Novell Doc: Identity Manager 3.5.1 Installationshandbuch

1.1 Einführung in Identity Manager

Novell® Identity Manager ist eine vielfach ausgezeichnete Lösung für die Datenfreigabe und -synchronisierung, die die Verwaltung von Daten revolutioniert. Dieser Service verwendet eine zentrale Datenablage, das Identitätsdepot, um Daten anwendungs-, datenbank- und verzeichnisübergreifend zu synchronisieren, zu transformieren und zu verteilen.

Aber Identity Manager kann noch viel mehr. Zu den Funktionen von Identity Manager gehören:

Passwortsynchronisierung
Passwort-Selbstbedienung
Services für die Protokollierung und Revision
Benutzerverwaltung mithilfe der Benutzeranwendung
Workflow-Bereitstellung
Email-Benachrichtigung
Entwerfen von Treibern und Richtlinien im Dienstprogramm „Designer“

Weitere Informationen zu neuen Funktionen dieser Komponenten in dieser Version von Identity Manager finden Sie in Abschnitt 1.3, Neuerungen in Identity Manager 3.5.1. Eine ausführlichere Anzeige der unterschiedlichen Komponenten und Services, aus denen Identity Manager besteht, finden Sie in Abschnitt 1.4, Identity Manager - Installationsprogramme und Services.

Mithilfe von Identity Manager kann ein verbundenes System (u. a. SAP*, PeopleSoft*, Lotus^* Notes*, Microsoft* Exchange und Active Directory*) folgende Funktionen ausführen:

Gemeinsame Nutzung von Daten über das Identitätsdepot.
Synchronisieren und Transformieren gemeinsam genutzter Daten mit dem Identitätsdepot, wenn die Daten auf verbundenen Systemen geändert werden.
Synchronisieren und Transformieren gemeinsam genutzter Daten mit den verbundenen Systemen, wenn die Daten im Identitätsdepot geändert werden.

Identity Manager stellt diese Funktionen im Rahmen eines bidirektionalen Frameworks zur Verfügung, über das Administratoren die Daten angeben können, die vom Identitätsdepot zur Anwendung und von der Anwendung zum Identitätsdepot fließen. Mittels XML liefert das Framework Daten- und Ereignisübersetzungsfunktionen, die Identitätsdepot-Daten und -Ereignisse in das angegebene anwendungsspezifische Format konvertieren. Außerdem werden anwendungsspezifische Formate in ein Format konvertiert, das vom Identitätsdepot erkannt wird. Alle Interaktionen mit der Anwendung nutzen dabei die anwendungseigene API.

Identity Manager lässt nur die Auswahl von Attributen und Klassen zu, die spezifischen Datensätzen und Feldern des verbundenen Systems entsprechen. Für eine Verzeichnisdatenablage kann beispielsweise festgelegt werden, dass Objekte des Typs „Benutzer“ gemeinsam mit einer Personaldatenablage genutzt werden, Netzwerkressourcenobjekte wie Server, Drucker und Volumes jedoch nicht. Die Personaldatenablage kann wiederum die angegebenen Namen, Nachnamen, Initialien, Telefonnummern und Standorte eines Benutzers gemeinsam mit anderen Personen nutzen, jedoch nicht Daten des Benutzers, die von persönlicher Natur sind (z. B. Angaben zur Familie oder seine Personalakte).

Wenn das Identitätsdepot keine Klassen oder Attribute für von anderen Anwendungen gemeinsam genutzte Daten hat, können Sie das eDirectory™-Schema dahingehend erweitern. In diesem Fall wird aus dem Identitätsdepot eine Ablage von Informationen, die vom Identitätsdepot nicht benötigt werden, die aber von anderen Anwendungen verwendet werden können. Die anwendungsspezifische Datenablage verwaltet die Informationen, die nur von der Anwendung benötigt werden.

Identity Manager führt die folgenden Aufgaben aus:

Anhand von Ereignissen Änderungen im Identitätsdepot erfassen.
Datenverwaltung zentralisieren oder nach Aufgabenbereichen aufteilen, wobei Identity Manager als zentrale Sammelstelle dient, in der alle Daten zusammenlaufen.
Directory-Daten werden im XML-Format bereitgestellt, damit diese von XML-Anwendungen oder von durch Identity Manager integrierte Anwendungen verarbeitet und gemeinsam genutzt werden können.
Verknüpfungen zwischen Identitätsdepot-Objekten und Objekten in allen anderen integrierten Systemen werden sorgfältig verwaltet, um zu gewährleisten, dass Datenänderungen in allen verbundenen Systemen entsprechend implementiert werden.

Richtlinien bilden die Grundlage für die Datensynchronisierung. In einer Richtlinie kann Folgendes festgelegt werden:

Der Datenfluss wird durch spezielle Filter gesteuert, die im System definierte Datenelemente beeinflussen.
Mithilfe von Berechtigungen und Filtern wird sichergestellt, dass die Datenquellen autorisiert sind.
Regeln werden auf XML-Daten der Datenablage angewendet. Diese Regeln bestimmen die Interpretation und die Umwandlung der Daten bei der Übertragung von Änderungen in DirXML.
Die Daten aus XML werden in praktisch jedes beliebige Format konvertiert. Dadurch erhält Identity Manager die Möglichkeit, Daten mit jeder beliebigen Anwendung gemeinsam zu nutzen.

