El producto de Microsoft que conforma una plataforma de Gestión de Identidad completa se llama Forefront Identity Manager (FIM). Oficialmente la última versión se ha publicado el 14 de Junio del 2012 aquí.

En el siguiente diagrama se describe el overview de esta plataforma:

image

 

Tal y como se puede ver en la figura, se distinguen los siguientes elementos o capas:

Repositorio Unificado: este elemento se compone básicamente del motor de sincronización a través del componente FIM Synchronization Service cuyo principal objetivo es la conexión y sincronización (motor de sincronización) con los diferentes repositorios que se van a utilizar para la gestión de la identidad. Por tanto, es el componente donde se configuran los diferentes conectores hacia los repositorio que entran en juego en el ciclo de vida de las identidades.

  • Conectores: Existe una amplia variedad de conectores que se encuentran OOB en el producto. Además existen multitud de partners y comunidades que extienden la capa de conectividad con nuevos y diferentes conectores. Uno de los últimos conectores ha sido el conector WebServices que tiene capacidades de provisión/deprovisión/gestión de la contraseña para aquellos sistemas con WebServices habilitado: SAP, Oracle PeopleSoft y Oracle eBusiness. Más documentación sobre este conector aquí. No obstante la plataforma dispone de un framework de conectividad Extendida 2.0 que permite crear un conector si así se desea (ejemplo de lab).

Capa de Servicio de identidad: esta capa la forman los componentes FIM Service, FIM Certificate Management y FIM BHOLD. Las funcionalidades más significativas de este capa son las siguientes:

  • Framework declarativo: que permite configurar tanto el ciclo de vida de las identidades a través de un entorno web declarativo. Esto hace que las políticas de sincronización sean fácilmente mantenibles. Aparecen las reglas de gestión de políticas (MPRs) y los procesos de negocio (workflows).
  • Gestión de grupos y listas de distribución de AD: El Directorio Activo suele ser una de los repositorios de cuentas de usuario más prioritarias a gestionar. En este sentido, FIM incluye la gestión de grupos y listas de distribución como valor añadido a la hora de definir el ciclo de vida de las identidades. (Más información aquí).
  • Gestión de certificados y SmartCards; que permite gestionar el ciclo de vida de los certificados digitales y/o SmartCards, es decir, todas las acciones, tanto desde el punto de vista de usuario como desde el punto de vista del administrador, tales como emisión, duplicados, expiraciones, smartcards temporales, etc… Este componente completa la gestión de vida de las identidades ya que los certificados digitales/SmartCards forman parte de la identidad del usuario.
  • Gestión de roles: permite disponer de una gestión de roles completa de acuerdo implementando RBAC (ANSI INCITS 359-2004, American National Standard for Information Technology – Role-Based Access Control), esto es: roles por unidad organizativa, roles por atributos del usuarios, roles opciones, etc… definiendo un modelo de Governance Access que permite desacoplar y, al mismo tiempo, tener bajo control la capa de roles de negocio respecto a los roles técnicos que será donde finalmente se definen los permisos. En esta gestión de roles se permite tanto:
  •      Segregación de Funciones (SoDs): que permite definir aquellos permisos que son incompatibles según la política de la organización
  •      Generar el modelo de roles (Role Model): que nos permitirá definir el modelo de roles de forma automática. La entrada de datos a este módulo de generación del modelo de roles consistirá básicamente en las cuentas de usuario, la estructura organizativa y los permisos que tiene cada usuario.
  • Auditoria: a través de:
  •       Certificación de permisos (Attestation): permite verificar y confirmar los permisos de las identidades a través de la definición de campañas donde se comprueba los permisos que tienen las identidades de acuerdo a la función que realiza dentro de la empresa. Estas campañas permite que las identidades tengan los permisos que deben tener y no otros además de informes sobre el resultado del proceso. Un ejemplo típico es definir una campaña para el cumplimiento de SOX. Al finalizar la campaña se dispondrá de diferentes informes utilizados para la auditoria.
  •       Análisis de cumplimiento (Analytics): permite “testear” los permisos/accesos de las identidades de acuerdo con una política definida. De ese modo se puede analizar el impacto de la política y visualizar que identidades la cumplen y cuales son los que violan la política.
  • Informes (Reporting): dispone de números informes que pueden ser exportados a diferentes formatos, entre los que se encuentran excel y pdf. Además permite integración nativa con el datawarehouse de System Center Service Manager.

Capa de Acceso:  Respecto el acceso e interactuación con la plataforma se dispone de:

  • Un portal web basado en servicios de Sharepoint el cual es accesible por los usuarios. Dependiendo de si el usuario tiene capacidades de administración y de cuales tenga se presentará en el portal diferentes opciones. De ese modo para un usuario final el portal podrá presentar información sobre su perfil (nombre, apellido, organización, roles, permisos,peticiones de roles, peticiones de permisos, etc..) y para un usuario manager se le podrá presentar más opciones relacionadas con la gestión de su equipo.
  • Integración con el logon de Windows para el autoreseteo de la contraseña. El proceso (workflow) de autoreseteo de la contraseña puede ser configurado de diferentes formas, utilizando diferentes actividades para la definición del mismo: Preguntas-Respuestas, OTP a una dirección de correo, OTP enviado como SMS al móvil, etc…
  • Portal web para autoreseteo de la contraseña: dispone de un portal web cuyo fin es el autoservicio de la contraseña. Este portal se puede utilizar en la intranet (a modo kiosko) o para internet (muy útil por ejemplo para autoresetear y desbloquear usuarios que intentan acceder desde fuera de la organización vía VPN y cuya cuenta de usuario ha sido bloqueada por 3 intentos de autenticación consecutivos incorrectos).
  • Integración con cliente de correo Outlook tanto para la solicitud de grupos y/o listas de distribución como para la gestión de dichas solicitudes (aprobación o rechazo). (lab aquí)
  • Integración con Smartphones utilizando las extensiones de OCG (Oxford Computer Group). Esta integración esta pensada para la gestión de las solicitudes relacionadas con los grupos y/o listas de distribución
  • Posibilidad de accesibilidad por parte de cualquier elemento Custom utilizando los WebServices que proporciona la Capa de Servicio de la Identidad.
  •  

Adicionalmente, tal y como se puede ver en la figura, FIM se integra con:

    • System Center Operation Manager (SCOM) el cual monitoriza servicios, dispositivos y operaciones desde una única consola centralizada. Para FIM dispone de un paquete de gestión para monitorizar el motor de sincronización (FIM Synchronization), la ejecución de los procesos/workflows (FIM Service) y el portal web (FIM Portal). Más información aquí.
    • System Center Service Manager Datawarehouse (SCSM) el cual dispone de todo un conjunto de funcionalidades de un Datawarehouse que permite explotar la información de una forma sencilla y eficiente al mismo tiempo que permite realizar informes gráficos personalizados y dinámicos. Más información aquí.