quarta-feira, 25 de novembro de 2009

Terminologias

Para entender o funcionamento de sistemas de gestão de identidade é preciso primeiro entender os “termos” usados por esses sistemas.
vamos ver alguns deles:
Identidade (Identity)
An Identity is the summary of information about a person, group or resource (computer, printer etc.) or any “thing” about which you wish store data. This data is typically contained in different, and often incompatible, directories and databases throughout an organization.
IDM
An IdM (Identity management System) is an application (or service) that co-ordinates information held in different data sources throughout an organization. In most organizations, this information is typically scattered in different directories, databases, and other data repositories throughout the Information Technology (IT) infrastructure. It is usually heavily redundant; it is likely to be inconsistent, giving rise to conflicts; it will generally be frustrating and expensive to administer; and it may the cause of security holes.
An IdM system enables you to manage identity information by controlling the flow of identity information between directories.
Metadirectory
A metadirectory collects information from different data sources throughout an organization and then combines all or part of that information into an integrated, unified view. This unified view presents all of the information about an object, such as a person or network resource, that is contained throughout the organization. An IdM system may have a metadirectory at its heart, and MIIS 2003 is such a system
Connected Data Source
A Connected Data Source (CD) is a data source – a directory, database, or other data repository that contains identity data to be integrated within MIIS. CDs can be enterprise directories, NOS directories, databases, or data in flat files, such as LDIF, DSML or delimited text.
Management Agent
A Management Agent (MA) manages the data associated with a specific Connected Data Source (CD). The MA not only connects to the CD, but is responsible for managing the flow of data (inbound and outbound). There is at least one management agent for each CD.
Metaverse
The Metaverse (MV) is a set of tables within MIIS 2003 that contain the integrated identity information from multiple connected sources. All identity information about a specific person or object, which is stored in multiple connected sources, is synthesized into a single entry in the MV.
Connector Space
The Connector Space (CS) is a storage area, and a staging area. It stores the holograms (states) that are used to decide whether information in a CD has changed, or needs to be changed. It is also where changes are staged on their way into or out of MIIS. Each CD has its own logical area in the Connector Space, which is managed by its corresponding MA. The CS is essentially a mirror of the related connected data source, with each object in the connected data source having a corresponding entry in the connector space. The connector space does not contain the Connected Data Source object itself, but a subset of the object’s attributes, as defined by the MA.
Joins e Projections
When a CS object is connected to a corresponding entry in the MV – that is called Joining. If an entry in the Connector Space should be represented in the Metaverse, but no corresponding entry in the Metaverse can be found by the Join process, a new Metaverse object may be created for this entry (according to how the MA is configured). The creation of a new MV object is known as Projection, and following projection, the CS entry will stay connected to the new MV object.
Attribute Flow
Once connections are made (CD to CS to MV, and back again), Attribute Flow can take place according to defined Attribute Flow Rules
Provisioning e Deprovisioning
It is possible to define object flow rules in MIIS 2003 which imply that the presence of an entry in one Connected Data Source requires the presence of a corresponding entry in another CD. For example, the existence of an entry in a Human Resources system (representing an employee) might require the existence of an Active Directory account for this employee. In order to enforce this rule, MIIS 2003 may be configured to create and remove entries in (for example) the Active Directory – the creation of entries is Provisioning and the removal of entries is Deprovisioning.
Essas e muitas outras terminologias devem ser entendidas para que “confusãoes” não aconteção na hora de usá-las!!!
Até Mais!

