Fazer de PDF
Contents
1. ii iireeeeereeererereeeeaenanaaarereanaaneaaareresneaaaaaarereseneaaaanarereana Como planejar a recupera o de falhaS us cxssraneaadeaioa aaa aa a aa iara nd aids EEN E A Caiado sad nanda Definir requisitos da recupera o de falhas Desenvolver uma arquitetura redundante mssciissciinsisssrsonniniiei vaian aanren eia kan asee Kar Eae e a KANA NARKS EEEa Servidores alternativos do CA IdentityMinder sssesssssssssesssersrerssserrerersssnsrrrensrsssrererenssserrerensssnererenssssserrete 102 Componentes alternativos de provisionamento esssssssssesssrssseserrrersssssrernrtesssrrntrrnssserrrrennssnsrernnsnnsseenennnsnn 103 Bancos de dados redundantes Desenvolver planos de backup Desenvolver procedimentos de restaura o Restaurar o reposit rio de usu rios do CA IdentityMinder esssssssssssssessrsrssensrerersssnsrerersssssrererenssserrerensssnsne 105 Restaurar os bancos de dados do CA lIdentityMinder ssssssssesssnnsssssssernrsrsseeererrnsssnsrrrennssnsrernrensssnnernnssnnnne 106 Restaurar o Reposit rio de pol ticas do SiteMinder esssssssssensserssssssssersrrrsssesrerensssnsrererssssseererenssserrerensssnnne 106 Restaurar o Servidor do CA IdentityMinder Restaurar um diret rio e servidor de provisionamento Restaurar servidores de conectores s serra cereereanerrananaaereanaarea anna eraaanaa area iidne saiivd pereat idi adiando Restaurar um servidor de r2. Em cada um edite as propriedades do pool de conex es para definir as conex es m ximas para 128 Ajuste dos componentes de tempo de execu o Ajuste do WebLogic Nos servidores de aplicativos do WebLogic os Queue Connection Factories obt m segmentos de manipula o de conex o do Pool de segmentos JMS do servidor ou do pool de execu es padr o dependendo do tamanho do Pool de segmentos JMS Se o tamanho do Pool de segmentos JMS for 0 o WebLogic usar os segmentos no pool de execu es recomend vel definir o n mero de segmentos do Pool de segmentos JMS para ser igual ao tamanho m ximo do Pool de beans do Message Driven Bean de eventos do CA IdentityMinder que definido para 128 por padr o Voc pode usar o Console do servidor do WebLogic para definir o tamanho do Pool de segmentos JMS nas propriedades dos Servi os JMS para o dom nio e servidor onde o CA IdentityMinder est instalado O tamanho do pool do Message Driven Bean de eventos do CA IdentityMinder definido pela modifica o da configura o max beans in free pool no arquivo descritor no seguinte local WebLogic homeldomaintapplicationsiam im earlidentityminder ejb jarIMETA IN Fiweblogic ejb jar xml lt weblogic enterprise bean gt lt ejb name gt SubscriberMessageEJB lt ejb name gt lt message driven descriptor gt lt pool gt lt max beans in free pool gt 128 lt max beans in free pool gt lt initial beans in free pool gt 16 lt initi
3. Diretrizes para otimiza o de tarefas ia sen ecatacensasamnsttacadaso dumiltaro CaRloada VdRN an a Caa aae a ana ia aa pasa a ua densa Diretrizes para otimiza es de administrador integrante do grupo iiceeerereaeereeereneeeeerereneeeenrereneeenato 83 Otimiza es de pol tica de identidade Como usu rios e pol ticas de identidade s o sincronizados Criar pol ticas de identidade eficientes irierereeeeeeeeerereeeeeanaatere rena a ad aiaa Eiaa 87 Limitar as tarefas que disparam a sincroniza o de usu rios sssssssrersssssserersssssrrrerrrsssnrrerensssesrerensssssrerent 88 Otimizar avalia o de regra da pol tica de identidade re ereeeeeeeeneerereraeeeaaeaareerennenananneo 89 Ajuste do reposit rio de usu rios sesesssessserissssserereressseerrrresssssee Ajuste de componentes do provisionamento Ajuste dos componentes de tempo de execu o cireerereeeereeaeererereneaaanaaaereeeeaaaanaaarereenaanaeaarereannaana 91 Ajuste dos bancos de dados do CA IdentityMinder is rrrereeereererererereraanearerereneneanaaaereresanaanna 92 Configura es do JMS ses sserunae ent sisnra na area aa ea E a UT GG T O E SE E GA q a 93 Ajustando o desempenho do JBoss 5 ii iieeeeeerererereeaaaaeerereraaeaaaaaane cera a aaa ren aE a a 97 Cap tulo 7 Criando um plano de recupera o de falhas 99 Perda de servi o a partir de uma falha
4. Os conectores s o instalados no Servidor de conectores e alguns componentes s o instalados no Servidor de provisionamento por exemplo plugin do Servidor ou no Gerenciador de provisionamento plugins de interface de usu rio Alguns conectores exigem um agente nos sistemas que eles gerenciam para concluir o ciclo de comunica o nesse caso eles podem ser instalados usando o Instalador de provisionamento Os agentes podem ser separados nas categorias a seguir Agentes remotos Instalados em sistemas de terminal gerenciados Agentes de ambiente Instalados em sistemas como CA ACF2 CA Top Secret e RACF Determinados componentes funcionam no Unix e no Windows incluindo as seguintes op es que se baseiam no C Connector Server m UNIX ETC NIS m Controle de acesso ACC Observa o o conector UNIX ACC pode gerenciar apenas terminais UNIX ACC O conector Windows ACC necess rio para gerenciar os terminais do Windows ACC mas tamb m pode gerenciar terminais do UNIX ACC m CA ACF2 m RACF m CA Top Secret Os outros conectores que t m como base o C Connector Server podem ser acessados no Servidor de provisionamento Solaris contando com a CSF Connector Server Framework estrutura do servidor do conector A CSF permite um Servidor de provisionamento no Solaris para se comunicar com os conectores em execu o no Windows Observa o a CSF deve ser executada no Windows para usar esses conectores 36 Guia de Imp
5. o exemplo de uma instala o do CA IdentityMinder com provisionamento Ferramentas administrativas Metadados Auditoria Persist ncia Objetos e tarefas Reposit rio de usu rios instant neos Fluxo de 1 arquivamento trabalho Sun Java Systems Directory Server 40 Guia de Implementa o Exemplo de instala es do CA IdentityMinder Instala o com Servidor de pol ticas do SiteMinder Um Servidor de pol ticas do SiteMinder fornece autentica o e prote o avan adas para seu ambiente do CA IdentityMinder A figura a seguir o exemplo de uma instala o do CA IdentityMinder com um Servidor de pol ticas do SiteMinder Diret rio de provisionamento Servidor de pol ticas do SiteMinder Extens es do servidor de pol ticas Bancos de dados SQL Server Reposit rio de usu rios Reposit rio de pol ticas IBM Directory AD LDS no Server Windows Uma implementa o do CA IdentityMinder que inclui o SiteMinder engloba todos os componentes da instala o b sica ou da instala o com provisionamento al m destes componentes adicionais Agente web do SiteMinder Funciona com o Servidor de pol ticas do SiteMinder para proteger o Console de usu rio O Agente web est instalado no sistema com o Servidor do CA IdentityMinder Servidor de pol ticas do SiteMinder Fornece autentica o e autoriza o avan adas para o CA IdentityMin
6. es de tarefa m Um usu rio acessa uma guia de relacionamento Um guia de relacionamento qualquer guia em que um usu rio pode exibir ou gerenciar um relacionamento um para muitos entre a entidade da tarefa e um conjunto de direitos Um exemplo de uma guia de relacionamento a guia Fun es administrativas que exibe as fun es que um usu rio tem m Um usu rio adiciona objetos em uma guia de relacionamento Por exemplo o CA IdentityMinder executa verifica es de seguran a adicionais quando um usu rio adiciona mais fun es para outro usu rio na guia Fun es administrativas O desempenho da tarefa afetado pelo seguinte m Escopo da tarefa que determina onde um administrador pode usar uma tarefa m Guias de relacionamento que exibem um relacionamento do objeto com outros objetos Avalia o e desempenho do escopo da tarefa Quando um administrador usa uma tarefa administrativa que envolva procurar um objeto gerenciado como um usu rio grupo organiza o tarefa ou fun o o CA IdentityMinder avalia e aplica as regras do escopo da tarefa Essas regras podem afetar significativamente o tempo que o CA IdentityMinder leva para exibir a lista de objetos a serem selecionados para a tarefa Observa o diferentemente das avalia es de pol tica de integrante administrativa e de propriet rio as informa es sobre avalia es de regra de escopo n o s o armazenadas em um cache O escopo da tarefa determina
7. Access Role where Name Development 3 Group R where Group Name Product Team 3 O where Department Engineering 3 Provisioning Role where Name Employee 3 User where City Boston 3 Access Role where Name Development 3 Group where Group Name Product Team 3 gt where Department Human Resources 3 Provisioning Rola where Name Employee 3 User where City Boston 3 ccess Role where Name Development 3 Group o f where Group Name Product Team where Department Administration Provisioning Role where Name Employee 3 User where City Boston 3 74 Guia de Implementa o Otimiza es de fun o Nesse exemplo CA IdentityMinder cria os objetos e executa as buscas no reposit rio de usu rios descritas na tabela a seguir ao avaliar e aplicar a pol tica de integrante Regra Regra de integrante onde Departamento Administra o Escopo do usu rio Cidade Boston Escopo do grupo Nome do grupo Equipe do produto Escopo da fun o de provisionamento Nome Funcion rio Escopo da tarefa de acesso Nome Desenvolvimento Regra de integrante onde Departamento Engenharia Escopo do usu rio Cidade Boston Escopo do grupo Nome do grupo Equipe do produto Escopo da fun o de provisionamento Nome Funcion rio Escopo da tarefa de acesso Nome Desenvolvimento Regra
8. Esta se o descreve os m todos para a execu o de pol ticas de identidade dos usu rios importados em uma ou duas etapas Abordagem de uma etapa poss vel usar os seguintes m todos de importa o para executar pol ticas de identidade em usu rios que voc importa em um novo reposit rio de usu rios em uma nica etapa m Carregador de itens em massa no Console de usu rio m Execu o da tarefa Criar usu rio por meio do TEWS m Sincroniza o de entrada Abordagem em duas etapas Usando uma abordagem de duas etapas primeiramente voc importa usu rios e em seguida executa pol ticas de identidade nesses usu rios poss vel usar esse m todo quando o CA IdentityMinder gerencia usu rios no Servidor de provisionamento Esse m todo pode fornecer mais flexibilidade dependendo dos seus requisitos de importa o 1 Use uma das ferramentas de importa o para adicionar usu rios no Diret rio de provisionamento 2 Chame a tarefa Sincronizar usu rios do CA IdentityMinder por meio do TEWS em cada um dos usu rios importados Cap tulo 4 Planejando sua implementa o 57 Escolher um m todo de importa o de usu rios Importar usu rios por meio do Servidor de provisionamento O Servidor de provisionamento inclui op es de importa o em massa para adicionar e gerenciar usu rios no Diret rio de provisionamento As tabelas a seguir descrevem os m todos para importar os usu rios no Diret rio de provis
9. Processando altera es nos neg cios Voc pode automatizar o processamento de determinadas tarefas de gerenciamento de identidades usando pol ticas de identidade Uma pol tica de identidade um conjunto de altera es nos neg cios que ocorrem quando um usu rio atende a uma determinada condi o ou uma regra poss vel usar conjuntos de pol ticas de identidade para m Automatizar determinadas tarefas de gerenciamento de identidade como a atribui o de fun es e associa o ao grupo aloca o de recursos ou modifica o dos atributos de perfil do usu rio m Aplicar a segrega o de tarefas na p gina 26 Por exemplo voc pode criar um conjunto de pol ticas de identidade que pro be os integrantes da fun o de Signat rio de cheques de ter a fun o de Aprovador de cheques e impedir que qualquer pessoa na empresa preencha um cheque de mais USS 10 000 m Aplicar conformidade Por exemplo voc pode auditar usu rios que tenham um determinado cargo e ganhem mais de US S 100 000 As pol ticas de identidade que aplicam conformidade s o chamadas de pol ticas de conformidade As mudan as nos neg cios associadas a uma pol tica de identidade incluem m A atribui o ou revoga o de fun es incluindo fun es de provisionamento quando o CA IdentityMinder inclui provisionamento m A atribui o ou revoga o de associa o de grupo m A atualiza o de atributos de um perfil de usu rio Cap t
10. conclu do ou cancelado m Registrar em log informa es sobre os atributos envolvidos em um evento Por exemplo voc pode registrar em log os atributos que mudam durante um evento ModifyUserEvent m Definir o n vel de auditoria do log de atributos Observa o para obter mais informa es sobre como configurar a auditoria consulte o Guia de Configura o Cap tulo 4 Planejando sua implementa o 49 Decidir requisitos de reposit rio de usu rios Considera es sobre o CA Audit O CA Audit um sistema de gerenciamento de auditoria que permite coletar e armazenar dados relacionados seguran a para auditoria gera o de relat rios verifica o de conformidade e monitoramento de eventos Para realizar a integra o com o CA Audit instale o componente iRecorder ao instalar o Servidor do CA IdentityMinder O iRecorder recupera eventos do CA IdentityMinder Com base nas pol ticas do Gerenciador de pol ticas do CA Audit o iRecorder ignora o evento ou o roteia pelo CA Audit Decidir requisitos de reposit rio de usu rios Uma implementa o do CA IdentityMinder deve incluir um reposit rio de usu rios que contenha as identidades de usu rios que o CA IdentityMinder mant m Normalmente esse um reposit rio de usu rios existente que uma empresa usa para armazenar informa es sobre seus usu rios como funcion rios e clientes Se a sua implementa o incluir provisionamento o CA IdentityMinder tamb m
11. gios aos usu rios atribuindo fun es Uma fun o cont m tarefas que correspondem s fun es do aplicativo no CA IdentityMinder como a tarefa Criar usu rio s fun es em um aplicativo por exemplo Criar pedido de compra ou a modelos de conta que fornecem as contas de usu rios como a conta SAP Quando uma fun o atribu da aos usu rios eles recebem os privil gios correspondentes O CA IdentityMinder oferece os seguintes tipos de fun o m Fun es de gerenciamento de usu rios que s o chamadas de fun es administrativas As fun es administrativas tamb m podem incluir qualquer tarefa que aparecer no console de usu rio m Fun es de atribui o de contas que s o chamadas de fun es de provisionamento m Fun es de funcionamento de aplicativo que s o chamadas de fun es de acesso Se voc remover uma tarefa ou um modelo de conta de uma fun o o usu rio n o poder mais executar essa tarefa usar uma conta do terminal ou usar uma fun o de aplicativo Fun es administrativas 10 Guia de Implementa o As fun es administrativas controlam o que um usu rio pode fazer no CA IdentityMinder Um administrador do sistema atribui uma fun o a um usu rio essa fun o define um conjunto de tarefas que o usu rio pode executar Os usu rios podem executar tarefas administrativas em contas de usu rio como alterar uma senha ou atualizar um t tulo da tarefa Usu rios distintos t m
12. para obter mais informa es sobre esses m todos consulte o Guia de Administra o e o Guia de Programa o do Java As pol ticas de identidade s o uma forma eficaz de atribuir direitos no CA IdentityMinder No entanto elas podem afetar o desempenho de modo significativo na p gina 85 Para a implanta o inicial das tarefas do usu rio considere remover ou ocultar as guias de relacionamento como as guias Fun es que gerenciam os mesmos direitos que as pol ticas de identidade Isso evita o risco de direitos n o autorizados e impede o poss vel impacto de desempenho de fun es constru das inadequadamente Observa o para obter mais informa es sobre pol ticas de identidade consulte o Guia de Administra o Implantar aprova es de fluxo de trabalho As aprova es de fluxo de trabalho pode adicionar um n vel adicional de seguran a e automa o para sua implementa o do CA IdentityMinder Implantar aprova es de fluxo de trabalho exige as seguintes tarefas 1 2 62 Guia de Implementa o Decida quais eventos ou tarefas exigem aprova es Defina o conjunto de aprovadores participantes chamados para cada processo de fluxo de trabalho Observa o todos os participantes s o determinados dinamicamente pelo resolvedores participantes Para manter um bom desempenho limite o n mero de participantes a trinta usu rios Configure formul rios de aprova o Defina processos de fluxo d
13. rio para atender s necessidades de neg cios em constante mudan a Geralmente esses recursos geram o volume m ximo de tarefas que o CA IdentityMinder processa regularmente Por esse motivo eles fornecem uma maneira de testar a escalabilidade da sua implementa o antes de implantar recursos adicionais Para implantar tarefas de autoatendimento execute as seguintes etapas 1 Configure a tarefa de autorregistro Essa uma tarefa p blica que ativada por padr o durante a instala o Para configurar essa tarefa adicione ou remova campos na tarefa de autorregistro padr o conforme necess rio Implante a fun o Autogerenciador A regra de integrante para essa fun o deve estar configurada para ser aplicada a todos os usu rios ou deve incluir uma regra de integrante que atribua automaticamente a fun o aos novos usu rios Por exemplo voc pode criar uma regra de integrante que atribua a fun o Autogerenciador a todos os funcion rios de tempo integral Quando um usu rio se autorregistra o CA IdentityMinder pode definir o tipo de funcion rio para tempo integral usando um manipulador de atributos l gicos ou o manipulador de tarefas de neg cios O usu rio atenda aos crit rios da regra de integrante e recebe automaticamente a fun o Autogerenciador Observa o ao configurar as regras de integrante para a fun o Autogerenciador n o permita que os administradores adicionem ou removam integrantes da
14. suporte a at 10 000 contas provisionadas Observa o esse tipo de implementa o n o oferece suporte a implementa es de produ o B sica Uma implementa o de alta disponibilidade que adequada para a maioria das implementa es de pequeno e m dio porte Uma implanta o b sica oferece suporte a at 400 000 contas provisionadas Esse tipo de implementa o exige dois servidores para execu o do aplicativo do CA IdentityMinder e seus componentes bem como dois servidores para execu o do banco de dados e do reposit rio de usu rios do CA IdentityMinder Intermedi ria Uma implementa o de alta disponibilidade que adequada para implementa es de tamanho m dio Uma implanta o intermedi ria oferece suporte a at 600 000 contas provisionadas Grandes empresas Uma implementa o de alta disponibilidade que inclui clusters de servidores adicionais para lidar com usu rios adicionais e um grande n mero de transa es Uma implanta o grande oferece suporte a mais de 600 000 contas provisionadas Observa o para obter mais informa es sobre implementa es de alta disponibilidade consulte o Guia de Instala o Cap tulo 4 Planejando sua implementa o 53 Decidir requisitos de hardware Requisitos adicionais de provisionamento Al m dos componentes exigidos para uma implementa o b sica do CA IdentityMinder os seguintes componentes adicionais ser o necess rios quando o CA Ide
15. tica de identidade na p gina 21 que impede que os usu rios tenham determinados privil gios se eles tiverem outros privil gios Por exemplo voc pode proibir a emiss o de verifica es por usu rios que podem aprovar verifica es As pol ticas de conformidade aplicam uma segrega o de tarefas em seu ambiente Relat rios de conformidade O CA IdentityMinder inclui os exemplos de relat rios que exibem o status de conformidade para os usu rios em seu ambiente Ao usar esses relat rios voc pode ver quais usu rios n o est o em conformidade com as pol ticas de neg cios Cap tulo 2 Atendendo s necessidades de neg cios 23 Cumprindo as pol ticas de neg cios Relat rios de conformidade O CA IdentityMinder inclui relat rios de exemplo na tabela a seguir que podem ser usados para monitorar a conformidade com as pol ticas de neg cios corporativas Relat rio Integrantes da fun o Fun es Fun es de tarefas Fun es de usu rios Tend ncia de contas fora do padr o Contas n o padr o Contas rf s Pol ticas 24 Guia de Implementa o Descri o Exibe as fun es no banco de dados de relat rios e lista os integrantes dessas fun es Exibe as seguintes informa es para cada fun o no banco de dados de relat rios m Tarefas associadas fun o m Pol ticas de integrante e integrantes da fun o m Pol ticas de administrador e administradores da fun o m
16. ticas gerenciam as senhas do usu rio aplicando regras e restri es que controlam a validade a composi o e a utiliza o da senha Observa o para pol ticas de senha avan adas configure a integra o com o SiteMinder Para obter mais informa es consulte o Guia de Instala o Gerenciadores de senha administradores que t m a fun o Gerenciador de senha podem redefinir uma senha quando um usu rio liga para o Suporte t cnico Gerenciamento de senha por autoatendimento o CA IdentityMinder inclui v rias tarefas de autoatendimento que permitem que os usu rios gerenciem suas pr prias senhas Essas tarefas incluem m Autorregistro os usu rios especificam uma senha quando se registram em um site corporativo m Alterar minha senha os usu rios podem modificar suas senhas sem a ajuda da equipe de TI ou do suporte t cnico m Senha esquecida os usu rios podem redefinir ou recuperar uma senha esquecida depois que o CA IdentityMinder verifica sua identidade m ID de usu rio esquecida os usu rios podem recuperar uma ID de usu rio esquecida depois que o CA IdentityMinder verifica sua identidade Sincroniza o de senhas apenas para uso com provisionamento as altera es de senha s o sincronizadas no CA IdentityMinder e nas contas em sistemas de destino chamados terminais As novas senhas s o verificadas em rela o s pol ticas de senha do CA IdentityMinder Op es de autoatendimento para usu r
17. veis para oferecer suporte sua instala o Defina o downtime m ximo aceit vel para cada um desses sistemas Por exemplo os sistemas que oferecem suporte a um servidor alternativo podem ter um n vel de prioridade mais baixo para restaura o Cap tulo 7 Criando um plano de recupera o de falhas 101 Desenvolver uma arquitetura redundante Desenvolver uma arquitetura redundante Para se proteger contra a falha de um componente essencial considere as seguintes a es protetoras usando componentes alternativos servidores e diret rios e bancos de dados redundantes em locais remotos Configure a redund ncia do CA IdentityMinder usando o Guia de Instala o Inclua os seguintes componentes m N s do servidor de aplicativos do CA IdentityMinder redundantes como parte de um cluster m Um cluster de Servidores de pol ticas que ofere a toler ncia a falhas se voc estiver usando o CA SiteMinder para proteger o CA IdentityMinder m Servidores de provisionamento alternativos Diret rios de provisionamento e servidores de conectores Se um componente principal for perdido o sistema alternar para o componente alternativo Configure a redund ncia de bancos de dados incluindo o seguinte m Qualquer um dos bancos de dados de tempo de execu o que fa am parte do CA IdentityMinder como o fluxo de trabalho ou banco de dados de auditoria Consulte a documenta o fornecida com o servidor ORACLE ou Microsoft SQL Ser
