Uprawnienia: zrób to sam

Microsoft planuje rozbudowę funkcjonalności Identity Integration Server oraz całkiem nowe rozwiązanie do zarządzana tożsamością.

Microsoft planuje rozbudowę funkcjonalności Identity Integration Server oraz całkiem nowe rozwiązanie do zarządzana tożsamością.

Podczas październikowej konferencji Digital ID World przedstawiciele Microsoft uchylili rąbka tajemnicy na temat Gemini - kolejnej wersji Microsoft Identity Integration Server (MIIS). Jej premiera zbiegnie się zapewne z premierą nowej wersji systemu Windows (Longhorn), a więc odbędzie się najprawdopodobniej w 2007 r.

Projektanci Gemini położyli nacisk na to, aby użytkownicy w możliwie jak największym stopniu administrowali informacją zawartą w swoich profilach. Administratorzy zyskają także wygodne narzędzia delegowania uprawnień zarządzania użytkownikami do szefów działów biznesowych - funkcje te będą dostępne za pośrednictwem dedykowanych aplikacji portalowych. "To model samoobsługowy, całkowicie odmienny od obowiązującego obecnie modelu ręcznego" - mówi Kim Cameron, architekt usług katalogowych w Microsoft.

Tu jest samoobsługa

W połowie ub.r. ukazał się MIIS 2003, będący rozszerzeniem istniejącego wcześniej produktu Microsoft Meta Directory, którego podstawowym zadaniem jest synchronizacja informacji o użytkownikach i ich uprawnieniach pomiędzy Microsoft Active Directory a systemami katalogowymi innych dostawców. Przykładowo, kiedy dodawany jest nowy pracownik w systemie kadrowo-płacowym, zmiana może skutkować dodaniem nowego użytkownika w innych systemach (zgodnie z ustalonymi wcześniej regułami). Zmiany statusu pracownika mogą skutkować zmianami przywilejów związanych z jego kontem sieciowym. Odwrotny proces zachodzi w momencie usunięcia użytkownika. Dzięki MIIS jego konto jest równocześnie usuwane ze wszystkich zintegrowanych aplikacji.

"Wiele firm potrzebuje samoobsługi użytkowników, jednak obecnie jej wprowadzenie wymaga zbyt wielkich nakładów pracy związanych z organizacją przepływu pracy i systemów akceptowania wprowadzanych zmian" - mówi Jamie Lewis, prezes firmy analitycznej Burton Group. "Microsoft obrał dobry kurs, ale nie wiadomo, czy będzie w stanie przygotować funkcje samoobsługowe w taki sposób, by nie wymagały od klientów nadmiernej pracy związanej z dostosowaniem ich do własnych potrzeb" - dodaje Jamie Lewis.

Możliwości MIIS 2003 w dziedzinie samoobsługi nie są oszałamiające - pozwala on użytkownikom jedynie na samodzielną zmianę haseł. Nie oferuje funkcjonalności zarządzania kontami, długością lub okresem ważności haseł itp. W stosunku do MIIS 2003 Gemini będzie więc istotnym postępem. Czy jednak będzie to produkt korporacyjny na miarę pakietów oferowanych przez CA, HP, IBM, Novella czy Sun Microsystems? Dla Microsoftu Gemini to tylko jeden z kilku komponentów szerszej platformy zarządzania tożsamością. Pozostałe elementy to: Active Directory oraz Active Directory Application Mode (ADAM) - zbudowana na podstawie protokołu LDAP i stanowi alternatywę dla standardowej, pełnej instalacji Active Directory dla niewielkich aplikacji lub modułów klienckich większych systemów.

Aby wyposażyć użytkowników w jakiekolwiek uprawnienia, administratorzy oprogramowania MIIS muszą pisać skrypty. Gemini uwolni ich od tego, a na dodatek wprowadzi sporą dozę samoobsługi użytkowników poprzez dedykowany portal. Każdy użytkownik uzyska dzięki niemu możliwość samodzielnego określania zmiany niektórych danych, a także - w ramach uprawnień przypisanych do swojej roli - delegowania części swoich uprawnień na innych. Mechanizm ten będzie zintegrowany z funkcją Authorization Manager systemu Windows Server 2003, jak również z modułem audytu i raportowania, który Microsoft zamierza zbudować, korzystając z technologii Audit Collection System.

Zestaw przejściowy

Chcąc zdobyć klientów w dużych korporacjach, Microsoft nie może poprzestać jedynie na funkcjach samoobsługi - takie funkcje jego konkurenci oferują już dziś. Konieczne będzie zaoferowanie gotowych adapterów do systemów działających na platformach innych niż Windows. MIIS 2003 współpracuje m.in. z Novell Directory, SunONE/iPlanet Directory oraz innymi systemami zgodnymi ze standardem X.500 i protokołem LDAP (większość nowoczesnych baz danych), a także z serwerami pocztowymi Lotus Notes/Domino oraz katalogami zawartymi w systemach ERP, m.in. People-Soft i SAP.

W drugiej połowie 2005 r. Microsoft opublikuje Service Pack 1 dla obecnej wersji MIIS. Będzie on zawierać zestaw narzędzi, interfejsów, plików pomocy i przykładowych fragmentów kodu pozwalających na opracowanie mechanizmów generujących pliki wymiany w formacie XML, które będzie można łatwo importować do MIIS 2003. Service Pack 1 przyniesie także rozszerzenie funkcjonalności MIIS 2003 o propagowanie zmian dotyczących haseł z Active Directory do innych źródeł (choć niekoniecznie w drugą stronę), a także gotowe interfejsy dla bazy danych IBM DB2 oraz IBM Directory Server. MIIS 2003 kosztuje 25 tys. USD za jeden procesor serwera.