sexta-feira, 20 de novembro de 2009

Run Profiles

Olá novamente!!!
Vamos falar sobre Run Profiles…
Run Profiles definem ações para serem executadas em um Management Agent (MA). Essas ações podem incluir importar e exportar dados das fontes conectadas (AD, SAP, SQL, etc.) e sincronizá-las com o METAVERSE.
Cada MA requer pelo menos um “Run Profile” que é composto de pelo menos uma etapa que podem ser do tipo:
Import
Solicita os dados das fontes conectadas. Temos 2 tipos de Imports: o Full e o Delta.
Full Import (Stage only)
Menos eficiente que o Delta Import pois lê a base “source” completa a cada execução.
Delta Import (Stage only)
Importa somente objetos “novos” ou que tiveram alguma alteração de valor baseados em um mecanismo de atualização da base “source”. Por exemplo, no caso do AD o FIM usa o USN do objeto. É necessário que se verifique se sua fonde de dados possue algum mecanismo de atualização de objeto antes de usar um import do tipo delta.
Synchronization
Define o fulxo de sincronismo, seja entrada, saída ou ambos. Assim como o Import, temos também Full e Delta Synchronizations.
Full Synchronization
O MA processa todos os objetos no Conector Space e então os sincroniza de acordo com as regras de critérios existentes.
Delta Synchronization
O MA processa somente os objetos que foram colocados em seu Conector Space que tiveram alguma alteração ou são novos. Esses objetos então serão sincronizados de acordo com as regras de critérios existentes.
Export
Exporta as informações do METAVERSE para as bases “Source”
É possível montar Run Profiles a partir da combinação das etapas citadas. Com um Profile de Import e Synchronization é possível “ganhar tempo” na forma de como as informações serão tratadas!
Até a proxima!

domingo, 8 de novembro de 2009

Disponível: Forefront Identity Manager 2010 RC1 Update 1 e VHD de demonstração (para Hyper-V) !

Uma atualização para o Forefront Identity Manager 2010 RC1 está disponível no site do Connect. Essa atualização inclui 8 arquivos, sendo 2 atualizações para o Server e 6 atualizações para os Clientes (32bits, 64bits e language packs).
Está também disponível uma imagem VHD com uma versão de demonstração do Microsoft FIM2010RC1. Tudo que você precisa para testar a integração com o Active Directory, Exchange 2007 e Outlook 2007 vem instalado.
Faça o download desta imagem diretamente do site da Microsoft, mas seja rápido porque todos os softwares instalados na imagem são de avaliação e expirarão em março de 2010.

Informações Importantes!!!!

Abaixo, alguns links relacionados ao FIM2010 e também seus antecessores. Todos os links abaixo levam a sites com conteúdo  em inglês.
FIM2010
Technet Library
ILM 2007
MIIS 2003
Webcast e Podcast:

Pré-requsitos para a instalação do FIM2010RC1

Bem-vindos novamente.
Neste Post trataremos dos pré-requisitos para a instalação do FIM2010RC1 (Synchronization Engine, FIM Portal e Password Portal) e . O FIM2010 permite que todos os seus componentes sejam instalados em um unico servidor bem como permite uma instalação em que cada componente seja instalado em servidores diferentes e ainda permite que seja feita instalação de um mesmo componente em vários servidores afim de prover um “balanceamento de carga”.
Até a versão Beta 3 do FIM2010 era possível a instalação em servidores com arquitetura 32bits. A partir do RC0, somente a arquitetura 64bits é suportada. Os requisitos de hardware são os mesmo para os componentes “Server-side”.
Hardware
Servidor
Cliente
Processador
64Bits
32bits ou 64bits
HD
2 GB
500 MB
Memória RAM
2 GB
512 MB (1GB é recomendado)

Cada um dos componentes do FIM2010 Server tem requisitos específicos de software.
FIM 2010 Synchronization Service
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
SQL Server 2008 64-bit Standard ou Enterprise Editions, Cumulative Update 2 (CU2) ou posterior;
     Database Engine Services

Microsoft .NET 3.5 SP1 Framework;

Caso você programe "Rules Extensions";
     Visual Studio 2008

Caso você vá provisionar Caixa Postal no Exchange Server 2007;
     Windows PowerShell 1.0;
     Exchange 2007 SP1 Management Console


