Eine wichtige Funktion von Identity Manager ist die Workflow-basierte Bereitstellung. Darunter versteht man den Vorgang der Verwaltung des Benutzerzugriffs auf die sicheren Ressourcen in einer Organisation. Diese Ressourcen können auch digitale Entitäten wie z. B. Benutzerkonten, Computer und Datenbanken umfassen. In dieser Version werden die bereitstellbaren Ressourcen Identity Manager-Berechtigungen zugeordnet.
Identity Manager kann einen großen Bereich an Bereitstellungsanforderungen bedienen. Bereitstellungsanforderungen sind Benutzer- oder Systemaktionen, durch die ein Zugriff auf die Ressourcen der Organisation gewährt oder verweigert wird. Sie können vom Endbenutzer direkt über die Identity Manager-Benutzeranwendung oder indirekt als Reaktion auf Ereignisse initiiert werden, die im Identitätsdepot (eDirectory) auftreten.
Wenn eine Bereitstellungsanforderung die Berechtigung von einer oder mehreren Personen in einer Organisation erfordert, wird durch die Anforderung ein Workflow gestartet. Der Workflow koordiniert die Genehmigungen, die zur Erfüllung der Anforderung benötigt werden. Einige Bereitstellungsanforderungen müssen von einer einzelnen Person genehmigt werden, andere müssen von mehreren Personen genehmigt werden. In manchen Fällen kann eine Anforderung auch ohne Genehmigung erfüllt werden.
Bei einigen Workflows muss die Verarbeitung sequenziell erfolgen, d. h., die Genehmigungsstufen müssen der Reihe nach erfolgen. Andere Workflows unterstützen die parallele Verarbeitung. Bei der Definition einer Bereitstellungsanforderung legen Sie fest, ob der Workflow die sequenzielle oder die parallele Verarbeitung unterstützen soll.
Identity Manager stellt mehrere webbasierte Werkzeuge zur Verfügung, mit denen der Administrator Bereitstellungsfunktionen in die Benutzeranwendung integrieren kann. Mit diesen Werkzeugen haben Sie die Möglichkeit, Bereitstellungsanforderungen zu konfigurieren und aktive Workflows zu verwalten. Der Administrator erstellt zum Konfigurieren einer Bereitstellungsanforderung eine Bereitstellungsanforderungsdefinition, durch die die Ressource an einen Workflow gebunden wird.
Im folgenden Schema ist eine Übersicht über die Architektur des Workflow-basierten Bereitstellungssystems abgebildet, das in Identity Manager enthalten ist:
In den folgenden Abschnitten werden die einzelnen Komponenten dieser Architektur beschrieben.
Die Identity Manager-Benutzeranwendung verfügt über eine Web-Schnittstelle, über die Endbenutzer Bereitstellungsanforderungen senden und diese nach der Übermittlung verwalten können. Außerdem bietet die Benutzeranwendung dem Benutzeranwendungsadministrator oder einem Vorgesetzten die Möglichkeit, Bereitstellungs-Workflows delegierten und vertretenden Benutzern zuzuweisen.
VORSCHLAG:Die Bereitstellungs- und Workflow-Aktionen stehen über die Registerkarte Anforderungen und Genehmigungen der Identity Manager-Benutzeranwendung zur Verfügung.
Weitere Informationen zu delegierten und vertretenden Benutzern finden Sie in Schnitt 21.3, Sicherheit bei der Bereitstellung. Ausführliche Informationen zum Arbeiten mit der Benutzeranwendung finden Sie im Identity Manager-Benutzeranwendung: Benutzerhandbuch.
iManager bietet Plugins, mit deren Hilfe Sie Bereitstellungsanforderungen und deren zugeordnete Workflows konfigurieren und verwalten können.
Zum Konfigurieren einer Bereitstellungsanforderung binden Sie sie an eine bereitstellbare Ressource, legen Sie die Laufzeit-Charakteristika des zugeordneten Workflows fest und aktivieren Sie sie. Sobald eine Bereitstellungsanforderung initiiert wurde, können Sie über iManager den Status des Workflow-Prozesses anzeigen, Aktivitäten innerhalb der Workflows neu zuweisen oder einen Workflow beenden, falls er „hängt“.
