本系列文章由ghjconan创作,转载自ITECN。尊重原创,分享精彩。
该款产品是微软公司为了解决当今企业身份管理领域中所面临的各种问题而推出的一款高端产品。之所以说高端,是因为Forefront Identity Manager 2010所要解决的是核心基础架构优化中动态化阶段所面临的问题。
- Forefront Identity Manager 2010的产品定位
这里我们先来简单回顾下核心基础架构优化(CoreIO)的四个阶段。
大家可以注意到在这张图中,每个管理维度在核心基础架构的不同阶段,都使用了几个非常明显的特征进行描述。可能部分特征是很多IT专业人士曾经经历或者已经经历的,读到的时候嘴角也许会泛起一丝苦笑吧。这里我们或者更准确的说是Forefront Identity Manager 2010所要关注的是身份和访问管理维度在动态化阶段中的“自动化账户管理”(对应的英文术语是Automated Account Provisioning,或者在仅讨论FIM 2010 时,会使用更简单的缩写,Auto-Provisioning。当然这个词也会被用在其他领域,比如虚拟机的Auto-Provisioning。)所以在开篇之所以称FIM 2010是一款高端产品的原因就在于此。
不可否认核心基础架构优化犹如在一个企业中实现“登月”计划,要达到最高阶段,动态化,需要从管理层到运维团队各级人员耗费好几年,甚至十几年的时间才能完成。而且整个过程中各种技术以及非技术的因素会使得整个项目停滞甚至倒退。然而要成为一名优秀的IT基础架构管理人员,如果将核心基础架构优化设定为你的职业目标,那么相信你在十年后再来回顾你走过的这一段充满荆棘和陷阱的旅程后,你一定会为此感到自豪。
- 目前企业身份管理中遇到的各种挑战
随着企业信息化建设的不断深入,作为IT管理人员,我们会发现企业的生产环境中引入了各式各样的系统。这里以微软的产品为例来举个简单的例子。比如在一个上规模的中型企业(CONTOSO)中,我们会发现有基于Exchange 2010的邮件系统,基于Lync 2010的即时消息系统,基于SharePoint 2010的协作系统,以及为支撑这些系统运行的SQL Server 2008。然而企业管理员不久之后就会发现当新员工入职时,仅仅是开通各个系统的用户帐号就是一件非常繁琐的事,因为各个系统都提供了各自的管理工具来开启帐号,而帐号管理员不得不在各个系统管理控制台之间游走,进行手动的帐号开启工作,既费时又容易出错。
而管理层对IT基础架构的要求越来越高,比如人事及各部门经理会关心新员工入职需要花费多久才能形成战斗力。而新员工形成战斗力的关键在于他需要花多少时间才能有各个系统(包括用于学习的测试系统)的访问权限,很明显这个重担又落在IT基础架构管理员的肩上。
刚才谈论的是员工入职的情况,当一位员工在一家企业工作时,可能会经历多个岗位,这也意味着在后台IT系统中他的信息将会发生变更。比如在Exchange中需要将异动员工加入对应部门的通讯组,相应的安全组成员身份也要发生变更,否则各种基于RBAC(Role-Based Access Control)实现的安全控制将失去作用。
最后当员工离职时,需要及时关闭离职员工在各个系统内的权限,防止心有不满的员工做出各种有害于企业信息系统的恶意破坏事件,这点在各个业务系统包括IT系统之内的管理员离职时尤为重要。
以上简单描述了在当今企业中,仅用户身份管理这一块所面临的各种挑战。接下来我们就来看看FIM 2010是如何解决这些挑战的。
- Forefront Identity Manager 2010的前世今生
在正式开始介绍Forefront Identity Manger 2010的功能之前,我们先来简单回顾下Forefront Identity Manager 2010的产品发展历史。也许大家会和我一样认为Forefront Identity Manager 2010是在2010年突然冒出来的Forefront家族中的一款新产品,但实际上不是。Forefront Identity Manager 2010实际上已经是第三代产品,前两代产品分别是Microsoft Identity Integration Server 2003和Identity Lifecycle Manager 2007。
前两代产品的定位主要是探寻身份管理的解决方案,他们的目标用户群是企业中的管理员,帮助后台管理员实现各个系统之间用户身份信息的同步。那么到了Forefront Identity Manager 2010,产品组经过这么多年不懈的努力后终于将身份管理这项工作推向了前台,允许最终用户参与到身份管理工作中,降低了IT专业人士在身份管理方向投入的工作量。
而且产品本身在经历过两代产品的历练之后,在形成后台成熟的管理模型后,终于在Forefront Identity Manager 2010中实现了基于SharePoint的面向最终用户和管理员的友好管理界面,并在处理常规场景时省去了二次开发的步骤,允许用户直接借助FIM 2010处理常规场景下的问题。接下来我们就来看看FIM 2010中到底有哪些功能。
- Forefront Identity Manager 2010 功能概览
Forefront Identity Manager 2010在进行产品设计时,考虑到了以下两方面的管理工作,一方面是身份(Identity)管理,另一方面是证书管理。本系列博客文章将仅包含身份管理这一块的知识点,带领大家熟悉身份管理这一块的各项功能和术语。在身份管理这一块,FIM 2010为管理员和普通用户提供了以下几方面的内容:
- 用户管理
- 组管理
- 自助密码重设
- 最终用户操作体验
接下来在深入了解FIM 2010身份管理的各个知识点之前,我们先来看一下当一切配置完毕之后FIM 2010给我们带来的体验。
- 用户管理
