Antti Alila Teknologia-asiantuntija +358504999526 antti.alila@microsoft.com
Identity Lifecycle Management ILM (Identity Lifecycle Manager) Strong Authentication Information Protection Federated Identity Directory Services ADCS (Certificate Services) ADRMS (Rights Management Services) ADFS (Federation Services) ADDS (Domain Services) aiemmin Active Directory ADLDS (Lightweight Directory Services) aiemmin ADAM
Uusi käyttäjä Käyttäjätunnuksen luominen sekä käyttäjän tietojen lisääminen tarvittaviin tietojärjestelmiin Tarvittavien oikeuksien myöntäminen / pääsyn hallinta Käyttäjän roolin mukaisten sovellusten jakelu Käyttäjän poistaminen Käyttäjätilien poistaminen tai sulkeminen Oikeuksien sekä sovellusten poistaminen Help Desk Salasanojen vaihtaminen Oikeuksien / sovellusten lisäykset Muutokset elinkaaren aikana Ylennykset Siirrot Lisäoikeudet Raportointi Lain asettamat vaatimukset Auditointi Tietoturva Itsepalvelu Salasanan vaihtaminen Omien tietojen ylläpito Uudet sovellukset Tietojen muuttaminen (esim. Sukunimi vaihtuu)
HR järjestelmä Oracle Järjestelmänhallinta / Sovellusten jakelu Active Directory Käyttäjät Ryhmät Puhelinvaihteen järjestelmä Ericsson Call Manager Hyväksyntä työnkulku Matkalasku järjestelmä, tais olla MySql tietokanta ja web sovellus. Käyttäjien hallinta Sun ONE Windows kirjautuminen Salasanojen resetointi Sähköposti Kotihakemistot Käyttäjän rooliin kuuluvat sovellukset ADAM tai joku LDAP hakemisto Ulkoinen osoitelista /puhelinluettelo
HR järjestelmä Oracle Järjestelmänhallinta / Sovellusten jakelu Active Directory Käyttäjät Ryhmät Puhelinvaihteen järjestelmä Ericsson Call Manager Hyväksyntä työnkulku Sun ONE Windows kirjautuminen Salasanojen resetointi Sähköposti Kotihakemistot Käyttäjän rooliin kuuluvat sovellukset ADAM Ulkoinen osoitelista /puhelinluettelo Käyttäjien hallinta Matkalasku järjestelmä, tais olla MySql tietokanta ja web sovellus.
Metahakemisto, identiteetin synkronointi, varmenteiden hallinta sekä käyttäjien provisiointi läpi organisaation. Identiteetin synkronointi Integroi olemassa olevat eri järjestelmät Automaattisesti ylläpitää identiteettitiedon oikeellisena ja yhtenäisenä kaikissa järjestelmissä Yhteydet muihin järjestelmiin Management Agenttien tai SDK:n avulla Käyttäjien provisiointi Automatisoi käyttäjän provisioinnin sekä deprovisioinnin eri järjestelmiin Käyttäjätilit, ryhmien jäsenyydet, postilaatikot Asettaa ja synkronoi ensimmäisen salasanan käyttäjälle eri järjestelmiin Varmistaa tietojen oikeellisuuden ja vähentää inhimillisen virheen mahdollisuutta Hallitsee muutokset käyttöoikeuksissa ja käyttäjätiedoissa käyttäjän vaihtaessa työtehtäviään eri rooliin Poistaa käyttöoikeudet eri järjestelmistä käyttäjän siirtyessä pois organisaation palveluksesta
ILM Metaverse Etunimi Sukunimi EmployeeID Sähköposti osoite Puhelin numero givenname sn title mail employeeid telephone Klarek Cenntt 008 givenname sn title mail employeeid telephone givenname sn title mail employeeid telephone Klarke Kent Superhero 007 givenname sn title mail employeeid telephone 867-5309 Clark Kent 007 Clark@contoso.com 867-5309 Clark Kent Clark@contoso.com 007 givenname sn title mail employeeid telephone Clark@contoso.com Clark Kent 007 Reporter 867-5309 HR Järjestelmä Oracle Active Directory Ericsson Call Manager
Ensimmäinen salasana eri järjestelmiin käyttäjän provisioinnin yhteydessä Keskitetty salasanojen hallinta Salasanan vaihto itsepalveluna Mukana tulevan web sovelluksen avulla AD tunnuksen salasanan synkronointi muihin järjestelmiin (CTRL+ALT+DEL) Salasanan resetointi itsepalveluna Windowsin logon ruudusta (ILM v2 Beta) Salasanan resetointi Helpdeskin avulla ILM Active Directory Web Sovellus Sun One
Network Operating Systems and Directory Services Mainframe Microsoft Active Directory Windows Server 2003 R2, 2003, and 2000 Microsoft Active Directory Application Mode Windows Server 2003 R2 and 2003 Microsoft Windows NT 4.0 IBM Tivoli Directory Server Novell edirectory 8.6.2, 8.7, and 8.7.x Sun Directory Server (Netscape/iPlanet/SunONE) 4.x and 5.x IBM Resource Access Control Facility Computer Associates etrust ACF2 Computer Associates etrust Top Secret Email and Messaging Microsoft Exchange 2007, 2003, 2000, and 5.5 Lotus Notes 6.x, 5.0, and 4.6 Applications SAP 5.0 and 4.7 Telephone switches XML-based systems DSML-based systems Databases Microsoft SQL Server 2005, 2000, and 7 IBM DB2 Oracle 10g, 9i, and 8i File-Based Attribute value Pairs CSV Delimited Fixed Width Directory Services Markup Language (DSML) 2.0 LDAP Interchange Format (LDIF) All Other Extensible Management Agent for connectivity to all other systems
