mónica fernández monicf@microsoft.com raúl moros rmoros@kabel.es

Gestión de Identidades con FIM.Escenarios Básicos

Mónica Fernándezmonicf@microsoft.com

Raúl Morosrmoros@kabel.es

Agenda• Introducción • Servicio de sincronización • FIM Service

− Arquitectura − Portal

• Elementos de gestión − Sets − Management Policy Rules − Reglas de sincronización declaradas − Workflows

• Gestión de usuarios • Gestión de grupos • Auto-servicio para el usuario

− Peticiones y aprobaciones − Gestión de contraseña

Introducción

CreaciónAprovisionamiento de:

UsuariosCredencialesRecursos

Autoría de políticas

Regulación de políticas

Notificaciones y Aprobaciones

Auditorías

Gestión de Políticas

Deprovisionamiento de identidades

Revocación de credenciales

Deprovisionamiento de recursos

EliminaciónCambios de rol

Reseteo de contraseñas y PIN

Peticiones de recursos

Actualización

Gestión de Identidades

Identity Lifecycle Manager -> Forefront Identity Manager

Sincronización de IdentidadesAprovisionamiento de UsuariosGestión de Certificados y Smartcards

Integración con office para autoservicioSoporte para CAs de tercerosAprovisionamiento sin desarrolloGestión de grupos y listas de distribuciónWorkflow y Políticas

User Management

GroupManagement

Credential Management

Common PlatformWorkflowConnectorsLoggingWeb Service APISynchronization

PolicyManagement

FIM 2010: Arquitectura

El componente de sincronización de FIM 2010 permanece igual que en la

versión anterior

FIM 2010 incorpora un nuevo repositorio conectado a la

capa de sincronización mediante un MA dedicado

FIM 2010 incorpora un portal web que proporciona funcionalidades de

autoservicio, workflow, gestión de políticas y

asistentes de configuración

Object Store

FIM 2010 MA

WSS

Servicio de Sincronización

Ejemplo Sincronización

Email

Aplicaciones

DirectorioActivo

RecursosHumanos

NameEmployee IDCost centerManagerRoles

NameEmail AliasMailboxsettings

NameDomain Account ManagerEmail

App AccountApp profile1App profile2App profile3

NameEmployee IDCost centerManagerRolesEmail AliasDomain AccountApp AccountApp Profile 1App Profile 2App Profile 3

Meta Directory + Synch Engine

1

2

3

4

Arquitectura Sincronización

Connected Directories

Management Agents

Synch Engine +

Repository

Agent Less

Forefront Identity Manager

Arquitectura Metadirectorio

METAVERSE

CONNECTOR SPACE

CONNECTOR SPACE

CO

NN

EC

TO

R

SPA

CE

CO

NN

EC

TO

R

SPA

CE

Connector SpaceÁrea intermediaRepresentación de objetos de los CDsÁrea separada para cada MA

MetaverseInformación de identidad agregada de múltiples CDsObjetos creados en base a la información de CS y de las reglas

Proceso de Gestión de Identidad• Proceso en tres fases

− Staging− Importación de objetos externos al Connector

Space− Synchronization (inbound + outbound)

− Actualización de la información de la metaverse de acuerdo a las reglas definidas

− Export− Propagación de los cambios en los objetos de

la metaverse a los Connector Spaces y a los directorios externos

Conectores• Active Directory • Active Directory Lightweight Directory Services (ADLDS)• Active Directory Global Address List (GAL) • Attribute-value pair text files• Delimited text files• Directory Services Markup Language (DSML) 2.0• Fixed-width text files• LDAP Data Interchange Format (LDIF) • IBM DB2 • IBM Tivoli Directory Server • Lotus Notes • Novell eDirectory• SQL Databases• Oracle Database• SAP • Sun and Netscape Directory Services• Forefront Identity Manager 2010 Certificate Management• Management Agent for Extensible Connectivity

Beneficios

• Arquitectura sin agentes− Más sencilla que las arquitecturas

basadas en eventos− Comportamiento cercano al tiempo real

• Procesamiento basado en estados− FIM almacena el estado del objeto

después de la última sincronización satisfactoria− Permite detectar cambios externos y

minimizar el impacto de fallos de red

• Comunicación con los sistemas externos mediante sus interfaces de programación

Demo: Servicio de Sincronización

Descripción escenario demo

HREmpleados

FIMService DB

Directorio Activo / Exchang

e

MetaverseCS

CS

CS

FIM MA

MA Directorio

Activo

ERP MA

FIM Service

Cómo FIM 2010 Extiende este escenario• Proporciona un punto centralizado para la

gestión de identidades, que incluye las siguientes características:− Soporte de Workflows

− FIM 2010 permite la automatización de procesos de negocio gestionando las identidades de los usuarios y sus credenciales

− Autoservicio y delegación− FIM 2010 proporciona interfaces de alto nivel para que el usuario

final envíe y ejecute transacciones

− Gestión de Credenciales− Gestión de contraseñas− Gestión de certificados de usuario y smartcards