Identity Manager unterstützt nicht nur Anforderungen von Endbenutzern zur Bereitstellung von Ressourcen, sondern ermöglicht außerdem die Initiierung von Bereitstellungsanforderungen als Reaktion auf Ereignisse, die in eDirectory auftreten. Der Identity Manager-Benutzeranwendungstreiber überwacht Ereignisse und reagiert mit der Initiierung der entsprechenden Bereitstellungsanforderungen. Diese Anforderungen können wiederum Workflows zur Verarbeitung des Genehmigungsverfahrens initiieren. Wenn entsprechend konfiguriert, unterstützt Identity Manager ein Szenario, in dem durch das Hinzufügen eines neuen Benutzers in eDirectory automatisch eine zuvor festgelegte Bereitstellungsanforderung und der entsprechende Workflow gestartet wird.
Das Bereitstellungssystem führt alle erforderlichen Prozesse zur Initiierung und Erfüllung der Bereitstellungsanforderungen aus. Wenn eine Anforderung eine oder mehrere Genehmigungen erfordert, ruft das Bereitstellungssystem das Workflow-System zum Starten eines Workflow-Prozesses auf. Sobald die erforderlichen Genehmigungen erteilt wurden, stellt das Bereitstellungssystem die angeforderte Ressource bereit.
Das Bereitstellungssystem speichert Informationen über verfügbare und ausstehende Bereitstellungsanforderungen im Identitätsdepot (eDirectory).
Zum Initiieren einer Anforderung oder zum Ausführen der Verarbeitung zur Erfüllung einer Anforderung greift das System über die Verzeichnisabstraktionsschicht auf das Identitätsdepot zu.
Weitere Informationen zur Verzeichnisabstraktionsschicht finden Sie in Schnitt 4.0, Konfigurieren der Verzeichnisabstraktionsschicht.
Wenn für eine Bereitstellungsanforderung eine oder mehrere Genehmigungen erforderlich sind, koordiniert das Workflow-System den Genehmigungsvorgang. Während der Verarbeitung interagiert es mit folgenden Komponenten:
Zum Protokollieren des Status der aktiven Workflows speichert das Workflow-System Informationen in einer Datenbank. Diese Datenbank enthält Informationen zu den Workflow-Prozessinstanzen, Arbeitslisten (Warteschlangen) und Adressaten der Workflows. Zudem werden alle Kommentare gespeichert, die während der Verarbeitung eines Workflow-Prozesses hinzugefügt werden.
Das Workflow-System ruft die Skript-Engine auf, wenn ein Workflow einen auszuwertenden dynamischen Ausdruck enthält. Dynamische Ausdrücke können Variablen, Funktionen und Operatoren sowie Referenzen zu Entitäten in der Verzeichnisabstraktionsschicht enthalten.
Zum Protokollieren von Informationen zum Status eines Workflow-Prozesses interagiert das Workflow-System mit Novell Audit. Während seiner Verarbeitung protokolliert ein Workflow möglicherweise Informationen zu verschiedenen aufgetretenen Ereignissen. Benutzer können die Protokolldaten anschließend über die Berichterstellungswerkzeuge von Novell einsehen.
Weitere Informationen zum Einrichten der Protokollierung finden Sie in Schnitt 5.0, Einrichten der Protokollierung. Informationen zur Steuerung des Umfangs der Protokollierungsmeldungen, die von der Identity Manager-Benutzeranwendung erzeugt werden, finden Sie in Schnitt 12.0, Konfiguration der Protokollierung.
Während der Verarbeitung eines Workflow-Prozesses werden häufig Email-Benachrichtigungen versendet. Eine Email kann beispielsweise versendet werden, wenn eine Workflow-Aktivität einem neuen Adressaten zugewiesen wird.
Ein Administrator kann eine Email-Schablone in iManager bearbeiten und diese dann in einem Workflow-Prozess verwenden. Zur Laufzeit lädt das Workflow-System sie von eDirectory und ersetzt alle Tags mit geeignetem dynamischem Text für die Benachrichtigung.
E-Mail-Benachrichtigungen werden mit SMTP (Simple Mail Transfer Protocol) verarbeitet.
Grundlegende Schritte für das Einrichten von Email-Benachrichtigungen finden Sie in Schnitt 23.3, Konfigurieren des Email-Servers und Schnitt 23.4, Arbeiten mit den installierten Email-Schablonen. Weitere Informationen zum Konfigurieren von Email-Benachrichtigungen für einen Workflow finden Sie in Konfigurieren der Workflow-Aktivitäten.
