ابزارهای زیادی برای مدیریت مدت زمان فعال بودن هویت یك شخص در شبكه وجود دارد. مایكروسافت نیز در این بازار نمایندهای به نام Forefront Identity Manager 2010 دارد كه با وجود قابلیتهای قدرتمندش، نقاط ضعفی نیز دارد.
فورفرانت با ویژگیهایی كه دارد خود را از بقیه رقیبان خود جدا كرده است: به كاربران اجازه میدهد كارهای گوناگونی را به وسیله یك پورتال تحت وب انجام دهند، با استانداردهای حال حاضر تطابق كامل دارد و به آن اجازه میدهد با هر سیستم دیگری كار كند.
برای مثال كاربران میتوانند رمز عبور خود را به وسیله سیستم log on ویندوز خود عوض كنند. بعلاوه میتوانند عضویت گروهی خود را به وسیله یك سایت اینترانتي كه از عضویت در گروههای محدود نیز پشتیبانی میكند و نیاز به تأییدیه مدیر شبكه دارد، مدیریت كنند.
در پشت صحنه، فورفرانت به مدیریت كارهایی مانند اطلاعات كدگذاری شده مانند certificateها، كارتهای هوشمند، مدت زمان فعال بودن كاربران و طول عمر حساب آنها میپردازد، اما كاربر فقط یك رابط كاربری زیبا و ساده را در مقابل خود میبیند.
مدیریت سیاستها
رویكرد فورفرانت به مدیریت هویت این است كه كارمندان، نقش آنها و در نهایت اختیارات آنها باید تحت پوشش سیاستهای سازمان و شبكه باشد. مدیرانی كه با Group Policy ویندوز آشنا هستند از این رویكرد استقبال میكنند. این سیاستها همان قوانینی هستند كه شما به عنوان مدیر شبكه به وجود میآورید تا تعیین كنید كاربران در شبكه چه اختیاراتی دارند و مجاز به انجام چه كارهایی هستند.
برای مثال، وقتی یك كاربر جدید در شبكه ثبت میشود، با توجه به تاریخ استخدام، موقیعت شغلی یا مقام، محل كار و عوامل دیگر عضو یكی از گروهها میشود كه سیاست مختص به آن گروه در خصوص این كاربر جدید نیز اعمال میشود. همین قانون در سیستم كارتهای هوشمند و قسمت مالی نیز توسط سیستم تحت وب اعمال میشود و اطلاعات لازم به كارت هوشمند كاربر وارد شده و با سیستم امنیتی ساختمان هماهنگ میشود تا كاربران در مكانهایی كه اجازه ندارند وارد نشوند. در آخر یك پیغام به قسمت منابع انسانی سازمان فرستاده میشود و از سوی منابع انسانی نیز اطلاعات لازم به كاربر جدید داده میشود.
سیاستهای مشابهی نیز برای مثلا مرخصیهای خاص كه برای دوره زمانی خاصی اختیارات كاربر لغو میشود، پستهای الكترونیكی درون سازمانیاش به نشانی دیگری انتقال مییابد و حقوق و سایر خدمات دیگر را نیز تحت پوشش خود قرار میدهد، به كار میرود. اما مهمترین مسأله امنیتی، توانایی مدیریت كاربرانی است كه از سازمان جدا شدهاند كه باید در این حالت، دسترسی آنها قطع شود و كاربر را از گروههای امنیتی حذف كنند و به صورت دقیق مراحل مالی طی شود. سیاستها در فورفرانت میتواند براحتی این كارها را وقتی یكی از این اتفاقات یا هر اتفاق دیگری كه شما تعیین كنید رخ دهد.
این سیاستهای تعیین شده در نهایت توسط Windows Work Flow كه بخشی از Net.Framework 3.5 است مدیریت میشوند. ورك فلو پایگاهی مناسب برای انواع شرایط پیچیده و حالتهای مختلف به وجود میآورد. اگر شما قوانین گروههایتان را توسط ورك فلو ساختهاید، میتوانید براحتی آنها را به فورفرانت انتقال دهید و آنها را از همانجا مدیریت و در وقت صرفهجویی كنید. اگر برنامهنویسان خوبی در اختیار دارید نیز میتوانید با استفاده از
Visual Studio این قوانین را در ورك فلو به وجود آورید و بعد آنها را به فورفرانت انتقال دهید.
