Novell Nsure Identity Manager 2

Официальный технический документ

www.novell.com

Оглавление
Оглавление......................................................................................................................... 1
УПРОЩАЯ АДМИНИСТРИРОВАНИЕ ПОЛЬЗОВАТЕЛЕЙ.............................................. 1
ОБЩИЕ СВЕДЕНИЯ........................................................................................................... 2
ВОЗМОЖНОСТИ СИСТЕМЫ............................................................................................. 3
ЧТО НОВОГО...................................................................................................................... 4
СИСТЕМА В ДЕЙСТВИИ................................................................................................... 5
ОБЗОР АРХИТЕКТУРЫ..................................................................................................... 9
КОМПОНЕНТЫ АРХИТЕКТУРЫ...................................................................................... 12

СОЗДАНИЕ ПОЛИТИК..................................................................................................... 17
УПРАВЛЕНИЕ ЭЛЕКТРОННЫМИ ПЕРСОНАМИ НА ОСНОВЕ РОЛЕЙ....................... 19
УПРАВЛЕНИЕ ПАРОЛЯМИ............................................................................................. 20
САМООБСЛУЖИВАНИЕ ПРИ УПРАВЛЕНИИ ПРОФИЛЯМИ ПОЛЬЗОВАТЕЛЕЙ...... 24
РЕГИСТРАЦИЯ, НАБЛЮДЕНИЕ И КОНТРОЛЬ............................................................. 24
ЗАКЛЮЧЕНИЕ.................................................................................................................. 27

УПРОЩАЯ АДМИНИСТРИРОВАНИЕ ПОЛЬЗОВАТЕЛЕЙ

Успех предприятия зависит от наличия нужных инструментов и информации,
доступных нужным людям в нужное время. Риск неэффективного управления
идентификационными данными и доступом между подразделениями, удаленными
офисами и бизнес-партнерами очень высок. Менеджер электронных персон
оказывает самое непосредственное влияние на динамичность работы вашей
компании, соответствие требованиям регулирующих органов и безопасность.
Отсутствие в ваших системах и приложениях согласованных идентификационных
данных препятствует повышению качества услуг, устранению пробелов в защите и
сокращению расходов на администрирование ИТ. Новые сотрудники будут сидеть
без дела, ожидая, пока им предоставят доступ к необходимым бизнес-
инструментам, а бывшие — продолжать пользоваться доступом к сети дни и недели
после увольнения. Те, кто пользуется разными системами, не могут связаться друг с
другом или работать над совместными проектами. Самые лучшие бизнес-процессы,
отвечающие современным требованиям, не принесут успеха без контролируемого,
точного, своевременного управления идентификационными данными людей и
ресурсов, распределенных по всему предприятию.
Гибкое решение управления электронными персонами устраняет ненужные барьеры
между вашими бизнес-системами и гарантирует защищенный информационный
поток для авторизованных пользователей. Вам необходимо такое решение
управления электронными персонами, которое обеспечит создание и
автоматизирует исполнение бизнес-правил, что повысит уровень безопасности,
сократит расходы на администрирование и улучшит продуктивность предприятия.
Решение для управления электронными персонами должно обеспечивать
немедленный доступ и широкий спектр услуг для ваших бизнес-партнеров,
поставщиков и заказчиков, настраиваемых исходя из их уникальных
индивидуальных отношений с вашим предприятием. Оно должно упрощать
управление всем жизненным циклом пользователей, регулируя их права доступа,
идентификационные данные и пароли. И все это оно должно делать, используя, а не
заменяя ваши существующие бизнес-процессы, бизнес-правила и инвестиции в
информационную технологию.

ОБЩИЕ СВЕДЕНИЯ
Novell® Nsure™ Identity Manager 2 поможет вам надежно управлять
идентификационными данными и доступом со стороны постоянно меняющегося
сообщества пользователей в продолжение всего жизненного цикла управления
пользователем. Он унифицирует электронные персоны во всех ваших системах и за
пределами организации. Он позволяет в первый же день предоставлять доступ к
важным ресурсам, синхронизировать множество паролей в единый логин,
«Возможность использовать электронные персоны и управлять ими — при
взвешенном решении вопросов, связанных с правовыми нормами, требованиями
регулирующих органов, тайной частной жизни и безопасностью, — является
необходимым условием создания защищенного и управляемого виртуального
предприятия»
— Джеми Льюис (Jamie Lewis), The Burton Group, июль 2003 г.

Управление полным жизненным циклом пользователя

1 Жизненный цикл пользователя
2 Создание пользователя
3 Начало взаимоотношений
4 Продвижение по службе
5 Перемена места
6 Повседневное администрирование пользователей
7 Новый проект
8 Управление паролями
9 Забыл пароль
10 Прекращение действия пароля
11 Конец взаимоотношений
12 Удаление пользователя
немедленно изменять или аннулировать права доступа и даже следить за
выполнением требований государственных регулирующих органов. Кроме того, он
обеспечивает возможности самообслуживания, которые позволяют пользователям
самостоятельно управлять своими паролями и информацией о себе, что снижает
расходы и повышает степень удовлетворенности сотрудников.
Novell Nsure Identity Manager создаст фундамент управления электронными
персонами на вашем предприятии, необходимый для создания учетных записей,
обеспечения безопасности, единой точки входа, самообслуживания пользователей,
аутентификации, авторизации, автоматизации документопотоков и веб-сервисов. Он
позволит вам объединить свою информацию электронных персон, управлять ею,
распределять и контролировать ее, так что вы сможете безопасно доставлять
нужные ресурсы нужным людям — в любое время и в любом месте.

ВОЗМОЖНОСТИ СИСТЕМЫ

ФУНКЦИЯ ОПИСАНИЕ
Создание Novell Nsure Identity Manager 2 использует составленные вами
пользователей в бизнес-правила для автоматического назначения ресурсов
соответствии с их вашим пользователям, исходя из их роли в организации или из
ролями их взаимоотношений с ней, что позволяет им получать доступ
ко всему, что им требуется, в первый же день работы не
предприятии. Вы можете связать между собой свои основные
системы обеспечения работы сотрудников, такие как система
учета кадров, e-mail, телефон, служба каталога и сетевые
операционной системы, и даже системы ваших партнеров, так
что при создании нового пользователя будут автоматически
формироваться все учетные записи и заказываться все
службы. Это исключает дорогостоящий и трудоемкий процесс
ручного ввода и редактирования данных о пользователях на
множестве систем. Вы сможете делать больше с меньшим
числом людей, что сэкономит вам деньги и позволит
перебросить персонал на более стратегические проекты.
Управление Вы можете создавать правила работы с паролями,
паролями определяющие и автоматически следящие за исполнением
определенных критериев для работы с паролями на всех
подсоединенных системах. Функция управления паролями
синхронизирует пароли между всеми сконфигурированными
системами. Средства самообслуживания при работе с
паролями позволяют пользователям восстанавливать забытые
пароли и заменять пароли по истечению их срока действия, не
тратя времени и средств на звонки в сервисную службу.
Повседневное Novell Nsure Identity Manager упрощает администрирование,
администрировани автоматизируя рутинные задачи по управлению
е пользователей пользователями или позволяя им самостоятельно выполнять
нужные процедуры. Когда пользователи меняют офис,
получают повышение по службе, выполняют особые задания
или начинают новые проекты, может потребоваться изменение
прав доступа или редактирование профиля пользователя.
Менеджер электронных персон автоматически изменяет права
пользователя и соответствующую информацию во всех
системах после однократного внесения исправлений.
Управление Novell Nsure Identity Manager позволяет пользователям
корпоративным редактировать свои собственные профили — включая
справочником и контактную информацию и другие персональные данные —
самообслуживание посредством встроенного инструмента самообслуживания
при управлении Novell eGuide. Novell eGuide позволяет также повысить
профилями качество связи и коллективной работы для ваших сотрудников,
партнеров и заказчиков, позволяя им при необходимости
находить, устанавливать связь и общаться с нужными людьми.
Регистрация, Novell Nsure Identity Manager 2 содержит средства Novell Nsure
контроль и Audit для централизованной регистрации всей деятельности по
отчетность управлению электронными персонами по всем
подсоединенным системам. Средства отчетности
обеспечивают простой доступ к этой информации и ее
распространение. Компонент контроля может сигнализировать
о попытках несанкционированного доступа, предупреждая
службу безопасности о возможных пробелах в защите.
Контролируемое решение управления электронными
персонами может стать важной частью плана выполнения
требований регулирующих органов.
Удаление Внесением единственного изменения в базу данных по учету
пользователей кадров или в другой авторитетный источник данных вы
сможете аннулировать права доступа пользователя ко всем
системам в реальном времени, так что бывшие сотрудники и
бизнес-партнеры по окончанию деловых отношений с вами
будут полностью отключены от системы. В результате вы
получаете надежную защиту от обиженных бывших
сотрудников и исключаете расходы на обслуживание учетных
записей бывших сотрудников.