Mit Identity Manager können Sie in Ihrem Unternehmen Prozesse im Personalwesen vereinfachen, Kosten für die Datenverwaltung reduzieren, Kundenbeziehungen mithilfe äußerst flexibler Services aufbauen und Barrieren für die Interoperabilität entfernen, die den Erfolg beeinträchtigen. Im Folgenden finden Sie eine Liste mit Beispielen für Aktivitäten, die mit Identity Manager möglich sind:

Tabelle 1-1 Nutzen durch Identity Manager

Aktivität	Identity Manager-Lösung
Benutzerkonten verwalten	Mit einer einzigen Aktion haben Sie folgende Möglichkeiten: Identity Manager kann einem Mitarbeiter sofort Zugriff auf Ressourcen erteilen bzw. entziehen. Identity Manager verfügt über eine Funktion zur automatisierten Mitarbeiterbereitstellung, mit deren Hilfe einem neuen Mitarbeiter u. a. Zugriff auf das Netzwerk, Emails, Anwendungen und Ressourcen gewährt werden kann. Mithilfe der Workflow-Bereitstellung kann dieser Prozess so eingerichtet werden, dass ein Genehmigungsvorgang eingeleitet wird. Identity Manager kann auch bei Kündigung oder Beurlaubung den Zugriff einschränken oder deaktivieren.
Aufzeichnen und Integrieren von Bestandsinventar	Identity Manager kann für alle Elemente des Bestandsinventars (z. B. Computer, Monitore, Telefone, Bibliotheksbestand, Stühle und Schreibtische) Profile im Identitätsdepot erstellen und diese mit Benutzerprofilen, z. B. Personen, Abteilungen und Organisationen, integrieren.
Automatisieren von White/Yellow Page-Verzeichnissen	Identity Manager kann vereinheitlichte Verzeichnisse mit unterschiedlichen Informationsebenen für die interne und externe Verwendung erstellen. In externen Verzeichnissen werden beispielsweise nur Email-Adressen angezeigt, während die internen Verzeichnisse u. a. Ort, Telefon-, Fax- sowie Handynummer und die Privatadresse enthalten können.
Erweiterung von Benutzerprofilen	Identity Manager erweitert die Benutzerprofile, indem Informationen wie beispielsweise Email-Adresse, Telefonnummer, Adresse, Einstellungen, Vorgesetztenverhältnisse, Hardware-Bestand, Telefon, Schlüssel und Inventar hinzugefügt oder synchronisiert werden können.
Vereinheitlichung des Kommunikationszugriffs	Identity Manager vereinfacht den Zugriff auf das Netzwerk, Telefone, Pager, das Internet oder den kabellosen Zugriff für einzelne Benutzer oder Gruppen, indem die einzelnen Verzeichnisse zu einer gemeinsamen Verwaltungsoberfläche zusammengeführt werden.
Festigen von Partnerbeziehungen	Identity Manager festigt Beziehungen durch die Erstellung von Profilen (z. B. „Mitarbeiter“ oder „Kunde“) in Partnersystemen außerhalb der Firewall, sodass Partner bei Bedarf unmittelbar eine Serviceleistung anbieten können.
Verbesserung der Versorgungskette	Identity Manager verbessert den Kundendienst, da Instanzen von mehreren Konten pro Kunde erkannt und zusammengeführt werden.
Aufbau von Kundenloyalität	Identity Manager bietet neue Services, die die Anforderungen des Kunden berücksichtigen, der sich seine Daten im Zusammenhang und an einem einzigen Ort anzeigen lassen will, anstatt sie sich einzeln in verschiedenen Anwendungen zusammensuchen zu müssen.
Anpassen des Services	In Identity Manager verfügen Benutzer (z. B. Mitarbeiter, Kunden oder Partner) über Profile mit synchronisierten Informationen, einschließlich Beziehungen, Statuswerten und Servicedatensätzen. Mit diesen Profilen können verschiedene Zugriffsebenen auf Services und Informationen gewährt sowie angepasste Services in Echtzeit angeboten werden, die auf dem Stellenwert eines Kunden basieren.
Passwortverwaltung	Über die Benutzeranwendung können Administratoren Sicherheitsabfragen/-antworten einrichten und Benutzern die Möglichkeit geben, eigene Passwörter festzulegen. Die Client-Anmeldeerweiterung für Novell Identity Manager 3.5.1 erleichtert die Passwort-Selbstbedienung, indem ein Link zu den Novell- und Microsoft GINA-Anmelde-Clients hinzugefügt wird. Die Clients erlauben den Zugriff auf die Passwort-Selbstbedienungsfunktion der Identity Manager-Benutzeranwendung. Wenn der Identity Manager-Treiber die Passwortsynchronisierung unterstützt, können Passwörter in miteinander verbundenen Systemen synchronisiert werden.