Gerenciamento de Identidade com o Forefront Identity Manager 2010 – FIM 2010

forefront identity manager 2010 h bl

Oi pessoal. Gerenciamento de identidade sempre me perseguiu. Quando eu trabalhava em Belo Horizonte prestando serviço pra Borland em idos de 2001, participei do desenvolvimento de um produto para gerenciamento de identidade que acabamos vendendo para uma das maiores empresas de telecom do país. Acabei ficando quase 5 anos dentro deste cliente customizando e integrando cerca de 80 aplicações de N plataformas diferentes que iam de Oracle Application, Visual Basic, C#, People Soft, Java, C++ e até TLC.

O produto começou a ser escrito em Delphi 5 utilizando MTS e com o tempo fui migrando para Delphi 6, 7 e COM+. Quando saiu o .net 1.0 começamos  a escrever a versão em .net C#. Este produto se integrava com a Certificate Authority do Windows 2003 e controlava a emissão e validação de certificados para empresas parceiras.

Foi uma época bem divertida da minha vida, tirando é claro os plantões aos fins de semana rs. Bom, mudei para São paulo e fiz minha pós em segurança da informação, porém fiquei uns dois anos sem trabalhar diretamente com esta parte de segurança até que um belo dia me deparei em um projeto adivinhem de que ? Gerenciamento de identidade !!!! O projeto foi bem divertido. Basicamente o cliente possuía um Open Ldap no unix e suas aplicações autenticavam neste Open Ldap. Quando estes clientes precisavam trocar sua senha do Windows, eles precisavam acessar uma página PHP que executava um script e trocava a senha no Open Ldap e depois no Active Directory (AD).

O problema era que se um usuário trocasse a senha no AD, a senha perdia o sincronismo e o usuário não conseguia utilizar suas aplicações que se autenticavam no Open Ldap. Daí acabei utilizando o Microsoft Identity Lifecycle Management (ILM 2007) em conjunto com o Microsoft Identity Integration Services (MIIS) e o Password Change Notification Service (PCNS) para customizar um agente que interceptava a senha que o usuário trocava em sua estação no momento em que ela seria gravada no AD e “empurrava” esta senha para o Open Ldap no unix. Enfim, um projeto bem bacana (Um dia quando estiver mais tranquilo vou reproduzir um video que fiz mostrando um lab disto).

O interessante é que o ILM 2007 evoluiu para a linha de produtos Forefront. Agora com o nome de Forefront Identity Manager 2010 ou FIM 2010 ele está em sua versão RC1. Esta versão é um salto incrível. O ILM deixa de ser um produto e vira uma plataforma no FIM 2010.

Mas o que nos leva a pensar em implantar em nossas empresas ferramentas para gerir as identidades dos usuários?

Podemos citar os principais motivadores e desafios de implementação de um ferramenta de gestão de identidade:

  • Conformidade
  • Eficiência Operacional
  • Agilidade
  • Segurança

O quadro abaixo mostra um pouco mais em detalhe estes itens.

image

E em que o Forefront Identity Manager 2010 pode nos ajudar?

O FIM 2010 vem com uma série de funcionalidades novas, e com melhoria nas funcionalidades que já existiam. São elas:

Criação

  • Provisionar usuários
  • Provisionar credenciais
  • Provisionar recursos

Atualização

  • Mudanças de papel
  • Reset de Password e PIN
  • Requisição de acesso

Gestão de políticas

  • Criação de Políticas
  • Aplicação de Políticas
  • provações e notificações
  • Trilhas de auditoria

Deprovisionamento

  • Desprovisionar identidades
  • Revogar credenciais
  • Deprovisionar recursos

E qual a visão da Microsoft sobre Gerenciamento de Identidade?

Software baseado em políticas para gestão de identidade, credenciais e recursos em ambientes heterogêneos com experiência rica para o usuário final.

image

image

image

image  

O FIM 2010 se entegra com toda plataforma Microsoft e também com produtos de terceiro como Open Ldap, SAP, entre outros.

image

Novidades no FIM 2010:

O FIM 2010 vem com uma inovação que eu achei sensacional. Ele se integra com o Sharepoint disponibilizando um portal de administração para as tarefas de Criação, Atualização, Gestão de políticas, Deprovisionamento, Listas de Distribuição entre outas.

Central de Administração:

É o ponto de partida para administração das tarefas comuns dos administradores. Através dele, o administrador da solução pode delegar funcionalidades do portal para os usuário comuns como criação de listas de distribuíção, reset de senha.

image

Grupos gerenciados manualmente:

  • Permite Adicionar ou Remover membros manualmente.
  • Permite definição de Gestor do Grupo e Restrições.

image

image 

Grupos baseados em critérios:

Permite criar filtro do grupo com o Group Query Builder.

image

Grupos baseados em Gerentes:

Permite selecionar o gerente e funcionários diretos/indiretos.

image

Reset de Senha:

Talvez um dos maiores pesadelos dos help desks hoje é o reset de senha do usuário. O FIM 2010 possúi um utilitário para reset de senha integrado a tela de Login do Windows.

image

Road Map:

image

 Links relacionados a este post:

Webcast e Podcast:

Getting Started

FIM 2010

ILM 2007

MIIS 2003

A idéia deste post era somente dar uma visão macro sobre a iniciativa de gestão de identidades baseada no FIM 2010.

 

Até breve.

Abraços,

Daibert