ТЕХНОЛОГИЯ
Forefront Identity Manager 2010 R2 (IdM)

Forefront Identity Manager 2010 (FIM 2010) – логическое продолжение линейки продуктов MIIS 2003 (Microsoft Identity Integration Server) и ILM 2007 (Identity Lifecycle Manager), предназначенных для управления идентификационной информаций. Таким образом, несмотря на число «2010» в конце наименования продукта, FIM 2010 имеет солидную, более чем 10-летнюю, историю. При частой смене названий для новых версий продукта, неизменным Microsoft оставлял слово «identity», и управление этим самым «identity» и есть основное предназначение FIM 2010.

Наиболее корректным переводом термина «identity», на наш взгляд, является «идентификационная информация» или «идентификационные данные». Под идентификационной информацией подразумеваются не только логины и пароли пользователей. В настоящем контексте термин объединяет любую информацию о сотрудниках компании, хранящуюся в прикладных и инфраструктурных системах, например:

  • ФИО;
  • Должность;
  • Отдел;
  • Руководитель;
  • Дата рождения;
  • Фотография;
  • Почтовый адрес;
  • Телефоны;
  • Членство в ролевых группах, группах доступа или списках рассылки;
  • …и любая другая информация, которая может быть получена из кадровой базы, службы каталогов, почтовой системы, телефонного справочника, портала и прочих систем.

C помощью FIM 2010 можно агрегировать информацию из источников данных в рамках единого хранилища Metaverse (Microsoft переводит этот термин как «метавселенная», но мы будем использовать английский термин), и на основании набора правил распространять ее между системами. Схематично этот процесс выглядит следующим образом:

ForeFront Identity Manager 2010 R2 base Architecture

Интеграция данных между различными источниками позволяет:

  • Добиться консистентной структуры данных между всеми системами;
  • В автоматическом режиме поддерживать данные в актуальном состоянии (например, при изменении фамилии взять эту информацию из кадровой базы и распространить в службу каталогов, почтовый справочник и проч.);
  • Автоматизировать создание пользователей в источниках данных, например при приеме на работу новых сотрудников;

Кроме того, одним из важнейших отличий FIM 2010 от предшественников является умение реагировать на изменение состояния хранимых объектов. Это превращает FIM из стандартного набора для синхронизации, который в большинстве компаний в том или ином виде реализован в виде самописных скриптов, в мощную систему управления жизненным циклом учетных данных пользователей от момента создания при приеме сотрудника на работу, до блокировки или удаления при увольнении.

Важно отметить, что рабочие процессы FIM, запускаемые как реакция на изменение данных о пользователе, построены на базе платформы Windows Workflow Foundation, что позволяет реализовать практически любой сценарий. Например, при увольнении сотрудника автоматически:

  • Заблокировать учетную запись сотрудника в службе каталогов;
  • Запустить процесс согласования на удаление учетной записи из службы каталогов;
  • Заблокировать учетную запись сотрудника во всех системах, не интегрированных со службой каталогов;
  • Отправить соответствующие уведомления администраторам;
  • И даже разместить в интернете вакансию на место уволившегося сотрудника.

Приятным дополнением является возможность, предоставляемая порталом самообслуживания пользователей, являющимся компонентом FIM 2010. С помощью портала пользователи могут вносить изменения в информацию о себе (например, изменить номер кабинета или номер телефона), а также запрашивать членство в группах безопасности или распространения. При этом изменения, внесенные пользователем на портале, могут быть либо сохранены сразу, либо отправлены на утверждение в соответствии с заданным рабочим процессом.

Кроме того, портал самообслуживания позволяет пользователю с помощью компонента, устанавливаемого на рабочую станцию, самостоятельно сбросить забытый пароль. Для этого пользователь, которому разрешено использовать данный функционал, должен зарегистрироваться на портале самообслуживания и ввести свои ответы на набор контрольных вопросов, сформированных администратором. При попытке самостоятельного сброса пароля пользователю будет предложено повторно ответить на определенное количество из этих вопросов и на основании количества правильных ответов будет принято решение о сбросе пароля, или, например, отправке сообщения в службу безопасности.

Подводя итог, FIM 2010 позволяет добиться:

  • Целостности данных между различными системами;
  • Поддержания информации о пользователях в актуальном состоянии (что особенно важно в случае, например, внедрения такой технологии, как Dynamic Access Control).
  • Автоматизации ряда типовых рутинных операций, освободив тем самым от них ИТ-персонал;
  • Значительного снижения влияния человеческого фактора на работу с данными об идентификационной информации;
  • Предоставления пользователям возможности самостоятельно поддерживать собственные данные в актуальном состоянии либо своевременно уведомлять об этом администраторов систем;
  • Реализации ролевой модели доступа к ресурсам на основании данных о сотрудниках;
  • Предоставления пользователям функционала самостоятельного сброса забытого пароля.