Novell Identity Manager

Novell Identity Manager позволяет снизить число паролей, которые необходимо помнить пользователям. В результате сотрудники IT-подразделений тратят меньше времени на решение проблем пользователей с паролями и получают возможность уделять больше времени стратегически важным проектам. Сотрудники могут сами изменять свои пароли через специализированный портал самообслуживания без обращения к службе help desk.

Двунаправленная синхронизация паролей позволяет пользователям менять свои пароли с использованием основных инструментов системы, в которой они работают (например, Windows), после чего Identity Manager производит синхронизацию паролей в остальных системах, с которыми должен работать пользователь. Identity Manager также предоставляет средства для реализации глобальной политики управления паролями, что способствует большему усилению защиты во всех информационных системах предприятия.

Политика позволяет контролировать такие параметры, как синтаксис паролей, их свойства, время жизни, использование специальных символов и различные исключения. Identity Manager позволяет использовать как централизованное так и распределенное управление различными параметрами учетных записей. Можно назначить любую базу данных или каталог в качестве основного источника информации и определить бизнес-правила, которые контролируют результат проведения изменений в учетной записи в различных информационных системах.

Novell Identity Manager поддерживает большое количество драйверов для подключения к различным системам, среди которых:

• eDirectory;
• Microsoft Active Directory;
• SAP R/3, SAP HR
• Microsoft Windows NT;
• Каталоги LDAP;
• Linux;
• UNIX;
• Novell GroupWise;
• Lotus Notes;
• Microsoft Exchange.

Доступны дополнительные драйверы для PeopleSoft и JDBC-совместимых баз данных:

• IBM DB2 Universal Database (UDB) 7.2 или выше;
• IBM DB2 Universal Database (UDB) 8.2 или выше;
• Informix Dynamic Server (IDS) 9.40 или выше;
• Microsoft SQL Server 8 (2000) Service Pack 3a или выше;
• Microsoft SQL Server 7.5 Service Pack 4 или выше;
• MySQL 4.1.6 или выше;
• Oracle 8i Release 3 (8.1.7);
• Oracle 9i Release 2 (9.2.0.1) или выше;
• Oracle 10g;
• PostgreSQL 7.0.6 или выше;
• Sybase Adaptive Server Enterprise (ASE) 12.5 или выше).

* - Tакже драйверы для Mainframe типа RACF, ACF2, Top Secret (для OS/390 и z/OS). Identity Manager также поддерживает возможность создания нестандартных драйверов.

Управление доступом на основе ролей

Подключаемые модули управления Identity Manager для Novell iManager вместе с Identity Designer также служат для создания политик нового типа - так называемых политик управления правами на основе ролей (Entitlements). Функция Entitlements позволяет назначать для персоны или группы критерии, при удовлетворении которых инициируется событие по предоставлению или ликвидации прав доступа к ресурсам организации в синхронизируемых системах. Это создает еще один уровень контроля и автоматизации процесса выделения и аннулирования ресурсов. Политики на базе ролей представляют собой новый и элегантный способ управления доступом к ресурсам многих систем - на основе бизнес-требований, которые и определяют роли пользователей в организации. Например, можно создать политику Sales Entitlement, предоставляющую всем сотрудникам отдела продаж доступ к определённым сетевым службам через членство в группе eDirectory, а также права учетных записей пользователей Lotus Notes и учетных записей Active Directory с автоматической регистрацией почтового ящика в Microsoft * - На каждом сервере или рабочей станции, данные с которых необходимо передавать в Novell Audit, необходимо установить агент платформы 2.0.2FP6 или более поздний..

В интерфейсах iManager (Role-Based Entitlements) и Identity Designer (Entitlement Wizard) доступны мастера, помогающие выполнить процесс создания основанной на ролях политики доступа, делая процесс управления правами доступа в различных системах значительно проще, чем это было когда-либо ранее.

