Microsoft Forefront Identity Manager 2010

Преимущества

Управление политиками:

• Основанная на SharePoint консоль для создания политик, обеспечения их выполнения и аудита;
• Расширяемые API-интерфейсы службы FIM и рабочие процессы Windows Workflow Foundation;
• Синхронизация и обеспечение последовательности разнородных удостоверений. 

Управление учетными данными:

• Управление сертификатами в разнородной среде с поддержкой центров сертификации сторонних производителей;
• Возможность самостоятельно сбросить пароль интегрирована в средство входа в Windows.

Управление пользователями:

• Интегрированное решение по предоставлению удостоверений, учетных данных и ресурсов;
• Автоматизированное, декларативное обеспечение пользователей необходимым для работы, а также отзыв предоставленного ранее; 
• Средства самостоятельного управления профилем и справочники.

Управление группами:

• Мощные инструменты для самостоятельного управления группами на основе Office; 
• Одобрения в автономном режиме через Office Outlook;
• Автоматизированное обновление групп и списков распределения.

Подробнее о возможностях и преимуществах

Управление политиками:

• FIM 2010 содержит инфраструктуру по автоматизации и интеграции управления удостоверениями, так что все используемые на предприятии системы будут работать с одним и тем же набором политик.

Это достигается за счет:

• централизации создания, обеспечения выполнения и аудита политик. FIM 2010 будет содержать интуитивно понятный пользовательский интерфейс на основе SharePoint. С его помощью системные архитекторы, ИТ-администраторы и конечные пользователи смогут создавать правила, регулирующие различные аспекты пользователей и групп. При этом используются естественные языковые конструкции и удобные элементы управления на основе меню. Средства управления политиками позволят и бизнес-пользователям, равно как службе ИТ, создавать отчеты по событиям и бизнес-правилам, обработанным FIM 2010, а также задавать автоматически выполняемые на основе этой информации действия. Это позволяет оценивать уровень соответствия нормативным требованиям, а также обеспечивать выполнение бизнес-правил, направленных на достижение соответствия;
• расширяемых рабочих процессов Windows Workflow Foundation. FIM 2010 содержит мощные визуальные средства управления рабочими процессами Windows Workflow Foundation, что позволяет ИТ быстро задавать, автоматизировать и обеспечивать выполнение политик, касающихся удостоверений. Интегрированные рабочие процессы можно использовать в рамках создания учетных записей или делегирования задач для подтверждения или отклонения запросов. Также FIM 2010 будет содержать API-интерфейсы веб-служб, с помощью которых можно изменить и расширить его функциональность на уровне платформы или на уровне решения. FIM 2010 использует рабочие процессы Windows Workflow Foundation (WF), что позволяет импортировать и повторно задействовать существующие WF-процессы;
• синхронизации и обеспечения последовательности разнородных удостоверений. FIM 2010 обеспечивает интеграцию с широким спектром сетевых операционных систем, программ электронной почты, баз данных, каталогов, приложений и файлов данных. Он поддерживает подключения к Active Directory, Novell, Sun, IBM, Lotus Notes, Microsoft Exchange Server, базам данных Oracle, базам данных Microsoft SQL Server™, SAP и другим. Благодаря этому становится возможным синхронизировать все многообразие различных источников информации об удостоверениях, используемых на предприятии. В большинстве случаев для этого не потребуется устанавливать на целевые системы какое бы то ни было ПО. Но, поскольку иногда может потребоваться подключиться к самостоятельно написанному или устаревшему приложению, применяемому только на этом предприятии, для FIM 2010 можно разработать и собственный агент, используя среду Microsoft Visual Studio®, что позволит включить в систему управления удостоверениями и эти приложения.

Управление учетными данными:

• FIM 2010 позволяет единообразно и централизованно управлять многими учетными данными, как с позиции администратора, так и с позиции конечного пользователя. ИТ- специалисты получают единое централизованное средство работы с политиками пользователей, определения новых политик, создания шаблонов смарт-карт и процессов для сброса ПИН-кодов. Интерфейс конечного пользователя в FIM 2010 интуитивно понятен. Средства управления учетными данными, адресованные конечным пользователям, встроены в знакомые приложения и интегрированы со знакомыми инструментами, что сокращает стоимость их развертывания на предприятии и позволяет быстрее и легче разобраться в их работе.

FIM 2010 обеспечивает:

