本部分概述了实施 Identity Manager 的高级政策管理和项目管理方面。(有关技术方面的信息,请参见部分 2.3, 计划 Identity Manager 实施的技术方面。)
本规划资料概述了从 Identity Manager 项目的开始到完全生产部署过程中通常要执行的活动的类型。 实施身份管理策略过程中,需要发现需求以及环境中的利害关系人、设计解决方案、获得利害关系人的认可以及测试和推行解决方案。 本部分旨在帮助您充分了解该过程,以便您能够从 Identity Manager 的使用中获得最大的收益。
强烈建议聘请一个 Identity Manager 专家,便于在解决方案部署的每个阶段随时提供帮助。 有关合作伙伴关系选项的更多信息,请参见 Novell® 解决方案合作伙伴万维网站点。Novell 培训还提供与 Identity Manager 实施有关的课程。
同时还强烈建议设置一个测试/开发环境,以便在其中测试、分析和开发解决方案。在情况步入预期轨道后,可将最终产品部署到生产环境中。
本部分并未详尽说明;不旨在讲述所有可能的配置,也不是为了要求严格执行配置。 每个环境都存在差异,因此在使用的活动类型上需要灵活处理。
可以将下列多项活动建议为部署 Identity Manager 时的最佳做法:
Identity Manager 实施可以从发现过程开始,该过程实现以下目的:
确定身份信息管理的主要目标
定义或阐明要解决的业务问题
确定解决突出问题需要完成哪些初期工作
确定执行其中一项或多项初期工作需要哪些东西
制定高级策略或“解决方案路标”,以及受到认可的执行途径
发现能使所有利害关系人对问题和解决方案达成共识。它为分析阶段提供了一个极好的基础,该阶段需要利害关系人对目录、Novell eDirectory™、Novell Identity Manager 和 XML 集成有一个基本的了解。
它可以在所有利害关系人之间建立基本级别的理解
它可以从利害关系人那里获得主要业务信息和系统信息
它可以促成解决方案路标的制定
发现还将确定紧随其后的步骤,这些步骤可能包括以下项目:
确定计划活动,为需求和设计阶段作准备
为利害关系人定义其他培训
与主要业务和技术利害关系人进行有序的面谈
业务和技术问题的高级摘要报告
后续步骤的建议
概述发现结果的决策陈述
此分析阶段将获得项目的技术和业务方面的细节,并生成数据模型和 Identity Manager 的高级体系结构设计。 此活动是至关重要的第一步,解决方案的实施将从这一步开始。
应将设计重心专门放在身份管理上,但是,也可以涉及到通常与资源管理目录(例如文件和打印)相关的许多要素。 下面是可能需要评估的项目的样本:
所使用的系统软件的版本是什么?
目录设计是否恰当?
当前是否使用该目录来承载身份库 和 Identity Manager,或者是否使用它来扩展其他服务?
所有系统中的数据质量是否合格?(如果数据达不到可用的质量,则可能无法根据需要实现业务策略。)
环境是否需要数据处理?
完成需求分析后,可为实施建立范围和项目计划,并可确定是否需要执行任何先决活动。 为避免出现代价高昂的失误,请尽量完整地收集信息和记录需求。
在需求评估过程中,可能需要完成下列任务:
收集组织的业务过程以及定义这些业务过程的业务需求。
例如,解雇一个员工的业务需求可能是,在解雇该员工的同一天,必须去除该员工的网络和电子邮件帐户访问权限。
下列任务可以引导您定义业务需求:
建立流程、过程触发器和数据映射关系。
例如,如果某事件将在特定过程中发生,那么该过程会导致什么结果? 将会触发其他哪些过程?
在应用程序之间映射数据流。
确定从一种格式转换为另一种格式(例如 2/25/2007 转换为 2007 年 2 月 25 日)需要执行的数据转换。
记录存在的数据依赖性。
如果更改了某个值,则务必要知道该值是否存在依赖性。 如果更改了特定的过程,则务必要知道该过程是否存在依赖性。
例如,选择人力资源系统中某个“临时”员工状态值,可能意味着 IT 部门需要在 eDirectory 中创建一个用户对象,该用户对象在特定的小时数内对网络的权限和访问权限将受到限制。
列出优先级。
并不是每一方的每个需求、愿望或期望都可以立即实现。 设计和部署供应系统的优先级有助于规划路线图。
将部署划分为多个阶段是很有利的,这样可以先实施部署的某一部分,然后实施部署的其他部分。 也可以采取分阶段的部署方法。 这种方法应该基于组织中的员工小组。
定义前提条件。
应该记录实施部署的特定阶段所需的先决条件。 这包括对需要与 Identity Manager 连接的已连接系统的访问权限。
确定授权数据源。
事先了解系统管理员和经理认为属于他们的信息项目,有助于获取各方的认可并让他们持续认可。
例如,帐户管理员可能需要为员工授予特定文件和目录访问权限的所有权。 在帐户系统中执行本地受托者指派可以达到此目的。
业务流程的分析通常由会见关键人(例如实际使用应用程序或系统的经理、管理员和员工)开始。 要解决的问题包括:
数据源于何处?