Управление ресурсами на базе рабочих потоков, предоставление прав "методом двух рук"

Novell Identity Manager приводит в действие бизнес-правила организации, автоматизируя процесс выделения ресурсов сотрудникам таким образом, чтобы с первого дня у них был доступ ко всему, что им нужно для работы. Он связывает основные службы предприятия, такие как система учета кадров (HR), системы электронной почты и коллективного взаимодействия, каталоги, сетевые операционной системы, решения по обеспечению безопасности и даже системы физического доступа. Все учетные записи создаются автоматически, и требования на ИТ-услуги оформляются сразу же, как только имя нового сотрудника вводится в авторитетный источник, например, в HR-систему. Но не всегда с позиции безопасности такой способ управления допустим. На любом предприятии существуют приложения и хранилища информации, так называемые «для служебного пользования», доступ к которым обязательно должен утверждаться несколькими лицами, разделяющими ответственность за предоставление права доступа. Эта задача решается модулем Workflow System Service, содержащим компоненты управления процедурами согласования, введением возможностей ручного утверждения. Такой метод выделения ресурсов можно использовать также и, например, для заказчиков, партнеров и поставщиков. Workflow System Service, работая плотно с политиками управления правами на основе ролей, предоставляет следующие возможности:

Процедуры согласования доступа:

• Организация прохождения запросов на доступ через заранее настроенные и контролируемые системой аудита схемы согласования. В составе Identity Manager поставляются уже готовые шаблоны согласований (последовательные с двумя, тремя,… лицами, параллельные и т. п.), что позволяет значительно ускорить процесс настройки.

Ресурсы по заказу:

• Описанные выше механизмы утверждения доступа могут быть использованы и при обслуживании процессов заказа ресурсов ИС. При необходимости доступа к дополнительным ресурсам ИС, пользователь имеет возможность самостоятельно из браузера выбрать необходимые ресурсы из предоставленного списка. После прохождения в Identity Manager сконфигурированных процедур согласования (с участием, например, нач. отдела, работника службы безопасности) сотрудник автоматически получает необходимые права в ИС.

Контроль процессов согласования:

• При прохождении запросов по цепочкам согласования Identity Manager обеспечивает интерфейсы контроля очередей запросов на предоставление доступа как от имени инициировавшего запрос, так и от имени лица, выполняющего визирование. Набор пиктограмм показывающих ход согласования однозначно даёт ответ в браузере о статусе запроса.

Оповещение:

• Одна из задач Workflow System Serviceв, призванных повысить скорость и качество обработки запросов, является оповещение лиц, выполняющих визирование. Предусмотрено два варианта. Первый, обеспечивает автоматическое появление необработанных запросов на утверждения в специальном разделе Web-портала Identity Manager. Второй, обеспечивает оповещение по электронной почте. В письмо автоматически вкладывается специальный URL, переводящий контролёра в нужную точку согласования на Web-портале.

Делегирование полномочий:

• Во избежание заторов в цепочках согласования, вызванных неспособностью части контролёров быстро утвердить запросы на предоставления доступа (например, из-за неожиданной командировки, болезни и т. п.), существует возможность контролёру самостоятельно делегировать свои права визирования другим лицам (режим Proxy, или другими словами «И.О.»). Данная процедура контролируется системой аудита. Также существует возможность инициирования процесса делегирования части полномочий. Что может быть полезным, например, при необходимости руководителю перераспределения функциональных обязанностей в коллективе. Инициирование в системе такого процесса заставит Identity Manager перенести набор прав доступа от одного работника к другому с оповещение на Web-портале;
• Автоматическое удаление/блокирование учетных записей (что гораздо критичнее, чем регистрация) позволяет удалять все (или определённые) копии электронной персоны, внеся изменение в единственном месте и немедленно отменив любые привилегии доступа, как только прекращаются отношения с данным работником. Это значительно уменьшает риски, предотвращая возможность доступа бывших работников, партнеров и других контрагентов к информации, а также экономит средства, исключая продолжение использования домашних каналов доступа в интернет, удалённых доступов в сеть и других корпоративных ресурсов.

Инструментарий управления, проектирования и использования

Novell iManager

Novell iManager – общий для eDirectory и Identity Manager Web-инструментарий управления содержимым каталога и его отображением. iManager обеспечивает системных администраторов комплексным представлением всех ресурсов сети (в том числе и синхронизируемых при помощи Identity Manager приложений) и связей с использованием обычного Web-браузера, а также предоставляет ряд дополнительных инструментов мониторинга, диагностики и управления. Задачи управления можно делегировать, что позволяет легче администрировать территориально распределенную сеть. Ядро iManager базируется на технологии сервлетов и использует в качестве сервера приложений Tomcat, а Web-сервера – Apache.

