Identity Lifecycle Manager "2"（或 ILM "2"）的新版本（在撰寫本文時是測試版 3）以 Microsoft Identity Integration Server 2003 (MIIS 2003) 和 ILM 2007 中的身份管理功能為基礎。它新增了許多功能和改進—您可以使用自助式工具降低成本、使用業務流程建模提高安全合規性、使用直觀的開發工具縮短開發時間。

在本文中，我想介紹一下新增的重要功能和改進，并探討 ILM "2" 能夠為公司帶來哪些益處。我將著重討論 ILM "2" 在以下方面的門戶體驗：管理用戶配置文件和組、自助密碼管理、業務流程和工作流設計、與 Microsoft Office 集成以及不使用代碼（稱為無代碼置備）制定同步規則的能力。最后（但同樣重要），我將介紹實現 ILM "2" 的軟件、硬件和暫定的授權要求。

門戶體驗

Web 門戶是 ILM "2" 最顯著的新增功能之一，因為這是 Microsoft 首次為使用自助服務功能的最終用戶引進 UI。Web 界面為授權用戶和管理員提供了一個入口點，通過該入口點可以管理用戶和組、定義業務規則，甚至允許開發無代碼置備來設置帳戶。

ILM "2" 利用 Windows 集成身份驗證和 Active Directory，以便組織可以使用已在 Active Directory 中定義的現有用戶和組來提供身份驗證并對新用戶授權。具有管理權限的用戶和組可以執行管理功能（如為過程定義工作流、配置同步規則）以及最終用戶可以執行的任務。

管理員

如果您登錄到門戶網站且您具有管理權限，則與標準用戶相比，您可以訪問更多功能（請參見圖 1）。您可以查看并更新現有記錄，也可以在連接目錄中為新員工申請帳戶。

圖 1 ILM “2” 門戶

使用門戶設置新用戶時，您可以提交姓名、顯示名、電子郵件地址、開始日期、結束日期等用戶詳細信息。頁面上的字段可以根據需要進行配置。使用對象可視化，您可以擴大門戶架構，使請求的數據類型達到最多（如員工的鞋號）。

同步引擎可檢測新記錄和從門戶所做的更改，并在連接目錄中相應地設置用戶信息。在連接目錄中使用同步引擎設置帳戶的過程與 ILM 2007 中的過程相同。現在的主要變化是管理員可以通過門戶輸入和更新員工信息，然后門戶將其提供給同步引擎，從而能更靈活地在連接目錄中收集和更新用戶信息。

人力資源數據庫通常不包含合同工和臨時工（如學生實習生），因此很難管理這些帳戶。這些帳戶通常都是使用多種應用程序手動創建的，因此很容易讓人忘記在必要時手動將其刪除。這就會造成潛在的安全漏洞（用戶離開了組織后帳戶仍然處于激活狀態）。

一種方法是使用 ILM "2" 門戶設置和跟蹤臨時工個人資料。人力資源數據庫仍然是員工和合同工記錄的權威來源，而門戶只是作為另一種輸入和更新個人資料的方式，對人力資源數據庫起到輔助作用。#p#

標準用戶的情形

門戶還賦予標準用戶一些權限。用戶可以更新他們的部分信息，然后將信息傳送給連接目錄，在這一過程中仍使用 ILM "2" 同步引擎。作為管理員，您可以配置用戶有權更新的屬性，也可以驗證用戶輸入的字段信息的格式。此方法可以幫助保證各種數據源中有最新數據。

這與目前所使用的笨拙方法形成鮮明對比。為了使用戶能夠更新其信息，許多組織依賴于第三方的電話簿解決方案，或在內部構建自己的解決方案。其他組織要求用戶實際致電技術支持或提交書面材料才能更新信息。

這兩種方法都存在一些重大缺點。第三方應用程序和自定義的內部解決方案都非常昂貴且難以維護。一個這樣的解決方案中包含的更新信息通常不使用同步引擎來更新其他連接目錄。同時，讓用戶致電技術支持來更新信息會大大增加 IT 支持成本，也會讓支持人員被瑣碎的任務纏得無法脫身。

組管理的情形

通過定義查詢來根據用戶屬性值或按名稱對成員進行分類，管理員現在可以使用連接目錄中的成員設置安全組和通訊組列表。所有操作均可使用基于 Web 的簡單 UI 完成。通過顯式添加用戶置備組很簡單，它還能處理更為復雜的情況。

您可以使用計算出的成員置備組，從而創建以上下級關系和特定屬性為基礎的組。這通過定義工作流操作來完成。例如，管理員可以通過定義查詢來對營銷部門中的所有用戶進行分組，在組名稱中指派一個 "marketing" 值（參與營銷的所有用戶）。ILM "2" 同步引擎根據定義導入組，然后在連接目錄中置備組。使用布爾邏輯查找多個屬性可大大簡化開發復雜查詢的難度。

最終用戶還可以創建通訊組列表并通過門戶在列表中執行添加或刪除。可以加入工作流的批準邏輯，以便只有經批準的通訊組列表或授權用戶才可以加入列表。

先前版本的 ILM 允許您通過 Web 界面管理組，但這需要一個單獨的下載項—它是 Microsoft 身份和訪問管理系列中置備和工作流一節的內容。該解決方案僅適用于管理員，不允許最終用戶加入和離開分配的組。

