مدیریت هویت در شبکه

ابزارهای زیادی برای مدیریت مدت‌ زمان فعال بودن هویت یک شخص در شبکه وجود دارد. مایکروسافت نیز در این بازار نماینده‌ای به نام Forefront Identity Manager 2010 دارد که با وجود قابلیت‌های قدرتمندش، نقاط ضعفی نیز دارد.

فورفرانت با ویژگی‌هایی که دارد خود را از بقیه رقیبان خود جدا کرده است: به کاربران اجازه می‌دهد کار‌های گوناگونی را به وسیله یک پورتال تحت وب انجام دهند، با استانداردهای حال حاضر تطابق کامل دارد و به آن اجازه می‌دهد با هر سیستم دیگری کار کند.

برای مثال کاربران می‌توانند رمز عبور خود را به وسیله سیستم log on ویندوز خود عوض کنند. بعلاوه می‌توانند عضویت گروهی خود را به وسیله یک سایت اینترانتی که از عضویت در گروه‌های محدود نیز پشتیبانی می‌کند و نیاز به تأییدیه مدیر شبکه دارد، مدیریت کنند.

در پشت صحنه، فورفرانت به مدیریت کارهایی مانند اطلاعات کدگذاری شده مانند certificate‌ها، کارت‌های هوشمند، مدت زمان فعال بودن کاربران و طول عمر حساب آنها می‌پردازد، اما کاربر فقط یک رابط کاربری زیبا و ساده را در مقابل خود می‌بیند.

رویکرد فورفرانت به مدیریت هویت این است که کارمندان، نقش آنها و در نهایت اختیارات آنها باید تحت پوشش سیاست‌های سازمان و شبکه باشد. مدیرانی که با Group Policy ویندوز آشنا هستند از این رویکرد استقبال می‌کنند. این سیاست‌ها همان قوانینی هستند که شما به عنوان مدیر شبکه به وجود می‌آورید تا تعیین کنید کاربران در شبکه چه اختیاراتی دارند و مجاز به انجام چه کارهایی هستند.

برای مثال، وقتی یک کاربر جدید در شبکه ثبت می‌شود، با توجه به تاریخ استخدام، موقیعت شغلی یا مقام، محل کار و عوامل دیگر عضو یکی از گروه‌ها می‌شود که سیاست مختص به آن گروه در خصوص این کاربر جدید نیز اعمال می‌شود. همین قانون در سیستم کارت‌های هوشمند و قسمت مالی نیز توسط سیستم تحت وب اعمال می‌شود و اطلاعات لازم به کارت هوشمند کاربر وارد شده و با سیستم امنیتی ساختمان هماهنگ می‌شود تا کاربران در مکان‌هایی که اجازه ندارند وارد نشوند. در آخر یک پیغام به قسمت منابع انسانی سازمان فرستاده می‌شود و از سوی منابع انسانی نیز اطلاعات لازم به کاربر جدید داده می‌شود.

سیاست‌های مشابهی نیز برای مثلا مرخصی‌های خاص که برای دوره زمانی خاصی اختیارات کاربر لغو می‌شود، پست‌های الکترونیکی درون سازمانی‌اش به نشانی دیگری انتقال می‌یابد و حقوق و سایر خدمات دیگر را نیز تحت پوشش خود قرار می‌دهد، به کار می‌رود. اما مهم‌ترین مسأله امنیتی، توانایی مدیریت کاربرانی است که از سازمان جدا شده‌اند که باید در این حالت، دسترسی آنها قطع شود و کاربر را از گروه‌های امنیتی حذف کنند و به صورت دقیق مراحل مالی طی شود. سیاست‌ها در فورفرانت می‌تواند براحتی این کارها را وقتی یکی از این اتفاقات یا هر اتفاق دیگری که شما تعیین کنید رخ دهد.

این سیاست‌های تعیین شده در نهایت توسط Windows Work Flow که بخشی از Net.Framework 3.5 است مدیریت می‌شوند. ورک فلو پایگاهی مناسب برای انواع شرایط پیچیده و حالت‌های مختلف به وجود می‌آورد. اگر شما قوانین گروه‌هایتان را توسط ورک فلو ساخته‌اید، می‌توانید براحتی آنها را به فورفرانت انتقال دهید و آنها را از همانجا مدیریت و در وقت صرفه‌جویی کنید. اگر برنامه‌نویسان خوبی در اختیار دارید نیز می‌توانید با استفاده از
Visual Studio این قوانین را در ورک فلو به وجود آورید و بعد آنها را به فورفرانت انتقال دهید.

