Identity Lifecycle Manager "2"（或 ILM "2"）的新版本（在撰寫本文時是測試版 3）以 Microsoft Identity Integration Server 2003 (MIIS 2003) 和 ILM 2007 中的身份管理功能為基礎(chǔ)。它新增了許多功能和改進(jìn)—您可以使用自助式工具降低成本、使用業(yè)務(wù)流程建模提高安全合規(guī)性、使用直觀的開發(fā)工具縮短開發(fā)時間。

在本文中，我想介紹一下新增的重要功能和改進(jìn)，并探討 ILM "2" 能夠為公司帶來哪些益處。我將著重討論 ILM "2" 在以下方面的門戶體驗：管理用戶配置文件和組、自助密碼管理、業(yè)務(wù)流程和工作流設(shè)計、與 Microsoft Office 集成以及不使用代碼（稱為無代碼置備）制定同步規(guī)則的能力。最后（但同樣重要），我將介紹實現(xiàn) ILM "2" 的軟件、硬件和暫定的授權(quán)要求。

門戶體驗

Web 門戶是 ILM "2" 最顯著的新增功能之一，因為這是 Microsoft 首次為使用自助服務(wù)功能的最終用戶引進(jìn) UI。Web 界面為授權(quán)用戶和管理員提供了一個入口點，通過該入口點可以管理用戶和組、定義業(yè)務(wù)規(guī)則，甚至允許開發(fā)無代碼置備來設(shè)置帳戶。

ILM "2" 利用 Windows 集成身份驗證和 Active Directory，以便組織可以使用已在 Active Directory 中定義的現(xiàn)有用戶和組來提供身份驗證并對新用戶授權(quán)。具有管理權(quán)限的用戶和組可以執(zhí)行管理功能（如為過程定義工作流、配置同步規(guī)則）以及最終用戶可以執(zhí)行的任務(wù)。

管理員

如果您登錄到門戶網(wǎng)站且您具有管理權(quán)限，則與標(biāo)準(zhǔn)用戶相比，您可以訪問更多功能（請參見圖 1）。您可以查看并更新現(xiàn)有記錄，也可以在連接目錄中為新員工申請帳戶。

圖 1 ILM “2” 門戶

使用門戶設(shè)置新用戶時，您可以提交姓名、顯示名、電子郵件地址、開始日期、結(jié)束日期等用戶詳細(xì)信息。頁面上的字段可以根據(jù)需要進(jìn)行配置。使用對象可視化，您可以擴(kuò)大門戶架構(gòu)，使請求的數(shù)據(jù)類型達(dá)到最多（如員工的鞋號）。

同步引擎可檢測新記錄和從門戶所做的更改，并在連接目錄中相應(yīng)地設(shè)置用戶信息。在連接目錄中使用同步引擎設(shè)置帳戶的過程與 ILM 2007 中的過程相同?，F(xiàn)在的主要變化是管理員可以通過門戶輸入和更新員工信息，然后門戶將其提供給同步引擎，從而能更靈活地在連接目錄中收集和更新用戶信息。

人力資源數(shù)據(jù)庫通常不包含合同工和臨時工（如學(xué)生實習(xí)生），因此很難管理這些帳戶。這些帳戶通常都是使用多種應(yīng)用程序手動創(chuàng)建的，因此很容易讓人忘記在必要時手動將其刪除。這就會造成潛在的安全漏洞（用戶離開了組織后帳戶仍然處于激活狀態(tài)）。

一種方法是使用 ILM "2" 門戶設(shè)置和跟蹤臨時工個人資料。人力資源數(shù)據(jù)庫仍然是員工和合同工記錄的權(quán)威來源，而門戶只是作為另一種輸入和更新個人資料的方式，對人力資源數(shù)據(jù)庫起到輔助作用。#p#

標(biāo)準(zhǔn)用戶的情形

門戶還賦予標(biāo)準(zhǔn)用戶一些權(quán)限。用戶可以更新他們的部分信息，然后將信息傳送給連接目錄，在這一過程中仍使用 ILM "2" 同步引擎。作為管理員，您可以配置用戶有權(quán)更新的屬性，也可以驗證用戶輸入的字段信息的格式。此方法可以幫助保證各種數(shù)據(jù)源中有最新數(shù)據(jù)。

這與目前所使用的笨拙方法形成鮮明對比。為了使用戶能夠更新其信息，許多組織依賴于第三方的電話簿解決方案，或在內(nèi)部構(gòu)建自己的解決方案。其他組織要求用戶實際致電技術(shù)支持或提交書面材料才能更新信息。

