Forefront Identity Manager 2010 Technical Overview Andreas Fuhrmann CEO SKyPRO AG andreas.fuhrmann@skypro.ch
Components
Overview FIM Clients Cer-ficate Managmnt Outlook Portal Windows Others IDM Pla5orm FIM (Web) Service FIM Sync Portal XML Request Processor Delega;on & Permission Authen;ca;on Workflow Authoriza;on Workflow FIM DB Ac;on Workflow Sync DB CM DB Adapters Iden-ty Stores Directories Directories Databases E- Mail Systems 3
IDM Pla5orm FIM Web Services FIM Sync XML Request Processor Delega;on & Permission Authen;ca;on Workflow Authoriza;on Workflow FIM DB Ac;on Workflow Sync DB Adapters Iden-ty Stores Directories Directories Databases E- Mail Systems 4
IDM Platform HR Sync Werteänderungen IM HR System werden verarbeitet Mitarbeiter wird befördert, sein Titel ändert zu Finanzleiter Ostschweiz FIM Synchroniza-on Service verarbeitet die Änderung des Titels Daten stehen bereit für Export zu FIM und AD AD WF Neuer Titel erscheint in der AD und in Outlook 2010 FIM Synchroniza-on Service expor-ert Änderungen zur FIM Service DB Start eines Workflow zur Erstellung eines neuen Accounts im ERP Sync FIM Sync Service übergibt den neuen Account ins ERP System ERP Ein Konto für den neu definierten regionalen Finanzleiter wird im ERP erstellt 5
FIM (Web) Service FIM Server service responsibilities Responsibility Request processing Host Workflow Beschreibung Der FIM Server und die integrierte Policy Engine verarbeiten alle Anforderungen, die zum Web Service Endpoint übermi]elt werden Alle Windows Workflow Founda-on (WF) basierenden Prozesse, welche durch die Policy Engine gestartet werden, sind auf dem FIM Server abgelegt. WS Request Permission Evalua-on Authen-ca-on (AuthN) Authoriza-on (AuthZ) FIM Service DB Ac-on 6
Workflow Type Workflow Typ Zweck Beschreibung Authen-ca-on (AuthN) Authoriza-on (AuthZ) Ac-on Sicherstellen, dass der User der ist, welcher er vorgibt zu sein. Der Prozess wird abgebrochen, falls die Prüfung nega-v ist. Erlaubt eine differenziertere Validierung einer Anfrage über weitergehende Zugriffsrechte. Erlaubt dem FIM Ak-onen auszuführen nachdem ein Prozess durchgeführt wurde. Im Passwort Self- Service Reset Prozess muss der Benutzer eine Serie von Fragen beantworten. Der Benutzer hat die Antworten während der Registra-on vorgegeben. Die korrekte Beantwortung der Fragen beweist (authen-cates) die Iden-tät des Benutzers und er darf sein Passwort neu setzen. Eine Filter Validierung kann automa-sch Anfragen authorisieren oder ablehnen, basierend auf dem Inhalt der Anfrage und basierend auf komplexen Regeln. Authorisierungsprozesse können abhängig vom Beantrager und Inhalt des Antrages auch Emails an verschiedene Personen auslösen. Diese Ak-onen können Änderungen von anderen A]ributen des gleichen Objektes in der FIM Datenbank sein. No-fica-on Email können ausgelöst werden. 7
FIM Service DB Connector Space lokale Datenkopie eines angeschlossenes Systems Vergleich der Daten Metaverse aggregierter Datenstand aller angeschlossener Systeme 8
Produkte Stack Server Component Voraussetzungen All require the 64- bit edi;ons of Windows Server 2012 oder 2008 FIM Synchroniza-on Service FIM Synchroniza-on SQL Server FIM Service FIM Service SQL Server FIM Portal FIM Password Reset Portal Windows Installer 4.5 Windows PowerShell 1.0 or Windows PowerShell 2.0, if provisioning to Exchange 2010 Microsog.NET Framework 3.5 Service Pack 1 (SP1) Exchange 2007 SP1 Management Console if provisioning to Exchange 2007 SQL Server 2008 SP1 x64 Standard or Enterprise Windows Installer 4.5 Windows PowerShell 1.0 or Windows PowerShell 2.0.NET Framework 3.0 Features.NET Framework 3.5 SP1 SQL Server 2008 SP1 x64 Standard or Enterprise with full- text search Windows SharePoint Services 3.0 SP1 or Service Pack 2 (SP2).NET Framework 3.0 features.net Framework 3.5 SP1 Windows SharePoint Services 3.0 Language Pack Same as FIM Portal 9
FIM Infrastructure 10
Reviews FIM Criteria based groups Manager based groups Manual groups Authorizations Effective Rights? > 8man 11
Demo 12
Q&A Andreas Fuhrmann SKyPRO AG andreas.fuhrmann@skypro.ch 13
Unpublished Work of SKyPRO, All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of SKyPRO. Access to this work is restricted to SKyPRO employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of SKyPRO. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. SKyPRO makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for SKyPRO products remains at the sole discretion of SKyPRO. Further, SKyPRO reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All SKyPRO marks referenced in this presentation are trademarks or registered trademarks of SKyPRO in Switzerland and other countries. All third-party trademarks are the property of their respective owners.