本節概述實作 Identity Manager 的高層行政和專案管理方面 (如需技術方面的資訊,請參閱節 2.3, 規劃 Identity Manager 實作的技術方面)。
此規劃材料針對 Identity Manager 專案從開始到完整的產品部署為止通常所執行之活動類型,提出了一份綜覽。實作身分管理策略需要您探查需求、瞭解環境中的共同工作人員、設計解決方案、取得共同工作人員的認同,以及測試和推行解決方案。本節旨在讓您充份瞭解程序,以便充分發揮 Identity Manager 的優勢。
我們強烈建議您任用 Identity Manager 專家,以在解決方案部署的每個階段中協助您。如需合作關係選項的相關資訊,請參閱 Novell 解決方案夥伴網站。「Novell 教育訓練」也會提供說明 Identity Manager 實作的課程。
我們也強烈建議您設定一個測試/開發環境,可在其中測試、分析和開發您的各種解決方案。在一切都如您所需地進行時,便可將最終產品部署到您的生產環境中。
本節內容並非十分詳盡,不會說明所有可能的組態,在執行時也不很嚴格。每個環境都不相同,需要在所使用的活動類型中有些彈性。
部署 Identity Manager 時,建議將下列數個活動做為最佳作法:
您可能要以可以執行下列動作的探查程序開始 Identity Manager 實作:
識別管理身分資訊的主要目標
定義或釐清所說明的業務問題
決定說明未解決之問題所需的事件
決定執行其中一或多個事件所要採取的動作
開發高層級策略或「解決方案藍圖」和已同意的執行路徑
探查可協助您一般性地瞭解所有共同工作人員的問題和解決方案。它是需要共同工作人員具有目錄、Novell eDirectory、Novell Identity Manager 和 XML 整合基本知識之分析階段的極好初級資料。
它可以建立所有共同工作人員之間的基本瞭解
它可以從共同工作人員處擷取關鍵的業務和系統資訊
它可讓您開發解決方案藍圖
探查還會識別緊接著的下一個步驟,可能包括下列內容:
規劃各種活動來依據各種要求條件進行準備,並準備進入設計階段
定義共同工作人員的其他教育訓練
與關鍵業務和技術共同工作人員的結構化會晤
業務和技術問題的高層級摘要報告
下一步驟的建議
概述探查結果的執行簡報
此分析階段會擷取專案之技術和業務方面的詳細資訊,並產生資料模型和高層級 Identity Manager 結構設計。此活動是實作解決方案的關鍵性第一步。
設計的焦點應該是身分管理;不過,許多常與資源管理目錄相關聯的元素 (例如檔案和列印) 也可以處理。下列是您可能要評估的項目範例:
正在使用哪個版本的系統軟體?
目錄設計適當嗎?
目錄用來代管 Identity Vault 和 Identity Manager,還是用來延伸其他服務?
所有系統中的資料品質是否合適?(如果資料的品質不堪使用,可能就無法如願進行業務規則的實作。)
您的系統需要資料管理嗎?
要求分析之後,您可以建立實作的範圍和專案規劃,並可以判定是否需要採取任何必要活動。為了避免嚴重的錯誤,請儘量蒐集完整的資訊並記錄要求。
要求評估期間可能完成下列任務:
蒐集組織的業務程序和定義這些業務程序的業務要求。
例如,終止員工的業務要求可能是必須在終止員工的同一天移除員工的網路和電子郵件帳戶存取。
下列任務可以指引您定義業務要求:
建立程序流程、程序觸發和資料對應關係。
例如,如果特定程序發生某些問題,則該任務將因此造成何種問題?會觸發何種其他程序?
對應應用程式之間的資料流程。
識別從一種格式變成另一種格式所要發生的資料轉換,例如從 2/25/2007 轉換為 25 Feb 2007。
記錄存在的資料相依性。
如果特定值變更,則瞭解該值是否存在相依性便十分重要。如果特定程序變更,則瞭解該程序是否存在依存性十分重要。
例如,在人力資源部門系統中選取「暫時」員工狀態值,可能表示 IT 部門需要在 eDirectory 中建立在特定時間期間對網路的權限和存取受限的使用者物件。
列出優先程度。
並非每一方的每個要求、希望或願望都可以立即實現。設計和部署提供系統的優先程度會協助您規劃藍圖。
將部署分割成階段可能會很有好處,這樣就可以先實作一部分部署,以後再實作部署的其他部分。您也可以採取分階段部署的方式。這應該以組織內的人員群組為基礎。
定義先決條件。
實作特定部署階段所需的先決條件都應該記錄下來。這包括對您等待要與 Identity Manager 連接之已連接系統的存取。
識別授權資料來源。
較早地瞭解管理員和管理者認為他們所要擁有的系統資訊項目,可以協助您取得並始終保持各方的認同。
例如,帳戶管理者可能要擁有授予員工特定檔案和目錄時所需的權限。可以藉由在帳戶系統中實作本地託管者指定來達成此目的。
業務程序的分析通常從會晤最基本的個人 (如實際使用應用程式或系統的經理、管理員和員工) 開始。要說明的問題包括:
資料源自何處?
