Funktionen, Architektur und Einsatzszenarien

Transkript

1 Funktionen, Architektur und Einsatzszenarien Autor: Henning Wriedt +49 (0) Stand: März 2012

2 INHALTSVERZEICHNIS Einleitung... 3 Enterprise Provisioning Portal... 4 Übersicht... 4 Architektur... 6 Konnektoren... 7 Konfiguration... 8 Aufträge und Prozesse... 8 Rollen und Sicherheit Datenbank, Reporting und Compliance Einsatzszenarien Standardisieren von Prozessen Delegation von Prozessen Automatisieren von Prozessen Zeitliche Planung von Prozessen Domänen-Grenzen oder Netzwerk-Grenzen überwinden Folder Management Anhang Glossar Abbildungsverzeichnis... 18

3 Kapitel: Übersicht 3 EINLEITUNG Unternehmen verändern sich in großer Geschwindigkeit: Neue Benutzer, häufige Abteilungswechsel, nur temporär benötigte Projektberechtigungen oder Änderungen von Namen und Telefonnummern führen zu einer Vielzahl von Änderungen im zentralen Verzeichnisdienst Active Directory (AD) und anderen Systemen. Administrative Tätigkeiten werden in vielen Umgebungen als zeit- und kostenintensiver Overhead wahrgenommen aber trotzdem gar nicht oder nur sehr eingeschränkt automatisiert. Das Produkt Enterprise Provisioning Portal (EPP) verfolgt das Ziel, ein automatisiertes Management des gesamten Lebenszyklus von Objekten zu ermöglichen: Beim Benutzerobjekt z.b. vom Eintritt des Mitarbeiters in das Unternehmen über Änderungen wie Abteilungswechsel oder Namensänderung bei Heirat bis hin zum Ausscheiden des Mitarbeiters und dem sicherem Löschen des Objekts und aller Berechtigungen. Dabei werden Einstellungen dem Administrator vorgegeben und so die Arbeit erleichtert, Fehler vermieden und die Einheitlichkeit kritischer Parameter wie etwa Gruppenzugehörigkeiten, Mail-Adressen oder Dateiberechtigungen sichergestellt. Benutzern des Systems EPP können spezifische Rollen zugewiesen werden wie etwa "Zentraladministrator" oder "Abteilungsadministrator". Diese Rollen regeln dann sowohl, welche administrativen Tätigkeiten ein bestimmter Benutzer innerhalb von EPP durchführen darf als auch die Gestaltung der Oberfläche im Portal: Es werden nur jene Menüpunkte angezeigt für die auch eine Berechtigung vorliegt. Die Delegation administrativer Tätigkeiten ist ein zentraler Aspekt von EPP: Viele IT-Umgebungen erfordern zum einen die zentrale Kontrolle und Nachvollziehbarkeit der administrativen Schritte, zum anderen sollen aber Änderungen zum Beispiel in einer Fachabteilung - also am Ort des Entstehens - durchgeführt werden können. EPP unterstützt diese Vorgehensweise durch die Möglichkeit, auf Ebene der Organisationseinheiten (OU) Berechtigungen vergeben zu können und so auch einem Abteilungsleiter im Portal zu ermöglichen, für seine Abteilung Änderungen durchzuführen. Diese bleiben immer unter Kontrolle und unterliegen ggf. auch einem Genehmigungsvorbehalt der zentralen IT-Abteilung. Nachvollziehbar bleiben alle administrativen Prozesse im Unternehmen, da EPP jeden Schritt in einer Datenbank speichert. So kann z.b. zu einem Auftrag "Benutzer löschen" abgerufen werden, wer das Löschen wann veranlasst hat und ob auch die entsprechenden Berechtigungen z.b. auf Datei-/Ordner-/Share-Ebene mit gelöscht wurden. Werden Objekte verändert, kann bis auf die Ebene des einzelnen Attributs nachvollzogen werden, wie der alte Wert war so können Fragen bei Revisionen konkret beantwortet werden. 3

