|
af Claus-Ole Olsen
Frustrationer over manglende eller forkerte oplysninger i mange it-systemer kan måske afhjælpes med Identity Lifecycle Manager? Vi giver en kort introduktion til ILM2007 og giver eksempel på, hvorledes du kan komme i gang.
Emma kommer spændt på arbejde; hun starter nemlig i sin nye afdeling. Hun har i 3 år arbejdet i produktionen, men nu fået chancen for at prøve kræfter med salg. Det burde være simpelt, nedlæg Emmas adgang til produktionssystemerne og oprettet adgang til salgssystemet. Men efter flere dage er der stadig systemer, hvor Emma står oprettet som produktionsmedarbejder, hvorfor er det ikke rettet?
Dannebrog er fundet frem, Anne er blevet gift med Arne. Efter en dejlig bryllupsrejse er hun klar til at starte på arbejde igen. Hun bliver dog noget overrasket over stadig at kunne finde sit pigenavn i den interne telefonbog. Hun havde orienteret personaleafdelingen, om at hun skulle giftes og skiftede navn fra Larsen til Kristensen, så hvorfor er det ikke rettet?
Dette var eksempler på ting, der sker, måske ikke dagligt, men ofte, og med tanke i dit firma, prøv så at svare på disse spørgsmål:
- Har medarbejderne mere end et bruger-ID med tilhørende kodeord?
- For at få overblik over medarbejders rettigheder, skal der så undersøges i mange systemer?
- Findes der aktive bruger-ID’er på personer, der ikke er i firmaet mere?
- Har helpdesk opkald på forkert registrerede medarbejderinformationer?
- Er SmartCards svære at administrere?
- Mangler der e-mail og telefonnummer på kollegaerne? i søster firmaet?
Svarede du ja til de fleste spørgsmål, burde du måske se nærmere på Identity Lifecycle Manager 2007 (ILM2007), da dette produkts nøglefunktioner er, at –
- Oprette og nedlægge konti på alle nødvendige systemer, ud fra et directory
- Synkronisere konti og data imellem de forskellige systemer - herunder også kodeord
- Administration af certifikater, SmartCards og USB-tokens fra central hold
Hvordan kan dit firma bruge Identity Lifecycle Manager 2007?
Ja, der er eksempler nok, hvor ILM2007 kan hjælpe, men i vores eksempel vil ILM2007 – ud fra data i Human Resource systemet (HR) og telefonsystemet, automatisk sørge for, at bruger-ID’er oprettes, ændres og nedlægges i  Active Directory og Customer Relationship Management systemet (CRM). Dette giver den nye medarbejder mulighed for at logge på sin nye arbejdsplads og bruge CRM systemet fra første arbejdsdag (til højre kan du se et eksempel på et ILM 2007 setup).
Kodeord skiftes på alle systemer, når man skifter dette i Active Directory og der udveksles e-mail adresser og telefonnumre med et søster firma, så alle brugere nemt kan finde sine kollegaer i Outlook. Brugere, der oprettes direkte på et system, kan udgøre en sikkerhedsbrist, da de ikke nedlægges, når en medarbejder stopper. En risiko kan være, at der er adgang for uvedkommende personer. Derfor lægges de her i en liste, hvor administratoren eller sikkerhedsafdelingen hurtig kan danne sig et overblik og sørge for, at de bliver nedlagt igen eller alternativt tilknyttet til den rigtige medarbejder. Disse kunne også publiceres på en webside, lægges i en database, eller noget helt tredje, mulighederne er mange.
Hvordan virker Identity Lifecycle Manager 2007 indeni?
Eksemplet viser nogle af de processer, der gennemløbes i ILM2007, når f.eks. et opdateret telefonnummer i telefonsystemet automatisk opdaterer det tilsvarende telefonnummer på en bruger i Active Directory og samtidig genererer en opdateret komma-separeret (CSV) fil til søster firmaet til brug for deres opdateringer.
ILM2007 indeholder og bruger -
- Metaverse database - indeholder alle de brugere, der findes på alle systemer og danner grundlaget for, hvordan data skal flyde mellem de enkelte Management Agenter og ud fra de regler, der er defineret på disse.
- Management Agenter - En Management Agent kommuniker med de forskellige systemer. De har sit eget Connector Space. Der er flere grunde til dette, men en af de vigtigste egenskaber ved Connector Space er at sikre en mulighed for kun at overføre data, der er ændret siden sidste Import/Export
- Regler – Regler i ILM2007 afgør, hvordan, hvilken retning og hvilke data der skal flyde mellem hvilke systemer. En regel kunne eksempelvis sikre, at et telefonnummer i Active Directory overholder E.164 standarden, selv om telefon systemet kun indeholder 8 cifre. Så kan medarbejderen stadig bruge kontaktpersoner i sin telefon, der synkroniseres med Exchange - også uden at tænke over at tilføje +45, når de ringer hjem til Danmark fra udlandet.
Der bruges Management Agenter overalt
Central administration af brugere på tværs af forskellige systemer kræver Management Agenter, der kan tale med de enkelte systemer. ILM2007 indeholder dog mange af disse out-of-the-box. Et udpluk af de vigtigste Management Agenter er –
- Active Directory
- Active Directory Application Mode (ADAM)
- Active Directory Global Address List (GAL)
- LDAP Data Interchange Format (LDIF)
- Delimited Text File
- Sun and Netscape Directory Servers
- Novell eDirectory
- Lotus Notes
- SQL Server
- Oracle Database
- IBM DB2
- IBM RACF
Skulle der være noget som en standard Management Agent ikke kan klare, behøver man ikke fortvivle. Der er nemlig mulighed for at ’hooke’ sig ind på en Management Agent via Visual Studio 2005 og tilpasse denne – eller helt at skrive sin egen Management Agent, hvis et sådant behov er til stede. Man kan faktisk inde fra ILM2007 oprettet et Visual Studio projekt direkte og dermed udføre præcis de ting, der er krævet af de systemer, der findes i din organisationen. Der er mange muligheder for at automatisere mindre eller store dele af informationsvedligeholdelsen i din it-infrastruktur med et fleksibelt værktøj som ILM 2007. Inceptio hjælper dig gerne med at komme i gang, så tag kontakt os, hvis du ønsker at komme i gang med Identity And Access Management.
|
|