Интеграция идентификаторов
Средства инициализации
Главной проблемой управления жизненным циклом цифровых удостоверений является возможность добавления и удаления участников безопасности в централизованное хранилище идентификаторов, управляемое Active Directory, а также в другие хранилища идентификаторов для приложений, которые не полностью интегрированы с Active Directory. Данный сценарий обычно называют сценарием «принял-уволил».
Добавление рабочего процесса к механизму предоставления идентификатора
Процесс предоставления идентификаторов часто связан с рабочими процессами в самой организации. Например, при принятии на работу нового сотрудника его руководитель, возможно, должен будет утвердить процесс предоставления идентификатора. Существует три способа добавить рабочий процесс к механизму предоставления идентификатора.
Основные понятия
Глава 5: Управление жизненным циклом идентификатора
Опубликовано 11 мая 2004 | Обновлено 26 июня 2006
Большинство организаций сталкивается с проблемой наличия нескольких хранилищ идентификаторов. Если в сетевом окружении существует более одного места для хранения цифровых удостоверений, то возникает проблема управления несколькими идентификаторами.
Управление жизненным циклом идентификатора включает в себя процессы и технологии предоставления, отзыва, управления и синхронизации цифровых удостоверений с учетом действующих политик. Успешное управление идентификаторами и доступом основывается большей частью на эффективности управления жизненным циклом цифрового удостоверения.
Службы управления жизненным циклом идентификатора позволяют участнику безопасности выполнять создание, управление атрибутами, синхронизацию, объединение и удаление. Кроме того, необходимо выполнять данные действия с учетом вопросов безопасности и с тщательным последующим аудитом. В данном разделе содержатся сведения о том, как продукты Microsoft соответствуют этим требованиям.
На этой странице
Интеграция идентификаторов
Средства инициализации
Делегируемое администрирование
Самообслуживание
Управление учетными данными
Интеграция идентификаторов
Службы интеграции идентификаторов связывают идентификационную информацию, расположенную в различных каталогах, базах данных и других хранилищах идентификаторов. Они обеспечивают унифицированное представление пользователей и могут реализовывать предоставление и отзыв идентификаторов в нескольких хранилищах.
Корпорация Майкрософт предлагает два соответствующих приложения для интеграции идентификаторов, обсуждаемых далее в данном разделе. К этим продуктам относятся:
· Microsoft® Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1);
· пакет Identity Integration Feature Pack 1a для Microsoft Windows Server™ Active Directory.
MIIS 2003 SP1 расширяет возможности службы каталогов Microsoft Active Directory® путем обеспечения широких возможностей по взаимодействию, в которые входят:
· интеграция с разнообразными хранилищами идентификаторов;
· предоставление идентификаторов в несколько хранилищ;
· объединение идентификаторов, автоматическое определение изменений и синхронизация изменений между системами;
· преобразование данных из одного хранилища идентификаторов в соответствии со схемой другого хранилища.
Пакет Identity Integration Feature Pack 1a для Microsoft Windows Server Active Directory представляет собой версию MIIS 2003 SP1 с ограниченными функциями. Данный продукт можно бесплатно получить на веб-узле корпорации Майкрософт. Пакет функций позволяет выполнять интеграцию идентификаторов, содержащихся в Active Directory, ADAM и глобальных списках адресов Exchange 2000/2003. Загрузить пакет можно со страницы Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory центра загрузки Microsoft.
Кроме того, корпорация Майкрософт предлагает прочие средства, которые позволяют осуществлять интеграцию со специфическими платформами. Такие решения дают возможность интеграции отличных от Windows операционных систем в окружение Windows, а также могут быть полезны в некоторых случаях, когда возможностей MIIS 2003 SP1 недостаточно либо существует необходимость интеграции с другой платформой.
Прочие средства интеграции.
· Службы для UNIX. Данное программное средство расширяет возможности записей Active Directory для хранения в них учетных данных и прав UNIX, тем самым позволяя администрировать пользователей и группы UNIX в стиле, используемом при администрировании пользователей и групп Windows. Кроме того, с помощью данного средства возможна синхронизация паролей между UNIX и Active Directory.
· Службы для NetWare. Данное средство обладает высокой гибкостью и обеспечивает полное взаимодействие Active Directory и Novell eDirectory 8.7, включая системную базу. Оно снижает издержки управления идентификаторами и доступом посредством двусторонней синхронизации паролей между Active Directory и системами Novell.
· Службы для Macintosh. Данное средство использует компонент интеграции сервера Microsoft Windows для обеспечения совместного использования файлов и принтеров на компьютерах с операционными системами Windows и Macintosh. Кроме того, сервер Windows может функционировать в качестве маршрутизатора AppleTalk. Службы для Macintosh также включают в себя модуль Microsoft User Authentication Module (MSUAM), который обеспечивает безопасный механизм однократной регистрации для Macintosh-клиентов при доступе к приложениям сервера Windows Server 2003.
· Host Integration Server (HIS). Этот продукт обеспечивает интеграцию приложений, данных и сетей с целью расширения доступа операционных систем Windows к устаревшим хост-системам, таким как AS/400, и к мэйнфреймам с операционными системами DB2, RACF, ACF2 и другими. Сервер HIS может, кроме того, выполнять сопоставление идентификаторов и паролей пользователей Windows с хост-системой без изменения среды безопасности последней.
К началу страницы
Средства инициализации
Главной проблемой управления жизненным циклом цифровых удостоверений является возможность добавления и удаления участников безопасности в централизованное хранилище идентификаторов, управляемое Active Directory, а также в другие хранилища идентификаторов для приложений, которые не полностью интегрированы с Active Directory. Данный сценарий обычно называют сценарием «принял-уволил».