4/5/2017 1:42 PM Egységes felhasználói adatkezelés a Forefront Identity Manager segítségével Szirtes István szirtesi@szirtes.com ügyvezető, SCOM MVP, vezető.

Az előadások a következő témára: "4/5/2017 1:42 PM Egységes felhasználói adatkezelés a Forefront Identity Manager segítségével Szirtes István szirtesi@szirtes.com ügyvezető, SCOM MVP, vezető."— Előadás másolata:

1 4/5/2017 1:42 PM Egységes felhasználói adatkezelés a Forefront Identity Manager segítségével Szirtes István ügyvezető, SCOM MVP, vezető oktató SZIRTES TECHNOLOGIES Oktatóközpont © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2 Tartalom FIM 2010 áttekintése
4/5/2017 1:42 PM Tartalom FIM 2010 áttekintése Felhasználói fiókok önkiszolgáló létrehozása Automatizált csoport-adminisztrációs folyamatok Felhasználó általi jelszó „kiütés” © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

3 Azonosság- és hozzáféréskezelési feladatok
Szabályok kezelése Létrehozás Felhatalmazások Szabályok kikényszerítése Jóváhagyások és értesítések Naplózási feladatok Felhasználói fiók elkészítése Jogosultságok kiosztása Erőforrások létrehozása How do customers think about IDA management? What are the scenarios they are solving for? The lifecycle of identities, credentials and access from hire to retire… Customers are asking us for comprehensive solutions that span identities, credentials, and resources across the enterprise. Szerepkörváltozás Jelszó és PIN csere Hozzáférés kérés Frissítés Azonosítók visszavonása Hozzáférések visszavonása Erőforrások megszűntetése Visszavonás

4 Mindennapi IT problémák
Felhasználó Telefonál a helpdesk-nek a jelszó és hozzáférés problémáival kapcsolatban Hosszú ideig vár az igényelt jogosultságra Várakozik, amíg az IT alkalmazza az üzleti szabályzatokat Üzemeltető Bonyolult a szerteágazó jogosultság-kezelés Sok feladata átfedésben van a Helpdesk feladataival Manuálisan konfigurálja a felhasználókat és a hozzáféréseiket Magas komplexitás Nem megfelelő személyek Magas költségek Fejlesztő Bonyolult feladat a heterogén rendszerek közötti átjárhatóság biztosítása Objektumkezelés, változások replikálása Eltérő rendszerek közötti hitelesítés

5 A Forefront Identity Manager áttekintése
A FIM egy szabályokra épülő megoldás, mellyel az azonosság- és hozzáféréskezelés, illetve az erőforrások adminisztrációja egy heterogén rendszerben is könnyedén megoldható Felhasználók felhatalmazása A gyakori felhasználói funkciókkal kapcsolatos adminisztrációs feladatok delegálhatóak A FIM a felhasználók által megszokott eszközökkel integrálódik Növeli a gyorsaságot és a hatékonyságot Költségek csökkentése az automatizációval és az önkiszolgáló funkciókkal A jól ismert fejlesztői eszközökkel integrálódik Növeli a biztonságot és a megfelelőséget Gazdag jogosultság delegációs képességek Naplózható és nyomonkövethető események

6 A FIM legfontosabb képességei
Egységes SharePoint alapú konzol a konfigurációhoz és a végfelhasználói funkciókhoz egyaránt Kiterjeszthető WS– * API-k és Windows Workflow Foundation workflows segítségével Felügyelet Heterogén tanúsítványkezelés a Windows és 3rd party CA-k támogatásával Önkiszolgáló jelszócsere funkció a Windows Logon felülettel integrálva Heterogén rendszerben is működő azonosság- és jelszó szinkronizáció Azonosság- kezelés Beépített eszközök a hozzáférések, erőforrások és felhasználói profilok előkészítéséhez Automatikus és kódmentes felhasználói fiók előkészítés- és eltávolítás Önkiszolgáló profil-adminisztráció Felhasználói adminisztráció Csoportok használata Gazdag, Office alapú csoport-adminisztrációs eszközök Kapcsolat nélküli jóváhagyás az Outlook segítségével Automatikus csoport és terjesztési lista frissítések

7 „Metaverzum” és az adatáramlás
Change Requests Approvals FIM 2010 Application Data Sources System of Record Data Sources Portal and Service Active Directory Portal Policy Application Workflow Database Synchronization Service Database Database Application Metaverse Other DS CA Certificate Lifecycle Mgmt. Application

