Cette section définit les aspects politiques de haut niveau et de gestion de projets de la mise en oeuvre d'Identity Manager. (Pour les aspects techniques, reportez-vous à Section 2.3, Planification des aspects techniques de la mise en oeuvre d'Identity Manager.)
Ce document de planification fournit une présentation du type d'activités qui sont normalement prises depuis le début d'un projet Identity Manager jusqu'au déploiement complet en production. La mise en oeuvre d'une stratégie de gestion de l'identité demande de découvrir les besoins et les intervenants dans votre environnement, de concevoir une solution, d'obtenir le ralliement des intervenants et de tester et produire la solution. Cette section vise à vous donner les informations nécessaires concernant le processus afin que vous puissiez optimiser les performances d'Identity Manager.
Il est vivement conseillé de faire appel à un expert Identity Manager pour vous assister dans chacune des phases du déploiement de la solution. Pour plus d'informations sur les options de partenariat, accédez au site Web Novell® Solution Partner. Novell Education offre également des cours sur la mise en oeuvre d'Identity Manager.
Il est vivement conseillé de configurer un environnement de test/développement dans lequel vous pouvez tester, analyser et développer vos solutions. Dès que tout fonctionne comme vous le souhaitez, déployez le produit final dans votre environnement de production.
Cette section n'est pas exhaustive ; elle ne présente pas toutes les configurations possibles et doit être adaptée selon les besoins des clients. Chaque environnement est différent et nécessite une certaine souplesse dans le type d'activités utilisé.
Plusieurs activités sont conseillées dans le cadre d'un déploiement optimal d'Identity Manager :
Vous pouvez commencer votre mise en oeuvre d'Identity Manager par un processus de découverte qui permettra effectuer les opérations suivantes :
Identifier les objectifs principaux de la gestion des informations d'identité
Définir ou clarifier les objectifs d'entreprise analysés
Déterminer les initiatives nécessaires pour résoudre les problèmes restants
Déterminer les ressources nécessaires pour mener une ou plusieurs de ces initiatives
Développer une stratégie globale ou un « plan de mise en oeuvre de la solution » ainsi qu'une ligne directive approuvée pour son exécution
La procédure de découverte offre à tous les participants une vue claire des problèmes et solutions. Elle fournit une excellente base pour la phase d'analyse qui exige que les participants disposent de connaissances de base concernant les annuaires, Novell Identity Manager et l'intégration XML en général.
Elle apporte des connaissances de base à tous les participants.
Elle permet de regrouper les informations clés concernant l'entreprise et les systèmes que chaque participant fournit.
Elle permet de développer un plan de mise en oeuvre de la solution.
La procédure de découverte identifie également les étapes à effectuer sans plus attendre. Ces étapes peuvent être les suivantes :
Identification des activités de planification en préparation d'une phase d'évaluation des besoins et de conception
Définition d'une formation complémentaire destinée aux participants
Entrevues structurées avec tous les participants au projet, c'est-à-dire les professionnels intervenant dans les processus clés de l'entreprise et les techniciens
Résumé détaillé des problèmes et techniques et d'entreprise
Recommandations pour les étapes suivantes
Présentation complète soulignant les résultats de la découverte
Cette phase d'analyse capture à la fois tous les aspects techniques et commerciaux du projet et crée un modèle de données ainsi qu'une conception détaillée de l'architecture Identity Manager. Cette activité constitue une étape essentielle et sert de base à la mise en oeuvre de la solution.
La conception aura pour principal objectif la gestion des informations d'identité ; cependant, de nombreux éléments généralement associés à un annuaire de gestion des ressources tels que les fichiers et les imprimantes, peuvent également être traités. Voici un exemple des éléments que vous pouvez évaluer :
Quelles sont les versions de logiciels utilisées ?
La structure de l'annuaire est-elle adaptée ?
Le répertoire est-il utilisé pour héberger le coffre-fort d'identité et Identity Manager ou pour étendre d'autres services ?
La qualité des données dans tous les systèmes est-elle suffisante ? (Si la qualité des données est insuffisante, la stratégie commerciale risque de ne pas être mise en oeuvre comme souhaité.)
La manipulation des données est-elle requise pour votre environnement ?
Après l'analyse des besoins, vous pouvez définir l'étendue et le plan du projet pour la mise en oeuvre et déterminer si des activités préalables doivent être effectuées. Pour éviter des erreurs coûteuses, soyez aussi méticuleux que possible lors de la collecte des informations et de la description des besoins.
Vous pouvez effectuer les tâches suivantes lors de l'évaluation des besoins :
Collectez les informations relatives aux processus d'entreprise de votre organisation et aux procédures qui définissent ces processus.
Par exemple, une procédure d'entreprise pour supprimer un employé peut définir que les comptes de messagerie et réseau de ce dernier doivent être supprimés ou archivés le jour même de son départ.