ЧТО НОВОГО
Novell Nsure Identity Manager 2 представляет собой комплексную платформу
управления электронными персонами, которая опирается на возможности кросс-
платформенной синхронизации данных ее предшественника Novell DirXML®. Identity
Manger предлагает следующие новые функции:
• Упрощенное конфигурирование при помощи Policy Builder.
Простой в применении, основанный на браузере интерфейс «укажи и нажми»
упрощает создание, редактирование и организацию правил для электронных персон,
что существенно ослабляет зависимость от XSLT при решении общих задач
управления правилами.
• Управление паролями методом самообслуживания.
Организации могут устанавливать контроль над паролями во всех своих бизнес-
приложениях и хранилищах электронных персон. Например, администраторы могут
определить политики, централизовано применяемые во всей системе, и конечные
пользователи получат возможность самостоятельно восстанавливать забытые
пароли, которые затем синхронизируются во всех подсоединенных системах, не
обращаясь в службу технической помощи.
— Строгая политика в отношении паролей. Устанавливаются правила работы с
паролями, которые затем применяются и выполняются во всех подсоединенных
системах
— Самообслуживание при восстановлении паролей. Пользователи сами
восстанавливают забытые пароли, а также переназначают и изменяют свои пароли
— Распространение паролей. Определяются подсоединенные системы, которые
будут получать общий пароль организации в соответствии с политикой паролей
— Двухсторонняя синхронизация паролей. Осуществляет необходимые действия
по управлению паролями в рамках связанных систем, гарантируя согласование
• Администрирование на основе ролей. Системные администраторы могут
автоматически предоставлять или аннулировать привилегии доступа в режиме
реального времени в соответствии с ролью пользователя или его отношением к
организации, а также с установленными бизнес-правилами. Права доступа
автоматически обновляются всякий раз при изменении роли пользователя.
• Регистрация, контроль и отчетность. Novell Nsure Identity Manager 2 содержит
средства Novell Nsure Audit для наблюдения и контроля за деятельностью по
управлению электронными персонами во внутренних системах и приложениях и
генерирования отчетов или оповещения администраторов в режиме реального
времени.

СИСТЕМА В ДЕЙСТВИИ
Novell Nsure Identity Manager 2 упрощает процесс управления вашими электронными
персонами — где бы они ни размещались — по всем подсоединенным системам. Как
показано в приведенных ниже сценариях на примере вымышленного предприятия —
называемого Digital Hospitals and Medical Centers (DH&MC), — Identity Manager 2
помогает повысить эффективность работы учреждения и сократить расходы,
связанные с управлением полным жизненным циклом электронной персоны
пользователя.
Сценарий 1 — Создание пользователей на основе ролей
При вводе менеджером отдела кадров DH&MC записи в систему учета кадров для
Валдо Уилкса (Waldo Wilkes), нового врача в одной из ее клиник, Novell Nsure
Identity Manager 2 автоматически:
• Вводит информацию и применяет бизнес-правила DH&MC для создания
соответствующих форматов имени и репликации данных во все подсоединенные
приложения и системы — например, создавая имя wwilkes в соответствии с
политикой назначения имен, принятой в компании.
• Создает учетные записи в других приложениях, которые в свою очередь
предоставляют достоверную информацию для электронной персоны. Например,
Microsoft* Exchange служит авторитетным источником адресов e-mail. В
соответствии с этим правилом Microsoft Exchange создает адрес
wwilkes@digitalhospitals.com, а Identity Manager передает его во все другие
подсоединенные системы.
• Преобразует данные в соответствующие форматы для каждой подсоединенной
системы. Например, в формате PeopleSoft* номер телефона записывается как xxx-
xxx-xxxx, тогда как в Microsoft Exchange принят формат (xxx) xxxxxxx. Опираясь на
эти бизнес-правила, Identity Manager преобразует номер телефона в
соответствующий формат для каждой системы.
• Реагирует на эти изменения, применяя соответствующие бизнес-правила для
внесения изменений во все прочие приложения. Например, Identity Manager создает
почтовый ящик Microsoft Exchange в контейнере в Остине, штат Техас, потому что
PeopleSoft — авторитетный источник локальной информации — указывает Остин в
качестве места работы Валдо Уилкса. Каждый раз при внесении изменений Identity
Manager повторяет процесс синхронизации. Перемещение сотрудников, изменение
структуры подразделений, реорганизации и увольнения осуществляются быстро и
безболезненно.
Автоматизация создания пользователей
1. Запись о новом сотруднике вводится в PeopleSoft, авторитетный источник
имени сотрудника, подразделения, местонахождения и должности.
2. Запись о новом сотруднике: Валдо Уилкс
3. Зарплата/бухгалтерия
4. Унаследованная база данных
5. Учет кадров/PeopleSoft
6. Identity Manager воспринимает новое событие приема на работу.
7. Сервисная служба ИТ
8. Novell Nsure Identity Manager создает учетную запись в каждой
подсоединенной системе в соответствии с заданными бизнес-правилами.