8 <Vortragstitel>
FIM architektúrája Önkiszolgáló eszközök Munkafolyamat Infopath, Mail WebPart AuthN/ AuthZ Központi adattár FIM portál FIM portál Szervezeti struktúra Web szolgáltatások FIM Work-flow motor Admin portál Szerepkör tulajdonos Webes felügyelet Munkafolyamatok és szabályok az automatizált adminisztrációhoz Jelszó szinkronizáció a FIM-en keresztül Jelszócsere a FIM-en keresztül Szerepkör alapú jogosultságkezelés Folyamatok naplózása és jelentések Munkafolyamatokkal és jelentésekkel integrált tanúsítványkezelés SCCM, SCOM és SCSM integráció Partner felügyeleti - Naplózás / Jelentések Sync Engine FIM 2010 Felügyelt Smartcard-ok FIM beépített ügynökök SAP/HR ERP systems FIM MA Monitor Projektziele Kostensenkung / Prozessoptimierung / Kundenzufriedenheit Durch Provisioning von Benutzern und Berechtigungen im Rahmen des „User LifeCycle Managements“ entfallen redundante Administrationsarbeiten zur Bearbeitung von Benutzern, deren Berechtigungen und sonstigen Benutzerattributen. Insbesondere bei Massenänderungen bedingt durch organisatorische oder geographische Veränderungen, ist damit eine deutliche Reduzierung zu erzielen. Eine wesentliche Erhöhung der Produktivität wird erst durch das Zurückschreiben / Synchronisieren von Benutzerinformationen erreicht, so dass mindestens ein Single Log On („single username / single password“) für alle angebundenen Systeme gewährleistet werden kann. Die Erhöhung der Produktivität wird ebenfalls durch das schnellere Finden von Informationen über „Identities“ in hoher Datenqualität erreicht. Mit geeigneten Prozessen kann durch das Provisioning von Benutzern und Berechtigungen im Rahmen eines „User LifeCycle Managements“ der Zugriff auf IT-Systeme detailliert zeit- und zweckgebunden erfolgen. Erhöhung der Sicherheit Die Sicherheit der gesamten IT wird im Wesentlichen dadurch erhöht, dass durch eine eindeutige Speicherung von „Identities“ mit hoher Datenqualität und durch begleitende Prozesse inaktive und falsch zugeordnete „Identities“ in den lokalen Systemen identifiziert und entsprechend bearbeitet werden können. Durch die implementierten Standard Regelwerke im Identity & Access Management System können ebenso nicht aktive Accounts identifiziert und deaktiviert werden (z.B. letzte AD Anmeldung). Das zur Verfügungsstellen von konsolidierten Identity Informationen bietet Anwendungen die Möglichkeit, nur zweckgebunden Zugriff und Rechte für Benutzer zu vergeben. Integration von Applikationen Der zentrale Verzeichnisdienst (ADAM) bietet eine optimale und schnelle Integration von auf LDAP basierenden Applikationen. Das Schema ist einfach anpassbar an die jeweiligen Anforderungen der auf den Service zugreifenden Applikationen. Felügyelt gépek Névgenerálási szolgáltatás ügynökök Codeless Provisioning PCNS Web Telefon Anlagen Partner modulok a FIM-hez Unix, AS400 SharePoint Active Directory SQL/Oracle III. Architects Forum im Kempinski Airport Hotel, München

9 FIM és SCOM Integráció

10 SCOM felügyeleti csomag a FIM-hez
A FIM egészségi állapotával kapcsolatos események és teljesítmény adatok begyűjtéséhez Komponens Monitorok száma Események száma FIM Service 9 8 FIM Portal 11 10 FIM Sync 7 6 FIM CM

11 Verziók Identity Synchronization Office Integration for Self-Service
User Management Group Management Common Platform Workflow Connectors Logging Web Service API Synchronization Credential Management Policy Management Identity Synchronization User Provisioning Certificate and Smartcard Management Office Integration for Self-Service Support for 3rd Party CAs Codeless Provisioning Group & DL Management Workflow and Policy 11

12 FIM szinkronizációs ügynökök (Management Agents)
<Vortragstitel> FIM szinkronizációs ügynökök (Management Agents) Active Directory® Windows 2000/2003/2008, Exchange 2000/2003/2007 Active Directory Application Mode (ADAM) (R2) Global Address List (GAL) Synch— Exchange 2000 / 2003 / 2007 Netscape/iPlanet/Sun ONE Directory IBM DB2 Universal Database (Windows vagy Linux platformon) IBM Directory Server (> 4.x) SQL Server™— (2000/2005/2008) Oracle adatbázis-kezelők— támogatott verziók: 8i, 9i, 10, 10g Directory Services Markup Language (DSML)— DSML version 2.0 LDAP Interchange Format (LDIF) / De-Limited Text, Attribute-Value Pair Text; Open-LDAP Lotus Notes— támogatott verziók 4.6, 5.0, 6.0, 7.x Novell eDirectory— támogatott > 8.6.x RACF, TS, ACF alapú rendszerek CLM Microsoft SAP HR + SAP R3 > V4.7 Political issues often prevent the aggregation of an organization’s identity information, even though such consolidation is technically possible. Certain departments, such as Human Resources, maintain a strong ownership of their data. Although ownership of data is not an issue when directories remain separate, retaining ownership when data is synchronized among multiple directories becomes more challenging. When changes occur in directories, data must not become corrupt or out of synchronization between directories. A metadirectory solution must be able to maintain ownership relationships by enabling you to apply rules that enforce ownership at the attribute level. In this example, a change in the title in the directory is NOT propagated. So: Ownership relationships can be enforced at the attribute level. Changes can be allowed, blocked or reversed, depending on whether the change to data is consistent with the ownership rules. Departments can maintain ownership even when their directory is synchronized with others Political issues can be ameliorated. Note that a metadirectory also supports attributes that have no defined ownership, thereby allowing anyone to modify the data. Az ‘ügynök’ csak a FIM szerveren fut – nem a cél rendszeren III. Architects Forum im Kempinski Airport Hotel, München

