Resolvendo Todos Os Problemas Do Windows E Outros Programas

Prática com o Microsoft Forefront Identity Manager 2010

O gerenciamento de identidade é a ruína da existência de muitos administradores de TI. Os funcionários vêm e vão. Trabalhadores de empresas parceiras precisam de acesso à rede de forma segura, mas com tempo limitado. Os usuários esquecem suas senhas e perdem seus smartcards. E novos serviços ficam online o tempo todo. É uma maravilha que alguém consiga fazer qualquer coisa.

Há algum tempo existem ferramentas disponíveis que pretendem gerenciar o ciclo de vida total da identidade do usuário - desde a contratação e a primeira autorização para o uso de novos aplicativos até a suspensão, rescisão ou separação - tudo em um único sistema. A entrada da Microsoft neste mercado, o Forefront Identity Manager 2010, mostra-se como um produto capaz com algumas desvantagens.



O Forefront Identity Manager 2010, ou FIM, depende de alguns recursos para se diferenciar dos concorrentes: Ele oferece aos usuários a capacidade de realizar uma variedade de tarefas por meio de portais de autoatendimento da Web e é compatível com os padrões da Web existentes, permitindo que trabalhar com praticamente qualquer outro sistema.



Como testamos

Eu analisei o FIM em um ambiente virtual Hyper-V com dois controladores de domínio Active Directory, uma máquina Exchange e servidores FIM 2010 em dois domínios diferentes do Windows. Tudo isso alojado em um único servidor Dell montado em rack. Embora claramente não seja uma configuração de produção, foi um ambiente de teste útil para garantir que o FIM funcionasse conforme anunciado. Além disso, ao longo de 2010, tive a oportunidade de implantar o FIM em um ambiente de produção com uma empresa de serviços empresariais que possui quatro sistemas heterogêneos e mais de 2.500 usuários. Descobri que minhas experiências com a implantação do cliente e os testes em meu ambiente de laboratório foram muito semelhantes.

Os usuários podem, por exemplo, alterar suas senhas em uma variedade de sistemas por meio de ferramentas nativas do Windows, como o prompt de logon. Eles também podem gerenciar associações de grupo facilmente por meio de um site baseado na intranet que oferece suporte a associações de grupos restritos e os fluxos de trabalho de aprovação necessários.



Nos bastidores, o FIM cuida do gerenciamento de propriedades criptografadas, como certificados, cartões inteligentes, ciclos de vida de segurança e conformidade, ao mesmo tempo que o envolve em um belo laço com uma interface de usuário administrativa bem organizada de maneira lógica.

Chromebook smart lock não funciona

Gestão de políticas

A visão da FIM sobre o gerenciamento de identidade é que os funcionários, suas funções e suas eventuais autorizações e autenticação devem estar sob a alçada de políticas. Os administradores familiarizados com a Diretiva de Grupo no Windows descobrirão que essa metáfora é válida. Essas políticas consistem em regras que você, como administrador, pode criar para ditar o que acontece quando certas ações ocorrem.

Por exemplo, uma regra de nova contratação criará uma conta de usuário e o colocará em grupos apropriados com base na data de contratação, cargo, local de trabalho e outros fatores. A mesma regra consultará e direcionará o sistema de folha de pagamento, por meio de serviços da Web, para adicionar as informações do usuário necessárias e fará interface com o sistema de segurança do prédio para adicionar o certificado do cartão inteligente do usuário para permitir o acesso ao prédio. Por fim, a regra gerará uma mensagem aos recursos humanos para criar um pacote de nova contratação e enviá-lo ao novo usuário.



Você pode imaginar políticas semelhantes para, digamos, licença-maternidade, em que, por um período definido de tempo, o acesso ao prédio de um usuário seria suspenso, seu e-mail seria redirecionado e as políticas de remuneração e de RH seriam modificadas conforme necessário e assim sobre. Mas talvez o mais importante para a segurança seja a capacidade de gerenciar separações da empresa - desligando o acesso, removendo usuários dos grupos de segurança e processando questões financeiras de maneira limpa e organizada.

As políticas dentro do FIM podem ditar as ações que acontecem quando qualquer um desses eventos - ou qualquer outro evento que você definir - ocorre.

Essas políticas que você define são lançadas e subsequentemente gerenciadas pelo Windows Workflow Foundation ou WF (parte do .Net Framework 3.5). O WF fornece uma base poderosa para todos os tipos de fluxos de trabalho interessantes e complexos, com aninhamento, condições e várias ramificações. Se o seu grupo já investiu na criação de regras via WF, você pode simplesmente importá-las para o FIM e usá-las e personalizá-las ainda mais a partir do FIM, evitando que você tenha de reinvestir o tempo necessário para criar os fluxos de trabalho novamente em uma ferramenta diferente. Se você tiver uma equipe de desenvolvedores experiente, também pode criar fluxos de trabalho no Visual Studio e exportá-los para uso no FIM.

tudo em um dispositivo de segurança

Sincronização de dados

O núcleo de qualquer produto de gerenciamento de identidade, FIM incluído, é a capacidade de manter vários sistemas - muitas vezes em diferentes plataformas, de diferentes fornecedores, com diferentes bancos de dados - sincronizados com a maior freqüência possível. O objetivo é que as mudanças iniciadas por qualquer sistema sejam replicadas com precisão e eficiência para cima e para baixo na cadeia de sistemas relacionados.

O predecessor do FIM, o Microsoft Identity Lifecycle Manager 2007, fez um excelente trabalho ao lidar com essa sincronização entre os produtos da Microsoft. O FIM 2010 vai além e oferece ajuda para garantir que bancos de dados como Novell eDirectory, Sun Directory Server, Lotus Notes, SQL Server, Oracle, Exchange, Active Directory, SAP e qualquer outro banco de dados ou sistemas de arquivos simples sejam atualizados por meio de políticas e fluxos de trabalho .

O núcleo do FIM, um serviço de sincronização, gerencia os dados que entram e saem do FIM e lida com a comunicação com os sistemas de destino - e na maioria dos casos, faz isso usando padrões ou suporte de API direto com cada sistema. Em outras palavras, nenhum agente bagunçado precisa ser executado na maioria desses sistemas.