Сценарий 2— Управление паролями

Без Novell Nsure Identity Manager 2, если бы д-р Уилкс забыл свой пароль, ему
пришлось бы обращаться в сервисную службу с просьбой восстановить пароль —
расходуя драгоценное время и увеличивая стоимость технической поддержки.
Novell Nsure Identity Manager 2 предлагает портал самообслуживания, который
позволяет пользователю вспомнить, создать, изменить или переназначить свой
пароль. Он может вызвать подсказку, которая поможет ему вспомнить свой пароль,
или переназначить пароль, предварительно ответив на контрольный вопрос —
например, о девичьей фамилии матери. Посещая портал самообслуживания, д-р
Уилкс получает одну из следующих возможностей, определяемых администратором:
• Подсказка пароля. Администратор может сконфигурировать продукт таким
образом, чтобы подсказка сразу выводилась на экран или отправлялась по e-mail.
• Переназначение пароля с контрольным вопросом. Вопрос отображается на
экране, и д-р Уилкс, если он отвечает правильно, получает разрешение назначить
себе новый пароль. Если же он решает восстановить свой пароль, это делается в
соответствии с корпоративными правилами, установленными администратором.
Если новый пароль принимается, он синхронизируется со всеми подсоединенными
системами.
Сценарий 3— Повседневное администрирование пользователя
Назначение Валдо Уилкса главным врачом одной из клиник DH&MC приводит к
многочисленным изменениям в его персональной информации. Основываясь на
единственной записи в авторитетном источнике, Identity Manager распространяет
информацию электронной персоны по всей организации.
• Д-р Уилкс автоматически получает доступ к новым системам, которые потребуются
ему как главврачу.
• К системам, которые ему больше не нужны, доступ немедленно прекращается.
• Его адрес меняется, так как он переводится в новый офис — эта
отредактированная информация распространяется во все подсоединенные
приложения.
• У него меняется начальник, что приводит к изменениям во всех системах —
например, соответствующее изменение вносится в финансовые приложения для
отслеживания процесса утверждения отчетов о расходах.
Сценарий 4 — Корпоративный справочник и самостоятельное управление
профилем
DH&MC нужно взаимодействовать в электронной форме с пациентами,
страховщиками, поставщиками и другими внешними пользователями. Novell Nsure
Identity Manager 2 позволяет DH&MC создать единую виртуальную электронную
персону для каждого пациента, медицинского работника, администратора и бизнес-
партнера. При создании электронной персоны пользователя Identity Manager
автоматически предоставляет доступ в соответствии с отношением этого
пользователя к организации и его роли. При изменении этой роли доступ
аннулируется или модифицируется в соответствии с правилами защиты
конфиденциальной информации.
Возможности самообслуживания позволяют внешним пользователям обращаться на
веб-сайт DH&MC и через портал самообслуживания вносить изменения в
информацию своей электронной персоны — например, изменить адрес или имя. Эти
изменения автоматически синхронизируются во всех системах DH&MC. Кроме того,
изменения синхронизируются в системах таких партнеров, как страховые фирмы.
Novell Nsure Identity Manager 2 использует лучшие из существующих технологий
защиты, позволяя DH&MC выполнять требования регулирующих органов по
обеспечению врачебной тайны, такие как Health Insurance Portability and
Accountability Act (HIPAA) в Соединенных Штатах и положение 17799 Международной
организации по стандартизации (ISO) в Европе.
Сценарий 5 — Исключение пользователя
Реагируя на изменение экономической ситуации, DH&MC вынуждена сокращать свой
штат. В результате DH&MC планирует уволить д-ра Уилкса. Как только меняется его
статус работника в базе данных PeopleSoft, немедленно инициируется следующая
цепочка событий:
• Прекращается доступ д-ра Уилкса ко всем данным и системным ресурсам
компьютеров клиники с изъятием прав и привилегий, связанных с его учетными
записями, а из некоторых систем его учетная запись и имя пользователя удаляются
полностью.
• Изменения в системе защиты аннулируют допуски, связанные с его картой-
пропуском, для предотвращения физического доступа доктора Уилкса в охраняемые
помещения клиники.
• Рассылаются оповещения сторонним поставщикам услуг DH&MC, информирующие
их об изменении статуса д-ра Уилкса и, согласно установленным бизнес-правилам
DH&MC, автоматически обновляются все внутренние и внешние базы данных,
которые DH&MC разделяет с этими партнерами.
• Администратор подготавливает контрольный отчет, в котором указывается, что
доступ ко всем системам немедленно аннулирован в соответствии с заданными в
Identity Manager правилами для этих конкретных систем.

ОБЗОР АРХИТЕКТУРЫ
Novell Nsure Identity Manager 2 упрощает процесс администрирования пользователей
и паролей за счет синхронизации информации электронных персон между
приложениями. Приложения, и ваше предприятие, получают преимущества от
согласованных, общих идентификационных данных при отсутствии необходимости
вручную вносить изменения в приложения. Используя для представления данных
формат XML, можно легко передавать данные между приложениями и применять к
ним бизнес-правила.
Основные концепции интеграции электронных персон
Novell Nsure Identity Manager 2 позволяет решать проблемы, возникающие в
типичном случае наличия множества изолированных приложений и систем,
распределенных по всем предприятию. Будь то системы управления персоналом,
системы электронной почты, телефонные системы или другие самые разнообразные
системы и хранилища данных, расположенные в организации или в физически
удаленных местах, Identity Manager объединяет все эти разрозненные системы
между собой, не требуя модернизации или замены этих существующих систем.
Концепция ассоциаций и авторитетных источников данных позволяет связать друг с
другом ваши существующие корпоративные системы таким образом, чтобы
обеспечить превосходное качество данных и безмерно повысить эффективность
процесса управления пользователями.
Ассоциации
Старые технологии интеграции, включая большинство решений на основе
метакаталога, обычно требуют, чтобы каждое приложение или служба каталога для
связи друг с другом хранили открытый ключ, однозначно идентифицирующий
объект во всех системах. Как правило, большинство приложений для этого
требуется определенным образом дополнять. Если расширение невозможно, то
приложение должно нестандартным образом использовать существующее поле,
иначе его нельзя интегрировать в корпоративную систему. Novell Nsure Identity
Manager 2 устраняет это препятствие, применяя для виртуальной связи между
объектами разных систем ассоциации. Ассоциации представляют собой перечень
идентификаторов, хранящихся в объекте Novell Nsure Identity Manager 2. Каждый
идентификатор содержит два значения:
• Указатель подсоединенного приложения
• Значение, определяющее объект или запись в подсоединенном приложении
Значение ассоциации уникально для приложения и поддерживается этим
приложением. Никакая модификация приложения не требуется, и никакие
посторонние значения ключей в приложение вводить не надо.
Например, если вы нанимаете нового сотрудника по имени Бобби Доу,
администратор системы учета кадров вводит в его имя, дату рождения и тот факт,
что он будет сотрудником отдела продаж. Система учета кадров автоматически
генерирует идентификатор сотрудника и присваивает его Бобби Доу. Novell Nsure
Identity Manager 2 обнаруживает это событие в системе учета кадров и создает
новую электронную персону пользователя в Identity Manager в соответствии с
определенными вами бизнес-правилами.

Novell Nsure Identity Manager 2 создает первоначальную ассоциацию для данного

пользователя, созданного системой учета кадров.
1 - Только издатель

В этом примере мы поддерживаем отношения между Identity Manager и системой

учета кадров (HR) посредством Ассоциации — указателя на HR и значения
уникального идентификатора, предоставленного системой HR — хранящейся как
часть электронной персоны в Novell Nsure Identity Manager 2. Сочетание указателя
ассоциации и уникального значения ассоциации позволяет нам установить путь и
поддерживать отношения между системой HR и Identity Manager.
Далее, мы распространяем процесс создания события, происходящий в системе HR,
на систему электронной почты и создаем для Бобби Доу учетную запись e-mail. В
соответствии с набором бизнес-политик и правил, которые вы определили в Novell
Nsure Identity Manager 2, учетная запись e-mail создается автоматически с нужными
ассоциациями таким образом, что Identity Manager получает возможность
поддерживать связь с системой e-mail. В данном случае указателем ассоциации,
который хранится в Identity Manager, служит “e-mail”, а уникальным значением
ассоциации будет электронный адрес Бобби bdoe@ab.com.

- 10 –

Novell Nsure Identity Manager 2 устанавливает дополнительные ассоциации между

пользователями в разных приложениях.
1 - Только издатель
2 - Только подписчик

Кроме создания связи между системой e-mail и Novell Nsure Identity Manager 2,
устанавливается также виртуальная или косвенная связь между системой e-mail и
системой HR. Эта виртуальная связь по уникальным указателям и значениям
ассоциации иллюстрирует, как Identity Manager организует автоматическую
передачу, разделение и синхронизацию данных между разными системами, не
требуя, чтобы все эти системы хранили уникальные идентификаторы друг друга и
не нуждаясь в назначении внешних ключей.
Каждая система предоставляет Novell Nsure Identity Manager 2 свой собственный
уникальный идентификатор объекта. Для чего бы это приложение ни использовало
свой уникальный ключ, Identity Manager хранит его в соответствующем поле
ассоциации. Это позволяет строить соотношения не только между индивидуальными
пользователями в каждой из этих систем, но и между самими индивидуальными
атрибутами. Novell Nsure Identity Manager 2 становится виртуальным центральным
процессом, который связывает пользователей и объекты их электронных персон
друг с другом в разных системах.
Авторитетные источники данных
Опираясь на структуру интеграции электронных персон, Novell Nsure Identity
Manager 2 соединяет множество разрозненных систем друг с другом, образуя
корпоративную систему, позволяющую разным приложениями обмениваться
идентификационными данными. При изменении общих идентификационных данных
в одном из приложений отредактированные данные могут распространяться во все
другие приложения, которые пользуются этими данными.
Novell Nsure Identity Manager 2 обеспечивает ресурсы и гибкость, требуемые для
определения того, какие системы уполномочены служить источником отдельных
элементов данных, так что редактирование определенных элементов данных может
производиться только в авторитетных источниках данных. Например, система учета
кадров может служить авторитетным источником имен сотрудников и их табельных
номеров. А система e-mail может служить авторитетным источником адресов
электронной почты. Если администратор системы HR пытается изменить e-mail
адрес сотрудника, Identity Manager отвергнет это изменение.
Novell Nsure Identity Manager 2 поддерживает авторитетные источники данных,
предоставляя вам возможность управлять тем, как и в каком направлении будет
передаваться эта информация электронных персон. Вы можете указать, что
отдельные элементы данных могут передаваться либо в одном направлении, либо в
обоих. Однонаправленное движение означает, что тот или иной элемент данных
может передаваться только в определенном направлении, и попытка его передачи в
противоположном направлении будет заблокирована. Например, вы можете указать,
что табельный номер сотрудника может передаваться только из системы HR в
Identity Manager, но не из Identity Manager в систему HR, что предотвратит
возможность изменения этого номера вне системы HR.