4 Kapitel: Übersicht 4 ENTERPRISE PROVISIONING PORTAL ÜBERSICHT Die Lösung EPP ist eine Plattform zur dezentralen Administration von Benutzern, Kontakten, Gruppen, Computern und File Shares mit dem Active Directory als führendem System. Über Webseiten werden die relevanten Informationen einfach zugänglich gemacht und redundante Eingaben vermieden. Mit EPP können Attribute für alle Active Directory-Objekte und Objekte in den angeschlossenen Systemen anhand von Kundenvorgaben standardisiert und passende Plausibilitätsprüfungen definiert werden. Im Bereich der Verwaltung von Benutzerkonten lassen sich mit Hilfe von EPP neue Benutzer anlegen, löschen und auch umbenennen. Außerdem können die Eigenschaften im Active Directory geändert und Passwörter gesetzt werden. Dabei werden neben dem Konto im Active Directory auch die Gruppenzugehörigkeiten, das Exchange- Postfach und das persönliche Benutzerlaufwerk gepflegt. Die Gruppenverwaltung ermöglicht das Anlegen und Löschen von Gruppen, sowie die Verwaltung der Mitglieder. Die Anbindung weiterer Systeme wie Sharepoint Server oder SAP erlaubt die Ausdehnung der Benutzermanagement-Prozesse. Eine Schnittstelle zur Microsoft Powershell ermöglicht die Ausführung von Scripten, die Funktionsumfang jenseits der oben genannten Objekte zur Verfügung stellen können: So ist es etwa möglich, in einen komplexen Provisioning-Prozess auch gleich einen Drucker mit anzulegen oder eine Software bereitzustellen. Dabei bleiben diese Scripte jedoch immer unter der Kontrolle von EPP die vagabundierende Ausführung von Scripten gehört der Vergangenheit an. Computerkonten lassen sich mit EPP ebenfalls anlegen, zurücksetzen, deaktivieren und löschen. Außerdem ist es möglich, Benutzern auf dem Rechner lokale Administratorrechte zu erteilen oder zu entziehen. Über das EPP-Berechtigungsmodell können verschiedene Administratorenrollen abgebildet werden, die über die Zugehörigkeit zu Active-Directory-Gruppen definiert sind. Daher benötigen die EPP-Anwender selbst keine weitergehenden Berechtigungen im Active Directory, sondern die Aktionen in den Zielsystemen werden durch EPP durchgeführt, welches ein entsprechend zu konfigurierendes Konto benutzt. Der Einstieg in das System EPP erfolgt aus Sicht des Administrators über die Startseite des Portals, die bereits wichtige Informationen zum Status des Systems und der angestoßenen Aufträge anzeigt. Das Portal unterstützt mehrere Sprachversionen und die einzelnen Funktionen werden auf Basis der Rolle des aktuellen Anwenders einoder ausgeblendet. 4

5 Kapitel: Übersicht 5 Abbildung 1: Startseite EPP Alle administrativen Prozesse werden als Aufträge im System verarbeitet. Aufträge werden durch das EPP-Portal generiert und im EPP-Backend-System verarbeitet. Diese Aufträge sind fest definiert und der Austausch mit dem EPP-Backend-System findet über eine Webservice-Schnittstelle statt. Daher ist es genauso möglich, diese Aufträge von Fremdsystemen aus zu generieren und diese dann über die Webservice-Schnittstelle auszuführen. Fremdsysteme können u.a. sein: Scripting-Lösungen zur automatisierten Massenverarbeitung ohne Anwenderunterstützung Microsoft Excel zur automatisierten Massenverarbeitung mit Anwenderunterstützung Applikationen wie z.b. HR Systeme, Helpdesk-Anwendungen oder Identity-Management-Lösungen, in deren Prozesse EPP-Aufträge integriert werden sollen 5

6 Kapitel: Architektur 6 Abbildung 2: Automatisierung von EPP-Prozessen mit Hilfe von MS-Excel Alle über EPP durchgeführten Änderungen werden in einer zugehörigen SQL-Datenbank protokolliert, so dass diese Transaktionen nachvollziehbar sind. EPP setzt auf der integrierten Windows-Sicherheit auf und erfordert daher keine separate Anmeldung. ARCHITEKTUR Für die Beschreibung der Architektur lassen sich zunächst drei Ebenen unterscheiden: Die Quelle, aus der ein Auftrag für EPP generiert wird, die Ebene der Auftragsbearbeitung und die Zielsysteme, welche von den Aufträgen erfasst werden. Die Aufträge, die EPP verarbeitet, können auf unterschiedliche Art generiert werden: Portal: Die gesamte Steuerung von EPP und auch die Generierung von Aufträgen findet standardmäßig über ein Web-Frontend statt. Damit ergibt sich auf der Client-Seite als Minimalanforderung lediglich ein Internet Explorer. Batch: EPP stellt Methoden für den Aufruf aus Batch-Dateien zur Verfügung. Aus Anwendungen wie z.b. MS-Office (vgl. Abbildung 2: Automatisierung von EPP-Prozessen mit Hilfe von MS-Excel Webservices-Schnittstelle (SOA): Andere Anwendungen können über http(s)-requests die Aufträge auslösen. File-Upload: EPP kann auch strukturierte Dateien verarbeiten, die aus anderen Anwendungen exportiert wurden. Diese werden auf die interne EPP-Struktur umgesetzt und daraus dann wiederum ein Auftrag generiert. 6

7 Kapitel: Konnektoren 7 Die eigentliche Auftragsbearbeitung findet dann im sog. Kernel statt. Dieser stellt die Logik zur Verfügung, mit der Aufträge geprüft und verarbeitet werden. Dazu übernimmt er die Steuerung von Workflows, die Überwachung von Berechtigungen anhand von Rollenkonzepten und das Monitoring/Reporting der Anwendung. Die Zielsysteme für die Aufträge von EPP werden durch sog. Konnektoren angebunden. Diese stellen die Verbindung her, kennen die Logik und Semantik der Zielsysteme und können so die entsprechenden Aufträge wie Dateiberechtigung setzen (im Falle von Windows) oder Mailbox löschen (im Falle von Exchange) durchführen. Abbildung 3: Technische Architektur des Enterprise Provisioning Portal KONNEKTOREN Die Schnittstellen zu den Zielsystemen werden durch sog. Konnektoren zur Verfügung gestellt. Diese stellen die Funktionalität des Zielsystems gegenüber EPP als Aktivität (Task) dar - beispielsweise "BenutzerLoeschen" im AD- Konnektor. Insgesamt stellt EPP über die Konnektoren mehr als 150 Aktivitäten (EPP-Tasks) dar. Im Standard von EPP sind die folgenden Konnektoren enthalten: Active Directory (Windows Server 2000/2003/2003R2/2008/2008R2) AD Lightweight Directory Services (AD LDS, vormals ADAM) Microsoft Exchange Server 2003 Microsoft Exchange Server 2007 Microsoft Exchange Server 2010 Windows Sharepoint Services 3.0 Office Sharepoint Portal Server 2007 Office Sharepoint Portal Server 2010 File Services / DFS (Windows 2003 und höher) 7

8 Kapitel: Konfiguration 8 Powershell Robocopy Datenbank (SQL Server 2005/2008/2008R2) SAP SMTP CSV LDAP Da neue Konnektoren sich automatisch registrieren können und ihre Aktivitäten dann selbständig veröffentlichen, ist EPP einfach um neue Zielsysteme erweiterbar. Die dann neu verfügbaren EPP-Tasks können einfach über eine Webseite in die bestehenden Prozesse integriert werden. Abbildung 4: Konfiguration von EPP-Prozessen KONFIGURATION In EPP wird der Grundsatz verfolgt, dass alle kundenspezifischen Anforderungen an die administrativen Prozesse konfiguriert werden können. So können die Prozesse, die einzelnen Aktivitäten innerhalb der Prozesse (EPP-Tasks), die Parameter und auch die Regeln für Parameter bzw. Prozesse flexibel konfiguriert werden. Jede Konfiguration wird in Abhängigkeit von Rolle und Organisationseinheit definiert, in der Konfigurationsdatenbank gespeichert und kann jederzeit an aktuelle Rahmenbedingungen angepasst werden. AUFTRÄGE UND PROZESSE Die einzelne Ausführung eines administrativen Prozesses findet über einen EPP-Auftrag statt. Aufträge können durch das EPP-Portal aber auch durch externe Anwendungen initiiert werden. EPP-Aufträge können zeitlich geplant, im Fehlerfall nachbearbeitet sowie über einen Workflow weitergeleitet werden. Wie bereits beschrieben, können die einzelnen Parameter der Prozessschritte (EPP-Tasks) über Regeln vorbelegt oder automatisch berechnet werden. Einige Beispiele sind unten dargestellt. 8

9 Kapitel: Aufträge und Prozesse 9 Abbildung 5: Ausführung von Aufträgen 9

10 Kapitel: Rollen und Sicherheit 10 ROLLEN UND SICHERHEIT EPP arbeitet mit integrierter Authentifizierung, so dass keine spezielle Pflege von Benutzerkonten innerhalb von EPP erforderlich ist. Die Berechtigungssteuerung erfolgt ausschließlich über Security-Gruppen des Active Directory. Beim Start ermittelt EPP in welcher Gruppe der aktuell angemeldete Benutzer Mitglied ist und gewährt ihm dann die entsprechenden Rechte (Rollen) innerhalb der Applikation. Jeder Auftrag bzw. Zugriff wird in EPP auf Basis einer Organisationseinheit gewährt oder verweigert. Die Benutzer brauchen keine weitergehenden Rechte im Active Directory. Abbildung 6: Rollenbasiertes Portal hier nur mit den Funktionen für Benutzer und Gruppen freigeschaltet Auch die Art der Darstellung im Portal kann rollenbasiert erfolgen: Prozesse im Portal werden in einer Liste (vgl. Abbildung 5: Ausführung von Aufträgen) oder auch in einer für den Anwender übersichtlicheren Form als Reiter angezeigt: Abbildung 7: Tabulator-Ansicht eines Auftrags 10

11 Kapitel: Datenbank, Reporting und Compliance 11 DATENBANK, REPORTING UND COMPLIANCE Alle Aufträge werden mit einer Vielzahl von Detailinformationen in einer SQL-Server-Datenbank gespeichert. Dadurch ist ein umfangreiches Reporting möglich, die Auskunft über die Historie von Aufträgen geben. Fragen wie "Wer löschte das Benutzerkonto X wann" oder "Welche Aufträge schlugen im Zeitraum Y-Z wegen fehlender Berechtigungen fehl" sind mittels entsprechenden Reports schnell beantwortet. Die zentralen Reporting-Funktionen von EPP ermöglichen Administratoren, frühzeitig Fehler zu erkennen und Gegenmaßnahmen einleiten zu können. Exemplarisch zeigt die folgende Abbildung eine Abfrage auf alle und eine Abfrage auf alle fehlgeschlagenen Aufträge in einem bestimmten Zeitraum. Es kann ein einzelner Auftrag ausgewählt werden, für den dann alle Details angezeigt werden. Außerdem kann dieser Auftrag neu zur Verarbeitung in EPP ausgewählt ("geladen") werden: So können z.b. fehlgeschlagene Aufträge korrigiert und erneut ausgeführt werden ohne den gesamten Auftrag neu eingeben zu müssen. Abbildung 8: Reporting Darüber hinaus erlaubt EPP die Analyse von bereits abgearbeiteten Aufträgen bis auf die Ebene eines einzelnen Attributs: Betrachtet der Administrator einen erledigten Auftrag im Reporting, so sind die geänderten Attribute durch Unterstreichung hervorgehoben und durch überfahren mit der Maus kann der ursprüngliche Wert angezeigt werden. Eine Änderungshistorie erlaubt dabei auch das Nachvollziehen von mehreren Änderungen des gleichen Attributs inklusive der Information, welcher Benutzer diese Änderungen zu welchem Zeitpunkt durchgeführt hat. 11

12 Kapitel: Standardisieren von Prozessen 12 EINSATZSZENARIEN STANDARDISIEREN VON PROZESSEN Das Standardisieren eines administrativen Prozesses muss in zwei Bereichen stattfinden. Zum einen müssen die einzelnen Prozessschritte fest definiert werden und weiterhin müssen auch die Daten in den einzelnen Prozessschritten standardisiert werden. Betrachtet man sich exemplarisch einen einfachen Prozess zum Anlegen eines neuen Benutzers so kann dieser zum Beispiel wie folgt definiert sein: Anlegen eines neuen Benutzers im Active Directory Setzen des Kennwortes Weiteres Bearbeiten des Benutzers (z.b. Aktivieren, Benutzer muss Kennwort ändern, ) Hinzufügen des neuen Benutzers zu Sicherheits-Gruppen Anlegen einer Mailbox für diesen Benutzer Hinzufügen des neuen Benutzers zu Verteiler-Listen Erstellen eines Profil-Verzeichnisses Erstellen eines "Home -Verzeichnisses Setzen der Sicherheit auf dem Profil-Verzeichnis Setzen der Sicherheit auf dem "Home"-Verzeichnis Hinzufügen des neuen Benutzers zu Sharepoint-Gruppen EPP stellt hier Möglichkeiten zur Verfügung, diese einzelnen Prozessschritte flexibel zu konfigurieren. Des Weiteren können diese Prozessschritte auf Basis von Rollen und Organisationseinheiten unterschiedlich definiert werden. Jeder dieser Prozessschritte wird über Parameter gesteuert. Auch diese müssen in Bezug auf Namenskonzepte, Pflichtfelder, vorgegebene Werte etc. standardisiert werden. In EPP kann jedem Parameter eine Regel (siehe auch EPP-Policies) zugewiesen sein. Regeln können z.b. sein: Der Parameter muss aus einer Liste von möglichen Werten ausgewählt werden (Adresslisten, Firmen, Abteilungen, etc.). Ein Wert wird automatisch vorbelegt. Ein Wert wird über ein Namenskonzept generiert (Login, , Ordnernamen, etc.). Eingaben müssen einer bestimmten Form entsprechen (Telefonnummern, Postleitzahlen, etc.). Durch die Zuordnung von Regeln zu Parameterwerten ist es auch möglich, die einzelnen Prozesse von der Komplexität her für den Administrator erheblich zu vereinfachen. 12

13 Kapitel: Delegation von Prozessen 13 DELEGATION VON PROZESSEN DELEGATION ZENTRALER PROZESSE IN LÄNDERORGANISATIONEN UND STANDORTE In großen internationalen Organisationen findet die Administration der IT-Infrastruktur-Systeme häufig verteilt in den Ländern oder an dezentralen Standorten statt. Hier gilt es sicherzustellen, dass die zentralen Vorgaben in Bezug auf die bereits beschriebene Standardisierung tatsächlich eingehalten werden. In EPP können Prozesse, Namenskonzepte und Regeln zentral definiert werden und über ein konfigurierbares Sicherheitskonzept dezentral ausgeführt werden. Des Weiteren kann über ein Workflow-Modul die Dateneingabe und Vorbereitung der Prozesse von der eigentlichen Ausführung getrennt werden. DELEGATION IN FACHBEREICHE Eine häufige Fehlerquelle und vor allem Ursache für Zeitverzögerungen in administrativen Prozessen ist der Austausch der benötigten Daten zwischen den Fachbereichen und der IT. Hier bietet EPP die Möglichkeit, die benötigten Daten der Prozesse in den Fachbereichen einzugeben, die dann in der IT weiter bearbeitet werden und schließlich auch ausgeführt werden. DELEGATION SELF-SERVICES Ein weiterer Aspekt der Delegation ist die Ausführung von Prozessen durch den betroffenen Anwender selber. Man spricht hier von Self-Services. Typischerweise sind dieses Prozesse wie das Bearbeiten von persönlichen Daten sowie das Zurücksetzen des eigenen Kennwortes. Aber auch das Verwalten von Ordnern und Gruppenmitgliedschaften kann durch den Anwender selber geschehen. AUTOMATISIEREN VON PROZESSEN Eine häufige Aufgabe ist es, administrative Prozesse zu automatisieren. Gerade in Migrationen kann es notwendig sein, definierte Prozesse für eine große Anzahl von Benutzern durchzuführen. Aufträge in EPP sind XML-Dokumente mit einer fest definierten Struktur. Somit ist es möglich, auch aus Anwendungen wie Microsoft Excel heraus diese Aufträge zu generieren und auszuführen. Diese Schnittstellen können auch dazu genutzt werden, die EPP-Prozesse in andere Anwendungen zu integrieren. So kann ein neuer Anwender in einem HR System angelegt werden und durch die Nutzung der EPP-Webservice- Schnittstellen automatisch die entsprechenden EPP-Prozesse auf der Infrastruktur ausgeführt werden. ZEITLICHE PLANUNG VON PROZESSEN Aufträge können durch den Administrator im Portal sofort zur Ausführung gebracht werden. Für komplexere Aufträge, die z.b. in Drittsystemen eine höhere Last erzeugen oder aufgrund technischer Restriktionen nur zu bestimmten Zeiten ausgeführt werden können (zum Beispiel Kopiervorgänge beim Verschieben von Benutzern 13

14 Kapitel: Domänen-Grenzen oder Netzwerk-Grenzen überwinden 14 zwischen Standorten), besteht die Möglichkeit, die Aufträge mit einem Zeitplan zu versehen. Aufträge, die einer Zeitplanung unterliegen, können im Reporting von EPP gesondert ausgewiesen werden, womit eine Überwachung des Status solcher Aufträge jederzeit möglich ist. Es kann auch sinnvoll sein, die zeitliche Steuerung von Teilaufträgen in die Prozesse zu integrieren. So wird ein Benutzer beim Ausscheiden aus dem Unternehmen deaktiviert, die entsprechenden Ordner und die Mailbox werden gelöscht oder archiviert aber das Active-Directory-Objekt wird erst nach einem gewissen Zeitraum von beispielsweise 90 Tagen endgültig gelöscht. Oder es wird ein Prozess für das Anlegen von temporären Benutzern definiert, bei dem schon bei der Anlage ein Enddatum angegeben werden muss. Das Deaktivieren/Löschen dieser Benutzer findet dann automatisch durch EPP statt. So können externen Benutzern von Lieferanten und Dienstleistern kurzfristig Zugangsberechtigungen ggf. auch mit relativ hohen Berechtigungen wie Computer-Konto anlegen - gewährt und im Anschluss der Entzug dieser Rechte innerhalb eines Arbeitstages sichergestellt werden. DOMÄNEN-GRENZEN ODER NETZWERK-GRENZEN ÜBERWINDEN Eine Vielzahl von Lösungen für das Management von Active Directory sind inzwischen verfügbar alle diese Lösungen haben jedoch eines gemeinsam: Sie gehen davon aus, dass sich zwischen den Systemen keine Grenzen befinden. Oder anders ausgedrückt: Management-Server und Zielsysteme wie Domain Controller müssen sich nicht nur in einer Domäne oder zumindest einem sog. Forrest befinden, sondern in aller Regel auch in einem Rechenzentrum ohne Firewalls. EPP dagegen bietet die Möglichkeit, mittels eines eigenen Agenten die Aufträge auch auf entfernten Systemen ausführen zu lassen. So können über Domänen-Grenzen hinweg zum Beispiel lokale Benutzer auf Servern angelegt werden, um die Administration von Back-Up-Software o.ä. zu ermöglichen. Auch Firewalls oder langsame WAN-Strecken (relevant zum Beispiel bei der Anlage von Benutzerverzeichnissen) können durch einen solchen asynchronen Ansatz überbückt werden dabei jederzeit über Zertifikate sicher authentifiziert, autorisiert und verschlüsselt. In der folgenden Darstellung steuert ein zentraler EPP-Server die Aufträge in verschiedenen Domänen und auf einem Standalone- oder Member-Server: Abbildung 9: Enterprise Provisioning Portal und Agenten 14

15 Kapitel: Folder Management 15 FOLDER MANAGEMENT Mitarbeiter der IT-Administration und des Helpdesk wissen: Eine große Anzahl von Anfragen betrifft die Gewährung bzw. den Entzug von Rechten auf Shares und Verzeichnissen und die Neuanlage/Löschung dieser Verzeichnisse. Derartige Anfragen können nun deutlich reduziert werden: EPP bietet die Möglichkeit, über eine optionale Komponente die Verwaltung von Shares und Verzeichnissen in DFS-Bäumen zu automatisieren. Dabei trägt EPP dafür Sorge, dass diese Verzeichnisse nach Namenskonventionen angelegt, die entsprechenden Gruppen für Lese-, Schreib- und Anzeigerechte erzeugt und die NTFS-Rechte eingerichtet werden. Einmal eingerichtet, können so über EPP einzelne Verzeichnisse oder ganze Dateibäume zur Verwaltung an ausgewählte Benutzer(/-gruppen) delegiert werden. Auf diese Weise kann ein Abteilungsleiter über eine EPP- Webseite unterhalb seines Abteilungsverzeichnisses weitere Projektverzeichnisse durch einfache Eingabe des gewünschten Namens anlegen EPP prüft dann den Namen gemäß der definierten Konventionen und legt dieses Verzeichnis an. Abbildung 10: Folder Management Anzeige eines Shares In der Abbildung oben können Sie die Prozesse erkennen, die für einen Share / ein Unterverzeichnis in EPP konkret verfügbar sind: Es kann ein Besitzer (Owner) definiert werden, Lese- und Schreibrechte mittels Gruppenmitgliedschaften zugewiesen oder auch entzogen werden sowie ein neuen Unterordner angelegt werden sowie der aktuelle Share auch gelöscht werden. In der Baumstruktur werden die derzeit durch EPP verwalteten Unterverzeichnisse übersichtlich dargestellt und können zur Verwaltung ausgewählt werden. 15

16 Kapitel: Glossar 16 ANHANG GLOSSAR EPP-TEMPLATES Grundsätzlich werden in EPP administrative Prozesse rund um das Active Directory mit angeschlossenen Systemen wie z.b. Exchange, File, Security, Datenbanken, etc. konfiguriert und ausgeführt. In EPP stehen diese Prozesse für folgende Active-Directory-Objekte zur Verfügung: User Gruppen Computer Kontakte Drucker Organisationseinheiten Für jedes dieser Objekte werden Prozesse konfiguriert wie z.b. Neues Objekt, Objekt bearbeiten, Objekt umbenennen, Objekt löschen, Objekt verschieben Jeder dieser Prozesse wird in EPP durch eine Datei im XML-Format beschrieben. Neben dem Bearbeiten dieser Prozessdefinitionen im Adminweb ist somit auch ein Exportieren, Importieren und Kopieren möglich. In EPP werden diese Prozessdefinitionen als EPP-Templates bezeichnet. EPP-TASKS In einem EPP-Template sind einzelne Aktivitäten - sog. EPP-Tasks - und die Abfolge dieser Aktivitäten beschrieben. EPP-Tasks können z.b. sein: AD Objekt anlegen, Mailbox anlegen, Attribute bearbeiten usw. Bei der Ausführung eines EPP Templates werden die einzelnen Aktivitäten in der konfigurierten Abfolge ausgeführt. Kommt es zu einem Fehler, wird die Ausführung des Templates gestoppt. Der Anwender erhält dann die Möglichkeit, Rahmenbedingungen (z.b. einen nicht erreichbaren Server zu starten) oder die Parameter dieses EPP-Tasks zu ändern und die Ausführung des EPP Templates fortzusetzen. EPP-PARAMETER Jeder EPP-Task wird durch einen bzw. mehrere Parameter gesteuert. Für einen Parameter für eine Aktivität kann im EPP-Portal konfiguriert werden: Die Darstellung dieses Parameters als Textfeld, Liste, Pflichtfeld, 1- oder 2-spaltig, sichtbar u.s.w. Jedem Parameter kann eine Auswahlliste (EPP-Katalog) zugeordnet werden. Einem Parameter kann eine Regel zugeordnet werden (siehe Policies). Ein EPP-Task hat Pflichtparameter, die zur Ausführung benötigt werden und weitere optionale Parameter. Bei einem CreateUser -Task z.b. ist die Organisationseinheit, in der der User angelegt werden soll oder der SAM- Accountname ein Pflichtparameter. Andere Parameter wie etwa ein Home-Laufwerk sind bei diesem EPP-Task dann optionale Attribute. 16

17 Kapitel: Glossar 17 EPP-ROLLEN In EPP werden Benutzern über Rollenmitgliedschaften die Berechtigung zur Ausführung von Aufträgen zugewiesen oder verweigert. Weiterhin werden Menüs und EPP-Oberflächen auf Basis der Rollenmitgliedschaft eines Benutzers konfiguriert. Ein Benutzer wird einer Rolle über eine Active-Directory-Gruppe zugewiesen. EPP-SCOPES In EPP werden allen Konfigurationseinstellungen sogenannten Scopes zugeordnet. Ein Scope definiert sich durch eine Domäne oder eine Organisationseinheit im Active Directory. Scopes sollten vor allem an den Punkten im Active Directory angelegt werden, an denen eine spezifische Sicherheit konfiguriert werden muss, oder aber Administrationsprozesse Domänen- oder OU-spezifisch definiert werden. EPP-KATALOGE EPP-Kataloge sind Listen, die in der EPP-Datenbank gespeichert werden und durch das Adminweb bearbeitet werden können. Diese Listen können dann Parametern zugeordnet werden, so dass zum Beispiel ein Anwender einen Wert aus einer Liste von möglichen Werten auswählen kann. EPP-POLICIES EPP bietet die Möglichkeit, für einzelne Parameter eines EPP-Templates Regeln zu definieren (EPP-Policies) Diese Policies sind Skripte (Sprache: VB Script), die vor der Ausführung in einem EPP-internen Scripting Modul ausgeführt werden. So ist es möglich Parameter mit dynamischen bzw. fest definierten Werten zu belegen. Diese Regeln können z.b. die Generierung eines Alias definieren, Parameter dynamisch mit Werten vorbelegen, dynamisch Ressourcen wie z.b. Exchange- oder File-Server in Abhängigkeit von Kriterien wie OU oder Standort zuordnen oder einzelne Aktivitäten in einem EPP-Template aktivieren/deaktivieren. 17

18 Kapitel: Abbildungsverzeichnis 18 ABBILDUNGSVERZEICHNIS Abbildung 1: Startseite EPP... 5 Abbildung 2: Automatisierung von EPP-Prozessen mit Hilfe von MS-Excel... 6 Abbildung 3: Technische Architektur des Enterprise Provisioning Portal... 7 Abbildung 4: Konfiguration von EPP-Prozessen... 8 Abbildung 5: Ausführung von Aufträgen... 9 Abbildung 6: Rollenbasiertes Portal hier nur mit den Funktionen für Benutzer und Gruppen freigeschaltet Abbildung 7: Tabulator-Ansicht eines Auftrags Abbildung 8: Reporting Abbildung 9: Enterprise Provisioning Portal und Agenten Abbildung 10: Folder Management Anzeige eines Shares