在CoreIO动态化阶段,我们通常提倡所谓的“人事驱动”(HR-driven)用户身份管理模型,也就是以人事系统的数据库作为员工信息的权威数据源。这其实是非常符合企业流程的一个模型,然而有时候某些情况会挑战这个模型。比如员工的移动电话信息,个人住址变更,姓名变更(比如港台地区,女性员工结婚之后需要添加丈夫的姓。)等等。对平时工作异常忙碌的人事专员而言,管理这些信息可能会带来的额外的负担,因此企业管理者通常希望IT基础架构管理者能提供一个系统,允许最终用户自助修改这些信息。而FIM 2010则允许管理基础架构的IT专业人士将FIM 2010的门户网站进行配置(借助Management Policy Rules,后续课程会进行详述),允许最终用户修改特定的信息。
- 组管理
长久以来微软一直提倡在进行权限管理时,使用组而不是单个用户来分配权限,其实这项原则本身也是一项工业标准,基于权限的访问控制(Role-based Access Control, RBAC),在各个厂商的产品中都有一定程度的体现。然而相信很多经历过Windows Server 2003时代的系统管理员都为缺乏一个对最终用户友好的组成员管理工具而感到十分痛苦。然而当微软发布各项冠以2010年份的服务器端产品之后,我们会发现简单的组管理已经出现在Exchange和SharePoint中了。
其实也难为了Exchange和SharePoint的开发人员,因为这两款产品本来就不是为身份管理而设计的。假设FIM 2010能够在强壮一点……呵呵,接下来我们就来看下FIM 2010的组管理。
FIM 2010对活动目录中的组实现了全面的支持,无论组的类型是安全组还是三种组作用域都能实现很好的支持。除此之外,FIM 2010 在它的门户站点中也已三种方式实现了组成员身份管理:
- 基于手动设置
- 基于相同经理
- 基于特定条件
以下三张截图分别呈现了这三种不同的管理方式,在后续的课程中我会进行详述。
基于手动设置
基于相同经理
基于特定条件
- 自助密码重设
长久以来困扰很多IT系统的一个问题就是用户密码的重置,虽然通过在企业内部实现SSO可以在一定程度上降低这个问题的发生次数,但仍然避免不了长假归来之后,会出现大量员工需要重置密码的情况。企业规模越大,这个问题就会越明显,IT服务台在处理其他请求的同时,需要承受这额外的工作负担,的确会感到力不从心。
虽然在FIM 2010横空出世之前,已经有第三方产品实现了自主密码重设,但是那款产品设计目标单一,不像FIM 2010会涵盖其他身份管理领域的问题,因此我们不妨来看看FIM 2010中的自助密码重设。
首先自助密码重设需要在客户端安装FIM 2010的客户端插件,这一点其实并不意外。当然有朋友会问在大环境下的客户端部署问题。的确这是一个需要综合考虑的问题,首先在初始部署阶段,我们可以利用组策略或者SCCM进行推送。接下来需要做的就是修改客户端操作系统部署镜像。这两点是需要耗费一定的工作量,在进行项目实施的时候需要注意到。但是一旦我们部署完成后,就能享受自主密码重设带来的便利。
首先,客户端插件会如下图所示会修改登录界面,用户可以单击新增加的“Reset Password”打开自助密码重设向导:
当向导打开之后,用户需要回答管理员预先设置的“安全问题”(WIKI),而这些问题的数量和具体内容都是可以通过FIM 2010的后台管理界面进行调整。
而关于如何设置安全问题,各位可以参考以下连接:
http://www.goodsecurityquestions.com/examples.htm
当回答完安全问题后,我们只需要输入符合密码复杂性策略的新密码,便能完成密码重置工作。
(新密码必须符合密码复杂性策略)
(成功通过自助密码重设服务完成重置)
- 丰富的最终用户操作体验
FIM 2010为最终用户提供了丰富多彩的操作体验,首先我们来看下面向最终用户的基于SharePoint的门户网站。
在默认配置下,最终用户可以通过门户网站管理通讯组,个人信息及密码。同时也可以查看提交的申请有没有获得经理批准。总的来说,由于是基于SharePoint的操作,因此整体操作体验还是非常友善的。
自助密码重置插件在刚才的介绍中大家已经看到了,所以我们接下来再来看下另外一个客户端的Outlook插件。
最终用户也可以通过和Outlook集成的插件完成加入组的工作,而经理对用户的加入申请的批准工作也可以在Outlook中完成。
以上就是今天我要和大家分享的全部内容,相信有部分朋友已经迫不及待的想要去了解FIM 2010了吧。那么这里给列出一些学习资源(英文,中文我正在写 :-))。
Rampup: Implementing Forefront Identity Manager 2010 (必读)
http://technet.microsoft.com/en-us/forefront/ff793470
Test Lab Guide: Forefront Identity Manager 2010 (必读)
http://www.microsoft.com/download/en/details.aspx?id=10269
Test Lab Guide: Managing User Identities with Forefront Identity Manager 2010(必读)
http://www.microsoft.com/download/en/details.aspx?id=26142
FIM 2010 TechNet Library
http://technet.microsoft.com/en-us/library/ee621258(WS.10).aspx
FIM 2010离我们很远么?不FIM 2010的核心功能已经在你身边了……
SharePoint 2010中的用户配置文件同步服务(UPS Service)
这里是论坛上一位朋友实现后的效果。
http://bbs.winos.cn/thread-120897-1-2.html
好了,这次的介绍就到这里,敬请期待下次的介绍。