FIM 2010 Service
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
SQL Server 2008 64-bit Standard ou Enterprise Editions, Cumulative Update 2 (CU2) ou posterior;
     Database Engine Services
           Full-Text Search
           Certifique-se que o serviço SQL Agent esteja sendo executado

SQL Server 2008 Client Tools Connectivity;
     Caso o banco de dados esteja instalado em outro servidor
Web Server (Internet Information Services) com os seguintes componentes:
    •Common HTTP Features
        •Static Content
        •Default Document
        •HTTP Errors
    •Application Development
        •ASP.NET
        •.NET Extensibility
        •ISAPI Extensions
    •Health and Diagnostics
        •HTTP Logging
        •Request Monitor
        •Tracing
    •Security
        •Windows Authentication
        •Request Filtering
    •Performance
        •Static Content Compression
    •IIS 6 Management Compatibility
        •IIS 6 WMI Compatibility
        •IIS 6 Metabase Compatibility
    •Microsoft .NET 3.0 Features

Microsoft .NET 3.5 SP1 Framework;

FIM Portal and Password Portal
Windows Server 2008 64-bit Standard ou Enterprise Editions;
     Sem o serviço de Terminal Server habilitado
Web Server (Internet Information Services) com os seguintes componentes:
    •Common HTTP Features
        •Static Content
        •Default Document
        •HTTP Errors
    •Application Development
        •ASP.NET
        •.NET Extensibility
        •ISAPI Extensions
    •Health and Diagnostics
        •HTTP Logging
        •Request Monitor
        •Tracing
    •Security
        •Windows Authentication
        •Request Filtering
    •Performance
        •Static Content Compression
    •IIS 6 Management Compatibility
        •IIS 6 WMI Compatibility
        •IIS 6 Metabase Compatibility
    •Microsoft .NET 3.0 Features

Microsoft .NET 3.5 SP1 Framework; (download)
Windows SharePoint Services 3.0 SP1 em inglês. (Download)

FIM Add-ins e Extensions Components
Windows XP Professional SP2 or later, 32bit or Windows Vista Enterprise SP1 or later, 32 or 64bit;
Windows Installer 3.1 or later; (download)
Microsoft .NET 3.5 SP1 Framework; (download)
Para usar o FIM Office add-in (botões de aprovação, controle de grupos, etc)
Microsoft Office Outlook 2007 SP1
Microsoft Forms 2.0 .NET Programmability Support
Smart Tag .NET Programmability Support
.Net Programmability Support for Microsoft Office Outlook
Configurações adicionais
Após os pré-requsitos cumpridos, vamos ver o que precisamos de configuração adicional no ambiente onde o FIM2010 será instalado:
  • Uma conta de serviço com email habilitado para o FIM Service Component;

    • Esta conta cuidará dos serviço FIM Service e também de processar notificações e aprovações através de email.
  • Uma conta de serviço para o FIM Synchronization Service;
  • Uma conta para o FIM Management Agent
Em uma instalação distribuida dos componentes, é necessário:
Até a próxima!

