Gerenciamento de Identidade com o Forefront Identity Manager 2010 – FIM 2010
Oi pessoal. Gerenciamento de identidade sempre me perseguiu. Quando eu trabalhava em Belo Horizonte prestando serviço pra Borland em idos de 2001, participei do desenvolvimento de um produto para gerenciamento de identidade que acabamos vendendo para uma das maiores empresas de telecom do país. Acabei ficando quase 5 anos dentro deste cliente customizando e integrando cerca de 80 aplicações de N plataformas diferentes que iam de Oracle Application, Visual Basic, C#, People Soft, Java, C++ e até TLC.
O produto começou a ser escrito em Delphi 5 utilizando MTS e com o tempo fui migrando para Delphi 6, 7 e COM+. Quando saiu o .net 1.0 começamos a escrever a versão em .net C#. Este produto se integrava com a Certificate Authority do Windows 2003 e controlava a emissão e validação de certificados para empresas parceiras.
Foi uma época bem divertida da minha vida, tirando é claro os plantões aos fins de semana rs. Bom, mudei para São paulo e fiz minha pós em segurança da informação, porém fiquei uns dois anos sem trabalhar diretamente com esta parte de segurança até que um belo dia me deparei em um projeto adivinhem de que ? Gerenciamento de identidade !!!! O projeto foi bem divertido. Basicamente o cliente possuía um Open Ldap no unix e suas aplicações autenticavam neste Open Ldap. Quando estes clientes precisavam trocar sua senha do Windows, eles precisavam acessar uma página PHP que executava um script e trocava a senha no Open Ldap e depois no Active Directory (AD).
O problema era que se um usuário trocasse a senha no AD, a senha perdia o sincronismo e o usuário não conseguia utilizar suas aplicações que se autenticavam no Open Ldap. Daí acabei utilizando o Microsoft Identity Lifecycle Management (ILM 2007) em conjunto com o Microsoft Identity Integration Services (MIIS) e o Password Change Notification Service (PCNS) para customizar um agente que interceptava a senha que o usuário trocava em sua estação no momento em que ela seria gravada no AD e “empurrava” esta senha para o Open Ldap no unix. Enfim, um projeto bem bacana (Um dia quando estiver mais tranquilo vou reproduzir um video que fiz mostrando um lab disto).
O interessante é que o ILM 2007 evoluiu para a linha de produtos Forefront. Agora com o nome de Forefront Identity Manager 2010 ou FIM 2010 ele está em sua versão RC1. Esta versão é um salto incrível. O ILM deixa de ser um produto e vira uma plataforma no FIM 2010.
Mas o que nos leva a pensar em implantar em nossas empresas ferramentas para gerir as identidades dos usuários?
Podemos citar os principais motivadores e desafios de implementação de um ferramenta de gestão de identidade:
- Conformidade
- Eficiência Operacional
- Agilidade
- Segurança
O quadro abaixo mostra um pouco mais em detalhe estes itens.
E em que o Forefront Identity Manager 2010 pode nos ajudar?
O FIM 2010 vem com uma série de funcionalidades novas, e com melhoria nas funcionalidades que já existiam. São elas:
Criação
- Provisionar usuários
- Provisionar credenciais
- Provisionar recursos
Atualização
- Mudanças de papel
- Reset de Password e PIN
- Requisição de acesso
Gestão de políticas
- Criação de Políticas
- Aplicação de Políticas
- provações e notificações
- Trilhas de auditoria
Deprovisionamento
- Desprovisionar identidades
- Revogar credenciais
- Deprovisionar recursos
E qual a visão da Microsoft sobre Gerenciamento de Identidade?
Software baseado em políticas para gestão de identidade, credenciais e recursos em ambientes heterogêneos com experiência rica para o usuário final.
O FIM 2010 se entegra com toda plataforma Microsoft e também com produtos de terceiro como Open Ldap, SAP, entre outros.
Novidades no FIM 2010:
O FIM 2010 vem com uma inovação que eu achei sensacional. Ele se integra com o Sharepoint disponibilizando um portal de administração para as tarefas de Criação, Atualização, Gestão de políticas, Deprovisionamento, Listas de Distribuição entre outas.
Central de Administração:
É o ponto de partida para administração das tarefas comuns dos administradores. Através dele, o administrador da solução pode delegar funcionalidades do portal para os usuário comuns como criação de listas de distribuíção, reset de senha.
Grupos gerenciados manualmente:
- Permite Adicionar ou Remover membros manualmente.
- Permite definição de Gestor do Grupo e Restrições.
Grupos baseados em critérios:
Permite criar filtro do grupo com o Group Query Builder.
Grupos baseados em Gerentes:
Permite selecionar o gerente e funcionários diretos/indiretos.
Reset de Senha:
Talvez um dos maiores pesadelos dos help desks hoje é o reset de senha do usuário. O FIM 2010 possúi um utilitário para reset de senha integrado a tela de Login do Windows.
Road Map:
Links relacionados a este post:
- Forefront Identity Manager 2010
- Download FIM 2010 RC1
- Understanding FIM 2010 White Paper
- FIM 2010 Datasheet
- Forefront Identity Manager 2010 RC 1 Installation Guide
- Forefront Identity Manager 2010 RC 1 Release Notes
- Forefront Identity Manger 2010 RC1 IT Pro Documentation
- Forefront Identity Manager 2010 RC1 Developer Documentation (SDK)
Webcast e Podcast:
- Alex Weinert on Forefront Identity Manager 2010
- TechNet Webcast: Microsoft Identity Lifecycle Manager "2" (ILM "2") for IT Professionals (Level 300)
- TechNet Webcast: Identity Lifecycle Manager "2" (Part 1 of 3): Empowering Users with Self-Service Identity Management Solutions (Level 200)
- TechNet Webcast: Identity Lifecycle Manager "2" (Part 2 of 3): Expressing and Enforcing Business Policy (Level 300)
- TechNet Webcast: Identity Lifecycle Manager "2" (Part 3 of 3): Extensibility and Provisioning with Forefront Identity Manager (Formally ILM “2”) (Level 300)
- Introduction to ILM “2” Beta 3 Webcast
- How MSIT is Using ILM “2” Podcast
Getting Started
FIM 2010
- Product Overview
- Installation Guide
- Getting Started Step-by-Step Guides
- Technical Library
- Developer Documentation
ILM 2007
MIIS 2003
A idéia deste post era somente dar uma visão macro sobre a iniciativa de gestão de identidades baseada no FIM 2010.
Até breve.
Abraços,
Daibert