2.2 计划 Identity Manager 实施的项目管理方面

本节概述了实施 Identity Manager 的高级政治管理和项目管理方面。 (有关技术方面的信息,请参见部分 2.3, 计划 Identity Manager 实施的技术方面。)

本计划材料概述从 Identity Manager 项目的成形到完全在生产中部署的过程中,通常要执行的活动的类型。 实施身份管理策略需要发现需求以及环境中的利害关系人、设计解决方案、获得利害关系人的认可,以及测试和推行解决方案。 本节旨在帮助您充分了解该过程,以便您能够从 Identity Manager 的使用中获得最大的收益。

强烈建议聘任一个 Identity Manager 专家来为解决方案部署的每个阶段提供支援。 有关合作伙伴关系选项的更多信息,请参见 Novell 解决方案合作伙伴万维网站点。 Novell 培训还提供与 Identity Manager 实施有关的课程。

本节尚有未尽事宜,其目的并不是讲述所有可能的配置,也不是具体讲述配置的执行。 每个环境都存在差异,因此在使用的活动类型上需要灵活处理。

2.2.1 Novell Identity Manager 部署

可以将下列多项活动建议为部署 Identity Manager 时的最佳做法:

发现

Identity Manager 实施可以从发现过程开始,该过程实现以下目的:

  • 确定身份信息管理的主要目标
  • 定义或阐明要解决的业务问题
  • 确定解决突出问题需要完成哪些初期工作
  • 确定执行其中一项或多项初期工作需要哪些东西
  • 制定高级策略或《解决方案路标》,以及受到认可的执行途径

发现能使所有利害关系人对问题和解决方案形成共识。 它为分析阶段提供了一个极好的基础,该阶段需要利害关系人对目录、Novell eDirectory、Novell Identity Manager 和 XML 集成有一个基本的了解。

  • 它可以在所有利害关系人之间建立基本级别的理解
  • 它可以从利害关系人那里获得主要业务信息和系统信息
  • 它可以促成解决方案路标的制定

发现还将确定紧随其后的步骤,这些步骤可能包括以下项目:

  • 确定计划活动,以便为需求阶段和设计阶段作准备
  • 为利害关系人定义其它培训
主要交付产品
  • 与主要业务和技术利害关系人进行有序的面谈
  • 业务和技术问题的高级摘要报告
  • 后续步骤的建议
  • 概述发现结果的决策陈述

需求和设计分析

此分析阶段将获得项目的技术和业务方面的详细信息,以及生成数据模型和 Identity Manager 高级体系结构设计。 此活动是至关重要的第一步,解决方案的实施将从这一步开始。

应该明确地将设计重心放在身份管理上,但是,也可以涉及到在传统上与资源管理目录(例如文件和打印)相关的许多要素。 下面是可能需要评估的项目的样本:

  • 所使用的系统软件的版本是什么?
  • 目录设计是否恰当?
  • 当前是否使用该目录来承载 Identity Vault 和 Identity Manager,或者是否使用它来扩展其它服务?
  • 所有系统中的数据质量是否合格? (如果数据达不到可用的质量,则可能无法根据需要实现业务策略。)
  • 环境是否需要数据处理?

完成需求分析后,可为实施建立范围和项目计划,并可确定是否需要执行任何先期必要的活动。 为避免出现代价高昂的失误,请尽量完整地收集信息和记录需求。

在需求评估过程中,可能需要完成下列任务:

定义业务需求

收集组织的业务过程以及定义这些业务过程的业务需求。

例如,解雇一个员工的业务需求可能是,在解雇该员工的同一天,必须去除该员工的网络和电子邮件帐户访问权限。

下列任务可以引导您定义业务需求:

  • 建立流程、过程触发器和数据映射关系。

    例如,如果某件事将在特定的过程中发生,那么该过程会导致发生什么事? 将会触发其它哪些过程?

  • 在应用程序之间映射数据流。
  • 确定发生时需要从一种格式转换为另一种格式的数据转换,例如 2/25/2006 转换为 25 Feb 2006。
  • 记录存在的数据依赖性。

    如果更改了某个特定的值,则务必要知道该值是否存在依赖性。 如果更改了特定的过程,则务必要知道该过程是否存在依赖性。

    例如,选择人力资源系统中某个《临时》员工状态值,可能意味着 IT 部门需要在 eDirectory 中创建一个用户对象,该用户对象在特定的小时数内对网络的权限和访问权限将受到限制。

  • 列出优先级。

    并不是每一方的每个需求、愿望或期望都可以立即实现。 设计和部署供应系统的优先级有助于计划路标。

    将部署划分为多个阶段是有利的做法,这样可以先实施部署的一部分,后实施部署的其它部分。 也可以采取分阶段的部署方法。 这种方法应该基于组织中的员工小组。

  • 定义前提条件。

    应该记录实施部署特定阶段所需的前提条件。 这包括对需要与 Identity Manager 连接的已连接系统的访问权限。

  • 确定授权数据源。

    事先了解系统管理员和经理认为属于他们的信息项目,有助于获取各方的认可并让他们持续认可。

    例如,帐户管理员可能希望有权为员工授予对特定文件和目录的权限。 在帐户系统中执行本地受托者指派可以达到此目的。

分析业务流程

业务流程的分析通常由会见关键人(例如实际使用应用程序或系统的经理、管理员和员工)开始。 要解决的问题包括:

  • 数据源于何处?
  • 数据流向何处?
  • 数据由何人负责?
  • 谁拥有对数据所属业务功能的所有权?
  • 需要联系何人更改数据?
  • 更改数据牵涉到的各个方面有哪些?
  • 数据处理的工作惯例是什么(收集和/或编辑)?
  • 执行何种类型的操作?
  • 使用什么方法保证数据的质量和完整性?
  • 系统寄存在何处(在哪些服务器上,在哪些部门中)?
  • 哪些过程不适用于自动处理?