Использование таких популярных Open Source решений, позволяет iManager функционировать на множестве платформ:Novell Open Enterprise Server, SUSE LINUX, NetWare, Windows2000/2003 Server, Windows2000/XP, Red Hat, Solaris, HP-UX. Преимуществами iManager по сравнению с другими инструментами (как от Novell, например, ConsoleOne/Nwadmin, так и от третьих компаний) является: - Клиентонезависимость (Windows ОС, Linux ОС и др.). - Поддежка популярных браузеров. - Ролевое администрирование. - Централизованное управление большинством решений Novell (включая Identity Manager) и некоторыми популярными OpenSource решениями (например, Samba, Apache). - Гибкость в настройке. - Единое средство как для разработки проекта, так и для администрирования.

Identity Designer

Основанный на структуре Eclipse, Identity Designer позволяет визуально отобразить всю схему управления электронными персонами, а затем управлять ее конфигурацией. Designer также может конфигурировать клиентскую часть пользовательского Web-портала Identity Manager, основанного на технологии портлетов, позволяя не только изменять внешний вид каждого из них, но и модифицировать каждый портлет на уровне полей. Более того, Designer позволяет решать большую часть задач по конфигурированию в режиме имитатора. Это означает, что вы можете создать или импортировать существующий проект системы управления электронными персонами и проиграть его в режиме «что-если», меняя параметры настройки. После успешной проверки, проект экспортируется в "живую" базу службы eDirectory. Мощные визуальные редакторы, минимум всплывающих окон и хорошо синхронизированные представления, гарантируют максимальную производительность труда при разработке проекта. Чтобы полностью использовать все возможности этого инструмента, не обязательно быть разработчиком или программистом. Мастера делают этот инструмент простым в изучении и использовании при создании решений для управления идентификационными данными. Опытные пользователи могут обойти эти мастера и работать напрямую с любым уровнем детализации.

Полезными будут также возможности Identity Designer автоматически генерировать документацию по разработанному проекту, функционировать на рабочих станциях как под управлением ОС Windows*, так и Linux, наличие подробной справочной системы.

Cистемные требования

* - Identity Manager 4.0.1 (Metadirectory System)

Операционные системы для 32-bit Identity Manager 4.0.1:

• Windows Server 2003 SP2 и более поздние версии (32-bit);
• Windows Server 2008 SP1 or later support packs (32-bit);
• Red Hat 5.4 (32-bit);
• SUSE Linux Enterprise Server 10 SP3 (32-bit);
• SUSE Linux Enterprise Server 11 SP1 (32-bit);
• Open Enterprise Server SP3 (32-bit);
• Xen;
• Red Hat Enterprise Linux Virtualization (32-bit);
• VMWare ESX;
• Windows Server 2008 R2 Virtualization с Hyper-V;

• *eDirectory: 8.8.6 и более поздние версии 32-bit.

Операционные системы для 64-bit Identity Manager 4.0.1:

• Windows Server 2008 R2(64-bit);
• Windows Server 2008 SP1 or later support packs (64-bit);
• Red Hat 5.4 (64-bit);
• SUSE Linux Enterprise Server 10 SP3 (64-bit);
• SUSE Linux Enterprise Server 11 SP1 (64-bit);
• Open Enterprise Server SP3 (32-bit);
• Solaris 10 (64-bit);
• Red Hat Enterprise Linux Virtualization (64-bit);
• Xen;
• Red Hat Enterprise Linux Virtualization (64-bit);
• VMWare ESX;
• Windows Server 2008 R2 Virtualization с Hyper-V;
• *eDirectory: 8.8.6 и более поздние версии 64-bit.

Web-based Administration Server:

• iManager 2.7.4.

User Application Server

The User Application с JBoss 5.1.0 требует JRE 1.6.0_20 дляSun и поддерживается на ОС:

• Windows server 2003 (только 32-bit);
• Windows server 2008 R2 (только 64-bit);
• Windows 2008 SP1 Server (только 32-bit & 64-bit);
• Novell Open Enterprise Server (OES)2 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 10 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 11 SP1 (32-bit и 64-bit);
• Red Hat Linux 5.4 (32-bit и 64-bit).

The User Application на WebSphere 7.0 требует IBM J9 VM (build 2.4, J2RE 1.6.0) и Fix Pack 7. Поддерживается на следующих платформах:

• Windows Server 2003 SP2 (только 32-bit);
• Windows Server 2008 R2 (только 64-bit);
• Windows Server 2008 SP1 (32-bit и 64-bit) с последними пакетами поддержки;
• Open Enterprise Server 2 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 10 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 11 SP1 (32-bit и 64-bit);
• Red Hat Enterprise Linux 5.4 (32-bit и 64-bit).

