En este capítulo se explica la finalidad de SunTM Identity Manager y se destacan las características principales de la aplicación. También se describen brevemente otros productos de administración de identidades de Sun.
Este capítulo contiene los temas siguientes:
Sun Identity Manager permite automatizar el proceso de creación, actualización y eliminación de cuentas de usuario en múltiples sistemas de TI. En conjunto, este proceso se denomina abastecimiento (es decir, crear y actualizar cuentas de usuario) y desabastecimiento (eliminar cuentas de usuario).
Por ejemplo, cuando un empleado se incorpora a una empresa, Identity Manager ejecuta un flujo de trabajo que recupera las aprobaciones necesarias para conceder acceso al empleado. Una vez obtenidas estas aprobaciones, Identity Manager crea cuentas para el empleado en el sistema de recursos humanos de la empresa (PeopleSoft), el sistema de correo electrónico (Microsoft Exchange) y la aplicación de empresa (SAP). Si el empleado cambia de puesto en la empresa, Identity Manager actualiza su cuenta de usuario y amplía su acceso a los recursos necesarios para su nuevo rol. Por último, si el empleado deja de trabajar en la empresa, Identity Manager suprime automáticamente sus cuentas de usuario para impedir que siga accediendo.
Identity Manager también puede imponer directivas de auditoría continuadamente. Una directiva de auditoría determina qué tipos de acceso puede tener y no tener un usuario. Por ejemplo, en Estados Unidos se infringe la ley Sarbanes-Oxley (SOX) si el mismo usuario tiene acceso tanto a los sistemas de cuentas por pagar y cuentas por cobrar. Se considera una infracción de la separación de deberes. Identity Manager puede realizar una exploración de auditoría para buscar diversas infracciones de estos tipos y, según la configuración, suprimir automáticamente el acceso o enviar una notificación a un administrador cuando detecte una infracción. Este proceso se denomina remediación.
En Identity Manager, las aplicaciones administradas y otros sistemas de TI se denominan recursos. Identity Manager utiliza adaptadores o bien conectores para interactuar con los recursos.
Los adaptadores y los conectores se instalan en el servidor de Identity Manager. (Identity Manager no requiere la instalación de software especial (denominado agentes) en los recursos de destino.) Existen muchos adaptadores y conectores para Identity Manager, pero además es posible crear otros nuevos para comunicarse prácticamente con cualquier recurso mediante protocolos estándar o interfaces de programación de aplicaciones (API) conocidas. Con Identity Manager se suministran varios adaptadores y conectores para comunicarse con muchos de los recursos más frecuentes. Además, hay disponibles plantillas y código básico que sirven de ayuda a los programadores para crear más adaptadores y conectores.
La comunicación directa con algunos recursos no es posible, en cuyo caso hay que usar la puerta de enlace de Sun Identity Manager. Entre los ejemplos de recursos que requieren la puerta de enlace hay productos de Microsoft como Exchange y Windows Active Directory, productos de Novell como eDirectory (antes Netware Directory Services) y varios más. En estos casos, Identity Manager se comunica directamente con la puerta de enlace, que a su vez interactúa con el recurso.
Encontrará una lista de recursos compatibles con Identity Manager en la sección Recursos admitidos de Notas de la versión de Sun Identity Manager 8.1 .
Identity Manager tiene una interfaz de usuario (IU) para los administradores y otra para los usuarios finales. Los administradores y los usuarios finales utilizan un navegador web para iniciar la sesión en Identity Manager.
Los administradores utilizan la interfaz de administración para administrar usuarios, configurar y asignar recursos, definir derechos y niveles de acceso, establecer directivas de auditoría, gestionar el cumplimiento y realizar otras funciones administrativas de negocio y de sistema.
Los usuarios finales utilizan la interfaz de usuario final para efectuar diversas tareas de autoservicio, como cambiar contraseñas, configurar respuestas a preguntas de autenticación, solicitar acceso a sistemas de TI y administrar asignaciones delegadas.
Las empresas también pueden utilizar SPML (lenguaje de marcado de abastecimiento de servicios) para crear su propia interfaz de usuario o bien integrar un sistema frontal existente con Identity Manager.
Éstas son otras interfaces de Identity Manager:
La interfaz telefónica IVR (respuesta de voz interactiva), que permite a los usuarios finales realizar funciones de Identity Manager a través del teléfono.
El IDE (entorno de desarrollo integrado) de Identity Manager, que sirve a los desarrolladores para personalizar Identity Manager.
La consola de Identity Manager, una interfaz de línea de comandos para los administradores.
Identity Manager Service Provider es una función de administración de identidades centrada en extranets y altamente escalable que puede abastecer y mantener millones de cuentas de usuario final almacenadas en un servidor de directorios LDAP. Service Provider también es capaz de administrar miles de cuentas de administrador y sincronizar datos de cuenta de LDAP con otros recursos.
Service Provider utiliza un subconjunto de las características y la funcionalidad disponibles en Identity Manager. Por ejemplo, no ofrece funcionalidad de auditoría, ya que no resulta tan útil en los entornos de extranet.
Las diferencias entre la funcionalidad estándar de Identity Manager y la de Service Provider se detallan en la sección Service Provider Features de Sun Identity Manager Service Provider 8.1 Deployment.
Aunque antes se ofrecía como un producto complementario separado, Service Provider ahora forma parte de Identity Manager. No obstante, se necesita una planificación especial para aprovechar la funcionalidad de Service Provider.
Encontrará información sobre la arquitectura de sistema de Identity Manager Service Provider en Fundamentos de la arquitectura de sistema de Identity Manager Service Provider.
Encontrará información para planificar una arquitectura de alta disponibilidad de Identity Manager Service Provider en Arquitectura de alta disponibilidad recomendada de Service Provider.
Encontrará información sobre cómo implementar Identity Manager para aprovechar la funcionalidad de Service Provider en Sun Identity Manager Service Provider 8.1 Deployment .
Además de Identity Manager, otras soluciones de administración de identidades de Sun son Sun JavaTM System Directory Server Enterprise Edition, Sun OpenSSO Enterprise y Sun Role Manager. Son productos complementarios para Identity Manager y, en el caso de Role Manager, pueden ampliar la funcionalidad de Identity Manager.
Sun Java System Directory Server Enterprise Edition es un almacén de datos LDAP escalable y de alto rendimiento para información de identidades. Directory Server Enterprise Edition proporciona servicios de directorio principales y otros servicios de datos complementarios. Entre las ofertas de servicios de directorio de la competencia están Active Directory de Microsoft y eDirectory de Novell.
Sun OpenSSO Enterprise (antes Sun Java System Access Manager y Sun Java System Federation Manager) centraliza e impone una directiva de seguridad completa para las aplicaciones y los servicios web internos y externos. Proporciona funcionalidad de control de acceso seguro y centralizado junto con inicio de sesión único (SSO). También ofrece administración de identidades federadas, que permite compartir aplicaciones con empresas que tienen tecnologías diferentes de servicios de directorio, seguridad y autenticación. Los socios federados deben mantener una confianza mutua para autenticar a sus respectivos usuarios y responder de sus derechos de acceso a los servicios.
Sun Role Manager (antes Vaau RBACx) simplifica el cumplimiento de control de acceso mediante la administración del acceso basándose en los roles del usuario dentro de la empresa, en lugar de basarse individualmente en cada usuario. La creación de roles basados en directivas de uso y de empresa permite a las compañías disfrutar de mayor visibilidad sobre el acceso y gestionarlo de una forma más eficiente, segura y conforme.