資料去向何處?
誰來負責資料?
哪些人員擁有資料所屬之業務功能的所有權?
要變更資料需要聯絡哪些人員?
正在變更的資料具有哪些隱含項目?
資料處理要執行哪些工作 (蒐集和/或編輯)?
會執行哪種類型的操作?
使用何種方法來確保資料品質和完整性?
系統位於何處 (在哪個伺服器上,哪個部門中)?
哪些程序不適合於自動處理?
例如,對「人力資源」部門中 PeopleSoft 系統管理員提出的問題可能包括
哪些資料儲存在 PeopleSoft 資料庫中?
哪些項目會出現在員工帳戶的各種面板中?
需要跨提供系統反映哪些動作 (例如新增、修改或刪除)?
其中哪些項目是必要的? 哪些項目是選擇性的?
根據在 PeopleSoft 中執行的動作需要觸發哪些動作?
要忽略哪些操作/事件/動作?
如何轉換資料並將其對應至 Identity Manager?
會晤關鍵人員可以指向組織的其他區域,它們可提供整個程序的更清晰圖像。
定義業務程序之後,您便可以開始設計反映目前業務程序的資料模型。
模型應該說明資料源自何處、會移至何處,以及其無法移至何處。還應說明重要事件如何影響資料流程。
您可能還要設計圖表,說明提出的業務流程和在該程序中實作自動提供的優點。
從回答下列問題
正在移動哪些類型的物件 (使用者、群組等)?
對哪些事件感興趣?
需要同步化哪些屬性?
需要針對正在管理的各種類型物件在整個業務期間儲存哪些資料?
同步化是單向還是雙向?
每個屬性的授權來源是哪個系統?
考量系統之間不同值的相互關係很重要。
例如,PeopleSoft 中的員工狀態欄位可能具有三個設定值:員工、約聘和實習生。不過,Active Directory 系統可能只有兩個值:永久和暫時。在此情況下,需要決定 PeopleSoft 中「約聘」狀態與 Active Directory 中「永久」和「暫時」值之間的關係。
此工作的焦點應該是瞭解每個目錄系統、各系統彼此之間的關係,以及需要跨系統同步化哪些物件和屬性。
顯示 Identity Manager 內所有系統、授權資料來源、事件、資訊流程和資料格式標準、已連接系統與屬性之間對應關係的資料模型。
解決方案的適當 Identity Manager 結構
其他系統連線要求的詳細資料
資料驗證和記錄相符的策略
設計為支援 Identity Manager 基礎結構的目錄
熟悉所有外部系統的員工 (例如 HR 資料庫管理員、網路和訊息傳送系統管理員)
系統綱要和範例資料的可用性
分析和設計階段的資料模型
基本資訊 (如組織圖、廣域網路 (Wide Area Network,WAN) 和伺服器基礎結構) 的可用性
此活動的結果是產生實驗室環境中的範例實作,該實作會反映公司的業務規則和資料流程。它以在要求分析和設計期間開發之資料模型的設計為基礎,且是生產試驗之前的最後一步。
附註:通常,此步驟有利於取得管理支援並為最終的實作籌集資金。
所有系統連線都可正常運作之正在運行的 Identity Manager 概念檢驗
硬體平台和設備
必要軟體
識別必要連線的分析和設計階段
用於測試目的之其他系統的可用性和存取
分析和設計階段的資料模型
生產系統中資料的品質和一致性可能各不相同,因此,同步化系統時可能會出現不一致。此階段可在資源實作小組與「擁有」或管理系統中要整合之資料的業務單位或群組之間,呈現二者之間明顯的分歧點。有時,相關聯的風險和成本因素可能不屬於提供專案。
適合於載入 Identity Vault 的生產資料集 (在分析和設計活動中識別)。這包括可能的載入方法 (大量載入或透過連接器載入)。還會識別已驗證或已格式化資料的要求。
還會根據所使用的設備和 Identity Manager 部署的整個分散式結構來識別和驗證效能因素。
分析和設計階段的資料模型 (提出的記錄相符和資料格式策略)
存取生產資料集
此活動的目的是要開始移轉到生產環境中。在此階段期間,可能會發生其他自訂。在此有限的啟動階段中,可以確認先前活動所想要的結果,並取得生產展示的合約。
附註:此階段可能會提供解決方案的接受準則,以及整個生產過程中必要的里程碑。
提供資料模式和想要處理結果之即時概念檢驗和驗證的試驗解決方案。
所有先前的活動 (分析和設計、Identity Manager 技術平台)。
這是規劃生產部署的階段。該規劃應該:
確認伺服器平台、軟體修正和 Service Pack
確認一般環境
確認以混合共存的方式引入 Identity Vault
確認分割和複製策略
確認 Identity Manager 實作
規劃舊程序切換
規劃復原偶發事件策略
生產展示規劃
舊程序切換規劃
復原偶發事件規劃
所有先前的活動
這是將試驗解決方案延伸來影響生產環境中所有即時資料的階段。它通常遵循生產試驗符合所有技術和業務要求的合約。
準備開始轉換的生產解決方案
所有先前的活動