Les tâches suivantes peuvent vous aider à définir les procédures d'entreprise :
Établir les flux de processus, les déclencheurs de processus et les relations d'assignation de données.
Par exemple, si un événement va survenir dans un processus donné, quelles seront les conséquences de ce processus ? Quels sont les autres processus déclenchés ?
Assigner des flux de données entre les applications.
Identifier les transformations de données devant être effectuées d'un format à un autre (par exemple de 2/25/2007 à 25 Fév 2007).
Décrire les dépendances qui existent entre les données.
Si une valeur particulière a changé, il est important de savoir s'il existe une dépendance au niveau de cette valeur. Si un processus particulier a changé, il est important de savoir s'il existe une dépendance au niveau de ce processus.
Par exemple, la sélection de la valeur d'état d'employé « temporaire » dans un système de ressources humaines signifie que le service informatique doit créer, dans eDirectory, un objet Utilisateur doté de droits restreints et d'un accès réseau à certaines heures seulement.
Répertorier les priorités.
Il n'est pas possible de répondre immédiatement à chaque exigence, souhait ou désir de toutes les parties. Les priorités définies pour la conception et le déploiement du système de provisioning vous aideront à planifier la mise en oeuvre.
Il peut s'avérer nécessaire de diviser le déploiement en phases qui permettront de mettre en oeuvre une première partie de la solution, puis les autres parties ultérieurement. Vous pouvez également adopter une approche de déploiement par phases. Celle-ci doit être basée sur des groupes de personnes de votre organisation.
Définir la configuration requise.
Vous devez décrire la configuration requise pour la mise en oeuvre d'une phase donnée du déploiement. Cela comprend l'accès aux systèmes connectés que vous voulez mettre en contact avec Identity Manager.
Identifier les sources de données expertes.
En identifiant le plus tôt possible les éléments qui relèvent de la responsabilité des administrateurs système et des directeurs, vous pourrez obtenir et maintenir la coopération de chaque partie.
Par exemple, l'administrateur de comptes peut vouloir la propriété sur l'octroi des droits d'accès à des fichiers et des répertoires spécifiques pour un employé. Pour cela, vous pouvez mettre en oeuvre des assignations d'ayants droit locales dans le système de comptes.
L'analyse des processus d'entreprise commence souvent par l'interrogation des personnes clés telles que des directeurs, des administrateurs et des employés qui utilisent effectivement l'application ou le système. Les problèmes à résoudre comprennent les points suivants :
D'où proviennent les données ?
Où sont acheminées les données ?
Qui est responsable des données ?
Qui est propriétaire de la fonction à laquelle appartiennent les données ?
Qui faut-il contacter pour modifier les données ?
Quelles sont les conséquences de la modification des données ?
Quelles pratiques existent en matière de gestion (collecte et/ou modification) des données ?
Quels types d'opérations ont lieu ?
Quelles méthodes sont utilisées pour garantir la qualité et l'intégrité des données ?
Où résident les systèmes (sur quels serveurs, dans quels services) ?
Quels processus ne sont pas adaptés à la gestion automatisée ?
Par exemple, les questions ci-après peuvent être posées à l'administrateur d'un système PeopleSoft de gestion des ressources humaines :
Quelles données sont stockées dans la base PeopleSoft ?
Quelles informations apparaissent dans les divers volets d'un compte d'employé ?
Quelles opérations doivent être reflétées sur le système de provisioning (telles qu'ajouts, modifications ou suppressions) ?
Lesquelles sont obligatoires ? Lesquelles sont facultatives ?
Quelles opérations doivent être déclenchées en fonction d'opérations effectuées dans PeopleSoft ?
Quels événements, opérations et actions doivent être ignorés ?
Comment les données doivent-elles être transformées et assignées à Identity Manager ?
Les entrevues avec les personnes clés peuvent conduire vers d'autres parties de l'organisation et permettre d'obtenir une idée plus précise du processus complet.
Une fois vos processus d'entreprise définis, vous pouvez commencer la conception d'un modèle de données qui reflète votre processus d'entreprise actuel.
Le modèle doit indiquer la provenance des données, leur destination ainsi que les déplacements impossibles. Il doit également rendre compte de la manière dont les événements critiques affectent le flux de données.
Vous pouvez également développer un diagramme qui reflète le processus d'entreprise proposé et l'avantage de mettre en oeuvre une solution de provisioning automatisée dans ce processus.
Pour développer ce modèle, commencez par répondre aux questions suivantes :
Quels sont les types d'objets (utilisateurs, groupes, etc.) déplacés ?
Quels sont les événements intéressants ?
Quels attributs doivent être synchronisés ?
Quelles sont les données stockées dans votre entreprise pour les différents types d'objets gérés ?
S'agit-il d'une synchronisation unidirectionnelle ou bidirectionnelle ?