Авторитетные источники данных управляют потоком информации между

подсоединенными системами
1 - Только издатель
2 - Только подписчик

КОМПОНЕНТЫ АРХИТЕКТУРЫ
С точки зрения высокоуровневой архитектуры Novell Nsure Identity Manager 2 состоит
из следующих базовых компонентов и служб:
• Identity Vault — это место, где создается и обслуживается электронная персона.
Создаваемые вами ассоциации и политики электронной персоны также хранятся в
Identity Vault. Identity Vault это место, где хранятся политики, созданные с целью
определения информационного потока. Кроме того, Identity Vault содержит
ассоциации, определяющие расположение конкретных электронных персон во всех
системах, связанных с Identity Manager.

— Identity Manager Engine — это общий механизм, который взаимодействует с

каждым из драйверов для каждого из ваших приложений. Кроме того, Identity
Manager Engine обрабатывает и управляет всей бизнес-логикой заданных политик.
— Драйверы Identity Manager представляют собой коннекторы, соединенные с
конкретными приложениями. Драйвер соединяется с приложением через
стандартный общий API этого приложения и поддерживает связь непосредственно с
Identity Manager Engine. Этот подход существенно упростил реализацию Identity
Manager по сравнению с более ранними решениями на основе метакаталога,
которые требуют модификации приложений с целью использования специальных API
метакаталога.
— Канал подписчика представляет собой линию связи для передачи всех данных,
поступающих из Identity Vault, на которые подписано приложение. Можно
определить политики для манипулирования данным канала подписчика или для
управления тем, должно ли событие продолжаться, или же его нужно заменить
событием другого типа.
— Канал издателя представляет собой линию связи для передачи всех данных,
которые приложения публикуют в Identity Vault. Можно определить политики,
которые механизм Identity Manager Engine будет применять к данным,
пропускаемым по каналу издателя.
— Политики позволяют организовывать и автоматизировать поток и передачу
информации между разными системами в соответствии с определенными бизнес-
процессами и правилами.

Как работает механизм Identity Manager и драйверы

1- Политики
2- Канал издателя
 3- Удаленный загрузчик
4- Канал подписчика
5- Служба удаленного загрузчика
6- Драйвер Identity Manager
7- Приложение

Identity Vault
Identity Vault представляет собой хранилище для Novell Nsure Identity Manager 2.
Оно позволяет множеству приложений синхронизировать свою идентификационную
информацию с любым другим приложением, в котором содержатся общие с ним
данные и ассоциации для подсоединенных приложений.
Identity Vault обеспечивает такую синхронизацию, храня метаданные для
электронных персон пользователей и обеспечивая связь между пользователями и
приложениями посредством ассоциаций.

Определения политик для разных драйверов Identity Manager, а также политик

паролей для пользователей надежно хранятся в Identity Vault. Там же создаются
события, которые распространяются среди приложений-подписчиков.
Identity Manager Engine
Механизм Novell Nsure Identity Manager 2 решает задачу резервирования данных,
позволяя приложениям, поддерживающим и не поддерживающим службу каталога,
использовать, а также централизованно извлекать и сохранять в Identity Vault
общую идентификационную информацию. Он представляет собой важнейшую
службу интеграции, которая позволяет как унаследованным, так и самым передовым
приложениям беспрепятственно взаимодействовать с Identity Manager и
использовать его мощные возможности. Это упрощает управление корпоративными
идентификационными данными, существенно уменьшая стоимость управления
разными базами данных и каталогами всей организации. Механизм Novell Nsure
Identity Manager 2 автоматизирует синхронизацию данных между информационными
системами, позволяя поддерживать согласованность и точность данных по всему
предприятию и в системах партнеров по ту сторону межсетевого экрана.
Механизм Novell Nsure Identity Manager 2 управляет синхронизацией информации
между Identity Vault и приложениями. Следовательно, механизм управляет также и
синхронизацией информации между разными приложениями, причем роль
виртуального канала связи между ними исполняет Identity Vault.
В роли интерфейса связи с Identity Vault механизм Novell Nsure Identity Manager 2
осуществляет:
• Поддержку загрузки многочисленных драйверов
• Гарантированную передачу событий в принимающие приложения
• Предотвращение петли обратной связи событий с целью исключения возможности
рекурсивной обработки событий, когда приложения, отвечающие Identity Vault,
генерируют новые события, приводящие к созданию аналогичных событий.
Novell Nsure Identity Manager 2 Engine представляет собой сложный механизм,
который управляет пересылками данных, фильтрует данные в соответствии с
заданными политиками и обрабатывает заданные политики.
Драйверы Identity Manager
Драйвер — это XML-интерфейс, который механизм загружает и использует для связи
с конкретным приложением. Взаимодействие между механизмом и драйвером
осуществляется методами интерфейса. Большинство методов воспринимают в
качестве параметров XML-документы и возвращают результаты также в виде XML-
документов.
Драйвер соединяется с приложением, используя собственные API приложения.
Драйвер отвечает за передачу информации о событиях изменения объектов,
происходящих в приложении. Некоторые приложения поддерживают систему
событий, которую могут использовать драйверы. Другие поддерживают функции
регистрации изменений, к которым драйвер может обращаться. Третьи приложения
могут поддерживать запросы об изменениях за определенный период времени.
Каким бы способом драйвер ни определял, что объект приложения изменился, он
отвечает за создание XML-документа, описывающего это изменение. Такой документ
передается в механизм через интерфейс канала издателя. Затем механизм
обрабатывает документ о событии в соответствии с правилами и включенным
фильтром и создает команды для Identity Vault.

Драйвер может работать локально по отношению к Identity Manager Server или

удаленно через службу Remote Loader Service. Эта служба позволяет устанавливать
дистанционную связь между механизмом и драйвером. Служба Remote Loaders
Service не обязательно должна работать на том же самом сервере, что и Identity
Manager.
Каналы подписчика и издателя
Novell Nsure Identity Manager 2 действует по асинхронной модели с применением
методологии издателя и подписчика. Он не основан на транзакциях и не
поддерживает возможности отката. При обработке событий они ставятся в очередь и
ожидают, пока не освободится линия передачи данных и они не смогут
подключиться к целевому приложению, после чего события обрабатываются и
доставляются.
Каналы издателя и подписчика рассматриваются с точки зрения приложения, так что
приложение публикует данные для Identity Vault и приложение же подписывается
на данные Identity Vault.
Фильтры
С каждым объектом драйвера связан фильтр, который определяет и контролирует
классы объекта и атрибуты, подлежащие синхронизации между приложением и
Identity Vault. Фильтр позволяет управлять тем, надо ли синхронизировать
изменения в одном из атрибутов той или иной электронной персоны с другими
системами, или же игнорировать их. Кроме того, фильтры предоставляют
возможность просто оповещать Novell Nsure Identity Manager 2 об изменении,
позволяя политикам использовать информацию об изменении данных даже при
отсутствии намерения действительно синхронизировать информацию с другими
системами.

