montaque

小碗喝酒,小口吃肉
博客园 首页 新随笔 联系 订阅 管理
Microsoft ILM V2 新特性

今天去参加了两天的关于ILM V2 的培训,大概总结一下相对于ILM 2007 有哪些新的特性。

ILM 是什么?

顾名思义是一个身份管理软件。

当一个人进入一个企业之后,他会有不同的身份。比如AD帐号是他的一个身份,ERP 系统的帐号是他的一个身份, EMail帐号也是一个身份,考勤卡也是个身份,工资系统ID也是他的一个身份。所以我们经常会看到一个人使用不同的系统有不同的帐号,一个人在不同的系统之间Profile也不尽一样。比如A系统中的电话号码是旧的,B系统中的Title是过时的因为该员工已经升值了。财务系统中的工资卡仍然在发钱,尽管已经离职了。Email 也还在,没准该离职员工还可以访问Email。

 

所有这些问题,归纳下来就是要回答。

  • 如何保证用户的身份的完整性和一致性。
  • 员工入职的时候,如何及时Provion到各个系统,比如自动开Email,自动开ERP帐号
  • 员工走的时候,如何收回各个权限。
  • 员工状态变了之后,比如换Location了,Email box 有没有及时切换, 换手机了,是否及时更新到各个系统中。

 

这些问题,当公司做大之后,比如要准备上市了,那么 Auditor 就会问你以上四个问题。 因为这几个问题牵涉到公司的财务是否有完整的控制基础。这时候一般的公司都会采用所谓的ILM软件来实现这个需求。微软的 ILM,以前叫 MIIS 就是其中的一个方案。当然Oracle,Sun,CA,Novell也都有类似的方案。微软的方案Link: http://www.microsoft.com/windowsserver/ilm2/technicalresources.mspx

 

EBay 有一个典型的案例研究。http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=49509

 

ILM V2 有哪些新的特性呢。

多了一个web Portal和背后的ILM service。 以前的ILM 就是一个winform程序,系统管理员、Auditor 是唯一的用户。ILM 能够实现大多数HelpDesk琐碎的任务。有些公司使用ILM,也是为了减低HelpDesk的成本。

新的web portal的角色:

  • 最终用户的一个自助服务Portal,比如 可以更改一下自己的电话号码,自助请求就如一个Security Group 或者 Distribution List,或者自助的重设密码。在以前都要通知公司的HelpDesk,让他们更新特定的系统,然后ILM 负责Sync
  • 系统管理员通过web portal 定义工作流以及Policy,包括同步的Policy 和 Process的Policy。还有一些Permission的设置。比如可以定义所有的人都可以看其他人的基本信息。HR 的员工可以查看所有人信息。
  • 作为一个中小企业的HR系统,如果公司有成熟的HR系统,那么HR系统是员工很多属性的权威,对于公司如果没有HR系统的话,那么该Portal 可以作为一个小的HR系统。你可以输入用户信息,ILM 会拿到这个信息,自动去开AD帐号,同步身份到其他系统。
  • 声明性的定义你的同步策略或者Provision、Deprovision 策略。”=无须代码“
    • 之前的ILM,我们往往会有两类C#项目,一类是某Agent的Extension,比如Import或者Export的策略
      • CSentry["DisplayName"].Value=mvEntry["nickname"].Value + "." + mvEntry["sn"].Value,当然还有一些超级复杂的。比如如果是男,则加上male,否则加上female。如果是老大,则加上Cxo之类的
      • 另外一类是Provision Extension。 比如新建帐号到AD或者其他系统。
      • 还有一些JOin的extension
    • 之前的做法,最大的不足时。需要开发人员介入,每次更改,都要写代码。时间久了,开发人员也看不到所谓的规则了
    • 新的方式让你通过web portal 定义同步的Policy,所谓FROM TO。 可以加上一些表达式,还有流程,比如Provision AD的流程,需要谁审批,然后通过后,在Provision。provision成功之后发Email给用户
      • 背后的做法。
        • ILM Service 有一个新的数据库和模型,以及一个新的Agent。 当用户通过Portal 更新了这些策略、流程之后,写到数据库中(ILM service V2 自己的)
        • ILM 通过Agent 读到Policy,定义新的Metaverse object。然后Sync的时候,动态的执行新的MV object定义的Policy。从而实现不需C#代码就可以Sync和Provision
      • 当然仅限于简单的表达式,如果C#代码超过十行的话,很难通过一个表达式描述清楚
  • outlook 2007 有一个Group的Add-in, Group 有两种一种是无须审批的或者基于规则自动管理的。比如所有IT部门的人都在ALL IT中。 另外一种则是Owner可以决定的,比如杀人俱乐部。 新员工入职后,可以点这个Add Group Addin,申请加入。确定后,系统会发Email给owner, owner 会在Outlook中直接Approve。所有这些动态运行遵守一个Workflow的定义。

对于证书管理CLM,没有太大的加强

这些特性看上去不错,最后确认了一下需要的系统环境,呵呵,一贯的捆绑强行审计策略。

  • Windows Server 2008
  • SQL Server 2008
  • Exchange 2007
  • Office 2007
  • AD 2007

特性很好,想想这些升级代价,值吗?呵呵。最后很搞笑,有人问,为什么数据库一定要2008? 2005 不行吗

答案: 设计使然。By Design,哈哈。好经典回答。

posted on 2008-11-21 12:16  montaque  阅读(2161)  评论(7编辑  收藏  举报