In diesem Abschnitt werden die Projektmanagement-Aspekte der Identity Manager-Implementierung behandelt. (Die technischen Aspekte finden Sie in Abschnitt 2.3, Planung der technischen Aspekte der Identity Manager-Implementierung).
Diese Planungsmaterialien bieten einen Überblick über die Art der Aktivitäten, die in der Regel vom Beginn eines Identity Manager-Projekts bis hin zu seiner vollständigen Bereitstellung ausgeführt werden müssen. Zur Implementierung einer Identitätsmanagement-Strategie müssen Sie die Erfordernisse, die Projektbeteiligten und die am Projekt Interessierten in Ihrer Umgebung erkennen, eine Lösung entwerfen, das Buy-in der Beteiligten einholen und die Lösung testen und einführen. In diesem Abschnitt werden die Grundlagen dieses Prozesses erläutert, damit Sie aus Identity Manager den bestmöglichen Nutzen ziehen können.
Es wird empfohlen, dass in jeder Bereitstellungsphase ein Identity Manager-Spezialist hinzugezogen wird. Weitere Informationen zu Partnerschaftsoptionen finden Sie auf der Partner-Website von Novell®. Novell Education bietet auch Kurse für die Identity Manager-Implementierung an.
Es wird empfohlen, eine Test-/Entwicklungsumgebung zu erstellen, in der Sie die Lösungen testen, analysieren und entwickeln können. Wenn alles wie gewünscht funktioniert, stellen Sie das Endprodukt in Ihrer Produktionsumgebung bereit.
Dieser Abschnitt erhebt keinen Anspruch auf Vollständigkeit. Es werden weder alle möglichen Konfigurationen erläutert noch müssen die dargestellten Schritte zwingend ausgeführt werden. Jede Umgebung ist anders, sodass die Art der zu verwendenden Aktivitäten flexibel gehandhabt werden muss.
Bei der Bereitstellung von Identity Manager werden verschiedene Aktivitäten als Best Practices empfohlen.
Es wird empfohlen, die Identity Manager-Implementierung mit einem Ermittlungsprozess zu starten, in dem Folgendes ermittelt wird:
Identifikation der primären Ziele bei der Verwaltung von Identitätsinformationen
Definieren und Klären der anzugehenden Geschäftsprobleme
Festlegen der Initiativen, die zum Angehen ausstehender Probleme erforderlich sind
Festlegen der Elemente, die zum Durchführen einer oder mehrerer dieser Initiativen erforderlich sind
Entwicklung einer allgemeinen Strategie oder einer „Lösungs-Roadmap“ und eines Ausführungspfads
Mit der Ermittlung erhalten alle Projektbeteiligten einen allgemeinen Einblick in die Probleme und Lösungen. Dieses Werkzeug bietet einen hervorragenden Ausgangspunkt für die Analysephase, für die die Projektbeteiligten eine Grundkenntnis von Verzeichnissen sowie von Novell eDirectory™, Novell Identity Manager und der XML-Integration im Allgemeinen benötigen.
Es verhilft allen Projektbeteiligten zu einem Grundverständnis
Es kann wichtige Geschäfts- und Systeminformationen von den Projektbeteiligten abrufen
Es kann eine Lösungs-Roadmap entwickeln
Das Ermittlungs-Werkzeug identifiziert auch die nächsten beiden Schritte, beispielsweise:
Identifikation von Planungsaktivitäten zur Vorbereitung einer Anforderungs- und Entwurfsphase
Definition zusätzlicher Schulungen für Projektbeteiligten
Strukturierte Interviews mit den wichtigsten geschäftlichen und technischen Projektbeteiligten
Allgemeine Zusammenfassung der geschäftlichen und technischen Aspekte
Empfehlungen für die nächsten Schritte
Eine Präsentation, in der das Ergebnis der Ermittlung zusammengefasst wird
Diese Analyse erfasst die technischen und geschäftlichen Aspekte des Projekts im Detail und erzeugt das Datenmodell und einen allgemeinen Entwurf der Architektur von Identity Manager. Diese Aktivität ist ein entscheidender erster Schritt, auf dem die Implementierung der Lösung basiert.
Der Entwurf sollte besonders das Identitätsmanagement umfassen. Es können aber auch viele Elemente, die traditionell mit einem Ressourcen-Management-Verzeichnis, z. B. Archivierung und Drucken, behandelt werden. Hier finden Sie ein Beispiel für Elemente, die bewertet werden sollten:
Welche Versionen der Systemsoftware werden verwendet?
