Identigral, Inc

Une récente entrée sur le blog Identigral a parlé sur la gestion des droits au lieu de simplement gérer la relation entre les droits et les utilisateurs / rôles. Cela sonne bien, mais comment cela fonctionne dans la pratique?

Pour notre exemple, nous allons utiliser le Gestionnaire Oracle Identity (OIM), Active Directory (AD) et le connecteur Active Directory pour l'OIM. Dans la série d'articles sur le sujet que je vais illustrer une approche à l'extension du connecteur et en utilisant le cadre OIM tel qu'il passera de la gestion du compte utilisateur AD avec jeu niveau de base des attributs de gestion de la relation entre les droits et les utilisateurs pour finalement gérer les droits eux-mêmes. Comme la première étape de ce processus consiste à gérer le compte utilisateur de base AD, je vais commencer par cela.

Habituellement, il est l'avènement de l'automatisation des processus via un outil de gestion d'identité, comme qui force l'OIM organisation à articuler les règles pour générer des adresses e-mail et les connexions pour la première fois. Inévitablement, les nouvelles exigences écrites pour l'algorithme de génération couvrent trois pages et comprennent une petite montagne des cas particuliers et la logique de collision avancée.

Avertissement # 1. Si vous recevez un ensemble simple, sensible de règles écrites en premier lieu, les chances sont bonnes que les vrais (et extrêmement complexes) exigences ne seront pas visibles jusqu'à ce que le système est en production, ce qui est une expérience amusante.

L'un des est de déterminer où dans l'arborescence de répertoire doit être placé le compte d'utilisateur les problèmes les plus complexes dans les implémentations d'Active Directory. En règle générale, il y a une série d'unités organisationnelles (UO) dans AD qui représentent l'idée de quelqu'un de la hiérarchie organisationnelle et l'un de ces OUs devrait agir en tant que conteneur de niveau inférieur pour le compte de l'utilisateur. Parfois, la structure de l'unité org AD fait réellement sens et le placement de l'objet utilisateur AD peuvent être déterminées par un simple algorithme de recherche qui utilise un seul attribut à partir du noyau objet utilisateur OIM, par exemple,






la situation géographique de l'utilisateur. Une table de base de données stocke l'OIM mappage entre l'emplacement de l'unité organisationnelle de l'utilisateur. Toutefois, cet état idéal est rare et la plupart du temps, vous trouverez des implémentations AD avec un grand nombre d'unités organisationnelles disposées idiosyncratique (de tout le monde marche au hasard?)

Ainsi, la table « recherche simple » pousse souvent à inclure des centaines ou parfois des milliers de lignes. Dans de nombreux cas, vous aurez également besoin de plus d'une variable pour déterminer l'unité organisationnelle exacte. Entrez plusieurs tables de consultation imbriquées ou l'utilisation du moteur de règles et le groupe de l'OIM. À présent
vous pouvez configurer pour localiser les utilisateurs OIM qui travaillent pour la division des camions, sont situés dans le bureau Raleigh (code de localisation) et le travail dans les ventes. Vous faites cela en allant dans la « division des camions » branche de la structure de l'unité organisationnelle, puis naviguer vers le bas de États-Unis -> Caroline du Nord -> Raleigh -.> Unité organisationnelle Sales arbre Problème résolu!

Malheureusement, le problème n'est pas résolu. Comme il se trouve, l'entreprise a deux bureaux à Raleigh avec les deux unités organisationnelles correspondantes qui partagent le même code d'emplacement du bureau. Il est également essentiel que l'utilisateur se mettre dans l'unité organisationnelle « droit » ou il devra conduire 90 miles à un autre bureau pour obtenir son déjeuner de compagnie libre. A la fin de la journée, vous découvrirez souvent que peu importe la complexité ou vos règles sophistiquées (et leur mise en œuvre) deviennent pour OIM déterminer où le compte sera en l'an, ils ne seront pas en mesure de résoudre ce problème avec une précision de 100%. dans la plupart des cas, vous devez accepter que vous serez en mesure de placer automatiquement seulement 95-99% des utilisateurs. Le reste devra être fait manuellement.

Une autre approche est de permettre au changement de se produire à l'extérieur de l'OIM (par exemple dans Active Directory) et de réconcilier le changement dans mais cela fonctionne OIM que si vous autorisez le processus de réconciliation pour mettre à jour le profil de l'OIM. Une troisième et meilleure approche est de laisser le changement écouler vers le bas de la source de confiance, tels que votre système RH. Si vous voulez éviter d'avoir à faire valoir l'importance d'utiliser des noms juridiques dans le système des ressources humaines avec les administrateurs des ressources humaines, vous pouvez inclure « prenom préféré » et champs « lastname préféré » dans le modèle de données utilisateur OIM afin que vous puissiez gérer cela sans
avoir à changer les noms légaux en ressources humaines.

Mise à jour des attributs clés AD tels que samaccountname afin qu'il se fonde sur le nouveau nom peut être dangereux, parce que certaines de vos applications en aval pourrait dépendre de la samaccountname rester constante. Le compromis habituel est de changer la
adresse e-mail et le displayname tout en gardant le samaccountname inchangé.