Quel système représente la source experte et pour quels attributs ?
Il est également important de considérer les relations entre différentes valeurs sur les différents systèmes.
Par exemple, un champ d'état d'employé dans PeopleSoft peut avoir trois valeurs définies : employé, contractuel et stagiaire. Cependant, dans le système Active Directory, il ne peut exister que deux valeurs : permanent et temporaire. En l'occurrence, vous devez définir la relation entre l'état contractuel de PeopleSoft et les valeurs permanent et d'Active Directory.
L'objectif de ce travail est de comprendre chaque système d'annuaire, la manière dont les annuaires sont liés et de connaître les objets et les attributs à synchroniser dans ces systèmes.
Modèle de données affichant tous les systèmes, sources de données expertes, événements, flux d'informations et normes de format de données, et relations d'assignation entre systèmes connectés et attributs au sein d'Identity Manager.
Architecture Identity Manager appropriée pour la solution
Conditions détaillées pour le login à des systèmes supplémentaires
Stratégies de validation des données et de concordance des enregistrements
Conception de l'annuaire pour la prise en charge de l'infrastructure Identity Manager
Le personnel familier avec tous les systèmes externes (tels que l'administrateur de la base de données HR et l'administrateur en charge du réseau et du système de messagerie)
Disponibilité des schémas système et de l'exemple de données
Modèle de données issu de la phase d'analyse et de conception
Disponibilité des informations de base telles que l'organigramme de l'organisation, l'infrastructure WAN et de serveur
L'objectif de cette activité est d'obtenir un exemple de mise en oeuvre dans un environnement de test qui reflète la stratégie d'entreprise et le flux de données de votre société. Elle s'appuie sur la conception du modèle de données développé au cours de l'analyse des besoins et constitue l'étape finale avant d'introduire le pilote dans l'environnement de production.
REMARQUE :cette étape permet souvent d'améliorer la gestion en prévision de la mise en oeuvre finale.
Preuve de la conception d'une solution Identity Manager fonctionnant avec tous les logins système opérationnels
Plate-forme et équipement matériels
Logiciels requis
Phase d'analyse et de conception qui identifie les logins·requis
Disponibilité et accès aux autres systèmes à des fins de test
Modèle de données issu de la phase d'analyse et de conception
La qualité et la cohérence des données présentes dans les systèmes de production peuvent varier et entraîner par conséquent des erreurs lors de la synchronisation des systèmes. Cette phase constitue une séparation nette entre l'équipe de mise en oeuvre Ressources et les unités ou groupes au sein de l'entreprise, qui « possèdent » ou gèrent les données dans les systèmes à intégrer. Il arrive parfois que les facteurs combinés de risque et de coût n'entrent pas dans le projet de provisioning.
Ensembles de données de production adaptés au chargement dans le coffre-fort d'identité (tels qu'identifiés dans les activités d'analyse et de conception). Cela comprend la méthode de chargement (chargement en bloc ou via des connecteurs). Les conditions requises pour les données validées ou formatées sont également identifiées.
Les facteurs de performance sont également identifiés et validés par rapport à l'équipement utilisé et l'architecture distribuée générale du déploiement d'Identity Manager.
Le modèle de données issu de la phase d'analyse et de conception (concordance des enregistrements et stratégie de format des données proposées)
Accès aux ensembles de données de production
L'objectif de cette activité est de commencer la migration vers l'environnement de production. Pendant cette phase, des opérations de personnalisation supplémentaires peuvent avoir lieu. Dans cette courte introduction, les résultats des activités précédentes peuvent être confirmés et un accord peut être conclu pour le déploiement vers la production.
REMARQUE :cette phase peut fournir les critères d'acceptation de la solution et le jalon nécessaire en vue de la pleine production.
Solution de pilote qui propose une preuve de conception en direct et une validation du modèle de données et des résultats de processus souhaités
Toutes les activités précédentes (analyse et conception, plate-forme de technologie Identity Manager).
Il s'agit de la phase de planification du déploiement vers la production. Le plan doit :
Confirmer les plates-formes de serveur, les versions logicielles et les service packs
Confirmer l'environnement général
Confirmer l'introduction du coffre-fort d'identité dans une coexistence mixte
Confirmer les stratégies de partitionnement et de réplication
Confirmer la mise en oeuvre d'Identity Manager
Planifier le passage au nouveau processus
Planifier une stratégie de retour à l'état initial en cas d'incident
Plan de déploiement de production
Plan de passage au nouveau processus
Plan de secours de retour à l'état initial en cas d'incident
Toutes les activités précédentes
Il s'agit de la phase dans laquelle la solution de pilote est étendue afin de prendre en compte toutes les données actuelles de l'environnement de production. Elle s'appuie généralement sur le fait que le pilote de production répond à tous les critères techniques et d'entreprise.
Solution de production prête pour la transition
Toutes les activités précédentes