Das Sicherheitssystem verarbeitet alle Sicherheitsaspekte einer Workflow-basierten Bereitstellungsanwendung.
Weitere Informationen zur Sicherheit von Workflows finden Sie in Schnitt 21.3, Sicherheit bei der Bereitstellung.
Angenommen, ein Benutzer benötigt in einem IT-System ein Konto. Zum Einrichten des Kontos initiiert der Benutzer über die Identity Manager-Benutzeranwendung eine Anforderung. Durch diese Anforderung wird ein Workflow gestartet, der einen Genehmigungsvorgang koordiniert. Sobald die erforderlichen Genehmigungen erteilt wurden, ist die Anforderung erfüllt. Dieser Vorgang besteht aus drei grundlegenden Schritten, die im Folgenden kurz dargestellt werden.
Der Benutzer durchsucht in der Identity Manager-Benutzeranwendung eine Liste mit Ressourcen nach Kategorien und wählt die bereitstellbare Ressource aus. Im Identitätsdepot wird die bereitstellbare Ressource ausgewählt und einer Bereitstellungsanforderungsdefinition zugeordnet. Die Bereitstellungsanforderungsdefinition ist das bedeutendste Objekt in einem Bereitstellungssystem. Es bindet eine bereitstellbare Ressource an einen Workflow und agiert als das Mittel, durch das der Workflow-Prozess dem Endbenutzer bereitgestellt wird. Die Bereitstellungsanforderungsdefinition enthält alle Informationen, die erforderlich sind, um dem Benutzer das Formular für die anfängliche Anforderung anzuzeigen und den Ablauf zu starten, der durch die ursprüngliche Anforderung ausgelöst wird.
In diesem Beispiel wählt der Benutzer die Ressource „Neues Konto“. Wenn der Benutzer die Anforderung initiiert, ruft die Webanwendung das Formular für die anfängliche Anforderung und die Beschreibung der zugeordneten anfänglichen Anforderungsdaten vom Bereitstellungssystem ab, das diese Objekte von der Bereitstellungsanforderungsdefinition erhält.
Wenn eine Bereitstellungsanforderung initiiert wird, protokolliert das Bereitstellungssystem den Initiator und den Empfänger. Der Initiator ist die Person, die die Anforderung gestellt hat. Der Empfänger ist die Person, an den die Anforderung gerichtet ist. In einigen Fällen sind Initiator und Empfänger dieselbe Person.
Jeder Bereitstellungsanforderung ist ein Vorgang zugeordnet. Der Vorgang legt fest, ob der Benutzer die Ressource zuweisen oder entziehen möchte.
Sobald der Benutzer eine Anforderung initiiert hat, startet das Bereitstellungssystem den Workflow-Prozess. Der Workflow-Prozess koordiniert die Genehmigungen. In diesem Beispiel muss die Anforderung von zwei Personen genehmigt werden, vom Manager und vom Supervisor des Benutzers. Wenn ein Benutzer in einem Workflow eine Genehmigung nicht erteilt, wird der Workflow beendet und die Anforderung zurückgewiesen.
HINWEIS:Im Lieferumfang von Identity Manager sind mehrere Schablonen für Bereitstellungsanforderungen enthalten, die bis zu fünf Genehmigungsstufen für einen Workflow unterstützen. In einer Folgeversion von Identity Manager werden in der Eclipse-basierten Design-Umgebung Werkzeuge zur Verfügung stehen, mit denen Sie benutzerdefinierte Workflow-Prozesse erstellen können. Weitere Informationen zu den Schablonen, die im Lieferumfang dieser Version enthalten sind, finden Sie in Schnitt 22.2, Arbeiten mit den installierten Schablonen.
Workflows können Genehmigungen sequenziell oder parallel verarbeiten. Bei einem sequenziellen Workflow muss jede Genehmigungsaufgabe vor dem Beginn der nächsten verarbeitet werden. Bei einem parallelen Workflow können Benutzer die Genehmigungsaufgaben gleichzeitig bearbeiten.
Sequenzieller AblaufNachstehend finden Sie die grundlegende Struktur eines sequenziellen Workflows, für den zwei Genehmigungen erforderlich sind:
Paralleler AblaufNachstehend finden Sie die grundlegende Struktur eines parallelen Workflows, für den zwei Genehmigungen erforderlich sind:
HINWEIS:Die Anzeigebezeichnungen („1. Genehmigung“, „2. Genehmigung“ usw.) können auf einfache Weise an Ihre Anforderungen angepasst werden. Für parallele Abläufe empfiehlt es sich, Bezeichnungen anzugeben, die keine sequenzielle Verarbeitung implizieren. Sie könnten z. B. Bezeichnungen zuweisen wie „Eine von drei parallelen Genehmigungen“, „Zwei von drei parallelen Genehmigungen“ usw.