Определение фильтров Novell Nsure Identity Manager 2

В фильтр входят также и элементы, которые позволяют вам определять, какая

система должна управлять конкретным элементом в случае возникновения
конфликта при объединении процессов между объектами двух разных систем.
Политики
Нормативные требования, управление бизнес-рисками и уникальные потребности
вашего предприятия — все это отражается на политике и бизнес-практике
организации, которые вы должны задать для управления правами доступа
пользователей и для создания, модификации и удаления учетных записей своих
пользователей. Трудности возникают при попытке гарантировать, что эти правила
будут соблюдаться и своевременно исполняться в различных источниках данных,
приложениях и службах по всей вашей организации.
Конструктор политик (Policy Builder) Novell Nsure Identity Manager 2 предлагает
простой интерфейс типа «укажи и нажми» на базе браузера, который облегчает
создание политик, поддерживающих и автоматически осуществляющих уникальный
бизнес вашей организации.

Эти политики гарантируют надлежащую и автоматическую синхронизацию

информации в каждом указанном каталоге и приложении вашего предприятия,
обеспечивая вам возможность постоянно поддерживать точность и актуальность
своей идентификационной информации.

Конфигурирование политик Identity Manager при помощи конструктора политик

Правила, политики и наборы политик

В Novell DirXML, предшественнике Novell Nsure Identity Manager 2, термин «правило»
относился к набору правил, отдельным правилам этого набора и зависимостям от
контекста, условиям и действиям внутри отдельных правил. Такое неоднозначное
использование термина «правило» могло приводить к путанице. Чтобы исключить
ее, в Identity Manager термин «правило» используется иначе.
Теперь при описании преобразования высокого уровня вы определяете набор
«политик», которые состоят из одной или более политик, а каждая политика состоит
из одного или более правил. Термин «правило» теперь относится только к
отдельному набору условий и действий.
• Набор политик представляет собой множество политик, связанных общей
контрольной точкой, такой как политика размещения
• Политика состоит из упорядоченного набора правил
• Правило состоит из набора условий, которые должны проверяться, и
упорядоченного набора действий, которые должны выполняться при
удовлетворении условий.

СОЗДАНИЕ ПОЛИТИК
Конструктор политик может использоваться для определения политик создания,
политик присвоения имен по умолчанию, политик размещения, политик исходных
паролей, политик отображения схем, политик преобразования событий и т.п.
Правила для политик определяются в окне Rule Builder конструктора политик.
Интерфейс Rule Builder позволяет быстро создавать и редактировать правила с
применением интеллектуальных падающих меню. В Rule Builder определяется набор
условий, которые должны быть выполнены, прежде чем произойдет определенное
действие. Конструктор политик позволяет также легко создавать сложные условия
или выражения с аргументами для правил с применением динамического
графического интерфейса Argument Builder.
Основная процедура определения политики следующая:
1. Конструктор политик составляет и отображает список имеющихся драйверов.
2. Вы выбираете драйвер для той системы или того приложения, для которых
создается политика.
3. Конструктор политик отображает графическое представление имеющихся политик
в виде блок-схемы.
4. Вы выбираете политику, которую хотите определить, а затем следуете
инструкциям. По окончанию процесса определения политики и соответствующих
правил с использованием Policy Builder эта политика автоматически поступает в
Novell Nsure Identity Manager 2 для исполнения.
Политики преобразования
Политики преобразования используются для преобразования данных или событий,
меняющего способ их представления при обмене информацией между Novell Nsure
Identity Manager 2 и приложением.
Существует четыре типа политик преобразования:
• Преобразование вывода [данных] позволяет манипулировать данными во время
их вывода из приложения — канал подписчика
• Преобразование ввода [данных] позволяет манипулировать данными во время их
поступления из приложения — канал издателя
• Преобразование событий позволяет изменять тип событий, например, заменять
событие удаления из учетной записи событием, которое блокирует учетную запись —
оба канала
• Преобразование команд позволяет применять любую политику манипуляции к
транзитным данным, включая вывод данных во внешний процесс — оба канала
Политики схематического отображения
Политики схематического отображения позволяют создавать отношения между
разными атрибутами и управлять присвоением имен этим атрибутам. Например,
хотя в системе HR дата рождения сотрудника может обозначаться как DOB, в Identity
Vault — Date of Birth, а в системе e-mail — Birthdate, политики отображения схемы
позволяют установить надлежащее соотношение между этими атрибутами.
Политики совмещения
Политики совмещения позволяют определять минимальные критерии, необходимые
для создания ассоциации с пользователями, которые уже существуют в вашей
исходной системе и в вашем Identity Vault. Политики совмещения обычно
используются при первой реализации менеджера электронных персон, позволяя
динамически определять связи и строить надлежащие ассоциации для множества
экземпляров электронных персон, существующих в разных системах.
Политики создания
Политики создания отвечают за определения минимальной информации, которая
необходима для объекта в целевой системе. Например, в системе Novell eDirectory™
минимально необходимой информацией может быть только фамилия, а для системы
Active Directory* — имя и фамилия полностью. Каждое из приложений может
предъявлять разные требования к минимальной информации, необходимой для
создания пользователя или объекта в этом приложении. Политика создания
позволяет применять и другие типы политик, которые влияют на первоначальное
создание пользователей, такие как классификация по определенным группам и
назначение прав доступа в соответствии с этими группами.
Политики размещения
Политики размещения позволяют определять, где в Identity Vault и подсоединенных
приложениях создаются новые объекты. Например, политика размещения может
применяться для выбора контейнера пользователя в иерархическом дереве
каталога. Если драйвер задан как двухсторонний, политика размещения
применяется для обоих каналов публикации и подписки.
Многократное использование политик
Политики, созданные посредством Policy Builder, образуются в виде компонентов,
так что их можно легко использовать повторно и применять при создании политик в
будущем. Это экономит время и усилия ИТ-персонала, исключая потребность в
повторных операциях по созданию политик для разных систем вашего предприятия,
в которых применяются одни и те же или аналогичные политики.
У вас есть возможность использовать XSLT для создания своих собственных
специальных таблиц стилей для политик или правил, которых еще нет в Policy
Builder. Импортировав специальные таблицы стилей в Policy Builder, полученные
правила или политики можно использовать на многих участках всей вашей стратегии
управления электронными персонами.

