NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 工具软件 .: Microsoft Identity Lifecycle Manager v2 (ILM v2) 新特性

Microsoft Identity Lifecycle Manager v2 (ILM v2) 新特性

Microsoft Identity Lifecycle Manager v2 (ILM v2) 新特性

ILM 是什么?
顾名思义是一个身份管理软件。
当一个人进入一个企业之后,他会有不同的身份。比如AD帐号是他的一个身份,ERP 系统的帐号是他的一个身份, EMail帐号也是一个身份,考勤卡也是个身份,工资系统ID也是他的一个身份。所以我们经常会看到一个人使用不同的系统有不同的帐号,一个人在不同的系统之间Profile也不尽一样。比如A系统中的电话号码是旧的,B系统中的Title是过时的因为该员工已经升值了。财务系统中的工资卡仍然在发钱,尽管已经离职了。Email 也还在,没准该离职员工还可以访问Email。
 
所有这些问题,归纳下来就是要回答:
如何保证用户的身份的完整性和一致性。
员工入职的时候,如何及时Provion到各个系统,比如自动开Email,自动开ERP帐号
员工走的时候,如何收回各个权限。
员工状态变了之后,比如换Location了,Email box 有没有及时切换, 换手机了,是否及时更新到各个系统中。
 
这些问题,当公司做大之后,比如要准备上市了,那么 Auditor 就会问你以上四个问题。 因为这几个问题牵涉到公司的财务是否有完整的控制基础。这时候一般的公司都会采用所谓的ILM软件来实现这个需求。微软的 ILM,以前叫 MIIS 就是其中的一个方案。
 
ILM V2 有哪些新的特性呢?
多了一个web Portal和背后的ILM service。 以前的ILM 就是一个winform程序,系统管理员、Auditor 是唯一的用户。ILM 能够实现大多数HelpDesk琐碎的任务。有些公司使用ILM,也是为了减低HelpDesk的成本。

新的web portal的角色:
最终用户的一个自助服务Portal,比如 可以更改一下自己的电话号码,自助请求就如一个Security Group 或者 Distribution List,或者自助的重设密码。在以前都要通知公司的HelpDesk,让他们更新特定的系统,然后ILM 负责Sync。系统管理员通过web portal 定义工作流以及Policy,包括同步的Policy 和 Process的Policy。还有一些Permission的设置。比如可以定义所有的人都可以看其他人的基本信息。HR 的员工可以查看所有人信息。

作为一个中小企业的HR系统,如果公司有成熟的HR系统,那么HR系统是员工很多属性的权威,对于公司如果没有HR系统的话,那么该Portal 可以作为一个小的HR系统。你可以输入用户信息,ILM 会拿到这个信息,自动去开AD帐号,同步身份到其他系统。

声明性的定义你的同步策略或者Provision、Deprovision 策略。”=无须代码“
之前的ILM,我们往往会有两类C#项目,一类是某Agent的Extension,比如Import或者Export的策略CSentry["DisplayName"].Value=mvEntry["nickname"].Value + "." + mvEntry["sn"].Value,当然还有一些超级复杂的。比如如果是男,则加上male,否则加上female。如果是老大,则加上Cxo之类的。另外一类是Provision Extension。 比如新建帐号到AD或者其他系统。还有一些JOin的extension之前的做法,最大的不足时。需要开发人员介入,每次更改,都要写代码。时间久了,开发人员也看不到所谓的规则了新的方式让你通过web portal 定义同步的Policy,所谓FROM TO。 可以加上一些表达式,还有流程,比如Provision AD的流程,需要谁审批,然后通过后,在Provision。provision成功之后发Email给用户背后的做法。

ILM Service 有一个新的数据库和模型,以及一个新的Agent。 当用户通过Portal 更新了这些策略、流程之后,写到数据库中(ILM service V2 自己的)。ILM 通过Agent 读到Policy,定义新的Metaverse object。然后Sync的时候,动态的执行新的MV object定义的Policy。从而实现不需C#代码就可以Sync和Provision 当然仅限于简单的表达式,如果C#代码超过十行的话,很难通过一个表达式描述清楚outlook 2007 有一个Group的Add-in, Group 有两种一种是无须审批的或者基于规则自动管理的。比如所有IT部门的人都在ALL IT中。 另外一种则是Owner可以决定的,比如杀人俱乐部。 新员工入职后,可以点这个Add Group Addin,申请加入。确定后,系统会发Email给owner, owner 会在Outlook中直接Approve。所有这些动态运行遵守一个Workflow的定义。

 对于证书管理CLM,没有太大的加强。这些特性看上去不错,最后确认了一下需要的系统环境,呵呵,一贯的捆绑强行审计策略。
Windows Server 2008
SQL Server 2008
Exchange 2007
Office 2007
AD 2007


这篇文章对你多有用?

相关文章

article Microsoft Office 2010的全新特性
微软于5月13日在全球范围内面向企业客户发布包括Of...

(No rating)  5-17-2010    Views: 1253   
article 打开 Microsoft Office Picture Manager 时变得非常慢。

  10-8-2010    Views: 2455   
article Microsoft Operations Manager (MOM) 2005脚本编写基础
介绍如何在 Microsoft Operations Manager...

  8-6-2013    Views: 866   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited