本节概述了实施 Identity Manager 的高级政治管理和项目管理方面。 (有关技术方面的信息,请参见部分 2.3, 计划 Identity Manager 实施的技术方面。)
本计划材料概述从 Identity Manager 项目的成形到完全在生产中部署的过程中,通常要执行的活动的类型。 实施身份管理策略需要发现需求以及环境中的利害关系人、设计解决方案、获得利害关系人的认可,以及测试和推行解决方案。 本节旨在帮助您充分了解该过程,以便您能够从 Identity Manager 的使用中获得最大的收益。
强烈建议聘任一个 Identity Manager 专家来为解决方案部署的每个阶段提供支援。 有关合作伙伴关系选项的更多信息,请参见 Novell 解决方案合作伙伴万维网站点。 Novell 培训还提供与 Identity Manager 实施有关的课程。
本节尚有未尽事宜,其目的并不是讲述所有可能的配置,也不是具体讲述配置的执行。 每个环境都存在差异,因此在使用的活动类型上需要灵活处理。
可以将下列多项活动建议为部署 Identity Manager 时的最佳做法:
Identity Manager 实施可以从发现过程开始,该过程实现以下目的:
发现能使所有利害关系人对问题和解决方案形成共识。 它为分析阶段提供了一个极好的基础,该阶段需要利害关系人对目录、Novell eDirectory、Novell Identity Manager 和 XML 集成有一个基本的了解。
发现还将确定紧随其后的步骤,这些步骤可能包括以下项目:
此分析阶段将获得项目的技术和业务方面的详细信息,以及生成数据模型和 Identity Manager 高级体系结构设计。 此活动是至关重要的第一步,解决方案的实施将从这一步开始。
应该明确地将设计重心放在身份管理上,但是,也可以涉及到在传统上与资源管理目录(例如文件和打印)相关的许多要素。 下面是可能需要评估的项目的样本:
完成需求分析后,可为实施建立范围和项目计划,并可确定是否需要执行任何先期必要的活动。 为避免出现代价高昂的失误,请尽量完整地收集信息和记录需求。
在需求评估过程中,可能需要完成下列任务:
收集组织的业务过程以及定义这些业务过程的业务需求。
例如,解雇一个员工的业务需求可能是,在解雇该员工的同一天,必须去除该员工的网络和电子邮件帐户访问权限。
下列任务可以引导您定义业务需求:
例如,如果某件事将在特定的过程中发生,那么该过程会导致发生什么事? 将会触发其它哪些过程?
如果更改了某个特定的值,则务必要知道该值是否存在依赖性。 如果更改了特定的过程,则务必要知道该过程是否存在依赖性。
例如,选择人力资源系统中某个《临时》员工状态值,可能意味着 IT 部门需要在 eDirectory 中创建一个用户对象,该用户对象在特定的小时数内对网络的权限和访问权限将受到限制。
并不是每一方的每个需求、愿望或期望都可以立即实现。 设计和部署供应系统的优先级有助于计划路标。
将部署划分为多个阶段是有利的做法,这样可以先实施部署的一部分,后实施部署的其它部分。 也可以采取分阶段的部署方法。 这种方法应该基于组织中的员工小组。
应该记录实施部署特定阶段所需的前提条件。 这包括对需要与 Identity Manager 连接的已连接系统的访问权限。
事先了解系统管理员和经理认为属于他们的信息项目,有助于获取各方的认可并让他们持续认可。
例如,帐户管理员可能希望有权为员工授予对特定文件和目录的权限。 在帐户系统中执行本地受托者指派可以达到此目的。
业务流程的分析通常由会见关键人(例如实际使用应用程序或系统的经理、管理员和员工)开始。 要解决的问题包括:
例如,人力资源的 PeopleSoft 系统管理员可能面临的问题包括
会见关键人可了解组织的其它区域,这样可以更清楚地展现整个过程。
定义业务过程后,可以开始设计反映当前业务流程的数据模型。
模型应该演示数据的来源、其转移到的位置以及不能转移到的位置。 它还应说明关键事件如何影响数据流。
您还可能希望制作图表,用于演示建议的业务过程以及在该过程中实现自动供应的优势。
此模型的开发由回答类似以下的问题开始:
考虑系统之间不同值的相互关系也很重要。
例如,PeopleSoft 的员工状态字段可能有三个设置值: 员工、合同工和试用员工。 但是,Active Directory 系统可能只有两个值: 《永久》和《临时》。在此情况下,需要确定 PeopleSoft 中的《合同工》状态,以及 Active Directory 中的《永久》和《临时》值。
此工作的重点应是了解每个目录系统、它们如何彼此相关,以及在整个系统中哪些对象和特性需要同步。
此活动的结果是提供一份在实验室环境下使用的实施样本,用于反映贵公司的业务策略和数据流。 该结果基于在需求分析和设计过程中开发的数据模型设计,并且是试生产前的最后一个步骤。
注:此步骤通常有助于获得管理层的支持,以及为最终实施工作获得资金。
在生产系统中数据的质量和一致性可能不同,因此同步系统时可能会造成不一致的情况。 此阶段明确展示资源实施小组与业务单位或组(《拥有》或管理要集成的系统中的数据)之间的分隔点。 相关的风险和成本因素有时不能纳入供应项目。
此活动的目的是开始迁移到生产环境中。 在此阶段可能有其它自定义操作发生。 在此有限的简介中,可确认前面的活动所需的结果,并获得生产成品的协议。
注:此阶段可提供解决方案的验收准则以及达到全面生产所必需的路标和路线。
在此阶段计划生产部署。 计划应:
将在此阶段展开试行解决方案,以影响生产环境中的所有实际数据。 它通常遵循这样的协议:试生产符合所有的技术和业务要求。