這兩種方法都存在一些重大缺點。第三方應(yīng)用程序和自定義的內(nèi)部解決方案都非常昂貴且難以維護(hù)。一個這樣的解決方案中包含的更新信息通常不使用同步引擎來更新其他連接目錄。同時，讓用戶致電技術(shù)支持來更新信息會大大增加 IT 支持成本，也會讓支持人員被瑣碎的任務(wù)纏得無法脫身。

組管理的情形

通過定義查詢來根據(jù)用戶屬性值或按名稱對成員進(jìn)行分類，管理員現(xiàn)在可以使用連接目錄中的成員設(shè)置安全組和通訊組列表。所有操作均可使用基于 Web 的簡單 UI 完成。通過顯式添加用戶置備組很簡單，它還能處理更為復(fù)雜的情況。

您可以使用計算出的成員置備組，從而創(chuàng)建以上下級關(guān)系和特定屬性為基礎(chǔ)的組。這通過定義工作流操作來完成。例如，管理員可以通過定義查詢來對營銷部門中的所有用戶進(jìn)行分組，在組名稱中指派一個 "marketing" 值（參與營銷的所有用戶）。ILM "2" 同步引擎根據(jù)定義導(dǎo)入組，然后在連接目錄中置備組。使用布爾邏輯查找多個屬性可大大簡化開發(fā)復(fù)雜查詢的難度。

最終用戶還可以創(chuàng)建通訊組列表并通過門戶在列表中執(zhí)行添加或刪除?？梢约尤牍ぷ髁鞯呐鷾?zhǔn)邏輯，以便只有經(jīng)批準(zhǔn)的通訊組列表或授權(quán)用戶才可以加入列表。

先前版本的 ILM 允許您通過 Web 界面管理組，但這需要一個單獨的下載項—它是 Microsoft 身份和訪問管理系列中置備和工作流一節(jié)的內(nèi)容。該解決方案僅適用于管理員，不允許最終用戶加入和離開分配的組。

還有一些可以在 Web 門戶上執(zhí)行的管理功能。這些重要的管理功能包括：

確定置備到連接目錄的對象類型的優(yōu)先級。（這可以確保某些對象不必等待整個同步循環(huán)完成就可以進(jìn)行置備。）

修改用戶配置文件頁面的架構(gòu)。（要納入組織要求專用的字段，可以通過擴(kuò)展用于收集用戶信息的頁面架構(gòu)來實現(xiàn)。）

更新用戶帳戶狀態(tài)。

修改站點的外觀和運(yùn)行方式。（這允許您自定義門戶以適應(yīng)貴組織的標(biāo)準(zhǔn)。）#p#

自助密碼管理

ILM "2" 中新增的另一個關(guān)鍵功能是自助密碼管理解決方案。ILM 2007 中可用的兩個密碼管理解決方案（基于 Web 的解決方案和密碼更改通知服務(wù)）提供了有限的自助服務(wù)功能。這兩個解決方案都需要用戶輸入舊密碼才能重置其密碼；這樣他們在忘記密碼時就會非常的無助—此種情況下，用戶將需要致電技術(shù)支持。

ILM "2" 允許用戶使用質(zhì)詢-響應(yīng)問題（可從 Windows logon UI 進(jìn)行訪問）重置他們的密碼，從而解決了這一問題。很明顯，這能夠幫助降低技術(shù)支持的開支。

部署了密碼管理應(yīng)用程序且用戶首次登錄后，即會彈出一個屏幕，要求用戶回答一組問題（您的第一部車是什么，您出生在哪個城市等等）。密碼重置對話框如圖 2 所示。

圖 2 密碼重置屏幕

管理員可以指定所用問題的類型和數(shù)量。他還可以指定關(guān)口的數(shù)量（每個關(guān)口包含一組問題）。此外，管理員還可以配置用戶重置密碼或前進(jìn)到下一個關(guān)口必須回答的問題數(shù)。

為提供適當(dāng)?shù)陌踩墑e，您可以將關(guān)口數(shù)和用戶必須正確回答的問題數(shù)與 Active Directory 安全組相關(guān)聯(lián)。例如，主管安全組中的用戶可能需要通過三關(guān)，并且必須正確回答在每個關(guān)口中設(shè)置的所有問題。而營銷安全組中的用戶可能只需要通過一個關(guān)口，回答三個問題中的任意兩個。如果您不想讓用戶通過 Windows 登錄重置密碼，可以選擇使用 Web UI 重置密碼。