sábado, 7 de novembro de 2009

Forefront Identity Manager 2010

image
Olá!!! Este é o primeiro post do Blog. Vamos aproveitar e falar um pouco do FIM2010.
Microsoft Forefront Identity Manager 2010
Definido como uma evolução do ILM 2007 (Identity Lifecycle Manager), o Forefront Identity Manager 2010 provê ao usuário final a capacidade de executar tarefas através de seus “Self-Services”. Mas não é somente para os usuários finais que o FIM2010 tem novidades, administradores de TI podem contar com ferramentas para auxiliar nas tarefas do dia-a-dia, como por exemplo a criação de workflows para ajudar no gerenciamento de recursos. Com o Microsoft Visual Studio é possível desenvolver soluções customizadas e extensíveis devido sua a base de desenvolvimento do FIM2010: .NET e WS-* Foundation.
O FIM2010 possui uma interface de usuário intuitiva (em WSS) que permite que os arquitetos de sistemas, administradores de TI e usuários finais trabalhem com regras para usuários e grupos usando formulários pré configurados.
O Gerenciamento visual de workflow baseado no Windows Workflow Foundation, permite rapidamente definir, automatizar e aplicar políticas de gestão de identidade.
Algumas caracteristicas
image image image
Dá Poder ao Usuário Final:
Ferramentas de Self-Service baseados em Office e Windows;
Console Web para gestão de Identidades (Sharepoint Based);
Mais produtividade no trabalho diário;
Notificações e aprovações integrados ao E-mail (MS Exchange 2007 + Outlook 2007);
Aumenta a agilidade e eficiência:
Redução de custos através de automação e Self-Service;
Maximiza investimentos na infra-estrutura de identidade existente;
Integra com ferramentas de desenvolvimento conhecidas;
Otimização das equipes de help-desk;
Aumenta a segurança e configmidade:
Integra gestão de identidade, credenciais e acessos;
Implementa um modelo avançado de permissionamento e delegação;
Permite a auditoria de sistemas e conformidades;
Sincronização de identidade heterogênea e consistente
Oferece integração com vários sistemas operacionais de rede, e-mail, banco de dados, serviços de diretório e aplicações. O FIM2010 suporta conectores para o Active Directory, Novell, Sun, IBM, Lotus Notes, Microsoft Exchange Server, Oracle, Microsoft SQL Server ™, SAP e outros.
Gerenciamento de Credenciais integrado com provisionamento.
Com o FIM2010 os administradores de TI são capazes de definirem políticas que gerem o processo de provisionamento de contas de usuário e credenciais. Isto significa que um Workflow pode ser configurado para automaticamente fazer o provisionamento de uma conta de usuário, definir a sua senha inicial, e até iniciar o processo de emissão certificados digitais para Smart Cards.
Self-service de gerenciamento de perfil de usuário
É possível para os usuários gerenciarem suas próprias informações de identidade (Telefone, Ramal, etc.). A área de TI pode usar o FIM2010 para definir as políticas com workflows, solicitando aprovação a gestores ou gerando notificações para estas alterações feitas pelos usuários.
Self-service com ferramentas avançadas de gerenciamento de grupo
Fornece Self-service de gerenciamento de lista de distribuição e grupos de segurança através do portal FIM2010. A integração com o Outlook permite que os usuários possam gerenciar sua adesão a grupos. Com os botões de aprovar e rejeitar a funcionalidade fornecida no Outlook para aprovar ou rejeitar pedidos de adesão, tornando possível para os usuários a gerenciar a associação de grupos sem que seja necessária a ajuda da organização de TI. Para gestores a integração com o Outlook permite aprovar/rejeitar ações executadas por workflows envolvendo seus subordinados (ex.: desabilitação de contas).
Gerenciamento de RecursosFuncionalidades
Policy Management

  • Console baseado em SharePoint para criação, execução e auditoria de Policies

  • Extensible WS-* APIs e workflows baseados no Windows Workflow Foundation

  • Sincronização de identidade heterogêneos & consistência
Credential Management

  • Suporte de gerenciamento de certificados heterogêneos com  CA´s terceiras

  • Gerenciamento de vários tipos de credencial

  • Self-service de reset de senha integrado com o login do Windows, bem como a o Password portal (web)
User Management

  • Provisionamento integrado de  identidades, credenciais e recursos

  • provisionamento automatizado de usuários: codeless provisioning e deprovisioning

  • Self-service para gerenciamento de perfil de usuário
Group Management

  • Ferramentas de gerenciamento de grupo de auto-atendimento baseados em aplicativos Office (MS Outlook 2007 SP1)

  • Aprovações off-line por meio de Outlook 2007

  • Gerenciamento de grupos de segurança e de listas de distribuição baseado em atributos dos usuários.
Com o Forefront IdentityManagement 2010 as empresas tem como reduzir custos.
Em breve, mais informações!!!