Ist der Verzeichnisentwurf zweckdienlich?
Wird das Verzeichnis verwendet, um das Identitätsdepot und Identity Manager zu hosten, oder wird es zur Erweiterung anderer Services verwendet?
Ist die Qualität der Daten in allen Systemen sachgemäß? (Wenn die Daten nicht verwendet werden können, wird die Geschäftsrichtlinie möglicherweise nicht wie gewünscht implementiert.)
Ist in Ihrer Umgebung eine Datenmanipulation erforderlich?
Nach der Analyse der Anforderungen können Sie den Bereich und den Projektplan für die Implementierung erstellen und ermitteln, ob bestimmte Voraussetzungen erfüllt werden müssen. Sie sollten möglichst umfassende Informationen und Dokumentationserfordernisse sammeln, damit kostspielige Fehler vermieden werden.
Bei der Bewertung der Anforderungen können folgende Aufgaben verarbeitet werden:
Sammeln Sie die Geschäftsprozesse Ihres Unternehmens und die Geschäftsanforderungen, die diese Geschäftsprozesse definieren.
Beispiel: Eine Geschäftsanforderung bei der Kündigung eines Mitarbeiters könnte sein, dass am Tag der Kündigung der Zugriff des Mitarbeiters auf das Netzwerk und sein E-Mail-Konto gesperrt wird.
Die folgenden Aufgaben können Sie bei der Definition von Geschäftsanforderungen leiten:
Erstellen Sie Vorgangsflüsse, Prozessauslöser und Datenzuordnungsbeziehungen.
Wenn beispielsweise in einem bestimmten Prozess etwas geschieht, was geschieht durch diesen Prozess? Welche anderen Prozesse werden ausgelöst?
Ordnen Sie Datenflüsse zwischen Anwendungen zu.
Identifizieren Sie Daten, die von einem Format in ein anderes Format geändert werden sollen, beispielsweise „2/25/2007“ in „25. Februar 2007“.
Dokumentieren Sie bestehende Datenabhängigkeiten.
Wenn ein bestimmter Wert geändert wird, ist es wichtig zu wissen, ob für diesen Wert eine Abhängigkeit besteht. Wenn ein bestimmter Prozess geändert wird, ist es wichtig zu wissen, ob für diesen Prozess eine Abhängigkeit besteht.
Wenn Sie z. B. in einem Human-Resources-System für einen Mitarbeiter den Status „Temporär“ auswählen, hat dies möglicherweise zur Folge, dass die IT-Abteilung in eDirectory ein Benutzerobjekt mit eingeschränkten Rechten und einem auf bestimmte Zeiten begrenzten Netzwerkzugang erstellen muss.
Listen Sie die Prioritäten auf.
Es können nicht direkt die Anforderungen und Wünsche aller Personen erfüllt werden. Prioritäten für den Entwurf und die Bereitstellung des Bereitstellungssystems vereinfachen die Planung einer Roadmap.
Es kann von Vorteil sein, die Bereitstellung in Phasen zu unterteilen, sodass die Implementierung von Teilen der Bereitstellung zu einem früheren und von anderen Teilen der Bereitstellung zu einem späteren Zeitpunkt erfolgt. Sie können die Bereitstellung auch schrittweise durchführen. Dieser Ansatz sollte auf Gruppen von Personen innerhalb der Organisation basieren.
Definieren Sie die Voraussetzungen.
Die für die Implementierung einer bestimmten Phase der Bereitstellung erforderlichen Voraussetzungen sollten dokumentiert werden. Dies umfasst den Zugriff auf die verbundenen Systeme, die mit Identity Manager gekoppelt werden sollen.
Identifizieren Sie autorisierte Datenursprünge.
Wenn Sie bereits früh wissen, welche Elemente welchen IT-Administratoren und -Managern zuzuordnen sind, kann dies bei allen beteiligten Parteien zu einer größeren Akzeptanz führen.
Beispiel: Der Kontoadministrator benötigt möglicherweise die Berechtigung, Mitarbeitern Rechte für bestimmte Dateien und Verzeichnisse zu gewähren. Dieser Erfordernis kann Rechnung getragen werden, indem lokale Trustee-Zuweisungen in das Kontosystem implementiert werden.
Die Analyse von Geschäftsprozessen beginnt häufig mit der Befragung von Personen, beispielsweise Managern, Administratoren und Mitarbeitern, die mit der Anwendung oder dem System arbeiten. Folgende Fragen sollten beantwortet werden:
Woher stammen die Daten?