18. Baixa As tarefas que precisam ser processadas imediatamente devem ser definidas como Alta As tarefas envolvidas no carregamento em massa devem ser definidas como Baixa Se uma prioridade da tarefa for definido os eventos associados ela ser o processados com outras tarefas que t m a mesma prioridade Por exemplo se a tarefa Modificar usu rio for definida para prioridade Alta e um administrador modificar um perfil de usu rio o CA IdentityMinder processar essa tarefa antes das tarefas com prioridade M dia ou Baixa Se houver outras tarefas de prioridade Alta o CA IdentityMinder concluir o primeiro est gio do processamento para o primeiro evento de prioridade Alta e em seguida mover esse evento para o fim da lista de outros eventos de prioridade Alta m Instale um Servidor do CA IdentityMinder separado e dedicado para manipular as opera es de carregamento em massa Cap tulo 6 Otimizando o CA IdentityMinder 81 Otimiza es de tarefa Diretrizes para otimiza o de tarefas 82 Guia de Implementa o As tarefas padr o que o CA IdentityMinder implanta ao criar um ambiente do CA IdentityMinder s o configuradas para oferecer suporte a uma grande variedade de casos de uso de administra o A maioria das implementa es do CA IdentityMinder n o exigem toda a funcionalidade fornecida nas tarefas padr o Ap s a cria o de um ambiente do CA IdentityMinder modifique essas tarefas para atender s necessidades e
19. a automatizar os processos de neg cios voc pode designar uma tarefa administrativa para gerar um processo de fluxo de trabalho Um processo de fluxo de trabalho automatiza um procedimento bem definido que uma empresa repete com frequ ncia O CA IdentityMinder inclui o mecanismo de fluxo de trabalho do WorkPoint 14 Guia de Implementa o Fun es de provisionamento para contas adicionais Os processos de fluxo de trabalho s o acionados por eventos do CA IdentityMinder que fazem parte de uma tarefa administrativa Por exemplo a tarefa Criar usu rio inclui eventos chamados CreateUserEvent e AddToGroupEvent Quando ocorre um evento o mecanismo de fluxo de trabalho pode m Exigir aprova es um aprovador deve aprovar um evento como a modifica o de um perfil de usu rio antes que o CA IdentityMinder atualize um reposit rio de usu rios Os aprovadores s o administradores que t m a fun o Aprovador para uma tarefa espec fica m Enviar notifica es o mecanismo de fluxo de trabalho pode notificar os usu rios sobre o status de um evento em diferentes etapas de um processo por exemplo quando um usu rio inicia um evento ou quando um evento aprovado m Gerar listas de tarefas as listas de tarefas especificam as tarefas que um determinado usu rio deve executar O mecanismo de fluxo de trabalho atualiza as listas de tarefas dos administradores automaticamente Para eventos comuns poss vel usar os processos de f
20. a um conjunto de usu rios Quando a regra acionada ela dispara a resposta para passar informa es sobre a capa ao CA IdentityMinder para cria o do Console de usu rio Observa o para obter mais informa es consulte o Guia de Design do Console de Usu rio Prefer ncias de localidade para um ambiente localizado Quando o CA IdentityMinder integra se ao CA SiteMinder poss vel definir a prefer ncia de localidade para um usu rio usando um cabe alho HTTP imlanguage No Servidor de pol ticas do SiteMinder voc dever definir esse cabe alho dentro de uma resposta do SiteMinder e especificar um atributo de usu rio como o valor do cabe alho Esse cabe alho imlanguage atua como a prefer ncia de localidade de prioridade mais alta para um usu rio Observa o para obter mais informa es consulte o Guia de Design do Console de Usu rio Mais informa es Instala o com Servidor de pol ticas do SiteMinder na p gina 41 Autentica o do SiteMinder 66 Guia de Implementa o O CA IdentityMinder inclui os seguintes consoles que devem ser protegidas Console de usu rio Permite que os administradores do CA IdentityMinder executem tarefas em um ambiente do CA IdentityMinder Console de gerenciamento Permite que os administradores do CA IdentityMinder criem e configurem um diret rio do CA IdentityMinder um Diret rio de provisionamento e um ambiente do CA IdentityMinder O CA IdentityMinder inc
21. ambas as condi es sejam atendidas O n vel de recurs o que definido por todo o ambiente do CA IdentityMinder deve ser maior que 1 o que gera avalia es adicionais para cada conjunto de pol ticas de identidade Cap tulo 6 Otimizando o CA IdentityMinder 87 Otimiza es de pol tica de identidade Limitar as tarefas que disparam a sincroniza o de usu rios As pol ticas de identidade s o avaliadas e aplicadas durante o processo de sincroniza o de usu rios Voc pode configurar a sincroniza o autom tica especificando uma das seguintes op es de sincroniza o de usu rios para uma tarefa Ao concluir a tarefa O CA IdentityMinder inicia o processo de sincroniza o de usu rios quando todos os eventos em uma tarefa forem conclu dos Em cada evento O CA IdentityMinder inicia o processo de sincroniza o de usu rios quando cada evento em uma tarefa conclu do Para obter melhor desempenho limite o n mero de tarefas que disparam a sincroniza o autom tica de usu rios Leve em considera o os seguintes pontos ao configurar a sincroniza o de usu rios m Desativar sincroniza o de usu rios para tarefas de senha Na maioria dos casos as senhas n o ser o usadas em condi es de pol tica de identidade m Desativar sincroniza o de usu rios para a tarefa Sincronizar usu rio Como a tarefa Sincronizar usu rio dispara as avalia es de pol tica de identidade o CA IdentityMinder e
22. diferentes n veis de acesso a essas tarefas Por exemplo uma fun o de Funcion rio pode conter tarefas que oferecem aos usu rios a capacidade de modificar seus nomes e endere os ao passo que a fun o de Gerente de Recursos Humanos cont m tarefas para modificar o cargo e o sal rio do usu rio Direitos com base em fun o A ilustra o a seguir mostra quatro tarefas que s o combinadas em uma fun o administrativa e atribu da a tr s usu rios Conta 1 e Conta 2 A JE Conta 3 Fun o 1 E conas Fun es de provisionamento Para conceder aos usu rios acesso s contas em aplicativos adicionais como um sistema de email voc pode atribuir fun es de provisionamento Fun es de provisionamento cont m modelos de conta que definem os atributos que existem em um tipo de conta Por exemplo um modelo de conta para uma conta do Exchange define atributos como o tamanho da caixa de correio Os modelos de conta tamb m definem como os atributos do usu rio do CA IdentityMinder s o mapeados para as contas A ilustra o a seguir mostra quatro contas que s o combinadas em uma fun o de provisionamento e atribu da a tr s usu rios Cada usu rio receber quatro contas quando voc atribuir a fun o de provisionamento para o usu rio Conta 1 Conta 2 A Conta 3 Fun o 1 Conta 4 p f Cap tulo 1 Gerenciamento de identidades e acesso 11 Fun es administrativas para gerenciamento de conta de us
23. feitas no CA IdentityMinder atualizam dinamicamente o modelo de fun o no CA RCM Observa o para obter mais informa es sobre a integra o do CA RCM ao CA IdentityMinder consulte o Guia de Integra o do CA IdentityMinder encontrado na biblioteca do CA RCM Cap tulo 1 Gerenciamento de identidades e acesso 19 Integra o do CA User Activity Reporting Integra o do CA User Activity Reporting Desde o CA IdentityMinder r12 6 o CA Enterprise Log Manager chamado de CA User Activity Reporting CA UAR O CA UAR usa o CA Common Event Grammar CEG para mapear eventos que se originam em v rios sistemas em um formato padr o e armazena todos os eventos mesmo aqueles que ainda n o foram mapeados para revis o e an lise Al m disso o CA UAR oferece aos usu rios uma solu o de grande volume para o gerenciamento e a gera o de relat rios de dados coletados utilizando consultas configur veis a banco de dados e ou relat rios para pesquisar v rios tipos de informa o e eventos O CA UAR fornece informa es mais amplas e detalhadas sobre sistemas n o gerenciados e sistemas fora do alcance e controle do CA IdentityMinder al m de permitir a investiga o mais aprofundada de identidades A integra o ao CA IdentityMinder permite que voc exiba relat rios centrados na identidade do CA UAR e ou consultas din micas no Console de usu rio do CA UAR usando o Console de usu rio do CA IdentityMinder No Console d
24. fun o Como a fun o atribu da automaticamente n o necess rio um administrador para definir explicitamente a fun o 60 Guia de Implementa o Desenvolver um plano de implanta o Para implantar recursos de gerenciamento de senhas execute as seguintes etapas 1 Configure as tarefas p blicas de gerenciamento de senhas como a tarefa de senha esquecida 2 Crie pol ticas de senha que determinem como as senhas s o criadas e quando expiram 3 Implante a fun o Gerenciador de senhas que permite que os integrantes da fun o redefinam as senhas dos usu rios Observa o para obter informa es sobre gerenciamento de senhas fun es e tarefas consulte o Guia de Administra o Implantar pol ticas de identidade Uma pol tica de identidade um conjunto de altera es nos neg cios que ocorrem quando um usu rio atende a uma determinada condi o ou uma regra Voc pode usar pol ticas de identidade para fornecer direitos orientados aos neg cios antes que um modelo completo de delega o seja implantado Por exemplo voc pode criar uma pol tica de identidade que atribui a fun o de provisionamento Gerente de vendas que concede acesso a aplicativos de vendas para todos os usu rios cujo cargo seja Gerente de vendas Quando um representante de vendas promovido a Gerente de vendas ele recebe automaticamente o acesso a todos os sistemas necess rios para realizar a tarefa sem aguardar o envolv
25. identidade Voc pode configurar o n vel de recurs o para uma pol tica de identidade o que determina o n mero de vezes que o CA IdentityMinder avalia e aplica pol ticas de identidade quando um usu rio sincronizado Por exemplo uma pol tica de identidade pode alterar o departamento de um usu rio quando o usu rio recebe uma fun o O novo departamento dispara outra pol tica de identidade No entanto se o n vel de recurs o for definido como 1 a altera o subsequente n o ser feita at que o usu rio seja sincronizado novamente Definir o n vel de recurs o limita o n mero de vezes que o CA IdentityMinder deve avaliar pol ticas de identidade Limitar depend ncias entre regras de pol tica de identidade Voc pode criar uma pol tica de identidade onde a a o de altera o A o ao aplicar a pol tica ou A o ao remover a pol tica de uma pol tica usada na condi o de pol tica de identidade de outra pol tica conforme mostrado na tabela a seguir A o ao aplicar a pol tica A o ao remover a pol tica Transformar em integrante da fun o Remover integrante da fun o de de provisionamento Gerente da conta provisionamento Gerente da conta Transformar em integrante do grupo de Remover integrante do grupo de Gerentes da conta Gerentes da conta Quando o CA IdentityMinder avalia esse tipo de pol tica ele deve avaliar e aplicar as altera es ao menos duas vezes para garantir que
26. o m Bancos de dados do CA IdentityMinder que oferecem suporte funcionalidade do CA IdentityMinder Mensagens JMS que s o respons veis pelo processamento de eventos Cap tulo 6 Otimizando o CA IdentityMinder 91 Ajuste dos componentes de tempo de execu o Ajuste dos bancos de dados do CA IdentityMinder Ao executar tarefas o CA IdentityMinder usa os seguintes bancos de dados Persist ncia de tarefas Mant m informa es sobre tarefas e eventos do CA IdentityMinder ao longo do tempo Isso permite que o CA IdentityMinder restaure o ltimo estado conhecido de eventos e tarefas no caso de uma falha do sistema Observa o esse banco de dados tem impacto mais significativo sobre o desempenho do CA IdentityMinder pois a tarefa e seus eventos s o salvos e recuperados do banco de dados durante transi es de estado Auditoria Fornece um registro hist rico de opera es que ocorrem em um ambiente do CA IdentityMinder Fluxo de trabalho Armazena defini es de processo do fluxo de trabalho tarefas scripts e outros dados exigidos pelo Mecanismo de fluxo de trabalho Gera o de relat rios Armazena dados de instant neo que reflete o estado atual dos objetos no CA IdentityMinder no momento em que o instant neo gerado O CA IdentityMinder se comunica com cada banco de dados por meio de um pool de conex es JDBC poss vel criar e configurar um pool de conex es JDBC no servidor de aplicativos que h
27. onde Departamento Administra o OU onde Departamento Engenharia OU onde Departamento Recursos Humanos m Escopo do usu rio Cidade Boston m Escopo do grupo Nome do grupo Equipe do produto m Escopo da fun o de provisionamento Nome Funcion rio m Escopo da tarefa de acesso Nome Desenvolvimento Selecionar tipos de regra de pol tica expans veis Al m do n mero de regras de pol tica o tipo de regra de pol tica tamb m pode afetar o desempenho Geralmente as regras de pol tica s o criadas com base em como o reposit rio de usu rios est estruturado e como os direitos s o determinados Por exemplo voc pode criar regras de pol tica com base na associa o ao grupo na organiza o ou nos atributos de usu rio No entanto quando existem v rias maneiras de criar regras de pol tica considere as diretrizes de desempenho na tabela a seguir antes de decidir o tipo de regra a ser constru do 76 Guia de Implementa o Tipo de regra de pol tica Organiza o Fun o Atributo do usu rio Associa o ao grupo Otimiza es de tarefa Observa o os tipos de regra de pol tica na tabela a seguir s o listadas na ordem de desempenho come ando com o tipo de regra mais eficiente Observa es de desempenho Melhor desempenho geral m N o exige uma pesquisa em diret rios LDAP O CA IdentityMinder usa o DN do usu rio que est sendo avaliado e o DN da organiza o
28. pol tica Grandes quantidades de objetos de fun o podem afetar o desempenho das avalia es de pol tica e buscas no reposit rio de objetos Cap tulo 6 Otimizando o CA IdentityMinder 71 Otimiza es de fun o Desempenho do reposit rio de objetos O CA IdentityMinder armazena informa es necess rias para gerenciar usu rios e direitos em um reposit rio de objetos Ter uma grande quantidade de objetos de fun o no reposit rio de objetos pode causar os seguintes problemas Pesquisas por objetos gerenciados nas telas de tarefas do CA IdentityMinder podem demorar mais Para reduzir o impacto em pesquisas indexe atributos usados nas pesquisas na p gina 89 As tarefas de gerenciamento de fun es podem ser executadas lentamente Alguns exemplos de tarefas de gerenciamento de fun es que s o afetadas por um reposit rio de objetos amplo incluem Atarefa Criar fun o administrativa fica lenta porque o CA IdentityMinder deve verificar se o nome da fun o exclusivo no reposit rio de objetos Atarefa Excluir fun o administrativa deve remover todos os objetos criados para oferecer suporte fun o e o cache de objetos deve ser atualizado O CA IdentityMinder leva muito tempo para avaliar pol ticas de fun o O CA IdentityMinder armazena informa es em cache no reposit rio de objetos para melhorar o desempenho Otimizar avalia o da pol tica de fun o 72 Guia de Impleme
29. provisionamento Consulte a se o sobre Provisionamento de toler ncia a falhas no cap tulo Alta disponibilidade do Guia de Instala o para obter detalhes 106 Guia de Implementa o Desenvolver procedimentos de restaura o Restaurar um diret rio e servidor de provisionamento poss vel restaurar um Servidor de provisionamento perdido instalando um servidor alternativo Se todos os sistemas falharem restaure os dados perdidos durante a falha Use as seguintes etapas 1 Copie os arquivos de esquema personalizado no diret rio config schema do CA Directory Instale o novo Diret rio de provisionamento Os reposit rios de dados estar o vazios Restaure os dados a partir do local de backup Use o instalador do Servidor de provisionamento fornecendo os detalhes do Diret rio de provisionamento recentemente restaurado As informa es de dom nio j devem estar presentes Restaure todos os arquivos de configura o e conectores personalizados do backup Observa o para obter mais detalhes consulte a documenta o do CA Directory Restaurar servidores de conectores Se voc perder um servidor de conectores execute as seguintes etapas 1 Use o instalador do Servidor de conectores para instalar um novo servidor de conectores Registre o no Servidor de provisionamento durante a instala o Remova o registro do servidor de conectores perdido usando csfconfig ou o Connector Xpress Restaurar u
30. resultados em cache O CA IdentityMinder usa as informa es armazenadas em cache at que ocorra uma altera o no usu rio ou no conjunto de pol ticas de integrante o que faz com que o CA IdentityMinder atualize as informa es no cache 4 O Console de usu rio do CA IdentityMinder exibe as categorias que o usu rio pode exibir com base em suas fun es Esse processo ocorre para cada usu rio que efetua logon no Console de usu rio Se um ambiente do CA IdentityMinder contiver uma grande quantidade de fun es ou pol ticas de integrante ineficientes a avalia o de associa o fun o poder afetar significativamente o desempenho Nesse caso a tela inicial exibida para os usu rios quando eles efetuam logon no Console de usu rio pode ser mostrada lentamente Observa o o CA IdentityMinder n o precisa avaliar pol ticas de integrante quando um usu rio acessa uma tarefa p blica para se autorregistrar ou solicitar uma senha esquecida Nesses casos o CA IdentityMinder n o precisa de uma lista de fun es do usu rio pois ele n o exibe o Console de usu rio completamente Desempenho e objetos de fun o Para oferecer suporte a cada fun o o CA IdentityMinder cria v rios objetos no reposit rio de objetos na p gina 33 do CA IdentityMinder dependendo da configura o da fun o O CA IdentityMinder cria um objeto base para cada fun o Al m do objeto base o CA IdentityMinder cria um objeto para cada
31. rio Em vez disso use um processo de fluxo de trabalho que executado durante a fase ass ncrona da tarefa Considera es sobre o processo de fluxo de trabalho Os processos de fluxo de trabalho s o chamados durante a fase ass ncrona da tarefa e s o associados execu o de eventos individuais Isso permite que voc m Executar atividades de aprova o com base nos dados de eventos individuais m Executar atividades de l gica de neg cios personalizadas de longa dura o Embora a API do fluxo de trabalho permita que voc obtenha dados em n vel de tarefa de uma Atividade de fluxo de trabalho normalmente voc estar operando no contexto desse evento espec fico no fluxo de trabalho Aprovando altera es nos neg cios O fluxo de trabalho descreve um processo composto por uma ou mais etapas que devem ser executadas para atingir um objetivo de neg cios como a execu o de um procedimento de contrata o ou a obten o da pontua o de cr dito de um usu rio de um sistema externo Geralmente uma das etapas em um processo de fluxo de trabalho envolve aprova o ou rejei o da mudan a nos neg cios Cap tulo 2 Atendendo s necessidades de neg cios 29 Aprovando altera es nos neg cios No CA IdentityMinder um processo de fluxo de trabalho est associado a um evento uma a o que ocorre durante o processamento da tarefa Quando um evento entra no estado Pendente em seu ciclo de vida o CA IdentityMinder cham
32. rios Armazenar em cache os v nculos LDAP No CA IdentityMinder todos os v nculos LDAP do diret rio s o executados pelo usu rio proxy definido no objeto de Diret rio do CA IdentityMinder Para cada conex o o mesmo v nculo LDAP ocorre para esse mesmo usu rio repetidamente Se voc estiver usando um diret rio LDAP como um reposit rio de usu rios configure o diret rio para armazenar em cache os v nculos LDAP ou sess es se o diret rio oferecer suporte ao cache Ativar caches de reposit rio de usu rios Quando o CA IdentityMinder avalia as decis es de pol tica para um usu rio as informa es s o armazenadas em um cache de autoriza o Quando as informa es em cache expiram o CA IdentityMinder avalia todas as pol ticas para esse usu rio novamente Para melhorar o desempenho das pesquisas no reposit rio de usu rios em avalia es de regra de pol tica subsequentes ative o reposit rio de usu rios para armazenar em cache os dados pesquisados se o reposit rio de usu rios oferecer suporte ao cache O CA Directory inclui um cache chamado dxCache que uma implementa o de banco de dados na mem ria que pode pesquisar os dados em cache Observa o para obter mais informa es sobre o CA Directory consulte o Guia do Administrador do CA Directory Ajuste de componentes do provisionamento Ajuste de componentes do provisionamento Quando uma implementa o do CA IdentityMinder inclui provision
33. um m todo de importa o de usu rios Importar usu rios por meio do CA IdentityMinder O CA IdentityMinder fornece os seguintes m todos para adicionar usu rios a um reposit rio de usu rios que ele gerencia diretamente M todo Recursos Limita es Carregador de itens em massa Permite usar a tarefa do Carregador de itens em massa no Console de usu rio para fazer upload de arquivos alimentadores que s o usados para manipular grandes n meros de objetos gerenciados simultaneamente A vantagem do m todo Carregador de itens em massa a possibilidade de automatizar o processo de manipula o de um grande n mero de objetos gerenciados usando um arquivo de informa es alimentador A tarefa do Carregador de itens em massa tamb m pode ser mapeada para um processo de fluxo de trabalho Se voc estiver usando o Carregador de itens em massa talvez veja exce es de mem ria insuficiente dependendo do n mero de usu rios que estiver importando Para resolver esse problema aumente as configura es de mem ria da JVM Invoca o de tarefa remota por meio do TEWS Permite a execu o de qualquer tarefa do CA IdentityMinder que esteja ativada para os Servi os web incluindo a tarefa Criar usu rio Se a tarefa estiver configurada para Sincroniza o de usu rios o CA IdentityMinder executar todas as pol ticas de identidade aplic veis As caracter sticas de desempenho do model
34. CA IdentityMinder Guia de Implementa o 12 6 3 e technologies A presente documenta o que inclui os sistemas de ajuda incorporados e os materiais distribu dos eletronicamente doravante denominada Documenta o destina se apenas a fins informativos e est sujeita a altera es ou remo o por parte da CA a qualquer momento Esta Documenta o cont m informa es propriet rias da CA e n o pode ser copiada transferida reproduzida divulgada modificada nem duplicada parcial ou completamente sem o pr vio consentimento por escrito da CA Se o Cliente for um usu rio licenciado do s produto s de software referido s na Documenta o permitido que ele imprima ou de outro modo disponibilize uma quantidade razo vel de c pias da Documenta o para uso interno seu e de seus funcion rios envolvidos com o software em quest o contanto que todos os avisos de direitos autorais e legendas da CA estejam presentes em cada c pia reproduzida O direito impress o ou de outro modo disponibilidade de c pias da Documenta o est limitado ao per odo em que a licen a aplic vel ao referido software permanecer em pleno vigor e efeito Em caso de t rmino da licen a por qualquer motivo fica o usu rio respons vel por garantir CA por escrito que todas as c pias parciais ou integrais da Documenta o sejam devolvidas CA ou destru das NA MEDIDA EM QUE PERMITIDO PELA LEI APLIC VEL A CA FORNECE ESTA DOCUM
35. COMPLETED INVALID Os eventos controlados pelo fluxo de trabalho tamb m podem apresentar estes estados m PENDING m REJECTED O CA IdentityMinder usa mensagens JMS para controlar essas transi es de estado Como as mensagens JMS orientam as transa es de evento O CA IdentityMinder usa mensagens JMS para orientar as transi es de estado de um evento O procedimento a seguir descreve as etapas envolvidas 1 2 Um usu rio envia uma tarefa A tarefa gera um ou mais eventos Quando um evento estiver pronto para processamento o CA IdentityMinder definir o estado do evento para BEGIN e o evento ser mantido no banco de dados de persist ncia de tarefas O CA IdentityMinder cria uma mensagem JMS contendo a ID do evento e publica essa mensagem na Fila de mensagens de eventos Ao receber a mensagem o JMS chama uma inst ncia do Message Driven Bean do evento que uma implementa o do Controlador de eventos O Controlador de eventos usa a ID do evento na mensagem para recuperar o evento do banco de dados de persist ncia de tarefas e executa as a es do estado atual do evento Ap s a conclus o desse estado o evento definido para o pr ximo estado mantido no banco de dados de persist ncia de tarefas e uma nova mensagem JMS postada para processamento do pr ximo estado Esse ciclo continuar at que o evento tenha conclu do sua m quina de estado Cap tulo 6 Otimizando o CA IdentityMinder 93 Ajus
36. ENTA O NO ESTADO EM QUE SE ENCONTRA SEM NENHUM TIPO DE GARANTIA INCLUINDO ENTRE OUTROS QUAISQUER GARANTIAS IMPL CITAS DE COMERCIABILIDADE ADEQUA O A UM DETERMINADO FIM OU N O VIOLA O EM NENHUMA OCASI O A CA SER RESPONS VEL PERANTE O USU RIO OU TERCEIROS POR QUAISQUER PERDAS OU DANOS DIRETOS OU INDIRETOS RESULTANTES DO USO DA DOCUMENTA O INCLUINDO ENTRE OUTROS LUCROS CESSANTES PERDA DE INVESTIMENTO INTERRUP O DOS NEG CIOS FUNDO DE COM RCIO OU PERDA DE DADOS MESMO QUE A CA TENHA SIDO EXPRESSAMENTE ADVERTIDA SOBRE A POSSIBILIDADE DE TAIS PERDAS E DANOS O uso de qualquer software mencionado na Documenta o regido pelo contrato de licen a aplic vel e tal contrato n o deve ser modificado de nenhum modo pelos termos deste aviso O fabricante desta Documenta o a CA Fornecida com Direitos restritos O uso duplica o ou divulga o pelo governo dos Estados Unidos est sujeita s restri es descritas no FAR se es 12 212 52 227 14 e 52 227 19 c 1 2 e DFARS se o 252 227 7014 b 3 conforme aplic vel ou sucessores Copyright O 2013 CA Todos os direitos reservados Todas as marcas comerciais nomes de marcas marcas de servi o e logotipos aqui mencionados pertencem s suas respectivas empresas Refer ncias a produtos da CA Technologies Este documento faz refer ncia aos seguintes produtos da CA Technologies CA CloudMinder Identity Management CA Directory CA I
37. Minder gerencia o Servidor de provisionamento por meio de uma interface gr fica Ela usada pelas tarefas administrativas como o gerenciamento das op es do Servidor de provisionamento Em alguns casos voc tamb m pode usar o Gerenciador de provisionamento para gerenciar determinados atributos de terminal que voc n o pode gerenciar no Console de usu rio do CA IdentityMinder O Gerenciador de provisionamento instalado como parte das Ferramentas administrativas do CA IdentityMinder Observa o esse aplicativo executado apenas em sistemas Windows Para obter mais informa es sobre o Gerenciador de provisionamento consulte o Guia de Refer ncia de Provisionamento do IAM O CA IdentityMinder fornece relat rios que voc pode usar para monitorar o status de um ambiente do CA IdentityMinder Para usar os relat rios fornecidos com o CA IdentityMinder instale o Servidor de relat rios do IAM inclu do com o CA IdentityMinder O Servidor de relat rios do IAM movido pelo Business Objects Enterprise XI Se voc tiver um servidor do Business Objects n o ser poss vel us lo no lugar do Servidor de relat rios do IAM para gerar relat rios do CA IdentityMinder Observa o para obter instru es de instala o consulte o Guia de Instala o Exemplo de instala es do CA IdentityMinder Exemplo de instala es do CA IdentityMinder Com o CA IdentityMinder voc pode controlar as identidades de usu r
38. Pol ticas de propriet rio e propriet rios da fun o Exibe as tarefas no banco de dados de relat rios e as fun es s quais est o associadas Exibe os usu rios no banco de dados de relat rios e lista as fun es de cada usu rio Exibe tend ncias de contas fora do padr o para contas rf s contas do sistema e contas de exce o Exibe todas as contas rf s do sistema e de exce o Exibe todas as contas de terminal sem usu rio global no Servidor de provisionamento Exibe todas as pol ticas de identidade Relat rio Perfil de usu rio Contas de terminal Administradores da fun o Propriet rios da fun o Instant neos Conta de usu rio Direitos do usu rio Status da sincroniza o da pol tica de usu rio Cumprindo as pol ticas de neg cios Descri o Exibe as seguintes informa es dos usu rios m Nome m ID do usu rio m Grupos onde o usu rio integrante ou administrador m Fun es em que o usu rio integrante administrador ou propriet rio Exibe as contas por terminal voc pode escolher qual terminal exibir Exibe as fun es e seus administradores Exibe as fun es e seus propriet rios Exibe todos os instant neos exportados Exibe uma lista de usu rios e suas contas Exibe fun es grupos e contas do usu rio Exibe o status do usu rio por pol tica quais pol ticas devem ser alocadas desalocadas ou realocadas Observa o para obter mai
39. a qualquer processo do fluxo de trabalho associado e pausa a execu o do evento at que o processo seja conclu do O CA IdentityMinder executar ou rejeitar o evento com base nos resultados do processo de fluxo de trabalho Esse fluxo ilustrado no diagrama a seguir Ciclo de vida dos eventos e processamento de fluxos de trabalho Invocar processo de fluxo de trabalho Cancelado Concluido O CA IdentityMinder inclui o mecanismo de fluxo de trabalho do InSession WorkPoint para cria o e gerenciamento de processos de fluxo de trabalho Observa o para obter mais informa es consulte o Guia de Administra o 30 Guia de Implementa o Cap tulo 3 Arquitetura do CA IdentityMinder Esta se o cont m os seguintes t picos Componentes do CA IdentityMinder na p gina 31 Exemplo de instala es do CA IdentityMinder na p gina 39 Componentes do CA IdentityMinder Servidores Uma implementa o do CA IdentityMinder pode incluir alguns ou todos os seguintes componentes m Servidores m Reposit rios de usu rios m Bancos de dados m Conectores Uma implementa o do CA IdentityMinder inclui um ou mais tipos de servidores conforme a funcionalidade necess ria Servidor do CA IdentityMinder obrigat rio Executa tarefas no CA IdentityMinder O aplicativo JZEE CA IdentityMinder inclui o Management Console e Console de usu rio Servidor de provisionamento do CA IdentityMinder Gere
40. a um evento do CA IdentityMinder Observa o antes de decidir se implementa a l gica de neg cios em um manipulador de tarefas de l gica de neg cios ou em um processo de fluxo de trabalho consulte as se es a seguir 28 Guia de Implementa o Considera es sobre o manipulador de tarefas de l gica de neg cios na p gina 29 Considera es sobre o processo de fluxo de trabalho na p gina 29 Aprovando altera es nos neg cios Considera es sobre o manipulador de tarefas de l gica de neg cios Os Manipuladores de tarefas de l gica de neg cios executam a valida o da l gica de neg cios durante a fase de processamento s ncrono da tarefa que ocorre antes da gera o de eventos Isso permite que voc m Execute a valida o em n vel de tarefa Por exemplo voc pode adicionar ou remover integrantes de um grupo com base no local de trabalho que especificado na tela de perfil do usu rio m Impe a que uma tarefa seja enviada se a valida o falhar m Transforme automaticamente todas as informa es em uma tela de tarefas para que elas estejam em conformidade com suas pol ticas de neg cios antes do envio da tarefa Observa o voc n o deve implementar as atividades que levam muito tempo para serem conclu das em um Manipulador de tarefas de l gica de neg cios As atividades de execu o longa atrasam o envio da tarefa e n o s o ideais para a fase s ncrona onde ocorre a intera o do usu
41. acional ou LDAP suportado Em implementa es de alta disponibilidade recomend vel instalar o reposit rio de pol ticas em um servidor separado Escolher um m todo de importa o de usu rios m Extens es para o Servidor de pol ticas Permite a um Servidor de pol ticas do SiteMinder oferecer suporte ao CA IdentityMinder Instale as extens es em cada sistema do Servidor de pol ticas do SiteMinder na sua implementa o do CA IdentityMinder m Agente web do SiteMinder Funciona com o Servidor de pol ticas do SiteMinder para proteger o Console de usu rio Instalado no sistema com o Servidor do CA IdentityMinder Escolher um m todo de importa o de usu rios Se precisar importar usu rios em um reposit rio de usu rios existente o m todo que voc selecionar dever ter como base seus requisitos de neg cios As se es a seguir descrevem as op es para importa o de usu rios Como importar usu rios em um novo reposit rio de usu rios Ap s decidir como armazenar dados do usu rio talvez voc precise importar usu rios de um reposit rio para outro Dependendo de sua implementa o poss vel usar m todos diferentes para importar usu rios Observa o ap s a importa o de usu rios em um novo reposit rio de usu rios voc poder usar as pol ticas de identidade na p gina 57 para aplicar as altera es aos usu rios importados Cap tulo 4 Planejando sua implementa o 55 Escolher
42. al Se o servidor de conectores falhar o servidor alternativo gerenciar imediatamente a comunica o com os terminais Bancos de dados redundantes Os softwares de banco de dados suportados Microsoft SQL Server e Oracle t m a capacidade de fornecer bancos de dados redundantes Se o banco de dados principal falhar o banco de dados redundante ser disponibilizado imediatamente O banco de dados redundante deve estar em um site remoto no caso de todo o site ser afetado Cap tulo 7 Criando um plano de recupera o de falhas 103 Desenvolver planos de backup Desenvolver planos de backup Para se proteger contra a perda de algum ou todos os sistemas use o armazenamento fora da organiza o para todos os dados de backup e uma programa o de backup que atenda aos seus requisitos de downtime m ximo Os procedimentos de backup e restaura o usam diferentes aplicativos de forma que eles devem ser coordenados para recupera o do sistema do CA IdentityMinder como um todo Inclua os seguintes componentes em seus planos de backup Componente O reposit rio de usu rios do CA IdentityMinder Os bancos de dados do CA IdentityMinder Reposit rio de pol ticas do SiteMinder Diret rio de provisionamento Reposit rios persistentes JMS do servidor de aplicativos Bancos de dados de relat rios Relat rios personalizados 104 Guia de Implementa o Descri o Um diret rio de usu rios LDAP ou um banco de dado
43. al beans in free pool gt lt pool gt lt destination jndi name gt com netegrity ims msg queue lt destination jndi name gt lt message driven descriptor gt lt weblogic enterprise bean gt Ajuste do JBoss No servidor de aplicativos do JBoss os Queue Connection Factories obt m segmentos de manipula o de conex es do alocador de sess o do Pool JMS padr o do servidor Por padr o o n mero m ximo de segmentos definido como 15 Aconselhamos definir esse valor para corresponder ao valor do tamanho m ximo do Recipiente padr o do bean de mensagem Cap tulo 6 Otimizando o CA IdentityMinder 95 Ajuste dos componentes de tempo de execu o 96 Guia de Implementa o O alocador da se o Pool de sess o JMS definido no elemento MaximumsSize do JMSContainerInvoker no seguinte arquivo base do jbossiserveridefaulticonfistandardjboss xml lt invoker proxy binding gt lt name gt message driven bean lt name gt lt proxy factory config gt lt JMSProviderAdapterJNDI gt DefaultJMSProvider lt JMSProviderAdapterJNDI gt lt ServerSessionPoolFactoryJNDI gt StdJMSPool lt ServerSessionPoolFactoryJNDI gt lt MaximumSize gt 128 lt MaximumSize gt lt MaxMessages gt 1 lt MaxMessages gt lt proxy factory config gt lt invoker proxy binding gt O tamanho do pool do Message Driven Bean de eventos do CA IdentityMinder definido pela modifica o do valor do tamanho m ximo no seguinte arquivo descritor
44. amanho do heap Java for muito pequeno recomend vel um tamanho inicial de 1024 Cap tulo 6 Otimizando o CA IdentityMinder 97 Cap tulo 7 Criando um plano de recupera o de falhas Esta se o cont m os seguintes t picos Perda de servi o a partir de uma falha na p gina 99 Como planejar a recupera o de falhas na p gina 100 Definir requisitos da recupera o de falhas na p gina 101 Desenvolver uma arquitetura redundante na p gina 102 Desenvolver planos de backup na p gina 104 Desenvolver procedimentos de restaura o na p gina 105 Documentar o plano de recupera o na p gina 108 Testar o plano de recupera o na p gina 109 Fornecer treinamento de recupera o de falhas na p gina 110 Perda de servi o a partir de uma falha No caso de uma falha os usu rios podem perder o acesso aos servi os que s o essenciais para suas tarefas Como resultado esses usu rios n o podem fornecer servi os a outros usu rios A urg ncia para restaurar o acesso aos servi os depende do real uso do CA IdentityMinder Em algumas organiza es os usu rios exigem acesso ininterrupto aos servi os fornecidos pelo CA IdentityMinder enquanto outros usu rios exigem restaura o do sistema em um dia Em qualquer caso recomend vel fazer prepara es para proteger a sua implementa o do CA IdentityMinder de um evento que resulte em perda completa ou parcial dos seus sistemas Ao conf
45. amento use as otimiza es a seguir para garantir o melhor desempenho m Otimizar a conex o entre o Servidor do CA IdentityMinder e o Servidor de provisionamento O CA IdentityMinder se comunica com o servidor de provisionamento por meio da API do Java IAM JIAM Para melhorar o desempenho de comunica o voc pode configurar o seguinte Pool de sess es JIAM para v rias conex es com o Servidor de provisionamento Observa o a CA recomenda definir o valor das sess es iniciais para 8 e o n mero m ximo de sess es para 128 Cache do JIAM para objetos recuperados do Servidor de provisionamento Observa o para obter informa es sobre as defini es de configura o do JIAM consulte o Guia de Administra o m Definir sincroniza o de conta para ocorrer no final de uma tarefa na p gina 82 e n o no final de cada evento m Ajustar o Servidor de provisionamento Observa o consulte o Guia de Administra o e o Guia de Instala o para obter mais informa es Ajuste dos componentes de tempo de execu o As altera es nos neg cios no CA IdentityMinder s o realizadas por meio de tarefas Uma tarefa cont m um ou mais eventos que representam atividades que o CA IdentityMinder executa para concluir a tarefa Por exemplo a tarefa Criar usu rio pode incluir CreateUserEvent e AddToGroupEvent O CA IdentityMinder inclui os seguintes componentes que processam tarefas e eventos em tempo de execu
46. amentos Os metadados s o um arquivo XML que descreve a estrutura do conector para o CA IAM CS Eles descrevem as classes e os atributos do Servidor de provisionamento e como eles s o mapeados para o esquema nativo Os metadados s o usados para criar tipos de terminal din micos em um ou mais Servidores de provisionamento Observa o para obter mais informa es sobre como usar o Connector Xpress consulte o Guia do Conector Xpress na biblioteca do CA IdentityMinder Componentes adicionais O CA IdentityMinder inclui alguns componentes adicionais que oferecem suporte funcionalidade do CA IdentityMinder Alguns desses componentes s o instalados com o CA IdentityMinder e alguns devem ser instalados separadamente Cap tulo 3 Arquitetura do CA IdentityMinder 37 Componentes do CA Identit yMinder Fluxo de trabalho do WorkPoint Gerenciador de provis Servidor de relat rios 38 Guia de Implementa o O mecanismo de fluxo de trabalho do WorkPoint e a Interface de desenho do WorkPoint s o instalados automaticamente quando voc instala o CA IdentityMinder Esses componentes permitem colocar uma tarefa do CA IdentityMinder sob o controle do fluxo de trabalho bem como modificar as defini es existentes do processo de fluxo de trabalho ou criar novas Observa o para obter mais informa es sobre fluxo de trabalho consulte o Guia de Administra o ionamento O Gerenciador de provisionamento do CA Identity
47. ar a quantidade e o tipo de informa o que o CA IdentityMinder armazena no banco de dados de auditoria Consulte o Guia de Configura o para obter mais informa es Banco de dados de relat rios Armazena dados de instant neo que reflete o estado atual dos objetos no CA IdentityMinder no momento em que o instant neo gerado Voc pode gerar relat rios com essas informa es para exibir as rela es entre objetos como usu rios e fun es Ao usar o instalador o CA IdentityMinder configura uma conex o com um nico banco de dados chamado de Banco de dados do CA IdentityMinder que cont m as tabelas para cada tipo de banco de dados Observa o poss vel criar um reposit rio de dados para persist ncia de tarefa fluxo de trabalho auditoria ou relat rios em um banco de dados separado e configurar o CA IdentityMinder para se conectar a ele Para obter mais informa es consulte o Guia de Instala o Componentes do conector Um conector a interface de software para um terminal O Servidor de provisionamento usa o conector para se comunicar com o terminal Ele converte as a es do Servidor de provisionamento em altera es no terminal como Criar uma conta de email em um terminal do Microsoft Exchange Exemplos de terminais s o esta o de trabalho UNIX Windows PC ou um aplicativo como Microsoft Exchange para email 34 Guia de Implementa o Componentes do CA IdentityMinder Servidores de co
48. as para fun es de provisionamento e atributos de usu rio nas BPRs Business Policy Rules regras de pol tica de neg cios no CA RCM antes de confirmar as altera es As BPRs representam v rias restri es em privil gios Por exemplo uma BPR pode impedir que os usu rios que possuem uma fun o de departamento de compras que permite aos integrantes solicitar estoque de prestadores de servi os de tamb m ter uma fun o de pagamento de prestadores de servi os Um administrador do sistema gerente comercial auditor ou engenheiro de fun o cria BPRs no CA RCM Observa o para obter mais informa es sobre BPRs consulte o Guia do Usu rio do CA RCM Sage DNA Observa o para obter mais informa es sobre as pol ticas de identidade preventivas e o Provisionamento inteligente consulte o Guia de Administra o do CA IdentityMinder 26 Guia de Implementa o Transformando dados no reposit rio de usu rios Transformando dados no reposit rio de usu rios Em alguns casos pode ser conveniente que o CA IdentityMinder transforme dados antes que eles sejam colocados no reposit rio de usu rios Por exemplo talvez voc queira armazenar informa es em um formato diferente do que elas s o inseridas ou queira que as altera es sejam aplicadas quando determinados tipos de informa es estiverem presentes O CA IdentityMinder inclui os seguintes recursos para transformar dados m Pol ticas de identidade Manipula
49. as pol ticas de identidade s o configuradas Com que frequ ncia ocorre a sincroniza o de usu rios Como usu rios e pol ticas de identidade s o sincronizados Ao usar pol ticas de identidade importante compreender como o CA IdentityMinder avalia e aplica as pol ticas aos usu rios Sem um entendimento completo do processo de sincroniza o de usu rio voc poder configurar conjuntos de pol ticas de identidade que geram resultados inesperados O procedimento a seguir descreve como o CA IdentityMinder avalia e aplica pol ticas de identidade 1 O processo de sincroniza o de usu rio iniciado Automaticamente poss vel configurar as tarefas do CA IdentityMinder para acionar automaticamente a sincroniza o de usu rio m Manualmente Use a tarefa Sincronizar usu rio no console de usu rio para sincronizar um usu rio O CA IdentityMinder determina o conjunto de pol ticas de identidade que se aplicam a um usu rio Cap tulo 6 Otimizando o CA IdentityMinder 85 Otimiza es de pol tica de identidade O CA IdentityMinder compara o conjunto de pol ticas de identidade que se aplica a um usu rio com a lista de pol ticas que j foram aplicadas a esse usu rio Observa o a lista de pol ticas que j foram aplicadas a um usu rio armazenada no conhecido atributo IDENTITY POLICY no perfil de usu rio Para obter informa es sobre como configurar esse atributo consulte o Guia de Conf
50. as sem nenhum usu rio global correspondente ao usu rio padr o usu rio global 6 Crie e mantenha contas de terminal usando modelos de conta que cont m os atributos que s o usados para criar contas 7 Associe os modelos de conta a fun es de provisionamento Ao atribuir fun es de provisionamento aos usu rios o CA IdentityMinder cria contas nos terminais associados desses usu rios Observa o para obter informa es sobre modelos de contas e fun es de provisionamento consulte o Guia de Administra o Determinar requisitos de auditoria 48 Guia de Implementa o O CA IdentityMinder inclui recursos de auditoria que permitem monitorar atividades em um ambiente do CA IdentityMinder Essas informa es s o armazenadas em um banco de dados de auditoria A quantidade e o tipo de informa es armazenadas no banco de dados de auditoria s o configur veis Voc pode exibir dados de auditoria no Console de usu rio por meio de uma tarefa chamada Exibir tarefas enviadas Essa tarefa permite que os administradores procurem e exibam as tarefas que ocorrem no sistema Os administradores podem exibir informa es de tarefa em um n vel alto ou exibir detalhes de eventos e tarefas Determinar requisitos de auditoria Considera es de auditoria do CA IdentityMinder Os dados de auditoria fornecem um registro hist rico de opera es que ocorrem em um ambiente do CA IdentityMinder Para dados de auditoria do CA Ident
51. base do jbossiserveridefaulticonfistandardjboss xml lt container configuration gt lt container name gt Standard Message Driven Bean lt container name gt lt call logging gt false lt call logging gt lt invoker proxy binding name gt message driven bean lt invoker proxy binding name gt lt container pool conf gt lt MaximumSize gt 128 lt MaximumSize gt lt container pool conf gt lt container configuration gt Ajuste dos componentes de tempo de execu o Ajustando o desempenho do JBoss 5 Em uma instala o padr o do JBoss 5 o verificador de implanta o online do JBoss executado a cada 5 segundos que afeta o desempenho do JBoss poss vel desativar esse recurso se ele n o for necess rio ou alterar a frequ ncia com que ele executado Para desativar ou modificar a implanta o online 1 Edite o hdscanner jboss beans xml neste local nico n base do jboss server default deploy Cluster base do jboss server all deploy 2 Para desativar esse recurso adicione a seguinte linha no bean HDScanner lt attribute name ScanEnabled gt False lt attribute gt 3 Para modificar a frequ ncia de verifica o aumente o valor do atributo scanPeriod para acima de 5000 milissegundos Observa o para obter mais detalhes consulte este link http community jboss org wiki JBossASTuningSlimmineg Para corrigir erros de falta de mem ria Voc pode ver exce es de Mem ria insuficiente se o t
52. carga e replica o Essas etapas dependem do tipo de reposit rio de usu rios que voc est usando Para obter informa es de ajuste dessas reas consulte a documenta o do banco de dados ou diret rio que cont m o reposit rio de usu rios Al m das considera es gerais de ajuste as considera es de ajuste a seguir s o espec ficas ao CA IdentityMinder m Avaliar desempenho da pesquisa do reposit rio de usu rios Para obter melhor desempenho as pesquisas de avalia o de pol tica do CA IdentityMinder devem ser conclu das entre 10 e 20 milissegundos Para assegurar que o CA IdentityMinder possa concluir essas pesquisas de forma consistente no tempo recomendado considere o teste de desempenho da pesquisa em v rias condi es de carregamento Voc tamb m pode usar essa medi o para determinar quando um reposit rio de usu rios atinge seus limites f sicos e servidores adicionais s o necess rios para balanceamento de carga Cap tulo 6 Otimizando o CA IdentityMinder 89 Ajuste do reposit rio de usu rios 90 Guia de Implementa o Indexar atributos Indexe cada atributo que usado em uma pol tica de fun o ou pol tica de identidade A indexa o de atributos pode proporcionar melhorias significativas de desempenho Observa o para obter informa es sobre a indexa o de atributos consulte a documenta o do diret rio LDAP ou banco de dados relacional que cont m o reposit rio de usu
53. com as altera es que ocorrem no Diret rio de provisionamento As altera es no Diret rio de provisionamento incluem as que foram realizadas usando o Gerenciador de provisionamento ou sistemas com conectores para o Servidor de provisionamento Observe o seguinte ao usar a sincroniza o de entrada para importar usu rios No Management Console do CA IdentityMinder voc pode personalizar o modo como os atributos da solicita o de entrada s o mapeados para atributos na tarefa do CA IdentityMinder Observa o para obter mais informa es consulte o Guia de Administra o Considere quais altera es do Servidor de provisionamento exigem a sincroniza o com o reposit rio de usu rios corporativo A sincroniza o de um n mero grande de altera es pode afetar o desempenho e a escalabilidade Fun es de provisionamento e modelos de conta O Servidor de provisionamento pode gerenciar contas no reposit rio de usu rios do CA IdentityMinder usando fun es de provisionamento e modelos de conta Isso requer que um terminal gerenciado que aponta para o reposit rio de usu rios do CA IdentityMinder tenha sido adquirido e que os modelos de conta e fun es apropriados existam Nesse caso os usu rios globais criados usando uma das op es descritas em Importar usu rios por meio do Servidor de provisionamento podem receber uma fun o de provisionamento que cria a conta de usu rio no reposit rio de usu rios do CA I
54. contas em terminais gerenciados como um sistema de email m Fun es de acesso Ofere a outra maneira de fornecer direitos no CA IdentityMinder As fun es incluem pol ticas que determinam o seguinte m Quem pode usar a fun o apenas para fun es administrativas e de acesso e onde poss vel us la m Quem pode gerenciar os administradores e integrantes da fun o m Quem pode modificar a defini o de fun o A avalia o de fun es e de seus privil gios associados pode ter um impacto significativo sobre o desempenho do CA IdentityMinder Como a avalia o da fun o afeta o desempenho no logon Quando um usu rio do CA IdentityMinder tenta efetuar logon no Console de usu rio as seguintes a es ocorrem 1 OCA IdentityMinder solicita ao usu rio que forne a credenciais como um nome de usu rio e uma senha 2 As credenciais de usu rio s o autenticadas por meio de um dos m todos a seguir m Autentica o nativa do CA IdentityMinder m Autentica o do SiteMinder se a implementa o do CA IdentityMinder incluir o SiteMinder 70 Guia de Implementa o Otimiza es de fun o 3 OCA IdentityMinder avalia cada pol tica de integrante para cada fun o administrativa no ambiente de modo a determinar quais fun es administrativas se aplicam ao usu rio Observa o essa avalia o ocorre apenas uma vez para um determinado usu rio Ap s a avalia o inicial o CA IdentityMinder armazena os
55. dade O componente alternativo deve estar em um site remoto para atingir a m xima prote o Consulte o cap tulo Provisionamento de alta disponibilidade do Guia de Instala o para obter os detalhes espec ficos da configura o de servidores e diret rios alternativos Diret rios de provisionamento de v rios sites poss vel criar diret rios de provisionamento principal e alternativo com os diret rios alternativos em um local remoto O CA Directory recomenda instalar tr s Diret rios de provisionamento um principal e dois alternativos Servidores de provisionamento de v rios sites Para se proteger contra falha do Servidor de provisionamento principal voc pode configurar um Servidor de provisionamento alternativo A diferen a entre os Servidores de provisionamento principal e alternativo que a instala o do servidor principal preenche as entradas do recipiente do Diret rio de provisionamento Al m disso a desinstala o de um servidor principal remove essas entradas Com exce o da instala o e da desinstala o os servidores principal e alternativo funcionam da mesma forma Servidores de conectores de v rios sites Para Java ou C Connector Server poss vel configurar v rios servidores de conectores para servir o mesmo terminal ou tipo de terminal Para cada servidor de conectores configurado voc dever configurar um servidor de conectores alternativo em um local remoto para tratar do mesmo termin
56. de falha v para a p gina de detalhes da tarefa e use a op o Resubmit Task para reenviar a tarefa Envie uma nova tarefa com as mesmas altera es Documentar o plano de recupera o Com base nas diretrizes deste cap tulo aconselhamos que voc desenvolva a documenta o de recupera o de falhas espec fica que se aplique sua organiza o Considere a seguinte abordagem 1 108 Guia de Implementa o Identifique os nomes e os locais de sistemas em sua arquitetura e os componentes alternativos para cada sistema Para cada sistema liste o software instalado como o JDK espec fico instalado a release de corre o de um servidor de aplicativos e a quantidade de mem ria instalada Esses detalhes s o necess rios para qualquer sistema que precise ser totalmente recriado Escreva procedimentos para recuperar cada componente ou para recriar um sistema completo se necess rio Identifique um m todo de localiza o ou redefini o de nomes de usu rio e senhas para sistemas e interfaces de usu rio do CA IdentityMinder caso eles sejam conhecidos apenas por uma ou duas pessoas Proteja sua documenta o de recupera o de falhas contra perda criando uma c pia de backup que voc armazena em um local fora da instala o Testar o plano de recupera o Testar o plano de recupera o Para ajudar a garantir uma recupera o bem sucedida ap s uma falha voc pode programar uma falha simulada em q
57. de integrante onde Departamento Recursos Humanos Escopo do usu rio Cidade Boston Escopo do grupo Nome do grupo Equipe do produto Escopo da fun o de provisionamento Nome Funcion rio Escopo da tarefa de acesso Nome Desenvolvimento Objetos de pol tica Poss veis pesquisas no reposit rio de usu rios 5 5 uma para cada objeto de defini o de regra 5 5 5 5 Nesse exemplo o CA IdentityMinder cria 15 objetos e executa 15 pesquisas de diret rio para determinar a associa o e o escopo Para limitar o n mero de objetos de pol tica e de pesquisas no reposit rio de usu rios que o CA IdentityMinder executa combine regras em express es complexas O exemplo abaixo especifica os mesmos direitos do primeiro exemplo como uma regra de integrante Cap tulo 6 Otimizando o CA IdentityMinder 75 Otimiza es de fun o Member Policies Member Rule Scope Rules Access Role where Name Development 3 Group where Department Administration where Group Name Product Team or Department Engineering or Department Human Resources 3 Provisioning Role where Name Employee 3 User where City Boston 3 Nesse exemplo o CA IdentityMinder cria apenas dez objetos de pol tica e executa apenas cinco pesquisas no reposit rio de usu rios Regra Objetos de Poss veis pesquisas pol tica no reposit rio de usu rios m Regra de integrante 5 5
58. dentityMinder CA GovernanceMinder anteriormente CA Role amp Compliance Manager CA SiteMinder CA User Activity Reporting CA AuthMinder Entrar em contato com o Suporte t cnico Para assist ncia t cnica online e uma lista completa dos locais principais hor rios de atendimento e n meros de telefone entre em contato com o Suporte t cnico pelo endere o http www ca com worldwide ndice Cap tulo 1 Gerenciamento de identidades e acesso 9 Gerenciamento de usu rios e acesso ao aplicativo iisirreereecrererere arara neraenterenareearerenaese atas nareantereneraanto 9 Direitos com base em FUN O cssciecsenaseniasanstaiides cncuizaned anna ese doce ii nie ns enii a ar aa ro Un did agia das Cad 10 Fun es admMiMIStratiVa Sisene pekunio eain iaae aeiae eaae aaen a RGUa NAS E A dan a eua do eea aaa Saca ela 10 Fun es dejprovisionamento ssissauerrtsenarsenbarerice da nlosantra ei eika TE EAEE do danada EE dede ANE AENEA 11 Fun es de ACESSO ian naa a lins sons EEE natas STRASS E Rea O dan UA ema LASAR SU das a Ceia aa 12 Fun es administrativas para gerenciamento de conta de usu rio iii rerereacarere arara nearraaananeaa 12 Gerenciamento de perfis em n vel de atributo sis erreereeneereneraaaeraanarannaeranereaaeesenaraaneeranarana 13 Aprova o de tarefas administrativas do fluxo de trabalho ir iiereeeeeeerererereseraeeerereresenannna 14 Fun e
59. dentityMinder Desenvolver um plano de implanta o Ao planejar uma grande implementa o necess rio implantar a funcionalidade do CA IdentityMinder em est gios A seguinte ordem de implanta o permite obter rapidamente um valor significativo do CA IdentityMinder avaliar as necessidades em constante mudan a da sua implementa o ao longo do tempo e construir cuidadosamente o ambiente para obter melhor desempenho e escalabilidade Gerenciamento de senhas e autoatendimento Pol ticas de identidade Aprova es de fluxo de trabalho Cap tulo 4 Planejando sua implementa o 59 Desenvolver um plano de implanta o Administra o delegada para objetos de usu rio grupo ou organiza o Administra o delegada para administra o de fun es Ap s cada est gio da implanta o certifique se de avaliar o desempenho e fazer ajustes antes de passar para a pr xima etapa A otimiza o do CA IdentityMinder na p gina 69 fornece informa es sobre desempenho ajuste e escalabilidade Implantar gerenciamento de senhas e autoatendimento Implante o gerenciamento de senhas e tarefas de autoatendimento antes de implantar outros recursos do CA IdentityMinder pelos seguintes motivos O gerenciamento de senhas e tarefas de autoatendimento s o f ceis de implantar e fornecem valor significativo rapidamente Esses recursos s o independentes do modelo da administra o delegada e podem ser reconfigurados conforme necess
60. der e outra funcionalidade como Servi os de senha e Logon nico Cap tulo 3 Arquitetura do CA IdentityMinder 41 Exemplo de instala es do CA IdentityMinder Extens es do Servidor de pol ticas do SiteMinder Permite a um Servidor de pol ticas do SiteMinder oferecer suporte ao CA IdentityMinder Instale as extens es em cada sistema do Servidor de pol ticas do SiteMinder na sua implementa o do CA IdentityMinder Reposit rio de pol ticas do SiteMinder Armazena informa es que o SiteMinder precisa para gerenciar o acesso a recursos da web Quando o CA IdentityMinder integra se ao SiteMinder o reposit rio de pol ticas tamb m inclui informa es sobre diret rios e ambientes do CA IdentityMinder para que o SiteMinder possa fornecer autentica o avan ada Observa o os componentes s o instalados em diferentes plataformas como nos exemplos No entanto voc pode escolher outras plataformas Os bancos de dados do CA IdentityMinder est o no Microsoft SQL Server e o reposit rio de usu rios est no IBM Directory Server O Servidor de pol ticas do SiteMinder est no AD LDS do Windows 42 Guia de Implementa o Cap tulo 4 Planejando sua implementa o Para planejar uma implementa o do CA IdentityMinder decida como o CA IdentityMinder gerenciar os usu rios e qual funcionalidade necess ria para que voc atinja seus objetivos de neg cios Veja algumas perguntas que devem ser levadas em consi
61. der separado para gerenciar cada reposit rio de usu rios Com esse m todo as informa es n o s o compartilhadas entre os ambientes Selecionar componentes a serem instalados A tabela a seguir lista os componentes a serem instalados para oferecer suporte funcionalidade que voc deseja implementar Observa o para obter instru es sobre como instalar esses componentes consulte o Guia de Instala o Se desejar Instale estes componentes Gerenciar as identidades de usu rio em um reposit rio de usu rios corporativos Provisionar contas em sistemas do terminal Servidor do CA IdentityMinder Servidor de provisionamento Diret rio de provisionamento Gerenciador de provisionamento Conectores Servidores de conectores Observa o para obter instru es sobre como instalar conectores consulte o Guia de Conector para o tipo de conector que voc deseja instalar Cap tulo 4 Planejando sua implementa o 51 Decidir requisitos de hardware Se desejar Instale estes componentes Implementar um ou mais dos recursos a seguir m Servidor de pol ticas do SiteMinder m Autentica o avan ada m Reposit rio de pol ticas m Pol ticas de senha avan adas m Agente web do SiteMinder m Diferentes capas de console para diferentes m Extens es do CA IdentityMinder para o Servidor de conjuntos de usu rios pol ticas m Configurar prefer ncias de localidade para usu rios Observa o para obter ins
62. dera o m Como gerencio usu rios m Preciso de provisionamento de conta m Quais s o meus requisitos de neg cios personalizados Devo implement los usando o fluxo de trabalho Com base nas decis es tomadas voc pode determinar a melhor maneira de implementar o CA IdentityMinder para o seu ambiente Esta se o cont m os seguintes t picos Decida o que gerenciar na p gina 43 Determinar requisitos de auditoria na p gina 48 Decidir requisitos de reposit rio de usu rios na p gina 50 Selecionar componentes a serem instalados na p gina 51 Decidir requisitos de hardware na p gina 52 Escolher um m todo de importa o de usu rios na p gina 55 Desenvolver um plano de implanta o na p gina 59 Decida o que gerenciar Decidir o que voc deseja gerenciar o ajudar a determinar quais componentes instalar Usando o CA IdentityMinder voc pode gerenciar o seguinte m Identidades de usu rios m Acesso a contas em sistemas do terminal Identidades de usu rios As identidades de usu rios representam as pessoas que uma empresa precisa gerenciar como funcion rios contratados fornecedores entre outros Para gerenciar as identidades de usu rios necess rio instalar apenas o Servidor do CA IdentityMinder e as Ferramentas administrativas Cap tulo 4 Planejando sua implementa o 43 Decida o que gerenciar Como configurar o suporte ao gerenciamento de usu rios No CA Identit
63. do pelo seguinte m Tipo de objeto que a tarefa gerencia m Regras de escopo que se aplicam fun o administrativa que inclui a tarefa As regras de escopo s o definidas nas pol ticas administrativas de integrante e de propriet rio m Crit rios de pesquisa definidos pelo usu rio Por exemplo considere uma tarefa Modificar usu rio que inclu da na fun o Gerenciador de usu rios A fun o Gerenciador de usu rios tem uma pol tica de integrante com uma regra de escopo que permite aos Gerenciadores de usu rios gerenciar usu rios na organiza o Funcion rios Um administrador abre a tarefa Modificar usu rio e insere os crit rios de pesquisa sobrenome que comece com A Nesse caso o escopo para a tarefa Modificar o usu rio inclui todos os usu rios na organiza o Funcion rios cujos sobrenomes comecem com A 78 Guia de Implementa o Otimiza es de tarefa Como o CA IdentityMinder processa as guias de relacionamento Uma guia de relacionamento permite que os usu rios exibam e gerenciem o relacionamento que a entidade de uma tarefa tem com um conjunto de direitos Por exemplo a guia Fun es de provisionamento mostra as fun es de provisionamento que um usu rio tem Para determinar os objetos que s o exibidos em uma guia de relacionamento o CA IdentityMinder executa v rias avalia es de seguran a que podem afetar significativamente o desempenho O exemplo a seguir mostra as etapas que o CA Identit
64. dores de atributos l gicos Observa o voc tamb m pode usar pol ticas de identidade e manipuladores de atributo l gico para implementar a l gica de neg cios personalizada Manipuladores de atributos l gicos Os manipuladores de atributos l gicos s o c digos Java personalizados que transformam os valores de atributo de usu rio usados nas telas de tarefas do CA IdentityMinder Usando os manipuladores de atributos l gicos voc pode controlar como um atributo f sico exibido em uma tela de tarefas Voc tamb m pode usar os manipuladores de atributos l gicos para transformar um valor de exibi o como custo na tela de tarefas em um ou mais atributos f sicos como pre o unit rio e quantidade que s o armazenados no reposit rio de usu rios Observa o para obter mais informa es sobre os manipuladores de atributos l gicos consulte o Guia de Programa o do Java Cap tulo 2 Atendendo s necessidades de neg cios 27 Aplicando a l gica de neg cios personalizada Aplicando a l gica de neg cios personalizada poss vel personalizar o CA IdentityMinder para implementar a l gica de neg cios de que sua empresa necessita O CA IdentityMinder inclui as seguintes op es para implementar a l gica de neg cios personalizada Pol ticas de identidade voc pode usar pol ticas de identidade para definir um conjunto de mudan as nos neg cios que ocorrem quando um usu rio atende a uma determinada cond
65. e acesso ao aplicativo O t pico departamento de TI Information Technology tecnologia da informa o enfrenta uma demanda constante para manter contas de usu rios Os administradores de TI deve atender s necessidades urgentes dos usu rios como redefini o de senhas esquecidas cria o de novas contas e fornecimento de suprimentos e equipamento de escrit rio Ao mesmo tempo eles precisam fornecer aos usu rios v rios n veis de acesso aos aplicativos Por exemplo um gerente de departamento gera ordens de compra e precisa de uma conta em um aplicativo financeiro Para atender a demandas cada vez maiores de TI o CA IdentityMinder fornece um m todo integrado para gerenciar os usu rios e o respectivo acesso aos aplicativos incluindo m Atribui o de privil gios por meio de fun es Especificamente Fun es que permitem que os administradores criem e mantenham contas de usu rio Fun es que provisionem contas adicionais a usu rios existentes requer provisionamento de suporte m Delega o de gerenciamento de usu rios e de acesso a aplicativos m Op es de autoatendimento para que os usu rios possam gerenciar suas pr prias contas m Integra o de aplicativos de neg cios com o CA IdentityMinder m Op es para personalizar e expandir o CA IdentityMinder Cap tulo 1 Gerenciamento de identidades e acesso 9 Direitos com base em fun o Direitos com b ase em fun o Voc concede privil
66. e fun es nas quais a entidade da tarefa um administrador m N mero total de objetos no sistema que o CA IdentityMinder exige para calcular as fun es da entidade m N mero de pol ticas administrativas de integrante por fun o Complexidade das regras de escopo da pol tica administrativa de integrante m A capacidade de manter as autoriza es em cache para os invocadores de tarefa limita o efeito das aplica es de seguran a Para determinar a associa o ao grupo e os privil gios administrativos nas guias de relacionamento de grupo o CA IdentityMinder deve pesquisar todos os grupos no reposit rio de usu rios O desempenho dessas pesquisas depende dos seguintes fatores m N mero de objetos de grupo no reposit rio de usu rios m N mero de integrantes de qualquer grupo m Desempenho do banco de dados ou diret rio onde est o reposit rio de usu rios 80 Guia de Implementa o Otimiza es de tarefa Processamento de tarefas e desempenho As tarefas administrativas incluem eventos a es que o CA IdentityMinder executa para concluir a tarefa Uma tarefa pode incluir v rios eventos Por exemplo a tarefa Criar usu rio pode incluir eventos que criam o perfil do usu rio adicionam o usu rio a um grupo e atribuem fun es Quando o CA IdentityMinder processa uma tarefa ele processa cada evento associado tarefa Durante o processamento do evento o CA IdentityMinder salva cada evento quatro vezes Isso pe
67. e saci gaitdoedialsi ca decida ai E ED CS va da So Naa dd pj a UV aa a 65 Autentica o do SiteMinder e rrrerereeereeeeraeeereaeaaaeaaarrereaanaaanaaa neces aaa aaaaaa cre a aaa a aanaaa acesa aaa aa aeaa 66 Cap tulo 6 Otimizando o CA IdentityMinder 69 Desempenho do CA IdentityMinder c e etrereereeeeaeerereree ae aaaaaaaeere aa naaneaaa recon naaaaaaare rose aaanananerenana 69 Otimiza es d fungi suascasesaisas emana e ida PURE LM aa doa dE RR ada Rca ads Oda CREDO UE Cad a FMI n ENC Ra a Aaea E diaaa a aanre Naai 70 Como a avalia o da fun o afeta o desempenho no logon sssessssssssssssrsrssesssrrsrrssnsrernrtrnsserrernnssnnsrenennssnnreneeennsn 70 Desempenho e objetos de f un O ssiiseiessirireiieisisineis einen niise inana apara a E a A aTa aaa arenosa a a Ea Otimizar avalia o da pol tica de fun o Diretrizes para cria o de regra de pol tica Otimiza es de tarefas ipren ara t EEE aE CEA EE G eea aaee O A a aa aea da canada ia 6 Guia de Implementa o Avalia o e desempenho do escopo da tarefa eeerererereeeraeeeaaererenereaanaraeeresenaaneaaereresnenana Como o CA IdentityMinder processa as guias de relacionamento Guias de relacionamento e desempenho sssssssssssssssrrsrrrsssessrernrsssssrrrernrssnnsrrrensssnsrernntnnssernttnnssnsreeennnsnnrenenennnn Processamento de tarefas e desempenho ccc berenn ai apaadi a naaa ai aaria i ie niian iaa
68. e trabalho personalizados se necess rio Desenvolver um plano de implanta o Aprova es de fluxo de trabalho em n vel de tarefa e ambiente O CA IdentityMinder oferece suporte a dois tipos de aprova o em n vel de ambiente e em n vel de tarefa As aprova es em n vel de ambiente s o definidas para todas as inst ncias de um evento independentemente das tarefas s quais est o associadas As aprova es em n vel de tarefa s o definidas para um evento espec fico associado a uma tarefa espec fica As aprova es em n vel de tarefa t m preced ncia sobre as aprova es em n vel de ambiente A maioria das aprova es definida em n vel de ambiente para assegurar que as mesmas atividades de fluxo de trabalho ocorram para um evento independentemente da tarefa qual est associado No entanto nas seguintes situa es considere a implementa o no do fluxo de trabalho em n vel de tarefa m Voc tem tarefas especializadas que executam altera es de neg cios espec ficas que geram eventos e que n o precisam de aprova es m Voc tem a es de altera es disparadas por pol ticas de identidade que geram eventos que n o exigem aprova o de fluxo de trabalho m Voc precisa de flexibilidade para associar processos de fluxo de trabalho espec ficos a altera es espec ficas de tarefa As aprova es em n vel de ambiente podem exigir recursos de sistema e processamento significativo conforme o v
