Microsoft Identity Integration Server 2003 Enterprise Edition

Microsoft Identity Integration Server (MIIS) 2003 różni się od swoich konkurentów w dwóch aspektach. Po pierwsze, jest to rozwiązanie najtańsze, a przynajmniej na takie wygląda. Po drugie, jest unikatowe w tym, iż wpływa na poszczególne mechanizmy Windows, a także innych narzędzi Microsoftu, przy realizacji zadań, które inne serwery zarządzania tożsamością wykonują autonomicznie.

Na przykład publikowanie książki adresowej przedsiębiorstwa z danymi pracowników zajęło tylko kilka minut - przy wykorzystaniu SharePoint Services i Active Directory. Jednym z wymagań testowych było, aby jedynie personel działu HR miał możliwość oglądania dat urodzin za pośrednictwem katalogu intranetowego. Jak się okazało, specjaliści z Microsoftu nawet nie musieli ustawiać specjalnych uprawnień, ponieważ SharePoint może respektować pozwolenia ustawione w AD.

MIIS jest potrzebny tutaj jedynie dla zapewnienia funkcji samoobsługowej zmiany haseł. Zawiera aplikacje ASP, która integruje się w tym celu z SharePoint, pozwalając użytkownikom na zmianę swoich haseł SSO i rozpowszechnianie zmian do wszystkich aplikacji, jakich używa. Co więcej, można podłączyć te aplikacje nie tylko do książki adresowej SharePoint, ale także do narzędzi zmiany haseł związanych z desktopami Windows, tak aby użytkownicy mogli zmieniać swoje hasła dostępu do zasobów sieci z poziomu Ctrl-Alt-Del lub menu Konta Użytkowników w Panelu Sterowania.

Jedyną potencjalną przeszkodą w windowsowej sieci testowej były dla Microsoftu linuksowe aplikacje e-HRMS i webERP W przypadku obu aplikacji Microsoft zarządzał funkcjonalnością SSO w ten sam sposób - nie używając ani Windows, ani MIIS, ale modułu niezależnego dostawcy, o nazwie Centrify DirectControl, dołączanego do MIIS.

Agenty DirectControl zmienia każdy linuksowy system w klienta AD, używającego biletów Kerberos związanych z uwierzytelnianiem użytkownika, aby zarządzać logowaniami do e-HRMS i webERP Minusem tego rozwiązania jest to, że w przeciwieństwie do aplikacji Windows, które mogą otrzymać autoryzacje od MIIS, aplikacje oparte na Linuksie muszą mieć jeszcze skonfigurowane logowanie dla takiego użytkownika.

Jak na ironię, Microsoft potknął się trochę na migracji umownej firmy "Biznes i spółka" w swoich usługach katalogowych AD. Specjaliści Microsoftu zarządzali początkowymi powiązaniami zaufania domen stosunkowo łatwo (używając narzędzi AD, a nie MIIS), ale sama migracja katalogów, którą wykonano używając Active Directory Migration Tools (ADMT), wymagała podjęcia kilku prób, zanim uzyskano poprawną składnię.

Pokazuje to, jak wiele różnych specjalizacji wymaga Microsoft w porównaniu z innymi dostawcami biorącymi udział w testach. Zarówno Novell, jak i Sun potrzebowali wyłącznie ekspertów biegłych w ich rozwiązaniach zarządzania tożsamością, aby wykonać wszystkie kroki zaplanowanego scenariusza testów. Microsoft zaś wymaga wiedzy o MIIS, AD, Exchange i jeszcze kilku narzędziach niezależnych dostawców. Stąd mogą brać się dodatkowe koszty przy implementacji tego na pierwszy rzut oka sporo tańszego rozwiązania.

W drugiej części testów Microsoft używał kolejnego narzędzia dostawcy niezależnego - NetPro Mission-Control for MIIS. Ponieważ MIIS w sposób ciągły monitoruje wszystkie konta w sieci, to nie miał problemu z wykryciem nadużycia popełnionego przez nieupoważnionego użytkownika. Skonfigurowano jedynie reguły MIIS zakazujące tworzenie jakichkolwiek kont admina poza MIIS. Z chwilą gdy taki użytkownik zaczął tworzyć nielegalne konto, MIIS namierzył go i szybko wyłączył.

Z drugiej jednak strony, MIIS nie może łatwo powiadomić kogokolwiek o popełnionym nadużyciu. Używając do wyszukania naruszenia samego MIIS, konieczne jest segregowanie raportów. Generowanie alarmów dla administratora, niezbędnych do podjęcia szybkiej akcji, zapewnia NetPro MissionControl.

Rozwiązanie Microsoftu zapewnia wystarczającą funkcjonalność, chociaż trochę ociężałą z administracyjnego punktu widzenia. Niemniej, MIIS - plus Windows Server 2003 i AD - przeszedł wszystkie zaplanowane testy i dodatkową integrację z Lotus Notes. Plusem jest cena, która jest zaledwie częścią kosztów, jakie trzeba ponieść przy wdrażaniu rozwiązań konkurentów.