Wofür sind die Daten bestimmt?
Wer ist für die Daten verantwortlich?
Wer ist der Eigentümer der Geschäftsfunktion, zu der die Daten gehören?
Wer muss zur Änderung der Daten kontaktiert werden?
Welche Folgen hat die Änderung von Daten?
Welche Arbeitsmethoden gelten für die Datenbearbeitung (Sammeln und/oder Bearbeitung)?
Welche Art von Vorgängen laufen ab?
Welche Methoden werden zur Sicherung der Datenqualität und -integrität verwendet?
Wo werden die Systeme eingesetzt (auf welchen Servern, in welchen Abteilungen)?
Welche Prozesse eignen sich nicht für die automatisierte Bearbeitung?
Dem Administrator eines PeopleSoft-Systems in der Personalabteilung könnten beispielsweise folgende Fragen gestellt werden:
Welche Daten werden in der PeopleSoft-Datenbank gespeichert?
Welche Elemente werden in den verschiedenen Teilfenstern eines Mitarbeiterkontos angezeigt?
Welche Aktionen sind erforderlich, damit sie über das Bereitstellungssystem hinaus wirksam werden (z. B. Aktionen zum Hinzufügen, Modifizieren und Löschen)?
Welche dieser Aktionen sind erforderlich? Welche Aktionen sind optional?
Welche Aktionen müssen auf Basis der in PeopleSoft durchgeführten Aktionen ausgelöst werden?
Welche Operationen/Ereignisse/Aktionen müssen ignoriert werden?
Auf welche Weise müssen die Daten transformiert und Identity Manager zugeordnet werden?
Das Befragen wichtiger Personen kann Sie in andere Bereiche der Organisation führen, durch die Sie ein deutlicheres Bild des gesamten Prozesses gewinnen können.
Nach der Definition der Geschäftsprozesse können Sie mit dem Entwurf eines Datenmodells beginnen, das Ihren aktuellen Geschäftsprozess widerspiegelt.
Das Modell sollte den Datenursprung sowie die Richtung des Datenflusses angeben und aufzeigen, wohin sie sich nicht bewegen dürfen. Außerdem sollte aufgezeigt sein, auf welche Weise sich kritische Ereignisse auf den Datenfluss auswirken.
Möglicherweise empfiehlt sich auch die Entwicklung eines Diagramms, das den vorgeschlagenen Geschäftsprozess und die Vorteile illustriert, die durch die Implementierung der automatisierten Bereitstellung erzielt werden.
Am Anfang der Entwicklung dieses Modells steht die Beantwortung folgender Fragen:
Welche Objekttypen (z. B. Benutzer oder Gruppen) werden verschoben?
Welche Ereignisse sind von Interesse?
Welche Attribute müssen synchronisiert werden?
Welche Daten werden in Ihrem Unternehmen für die verschiedenen zu verwaltenden Objekttypen gespeichert?
Handelt es sich um eine einseitige oder um eine bidirektionale Synchronisierung?
Welches System ist für welche Attribute der autorisierte Ursprung?
Außerdem ist es wichtig, die Zusammenhänge verschiedener Werte zwischen den Systemen zu berücksichtigen.
Das Statusfeld eines Mitarbeiters in PeopleSoft kann beispielsweise drei Werte annehmen: „Festangestellter“, „Freiberufler“ und „Praktikant“. Das Active Directory-System hat möglicherweise nur zwei Werte: „Dauerhaft“ und „Temporär“. In diesem Fall müssen die Beziehungen zwischen dem Status „Freiberufler“ in PeopleSoft und den Werten „Dauerhaft“ und „Temporär“ in Active Directory festgelegt werden.
Ziel dieser Tätigkeit ist es, jedes Verzeichnissystem zu verstehen, in welcher Beziehung sie zueinander stehen und welche Objekte und Attribute systemübergreifend synchronisiert werden müssen.
