Post on 03-Feb-2015
Gestión de Identidades con FIM.Escenarios Básicos
Mónica Fernándezmonicf@microsoft.com
Raúl Morosrmoros@kabel.es
Agenda• Introducción • Servicio de sincronización • FIM Service
− Arquitectura − Portal
• Elementos de gestión − Sets − Management Policy Rules − Reglas de sincronización declaradas − Workflows
• Gestión de usuarios • Gestión de grupos • Auto-servicio para el usuario
− Peticiones y aprobaciones − Gestión de contraseña
Introducción
CreaciónAprovisionamiento de:
UsuariosCredencialesRecursos
Autoría de políticas
Regulación de políticas
Notificaciones y Aprobaciones
Auditorías
Gestión de Políticas
Deprovisionamiento de identidades
Revocación de credenciales
Deprovisionamiento de recursos
EliminaciónCambios de rol
Reseteo de contraseñas y PIN
Peticiones de recursos
Actualización
Gestión de Identidades
Identity Lifecycle Manager -> Forefront Identity Manager
Sincronización de IdentidadesAprovisionamiento de UsuariosGestión de Certificados y Smartcards
Integración con office para autoservicioSoporte para CAs de tercerosAprovisionamiento sin desarrolloGestión de grupos y listas de distribuciónWorkflow y Políticas
User Management
GroupManagement
Credential Management
Common PlatformWorkflowConnectorsLoggingWeb Service APISynchronization
PolicyManagement
FIM 2010: Arquitectura
El componente de sincronización de FIM 2010 permanece igual que en la
versión anterior
FIM 2010 incorpora un nuevo repositorio conectado a la
capa de sincronización mediante un MA dedicado
FIM 2010 incorpora un portal web que proporciona funcionalidades de
autoservicio, workflow, gestión de políticas y
asistentes de configuración
Object Store
FIM 2010 MA
WSS
Servicio de Sincronización
Ejemplo Sincronización
Aplicaciones
DirectorioActivo
RecursosHumanos
NameEmployee IDCost centerManagerRoles
NameEmail AliasMailboxsettings
NameDomain Account ManagerEmail
App AccountApp profile1App profile2App profile3
NameEmployee IDCost centerManagerRolesEmail AliasDomain AccountApp AccountApp Profile 1App Profile 2App Profile 3
Meta Directory + Synch Engine
1
2
3
4
Arquitectura Sincronización
Connected Directories
Management Agents
Synch Engine +
Repository
Agent Less
Forefront Identity Manager
Arquitectura Metadirectorio
METAVERSE
CONNECTOR SPACE
CONNECTOR SPACE
CO
NN
EC
TO
R
SPA
CE
CO
NN
EC
TO
R
SPA
CE
Connector SpaceÁrea intermediaRepresentación de objetos de los CDsÁrea separada para cada MA
MetaverseInformación de identidad agregada de múltiples CDsObjetos creados en base a la información de CS y de las reglas
Proceso de Gestión de Identidad• Proceso en tres fases
− Staging− Importación de objetos externos al Connector
Space− Synchronization (inbound + outbound)
− Actualización de la información de la metaverse de acuerdo a las reglas definidas
− Export− Propagación de los cambios en los objetos de
la metaverse a los Connector Spaces y a los directorios externos
Conectores• Active Directory • Active Directory Lightweight Directory Services (ADLDS)• Active Directory Global Address List (GAL) • Attribute-value pair text files• Delimited text files• Directory Services Markup Language (DSML) 2.0• Fixed-width text files• LDAP Data Interchange Format (LDIF) • IBM DB2 • IBM Tivoli Directory Server • Lotus Notes • Novell eDirectory• SQL Databases• Oracle Database• SAP • Sun and Netscape Directory Services• Forefront Identity Manager 2010 Certificate Management• Management Agent for Extensible Connectivity
Beneficios
• Arquitectura sin agentes− Más sencilla que las arquitecturas
basadas en eventos− Comportamiento cercano al tiempo real
• Procesamiento basado en estados− FIM almacena el estado del objeto
después de la última sincronización satisfactoria− Permite detectar cambios externos y
minimizar el impacto de fallos de red
• Comunicación con los sistemas externos mediante sus interfaces de programación
Demo: Servicio de Sincronización
Descripción escenario demo
HREmpleados
FIMService DB
Directorio Activo / Exchang
e
MetaverseCS
CS
CS
FIM MA
MA Directorio
Activo
ERP MA
FIM Service
Cómo FIM 2010 Extiende este escenario• Proporciona un punto centralizado para la
gestión de identidades, que incluye las siguientes características:− Soporte de Workflows
− FIM 2010 permite la automatización de procesos de negocio gestionando las identidades de los usuarios y sus credenciales
− Autoservicio y delegación− FIM 2010 proporciona interfaces de alto nivel para que el usuario
final envíe y ejecute transacciones
− Gestión de Credenciales− Gestión de contraseñas− Gestión de certificados de usuario y smartcards
− Gestión de Políticas− FIM 2010 permite a los profesionales de IT crear y mantener políticas
de aprovisionamiento desde interfaces web
FIM 2010: Arquitectura
FIM 2010 incorpora un nuevo repositorio conectado a la
capa de sincronización mediante un MA dedicado
FIM 2010 incorpora un portal web que proporciona funcionalidades de
autoservicio, workflow, gestión de políticas y
asistentes de configuración
El componente de sincronización de FIM 2010 permanece igual que en la
versión anterior
Object Store
FIM 2010 MA
WSS
FIM Extensible Platform
FIM Sync
Arquitectura de Web ServicesFIM Web Service
Request Processor
Approval Workflow Sync
Store
Directories
DatabasesE-Mail Systems
Applications
Action Workflow
AuthN Workflow
Delegation& Permissions
Identity Stores
Office SharePointWindows Custom
Clients
ObjectStore
Adapters
User Mgmt
Group Mgmt
Credential Mgmt
Policy Mgmt
Solutions
Custom
Portal
Elementos de Gestión
Sets• Colecciones de objetos definidos de forma
dinámica o por asignación estática• Se utilizan en la modelización de políticas
de negocio• Pueden incluir múltiples tipos de objetos, y
otros Sets
Set A: Todas las Personas
Set B: Todas las cuentas que
expiran en 14 días
Set D: todos los empleados que reportan
a…
PolíticasSi un [Empleado de RRHH]1 solicita [cambiar]2 un [subcontratado]3 a un [empleado a tiempo completo]4, [asigna permisos]5, además [solicita la presentación de una smartcard]6, entonces [solicita la aprobación del manager]7, entonces aplica el cambio y [notifica al empleado]8.
1. El solicitante. ¿Quién hace la petición? 2. La acción. ¿Qué petición se hace? 3. El estado inicial: ¿A qué impacta la petición?4. El estado final: ¿Cuál será el estado final del objeto? 5. Permisos: ¿esta operación se permite de forma explícita,
o como consecuencia de otra asignación de permisos?6. Proceso de autenticación: identificación7. Proceso de autorización: asignación de permisos8. Procesamiento de la acción: acciones de seguimiento
resultantes de la petición
Management Policy Rules
• Definición: − Solicitantes: quién puede desencadenar
el procesamiento de la MPR− Operaciones: cómo se verán afectados
los objetos destino (creados, leídos, actualizados, borrados)
− Objetos destino: objetos afectados por la regla
− Workflows− Authentication− Authorization− Action
AuthZWorkflow
AuthN Workflow
Permissions Action Workflow
FIMService
DBRequest Processor
Procesamiento
FIM Service
1. Se recibe la petición2. Se evalúa el token y el tipo de petición (se requiere un token Kerberos)3. Determinar si existe un permiso4. Si se requiere autenticación, serializar y ejecutar los workflows interactivos5. Si se requiere autorización, paralelizar y ejecutar workflows6. Almacenar la información7. Si se requiere una acción, ejecutar los workflow pertinentes
1, 2 3 4 5 6 7
Reglas de Sincronización
Synchronization Rules
• Definen las relaciones y transformaciones entre los tipos de recursos de FIM y los objetos en un sistema conectado
• Se definen desde el portal de FIM, y se envían al servicio de sincronización de FIM, donde se procesan.
• Las reglas de sincronización y las MPRs facilitan la gestión de situaciones complicadas en el flujo de información.
Synchronization Rules: Tipos
• De entrada: crean los objetos de un directorio conectado en FIM (Import)
• De salida: iniciadas por una petición de FIM, aprovisionan objetos en los directorios conectados (Export)
• Bidireccionales.
Demo: FIM Service y Portal
Gestión de Usuarios
• Portal centralizado que proporciona:− Un esquema extensible (para atributos y
objetos adicionales)− Formularios de entrada con validaciones − Workflows para gestionar las solicitudes− Capacidades de búsqueda
• Modelo de seguridad que permite delegación y autoservicio de usuario
• Integración con herramientas conocidas
• Características de temporalidad: expiración de objetos, acciones retardadas, etc.
Demo: Gestión de Usuarios
Gestión de Grupos
• Tres tipos de pertenencia:− Basados en criterio
− Calculados en base a propiedades del usuario
− Grupos de pertenencia manual− Grupos en base al manager
• Por defecto orientados a gestionar grupos de Directorio Activo:− Grupos de seguridad− Listas de distribución
• Pero puede extenderse para gestionar grupos en cualquier otro tipo de sistema.
Demo: Gestión de Grupos
Autoservicio de usuarios
• Herramientas para autoservicio de usuario:− Portal: permite al usuario gestionar su
propia información− Integración con outlook para gestión de
pertenencia a grupos y/o listas de distribución
− Reseteo de contraseña integrado en el logon de Windows
Demo: Autoservicio de Usuarios
© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.