69. e usu rio voc pode configurar como relat rios e ou consultas existentes do CA IdentityMinder CA UAR s o exibidos e modificados durante uma investiga o mais aprofundada de uma identidade espec fica Relat rios do CA UAR Os seguintes Relat rios do CA UAR s o fornecidos com as defini es de fun o do CA UAR por padr o Tarefa Todos os eventos do sistema por usu rio Gerenciamento de conta por host Cria es de conta por conta Exclus es de conta por conta Bloqueios de conta por conta Atividade do processo de certifica o por host Atividade de modifica o da pol tica de senha 20 Guia de Implementa o Chama o relat rio CA IdentityMinder Todos os eventos do sistema filtrados pela ID de usu rio Gerenciamento de conta por host Cria es de conta por conta Exclus es de conta por conta Bloqueios de conta por conta CA IdentityMinder Atividade do processo por host CA IdentityMinder Atividade de modifica o de pol tica Cap tulo 2 Atendendo s necessidades de neg cios Esta se o cont m os seguintes t picos Processando altera es nos neg cios na p gina 21 Cumprindo as pol ticas de neg cios na p gina 22 Aplicando requisitos de segrega o de tarefas na p gina 26 Transformando dados no reposit rio de usu rios na p gina 27 Aplicando a l gica de neg cios personalizada na p gina 28 Aprovando altera es nos neg cios na p gina 29
70. elat rios crer ecereeeacarereacaeeeaeanaaraaanaa EEN NE raSi a Restaurar tarefas adminiStratiVAS c a csececaisinencaadasan darem o ando sida Cosa a E aaea aia yE onda aaan eaaa kaasat riaa VENE Documentar o plano de recupera o Testar o plano de recupera o seas nsceaterercrussssaizadaiooonsnienviaataso ata adido adia SANS GURI ANAE ana ERC sa VR Ea SON eua ee da Testar o processo de toler ncia a falhas ererererereeeeaererereneaneaaere ronca eaaaaaare rose eaaanaaaerenana Testar os procedimentos de restaura o sssssssrrrsssesrrrrrrsressrrrerrtsssrerrtenssserretnnsssnrrranntsssnerttennsseeneennsennne Fornecer treinamento de recupera o de falhas rreeeseeereeerererereeenaeatere rena eaaaaaare renan eanaaeanererana 110 ndice 7 8 Guia de Implementa o Cap tulo 1 Gerenciamento de identidades e acesso Esta se o cont m os seguintes t picos Gerenciamento de usu rios e acesso ao aplicativo na p gina 9 Direitos com base em fun o na p gina 10 Fun es administrativas para gerenciamento de conta de usu rio na p gina 12 Fun es de provisionamento para contas adicionais na p gina 15 Gerenciamento de senha na p gina 16 Op es de autoatendimento para usu rios na p gina 17 Personaliza o e extensibilidade na p gina 17 Integra o do CA RCM na p gina 19 Integra o do CA User Activity Reporting na p gina 20 Gerenciamento de usu rios
71. entityMinder see e rreererereaeeerreereeeeaateaaarerereneaaaaaareresenenananerereana Instala o com componentes de provisionamento Instala o com Servidor de pol ticas do SiteMinder c e e reereeeeeeeeeeerererereraeaearereeeeeaenearerenana Cap tulo 4 Planejando sua implementa o 43 Decidao qu gerencia ereire a ia a aN EEE EEO a E a E CRC sado SRA EE EE EE fada ALEE diodo unas 43 Identidades de UsU rioS iinne ninenin anenai ea EE anana aE A Eq EAEE AN Wah ia AN o AEAEE aR EAEE da 43 Provisionamento de contas de outros aplicativos sssssssssessseerrrssssererrrssessrerenrtsnsrrrrrensssnrrerensssssrreennesssrerete 45 Determinar requisitos de auditoria sss sssesssrressssssrrrisrssserrrererssesrrernstsssterritensssntterenstsssrrtttassterrttenssserrerenssssererett 48 Considera es de auditoria do CA IdentityMinder ie eeeeerrerererereeeearererarenaaneaareerennananaanoo 49 C nsidera es sobre o CA Audit assssmasacaaniidaddo e iE a di ea a dad and DAS ERG En dida adendo dada 50 Decidir requisitos de reposit rio de usu rios ssssissiceniiidicineinessirii dianaake ansaan iaria daraa aeria dansani ianiai diana 50 Gerenciando v rios reposit rios de usu rios rrrreererereeacareneaaeareaanaaaeaanarereana eee anaaeraaanaraaaaa 50 Selecionar componentes a serem instaladoS sesssesssssesseeresssssserrerersssesrtrensssssreraresssseererenssenrerenssssreere
72. erenciar Funcionalidade Explorar e correlacionar Os recursos Explorar e correlacionar simplificam o gerenciamento de terminais detectando e sincronizando altera es em sistemas gerenciados O recurso Explorar localiza objetos incluindo contas em terminais e armazena refer ncias para eles no Diret rio de provisionamento Voc pode usar o recurso Explorar para detectar todos os objetos novos a serem gerenciados Por exemplo se voc provisionar contas em um diret rio LDAP e novas organiza es forem adicionadas nesse diret rio ser poss vel usar o recurso Explorar para apresentar essas novas organiza es para uso em modelos de conta O recurso Correlacionar associa uma conta em um terminal gerenciado a um usu rio global no Diret rio de provisionamento Quando uma altera o feita na conta por meio do terminal o recurso Correlacionar pode sincronizar essas altera es com a conta de usu rio global Observa o para obter mais informa es sobre a funcionalidade Explorar e correlacionar consulte o Guia de Administra o Como configurar o suporte para provisionamento Ap s decidir implementar o provisionamento conclua as seguintes etapas de alto n vel 1 Use o instalador do Servidor do CA IdentityMinder para instalar o Servidor do CA IdentityMinder o Servidor de provisionamento a inicializa o do Diret rio de provisionamento e as Ferramentas administrativas Observa o para obter mais informa es s
73. ever implementar o suporte ao provisionamento Os recursos de provisionamento s o fornecidos por meio do Servidor de provisionamento que integrado ao CA IdentityMinder O Servidor de provisionamento oferece a seguinte funcionalidade para o provisionamento de conta m Gerenciamento do terminal m Sincroniza o de conta m Modelos de conta m Funcionalidade Explorar e correlacionar Observa o as informa es de provisionamento s o armazenadas em um Diret rio de provisionamento Se o CA IdentityMinder mantiver usu rios em outro tipo de diret rio sua implanta o incluir um reposit rio de usu rios e um diret rio de provisionamento do CA IdentityMinder Cap tulo 4 Planejando sua implementa o 45 Decida o que gerenciar Gerenciamento do terminal Para provisionar contas defina e gerencie terminais no Console de usu rio do CA IdentityMinder Um terminal um sistema para o qual os usu rios precisam de acesso Exemplos de terminais incluem bancos de dados Oracle servidores UNIX NIS servidores Windows e Microsoft Exchange Servers Use Modelos de conta na p gina 46 para criar contas e determinar os recursos do usu rio em terminais gerenciados Observa o tamb m poss vel usar o Gerenciador de provisionamento para definir e gerenciar terminais Embora o uso do Console de usu rio para realizar a maioria das tarefas de gerenciamento de terminais seja recomend vel existem algumas tarefas que exigem o Gerenc
74. exigir um diret rio de provisionamento que inclua usu rios globais que s o associados a contas em terminais como Microsoft Exchange o Active Directory e Oracle Gerenciando v rios reposit rios de usu rios Uma empresa pode manter v rios reposit rios de usu rios Em cada reposit rio de usu rios a identidade do usu rio permite acessar diferentes recursos corporativos Voc pode usar um dos m todos a seguir para gerenciar v rios reposit rios de usu rios m Use o CA IdentityMinder para gerenciar diretamente o Diret rio de provisionamento e use o Servidor de provisionamento para gerenciar indiretamente os usu rios e contas nos diferentes reposit rios de usu rios Essa abordagem permite que voc Gerencie de maneira centralizada os usu rios que podem receber v rios recursos corporativos de um local Implemente regras de neg cios e de seguran a em comum pelos recursos da empresa Isso pode incluir o seguinte m Controle de acesso com base em fun o m Administra o delegada m Tarefas e telas que s o personalizadas de acordo com o tipo de identidade corporativa que gerenciam 50 Guia de Implementa o Selecionar componentes a serem instalados m Pol ticas de identidade para gerenciamento de identidades com base em regras m Personaliza o e extensibilidade Observa o para obter informa es sobre esses recursos consulte o Guia de Administra o m Crie um ambiente do CA IdentityMin
75. formam o status de uma tarefa Envio da tarefa que pode ser enviada por um aplicativo de terceiros ao TEWS Task Execution Web Service servi o web de execu o de tarefa do CA IdentityMinder O TEWS processa a solicita o de tarefa remota As solicita es de tarefa remota est o de acordo com os padr es WSDL Cap tulo 1 Gerenciamento de identidades e acesso 17 Personaliza o e extensibilidade 18 Guia de Implementa o Voc pode estender a funcionalidade do CA IdentityMinder usando as seguintes APIs API de atributo l gico permite exibir um atributo de forma diferente de como ele fisicamente armazenado em um diret rio de usu rios API do Manipulador de tarefas de l gica de neg cios permite executar a l gica de neg cios personalizada durante opera es de transforma o ou valida o de dados API do fluxo de trabalho fornece informa es a um script personalizado em um processo de fluxo de trabalho O script avalia as informa es e determina o caminho do processo de fluxo de trabalho corretamente API do resolvedor participante permite que voc especifique a lista de participantes que est o autorizados a aprovar uma atividade de fluxo de trabalho API de ouvinte de eventos permite que voc crie um ouvinte de eventos personalizado que escute um grupo de eventos ou evento espec fico do CA IdentityMinder Quando o evento ocorre o ouvinte de evento pode executar l gica de neg cios per
76. i o ou regra Por exemplo as pol ticas de identidade podem automatizar determinadas tarefas de gerenciamento de identidades como atribuir fun es ou aplicar regras de neg cios como impedir que os usu rios assinem e aprovem cheques acima de USS 20 000 Observa o para obter mais informa es sobre pol ticas de identidade consulte o Guia de Administra o Manipuladores de atributos l gicos voc pode associar esses manipuladores s telas de tarefas do CA IdentityMinder para controlar a exibi o e a modifica o de valores de atributo Para obter mais informa es consulte o Guia de Programa o do Java Manipuladores de tarefas de l gica de neg cios permitem executar a l gica de neg cios personalizada como a seguir durante as opera es de valida o de dados para uma tarefa do CA IdentityMinder Aplicando as regras de neg cios personalizadas por exemplo um administrador n o tem permiss o para gerenciar mais de cinco grupos Validando campos da tela de tarefas espec ficos do cliente por exemplo o valor de um campo ID do funcion rio deve existir no banco de dados de Recursos Humanos mestre Os manipuladores de tarefas de l gica de neg cios podem ser implementados em Java ou JavaScript Observa o para obter mais informa es consulte o Guia de Programa o do Java Fluxo de trabalho permite que voc crie defini es de processo personalizadas que s o associadas
77. iador de provisionamento como o gerenciamento de determinados atributos de terminal e o gerenciamento de objetos de terminal que n o sejam contas Para obter mais informa es sobre o Gerenciador de provisionamento consulte o Guia de Refer ncia de Provisionamento Sincroniza o de conta Modelos de conta Voc pode sincronizar contas de usu rio em v rios terminais gerenciados Quando a sincroniza o de contas ativada uma altera o feita em um perfil de usu rio no Servidor de provisionamento propagada para todos os terminais em que o usu rio possui uma conta Observa o especifique as configura es de sincroniza o de contas na guia Perfil de uma tarefa do CA IdentityMinder Para obter mais informa es sobre como configurar a sincroniza o de contas consulte o Guia de Administra o Os modelos de conta definem como um usu rio representado em um terminal gerenciado Por exemplo um modelo para uma conta do Exchange definiria o formato do endere o de email de um usu rio como lt iniciais gt lt sobrenome gt O minha empresa com Os modelos de conta tamb m determinam os privil gios que um usu rio tem em um sistema gerenciado Por exemplo al m de definir o formato de um endere o de email um modelo para uma conta do Exchange tamb m pode limitar o tamanho da caixa de correio de um usu rio Voc cria e gerencia modelos de conta no Console de usu rio 46 Guia de Implementa o Decida o que g
78. idade O CA IdentityMinder continua a reavaliar e aplicar pol ticas de identidade at que o usu rio seja sincronizado com todas as pol ticas aplic veis ou at que o CA IdentityMinder atinja o n vel m ximo de recurs o que definido no Management Console Por exemplo uma pol tica de identidade pode alterar o departamento de um usu rio quando o usu rio recebe uma fun o O novo departamento dispara outra pol tica de identidade No entanto se o n vel de recurs o for definido como 1 a altera o subsequente n o ser feita at que o usu rio seja sincronizado novamente Para obter mais informa es sobre como definir o n vel de recurs o consulte a Ajuda online do Management Console 86 Guia de Implementa o Otimiza es de pol tica de identidade Criar pol ticas de identidade eficientes Use as seguintes diretrizes ao criar pol ticas de identidade Condi o da pol tica de identidade onde C digo de tarefa 100 Quem s o os integrantes da fun o de provisionamento Gerente da conta Limitar o n mero de objetos de pol tica O CA IdentityMinder cria objetos no reposit rio de objetos que oferecem suporte a pol ticas de identidade Para reduzir o n mero de objetos no reposit rio de objetos crie pol ticas de identidade com express es complexas Uma abordagem semelhante recomendado para pol ticas de fun o na p gina 74 Limitar itera es do conjunto de pol ticas de
79. idade Para ativar essa otimiza o indexe os seguintes atributos que o Servidor de provisionamento usa para resolver a associa o ao grupo no cache do Diret rio de provisionamento eTID O atributo exclusivo de ID de objeto Para pesquisas de associa o ao grupo O valor um usu rio ou grupo espec fico envolvido na pesquisa eTPID A ID pai do objeto usado ao procurar pelos relacionamentos de associa o eTCID A ID filho do objeto usado ao procurar pelos relacionamentos de associa o 84 Guia de Implementa o Otimiza es de pol tica de identidade Al m disso adicione as seguintes entradas de hash eTSuperiorClass O tipo do objeto pai em uma pesquisa de associa o eTSubordinateClass O tipo do objeto filho em uma pesquisa de associa o Observa o para obter mais informa es sobre o cache do Diret rio de provisionamento consulte o Guia de Instala o Otimiza es de pol tica de identidade Uma pol tica de identidade um conjunto de altera es nos neg cios que ocorrem quando um usu rio atende a uma determinada condi o ou uma regra Essas altera es podem incluir atribui o ou revoga o de fun es atribui o ou revoga o de associa o ao grupo e atualiza o de atributos em um perfil de usu rio O CA IdentityMinder avalia pol ticas de identidade quando ocorre a sincroniza o de usu rios O desempenho da pol tica de identidade afetado pelo seguinte Como
80. igura o m Se uma pol tica de identidade estiver na lista de pol ticas aplic veis e a pol tica n o tiver sido aplicada ao usu rio anteriormente o CA IdentityMinder adicionar a pol tica a uma lista de aloca o m Se uma pol tica de identidade estiver na lista de pol ticas aplic veis a pol tica tiver sido aplicada ao usu rio anteriormente e a configura o Aplicar uma vez para a pol tica estiver desativada o CA IdentityMinder adicionar a pol tica a uma lista de realoca o m Se uma pol tica de identidade n o estiver na lista de pol ticas aplic veis a pol tica tiver sido aplicada ao usu rio e o usu rio deixar de corresponder condi o da pol tica O CA IdentityMinder adicionar essas pol ticas a uma lista de desaloca o Depois que o CA IdentityMinder avaliar todas as pol ticas para um usu rio aplicar as pol ticas na seguinte ordem a Pol ticas de identidade da lista de desaloca o b Pol ticas de identidade da lista de aloca o c Pol ticas de identidade da lista de realoca o Depois que as pol ticas de identidade tiverem sido aplicadas o CA IdentityMinder reavaliar as pol ticas para ver se outras altera es ser o necess rias com base nas altera es que ocorreram no primeiro processo de sincroniza o etapas de 2 a 4 Isso feito para garantir que as altera es realizadas atrav s da aplica o de pol ticas de identidade n o acionem outras pol ticas de ident
81. igurar uma arquitetura redundante do CA IdentityMinder voc pode garantir que os servi os sejam altamente disponibilizados para os usu rios Quando um componente principal falha o componente alternativo continua fornecendo o mesmo servi o Al m disso voc pode fazer backup rotineiro de sistemas e softwares essenciais para que seja poss vel restaurar qualquer sistema ou dado que seja totalmente perdido Este documento fornece diretrizes gerais de planejamento para esses cen rios Aconselhamos que voc use essas diretrizes para desenvolver procedimentos espec ficos de recupera o de falhas que atendam aos requisitos de sua organiza o Cap tulo 7 Criando um plano de recupera o de falhas 99 Como planejar a recupera o de falhas Como planejar a recupera o de falhas Para desenvolver um plano de recupera o de falhas eficiente voc se envolve nas fases a seguir que s o detalhadas neste cap tulo S Fase 1 Definir requisitos da recupera o de falhas na p gina 101 De acordo com as suas necessidades organizacionais identifique quais tipos de falhas prever e qu o rapidamente voc dever restaurar os servi os 2 Desenvolver uma arquitetura redundante na p gina 102 De acordo com os seus requisitos desenvolva uma arquitetura com componentes redundantes em um local remoto 3 Desenvolver planos de backup na p gina 104 Para proteger sua instala o desenvolva planos para fazer o backup de c
82. imento do administrador Para implantar pol ticas de identidade execute as seguintes etapas 1 Configure pol ticas de identidade que s o disparadas por altera es em atributos de perfil do usu rio 2 Configure a fun o Gerenciador de usu rios para permitir que um n mero pequeno de administradores use as tarefas de usu rio como Criar usu rio e Modificar o usu rio de modo a alterar os atributos que disparam as pol ticas de identidade Certifique se de configurar as regras de escopo nas pol ticas de integrante do Gerenciador de usu rios para determinar o conjunto de usu rios que os integrantes da fun o podem gerenciar Cap tulo 4 Planejando sua implementa o 61 Desenvolver um plano de implanta o Observe o seguinte ao implantar pol ticas de identidade Considere criar inicialmente pol ticas de identidade que concedam direitos que n o exigem aprova es de fluxo de trabalho Isso permite que voc implante pol ticas de identidade sem precisar definir os processos de fluxo de trabalho formul rios de aprova o e modelos de aprovador Antes de criar pol ticas de identidade voc deve estar familiarizado com outros m todos de implementa o das regras de neg cios no CA IdentityMinder como regras de valida o de dados atributos l gicos manipuladores de tarefas de l gica de neg cios e processos de fluxo de trabalho de modo a determinar qual m todo oferece a melhor solu o Observa o
83. ionamento E O TO Utilit rio de lote etautil Um utilit rio da interface de linha de No momento suportado comando que permite gerenciar objetos no somente nos sistemas Windows Diret rio de provisionamento Explorar e correlacionar Detecta novos objetos que o Servidor Por padr o a funcionalidade de provisionamento pode gerenciar em Explorar e correlacionar um terminal conhecido incluindo disponibilizada para os usu rios conectores atualmente suportados Pode ser estendida Fornece recursos de correla o para com conectores personalizados inst ncias de objeto existentes no terminal e no Servidor de A op o Correlacionar pode provisionamento afetar a escalabilidade quando Informa es adicionais podem ser se est trabalhando com uma encontradas no t pico Funcionalidade grande variedade de Explorar e correlacionar popula es de usu rios Se voc selecionar essa op o de importa o certifique se de avaliar as implica es de desempenho e escalabilidade 58 Guia de Implementa o Desenvolver um plano de implanta o Sincronizar usu rios globais com o reposit rio de usu rios do CA IdentityMinder Ap s importar usu rios no Servidor de provisionamento voc pode usar os seguintes m todos para adicionar esses usu rios no reposit rio de usu rios do CA IdentityMinder Sincroniza o de entrada A sincroniza o de entrada mant m os usu rios do CA IdentityMinder atualizados
84. ios Op es de autoatendimento para usu rios Para reduzir ainda mais a carga de trabalho de TI o CA IdentityMinder inclui recursos para registrar novos usu rios e fornecer uma senha esquecida Esses recursos n o exigem o envolvimento do administrador O usu rio ganha acesso ao CA IdentityMinder por meio de um console p blico o que n o requer uma conta de logon Com esse console um usu rio pode se autorregistrar em um site ou solicitar um lembrete para uma senha esquecida Para poupar tempo dos administradores de TI os usu rios do CA IdentityMinder podem gerenciar suas pr prias contas Como os usu rios t m uma fun o de autogerenciamento eles podem Manter informa es pessoais Alterar a pr pria senha Ingressar em grupos com autoinscri o Personaliza o e extensibilidade Voc pode personalizar estes recursos do CA IdentityMinder O diret rio do CA IdentityMinder que descreve uma estrutura de reposit rio de usu rios para o CA IdentityMinder A apar ncia e a funcionalidade da interface do usu rio Telas de entrada do usu rio que determinam os campos e o layout de cada tela de tarefa Valida o de entrada de dados do usu rio por meio de implementa es Java JavaScript ou express o regular Fluxo de trabalho que define processos automatizados de fluxo de trabalho Crie ou modifique processos vinculando aprovadores e a es no Designer de processos do WorkPoint Mensagens de email que in
85. ios com pol ticas de identidade e uma op o de sincroniza o de contas de provisionamento que sincroniza os usu rios com contas provisionadas As op es permitem sincronizar usu rios quando uma tarefa ou um evento conclu do Para eliminar o tempo de avalia o e processamento defina a sincroniza o para ocorrer quando uma tarefa for conclu da em vez de quando os eventos forem conclu dos Diretrizes para otimiza es de administrador integrante do grupo Para melhorar o desempenho de pesquisas por integrantes e administradores do grupo considere o seguinte Defina atributos conhecidos no arquivo de configura o de diret rio directory xml que descreve a estrutura e o conte do do reposit rio de usu rios para o CA IdentityMinder Um atributo conhecido um atributo que tem um significado especial no CA IdentityMinder Para melhorar as pesquisas por administrador integrante do grupo defina os seguintes atributos conhecidos para o objeto de usu rio MEMBER OF Identifica um atributo no objeto do usu rio que armazena uma lista de grupos quando o usu rio um integrante Quando definido esse atributo podem impedir que o CA IdentityMinder pesquise todos os integrantes de todos os grupos no reposit rio de usu rios As pesquisas no grupo podem afetar significativamente o desempenho em grupos muito grandes ADMINISTRATOR OF Identifica um atributo no objeto do usu rio que armazena uma lista de g