The User Application на WebLogic 10.3 требует JRockit JVM 1.6.0_17 и поддерживается на следующих платформах:

• Windows Server 2003 SP2 (только 32-bit);
• Windows Server 2008 R2 (только 64-bit);
• Windows Server 2008 SP1 (32-bit и 64-bit) с последними пакетами поддержки;
• Open Enterprise Server 2 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 10 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 11 SP1 (32-bit и 64-bit);
• Red Hat Enterprise Linux 5.4 (32-bit и 64-bit).

User Application Browser

* - The User Application поддерживает Firefox и Internet Explorer, как описано ниже.

FireFox 3.6 поддерживается на ОС:

• Windows XP с SP3;
• Windows Vista;
• Windows 7;
• SUSE Linux Enterprise Desktop 11;
• SUSE Linux Enterprise Server 11;
• Novell OpenSuSE 11.2;
• Apple Mac.

Internet Explorer 8 поддерживается на ОС:

• Windows XP с SP3;
• Windows Vista;
• Windows 7.

Internet Explorer 7 поддерживается на ОС:

• Windows XP SP3.

Сервер баз данных для User Application

Поддерживаются следующих базы данных с JBoss 5.1.0:

• MS SQL 2008;
• MySQL Version 5.1;
• Oracle 11gR2;
• PostgreSQL 8.4.3.

Поддерживаются следующие базы данных с WebSphere 7.0:

• DB2 9.5b;
• MS SQL 2008;
• Oracle 11gR2;
• PostgreSQL 8.4.3.

Поддерживаются следующие базы данных с WebLogic 10.3:

• MS SQL 2008;
• Oracle 11gR2;
• PostgreSQL 8.4.3.

Designer 4.0.1:

• Windows 7;
• Windows Vista Business (64-bit);
• Windows XP Professional with SP3 (32-bit);
• Windows 2003;
• Windows 2008;
• openSUSE 10 and 11 (32-and 64-bit);
• SUSE Linux Enterprise Desktop 10 with SP1 and SP2 (32-and 64-bit);
• SUSE Linux Enterprise Desktop 11 (32-and 64-bit);
• SUSE Linux Enterprise Server 11 (32-and 64-bit).

Analyzer 4.0.1:

• SUSE Linux Enterprise Desktop 10 SP2;
• SUSE Linux Enterprise Server 10 SP2;
• SUSE Linux Enterprise Desktop 11;
• SUSE Linux Enterprise Server 11;
• openSUSE 10.3;
• openSUSE 11.3;
• Windows XP или Vista (с последними Service Pack).

Identity Reporting Module Application Server

* - Отчетный модуль работает на JBoss, WebSphere, и WebLogic как описано ниже.

Отчетный модуль с JBoss 5.1.0 требует JRE 1.6.0-20 для Sun и поддерживается на платформах:

• Windows Server 2003 SP2 (32-bit);
• Windows Server 2008 R2 (64-bit);
• Windows Server 2008 SP1 (32-bit и 64-bit);
• Open Enterprise Server 2 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 10 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 11 SP1 (32-bit и 64-bit);
• Red Hat Linux 5.4 (32-bit и 64-bit).

Отчетный модуль на WebSphere 7.0 требует IBM J9 VM (build 2.4, J2RE 1.6.0). Поддерживается на платформах:

• Windows Server 2003 SP2 (32-bit);
• Windows Server 2008 R2 (64-bit);
• Windows Server 2008 SP1 (32-bit и 64-bit);
• Open Enterprise Server 2 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 10 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 11 SP1 (32-bit и 64-bit);
• Red Hat Linux 5.4 (32-bit и 64-bit).

Отчетный модуль на WebLogic 10.3 требует JRockit JVM 1.6.0_05 и поддерживается на платформах:

• Windows Server 2003 SP2 (32-bit);
• Windows Server 2008 R2 (64-bit);
• Windows Server 2008 SP1 (32-bit и 64-bit);
• Open Enterprise Server 2 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 10 SP3 (32-bit и 64-bit);
• SUSE Linux Enterprise Server 11 SP1 (32-bit и 64-bit);
• Red Hat Linux 5.4 (32-bit и 64-bit).

Identity Reporting Module Database Server:

• PostgreSQL 8.4.3.

Event Auditing Service:

• Event Auditing Service работает на SUSE Linux Enterprise Server 11 (32-bit и 64-bit).