УПРАВЛЕНИЕ ЭЛЕКТРОННЫМИ ПЕРСОНАМИ НА ОСНОВЕ РОЛЕЙ

В качестве альтернативы созданию политик Novell Nsure Identity Manager 2
поддерживает механизм назначения ролей (Role- Based Entitlements, RBE). Этот
механизм автоматизирует предоставление и аннулирование прав доступа к ресурсам
в соответствии с ролями пользователей или их взаимоотношениями внутри
организации. RBE обеспечивает централизованную модель для администрирования
бизнес-политик. Она позволяет упростить управление бизнес-политиками, сокращая
потребность в конфигурировании каждого отдельного драйвера для
подсоединенных систем.
Механизм назначения ролей позволяет определить, какие права доступа должны
соответствовать тем или иным ролям в вашей организации и автоматически
присваивать эти права лицам, назначенным на эти роли, и аннулировать их, когда
эти люди перестают исполнять эти роли. Назначения ролей могут производиться в
виде учетных записей пользователей, членства в списках рассылки e-mail, членства
в группах и значения атрибутов для соответствующих объектов в подсоединенных
системах.
Создание динамического и статического членства
Механизм назначения ролей Novell Nsure Identity Manager 2 позволяет определять
членство в соответствующих группах либо динамически, либо статически.
Динамическое членство определяется включением или выключением комбинации
атрибутов. Например, критерий членства можно определить при помощи значений
таких атрибутов пользователя, как наличие в его должности слова «менеджер». Те
пользователи, которые отвечают определенному критерию, автоматически получают
эту роль без необходимости явного ее присвоения каждому пользователю. Если
объект изменяется так, что больше не отвечает критериям динамического членства,
назначение автоматически аннулируется.
Указанный вами критерий автоматически преобразуется в фильтр LDAP.
Динамическое членство — это тот же объект Dynamic Group. Кроме создания
критерия для динамического членства (фильтра LDAP), можно статически включать
или исключать определенных пользователей.
Вы можете добавлять статических членов, которые не отвечают критерию фильтра.
Или исключать членов, которые отвечают критерию фильтра, но вы по какой-то
причине не хотите включать их в политику назначений.
Гибкое управление политиками
Назначение на основе ролей позволяет гибко управлять тем, что конкретно означает
для пользователя заведение в подсоединенной системе его учетной записи или ее
удаление. Каждый драйвер содержит список поддерживаемых вариантов значения
для операций «добавить» и «удалить». Например, при добавлении учетной записи в
Novell GroupWise® можно указать, что «добавить» на самом деле означает завести
учетную запись пользователя и оставить ее в запрещенном состоянии, так что для
того, чтобы учетная запись пользователя заработала, требуется вмешательство
системного администратора. Другим способом действия драйвера Novell GroupWise
может быть выбор по умолчанию режима «разрешено».
Модель назначений на основе ролей производит принудительные назначения в
следующих поддерживаемых подсоединенных системах:
• Novell eDirectory
• Active Directory
• Exchange
• Novell GroupWise
• LDAP
• Notes
• NIS
• NT Domain
Выбор способа управления политиками
Рекомендуется проанализировать и решить, имеет ли смысл использовать в своей
среде RBE в сочетании со специальными правилами, разработанными в Policy
Builder. Конфигурации драйверов для отдельных подсоединенных систем,
созданные при помощи Policy Builder, всегда будут превалировать над политиками,
назначенными на базе ролей. В случае конфликта между политиками, заданными
двумя разными способами, правила, определенные при помощи Policy Builder для
конкретной подсоединенной системы будут иметь преимущества перед любыми
правилами, заданными на основе ролей.

УПРАВЛЕНИЕ ПАРОЛЯМИ
Если сотрудникам приходится помнить множество паролей для доступа к разным
системам, которые они используют в своей работе, цифровые ресурсы вашей
организации подвергаются риску. Какую бы политику в отношении паролей вы ни
выстроили «на бумаге», пока у вас не будет решения по управлению паролями,
гарантирующего соблюдения этой политики, и пока вы не исключите необходимость
для пользователей запоминать множество паролей, те будут по-прежнему
записывать эти пароли на наклейках, в записных книжках или на клочках бумаги,
которые злоумышленникам ничего не стоит разыскать.
Novell Nsure Identity Manager 2 решает проблему управления паролями,
автоматически гарантируя соблюдение заданной вами политики паролей и исключая
для пользователей необходимость держать в голове множество паролей.
Пользователи получают возможность иметь единственный пароль для каждой
включенной в конфигурацию системы по всему предприятию. Когда пользователь
восстанавливает забытый пароль или изменяет его в силу требования
периодической замены пароля, новый пароль распространяется и синхронизируется
во всех подсоединенных системах.
Novell Nsure Identity Manager 2 обеспечивает следующий комплекс мер защиты,
связанных с паролями:
• Общекорпоративная принудительная политика работы с паролями повышает
уровень безопасности в организации, гарантируя выполнение правил обращения с
паролями во всех подсоединенных системах.
• Самообслуживание при работе с паролями вынуждает конечных пользователей
самостоятельно разбираться с забытыми паролями, восстанавливать или изменять
пароли.
• Двухсторонняя синхронизация паролей обеспечивает согласованное
распространение и синхронизацию паролей пользователя между указанными
подсоединенными системами в соответствии с принятой в организации политикой
управления паролями.
Общекорпоративная принудительная политика работы с паролями Novell Nsure
Identity Manager 2 позволяет определять правила защиты паролей, которые вы
хотите автоматически применять во всей организации или для определенных групп
пользователей. Новые или измененные пароли не принимаются, если они не
отвечают требованиям установленной вами политики.
Например, Novell Nsure Identity Manager 2 может устанавливать пороговые уровни
минимального и максимального числа символов в пароле, минимального числа
символов верхнего регистра или минимального числа цифр. Кроме того, можно
создавать список исключений, которые пользователям запрещается применять для
паролей, и сделать невозможным повторное использование старых паролей.
Самообслуживание при замене паролей
По данным аналитической фирмы Giga Information Group, каждое обращение
конечного пользователя в службу технической помощи в связи с проблемами,
связанными с паролем, обходится организации в $25 - $50. Исследование eWeek
показало, что когда пользователь забывает пароль и его приходится
восстанавливать, это обходится компании в $45. Другие исследования указывают на
то, что служба технической помощи средней по размеру рассредоточенной
компании, использующей от 4 до 8 приложений, расходует на работу с паролями по
0,83 часа своего рабочего времени на пользователя в год. Для организации с 10 тыс.
пользователей и средней зарплатой работников службы технической помощи $15 в
час это выливается в $124 500 в год, расходуемых на управление паролями.
Когда сотрудники забывают свои пароли и висят на телефоне, ожидая, пока
сервисная служба не заменит им пароль, страдает производительность труда.
Исследования показывают, что 70,4% всех пользователей по крайней мере раз в
месяц обращаются в службу технической помощи с вопросами по поводу паролей —
причем средняя продолжительность каждого такого звонка составляет 25,2 мин. Для
организации с 10 тыс. пользователей и средней зарплатой работников службы
техпомощи $15 в час это выливается в $656 724, потерянных из-за снижения
производительности труда.
Возможность самостоятельно восстанавливать пароли, предоставляемая Novell Nsure
Identity Manager 2, позволяет существенно сократить число связанных с паролям
звонков в службу технической помощи, сэкономив значительное количество
времени работников этой службы и уменьшив потери, связанные со снижением
производительности труда. Если пользователи забывают свой пароль или если
истекает срок его действия, Identity Manager позволяет им самостоятельно получать
новый пароль — без помощи службы технической помощи — через портал
самообслуживания менеджера электронных персон или через собственные
интерфейсы управления паролями своих подсоединенных систем.