13 Partnerek által fejlesztett szinkronziációs ügynökök
<Vortragstitel> Partnerek által fejlesztett szinkronziációs ügynökök SAP ügynök a: HR; CUA; UM; OM, PDORG; Workflow integration támogatásához RACF támogatás LDAP-on keresztül DB2 támogatás az IBM API használatával Unix rendszerek (VMS, HPUX, SUN, Linux, SCO, stb.) További HR rendszerek (pl. Peoplesoft, Paisy, stb.) Telefon rendszerek (Alcatel, HICOM, AVAYA, stb.) SharePoint, BizTalk Live ID, Office Live Centrify/Omada OIM/Quest-VAS/Völcker AE RSA SecurID LDAP rendszerek, pl. Siemens DirX, CP, Syntegra, stb. Oracle felhasználók és szerepkörök támogatása És még legalább 50 további szinkronizációs ügynök Political issues often prevent the aggregation of an organization’s identity information, even though such consolidation is technically possible. Certain departments, such as Human Resources, maintain a strong ownership of their data. Although ownership of data is not an issue when directories remain separate, retaining ownership when data is synchronized among multiple directories becomes more challenging. When changes occur in directories, data must not become corrupt or out of synchronization between directories. A metadirectory solution must be able to maintain ownership relationships by enabling you to apply rules that enforce ownership at the attribute level. In this example, a change in the title in the directory is NOT propagated. So: Ownership relationships can be enforced at the attribute level. Changes can be allowed, blocked or reversed, depending on whether the change to data is consistent with the ownership rules. Departments can maintain ownership even when their directory is synchronized with others Political issues can be ameliorated. Note that a metadirectory also supports attributes that have no defined ownership, thereby allowing anyone to modify the data. III. Architects Forum im Kempinski Airport Hotel, München

14 Metacímtárak közötti szinkronizáció beállítása
4/5/2017 1:42 PM Metacímtárak közötti szinkronizáció beállítása demó © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

15 Credential Management Biztonsági és terjesztési csoportok kezelése
Rutin feladatok delegálása Azonosság-kezelés Credential Management Csoportkezelés Önkiszolgáló jelszócsere Biztonsági és terjesztési csoportok kezelése A felhasználó az elfelejtett jelszavát a Windows bejelentkezési képernyőn keresztül könnyedén, és önállóan kicserélheti Csoport létrehozása Csoporthoz csatlakozás Csoport elhagyása Tagok felvétele Tagok törlése

16 Önkiszolgáló felhasználói fiók előkészítés
Felhasználó felettese Jóváhagyó Kérés beérkezése Kérés lezárása, amikor a jóváhagyás megtörtént Új felhasználó létrehozási kérés Jóváhagyás FIM SCSM Háttér rendszerek Üzenetkezelés Felhasználó és jogosultság A kérés és jóváhagyás archiválása a későbbi jelentésekhez Csoportmunka Szoftver terítés AD Hozzáférés vezérlés Adattárház LOB alkalmazások

17 FIM csoportkezelése A FIM az alábbi területeken nyújt segítséget a csoportok kezelésében Biztonsági és terjesztési csoportok egyaránt létrehozhatóak a portál felületen keresztül Csoportok taglistája szerkeszthető A csoportok taglistájára a felhasználók is feliratkozhatnak és akár el is hagyhatják azt A csoportok számos attribútuma alapján kereshetünk Kontrollált folyamatok az elvégzett funkciók rögzítésre által A kérés állapotát maga a kérő és a tulajdonos is láthatja A csoportok mellé társtulajdonosokat is kijelölhetünk A biztonsági és a terjesztési csoportok egyaránt lehetnek címmel ellátott univerzális csoportok Mindezen funkciók könnyedén, a FIM portálon keresztül is elérhetőek!

18 Csoportok adminisztrációja

19 Outlook integráció A FIM kliens komponens része az Outlook kiegészítő modul Segítségével a felhasználó, akár a offline módon is kezelheti a csoporttagságait, dönthet az általa kezelt csoportok tagjairól… … a többit a háttérben a FIM Service felhasználónak küldött levelek alapján a rendszer megoldja

20 Csoportok adminisztrációja
4/5/2017 1:42 PM Csoportok adminisztrációja demó © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

21 Integrált jelszó „kiütés”
Felhasználói jelszócsere AD AD adatszinkron jelszócsere FIM Felhasználó Bejelentkezéssel egybekötött jelszócsere Segítséggel elvégzett jelszócsere AD adat import Help Desk hívás Változás-kérelem DW Offline jelentések Felhasználó System Center Service Manager

22 Password Reset végfelhasználói szemmel
4/5/2017 1:42 PM Password Reset végfelhasználói szemmel demó © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

23 Windows 7 | Presenter Mode
Wednesday, April 05, 2017 Microsoft Confidential