Datenmodell, das alle Systeme, autorisierte Datenursprünge, Ereignisse, Informationsfluss- und Datenformatstandards sowie Zuordnungsbeziehungen zwischen verbundenen Systemen und Attributen in Identity Manager anzeigt
Geeignete Identity Manager-Architektur für die Lösung
Details für zusätzliche Systemverbindungsanforderungen
Strategien für die Datenvalidierung und das Auffinden übereinstimmender Datensätze
Entwurf der Verzeichnisse zur Unterstützung der Identity Manager-Infrastruktur
Mitarbeiter, die sich mit allen externen Systemen auskennen (z. B. der Administrator der Personaldatenbank, des Netzwerks und des Messaging-Systems)
Verfügbarkeit von Systemschemata und Beispieldaten
Datenmodell aus der Analyse- und Entwurfsphase
Verfügbarkeit von Basisinformationen wie beispielsweise Organigramme sowie WAN- und Serverinfrastruktur
Als Ergebnis dieser Aktivität sollte eine Beispiel-Implementierung in einer Laborumgebung vorliegen, die der Geschäftsrichtlinie und dem Datenfluss in Ihrem Unternehmen entspricht. Sie sollte auf dem Datenmodell basieren, das während der Anforderungsanalyse und der Entwurfsphase entwickelt wurde. Dies ist der letzte Schritt vor dem Produktions-Prototyp.
HINWEIS:In dieser Phase bietet es sich an, die Unterstützung des Managements einzuholen und die Finanzierung für die endgültige Umsetzung zu sichern.
Ein funktionierendes Identity Manager Proof-of-Concept, in dem alle Systemverbindungen funktionsfähig sind
Hardware-Plattform und -Ausrüstung
Erforderliche Software
Analyse- und Entwurfsphase, in der die erforderlichen Verbindungen identifiziert werden
Verfügbarkeit und Zugriff auf andere Systeme zu Testzwecken
Datenmodell aus der Analyse- und Entwurfsphase
Die Qualität und Konsistenz der Daten in Produktionssystemen kann variieren und möglicherweise Inkonsistenzen bei der Synchronisierung von Systemen zur Folge haben. In dieser Phase wird eine deutliche Trennung zwischen dem Team, das für die Implementierung der Ressourcen zuständig ist, und den Geschäftseinheiten oder -gruppen vorgenommen, die „Eigentümer“ der Daten in den zu integrierenden Systemen sind oder diese verwalten. Bestehende Risiko- und Kostenfaktoren gehören nicht unbedingt zu einem Bereitstellungsprojekt.
Produktionsdatensätze, die in das Identitätsdepot geladen werden können (wie in den Analyse- und Entwurfsaktivitäten definiert). Hierzu gehört auch die Angabe der voraussichtlichen Lademethode (Bulk-Verarbeitung oder über Anschlüsse). Es werden auch Anforderungen für die Daten identifiziert, die validiert oder in bestimmter Weise formatiert werden.
Darüber hinaus werden Leistungsfaktoren mit der verwendeten Ausstattung und der gesamten verteilten Architektur der Identity Manager-Bereitstellung identifiziert und validiert.
Datenmodell aus der Analyse- und Entwurfsphase (vorgeschlagene Strategie für den Datensatzabgleich und das Datenformat)
Zugriff auf Produktionsdatensätze
Das Ziel dieser Aktivität ist es, die Migration in eine Produktumgebung zu starten. Während dieser Phase ist möglicherweise eine zusätzliche Anpassung erforderlich. In dieser kurzen Einführung können gewünschte Ergebnisse der vorhergehenden Aktivitäten bestätigt und die Zustimmung für das Produktions-Rollout eingeholt werden.
HINWEIS:Diese Phase liefert möglicherweise die Abnahmekriterien für die Lösung und den benötigten Meilenstein auf dem Weg zur vollständigen Produktion.
Die Prototyp-Lösung mit einem Live-Proof-of-Concept und der Validierung für das Datenmodell und die gewünschten Prozessergebnisse
Alle vorherigen Aktivitäten (Analyse und Entwurf, Identity Manager-Technologieplattform)
In dieser Phase wird die Produktionsumgebung geplant. Dieser Plan sollte Folgendes abdecken:
Bestätigung der Serverplattformen, Softwareversionen und Service Packs
Bestätigung der allgemeinen Umgebung
Bestätigung der Einführung des Identitätsdepots in einer gemischten Umgebung
Bestätigung der Partitionierungs- und Replizierungsstrategien
Bestätigung der Identity Manager-Implementierung
Planung der Umstellung auf den neuen Prozess
Planung einer Rollback-Strategie für den Notfall
Produktions-Rollout-Plan
Plan für die Umstellung auf den neuen Prozess
Rollback-Notfallplan
Alle vorherigen Aktivitäten
In dieser Phase wird die Prototyp-Lösung auf alle Live-Daten in der Produktionsumgebung erweitert. In der Regel folgt die Bestätigung, dass der Produktions-Prototyp allen technischen und geschäftlichen Anforderungen entspricht.
Produktionslösung bereit für den Übergang
Alle vorherigen Aktivitäten