هسته هر ابزار برای مدیریت هویت، توانایی نگهداری چند سیستم است که معمولا بر پایگاه‌های مختلفی که دارای سیستم‌های متفاوتی هستند و پایگاه داده‌های گوناگونی دارند، راه‌اندازی شده‌اند و اطلاعات آنها باید تا حد ممکن با یکدیگر هماهنگ باشند. هدف ما این است که با ایجاد تغییر روی یکی از سیستم‌ها، این تغییر روی بقیه سیستم‌ها به طور دقیق و به صرفه هماهنگ شود.

نسخه نمونه قبلی فورفرانت، که Microsoft Identity Lifecycle Manager 2007 نام داشت، این کار را بخوبی بین سیستم‌های مایکروسافتی انجام می‌داد. فورفرانت گامی‌ فراتر برمی‌دارد و از هماهنگی سیاست‌ها و پایگاه داده‌های سیستم‌هایی مانند Novell eDirectory Sun Directory Server Lotus Notes SQL Server Oracle Exchange Active Directory SAP اطمینان حاصل می‌کند.

هسته فورفرانت که یک سیستم هماهنگ‌کننده است، داده‌هایی که به آن وارد یا از آن خارج می‌شود را مدیریت و آنها را با سیستم‌های مورد نظر هماهنگ می‌کند و در بیشتر موارد این کار را با استفاده از پشتیبانی مستقیم هر سیستم از API استاندارد انجام می‌دهد. یعنی در واقع شما به نرم‌افزار یا چیز اضافه برای این کار نیاز ندارید.

خوبی این مدل هماهنگی، این است که تغییرات، حتی اگر در سیستم فورفرانت نیز رخ ندهد، اگر فورفرانت از وجود آن سیستم با خبر باشد، این تغییرات به صورت اتوماتیک در سیستم‌های دیگر نیز به وجود می‌آید. یعنی اگر شما یک رمز عبور را در Active Directory تغییر دهید یا کاربری را از سیستم حذف کنید، فورفرانت این تغییر را بسرعت به سیستم‌های دیگر انتقال می‌دهد. البته سرعت انتقال به عواملی مانند سرعت لینک شبکه، درگیری سیستم و عوامل دیگر بستگی دارد؛ اما این زمان در حد چند دقیقه است.

یکی از توانایی‌های خاص فورفرانت 2010 تخصیص توانایی‌های ساده به کاربران است که آنها را از درگیری مدیر شبکه بی‌نیاز می‌کند. کارهایی مانند تغییر رمز عبور و عضویت در گروه‌ها، توسط پورتال تحت وب فورفرانت فراهم آورده شده است که کاربر به تنهایی می‌تواند این اطلاعات را مدیریت کند. این ویژگی هم از نظر اقتصادی و هم از نظر زمانی باعث صرفه‌جویی می‌شود.

با این که فورفرانت همان‌گونه که انتظار می‌رفت خواسته‌های ما را بر آورده می‌کند، اما بزرگ‌ترین ضعف آن قیمت نسبتا گران آن است که با توجه به لایسنس تعداد سرور و کلاینت سنجیده می‌شود. به ازای هر سرور 15000 دلار و به ازای هر کلاینت 18 دلار باید پرداخت کنیم.

فورفرانت توانایی‌های مدیریتی خاصی در اختیارمان می‌گذارد که به ما اجازه می‌دهد کاربران و هویت‌شان را که به سازمان اضافه می‌شوند، به صورت خودکار مدیریت کنیم و در وقت و هزینه صرفه‌جویی قابل توجهی صورت دهیم. این ویژگی‌ها از لحاظ امنیتی نیز کمک فراوانی می‌کند. با چشمپوشی از هزینه بالای آن، یکی از بهترین راه‌حل‌های برای راحتی مدیریت هویت در شبکه است.

محمدعلی زارعی‌فر

منبع: http:‌/‌‌/‌www.computerworld.com‌