Office 集成

利用 ILM "2" office 集成，用戶可以在 Microsoft Office Outlook 內(nèi)管理組成員，如圖 3 所示。這樣就提供了一種訪問常見任務(wù)的慣用方式，如加入和離開通訊組列表以及從組中添加和刪除其他用戶（此操作需要 Outlook 2007 或更高版本）。

圖 3 與 Outlook 集成

用戶可以選擇加入組、瀏覽全局地址列表、選擇想加入的組，或者從組成員中將自己刪除，然后只發(fā)送請求。通訊組列表的負(fù)責(zé)人通過電子郵件接收請求，然后可以在 Outlook 中批準(zhǔn)或拒絕該請求。如果通訊組負(fù)責(zé)人批準(zhǔn)了請求，則將會觸發(fā) ILM 同步引擎來完成此過程。#p#

業(yè)務(wù)流程管理

業(yè)務(wù)流程和工作流管理是 ILM "2" 中所有主要方案的基礎(chǔ)。令人欣慰的是，可以針對特殊組織的需求來量身定制業(yè)務(wù)流程和工作流邏輯。例如，您可以指定讓系統(tǒng)中的某些事件觸發(fā)一系列的自動步驟，它們稱為流程（請參見圖 4）。

圖 4 配置工作流程

管理員可以將某個事件與以下三種流程中的一個相關(guān)聯(lián)：身份驗證、授權(quán)和操作。例如，選擇授權(quán)流程將允許負(fù)責(zé)人批準(zhǔn)所有加入或離開組的請求。選擇授權(quán)工作流時，您還可以定義審批者的姓名、審批者的數(shù)量以及批準(zhǔn)生效的天數(shù)。

也可以定義復(fù)雜的工作流，要求必須由管理員批準(zhǔn)對組執(zhí)行的所有刪除操作，并要求用戶根據(jù)質(zhì)詢和響應(yīng)身份驗證流程進(jìn)行身份驗證。所有用戶（包括管理員）都必須履行身份驗證流程，回答他們在初始注冊期間注冊的問題，從而驗證他們的身份。

完成身份驗證流程后，刪除組的請求即會被發(fā)送至執(zhí)行授權(quán)的審批者。授權(quán)流程用于確認(rèn)用戶請求操作的權(quán)限。最后，審批者批準(zhǔn)請求，ILM 執(zhí)行刪除操作。

使用內(nèi)置工具設(shè)計復(fù)雜工作流的能力是 ILM 的一個重要的新增功能；以前，這類解決方案需要 MIIS 資源工具包中的單步置備工作流或第三方解決方案。而如今還可以使用 Web 服務(wù) API，這樣您就可以進(jìn)一步自定義自己的工作流并將它們與 ILM "2" 集成。

無代碼置備

無代碼置備允許 IT 專業(yè)人員執(zhí)行許多以前需要開發(fā)代碼才能完成的任務(wù)。ILM 2007 需要您使用 Microsoft Visual Studio 開發(fā)規(guī)則擴(kuò)展和置備代碼，以轉(zhuǎn)換連接目錄中的屬性和對象。

從 Web UI，您可以定義對象的類型、篩選規(guī)則、置備條件、Metaverse 與連接器空間之間的對象關(guān)系、刪除規(guī)則以及數(shù)據(jù)流。所有在管理代理設(shè)計器中定義的數(shù)據(jù)流映射均顯示出來，允許您在入站流和出站流中編輯映射以連接和格式化屬性流。如果您更喜歡編碼，仍可以通過為 ILM "2" 開發(fā)擴(kuò)展項和置備規(guī)則來挖掘一些功能。

結(jié)束語

ILM "2" 提供了多個可以幫助簡化管理并降低技術(shù)支持開支的新功能。有了新門戶和無代碼置備極需的自助服務(wù)功能，管理員和最終用戶都會從能夠簡化任務(wù)并幫助用戶提高生產(chǎn)率的新功能中獲益。此外還有一些其他的顯著改進(jìn)（如增強(qiáng)的證書生命周期管理功能和改善管理代理帶來的更好連接性和擴(kuò)展性）。

ILM "2" 計劃在 2009 年上半年投放市場。 更多信息請訪問 Microsoft 的 Identity Lifecycle Manager "2" 站點。

文章地址

本文來源：微軟TechNet中文站