− Gestión de Políticas− FIM 2010 permite a los profesionales de IT crear y mantener políticas

de aprovisionamiento desde interfaces web

FIM 2010: Arquitectura

FIM 2010 incorpora un nuevo repositorio conectado a la

capa de sincronización mediante un MA dedicado

FIM 2010 incorpora un portal web que proporciona funcionalidades de

autoservicio, workflow, gestión de políticas y

asistentes de configuración

El componente de sincronización de FIM 2010 permanece igual que en la

versión anterior

Object Store

FIM 2010 MA

WSS

FIM Extensible Platform

FIM Sync

Arquitectura de Web ServicesFIM Web Service

Request Processor

Approval Workflow Sync

Store

Directories

DatabasesE-Mail Systems

Applications

Action Workflow

AuthN Workflow

Delegation& Permissions

Identity Stores

Office SharePointWindows Custom

Clients

ObjectStore

Adapters

User Mgmt

Group Mgmt

Credential Mgmt

Policy Mgmt

Solutions

Custom

Portal

Elementos de Gestión

Sets• Colecciones de objetos definidos de forma

dinámica o por asignación estática• Se utilizan en la modelización de políticas

de negocio• Pueden incluir múltiples tipos de objetos, y

otros Sets

Set A: Todas las Personas

Set B: Todas las cuentas que

expiran en 14 días

Set D: todos los empleados que reportan

a…

PolíticasSi un [Empleado de RRHH]1 solicita [cambiar]2 un [subcontratado]3 a un [empleado a tiempo completo]4, [asigna permisos]5, además [solicita la presentación de una smartcard]6, entonces [solicita la aprobación del manager]7, entonces aplica el cambio y [notifica al empleado]8.

1. El solicitante. ¿Quién hace la petición? 2. La acción. ¿Qué petición se hace? 3. El estado inicial: ¿A qué impacta la petición?4. El estado final: ¿Cuál será el estado final del objeto? 5. Permisos: ¿esta operación se permite de forma explícita,

o como consecuencia de otra asignación de permisos?6. Proceso de autenticación: identificación7. Proceso de autorización: asignación de permisos8. Procesamiento de la acción: acciones de seguimiento

resultantes de la petición

Management Policy Rules

• Definición: − Solicitantes: quién puede desencadenar

el procesamiento de la MPR− Operaciones: cómo se verán afectados

los objetos destino (creados, leídos, actualizados, borrados)

− Objetos destino: objetos afectados por la regla

− Workflows− Authentication− Authorization− Action

AuthZWorkflow

AuthN Workflow

Permissions Action Workflow

FIMService

DBRequest Processor

Procesamiento

FIM Service

1. Se recibe la petición2. Se evalúa el token y el tipo de petición (se requiere un token Kerberos)3. Determinar si existe un permiso4. Si se requiere autenticación, serializar y ejecutar los workflows interactivos5. Si se requiere autorización, paralelizar y ejecutar workflows6. Almacenar la información7. Si se requiere una acción, ejecutar los workflow pertinentes

1, 2 3 4 5 6 7

Reglas de Sincronización

Synchronization Rules

• Definen las relaciones y transformaciones entre los tipos de recursos de FIM y los objetos en un sistema conectado

• Se definen desde el portal de FIM, y se envían al servicio de sincronización de FIM, donde se procesan.

• Las reglas de sincronización y las MPRs facilitan la gestión de situaciones complicadas en el flujo de información.

Synchronization Rules: Tipos

• De entrada: crean los objetos de un directorio conectado en FIM (Import)

• De salida: iniciadas por una petición de FIM, aprovisionan objetos en los directorios conectados (Export)

• Bidireccionales.

Demo: FIM Service y Portal

Gestión de Usuarios

• Portal centralizado que proporciona:− Un esquema extensible (para atributos y

objetos adicionales)− Formularios de entrada con validaciones − Workflows para gestionar las solicitudes− Capacidades de búsqueda

• Modelo de seguridad que permite delegación y autoservicio de usuario

• Integración con herramientas conocidas

• Características de temporalidad: expiración de objetos, acciones retardadas, etc.

Demo: Gestión de Usuarios

Gestión de Grupos

• Tres tipos de pertenencia:− Basados en criterio

− Calculados en base a propiedades del usuario

− Grupos de pertenencia manual− Grupos en base al manager

• Por defecto orientados a gestionar grupos de Directorio Activo:− Grupos de seguridad− Listas de distribución

• Pero puede extenderse para gestionar grupos en cualquier otro tipo de sistema.

Demo: Gestión de Grupos

Autoservicio de usuarios

• Herramientas para autoservicio de usuario:− Portal: permite al usuario gestionar su

propia información− Integración con outlook para gestión de

pertenencia a grupos y/o listas de distribución

− Reseteo de contraseña integrado en el logon de Windows

Demo: Autoservicio de Usuarios

© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.