Die Workflowdefinition besteht aus folgenden Komponenten:
StartaktivitätDer Workflow-Prozess beginnt mit der Ausführung der Startaktivität. Diese Aktivität initialisiert ein Arbeitsdokument, das die anfänglichen Anforderungsdaten verwendet. Es bindet außerdem mehrere Systemwerte wie z. B. Initiator und Empfänger, sodass diese in Skript-Ausdrücken verwendet werden können.
BenutzeraktivitätenWenn die Ausführung der Startaktivität beendet ist, leitet das Workflow-System die Verarbeitung an die erste Benutzeraktivität im Ablauf weiter. Eine Benutzeraktivität ist eine Aktivität, die Benutzerinteraktionen unterstützt. Die Aktivität zeigt zum Verarbeiten dieser Interaktionen ein Formular an, wodurch der Benutzer die Möglichkeit hat, auf die Anforderung zu reagieren. In den oben angeführten Beispielen für Workflows sind 1. Genehmigung und 2. Genehmigung Beispiele für Benutzeraktivitäten. Die Anzeigebezeichnungen für Benutzeraktivitäten können übersetzt werden, um internationalen Anforderungen zu genügen.
Eine Benutzeraktivität unterstützt möglicherweise eine oder mehrere der folgenden Aktionen:
HINWEIS:Die Felder und Schaltflächen auf dem Formular sind je nach angeforderter Ressource und nach Konfiguration des Workflows unterschiedlich. Die Aktion Ablehnen wird z. B. von vielen der im Lieferumfang enthaltenen Schablonen nicht unterstützt.
Bei einer Benutzeraktivität gibt es fünf mögliche Resultate:
HINWEIS:Die Resultate „Fehler“ und „Zeitüberschreitung“ können auftreten, ohne dass der Benutzer eine Aktion unternommen hat.
Wenn der Benutzer die Anforderung genehmigt, übergibt der Workflow die Kontrolle an die nächste Aktivität im Ablauf. Wenn keine weitere Genehmigungen erforderlich sind, wird die Ressource bereitgestellt. Wenn der Benutzer die Anforderung ablehnt, wird der Arbeitsschritt an die nächste Aktivität im Workflow weitergeleitet und die Anforderung wird abgelehnt. Wahlweise kann der Benutzer die Aufgabe neu zuordnen (sofern er ein Vorgesetzter oder ein Benutzeranwendungsadministrator ist), wodurch der Arbeitsschritt in die Warteschlange eines anderen Benutzers gestellt wird.
HINWEIS:Bei den im Lieferumfang enthaltenen Bereitstellungsanforderungsschablonen wird ein Workflow beendet, wenn eine Anforderung abgelehnt wird. Wenn eine Anforderung abgelehnt wird, wird der Arbeitsschritt an die Beendigungsaktivität weitergeleitet, die den Ablauf beendet.
Der Benutzer, dem eine Benutzeraktivität zugewiesen wurde, wird als Adressat bezeichnet. Der Adressat einer Aktivität kann per Email über die ihm zugewiesene Aufgabe benachrichtigt werden. Wenn der Adressat die der Aktivität zugeordneten Arbeit erledigen möchte, kann er auf die URL in der Email klicken, die Aufgabe in der Arbeitsliste (Warteschlange) suchen und die Aufgabe beanspruchen.
Der Adressat muss innerhalb der festgelegten Zeit auf eine Benutzeraktivität reagieren, andernfalls tritt bei der Aktivität eine Zeitüberschreitung auf. Üblicherweise wird das Zeitüberschreitungsintervall in Stunden oder Tagen festgelegt, um dem Benutzer genügend Zeit für eine Reaktion zur Verfügung zu stellen.