例如,人力资源的 PeopleSoft 系统管理员可能面临的问题包括

  • 将哪些数据储存在 PeopleSoft 数据库中?
  • 员工帐户的各种面板上显示哪些内容?
  • 供应系统中需要反映哪些操作(例如添加、修改或删除)?
  • 其中哪些是必需的? 哪些是可选的?
  • 需要根据 PeopleSoft 中执行的操作触发哪些操作?
  • 要忽略哪些操作/事件/动作?
  • 如何转换数据,以及将其映射到 Identity Manager?

会见关键人可了解组织的其它区域,这样可以更清楚地展现整个过程。

设计企业数据模型

定义业务过程后,可以开始设计反映当前业务流程的数据模型。

模型应该演示数据的来源、其转移到的位置以及不能转移到的位置。 它还应说明关键事件如何影响数据流。

您还可能希望制作图表,用于演示建议的业务过程以及在该过程中实现自动供应的优势。

此模型的开发由回答类似以下的问题开始:

  • 正在移动哪些类型的对象(用户、组等等)?
  • 哪些是相关事件?
  • 哪些特性需要同步?
  • 在整个业务过程中,针对被管理的各种类型的对象储存了哪些数据?
  • 同步是单向还是双向的?
  • 哪个系统是哪些特性的权威来源?

考虑系统之间不同值的相互关系也很重要。

例如,PeopleSoft 的员工状态字段可能有三个设置值: 员工、合同工和试用员工。 但是,Active Directory 系统可能只有两个值: 《永久》和《临时》。在此情况下,需要确定 PeopleSoft 中的《合同工》状态,以及 Active Directory 中的《永久》和《临时》值。

此工作的重点应是了解每个目录系统、它们如何彼此相关,以及在整个系统中哪些对象和特性需要同步。

主要交付产品

  • 数据模型,显示所有系统、授权数据源、事件、信息流和数据格式标准,以及 Identity Manager 中已连接系统和特性之间的映射关系。
  • 解决方案的相应 Identity Manager 体系结构
  • 附加系统连接要求的详细信息
  • 数据验证和记录匹配的策略
  • 用于支持 Identity Manager 基础结构的目录设计

相关性

  • 熟悉所有外部系统的职员(如 HR 数据库管理员、网络和讯息系统管理员)
  • 系统纲要和样本数据的可用性
  • 来自分析和设计阶段的数据模型
  • 组织结构图、WAN 和服务器基础结构等基本信息的可用性

概念认证

此活动的结果是提供一份在实验室环境下使用的实施样本,用于反映贵公司的业务策略和数据流。 该结果基于在需求分析和设计过程中开发的数据模型设计,并且是试生产前的最后一个步骤。

注:此步骤通常有助于获得管理层的支持,以及为最终实施工作获得资金。

主要交付产品

  • 在所有系统连接均正常工作的情况下完成的可行的 Identity Manager 概念认证

相关性

  • 硬件平台和设备
  • 必需软件
  • 确定必需连接的分析和设计阶段
  • 供测试使用的其它系统的可用性以及对这些系统的访问权限
  • 来自分析和设计阶段的数据模型

数据验证和准备

在生产系统中数据的质量和一致性可能不同,因此同步系统时可能会造成不一致的情况。 此阶段明确展示资源实施小组与业务单位或组(《拥有》或管理要集成的系统中的数据)之间的分隔点。 相关的风险和成本因素有时不能纳入供应项目。

主要交付产品

  • 适合载入 Identity Vault 的生产数据集(已在分析和设计活动中确定)。 这包括装载的可能性方法(大批量装载或通过连接程序)。 同时确定已验证或格式化的数据的要求。
  • 同时针对使用的设备以及 Identity Manager 部署的整体分布式结构确定并验证性能因子。

相关性

  • 来自分析和设计阶段的数据模型(建议的记录匹配和数据格式策略)
  • 对生产数据集的访问权限

试生产

此活动的目的是开始迁移到生产环境中。 在此阶段可能有其它自定义操作发生。 在此有限的简介中,可确认前面的活动所需的结果,并获得生产成品的协议。

注:此阶段可提供解决方案的验收准则以及达到全面生产所必需的路标和路线。

主要交付产品

  • 试行解决方案,为数据模型以及所需的过程结果提供真实的概念认证和验证

相关性

  • 所有以前的活动(分析和设计、Identity Manager 技术平台)。

生产成品计划

在此阶段计划生产部署。 计划应:

  • 确认服务器平台、软件修订版和 Service Pack
  • 确认常规环境
  • 确认在混合共存中 Identity Vault 的简介
  • 确认分区和复制策略
  • 确认 Identity Manager 实施
  • 计划传统过程的交接
  • 计划回滚应变策略

主要交付产品

  • 生产成品计划
  • 传统过程交接计划
  • 回滚应变计划

相关性

  • 所有以前的活动

生产部署

将在此阶段展开试行解决方案,以影响生产环境中的所有实际数据。 它通常遵循这样的协议:试生产符合所有的技术和业务要求。

主要交付产品

  • 生产解决方案已准备好进行转换

相关性

  • 所有以前的活动