Aiemmin Tänään ILM 2 RC versio vuoden 2008 lopussa Käyttähallinta Pääsynhallinta MIIS Common Platform Konnektorit Delegointi CLM Beta Microsoft Identity Lifecycle Manager 2007 Oikeuksien hallinta Työnkulku Loki Web Service API ILM 2 Käytäntöjen hallinta Identiteetin synkronointi Käyttäjien provisiointi Varmenteiden ja toimikorttien hallinta Integroitu käyttäjäkokemus Kattaa käyttäjien, oikeuksien, pääsyn sekä käytäntöjen hallinnan Hyödyntää olemassa olevan alustan palveluita (Esim. WSS)
SharePoint Käyttäjätietojen hallinta Prosessien hallinta Synkronoinnin hallinta Outlook Integroitu ryhmien hallinta Hyväksyminen / hylkääminen painikkeilla työkaluriviltä Windows Salasanan resetointi itsepalveluna Windowsin kirjautumisruudussa Visual Studio Työnkulut ja aktiviteetit voidaan rakentaa Visual Studiossa ja tuoda valmiina ILM 2 :een Synkronointisääntöjen sekä kustomoitujen adapterien teko System Center System Center Operations Manager valvonta ILM:n tilaan ja tapahtumiin Työasemien provisiointi System Center Configuration Managerin avulla Lisää itsepalvelutoimintoja käyttäjille System Center Service Managerilla
Microsoft Confidential
Itsepalvelua integroituna Windowsiin sekä Officeen
Teppo Tulppu niminen henkilö on palkattu organisaation palvelukseen Engineering osastolle Systems Engineer nimikkeellä ja seuraavat toimet pitäisi tehdä että kaveri pääsee tekemään töitä Henkilön tiedot HR järjestelmään Organisaation nimeämiskäytännön mukainen käyttäjätunnus ja henkilön tiedot Active Directoryyn Käyttäjätunnus oikeisiin ryhmiin että hänellä on pääsy työnkuvassa tarvittaviin sovelluksiin Käyttäjätunnus oikeaan paikkaan organisaatioyksikkö rakenteessa Sähköpostilaatikko sekä organisaation nimeämiskäytännön mukainen sähköposti osoite Henkilön tiedot toiminnanohjausjärjestelmään (WebERP) Käyttäjän työasemalle seuraavat Engineering osaston tarvitsemat sovellukset: Visio 2003, Project 2002, Word 2003, Outlook 2003, Stellarium ja Ethereal Käyttäjän työasemalle seuvaarat määritykset: Linkki ja pääsy Engineering levyjakoon ja tiimisaitille, Engineer osaston tulostinjono
Teppo Tulppu siirtyy Engineering osastolta Accounting osastolle Manager nimikkeelle ja seuraavat muutokset pitäisi tehdä Henkilön tiedot päivitetään HR järjestelmään Tarvittavat muutokset Active Directoryyn Käyttäjätunnus oikeisiin ryhmiin että hänellä on pääsy työnkuvassa tarvittaviin sovelluksiin Käyttäjätunnus oikeaan paikkaan organisaatioyksikkö rakenteessa Henkilön muuttuneet tiedot ja uusi oikeustaso toiminnanohjausjärjestelmään (WebERP) Käyttäjän työasemalle seuraavat Accounting osaston tarvitsemat sovellukset: Access 2003, Publisher 2003, Infopath 2003, Word 2003, Excel 2003, Outlook 2003, XML Copy Editor, WbERP, FileZilla, ImgBurn ja Acrobat Reader 7 Käyttäjän työasemalle seuvaarat määritykset: Linkki ja pääsy Accounting levyjakoon ja tiimisaitille, Accounting osaston tulostinjono Kaikki Engineering osaston sovellukset ja asetukset pois työasemasta!
Teppo Tulppu päättää siirtyä toisen työnantajan palvelukseen ja kaikki oikeudet järjestelmiin tulisi häneltä poistaa sekä tunnukset lakkauttaa.
ILM 2007 Active Directory Microsoft Exchange Windows Server 2008 Group Policy & Group Policy Preferences Microsoft Application Virtualization (aka SoftGrid)
Identiteetin hallinnan avulla voidaan automatisoida paljon eri tehtäviä ja sitä kautta säästää Premier asiakkaat voivat hyödyntää sopimustaan myös ILM tukeen jolloin he saavat parhaan mahdollisen tuen ilman uusia sopimuksia. ILM toimii perusinfrassa synkronointikoneena hyödyntäen omia Management Agentteja jonka ansiosta
Turun ammattikorkeakoulu MIIS liimaa erilaiset järjestelmät yhteen ja kerää käyttäjien tiedot yhdestä perusrekisterinä toimivasta opiskelijatietojärjestelmästä. Windows-verkossa käyttäjätunnuksia on noin 10000 ja Lotus Notes sähköpostiympäristössä noin 7500. Työasemien lukumäärä on noin 3500. Savonia-ammattikorkeakoulu MIIS hakee opiskelija- ja henkilöstötiedot sisältävistä SQL-kannoista tiedot käyttöoikeustietokantaan. MIIS päivittää tiedot edelleen eri kohdejärjestelmien hakemistopalveluihin kuten Windows-järjestelmien aktiivihakemistoon (AD) ja Unix-järjestelmien LDAP-hakemistoon. MIISmetahakemistossa on noin 70 000 objektia, joista noin 7 000 on käyttäjätunnuksia eri kohdejärjestelmissä. Loput objektit sisältävät käyttäjätietoja, joiden perusteella käyttöoikeusobjekteja luodaan, poistetaan tai muokataan
2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.