Сервер идентификации и объединения Microsoft

Сервер идентификации и объединения Microsoft

Во многих современных бизнес-средах зачастую несколько каталогов используются для обеспечения аутентификации в различных средах или для ведения адресных книг или контактной информации, доступной во всем предприятии. Для упрощения синхро­низации данных между такими различными приложениями, как электронная почта, те­лефонные книги, базы данных отдела кадров и базы данных расчета заработной платы, организация должна использовать продукт метакаталогов наподобие сервера иденти­фикации и объединения Microsoft (Microsoft Identity Integration Server — MIIS) 2003.

История MIIS

MIIS представляет собой версию Microsoft решения метакаталогов. Метакаталог (metadirectory) можно рассматривать как главный каталог, содержащий наиболее ав­торитетные данные службы каталогов в организации. В 1996 году, когда Бертонская группа (Burton Group, http://www.tbg.com) придумала и определила данный термин, таких продуктов на рынке еще не было. С тех пор многие компании создали свои вер­сии метакаталогов, но все они характеризуются наличием собственной сложной на­стройки и функциональности. Первоначальная версия решения метакаталогов Microsoft называлась службой ме-такаталогов Microsoft (Microsoft Metadirectory Services — MMS). Эта версия приложе­ния работала эффективно, но была крайне техничной. Многие компоненты для правильной работы требовали специальных сценариев, а поддержка сторонних продук­тов была минимальной. С выпуском продукта 3.0 появились изменения в торговой марке, и появился сер­вер идентификации и объединения Microsoft (Microsoft Identity Integration Server — MIIS) 2003.

MIIS предоставляет больше возможностей по работе с метакаталогами, чем его предшественник, и расширяет его возможности с помощью встроенных аген­тов управления, предназначенных для синхронизации множества различных катало­гов, перечисленных ниже:

  • Active Directory Windows 2000/2003
  • Active Directory в режиме приложения (ADAM)
  • Windows NT 4.0
  • Novell NDS и eDirectory
  • SunONE/iPlanet Directory
  • Lotus Notes и Domino
  • Microsoft Exchange 5.5
  • ERP
  • PeopleSoft
  • SAP
  • Microsoft SQL Server
  • dBase
  • Oracle
  • Informix
  • DSMLv2
  • Текстовые файлы наподобие LDIF, CSV, с ограничителями, фиксированной длины и парами атрибут/значение
  • Другие каталоги, совместимые с LDAP.
  • Одной из важных новых возможностей MIIS 2003 является предоставляемая поль­зователям возможность изменять свои пароли с помощью Web-страницы самообслу­живания. Это существенно экономит время служб поддержки и безопасности, затра­чиваемого ранее на изменение паролей пользователей, а также предоставляет более безопасный и скрытый метод изменения паролей.

    Знакомство с пакетом возможностей идентификации и объединения (IIFP)

    Понимая необходимость «облегченной» версии MIIS, Microsoft выпустила пакет возможностей идентификации и объединения (Identity Integration Feature Pack — IIFP) — свободно загружаемый с сайта Microsoft продукт, обеспечивающий работу ме-такаталогов между Active Directory, глобальными списками адресов (Global Address List — GAL) Exchange 2000/2003 и лесов Active Directory в режиме приложения (Active Directory in Application Mode — ADAM). Функциональность этой версии совпадает с MIIS, но она поддерживает синхронизацию и инициализацию только между AD, не работая с другими каталогами, поддерживаемыми MIIS. Если вам нужна синхрониза­ция между двумя или более лесами AD, то эту работу великолепно выполнит IIFP. IIFP можно загрузить по одной из ссылок на Web-сайте Microsoft MIIS по адресу http://www.microsoft.com/miis.

    База данных SQL Server для MIIS

    MIIS и IIFP требуют для своей работы серверной базы данных Microsoft SQL Server 2000. Эта база данных используется для хранения информации конфигурации и ин­формации объектов пользователей, хранимой в метастроке. Эта база данных может располагаться на выделенном сервере MIIS, или может находиться на уже существую­щем компьютере с SQL Server. Все требования к сопровождению и администрирова­нию любой другой базы данных SQL относятся и к базам данных MIIS.

    Терминология MIIS

    Организациям, имеющим множество различных каталогов, и которым необходимо постоянно синхронизировать информацию между этими каталогами, необходим про­дукт метакаталога наподобие MIIS. MIIS предоставляет администраторам единый ин­терфейс для доступа к различным каталогам и для конфигурирования синхронизации и/или репликации этих каталогов друг с другом с помощью метакаталога. Прежде чем продолжить обсуждение MIIS, необходимо определить некоторые основные термины.