• средства управления жизненным циклом учетных данных, объединенные со средствами обеспечения пользователей необходимым. В FIM 2010 можно определять политики, контролирующие процессы обеспечения пользователей необходимым для работы. Это означает, что рабочие процессы FIM 2010 можно настроить на автоматическое создание учетной записи пользователя, указание начального пароля и запуск процесса по выпуску смарт-карты и цифровых сертификатов. Например, процесс обеспечения пользователя необходимым для работы может не только создать новую учетную запись Active Directory и настроить почтовый ящик, но и назначить новому пользователю одноразовый ПИН-код для активации смарт-карты;
• управление различными учетными данными, например центрами сертификации и средствами создания одноразовых паролей сторонних поставщиков. Функциональность FIM 2010 можно расширить для управления широким спектром учетных данных, используемых на предприятии для контроля доступа к ресурсам. Возможности по централизованному управлению сертификатами и смарт-картами, имевшиеся в ILM 2007, теперь можно распространить на дополнительные факторы проверки подлинности, в том числе центры сертификации и устройства для предоставления одноразовых паролей сторонних поставщиков;
• возможность самостоятельно изменить пароль, интегрированную в средство входа в Windows. FIM 2010 позволяет пользователям самостоятельно изменить и сбросить пароль и ПИН-код смарт-карты, используя окно входа в систему Windows;
• настраиваемые шлюзы проверки подлинности для самостоятельного сброса пароля. В состав FIM 2010 будут входить настраиваемые шлюзы проверки подлинности на основе вопросов и ответов, а также средства для создания собственных типов шлюзов — например, шлюзов смарт-карт или шлюзов, которые требуют введения кода, отправленного на мобильный телефон пользователя. Процесс внедрения шлюза проверки подлинности можно настроить так, чтобы все пользователи предприятия должны были начать его использовать — например, указав обязательную регистрацию при входе в систему;
• упрощенный вход за счет синхронизации паролей разных систем. Важно отметить, что FIM 2010 обеспечивает упрощенный вход за счет возможностей по синхронизации удостоверений, что позволяет синхронизировать пароли к разнородным системам.

Управление пользователями:

• Из преимуществ, которые Майкрософт обеспечивает с точки зрения разработчика и с точки зрения бизнеса, следует особо выделить автоматизированное, не требующее написания кода обеспечение пользователей всем необходимым. FIM 2010 содержит инструменты для интегрированного управления пользователями и организации самообслуживания в рамках используемых на предприятии приложений, что позволяет избежать затрат, связанных с написанием бизнес-правил или изменением конечных систем.

В число этих автоматизированных средств входят:

• декларативное обеспечение пользователей всем необходимым. FIM 2010 обеспечивает пользовательский интерфейс, с помощью которого можно настроить необходимые действия. При этом не требуется писать собственный код, как это было в предыдущих версиях. Автоматизированное обеспечение пользователей позволяет без труда описать рабочие процессы, связанные с появлением на предприятии нового пользователя и обеспечением ему необходимого доступа к приложениям;
• интегрированное решение по предоставлению удостоверений, учетных данных и ресурсов. Средства управления, включенные в состав FIM 2010, позволяют создавать политики предоставления учетных записей, ресурсов и учетных данных, связывать их с пользователями, встраивать необходимые рабочие процессы — и все это безо всяких усилий. Таким образом, когда на предприятии появляется новый сотрудник, автоматизированные и интегрированные процессы позволят ему в первый же день полноценно приступить к работе. Отзыв всех предоставленных пользователю ресурсов при его увольнении также становится централизованным и менее сложным, благодаря чему становится проще провести полную отмену разрешений и лучше подготовиться к аудиту на предмет соответствия нормативным требованиям;
• средства самостоятельного управления профилем пользователя. Новые возможности FIM 2010 дают пользователям возможность самостоятельно управлять собственными удостоверениями. ИТ-специалисты могут с помощью FIM 2010 задать политики, контролирующие эти действия, — например, можно требовать одобрения администратором запрошенных пользователем изменений или получать уведомления об их совершении. Так, можно передать конечным пользователям возможности по управлению номерами мобильных телефонов. Для внесения изменений пользователи обращаются к порталу FIM 2010. Благодаря этому такая информация, как номера мобильных телефонов, поддерживается в актуальном состоянии, так что до пользователя всегда можно дозвониться.

Управление группами:

• FIM 2010 изначально содержит мощные средства, которые повышают продуктивность конечных пользователей, высвобождают ИТ-специалистам время, уходившее на выполнение рутинных задач, и обеспечивают повышенный уровень безопасности и соответствия нормативным требованиям.

В их числе:

• мощные инструменты для самостоятельного управления группами. FIM 2010 обеспечивает средства самостоятельного управления группами и списками распределения через веб-портал. Интеграция с Outlook позволяет конечным пользователям управлять запросами на членство в группах с помощью уже знакомых средств совместной работы, так что дополнительное обучение минимально. Например, имеются кнопки для согласия или отказа в участии в группе, с помощью которых пользователи могут сами определять, в какие группы они входят, не обращаясь к технической поддержке. Пользователи FIM 2010 могут создавать списки распределения для новых виртуальных групп и управлять запросами на присоединение к этим спискам со стороны других пользователей;
• одобрения в автономном режиме через Outlook. Средства управления членством в группах FIM 2010 встраиваются в Outlook. Это позволяет использовать Outlook, чтобы, например, запросить членство в группе или управляться с запросами, не будучи подключенным к сети;
• автоматизированное обновление групп и списков распределения. Помимо самостоятельного управления членством в группах, FIM 2010 позволяет динамически определить участников группы, основываясь на характеристиках ресурса. При использовании этой возможности пользователи добавляются и удаляются из групп автоматически. Например, можно создать группу, описывающую права доступа к ресурсам отдела, и сделать ее членами начальника отдела и его непосредственных подчиненных. В этом случае FIM 2010 автоматически определит участников группы, анализируя атрибут «Начальник» ресурса, представляющего пользователя. Если в отделе происходят структурные изменения, например, кто-то переходит в другой отдел или появляется новый сотрудник, членство в группе автоматически обновляется. Динамическое членство в группах позволяет снизить объем ручного труда, связанного с эффективной защитой ресурсов.