Dla organizacji skupiających się na Microsoft, rozwiązanie MIIS może wymagać uzupełnienia narzędziami innych dostawców, ale może być za to rozwiązaniem silnym przy rozsądnych kosztach.

Novell Identity Manager 2

Rozwiązanie Novella do zarządzania tożsamością w znacznej mierze zdaje się na firmowy serwer usług katalogowych eDirectory, który znakomicie sprawdza się jako składnica tożsamości. Wykorzystując eDirectory do przechowywania informacji katalogowej z całego przedsiębiorstwa, Identity Manager dba o całą resztę.

W Identity Manager można znaleźć wszystkie udogodnienia: zarządzanie hasłami, aprowizację cyfrową opartą na rolach, zarządzanie użytkownikami różnych aplikacji, obsługę zwalnianych lub przenoszonych pracowników i funkcjonalność książki adresowej przedsiębiorstwa. Co więcej, Novell ma prawdopodobnie najbardziej intuicyjny i wycyzelowany interfejs użytkownika.

Instalacja użytkownika ujawniła oczywiste zalety zestawu Identity Manager. Tandem eDirectory i Identity Manager połączył razem wszystkie, różnorodne źródła danych sieci testowej, pozwalając na tak dużą elastyczność i szczegółowość, jakich potrzebuje większość przedsiębiorstw.

Identity Manager wykonuje te zadania w znaczniej mierze opierając się na definiowanych regułach polityki, które pozwalają administratorowi zarządzać złożonymi zależnościami miedzy aplikacjami i przepływem zadań. Wszystkie te informacje są szybko przenoszone pomiędzy Identity Vault i podporządkowanymi aplikacjami w sieci. Jest to powiązane z Identity Manager Drivers, tj. agentami niezbędnymi do zarządzania wszystkimi aplikacjami. Komunikacja pomiędzy Vault, Drivers i Identity Manager opiera się w całości na XML.

Chociaż implementacja Identity Manager przebiegła bez problemów, to niewiele różni ją od innych, z wyjątkiem wyjątkowego interfejsu użytkownika. Definiowanie elementów wymaganych w czasie testów, takich jak korporacyjna książka adresowa czy przepływ zadań między działami HR i IT, wykonywane były sprawnie z pomocą narzędzi administracyjnych, wykorzystujących techniki przeglądarki i oferujących możliwość dostosowywania do potrzeb użytkownika.

Do tego celu służy Designer. Jest to opcjonalny, bezpłatny dodatek do eDirectory lub Identity Manager. Designer, oparty na strukturach Eclipse, pomaga administratorowi przedstawić prawie całą implementację tożsamości wizualnie i następnie przełożyć to na konfigurowanie. Używając portletów, Designer konfiguruje cały front end Identity Manager, pozwalając administratorowi nie tylko modyfikować wygląd każdego portletu (w celu ułatwienia integracji z istniejącym projektem intrasieci), ale także modyfikować każdy portlet na poziomie pól - decydując w efekcie o tym, co użytkownik może zrobić i jakie pola może oglądać. Designer pozwala także na wykonanie większości zadań konfigurowania w symulowanym trybie sandbox. Oznacza to, że można przygotować projekt implementacji tożsamości i rozgrywać coś w rodzaju gry strategicznej, zmieniając systemy lub ustawienia konfiguracyjne. W celu ułatwienia takiej gry Novell zapewnił nawet mechanizmy kontroli wersji.

Zestaw Novella wykonał, z małymi potknięciami, cały zaplanowany scenariusz testów, a na finiszu - testy dodatkowe, obejmujące integrację z Lotus Notes i z/OS, przepływ zadań wyposażania oparty na interfejsie przeglądarki i poczty elektronicznej, a także zasilenie bazy danych e-HRMS z AD. Wszystkie te zadania wykonano centralnie z konsoli iManager.

Identity Manager znalazł bardzo szybko nielegalne konto administratora. Konto zostało wyrzucone do grupy kont nielegalnych, co nie tylko wyłącza uprawnienia administratora, ale także zachowuje zapis takiej próby. Jednak nie został wysłany na tę okoliczność żaden alarm.

Jedynym etapem testów, w którym Novell musiał zdać się na narzędzia zewnętrzne, było włączenie firmy "Biznes i spółka" do usług katalogowych "AB&C". Tak jak inni konkurenci, Novell musiał użyć narzędzia AD Microsoftu do początkowej migracji, a Identity Manager mógł być użyty do zarządzania danymi "Biznes i spółka" - poprzez Vault - dopiero po tym, jak dane te stały się częścią drzewostanu katalogowego AD w "AB&C".

Novell Identity Manager - od administrowania po raportowanie - jest jednym z łatwiejszych w użyciu rozwiązań biorących udział w testach. Designer zapewnia bardziej intuicyjną funkcjonalność dla tego zestawu. Niemniej Novell powinien dopracować interfejs użytkownika: wyróżniający się GUI był używany tylko do początkowego konfigurowania - wszystkie kolejne uzupełnienia były wykonywane w znacznym stopniu na surowych danych XML.