86. ios e do respectivo acesso a aplicativos e contas nos sistemas do terminal De acordo com a funcionalidade necess ria selecione quais componentes do CA IdentityMinder instalar Em todas as instala es do CA IdentityMinder o Servidor do CA IdentityMinder instalado em um servidor de aplicativos Use o Instalador do CA IdentityMinder para instalar os outros componentes necess rios As pr ximas se es mostram alguns exemplos de implementa es do CA IdentityMinder em um alto n vel Instala o com componentes de provisionamento O provisionamento do CA IdentityMinder permite criar um Ambiente que se conecta a um Servidor de provisionamento para o provisionamento de contas a v rios sistemas do terminal Voc pode atribuir fun es de provisionamento a usu rios criados no CA IdentityMinder As fun es de provisionamento s o fun es com modelos de conta que definem contas que os usu rios podem receber nos sistemas do terminal As contas fornecem aos usu rios acesso a recursos adicionais como uma conta de email Ao atribuir uma fun o de provisionamento a um usu rio este recebe as contas definidas pelos modelos de conta na fun o Os modelos de conta tamb m definem como os atributos do usu rio s o mapeados para contas As contas s o criadas em terminais gerenciados definidos pelos modelos de conta Cap tulo 3 Arquitetura do CA IdentityMinder 39 Exemplo de instala es do CA IdentityMinder A figura a seguir
87. ityMinder necess rio o seguinte m Um banco de dados de auditoria m Um arquivo de configura es de auditoria Banco de dados de auditoria Ao usar o Instalador do CA IdentityMinder o CA IdentityMinder configura uma conex o com um nico banco de dados chamado Banco de dados do CA IdentityMinder e cria uma origem de dados para conex o com as tabelas de banco de dados de auditoria Observa o o Banco de dados do CA IdentityMinder tamb m inclui dados que est o sendo usados por outras funcionalidades do CA IdentityMinder incluindo persist ncia de tarefa fluxo de trabalho e gera o de relat rios Para fins de escalabilidade voc pode criar uma inst ncia separada de um banco de dados para auditoria Observa o para obter mais informa es sobre o banco de dados de auditoria consulte o Guia de Instala o Configura es de auditoria poss vel definir as configura es de auditoria em um arquivo de configura es de auditoria Um arquivo de configura es de auditoria determina a quantidade e o tipo de informa o que o CA IdentityMinder audita Voc pode definir um arquivo de configura es de auditoria para executar as seguintes a es m Ativar a auditoria para um ambiente do CA IdentityMinder m Ativar a auditoria de alguns ou todos os eventos do CA IdentityMinder gerados pela tarefas administrativas m Registrar informa es sobre eventos em determinados estados por exemplo quando um evento
88. lementa o Connector Xpress Componentes do CA IdentityMinder O Connector Xpress o utilit rio do CA IdentityMinder para gerenciamento de conectores din micos mapeamento de conectores din micos para terminais e defini o de regras de roteamento para terminais Voc pode us lo para configurar conectores din micos de modo a permitir o provisionamento e o gerenciamento de bancos de dados SQL e diret rios LDAP O Connector Xpress permite criar e implantar conectores personalizados sem conhecimento t cnico em geral necess rio durante a cria o de conectores gerenciados pelo Gerenciador de provisionamento Voc tamb m pode configurar editar e remover uma configura o de servidor de conectores Java e C usando o Connector Xpress A principal entrada para o Connector Xpress o esquema nativo de um sistema do terminal Por exemplo voc pode usar o Connector Xpress para se conectar a um RDBMS e recuperar o esquema do banco de dados SQL Voc pode usar o Connector Xpress para criar mapeamentos das partes do esquema nativo que s o relevantes para o gerenciamento e o provisionamento de identidade Um mapeamento descreve como a camada de provisionamento representa um elemento do esquema nativo O Connector Xpress gera metadados que descrevem para um conector os mapeamentos de tempo de execu o para um sistema de destino A sa da do Connector Xpress um documento de metadados gerado quando voc conclui seus mape
89. lui autentica o nativa que protege o Console de usu rio por padr o O Management Console n o protegido por padr o mas voc pode configurar o CA IdentityMinder para proteg lo O CA SiteMinder tamb m pode ser usado para proteger o Management Console Autentica o do SiteMinder Para configurar outros tipos de autentica o para o Console de usu rio como certificado ou chave de autentica o o CA IdentityMinder deve integrar se ao SiteMinder Observa o para obter mais informa es consulte o Guia de Configura o Cap tulo 5 Integra o com o SiteMinder 67 Cap tulo 6 Otimizando o CA IdentityMinder Esta se o cont m os seguintes t picos Desempenho do CA IdentityMinder na p gina 69 Otimiza es de fun o na p gina 70 Otimiza es de tarefa na p gina 77 Diretrizes para otimiza es de administrador integrante do grupo na p gina 83 Otimiza es de pol tica de identidade na p gina 85 Ajuste do reposit rio de usu rios na p gina 89 Ajuste de componentes do provisionamento na p gina 91 Ajuste dos componentes de tempo de execu o na p gina 91 Desempenho do CA IdentityMinder O desempenho do CA IdentityMinder depende do desempenho individual de diferentes recursos e componentes Voc pode otimizar as seguintes funcionalidades em um ambiente do CA IdentityMinder m Fun es m Tarefas m Gerenciamento e associa o ao grupo m Pol ticas de ide
90. luxo de trabalho fornecidos com o CA IdentityMinder Se preferir voc pode criar processos de fluxo de trabalho personalizados Fun es de provisionamento para contas adicionais No CA IdentityMinder voc fornece contas adicionais a usu rios usando as fun es de provisionamento As fun es de provisionamento cont m modelos de conta que definem contas existentes em terminais gerenciados como um servidor de email Depois que os usu rios estiverem no CA IdentityMinder voc poder atribuir fun es de provisionamento a alguns deles O usu rio recebe as contas definidas pelos modelos na fun o Exchange Server Conta de email Banco de dados do Ingres Fun o com Conta do banco modelos de de dados conta Cap tulo 1 Gerenciamento de identidades e acesso 15 Gerenciamento de senha Os modelos de conta definem as caracter sticas da conta Por exemplo um modelo de conta para uma conta do Exchange pode definir o tamanho da caixa de correio Os modelos de conta tamb m definem como os atributos do usu rio s o mapeados para contas Para poder usar fun es de provisionamento preciso instalar o Servidor de provisionamento com o servidor do CA IdentityMinder Assim voc poder criar modelos de conta no Console de usu rio Gerenciamento de senha 16 Guia de Implementa o O CA IdentityMinder inclui v rios recursos para gerenciar senhas de usu rio Pol ticas de senha essas pol
91. m servidor de relat rios Se voc perder o servidor de relat rios consulte a documenta o do Business Objects para ver os procedimentos que devem ser aplicados No site de documenta o da SAP verifique a documenta o do Business Objects Enterprise Release 2 e Release 2 SP 4 Cap tulo 7 Criando um plano de recupera o de falhas 107 Documentar o plano de recupera o Restaurar tarefas administrativas Se uma tarefa administrativa estava em andamento no momento da falha ela poder ser recuperada sob as seguintes condi es Qualquer tarefa administrativa que estava em um estado Pendente aguardando aprova es continuar dispon vel se os reposit rios usados para manter essas informa es de estado forem preservados O reposit rio inclui o banco de dados de Persist ncia de tarefas o armazenamento JMS que mant m as mensagens JMS de tarefas e eventos bem como o banco de dados de Fluxo de trabalho As tarefas no estado Em andamento qualquer estado diferente de Pendente est o sujeitas s condi es adicionais Uma tarefa nesse estado exige a publica o de uma nova Mensagem JMS na Fila de mensagens de eventos do CA IdentityMinder para continuar sendo processada As interrup es que ocorrem antes que esse evento seja postado na fila impedem a tarefa de continuar na recupera o Nesse caso h duas op es para recuperar a tarefa Sea tarefa estiver presente na tarefa Exibir tarefas enviadas no estado
92. mento Sistemas externos Reposit rio de usu rios O servidor de provisionamento atualiza o Servidor do IdentityMinder Reposit rio de usu rios Diret rio de provisionamento Bancos de dados O CA IdentityMinder usa origens de dados para se conectar aos bancos de dados que armazenam informa es necess rias para oferecer suporte funcionalidade do CA IdentityMinder Esses bancos de dados podem residir em uma nica inst ncia f sica de um banco de dados ou em inst ncias separadas Objeto de banco de dados obrigat rio Cont m informa es de configura o do CA IdentityMinder Cap tulo 3 Arquitetura do CA IdentityMinder 33 Componentes do CA IdentityMinder Banco de dados de persist ncia de tarefas obrigat rio Mant m informa es sobre as atividades do CA IdentityMinder e seus eventos associados ao longo do tempo Isso permite que o sistema controle com precis o as atividades do CA IdentityMinder mesmo que voc reinicie o Servidor do CA IdentityMinder Banco de dados de arquivamento obrigat rio Arquiva dados do Banco de dados de persist ncia de tarefas Banco de dados do fluxo de trabalho Armazena defini es de processo do fluxo de trabalho tarefas scripts e outros dados exigidos pelo Mecanismo de fluxo de trabalho Banco de dados de auditoria Fornece um registro hist rico de opera es que ocorrem em um ambiente do CA IdentityMinder Observa o poss vel configur
93. na regra de pol tica m OCAldentityMinder armazena informa es de objeto de fun o e as avalia es anteriores no cache do reposit rio de objetos m Na maioria dos casos o desempenho ser t o bom quanto as regras de pol tica de organiza o m Fornece o melhor desempenho de pesquisa no reposit rio de usu rios sendo a menos afetada por grandes popula es de usu rios m Permite ativar a avalia o na mem ria para ganhos significativos de desempenho m O desempenho depende do tamanho do grupo e do tipo de reposit rio de usu rios Otimiza es de tarefa No CA IdentityMinder as tarefas que um usu rio visualiza no Console de usu rio dependem dos privil gios espec ficos desse usu rio Para exibir e executar tarefas o CA IdentityMinder deve realizar v rias avalia es de seguran a o que pode ter um impacto significativo no desempenho quando aplicadas a todos os usu rios em um ambiente do CA IdentityMinder O CA IdentityMinder executa avalia es de seguran a quando ocorrem as seguintes a es m O usu rio efetua logon no Console de usu rio Nesse caso o CA IdentityMinder deve avaliar as fun es do usu rio para determinar quais tarefas esse usu rio pode acessar no Console de usu rio m Um usu rio chama uma tarefa Quando uma tarefa chamada o CA IdentityMinder deve determinar quais objetos esse usu rio pode gerenciar com essa tarefa Cap tulo 6 Otimizando o CA IdentityMinder 77 Otimiza
94. ncia contas nos sistemas do terminal Esse servidor ser obrigat rio se a instala o do CA IdentityMinder oferecer suporte ao provisionamento de conta Observa o necess rio ter o Diret rio de provisionamento instalado remotamente ou localmente apenas para um ambiente de demonstra o em um Servidor do CA Directory antes de instalar o Servidor de provisionamento Servidor de pol ticas do SiteMinder Fornece a autentica o avan ada para o CA IdentityMinder e fornece acesso a recursos do SiteMinder como Servi os de senha e Logon nico Esse servidor opcional Cap tulo 3 Arquitetura do CA IdentityMinder 31 Componentes do CA IdentityMinder Reposit rio de usu rios e Diret rio de provisionamento 32 Guia de Implementa o Para fornecer op es de gerenciamento de usu rios e provisionamento de contas adicionais a esses usu rios o CA IdentityMinder coordena dois reposit rios de usu rios O reposit rio de usu rios do CA IdentityMinder o reposit rio de usu rios mantidos pelo CA IdentityMinder Geralmente esse um reposit rio existente que cont m as identidades de usu rio que uma empresa precisa gerenciar O reposit rio de usu rios pode ser um diret rio LDAP ou um banco de dados relacional No Management Console crie um objeto de Diret rio do CA IdentityMinder para se conectar ao reposit rio de usu rios e para descrever os objetos de reposit rio de usu rios que o CA IdentityMinder man
95. nectores C Connector Server CA IAM CS Um servidor de conectores um componente do Servidor de provisionamento que gerencia conectores Ele pode ser instalado no sistema do Servidor de provisionamento ou em um sistema remoto Um Servidor de conectores funciona com diversos terminais Por exemplo se voc tiver muitos terminais da esta o de trabalho UNIX voc poder ter um Servidor de conectores que manipule todos os conectores que gerenciam contas UNIX Outro Servidor de conectores pode manipular todos os conectores que solicitam contas do Windows O Servidor de conectores distribu do funciona com v rios Servidores de conectores Ele oferece balanceamento de carga quando um Servidor de conectores est ocupado e alta disponibilidade quando um Servidor de conectores desativado H dois tipos de servidores de conectores m O CAIAM Connector Server CA IAM CS gerencia conectores escritos em Java m O C Connector Server CCS gerencia conectores escritos em C O C Connector Server um servidor de conectores que gerencia conectores C Ele pode ser instalado no Servidor de provisionamento ou em um sistema remoto O C Connector Server oferece uma estrutura de aplicativo orientada a objetos que simplifica o desenvolvimento de conectores que s o respons veis pela comunica o entre o C Connector Server e o terminal O CA IAM CS um componente de servidor que manipula a hospedagem o roteamento e o gerenciament
96. nensssereenensan 51 Decidir requisitos de hardware c er eara E E EE EEEE ENESE Ea aeaa 52 Tipos de Implanta o ss sesdassse casa san aa aa a Lei aa TERA aaa ea a CR ada eaa rE Cia candido eea iaaa eta ada a ad Requisitos adicionais de provisionamento Requisitos adicionais para integra o do SiteMinder c e reereeeeeeeeeererereenaeeearereseeaaaanarereana 54 Escolher um m todo de importa o de usu rios sssesssessserisssesssererrrssrerrirersssnrrerensssssrerersnssserrerensssererensesssrrrett 55 Como importar usu rios em um novo reposit rio de usu rios iieerseereeereceerenereaneesenereaneesenerana 55 Sincronizar usu rios globais com o reposit rio de usu rios do CA IdentityMinder sciiiiiiis 59 Desenvolver um plano de implanta o ciiiieesees Implantar gerenciamento de senhas e autoatendimento Implantar pol ticas de identidade s s s sssisisoiransinestinsrnniesorsenarsestsedrans odes tin nannaa ideana aaaeaii aika dasida naasia Implantar aprova es de fluxo de trabalho sesssesssssessseresssssssernrersssnrrernnsssssrrrennssnsrernrenssserrernnsssssrreennesssrenete Implantar administra o delegada para usu rios grupos e organiza es essssesessrersssesrrrerssssrrerenresssrrreee 63 Implantar administra o delegada para fun es Cap tulo 5 Integra o com o SiteMinder 65 SiteMinder e CA Identity Mihder smiesn
97. nta o Para cada fun o administrativa voc pode criar tr s tipos de pol ticas Pol ticas de integrante Defina uma regra de integrante que determina os usu rios que recebem a fun o e as regras de escopo que determinam os objetos que os integrantes da fun o podem gerenciar Pol ticas administrativas Defina regras administrativas regras de escopo e privil gios de administrador para uma fun o Pol ticas de propriet rio Defina quem pode modificar uma fun o Otimiza es de fun o Para otimizar o desempenho quando o CA IdentityMinder avalia pol ticas de fun o considere o seguinte Limite o n mero de fun es administrativas em um ambiente do CA IdentityMinder Siga as diretrizes para a cria o de regras de pol ticas na p gina 73 Ajuste o reposit rio de usu rios Ajuste o reposit rio de pol ticas se o CA IdentityMinder incluir o SiteMinder Diretrizes para cria o de regra de pol tica Um dos principais fatores para determinar o desempenho geral das avalia es de pol tica de fun o o tempo necess rio para avaliar uma regra de pol tica Para melhorar o tempo de avalia o de regras de pol tica observe o seguinte ao criar uma pol tica Quando poss vel limite o n mero de objetos de pol tica que o CA IdentityMinder cria e o n mero de buscas no reposit rio de usu rios que ele executa ao criar regras de pol ticas com express es complexas Uma nica regra c
98. ntidade Para ganhos adicionais de desempenho voc tamb m pode ajustar os seguintes componentes m Reposit rio de usu rios m Componentes de provisionamento m Componentes de tempo de execu o incluindo os bancos de dados como o banco de dados de persist ncia de tarefas e configura es do servidor de aplicativos Para assegurar melhor desempenho configure a funcionalidade do CA IdentityMinder usando as diretrizes nas se es a seguir Em seguida avalie o desempenho e ajuste os componentes conforme necess rio Como os componentes trabalham juntos talvez precisem ser feitas v rias itera es at voc encontrar o melhor ajuste para as configura es do seu ambiente Cap tulo 6 Otimizando o CA IdentityMinder 69 Otimiza es de fun o Otimiza es de fun o O CA IdentityMinder inclui tr s tipos de fun o m Fun es administrativas Determine os privil gios de um usu rio no Console de usu rio Quando um usu rio efetuar logon em um ambiente do CA IdentityMinder a conta de usu rio ter uma ou mais fun es administrativas Cada fun o administrativa cont m tarefas como Criar usu rio que um usu rio pode realizar nesse ambiente do CA IdentityMinder As fun es administrativas que um usu rio possui determinam a apresenta o do Console de usu rio portanto os usu rios visualizam apenas as tarefas que s o associadas s suas fun es m Fun es de provisionamento Forne a aos usu rios
99. ntityMinder incluir provisionamento Servidor de provisionamento Pode ser instalado na mesma m quina que o servidor do CA IdentityMinder Inicializa o do Diret rio de provisionamento Importante a inicializa o do Diret rio de provisionamento deve ser instalada no CA Directory Gerenciador de provisionamento Pode ser instalado em qualquer m quina Windows que possa acessar o Servidor de provisionamento Observa o em um ambiente de desenvolvimento esses componentes podem ser instalados em uma m quina que tamb m inclua os componentes da instala o b sica Requisitos adicionais para integra o do SiteMinder 54 Guia de Implementa o Quando o CA IdentityMinder integra se ao SiteMinder a implementa o deve incluir os componentes da instala o b sica do CA IdentityMinder al m dos seguintes componentes adicionais Servidor de pol ticas Fornece gerenciamento de pol ticas bem como servi os de autentica o autoriza o e contabilidade O Servidor de pol ticas pode ser instalado no mesmo computador que o Servidor do CA IdentityMinder se o Servidor de pol ticas for dedicado ao CA IdentityMinder Se o Servidor de pol ticas estiver protegendo outros aplicativos recomend vel instal lo em uma m quina separada para garantir melhor desempenho Reposit rio de pol ticas Cont m todos os dados do Servidor de pol ticas Voc pode configurar um reposit rio de pol ticas em um banco de dados rel
100. o Ele tamb m fornece controles centralizados de pol tica de conformidade de identidade e automatiza processos associados ao atendimento de demandas de seguran a e conformidade Usando o CA RCM voc pode executar as seguintes tarefas Verificar se os privil gios de usu rio do CA IdentityMinder foram concedidos de acordo com as pol ticas de conformidade corporativa Obter fun es sugeridas e verifica o de conformidade ao criar ou modificar usu rios fun es e contas do CA IdentityMinder Compreender quais fun es existem em sua organiza o estabelecer um modelo de fun o adequado sua organiza o e recriar o modelo de fun o desejado no CA IdentityMinder Analisar e manter esse modelo de fun o medida que a empresa evolui O CA IdentityMinder integra se ao CA RCM de duas maneiras Conector do CA RCM para o CA IdentityMinder Um tipo especial de conector que sincroniza automaticamente os dados do privil gio entre o CA IdentityMinder e o CA RCM Ao usar esse conector voc pode importar dados do CA IdentityMinder no CA RCM ou exportar dados do CA RCM para o CA IdentityMinder Provisionamento inteligente Quando o CA IdentityMinder integra se ao CA RCM poss vel configurar a funcionalidade adicional que permite o uso de informa es de fun o e conformidade que est o dispon veis em um modelo de fun o de modo a oferecer suporte a opera es di rias de gerenciamento de identidades As altera es
101. o de conectores Java O CA IAM CS fornece uma alternativa Java ao C Connector Server De modo arquitet nico e funcional ele semelhante ao C Connector Server exceto pelo fato de que ele apresenta uma API Java em vez de uma API C que permite que seus conectores sejam implementados no Java Al m disso o CA IAM CS orientado a dados em vez de orientado ao c digo o que permite que mais funcionalidade seja englobada pelo recipiente ou CA IAM CS e n o pelos conectores em si O Servidor de provisionamento controla o provisionamento de usu rios e depois delega aos conectores usando o C Connector Server ou o CA IAM CS para gerenciar contas de terminal e grupos Cap tulo 3 Arquitetura do CA IdentityMinder 35 Componentes do CA IdentityMinder Conectores e agentes Os Conectores do CA IdentityMinder s o executados como parte da arquitetura mais ampla do Servidor de provisionamento e se comunicam com os sistemas gerenciados em seu ambiente Um conector funciona como um gateway para uma tecnologia de sistema do tipo de terminal nativo Por exemplo as m quinas que executam o ADS Servi os do Active Directory podem ser gerenciadas apenas se o conector do ADS estiver instalado em um Servidor de conectores com o qual o Servidor de provisionamento pode se comunicar Os conectores gerenciam os objetos que residem nos sistemas Os objetos gerenciados incluem contas grupos e opcionalmente objetos espec ficos de tipo de terminal
102. o de restaura o Consulte o cap tulo Provisionamento de alta disponibilidade do Guia de Instala o para obter detalhes Restaurar o reposit rio de usu rios do CA IdentityMinder Para restaurar o reposit rio de usu rios do CA IdentityMinder consulte a documenta o fornecida com seu software LDAP ou banco de dados Verifique se o reposit rio de dados do backup est intacto incluindo o acesso a todos os reposit rios de usu rios Cap tulo 7 Criando um plano de recupera o de falhas 105 Desenvolver procedimentos de restaura o Restaurar os bancos de dados do CA IdentityMinder Para restaurar os bancos de dados do CA IdentityMinder consulte a documenta o fornecida com o seu banco de dados Verifique se o reposit rio de dados do backup est intacto incluindo o acesso a todos os bancos de dados Restaurar o Reposit rio de pol ticas do SiteMinder Para restaurar o reposit rio de pol ticas do SiteMinder consulte a documenta o fornecida com seu software LDAP ou banco de dados Verifique se o reposit rio de dados do backup est intacto incluindo o acesso a todos os reposit rios de usu rios Restaurar o Servidor do CA IdentityMinder Se voc perder um n do cluster de um servidor do CA IdentityMinder execute as seguintes etapas 1 Use o procedimento documentado padr o para adicionar um n Consulte o cap tulo sobre instala o de cluster no Guia de Instala o 2 Atualize a conex o com o Servidor de