В результате пользователи могут продолжать работу, не теряя драгоценного

времени на общение по телефону с персоналом службы технической помощи. Вы
существенно уменьшите количество обращений в свои центры технической
поддержки, так что ИТ-персонал в целом сможет расходовать меньше времени на
замену паролей и уделять больше внимания стратегическим проектам организации.
Создание политик самостоятельного восстановления паролей
Политики самостоятельного создания и назначения паролей пользователями вашего
предприятия легко строить при помощи мастера политик паролей, входящего в
состав Novell Nsure Identity Manager 2. Этот мастер предлагает вам решить, какие
возможности вы предоставите своим пользователям. Вы можете указать перечни
вопросов и ответных действий, при помощи которых пользователи должны
удостоверить свою личность, прежде чем им будет предоставлена возможность
заменить пароль.
Предусмотрены следующие возможности конфигурации:
• Вопросы, определяемые администратором.Администратор может сформулировать
набор контрольных вопросов, которые задаются пользователям, желающим
изменить свой пароль.
• Вопросы, определяемые пользователем. Администратор может указать, что
каждый конечный пользователь должен сформулировать один или более вопросов.
• Произвольные вопросы. При первом восстановлении забытого пароля пользователь
отвечает на полный набор вопросов, но при попытке изменить или заменить свой
пароль пользователю для удостоверения его личности задается лишь случайный
поднабор из этих вопросов.
• Обязательные вопросы. Администратор может указать, что в набор вопросов
должны быть включены определенные обязательные вопросы.
Novell Nsure Identity Manager 2 предоставляет также возможность отправлять
пользователю по e-mail или отображать в онлайне подсказки по паролям. Чтобы
помочь пользователям создать надлежащие пароли, когда они изменяют или
создают новые пароли, менеджер электронных персон можно сконфигурировать на
автоматическое отображение на консоли правил назначения паролей организации.
Кроме того, Novell Nsure Identity Manager 2 предоставляет набор из пяти
предопределенных настраиваемых шаблонов предупреждения, которые могут
использоваться для отправки пользователям по e-mail сообщений при наступлении
определенных событий, связанных с паролями, таких как истечение срока действия
пароля, ошибка синхронизации пароля или неудачная попытка замены пароля.
Двухсторонняя синхронизация паролей
Процесс синхронизации паролей протекает следующим образом:
1. Пользователь применяет интерфейс самообслуживания менеджера электронных
персон или собственный интерфейс по управлению паролями подсоединенной
системы для изменения пароля.
2. Новый пароль проверяется на соответствие политике паролей, принятой в
организации.
3. В случае соответствия пароль записывается в объект пользователя в Identity Vault
менеджера электронных персон и распространяется среди ассоциированных
объектов пользователя во всех подсоединенных системах.
4. Если пароль не соответствует правилам, пользователю отправляется по e-mail
предупреждение об ошибке, и пароль возвращается к состоянию последнего
действующего пароля.
Следующие подсоединенные системы обеспечивают полную поддержку
двухсторонней синхронизации паролей, то есть пользователь может инициировать
замену пароля в собственном интерфейсе управления паролями этих систем:
• Windows NT* (NT Domains)
• Windows* 2000 (Active Directory)
• Windows 2003 (Active Directory)
• Novell eDirectory (все платформы)
• NIS (UNIX*, Linux*)
Хотя другие подсоединенные системы не могут передавать фактические пароли
пользователей из этих конкретных систем в Novell Nsure Identity Manager 2, тем не
менее и их можно настроить на передачу в Identity Manager пароля, определенного
через Policy Builder или таблицу стилей. Например, может быть задана такая
политика, что когда в Peoplesoft создается новый пользователь, ему назначается
пароль, основанный на его фамилии или табельном номере. Кроме того, в разных
системах предусмотрены разные возможности по вводу пароля из менеджера
электронных персон. Некоторые системы поддерживают начальный набор паролей
для новых учетных записей, но не события модификации паролей.
Конфигурирование синхронизации паролей
Конфигурирование процесса синхронизации паролей в Novell Nsure Identity Manager
2 осуществляется по каждому драйверу отдельно. Предварительные правила
синхронизации паролей в менеджере электронных персон предоставляют вам
следующие возможности для каждого конфигурируемого драйвера:
• Прием паролей, публикуемых подсоединенной системой.
• Применение политик к паролям, поступающим от подсоединенной системы. В
случае несоответствия пароль не принимается.
• Применение политик к подсоединенным системам для восстановления
первоначального значения не принятых паролей.
• Оповещение пользователей в случае неудавшейся синхронизации паролей.
Кроме того, при помощи других атрибутов учетной записи пользователя можно
выбрать авторитетные источники данных для синхронизации паролей.

САМООБСЛУЖИВАНИЕ ПРИ УПРАВЛЕНИИ ПРОФИЛЯМИ ПОЛЬЗОВАТЕЛЕЙ

Novell Nsure Identity Manager 2 содержит веб-приложение, которое позволяет
пользователям находить нужных людей, устанавливать с ними связь и общаться
незамедлительно и в любое время. Novell eGuide выглядит и работает как адресная
книга. В отличие от обычной адресной книги, eGuide не зависит от платформы или
конкретного приложения. Любой пользователь с правами доступа к вашем веб-
серверу может обращаться к нему через стандартный веб-браузер и получать
информацию, которую этому пользователю разрешено просматривать.
Novell eGuide обычно применяется для поиска такой информации о людях, как
имена, номера телефона и факса, местонахождение и адрес e-mail. Его можно
использовать и для создания динамических структурных схем организации, которые
будут автоматически отражать все изменения, отмеченные в каталоге. Однако,
пожалуй, главное преимущество eGuide заключается в том, что это справочник
самообслуживания.

Поддержка самообслуживания Novell eGuide значительно сокращает и во многих

случаях исключает необходимость вмешательства администраторов системы учета
кадров или ИТ для редактирования справочника организации. Вы можете легко
организовать среду, в которой пользователи будут управлять информацией о себе,
такой как номера телефонов и почтовые адреса. Novell eGuide позволяет управлять
разрешенными модификациями, чтобы сеть и все ее критические данные
оставались в безопасности.
При использовании с Novell Nsure Identity Manager 2 Novell eGuide предоставляет
вам возможность создавать политики для распространения определенных
внесенных пользователем изменений в другие корпоративные приложения и
хранилища, такие как система e-mail или база данных учета кадров. Кроме
самообслуживания при управлении профилями, eGuide можно настроить на прямую
связь с порталом самообслуживания Identity Manager для организации управления
паролями с применением самообслуживания.

РЕГИСТРАЦИЯ, НАБЛЮДЕНИЕ И КОНТРОЛЬ

Novell Nsure Identity Manager 2 обеспечивает надежную регистрацию и контроль всей
деятельности по управлению электронными персонами. Данные этого контроля
могут быть полезны для уменьшения уровня ответственности и риска, связанного с
удовлетворением требований регулирующих органов и вашей собственной бизнес-
политики. В Identity Manager входит встроенная версия Novell Nsure Audit. Данные
Novell Nsure Audit могут централизованно собираться в базе данных MySQL* или
текстовом файле. Мастер настройки фильтра помогает сконфигурировать события,
по которым нужно получать отчеты или оповещения. Оповещения могут
доставляться также в режиме реального времени через SMTP.
Использование этих возможностей Nsure Audit упростит вам работу по отслеживанию
и регистрации того, что на самом деле происходит по всему предприятию с точки
зрения управления электронными персонами. Они позволят вам наблюдать за
своими политиками в действии и определять, насколько точно исполняются ваши
бизнес-правила.
<p> Если вы решите воспользоваться преимуществами полной версии Novell Nsure
Audit, достаточно просто приобрести и применить лицензию на полную версию.
Установка сервера
Сервер менеджера электронных персон можно реализовать как в одно-, так и в
многосерверной конфигурациях. В типичной конфигурации с одним сервером
компоненты Novell Nsure Identity Manager 2 Server сосуществуют на одном
физическом сервере вместе с другими приложениями (PeopleSoft, Notes и т.п.).
В большинстве корпоративных сред Novell Nsure Identity Manager 2 Server
устанавливается на отдельном физическом сервере, а не вместе с другими
корпоративными системами, которые с ним связаны. В некоторых случаях, хотя
Identity Vault и Engine работают на отдельном сервере, Driver может оставаться на
том же сервере, что и бизнес-приложения. Например, такая конфигурация
потребуется, если Identity Manager Server работает на Linux-сервере, а Active
Directory — на Windows-сервере. Тогда Driver должен работать на Windows-сервере,
так как для интерфейсов прикладных программ Active Directory требуется Windows.
Технические преимущества
Сочетая в себе метакаталог, средства для работы с учетными записями, управление
доступом, управление на основе ролей, управление паролями и средства
самообслуживания,
Novell Nsure Identity Manager 2 является наиболее мощным решением управления
электронными персонами на рынке, способным решить все ваши задачи по
управлению электронными персонами и доступом.
Высоко гибкая и адаптируемая архитектура
Novell Nsure Identity Manager 2 обеспечивает интеграцию служб, универсальным
образом соединяющих приложения, хранилища данных и сетевые платформы —
даже через границы организации. Он построен на испытанной, зрелой технологии с
наилучшими характеристиками безопасности, стабильности и масштабируемости.
<p> Novell Nsure Identity Manager 2 обеспечивает гибкое отображение
взаимоотношений между ресурсами и управление ими, включая пользователей,
группы, службы, устройства, приложения, соединения и многое другое. Доступный
отовсюду через интернет, менеджер электронных персон позволяет организациям
централизованно управлять широким спектром ресурсов.
Novell Nsure Identity Manager 2 поддерживает многочисленные протоколы и
стандарты почти любой мыслимой системы. Таким образом, ваша существующая
система получает способ автоматического управления электронными персонами с
охватом разных хранилищ персональных идентификаторов, а требуемое число таких
хранилищ для вашей среды уменьшается. Простой пример: менеджер электронных
персон может гарантировать вам единый, высоко масштабируемый, постоянно
обновляемый LDAP-каталог, обслуживающий множество приложений.
Novell Nsure Identity Manager 2 может естественным образом работать на
платформах Linux, NetWare®, Solaris*, Windows 2003, Windows XP, Windows 2000 и
Windows NT. Чтобы безопасно распространять и синхронизировать данные между
разными приложениями, каталогами и базами данных, распределенными по сети
вашего предприятия и системам ваших партнеров, Identity Manager содержит
драйверы для Active Directory, Delimited Text, Novell eDirectory, Exchange 5.5, Novell
GroupWise, JDBC*, LDAP, Lotus Notes*, NIS, PeopleSoft, SAP* HR, SAP User, SIF* и
Windows NT 4, а также для многих других систем и приложений. За обновленным
перечнем драйверов обращайтесь, пожалуйста, на веб-сайт Novell.
Распределенное администрирование
Многие конкурирующие решения не поддерживают модели управления
распределенной информацией или распределенными электронными персонами. Они
пытаются принудить вас к централизованной модели. Novell Nsure Identity Manager 2
позволяет распределенно управлять разными аспектами электронных персон для
разных бизнес-групп и авторитетных источников данных, которые наилучшим
образом отвечают требованиями вашей организации.
Распоряжение данными
Novell Nsure Identity Manager 2 позволяет закреплять распоряжение данными за
отдельными группами в вашей организации. Находятся ли владельцы данных внутри
организации или на сайте партнеров за корпоративным брандмауэром, они будут
сохранять возможность распоряжаться этими данными и единолично определять
характер их использования. Кроме того, владельцы данных могут назначать любой
каталог или базу данных «авторитетным» источником информации, а также
определить бизнес-правила, которые должны применяться при модификации
данных и отображении такой модификации или ее тиражировании в другие
информационные системы. Эта распределенная модель не только гарантирует вам
необходимую гибкость для распоряжения данными и гарантирует исполнение
бизнес-правил, но и позволяет избежать разрушительных внутренних политических
конфликтов между правилами и владением.
Поэлементный подход
Novell Nsure Identity Manager 2 обеспечивает поэлементный подход к управлению
вашими электронными персонами. Вы можете назначить любое приложение
авторитетным источником данных для любого отдельного элемента данных
электронных персон. Такой уровень гранулированности позволяет составлять
объекты электронных персон из данных, поступающих от разных авторитетных
источников, что гарантирует вам гибкость и мощность, необходимые для
сохранения согласованности данных и точной идентификации данных по всему
предприятию. При этом вы можете использовать свои ресурсы таким способом,
который наилучшим образом отвечает требованиям вашего предприятия. Например,
систему e-mail можно сконфигурировать в качестве авторитетного источника
адресов электронной почты, что позволит администраторам e-mail менять адреса e-
mail, не редактируя никакой другой информации электронных персон.