数据流向何处?
数据由何人负责?
谁拥有对数据所属业务功能的所有权?
需要联系何人更改数据?
更改数据牵涉到的各个方面有哪些?
数据处理(收集和/或编辑)的工作惯例是什么?
执行何种类型的操作?
使用什么方法保证数据的质量和完整性?
系统驻留在何处(在哪些服务器上,在哪些部门中)?
哪些过程不适用于自动处理?
例如,人力资源的 PeopleSoft 系统管理员可能面临的问题包括:
将哪些数据储存在 PeopleSoft 数据库中?
员工帐户的各种面板上显示哪些内容?
供应系统中需要反映哪些操作(例如添加、修改或删除)?
其中哪些是必需的? 哪些是可选的?
需要根据 PeopleSoft 中执行的操作触发哪些操作?
要忽略哪些操作/事件/行为?
如何转换数据,以及将其映射到 Identity Manager?
会见关键人可了解组织的其他区域,这样可以更清楚地展现整个过程。
定义业务过程后,可以开始设计反映当前业务流程的数据模型。
模型应该阐明数据的来源、要移至的位置以及不能移至的位置。 它还应说明关键事件如何影响数据流。
您还可能希望制作图表,用于演示建议的业务过程以及在该过程中实现自动供应的优势。
此模型的开发由回答类似以下的问题开始:
正在移动哪些类型的对象(用户、组等等)?
哪些是相关事件?
哪些属性需要同步?
在整个业务过程中,针对被管理的各种类型的对象储存了哪些数据?
同步是单向还是双向的?
哪个系统是哪些属性的权威来源?
考虑系统之间不同值的相互关系也很重要。
例如,PeopleSoft 中的员工状态字段可能有三个设置值:员工、合同工和实习生。但是,Active Directory 系统可能只有两个值:永久和临时。在此情况下,需要确定 PeopleSoft 中的“合同工”状态,以及 Active Directory 中的“永久”和“临时”值。
此工作的重点应是了解每个目录系统、它们如何彼此相关,以及在整个系统中哪些对象和属性需要同步。
数据模型,显示所有系统、授权数据源、事件、信息流和数据格式标准,以及 Identity Manager 中已连接系统和属性之间的映射关系。
解决方案的相应 Identity Manager 体系结构
附加系统连接要求的详细信息
数据验证和记录匹配的策略
用于支持 Identity Manager 基础结构的目录设计
熟悉所有外部系统的职员(如 HR 数据库管理员、网络和讯息系统管理员)
系统纲要和样本数据的可用性
来自分析和设计阶段的数据模型
组织结构图、WAN 和服务器基础结构等基本信息的可用性
此活动的结果是提供一份实验室环境中的实施样本,用于反映公司的业务策略和数据流。 该结果基于在需求分析和设计过程中开发的数据模型设计,并且是试生产前的最后一个步骤。
注:此步骤通常有助于获得管理层的支持,以及为最终实施工作获得资金。
在所有系统连接均正常工作的情况下完成的可行的 Identity Manager 概念认证
硬件平台和设备
必需软件
确定必需连接的分析和设计阶段
供测试使用的其他系统的可用性以及对这些系统的访问权限
来自分析和设计阶段的数据模型
生产系统中数据的质量和一致性可能有所不同,因此同步系统时可能会造成不一致的情况。 此阶段明确显示资源实施团队与业务单位或组(“拥有”或管理系统中要集成的数据)之间的分隔点。 相关的风险和成本因素有时可能不属于供应项目。
适合装载进身份库 的生产数据集(已在分析和设计活动中确定)。 这包括可能的装载方法(批量装载或通过连接程序装载)。 同时确定已验证或格式化的数据的要求。
同时针对使用的设备以及 Identity Manager 部署的整体分布式结构确定并验证性能因子。
来自分析和设计阶段的数据模型(建议的记录匹配和数据格式策略)
对生产数据集的访问权限
此活动的目的是开始执行到生产环境的迁移。 在此阶段可能有其他自定义操作发生。 在此有限的简介中,可确认前面的活动所需的结果,并获得生产成品的协议。
注:此阶段可提供解决方案的验收准则以及达到全面生产所必需的路标和路线。
试行解决方案,为数据模型以及所需的过程结果提供实时的概念检验和验证
所有以前的活动(分析和设计、Identity Manager 技术平台)
在此阶段中规划生产部署。 计划应:
确认服务器平台、软件修订版和 Service Pack
确认常规环境
确认在混合共存中身份库 的简介
确认分区和复制策略
确认 Identity Manager 实施
计划传统过程的交接
计划回滚应变策略
生产成品计划
传统过程交接计划
回滚应变计划
所有以前的活动
将在此阶段展开试行解决方案,以影响生产环境中的所有实时数据。 它通常遵循这样的协议:试生产符合所有的技术和业务要求。
生产解决方案已准备好进行转换
所有以前的活动