今天去参加了两天的关于ILM V2 的培训,大概总结一下相对于ILM 2007 有哪些新的特性。
ILM 是什么?
顾名思义是一个身份管理软件。
当一个人进入一个企业之后,他会有不同的身份。比如AD帐号是他的一个身份,ERP 系统的帐号是他的一个身份, EMail帐号也是一个身份,考勤卡也是个身份,工资系统ID也是他的一个身份。所以我们经常会看到一个人使用不同的系统有不同的帐号,一个人在不同的系统之间Profile也不尽一样。比如A系统中的电话号码是旧的,B系统中的Title是过时的因为该员工已经升值了。财务系统中的工资卡仍然在发钱,尽管已经离职了。Email 也还在,没准该离职员工还可以访问Email。
所有这些问题,归纳下来就是要回答。
- 如何保证用户的身份的完整性和一致性。
- 员工入职的时候,如何及时Provion到各个系统,比如自动开Email,自动开ERP帐号
- 员工走的时候,如何收回各个权限。
- 员工状态变了之后,比如换Location了,Email box 有没有及时切换, 换手机了,是否及时更新到各个系统中。
这些问题,当公司做大之后,比如要准备上市了,那么 Auditor 就会问你以上四个问题。 因为这几个问题牵涉到公司的财务是否有完整的控制基础。这时候一般的公司都会采用所谓的ILM软件来实现这个需求。微软的 ILM,以前叫 MIIS 就是其中的一个方案。当然Oracle,Sun,CA,Novell也都有类似的方案。微软的方案Link: http://www.microsoft.com/windowsserver/ilm2/technicalresources.mspx
EBay 有一个典型的案例研究。http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=49509
ILM V2 有哪些新的特性呢。
多了一个web Portal和背后的ILM service。 以前的ILM 就是一个winform程序,系统管理员、Auditor 是唯一的用户。ILM 能够实现大多数HelpDesk琐碎的任务。有些公司使用ILM,也是为了减低HelpDesk的成本。
新的web portal的角色:
- 最终用户的一个自助服务Portal,比如 可以更改一下自己的电话号码,自助请求就如一个Security Group 或者 Distribution List,或者自助的重设密码。在以前都要通知公司的HelpDesk,让他们更新特定的系统,然后ILM 负责Sync
- 系统管理员通过web portal 定义工作流以及Policy,包括同步的Policy 和 Process的Policy。还有一些Permission的设置。比如可以定义所有的人都可以看其他人的基本信息。HR 的员工可以查看所有人信息。
- 作为一个中小企业的HR系统,如果公司有成熟的HR系统,那么HR系统是员工很多属性的权威,对于公司如果没有HR系统的话,那么该Portal 可以作为一个小的HR系统。你可以输入用户信息,ILM 会拿到这个信息,自动去开AD帐号,同步身份到其他系统。
- 声明性的定义你的同步策略或者Provision、Deprovision 策略。”=无须代码“
- 之前的ILM,我们往往会有两类C#项目,一类是某Agent的Extension,比如Import或者Export的策略
- CSentry["DisplayName"].Value=mvEntry["nickname"].Value + "." + mvEntry["sn"].Value,当然还有一些超级复杂的。比如如果是男,则加上male,否则加上female。如果是老大,则加上Cxo之类的
- 另外一类是Provision Extension。 比如新建帐号到AD或者其他系统。
- 还有一些JOin的extension
- 之前的做法,最大的不足时。需要开发人员介入,每次更改,都要写代码。时间久了,开发人员也看不到所谓的规则了
- 新的方式让你通过web portal 定义同步的Policy,所谓FROM TO。 可以加上一些表达式,还有流程,比如Provision AD的流程,需要谁审批,然后通过后,在Provision。provision成功之后发Email给用户
- 背后的做法。
- ILM Service 有一个新的数据库和模型,以及一个新的Agent。 当用户通过Portal 更新了这些策略、流程之后,写到数据库中(ILM service V2 自己的)
- ILM 通过Agent 读到Policy,定义新的Metaverse object。然后Sync的时候,动态的执行新的MV object定义的Policy。从而实现不需C#代码就可以Sync和Provision
- 当然仅限于简单的表达式,如果C#代码超过十行的话,很难通过一个表达式描述清楚
- outlook 2007 有一个Group的Add-in, Group 有两种一种是无须审批的或者基于规则自动管理的。比如所有IT部门的人都在ALL IT中。 另外一种则是Owner可以决定的,比如杀人俱乐部。 新员工入职后,可以点这个Add Group Addin,申请加入。确定后,系统会发Email给owner, owner 会在Outlook中直接Approve。所有这些动态运行遵守一个Workflow的定义。
对于证书管理CLM,没有太大的加强
这些特性看上去不错,最后确认了一下需要的系统环境,呵呵,一贯的捆绑强行审计策略。
- Windows Server 2008
- SQL Server 2008
- Exchange 2007
- Office 2007
- AD 2007
特性很好,想想这些升级代价,值吗?呵呵。最后很搞笑,有人问,为什么数据库一定要2008? 2005 不行吗
答案: 设计使然。By Design,哈哈。好经典回答。