103. o de servi o web podem n o ser muito adequadas para os requisitos de alta taxa de transfer ncia das opera es de importa o em massa API do IM m Fornece APIs com base em usu rio que podem ser chamadas diretamente para a cria o de usu rios por meio de um cliente Java m Fornece a capacidade de taxa mais alta de transfer ncia m Ignora os mecanismos de auditoria e seguran a fornecidos pelo Servidor de tarefas m N o oferece suporte execu o de Pol ticas de identidade 56 Guia de Implementa o Observa o para obter mais informa es sobre o Carregador de itens em massa consulte o Guia de Administra o Para obter mais informa es sobre e TEWS e a API do IM consulte o Guia de Programa o do Java Escolher um m todo de importa o de usu rios Executar Pol ticas de identidade em usu rios importados Uma pol tica de identidade um conjunto de altera es nos neg cios que ocorrem quando um usu rio atende a uma determinada condi o ou uma regra Essas altera es podem incluir atribui o ou revoga o de fun es incluindo fun es de provisionamento para usu rios no diret rio de provisionamento atribui o ou revoga o da associa o ao grupo e atualiza o de atributos em um perfil de usu rio Voc pode usar pol ticas de identidade para aplicar as altera es nas contas de usu rio ap s terem sido importadas para um novo reposit rio de usu rios
104. o fun es e grupos A maioria das implementa es n o precisa fornecer essa funcionalidade aos administradores Para eliminar a sobrecarga adicional que ocorre quando o CA IdentityMinder avalia direitos administrativos desmarque a op o Gerenciar administradores nas guias a seguir se essa funcionalidade n o for necess ria m Fun es administrativas m Fun es de provisionamento m Fun es de acesso m Grupos Para permitir que os usu rios gerenciem direitos administrativos em guias espec ficas crie c pias das guias padr o ative a op o Gerenciar administradores e desative a op o Gerenciar integrantes Adicione as novas guias s tarefas especializadas que s o usadas somente por administradores que precisam delas Diretrizes para otimiza es de administrador integrante do grupo Ativar pesquisas com escopo nas guia de relacionamento de fun o poss vel configurar cada guia de fun o para incluir as pesquisas que permitem aos administradores especificar crit rios para novas fun es a serem atribu das a um usu rio As pesquisas de fun o limitam o n mero de regras de pol tica de integrantes e administrativa que o CA IdentityMinder deve avaliar para determinar quais fun es um administrador pode atribuir a um usu rio Definir op es de sincroniza o de tarefas Para cada tarefa do CA IdentityMinder poss vel especificar uma op o de sincroniza o de usu rios que sincroniza os usu r
105. obre como instalar os componentes do CA IdentityMinder consulte o Guia de Instala o 2 Configure o Gerenciador de provisionamento para se conectar ao Servidor do CA IdentityMinder 3 Configure o provisionamento no Management Console do CA IdentityMinder a Ative o provisionamento b Configure um ambiente para provisionamento executando as etapas a seguir Importando defini es de fun o personalizadas Configurando um administrador de entrada Conectando o ambiente com o Servidor de provisionamento Observa o para obter mais informa es consulte o Guia de Configura o Cap tulo 4 Planejando sua implementa o 47 Determinar requisitos de au ditoria 4 Crie terminais no Console de usu rio Isso permite que o CA IdentityMinder gerencie o terminal Observa o para obter mais informa es sobre gerenciamento de terminais consulte o Guia de Administra o 5 Explore e correlacione o terminal Ao explorar um terminal o CA IdentityMinder localiza os objetos no terminal e armazena as respectivas inst ncias no diret rio de provisionamento Esta a o preenche o diret rio de provisionamento com contas e outros objetos encontrados no terminal Ao correlacionar contas em um terminal o CA IdentityMinder as associa a um usu rio global no diret rio de provisionamento Voc pode escolher se a fun o de correla o criar algum usu rio global que n o esteja presente ou se ela associar cont
106. ociadas O ambiente do CA IdentityMinder controla o gerenciamento e a apresenta o gr fica de um diret rio Para obter mais informa es sobre diret rios e ambientes do CA IdentityMinder consulte o Guia de Configura o Modifique as tarefas e fun es administrativas para atender aos seus requisitos de neg cios As t picas modifica es de fun o incluem adi o ou remo o de tarefas padr o de fun es administrativas existentes ou cria o de fun es administrativas que t m como base as fun es padr o Decida o que gerenciar As t picas modifica es de tarefa incluem personaliza o das guias padr o do perfil de usu rio para incluir apenas as informa es que voc deseja gerenciar As guias de perfil padr o incluem todos os atributos que s o definidos para usu rios Para obter informa es sobre como modificar fun es e tarefas administrativas consulte o Guia de Design do Console de Usu rio 4 Atribua as fun es administrativas aos usu rios que executar o tarefas de gerenciamento de usu rios Provisionamento de contas de outros aplicativos A decis o de implementar o provisionamento depende do tipo de informa es que voc deve gerenciar Se voc estiver gerenciando um diret rio de usu rios central e n o desejar gerenciar contas de usu rio em outros sistemas o provisionamento n o ser necess rio Se desejar gerenciar contas de usu rio usando uma variedade de sistemas voc d
107. olume de transa es aumenta Consequentemente isso pode trazer problemas de desempenho e escalabilidade O uso de aprova es em n vel de tarefa quando apropriado pode reduzir ou eliminar esses problemas Implantar administra o delegada para usu rios grupos e organiza es A administra o delegada o gerenciamento dos usu rios e dos seus respectivos direitos com diferentes usu rios do CA IdentityMinder que executam as fun es de modificar atribuir e usar uma fun o Observa o os modelos de delega o deve ser cuidadosamente criados para garantir o bom desempenho e escalabilidade em sua implementa o do CA IdentityMinder A delega o aplicada pelas regras de escopo que s o definidas nas pol ticas administrativas e de integrante para fun es administrativas Uma regra de escopo determina os objetos em que um integrante da fun o pode usar a fun o Por exemplo uma regra de escopo pode permitir que um Gerenciador de usu rios gerencie usu rios em seu departamento mas n o em outros departamentos Geralmente as regras de escopo devem refletir a estrutura l gica do reposit rio de usu rios Por exemplo em um reposit rio de usu rios LDAP hier rquico o escopo pode ser definido por organiza es Em um banco de dados relacional o escopo pode ser definido usando atributos como ID de departamento Cap tulo 4 Planejando sua implementa o 63 Desenvolver um plano de implanta o Observe o
108. om uma express o complexa mais eficiente do que v rias regras com express es simples Quando poss vel selecione o tipo de regra de pol tica mais eficiente e expans vel Ative a op o de avalia o na mem ria para regras de pol tica A op o de avalia o na mem ria reduz significativamente o tempo de avalia o da pol tica ao recuperar informa es sobre um usu rio a ser avaliado no reposit rio de usu rios e ao armazenar uma representa o desse usu rio na mem ria O CA IdentityMinder usa a representa o na mem ria para comparar valores de atributo em rela o s regras da pol tica Observa o para obter mais informa es sobre a op o de avalia o na mem ria consulte o Guia de Configura o Ajuste o reposit rio de usu rios Ajuste o reposit rio de pol ticas se a sua implementa o do CA IdentityMinder incluir o SiteMinder Cap tulo 6 Otimizando o CA IdentityMinder 73 Otimiza es de fun o Limitar objetos de pol tica e pesquisas no reposit rio de usu rios Cada regra em uma pol tica de fun o exige um conjunto de objetos no reposit rio de objetos Quando o CA IdentityMinder avalia uma regra ele carrega esses objetos e realiza buscas necess rias no reposit rio de usu rios O exemplo a seguir mostra uma pol tica de integrante que inclui tr s regras de integrante Cada regra inclui quatro regras de escopo Member Policies Member Rule Scope Rules
109. omponentes 4 Desenvolver procedimentos de restaura o na p gina 105 Desenvolva procedimentos para restaurar componentes perdidos 5 Documentar o plano de recupera o na p gina 108 Documente os seus planos para a recupera o de uma falha do CA IdentityMinder 6 Testar o plano de recupera o na p gina 109 Com base nos seus procedimentos de recupera o de falhas verifique se poss vel restabelecer sua implementa o do CA IdentityMinder para o mesmo estado em que ele existia antes do evento 7 Fornecer treinamento de recupera o de falhas na p gina 110 Conclua o processo verificando se as pessoas respons veis por recuperar os sistemas de uma falha foram treinadas para isso 100 Guia de Implementa o Definir requisitos da recupera o de falhas Definir requisitos da recupera o de falhas Veja a seguir algumas orienta es gerais a serem consideradas na defini o de requisitos de um plano de recupera o de falhas 1 Monte uma equipe com os seguintes conhecimentos m Conhecimento da arquitetura e dos sistemas que oferecem suporte ao CA IdentityMinder m Conhecimento de como fazer backup dos bancos de dados relacionais e reposit rios de usu rios LDAP usados pelo CA IdentityMinder Identifique os poss veis cen rios de falhas a serem recuperados incluindo perda parcial ou completa de sistemas em um ou mais sites Liste os sistemas que imprescindivelmente precisam estar dispon
110. ospeda o CA IdentityMinder Ao configurar o pool de conex es JDBC observe o seguinte 92 Guia de Implementa o Considere a quantidade de tarefas simult neas que ser executada em um dado momento Considere os outros componentes de tempo de execu o ao configurar o tamanho do pool de conex es JDBC Cada componente de tempo de execu o funciona em conjunto com os outros componentes de tempo de execu o Observa o a CA recomenda definir o valor inicial do pool de conex es para 128 Para o banco de dados de persist ncia de tarefas o n mero de conex es de banco de dados no pool deve permitir que cada tarefa em execu o recupere e atualize os dados de tarefa e evento durante todo o tempo de vida til da tarefa O banco de dados de persist ncia de tarefas usa instru es preparadas N o se esque a de configurar o cache da instru o preparada para o banco de dados que voc est usando para armazenar dados de persist ncia de tarefas Observa o consulte a documenta o do banco de dados que voc est usando para persist ncia de tarefa de modo a obter informa es sobre como configurar o cache da instru o preparada Configura es do JMS Ajuste dos componentes de tempo de execu o Uma tarefa do CA IdentityMinder inclui eventos a es que o CA IdentityMinder executa para concluir uma tarefa Durante o ciclo de vida de um evento ele passa pelos seguintes estados BEGIN APPROVED EXECUTING
111. oss vel usar fun es administrativas para gerenciar as fun es e tarefas por meio das quais voc gerencia objetos de reposit rio de usu rios Por exemplo voc pode usar as fun es administrativas para modificar os atributos de perfil dos usu rios fornecer aos usu rios op es para gerenciar as pr prias contas e aprovar tarefas que usem fluxo de trabalho 12 Guia de Implementa o Fun es administrativas para gerenciamento de conta de usu rio Gerenciamento de perfis em n vel de atributo poss vel criar fun es administrativas para diferentes administradores que precisam ler ou gravar diferentes atributos de perfil Por exemplo uma empresa pode ter v rios funcion rios que executam opera es em perfis de usu rio cada um acessando atributos diferentes A figura a seguir mostra tr s fun es e suas tarefas associadas Cada fun o tem acesso diferente aos atributos do perfil Tarefas do administrador Fun es de Modificar senha administra o Exibir UID Administrador de TI Exibir nome Exibir sobrenome A UlD Dwalton Administrador Senha Segredo de suporte Exibir UID Modificar cargo Modificar nome Modificar sobrenome Modificar endere o Modificar dias de f rias Cargo Admin de rede Nome Dan Sobrenome W alton Administrador de RH Endere o 123 Ridge Rd Cidade MinhaCidade Estado S P Modificar cargo Exibir nome Exibir sobrenome Exibir dias de f ria
112. ra verificar se o componente alternativo est em uso Cap tulo 7 Criando um plano de recupera o de falhas 109 Fornecer treinamento de recupera o de falhas Testar os procedimentos de restaura o De acordo com sua documenta o de recupera o de falhas fa a um teste de cada componente essencial para verificar se poss vel restaurar o sistema perdido Fornecer treinamento de recupera o de falhas Se voc acredita que os procedimentos de recupera o s o confi veis ajude a garantir que as pessoas que devem implementar a recupera o estejam aptas a faz lo No entanto sua organiza o pode exigir outras etapas Veja a seguir algumas diretrizes gerais 1 Publique o local da documenta o de recupera o 2 Execute uma simula o do treinamento 3 Incorpore coment rios no final do treinamento para ajudar a garantir que os procedimentos de recupera o de falhas sejam suficientes Observa o voc tamb m pode optar por usar o treinamento como uma oportunidade para atribuir coordenadores de recupera o incluindo uma pessoa como o coordenador de recupera o e uma segunda pessoa como um coordenador alternativo Essas pessoas devem ser instru das a atender em um local documentado para dar in cio ao plano de recupera o de falhas 110 Guia de Implementa o
113. reposit rio de usu rios cciiiteeereeeeerereeraresenererecanaaeeenaaarese nar ereaaaaerentrarenada 27 Manipuladores de atributos l gicos ires eerereree rear care aa aai reaae rente rena aaa EEES 27 Aplicando a l gica de neg cios personalizada iiierrrereeeeeererererereeaaanaaaerereaeaaaaaaaa rose enaanaaaereresaananta 28 Considera es sobre o manipulador de tarefas de l gica de neg cios sererreererereaereaana 29 Considera es sobre o processo de fluxo de trabalho e ireeecerereaarerereanaeereanarerenanareada 29 Aprovando altera es Nos neg Cios ssa cusessesscncrancrsdasia dinda dovrado eba aE aa iaa aE iadaa s Anda ads saai S Sia da E iadaa aiii a dad 29 Cap tulo 3 Arquitetura do CA IdentityMinder 31 Componentes do CA IdentityMinder erre creereeacarena nana reaaanare aa aa area anaa a i i a 31 SERVIDORES cieee ra eae anean aae eea eaa eead e os dada aa dons ada ias Ele 31 Reposit rio de usu rios e Diret rio de provisionamento srereeeerererereearerenaeeenrereneesenrerenaasento 32 Bancos de dados viiendik anniren a enra eaaa ien AE i EEE ON end tan E va fama de dead diana dede ava oa a dent uu 33 Componentes do CoNeCtOr insiso saenracima indo ana EEEE aa VERA EE OE T AEL ES CS sapeca dana SC An EN aE dias a aa aaa 34 Componentes adicionais scenie nanaii aeann EEAS a TEO EAEra alada NENTA NOUEN ENNEN Ena ANTER 37 ndice 5 Exemplo de instala es do CA Id
114. rmite que o CA IdentityMinder preserve a es em andamento no caso de um desligamento inesperado do sistema Quando o CA IdentityMinder processa os diversos eventos ao mesmo tempo os eventos s o adicionados a uma fila Quando o primeiro evento conclui o primeiro est gio de seu ciclo de vida ele salvo e depois movido para o fim fila para aguardar o in cio do segundo est gio do processamento O CA IdentityMinder ent o conclui o primeiro est gio do processamento para o pr ximo evento na fila e esse evento movido para o fim da fila O processo continua at que todos os eventos na fila tenham conclu do o primeiro est gio do processamento Em seguida o primeiro evento na fila come a a segunda fase do processamento Isso continua at que todos os eventos na fila concluam todos os quatro est gios do processamento Em condi es de carregamento normal esse comportamento n o afeta o desempenho No entanto se o sistema estiver processando um grande n mero de tarefas e eventos por exemplo durante o carregamento em massa de uma grande popula o de usu rios cada evento e tarefa deve esperar mais na fila e portanto o tempo de conclus o mais longo Para evitar problemas de desempenho sob condi es de carregamento considere as seguintes a es m Use a configura o de Prioridade da tarefa na guia Perfil de uma tarefa A configura o Prioridade da tarefa permite definir a prioridade de uma tarefa para Alta M dia ou
115. rupos quando o usu rio um administrador Assim como o atributo MEMBER OF esse atributo conhecido pode eliminar as pesquisas em grupos amplos Cap tulo 6 Otimizando o CA IdentityMinder 83 Diretrizes para otimiza es de administrador integrante do grupo m Especifique o tipo de grupo no arquivo de configura o de diret rio O CA IdentityMinder oferece suporte a tr s tipos de grupo grupos padr o grupos aninhados de grupos din micos Ao definir o objeto de grupo no arquivo de configura o de diret rio voc pode especificar o tipo de grupo ao qual o reposit rio de usu rios oferecer suporte Se a sua implementa o n o oferecer suporte a grupos din micos ou aninhados defina o atributo Tipo de grupo da seguinte maneira GroupType NONE A configura o NONE especifica o suporte para grupos padr o A configura o padr o de Tipo de grupo ALL o que pode comprometer o desempenho Observa o para obter mais informa es sobre tipos de grupo e atributos conhecidos no arquivo de configura o de diret rio consulte o Guia de Configura o m Defina os ndices de cache do Diret rio de provisionamento para melhorar o desempenho de GlobalGroup Para implementa es do CA IdentityMinder que incluam uma combina o de reposit rio de usu rios e do Diret rio de provisionamento a associa o a GlobalGroup pode ser otimizada para avalia o de regras de pol ticas de pol ticas de fun es e ident
116. s Dias de f rias 17 Gerente de TI Nesse exemplo tr s fun es podem gerenciar diferentes atributos para o mesmo usu rio Dan Walton m Um administrador de suporte t cnico exibe nomes e endere os de usu rios e redefine senhas de usu rios m Um administrador de recursos humanos modifica IDs de usu rios nomes de usu rios endere os cargos e n mero de dias de f rias m Um gerente de TI modifica o cargo dos usu rios e exibe o nome e o n mero de dias de f rias Cap tulo 1 Gerenciamento de identidades e acesso 13 Fun es administrativas para gerenciamento de conta de usu rio Seja qual for as fun es que voc tenha ao efetuar logon no CA IdentityMinder uma s rie de guias denominadas categorias s o exibidas com base na fun o administrativa atribu da sua conta do CA IdentityMinder poss vel clicar em uma guia para ver as tarefas que voc pode executar nessa categoria conforme mostrado na figura a seguir Logged in as Supersd Home Users Tasks Certify User Create Contractor Create User Delete User Enable Disable User Manage Users Modify User Request User Modification Reset User Password View User View User Activity Manage Workitems As categorias e as tarefas nessas categorias que um usu rio v s o determinadas de acordo com as fun es administrativas do usu rio Aprova o de tarefas administrativas do fluxo de trabalho Para ajudar
117. s de identidade de Privil gios executivos Cumprindo as pol ticas de neg cios A conformidade uma governan a corporativa que inclui uma ampla variedade de procedimentos que garantem que uma empresa e seus funcion rios est o de acordo com as pol ticas de neg cios Esses procedimentos de conformidade geralmente envolvem documentar automatizar e auditorar a aloca o de direitos a aplicativos e sistemas O CA IdentityMinder inclui os recursos a seguir que oferecem suporte ao gerenciamento de conformidade m Provisionamento inteligente O Provisionamento inteligente um conjunto de funcionalidades que simplifica a atribui o de fun o de provisionamento quando o CA IdentityMinder integra se ao CA RCM Essa funcionalidade inclui m Fun es de provisionamento sugeridas O CA IdentityMinder pode fornecer aos administradores uma lista de fun es de provisionamento que podem ser adequadas para serem atribu das a um usu rio A lista de fun es de provisionamento determinada pelo CA RCM com base nos crit rios inseridos pelo administrador As fun es de provisionamento sugeridas ajudam a garantir que os usu rios tenham os privil gios corretos e que mantenham um modelo de fun o da empresa 22 Guia de Implementa o Cumprindo as pol ticas de neg cios m Conformidade e mensagens padr o Os administradores do CA IdentityMinder podem validar as altera es propostas em um modelo de fun es no CA RCM an
118. s de provisionamento para contas adicionais re erreeeerereacreraanaa area acareneaararenanaarraeanaresa 15 Gerenciamento de senha seas svesterensanttasia a acute sara Ea abas ida a do asa aaa aaraa aaa aeaa duas aa caia a rara iaa A 16 Op es de autoatendimento para usu rios cerserererceereneraa nara aaa saaa KEENE aeee nar aa aE E aia 17 Personaliza o e extensibilidad neiere nennen eaa a Ees eaa aa VERA nado GA AAAA QDO OR CE AA UA Eb da qu Gs 17 Integra o do CA RCM ssa senimasaiserisdenende amianto dada csaata aiaee aa da a aa da edad 5 Daqui a Ceia aa Aaa Aaaa E aaae S USE cab aus 19 Integra o do CA User Activity Reporting eres crererenaarreeanarereaara rea anca rena ana renan arara anaaerananarasa 20 Relat rios dO CA UAR secs sane atenas carecem den estao Leao Ca CR SL a a a aaa aaa LL o al E a eae ia ds 20 Cap tulo 2 Atendendo s necessidades de neg cios 21 Processando altera es nos neg cios iirrecrreracerearaacareeeanaar ea anarenaa aaa rea anna rena acena nan EEEN aE 21 Cumprindo as politicas de neg Cios qusss cec neesatirsoinacrt canabeniaaaa Cab ieonc tenis TRLA dad aha PO SUa GRI ASUS aNAS CRRN NIS na cas Ena Si E camtand edad 22 Relat rios de conformidade Lessee sasinda epean rea e ainin oaaae e aa bi Gado a RAS calada has 24 Aplicando requisitos de segrega o de tarefas rir ecerereacrerea anna area anarenea arara anca reaaanareneanaaraaanaaa 26 Transformando dados no
119. s informa es sobre relat rios consulte o Guia de Administra o Cap tulo 2 Atendendo s necessidades de neg cios 25 Aplicando requisitos de segrega o de tarefas Aplicando requisitos de segrega o de tarefas Os requisitos de SOD Segregation of Duties segrega o de tarefas impedem os usu rios de receberem privil gios que possam resultar em um conflito de interesses ou em fraude O CA IdentityMinder proporciona os seguintes recursos para oferecer suporte Pol ticas de identidade preventivas Essas pol ticas que s o executadas antes que uma tarefa seja enviada permitem que um administrador verifique viola es de pol ticas antes de atribuir privil gios ou alterar atributos do perfil Se uma viola o existir o administrador pode remov la antes de enviar a tarefa Por exemplo uma empresa pode criar uma pol tica de identidade preventiva que pro ba que os usu rios que tenham a fun o Gerenciador de usu rios tamb m tenham a fun o Aprovador de usu rios Se um administrador usar a tarefa Modificar usu rio para fornecer a um gerenciador de usu rios a fun o de Aprovador de usu rios o CA IdentityMinder exibir uma mensagem sobre a viola o O administrador pode alterar as atribui es de fun o para remover a viola o antes de enviar a tarefa Valida o de pol tica por meio do Provisionamento inteligente Os administradores do CA IdentityMinder podem validar as altera es propost