هماهنگی دادهها
هسته هر ابزار برای مدیریت هویت، توانایی نگهداری چند سیستم است كه معمولا بر پایگاههای مختلفی كه دارای سیستمهای متفاوتی هستند و پایگاه دادههای گوناگونی دارند، راهاندازی شدهاند و اطلاعات آنها باید تا حد ممكن با یكدیگر هماهنگ باشند. هدف ما این است كه با ایجاد تغییر روی یكی از سیستمها، این تغییر روی بقیه سیستمها به طور دقیق و به صرفه هماهنگ شود.
نسخه نمونه قبلی فورفرانت، كه Microsoft Identity Lifecycle Manager 2007 نام داشت، این كار را بخوبی بین سیستمهای مایكروسافتی انجام میداد. فورفرانت گامی فراتر برمیدارد و از هماهنگی سیاستها و پایگاه دادههای سیستمهایی مانند Novell eDirectory Sun Directory Server Lotus Notes SQL Server Oracle Exchange Active Directory SAP اطمینان حاصل میكند.
هسته فورفرانت كه یك سیستم هماهنگكننده است، دادههایی كه به آن وارد یا از آن خارج میشود را مدیریت و آنها را با سیستمهای مورد نظر هماهنگ میكند و در بیشتر موارد این كار را با استفاده از پشتیبانی مستقیم هر سیستم از API استاندارد انجام میدهد. یعنی در واقع شما به نرمافزار یا چیز اضافه برای این كار نیاز ندارید.
خوبی این مدل هماهنگی، این است كه تغییرات، حتی اگر در سیستم فورفرانت نیز رخ ندهد، اگر فورفرانت از وجود آن سیستم با خبر باشد، این تغییرات به صورت اتوماتیك در سیستمهای دیگر نیز به وجود میآید. یعنی اگر شما یك رمز عبور را در Active Directory تغییر دهید یا كاربری را از سیستم حذف كنید، فورفرانت این تغییر را بسرعت به سیستمهای دیگر انتقال میدهد. البته سرعت انتقال به عواملی مانند سرعت لینك شبكه، درگیری سیستم و عوامل دیگر بستگی دارد؛ اما این زمان در حد چند دقیقه است.
تواناییهای كاربر
یكی از تواناییهای خاص فورفرانت 2010 تخصیص تواناییهای ساده به كاربران است كه آنها را از درگیری مدیر شبكه بینیاز میكند. كارهایی مانند تغییر رمز عبور و عضویت در گروهها، توسط پورتال تحت وب فورفرانت فراهم آورده شده است كه كاربر به تنهایی میتواند این اطلاعات را مدیریت كند. این ویژگی هم از نظر اقتصادی و هم از نظر زمانی باعث صرفهجویی میشود.
مشكلات
با این كه فورفرانت همانگونه كه انتظار میرفت خواستههای ما را بر آورده میكند، اما بزرگترین ضعف آن قیمت نسبتا گران آن است كه با توجه به لایسنس تعداد سرور و كلاینت سنجیده میشود. به ازای هر سرور 15000 دلار و به ازای هر كلاینت 18 دلار باید پرداخت كنیم.
نتیجه
فورفرانت تواناییهای مدیریتی خاصی در اختیارمان میگذارد كه به ما اجازه میدهد كاربران و هویتشان را كه به سازمان اضافه میشوند، به صورت خودكار مدیریت كنیم و در وقت و هزینه صرفهجویی قابل توجهی صورت دهیم. این ویژگیها از لحاظ امنیتی نیز كمك فراوانی میكند. با چشمپوشی از هزینه بالای آن، یكی از بهترین راهحلهای برای راحتی مدیریت هویت در شبكه است.
محمدعلی زارعیفر