Wenn es bei einer Aktivität zu einer Zeitüberschreitung kommt, versucht der Workflow-Prozess möglicherweise in Abhängigkeit von den für die Aktivität festgelegten Wiederholungsversuchen erneut, die Aktivität zu erledigen. In einigen Fällen ist der Workflow-Prozess möglicherweise so konfiguriert, dass eine Aktivität, bei der es zu einer Zeitüberschreitung kam, an einen anderen Benutzer eskaliert wird. In diesem Fall wird die Aktivität einem neuen Adressaten zugewiesen (z. B. dem Manager des Benutzers), damit dieser die Möglichkeit hat, die Arbeit der Aktivität zu erledigen. Falls beim letzten Wiederholversuch eine Zeitüberschreitung auftritt, wird die Aktivität entsprechend der Konfiguration des Workflows als genehmigt oder abgelehnt markiert.
Bedingte AktivitätenWährend der Verarbeitung ist es möglich, dass ein Workflow-Prozess einen Test ausführt und das Resultat überprüft, um zu sehen, was als Nächstes zu tun ist. Die bedingte Aktivität bietet diese Funktion. Bedingte Aktivitäten verwenden für die Definition einer auszuwertenden Bedingung einen Skript-Ausdruck. In den oben dargestellten Beispielen ist die Genehmigungsaktivität ein Beispiel für eine bedingte Aktivität.
Bedingte Aktivitäten unterstützen drei mögliche Resultate:
Zusammenführungs- und VerzweigungsaktivitätenIn einem Workflow, der die parallele Verarbeitung unterstützt, ermöglicht die Verzweigungsaktivität, dass zwei Benutzer parallel auf verschiedene Bereiche des Arbeitschritts zugreifen können. Sobald die Benutzer ihre Arbeit abgeschlossen haben, synchronisiert die Zusammenführungsaktivität die eingehenden Verzweigungen des Ablaufs.
BereitstellungsaktivitätDie Bereitstellungsaktivität erfüllt die Bereitstellungsanforderung. Diese Aktivität wird nur ausgeführt, wenn alle erforderlichen Genehmigungen erteilt wurden.
Weitere Informationen zum Arbeitsschritt der Bereitstellung finden Sie in 3. Schritt: Erfüllen der Anforderung.
BeendigungsaktivitätDie Beendigungsaktivität ist die letzte Aktivität eines Workflows. Wenn alle Aktivitäten innerhalb eines Ablaufs erledigt sind und das Endergebnis des Ablaufs verfügbar ist, kann die Beendigungsaktivität ausgeführt werden. Das Workflow-System kann den Endstatus des Prozesses ermitteln, indem es die Links zur Beendigungsaktivität überprüft. Der Gesamtstatus eines Ablaufs wird auf Genehmigt gesetzt, wenn ein Genehmigungs-Link die Beendigungsaktivität erreicht. Falls ein anderes Resultat („Verweigern“, „Zeitüberschreitung“ oder „Fehler“) zur Beendigungsaktivität führt, lautet der Gesamtstatus des Ablaufs Verweigert.
Wenn ein Workflow-Prozess die Beendigungsaktivität mit dem Status „Genehmigt“ erreicht, ist der Genehmigungsvorgang vollständig und die Bereitstellungsanforderung kann erfüllt werden.
Wenn eine Bereitstellungsanforderung genehmigt wurde, kann das Workflow-System mit der Bereitstellung beginnen. An diesem Punkt wird die Kontrolle wieder an das Bereitstellungssystem übergeben.
Das Bereitstellungssystem kann zum Erfüllen der Bereitstellungsanforderung eine Identity Manager-Berechtigung ausführen oder direkt ein eDirectory-Objekt und dessen Attribute bearbeiten. Während der Bereitstellungsstufe erstellt es etwaige verwandte Objekte und zeichnet die Ergebnisse der Bereitstellungsaktion auf dem Empfänger, wie in der Bereitstellungsdatendefinition beschrieben, auf. Abhängig davon, ob es sich bei der Anforderung des Benutzers um einen Erteilungs- oder einen Entziehungsvorgang handelt, wird möglicherweise der Wert eines Attributs auf dem Empfänger gesetzt oder entfernt oder ein Eintrag aus einem mehrwertigen Attribut auf dem Empfänger entfernt bzw. zu diesem hinzugefügt. Die involvierten Attribute sind eDirectory-Attribute (möglicherweise bereitgestellt, indem eine Hilfsklasse zum Empfänger hinzugefügt wurde). Die Attributwerte können einfach sein oder es kann sich um komplexere Werte handeln, die es dem Bereitstellungssystem ermöglichen, den Wert interner untergeordneter Attribute festzulegen.