ЗАКЛЮЧЕНИЕ
Идентификация — это общая часть многих проблем безопасности современного
предприятия. Без общей платформы идентификации каждое новое решение,
которое вы создаете, образует еще одно хранилище данных идентификации и
добавляет новые проблемы безопасности.
Novell Nsure Identity Manager 2 устраняет барьеры между вашими бизнес-системами
и позволяет надежно предоставлять информацию вашим авторизованным
пользователям. Ключевой компонент безопасного решения управления
электронными персонами Novell Nsure, Novell Nsure Identity Manager 2, создаст
фундамент управления информацией идентификации в вашей организации,
необходимый для надежной доставки нужных ресурсов нужным людям в любое
время и в любом месте. Он обеспечит выполнение ваших бизнес-правил, так что
ваши системы будут распознавать и немедленно доставлять нужные ресурсы
нужным людям в зависимости от того, кто они, какую роль играют в вашей
организации и какое имеют к ней отношение.
Созданный с использованием лидирующей технологии и накопленного богатого
опыта в области реализации сложных решений управления электронными
персонами, Novell Nsure Identity Manager 2 обеспечивает фундамент для управления
электронными персонами, способный поддерживать вашу сложную бизнес-среду и
развивающиеся бизнес-процессы. По мере внедрения новейших технологий, таких
как веб-сервисы, точное и согласованное управление электронными персонами
приобретает все более важное значение. Будучи лидером и в сфере управления
электронными персонами, и в области веб-сервисов, Novell поможет вашему
предприятию воспользоваться преимуществами динамичности, которые предлагают
веб-сервисы, сохранив тот уровень безопасности, которого вы привыкли ожидать от
Novell.
Novell Nsure Identity Manager 2 позволяет упростить и автоматизировать
существующие процессы управления электронными персонами, усилить
корпоративную безопасность и сократить расходы на администрирование. Ваши
пользователи смогут самостоятельно управлять своими паролями и информацией
идентификации, так что вам больше не придется этим заниматься. Вы получите
инструменты, необходимые для достижения и подтверждения соответствия
требованиям регулирующих органов. Novell Nsure Identity Manager 2 унифицирует
информацию электронных персон по всем системам вашего предприятия, как
поддерживающим, так и не поддерживающим службу каталога, так что вы сможете
с успехом использовать уже сделанные инвестиции в ИТ. Он повысит
производительность труда и эффективность вашего бизнеса, позволяя сотрудникам,
заказчикам и партнерам при взаимодействии с вашей организацией быстрее
получать доступ ко всем необходимым им инструментам и ресурсам.
 «Этот релиз вносит значительное усовершенствование в то, что уже и так является
самым мощным продуктом управления электронными персонами на рынке, —
говорит вице-президент управления главного исполнительного директора Novell
Крис Стоун (Chris Stone). — Метод конфигурирования „укажи и нажми”,
самообслуживание при управлении паролями и доступ на основе ролей еще больше
упрощают заказчикам конфигурирование решения, ориентированного на их
уникальные бизнес-процессы, которые сократят их затраты на управление и повысят
уровень безопасности».
Модульное, безопасное решение управления электронными персонами, Novell Nsure
Identity Manager 2 позволит вам в первую очередь решить наиболее насущные
проблемы безопасности, составив фундамент управления электронными персонами.
По мере необходимости вы сможете добавлять дополнительные возможности.
Безопасные решения управления электронными персонами Novell Nsure помогут вам
создать среду, в которой ваши бизнес-ресурсы работают вместе как «единая Сеть» и
безопасно соединяют нужных людей с нужной информацией в нужное время.

© 2004 Novell, Inc. Все права защищены.

Novell, логотип Novell, NetWare, DirXML и GroupWise — зарегистрированные торговые марки,
a eDirectory, Nsure и логотип N — торговые марки Novell, Inc. в США и других странах.
*Active Directory, Microsoft, Windows и Windows NT — зарегистрированные торговые марки
Microsoft Corporation. PeopleSoft — зарегистрированная торговая марка PeopleSoft, Inc. UNIX
— зарегистрированная торговая марка X/Open, Ltd. Linux — зарегистрированная торговая
марка Линуса Торвальдса. MySQL — зарегистрированная торговая марка MySQL AG. Solaris —
зарегистрированная торговая марка, а JDBC — торговая марка Sun Microsystems, Inc. Lotus
Notes — зарегистрированная торговая марка IBM, Inc. SAP — зарегистрированная торговая
марка SAP AG. SIF — торговая марка Software Publishers Association. Все прочие
наименования могут быть торговыми марками или зарегистрированными торговыми
марками соответствующих владельцев.
Novell Product Training and Support Services
За более подробной информацией о международных программах обучения и сертификации
продуктов Novell и службах консалтинга и технической поддержки обращайтесь,
пожалуйста, на веб-сайт: www.novell.com/ngage
Дополнительная информация
Обращайтесь к своему местному поставщику решений Novell или посетите веб-сайт
www.novell.com
Телефоны Novell:
США/Канада: 1 888 321 4272
Международный: 1 801 861 4272
Факс: 1 801 861 8473
Novell, Inc.
404 Wyman Street
Waltham, MA 02451 USA
www.novell.com