной почты и коллективного взаимодействия, каталоги, сетевые операционной системы, решения по обеспечению безопасности и даже системы физического доступа. Все учётные записи создаются автоматически, и требования на ИТ-услуги оформляются сразу же, как только имя нового сотрудника вводится в авторитетный источник, например, в HR-систему. Но не всегда с позиции безопасности такой способ управления допустим. На любом предприятии существуют приложения и хранилища информации, так называемые «для служебного пользования», доступ к которым обязательно должен утверждаться несколькими лицами, разделяющими ответственность за предоставление права доступа. Эта задача решается модулем Workflow System Service, содержащим компоненты управления процедурами согласования, введением возможностей ручного утверждения. Такой метод выделения ресурсов можно использовать также и, например, для заказчиков, партнеров и поставщиков. Workflow System Service, работая плотно с политиками управления правами на основе ролей, предоставляет следующие возможности:

Процедуры согласования доступа

Организация прохождения запросов на доступ через заранее настроенные и контролируемые системой аудита схемы согласования. В составе Identity Manager поставляются уже готовые шаблоны согласований (последовательные с двумя, тремя,… лицами, параллельные и т. п.), что позволяет значительно ускорить процесс настройки.

Ресурсы по заказу

Описанные выше механизмы утверждения доступа могут быть использованы и при обслуживании процессов заказа ресурсов ИС. При необходимости доступа к дополнительным ресурсам ИС, пользователь имеет возможность самостоятельно из браузера выбрать необходимые ресурсы из предоставленного списка. После прохождения в Identity Manager сконфигурированных процедур согласования (с участием, например, нач. отдела, работника службы безопасности) сотрудник автоматически получает необходимые права в ИС.

Контроль процессов согласования

При прохождении запросов по цепочкам согласования Identity Manager обеспечивает интерфейсы контроля очередей запросов на предоставление доступа как от имени инициировавшего запрос, так и от имени лица, выполняющего визирование. Набор пиктограмм показывающих ход согласования однозначно даёт ответ в браузере о статусе запроса.

Оповещение

Одна из задач Workflow System Service, призванных повысить скорость и качество обработки запросов, является оповещение лиц, выполняющих визирование. Предусмотрено два варианта. Первый, обеспечивает автоматическое появление необработанных запросов на утверждения в специальном разделе Web-портала Identity Manager. Второй, обеспечивает оповещение по электронной почте. В письмо автоматически вкладывается специальный URL, переводящий контролёра в нужную точку согласования на Web-портале.

Делегирование полномочий

Во избежание заторов в цепочках согласования, вызванных неспособностью части контролёров быстро утвердить запросы на предоставления доступа (например, из-за неожиданной командировки, болезни и т. п.), существует возможность контролёру самостоятельно делегировать свои права визирования другим лицам (режим Proxy, или другими словами «И. О.»). Данная процедура контролируется системой аудита. Также существует возможность инициирования процесса делегирования части полномочий. Что может быть полезным, например, при необходимости руководителю перераспределения функциональных обязанностей в коллективе. Инициирование в системе такого процесса заставит Identity Manager перенести набор прав доступа от одного работника к другому с оповещение на Web-портале.

Автоматическое удаление/блокирование учётных записей (что гораздо критичнее, чем регистрация) позволяет удалять все (или определённые) копии электронной персоны, внеся изменение в единственном месте и немедленно отменив любые привилегии доступа, как только прекращаются отношения с данным работником. Это значительно уменьшает риски, предотвращая возможность доступа бывших работников, партнеров и других контрагентов к информации, а также экономит средства, исключая продолжение использования домашних каналов доступа в интернет, удалённых доступов в сеть и других корпоративных ресурсов.

Инструментарий управления, проектирования и использования

Novell iManager

Novell iManager — общий для eDirectory и Identity Manager Web-инструментарий управления содержимым каталога и его отображением. iManager обеспечивает системных администраторов комплексным представлением всех ресурсов сети (в том числе и синхронизируемых при помощи Identity Manager приложений) и связей с использованием обычного Web-браузера, а также предоставляет ряд дополнительных инструментов мониторинга, диагностики и управления. Задачи управления можно делегировать, что позволяет легче администрировать территориально распределенную сеть. Ядро iManager базируется на технологии сервлетов и использует в качестве сервера приложений Tomcat, а Web-сервера — Apache. Использование таких популярных Open Source решений, позволяет iManager функционировать на множестве платформ: Novell Open Enterprise Server , , NetWare , Windows2000 / 2003 Server , Windows2000/ XP , Red Hat , Solaris , HP-UX . Преимуществами iManager по сравнению с другими инструментами (как от Novell, например, ConsoleOne/Nwadmin, так и от третьих компаний) является:

  • Клиентонезависимость (Microsoft Windows, Linux и др.).
  • Поддержка популярных браузеров.
  • Ролевое администрирование.
  • Централизованное управление большинством решений Novell (включая Identity Manager) и некоторыми популярными свободными решениями (например, Samba, Apache ).
  • Гибкость в настройке.
  • Единое средство как для разработки проекта, таки и для администрирования.

Identity Designer

Основанный на структуре Eclipse, Identity Designer позволяет визуально отобразить всю схему управления электронными персонами, а затем управлять её конфигурацией. Designer также может конфигурировать клиентскую часть пользовательского Web-портала Identity Manager, основанного на технологии портлетов, позволяя не только изменять внешний вид каждого из них, но и модифицировать каждый портлет на уровне полей. Более того, Designer позволяет решать большую часть задач по конфигурированию в режиме имитатора. Это означает, что вы можете создать или импортировать существующий проект системы управления электронными персонами и проиграть его в режиме «что-если», меняя параметры настройки. После успешной проверки, проект экспортируется в «живую» базу службы eDirectory. Мощные визуальные редакторы, минимум всплывающих окон и хорошо синхронизированные представления, гарантируют максимальную производительность труда при разработке проекта. Чтобы полностью использовать все возможности этого инструмента, не обязательно быть разработчиком или программистом. Мастера делают этот инструмент простым в изучении и использовании при создании решений для управления идентификационными данными. Опытные пользователи могут обойти эти мастера и работать напрямую с любым уровнем детализации.

Полезными будут также возможности Identity Designer автоматически генерировать документацию по разработанному проекту, функционировать на рабочих станциях как под управлением ОС Microsoft Windows *, так и Linux, наличие подробной справочной системы.

Поддержка различными системами

Identity Manager поддерживает большое количество драйверов для подключения к различным системам, среди которых:

Доступны дополнительные драйверы для PeopleSoft и JDBC-совместимых баз данных:

  • IBM DB2 Universal Database (UDB) 7.2 или выше
  • IBM DB2 Universal Database (UDB) 8.2 или выше
  • Informix Dynamic Server (IDS) 9.40 или выше
  • Microsoft SQL Server 8 (2000) Service Pack 3a или выше
  • Microsoft SQL Server 7.5 Service Pack 4 или выше
  • MySQL 4.1.6 или выше
  • Oracle 8i Release 3 (8.1.7)
  • Oracle 9i Release 2 (9.2.0.1) или выше
  • Oracle 10g
  • PostgreSQL 7.0.6 или выше
  • Sybase Adaptive Server Enterprise (ASE) 12.5 или выше)

а также драйверы для Mainframe типа RACF, ACF2, Top Secret (для OS/390 и z/OS). Identity Manager также поддерживает возможность создания нестандартных драйверов.

Ссылки

Источник —

Same as Novell Identity Manager