    • Агент управления (Management Agent — MA). Средство, используемое для со­общения с конкретным типом каталогов. Например, агент управления Active Di­rectory позволяет MIIS импортировать или экспортировать данные или выпол­нять задачи в Microsoft Active Directory.
    • Подключенный каталог (Connected Directory — CD). Каталог, с которым MIIS сообщается с помощью сконфигурированного MA. Примером подключенного каталога может быть база данных каталогов Microsoft Exchange 5.5.
    • Пространство имен соединителя (Connector Namespace — CS). Иерархия реплицированной информации и контейнеров, либо извлеченная, либо предна­значенная для записи в соответствующий подключенный каталог.
    • Пространство имен метастрок (Metaverse Namespace — MV). Авторитетные данные каталога, созданные из информации, собранной из всех соответствую­щих связующих пространств имен.
    • Метакаталог (Metadirectory). В MIIS метакаталог состоит из всех связующих пространств имен плюс авторитетного пространства имен метастрок.
    • Атрибуты (Attributes). Поля информации, экспортируемые или импортируе­мые в элементы каталога. Часто встречаются такие атрибуты элементов катало­гов, как имя, псевдоним, адрес электронной почты, номер телефона, табельный номер и другая информация.
    • MIIS можно использовать для различных задач, но обычно эта служба используется для управления информацией учетных данных элементов каталогов. В этом случае це­лью является управление пользовательскими учетными записями с помощью синхро­низации таких атрибутов, как идентификатор имени регистрации, имя, фамилия, номер телефона, должность и отдел. Например, если пользователь Джейн Доу повышена в должности, и ее должность сменилась с менеджера на вице-президента, то измене­ние должности сначала нужно ввести в базу данных кадров или расчета заработной платы, и с помощью агентов управления MIIS это изменение будет реплицировано в другие каталоги организации. Это обеспечивает, что если кто-либо захочет узнать ат­рибут должности Джейн Доу, то этот атрибут будет одним и тем же во всех каталогах, синхронизированных с помощью MIIS. Это обычное и основное использование MIIS называется управлением учетными данными (identity management). Другие распростра­ненные применения MIIS — это разнесение и уничтожение учетных записей, автома­тическое централизованное создание и удаление пользовательских учетных записей и управление группами.

      Агенты управления MIIS

      В состав MIIS 2003 входит множество встроенных агентов управления, предназна­ченных для упрощения внедрения MMS. Эти агенты используются для конфигуриро­вания обмена данными и взаимодействия MIIS с подключенными каталогами при вы­полнении агента. Тип выбираемого агента управления зависит от типа подключаемо­го каталога. При первоначальном создании агента управления все конфигурирование этого агента может быть выполнено во время создания этого агента. Можно сконфигуриро­вать то, какие типы объектов каталогов будут реплицироваться в пространство имен соединителя, какие атрибуты будут реплицироваться, правила объединения и проецирования элементов каталогов, правила потоков атрибутов между связующим пространством имен и пространством имен метастрок и многое другое. Если во время создания MA необходимая конфигурации неизвестна, то к ней можно вернуться и мо­дифицировать ее позднее.

      Профили выполнения агентов управления

      После создания агента управления необходимо создать профили выполнения, оп­ределяющие, как будет выполняться агент выполнения. В числе возможных опций — Full Import (Полный импорт), Delta Import (Импорт различий), Export Apply Rules (Правила применения экспорта) и Full Import and Re-Evaluate Rules (Правила полного импорта и перевычисления). Это позволяет администраторам MIIS установить более точные административные полномочия для выполнения агентов без нарушения цело­стности данных — например, при создании только профиля выполнения импорта. Ес­ли нужно лишь импортировать профиль, агент управления импортирует требуемые объекты и атрибуты из подключенного каталога в соответствующее пространство имен соединителя. Данные в подключенном каталоге изменяться не будут.

      Установка сервера идентификации и объединения Microsoft

      Установка MIIS 2003 довольно проста, хотя требует выполнения некоторых пред­варительных условий. MIIS требует не только наличия версии Enterprise сервера MIIS, но и версии Enterprise Windows Server 2003, и SQL Server 2000 Enterprise. После инсталляции этих продуктов можно начать инсталляцию MIIS 2003.

      Для этого выполни­те перечисленные ниже шаги:

      1. Вставьте в привод компакт-диск с MIIS и запустите программу установки, щелк­нув на пиктограмме Install Microsoft Identity Integration Server 2003 (Установка сервера идентификации и объединения Microsoft).
      2. На экране приветствия щелкните на кнопке Next (Далее).
      3. Прочитайте лицензионное соглашение и выберите переключатель I Agree (Я согласен). Щелкните на кнопке Next.
      4. Выберите вариант Complete Installation (Полная инсталляция) и щелкните на кнопке Next.
      5. Укажите, где находится SQL Server. Если он является локальным, примите стан­дартные значения, и щелкните на кнопке Next.
      6. Выберите учетную запись службы, которую будет использовать MIIS, и щелкни­те на кнопке Next.
      7. Выберите группы, которые будут созданы для MIIS, и щелкните на кнопке Next.
      8. Щелкните на кнопке Start (Пуск), чтобы запустить инсталляцию.
      9. Может появиться диалоговое окно с предупреждением о безопасности. Если оно появится, щелкните на кнопке ОК. Необ­ходимо будет пересмотреть безопасность для учетной записи службы.
      10. После завершения установки MIIS щелкните на кнопке Finish (Готово).
      11. Теперь MIIS должен быть инсталлирован и готов для конфигурации агентов управ­ления, профилей выполнения и других компонентов, необходимых для управления учетными данными.

        Аналогичные записи:
        Вы можете оставить комментарий, или ссылку на Ваш сайт.

        Оставить комментарий

        Вы должны быть авторизованы, чтобы разместить комментарий.