還有一些可以在 Web 門戶上執行的管理功能。這些重要的管理功能包括：

確定置備到連接目錄的對象類型的優先級。（這可以確保某些對象不必等待整個同步循環完成就可以進行置備。）

修改用戶配置文件頁面的架構。（要納入組織要求專用的字段，可以通過擴展用于收集用戶信息的頁面架構來實現。）

更新用戶帳戶狀態。

修改站點的外觀和運行方式。（這允許您自定義門戶以適應貴組織的標準。）#p#

自助密碼管理

ILM "2" 中新增的另一個關鍵功能是自助密碼管理解決方案。ILM 2007 中可用的兩個密碼管理解決方案（基于 Web 的解決方案和密碼更改通知服務）提供了有限的自助服務功能。這兩個解決方案都需要用戶輸入舊密碼才能重置其密碼；這樣他們在忘記密碼時就會非常的無助—此種情況下，用戶將需要致電技術支持。

ILM "2" 允許用戶使用質詢-響應問題（可從 Windows logon UI 進行訪問）重置他們的密碼，從而解決了這一問題。很明顯，這能夠幫助降低技術支持的開支。

部署了密碼管理應用程序且用戶首次登錄后，即會彈出一個屏幕，要求用戶回答一組問題（您的第一部車是什么，您出生在哪個城市等等）。密碼重置對話框如圖 2 所示。

圖 2 密碼重置屏幕

管理員可以指定所用問題的類型和數量。他還可以指定關口的數量（每個關口包含一組問題）。此外，管理員還可以配置用戶重置密碼或前進到下一個關口必須回答的問題數。

為提供適當的安全級別，您可以將關口數和用戶必須正確回答的問題數與 Active Directory 安全組相關聯。例如，主管安全組中的用戶可能需要通過三關，并且必須正確回答在每個關口中設置的所有問題。而營銷安全組中的用戶可能只需要通過一個關口，回答三個問題中的任意兩個。如果您不想讓用戶通過 Windows 登錄重置密碼，可以選擇使用 Web UI 重置密碼。

Office 集成

利用 ILM "2" office 集成，用戶可以在 Microsoft Office Outlook 內管理組成員，如圖 3 所示。這樣就提供了一種訪問常見任務的慣用方式，如加入和離開通訊組列表以及從組中添加和刪除其他用戶（此操作需要 Outlook 2007 或更高版本）。

圖 3 與 Outlook 集成

用戶可以選擇加入組、瀏覽全局地址列表、選擇想加入的組，或者從組成員中將自己刪除，然后只發送請求。通訊組列表的負責人通過電子郵件接收請求，然后可以在 Outlook 中批準或拒絕該請求。如果通訊組負責人批準了請求，則將會觸發 ILM 同步引擎來完成此過程。#p#

業務流程管理

業務流程和工作流管理是 ILM "2" 中所有主要方案的基礎。令人欣慰的是，可以針對特殊組織的需求來量身定制業務流程和工作流邏輯。例如，您可以指定讓系統中的某些事件觸發一系列的自動步驟，它們稱為流程（請參見圖 4）。

圖 4 配置工作流程

管理員可以將某個事件與以下三種流程中的一個相關聯：身份驗證、授權和操作。例如，選擇授權流程將允許負責人批準所有加入或離開組的請求。選擇授權工作流時，您還可以定義審批者的姓名、審批者的數量以及批準生效的天數。

也可以定義復雜的工作流，要求必須由管理員批準對組執行的所有刪除操作，并要求用戶根據質詢和響應身份驗證流程進行身份驗證。所有用戶（包括管理員）都必須履行身份驗證流程，回答他們在初始注冊期間注冊的問題，從而驗證他們的身份。

完成身份驗證流程后，刪除組的請求即會被發送至執行授權的審批者。授權流程用于確認用戶請求操作的權限。最后，審批者批準請求，ILM 執行刪除操作。

使用內置工具設計復雜工作流的能力是 ILM 的一個重要的新增功能；以前，這類解決方案需要 MIIS 資源工具包中的單步置備工作流或第三方解決方案。而如今還可以使用 Web 服務 API，這樣您就可以進一步自定義自己的工作流并將它們與 ILM "2" 集成。

無代碼置備

無代碼置備允許 IT 專業人員執行許多以前需要開發代碼才能完成的任務。ILM 2007 需要您使用 Microsoft Visual Studio 開發規則擴展和置備代碼，以轉換連接目錄中的屬性和對象。

從 Web UI，您可以定義對象的類型、篩選規則、置備條件、Metaverse 與連接器空間之間的對象關系、刪除規則以及數據流。所有在管理代理設計器中定義的數據流映射均顯示出來，允許您在入站流和出站流中編輯映射以連接和格式化屬性流。如果您更喜歡編碼，仍可以通過為 ILM "2" 開發擴展項和置備規則來挖掘一些功能。

結束語

ILM "2" 提供了多個可以幫助簡化管理并降低技術支持開支的新功能。有了新門戶和無代碼置備極需的自助服務功能，管理員和最終用戶都會從能夠簡化任務并幫助用戶提高生產率的新功能中獲益。此外還有一些其他的顯著改進（如增強的證書生命周期管理功能和改善管理代理帶來的更好連接性和擴展性）。

ILM "2" 計劃在 2009 年上半年投放市場。 更多信息請訪問 Microsoft 的 Identity Lifecycle Manager "2" 站點。

文章地址

本文來源：微軟TechNet中文站