120. s relacional que cont m os registros de usu rios do CA IdentityMinder Os bancos de dados para Persist ncia de tarefas Fluxo de trabalho Auditoria Reposit rio de objetos Relat rios e Arquivamento de persist ncia de tarefas Fluxo de trabalho Persist ncia de tarefas e Auditoria que t m a frequ ncia mais alta de altera es e backups devem ser programados de acordo Um diret rio de usu rios LDAP ou um banco de dados relacional com objetos do Servidor de pol ticas do SiteMinder se voc estiver usando o SiteMinder Um diret rio de usu rio LDAP que cont m os registros para usu rios e objetos de provisionamento Os reposit rios usados para manter as mensagens de processamento de Evento de tarefas do CA IdentityMinder Banco de dados de instant neos Bancos de dados do Business Objects Relat rios personalizados e arquivos XML relacionados M todo de backup Consulte a documenta o fornecida com o banco de dados ou o software LDAP Consulte a documenta o fornecida com o software de banco de dados Consulte a documenta o fornecida com o banco de dados ou o software LDAP Consulte a documenta o do CA Directory Consulte a documenta o do servidor de aplicativos Consulte a documenta o fornecida com o software de banco de dados Consulte a documenta o do Business Objects Enterprise Release 2 e Release 2 SP4 no site de documenta o da SAP Componente Componentes do ser
121. seguinte ao implantar a administra o delegada para usu rios grupos e organiza es Limite o acesso s guias de relacionamento como as guias Fun es administrativas e Fun es de provisionamento nas tarefas relacionadas ao usu rio Essas guias de relacionamentos s o inclu das nas tarefas de usu rio padr o como Criar usu rio e Modificar usu rio Pense na possibilidade de remov las das tarefas padr o e us las apenas em tarefas especializadas que s o associados a um pequeno n mero de fun es administrativas O CA IdentityMinder avalia cada regra de escopo de forma din mica informa es de escopo n o s o armazenadas em cache Considere a possibilidade de criar regras de escopo que contenham consultas de diret rios simples para garantir o bom desempenho Avalie o desempenho das regras de escopo determinando quanto tempo o CA IdentityMinder leva para retornar os objetos que um administrador pode gerenciar Implantar administra o delegada para fun es A administra o delegada de fun o concede os privil gios mais significativos no CA IdentityMinder e pode ter o maior impacto na p gina 70 sobre o desempenho Por esses motivos voc deve considerar a implanta o da administra o delegada para fun es ap s a implanta o de todas as outras funcionalidades Ao implantar a administra o delegada para fun es observe o seguinte 64 Guia de Implementa o Limite o n mero de fun es admini
122. sonalizada API de regra de notifica o permite determinar os usu rios que devem receber uma notifica o por email API de modelo de email inclui informa es espec ficas de evento em uma notifica o por email Observa o para obter informa es sobre as APIs do CA IdentityMinder consulte o Guia de Programa o do Java Quando o CA IdentityMinder inclui provisionamento voc tamb m pode estender a funcionalidade de provisionamento da seguinte maneira Conectores personalizados ative a comunica o entre um Servidor de provisionamento e um sistema do terminal O c digo que integra um conector pode incluir um plugin de GUI plugin de servidor e plugin de agente Um conector din mico pode ser gerado pelo Connector Xpress e um conector est tico personalizado pode ser desenvolvido em Java ou C Observa o para obter mais informa es consulte o Guia do Connector Xpress Sa das de programa permite que voc fa a refer ncia a um c digo personalizado no fluxo de processo do Servidor de provisionamento Observa o para obter mais informa es sobre como estender a funcionalidade de provisionamento consulte o Guia de Programa o de Provisionamento que est dispon vel na m dia Componentes herdados Integra o do CA RCM Integra o do CA RCM O CA RCM um produto de gerenciamento do ciclo de vida de identidade que permite desenvolver manter e analisar precisamente os modelos de fun
123. spec ficas de administra o As etapas a seguir fornecem diretrizes para modificar tarefas Criar tarefas de gerenciamento de usu rios especializadas As tarefas padr o Criar usu rio Modificar usu rio e Exibir usu rios fornecem recursos administrativos completos Na maioria das implementa es apenas um pequeno n mero de administradores precisa de todos os recursos dispon veis Crie novas tarefas que incluem apenas os recursos necess rios Por exemplo se a maioria das tarefas de gerenciamento de usu rios envolver apenas o gerenciamento de grupos e perfis crie uma nova tarefa Modificar usu rio que inclua apenas as guias Perfil e Grupo Remova as guias Fun es administrativas Fun es do acesso e Fun es de provisionamento que est o dispon veis na tarefa padr o Modificar usu rio As guias n o usadas podem causar sobrecarga consider vel se forem deixadas nas tarefas usadas frequentemente Isso vale especialmente quando se usa um cliente do TEWS onde essas guias podem ser ativadas inadvertidamente por meio da classe Java tab que fornecida com o CA IdentityMinder As tarefas especializadas que voc cria devem corresponder ao modelo de administra o delegada na p gina 64 definido para o seu ambiente Desativar Gerenciar administradores nas guias de relacionamento Por padr o todas as guias de relacionamentos fornecem a capacidade de gerenciar direitos administrativos para o objeto que a guia gerencia com
124. strativas os integrantes da fun o administrativa e os administradores da fun o administrativa para proteger o ambiente e garantir o bom desempenho Depois de implantar a administra o delegada para fun es conduza testes de escalabilidade e desempenho Otimize o ambiente conforme necess rio Cap tulo 5 Integra o com o SiteMinder Esta se o cont m os seguintes t picos SiteMinder e CA IdentityMinder na p gina 65 Autentica o do SiteMinder na p gina 66 SiteMinder e CA IdentityMinder Quando o CA IdentityMinder integra se ao CA SiteMinder o CA SiteMinder pode adicionar as seguintes funcionalidades a um ambiente do CA IdentityMinder Autentica o avan ada O CA IdentityMinder inclui autentica o nativa para Ambientes do CA IdentityMinder por padr o Os administradores do CA IdentityMinder inserem um nome de usu rio e uma senha v lidos para efetuar logon em um Ambiente do CA IdentityMinder O CA IdentityMinder autentica o nome e a senha no reposit rio de usu rios que o CA IdentityMinder gerencia Quando o CA IdentityMinder integra se ao CA SiteMinder o CA IdentityMinder usa a autentica o b sica do CA SiteMinder para proteger o Ambiente Quando voc cria um Ambiente do CA IdentityMinder um dom nio da pol tica e um esquema de autentica o s o criados no CA SiteMinder para proteger o Ambiente Quando o CA IdentityMinder integra se ao CA SiteMinder tamb m poss vel usar a auten
125. te dos componentes de tempo de execu o Mensagens JMS e desempenho Para qualquer evento h de tr s a cinco estados que exigem mensagens JMS para transi o de estado BEGIN PENDING somente no controle de Fluxo de trabalho APPROVED ou REJECTED EXECUTING COMPLETED ou INVALID Para processar um nico evento as seguintes a es ser o executadas Tr s a cinco postagens na Fila de mensagens de eventos Tr s a cinco invoca es do Message Driven Bean Seis a dez conex es com o banco de dados de persist ncia de tarefas uma a o de leitura e uma a o de grava o por estado Essas a es podem afetar o tempo que o CA IdentityMinder leva para processar uma tarefa Para assegurar o melhor desempenho durante as transi es de estado ajuste os recursos JMS no servidor de aplicativos que hospeda o CA IdentityMinder para que ele se ajuste aos recursos JMS dispon veis Ajustando as configura es do JMS 94 Guia de Implementa o Os seguintes par metros de ajuste JMS do servidor de aplicativos definem as conex es de fila e os pools de inst ncia do Message Driven Bean Ajuste JMS do WebSphere O WebSphere fornece aos Queue Connection Factories dois par metros que voc pode configurar para melhorar o desempenho Use o Console de administra o do WebSphere para definir as seguintes propriedades Em Resources localize os seguintes Queue Connection Factories iam im neteQCF e iam im wpConnectionFactory
126. ter O Diret rio de provisionamento o reposit rio de usu rios mantido pelo Servidor de provisionamento Ele uma inst ncia do CA Directory e inclui usu rios globais que associa os usu rios no Diret rio de provisionamento com contas em terminais como Microsoft Exchange Active Directory e SAP Somente alguns usu rios do CA IdentityMinder t m um usu rio global correspondente Quando um usu rio do CA IdentityMinder recebe uma fun o de provisionamento o Servidor de provisionamento cria um usu rio global Componentes do CA IdentityMinder Diret rios de provisionamento e reposit rio de usu rios separado A figura a seguir mostra um reposit rio de usu rios separado e o Diret rio de provisionamento Nesta figura m Um administrador do CA IdentityMinder usa uma tarefa administrativa que edita um usu rio no reposit rio de usu rios que afeta o Diret rio de provisionamento Essa altera o tamb m pode atualizar um terminal por exemplo um servidor de email que tem um conector com o Servidor de provisionamento Uma altera o feita no Servidor de provisionamento ou um terminal com um conector para o Servidor de provisionamento atualiza o reposit rio de usu rios e o Diret rio de provisionamento do CA IdentityMinder Por exemplo um terminal como um aplicativo de Recursos Humanos pode atualizar os endere os de email dos usu rios Uma tarefa administrativa atualiza o diret rio de provisiona
127. tes de confirmar as altera es Validar as altera es antes que elas sejam confirmadas ajuda as empresas a manter o modelo que foi definido para suas opera es Os usu rios podem validar as altera es propostas nas fun es de provisionamento atribuindo as ou removendo as bem como as altera es nos atributos de usu rios O CA IdentityMinder executa dois tipos de valida o de pol tica Conformidade As altera es propostas s o validadas no modelo de fun o do CA RCM para verificar se elas violam regras de pol tica de neg cios predefinidas e expl citas no CA RCM Padr o As altera es propostas s o comparadas ao modelo de fun o do CA RCM para verificar se elas tornam o motivo da altera o fora de padr o O CA IdentityMinder tamb m garante que as altera es n o alterem significativamente um padr o estabelecido no modelo de fun o poss vel configurar o CA IdentityMinder para executar essas valida es automaticamente quando os usu rios executam determinadas tarefas ou permitir que os usu rios iniciem a valida o manualmente Voc pode implementar o Provisionamento inteligente em um Ambiente do CA IdentityMinder uma vez que h um modelo de fun o estabelecido com base nos dados do CA IdentityMinder no CA RCM Observa o para obter mais informa es consulte o Guia de Administra o Pol ticas de identidade poss vel criar uma pol tica de conformidade um tipo de pol
128. tica o do SiteMinder para proteger o Management Console Fun es e tarefas de acesso As fun es de acesso permitem que os administradores do CA IdentityMinder atribuam privil gios em aplicativos que o CA SiteMinder protege As fun es de acesso representam uma nica a o que um usu rio pode executar em um aplicativo de neg cios como a gera o de uma ordem de compra em um aplicativo financeiro Mapeamento de diret rio Um administrador pode precisar gerenciar usu rios cujos perfis existem em um reposit rio de usu rios diferente daquele que usado para autenticar o administrador Ao efetuar logon no Ambiente do CA IdentityMinder o administrador autenticado usando um diret rio e outro diret rio para autorizar o administrador a gerenciar usu rios Quando o CA IdentityMinder integra se ao CA SiteMinder poss vel configurar um Ambiente do CA IdentityMinder para usar diret rios diferentes para autentica o e autoriza o Cap tulo 5 Integra o com o SiteMinder 65 Autentica o do SiteMinder Capas de diferentes conjuntos de usu rios A capa muda a apar ncia do Console de usu rio Quando o CA IdentityMinder integra se ao CA SiteMinder poss vel ativar diferentes conjuntos de usu rios para ver diferentes capas Para fazer essa altera o use uma resposta do SiteMinder para associar uma capa a um conjunto de usu rios A resposta emparelhada com uma regra em uma pol tica que est associada
129. tru es sobre como instalar o Servidor de pol ticas e o reposit rio de pol ticas do SiteMinder consulte o Guia de Instala o do Servidor de Pol ticas do CA SiteMinder Web Access Manager Para obter instru es sobre como instalar o Agente web consulte o Guia de Instala o do Agente Web do CA SiteMinder Web Access Manager Gerar relat rios sobre a atividade do CA IdentityMinder Servidor de relat rios do IAM Decidir requisitos de hardware O hardware necess rio para uma instala o do CA IdentityMinder depende da funcionalidade que voc deseja implementar e do tamanho da sua implanta o As se es a seguir descrevem as implementa es t picas do CA IdentityMinder e os respectivos hardwares necess rios 52 Guia de Implementa o Decidir requisitos de hardware Tipos de implanta o Ao planejar o hardware necess rio para uma implanta o do CA IdentityMinder considere os recursos que deseja implementar e o tamanho inicial da implanta o Use uma das categorias a seguir para estimar o tamanho da implanta o Observa o o tipo de implanta o que voc seleciona determinar o tamanho do arquivo DxGrid que usado pelo Diret rio de provisionamento Especifique o tipo de implanta o ao instalar o Servidor do CA IdentityMinder Demonstra o Implanta o de um nico servidor para uso em demonstra es ou teste b sico em um ambiente de desenvolvimento Uma implanta o de demonstra o oferece
130. u rio Fun es de acesso As fun es de acesso fornecem uma maneira adicional de fornecer direitos no CA IdentityMinder ou outro aplicativo Por exemplo voc pode usar as fun es de acesso para realizar as seguintes tarefas m Fornecer acesso indireto a um atributo de usu rio m Criar express es complexas m Definir um atributo em um perfil de usu rio que usado por outro aplicativo para determinar os direitos As fun es de acesso s o semelhantes a pol ticas de identidade pois aplicam um conjunto de mudan as nos neg cios a um usu rio ou grupo de usu rios No entanto quando voc usa uma fun o de acesso para aplicar mudan as nos neg cios poss vel ver para quais usu rios as altera es ser o aplicadas exibindo os integrantes da fun o de acesso Na maioria dos casos as fun es de acesso n o est o associadas a tarefas Observa o quando o CA IdentityMinder se integra com o CA SiteMinder as fun es de acesso tamb m podem fornecer acesso aos aplicativos protegidos pelo CA SiteMinder Nesse caso as fun es de acesso incluem tarefas de acesso Para obter mais informa es consulte o cap tulo sobre a integra o com o SiteMinder no Guia de Configura o Fun es administrativas para gerenciamento de conta de usu rio No CA IdentityMinder voc pode gerenciar objetos de reposit rio de usu rios usu rios grupos e organiza es por meio de fun es administrativas Tamb m p
131. ue determinados sistemas tornam se indispon veis Considere os seguintes testes que s o descritos nas se es a seguir 1 2 Teste o processo de toler ncia a falhas Teste a restaura o dos sistemas Testar o processo de toler ncia a falhas Todos os servidores ou diret rios devem ter um servidor ou diret rio alternativo em um site remoto que inclua estes componentes Servidor do CA IdentityMinder Servidor de provisionamento Diret rios de provisionamento C e Java Connector Servers Servidor de relat rios Servidor de pol ticas Interrompa manualmente cada componente e verifique se todas as opera es continuam funcionando usando o componente alternativo Por exemplo voc pode executar o teste a seguir do Servidor de provisionamento 1 Em um sistema com o Servidor de provisionamento principal interrompa os servi os do Servi o de provisionamento na caixa de di logo Servi os do Windows O Servidor de provisionamento principal interrompido No Console de usu rio execute as seguintes a es a Atribua uma Fun o de provisionamento a um usu rio b Verifique se as contas de terminal foram criadas para esse usu rio As contas que est o sendo criadas dependem do Servidor de Provisionamento alternativo que est manipulando a comunica o com o servidor do CA IdentityMinder Esse procedimento o exemplo de um teste Para cada componente que voc interrompe desenvolva testes semelhantes pa
132. ulo 2 Atendendo s necessidades de neg cios 21 Cumprindo as pol ticas de neg cios Por exemplo uma empresa pode criar uma pol tica de identidade que declara que todos os vice presidentes pertencem ao grupo Integrante do clube campestre e t m a fun o de Aprovador de sal rios Quando o cargo de um usu rio muda para vice presidente e esse usu rio sincronizado com a pol tica de identidade o CA IdentityMinder adiciona o usu rio ao grupo e fun o apropriados Quando um vice presidente promovido a CEO deixa de atender condi o na pol tica de identidade de vice presidente portanto as altera es aplicadas por essa pol tica s o revogadas e novas altera es com base na pol tica do CEO s o aplicadas As a es de altera o que ocorrem com base em uma pol tica de identidade cont m os eventos que podem ser colocados sob controle do fluxo de trabalho e auditados No exemplo anterior a fun o de Aprovador de sal rios concede privil gios significativos aos integrantes Para proteger a fun o de Aprovador de sal rios a empresa pode criar um processo de fluxo de trabalho que exige um conjunto de aprova es antes de atribuir a fun o e configurar o CA IdentityMinder para auditar a atribui o de fun o Para simplificar o gerenciamento de pol ticas de identidade estas s o agrupadas em um conjunto de pol ticas de identidade Por exemplo o vice presidente e o CEO podem fazer parte do conjunto de pol tica
133. un o de provisionamento as etapas adicionais a seguir ser o obrigat rios Ele clica no bot o Adicionar para localizar novas fun es de provisionamento a serem atribu das O CA IdentityMinder exibe uma tela de pesquisa que o administrador pode usar para procurar a fun o a ser adicionada O administrador insere um filtro de pesquisa para localizar a fun o a ser adicionada Cap tulo 6 Otimizando o CA IdentityMinder 79 Otimiza es de tarefa 10 O CA IdentityMinder retorna a lista de fun es de provisionamento que atendem aos seguintes crit rios m As fun es correspondem ao filtro de pesquisa inserido pelo administrador m O administrador pode gerenciar a associa o das fun es m O usu rio est no escopo administrativo do administrador para as fun es m O usu rio ainda n o tem as fun es de provisionamento O CA IdentityMinder repete a etapa 9 para determinar as fun es onde o administrador pode gerenciar privil gios administrativos Guias de relacionamento e desempenho Devido ao n mero de avalia es de seguran a que o CA IdentityMinder executa o processamento de uma guia de relacionamento pode afetar significativamente o desempenho Os fatores que determinam o desempenho variam de acordo com o tipo da guia Para guias de relacionamentos de fun o os seguintes fatores podem afetar o desempenho m N mero de fun es nas quais a entidade da tarefa um integrante m N mero d
134. ver m O banco de dados Business Objects se estiver usando o Servidor de relat rios Consulte a documenta o do Business Objects Enterprise Release 2 e Release 2 SP4 no site de documenta o da SAP Servidores alternativos do CA IdentityMinder O fornecimento de n s redundantes do Servidor de aplicativos do Servidor do CA IdentityMinder proporciona benef cios de escalabilidade e desempenho bem como recupera o de falhas em caso de falha de servidores individuais O m todo mais comum de fornecer toler ncia a falhas a um servidor de aplicativos criar um cluster Os procedimentos para a cria o do cluster s o discutidos na se o de cluster do Guia de Instala o Observa o para o CA IdentityMinder r12 0 e releases superiores um cluster de servidores de aplicativos o nico m todo v lido para implementar uma implanta o de v rios n s Os ambientes do CA IdentityMinder exigem a arquitetura de cluster JZEE padr o do setor que usa as filas JMS para o backbone Consequentemente o nico m todo v lido para usar v rios n s em uma configura o do CA IdentityMinder um cluster de servidores de aplicativos Para obter mais detalhes sobre essa altera o consulte TechDoc 545594 102 Guia de Implementa o Desenvolver uma arquitetura redundante Componentes alternativos de provisionamento V rios componentes de provisionamento t m a op o de um componente alternativo para fornecer alta disponibili
135. vidor web Arquivos de dados XML Componentes de personaliza o do CA IdentityMinder Scripts e programas Componentes do Connector Xpress Documenta o de recupera o de falhas Desenvolver procedimentos de restaura o Inclua os seguintes componentes em seus planos de backup usando um programa de backup do sistema de arquivos Descri o Configura o dos componentes do servidor web implantado como plugins do Servidor de aplicativos e Agentes web do SiteMinder Um front end de Servidor web ser exigido se voc estiver usando balanceamento de carga ou se estiver usando o SiteMinder para proteger o acesso ao Console de usu rio Todos os arquivos de Diret rio e Ambiente do CA IdentityMinder que s o usados para criar manter e arquivar objetos do Reposit rio de objetos do CA IdentityMinder Os arquivos encontrados nas seguintes pastas iam im ear implantadas m Config m User console war WEB INFiweb xml Scripts programas sa das de programa para TEWS Conectores personalizados Arquivos de projeto do Connector Xpress Ap s criar sua pr pria documenta o para recupera o de falhas fa a backup dela regularmente caso as instru es mudem Desenvolver procedimentos de restaura o Os procedimentos de restaura o dependem do m todo de backup O processo de recupera o para um sistema que falhou depende das circunst ncias No entanto em muitos casos a reinstala o do software o m tod
136. xecutar as avalia es novamente se a op o de sincroniza o de usu rios for ativada para essa tarefa m Criar tarefas especializadas Quando poss vel crie tarefas que executem modifica es que disparam condi es de pol tica de identidade e ative as sincroniza es de usu rios apenas para essas tarefas 88 Guia de Implementa o Ajuste do reposit rio de usu rios Otimizar avalia o de regra da pol tica de identidade Para reduzir o tempo de avalia o para as condi es de pol tica identidade que incluem atributos de usu rio poss vel ativar uma op o de avalia o na mem ria Quando a op o de avalia o na mem ria estiver ativada o CA IdentityMinder ir recuperar informa es sobre um usu rio a ser avaliado do reposit rio de usu rios e armazenar uma representa o desse usu rio na mem ria O CA IdentityMinder usa a representa o na mem ria para comparar valores de atributo em rela o s condi es da pol tica Isso limita o n mero de chamadas que o CA IdentityMinder faz diretamente para o reposit rio de usu rios Observa o para obter mais informa es sobre a op o de avalia o na mem ria consulte o Guia de Configura o Ajuste do reposit rio de usu rios O ajuste do reposit rio de usu rios envolve diversas etapas incluindo m Otimiza o da estrutura do reposit rio de usu rios m Ajuste dos reposit rios subjacentes m Implementa o de balanceamento de
137. yMinder voc gerencia usu rios com fun es administrativas que determinam as tarefas do CA IdentityMinder que os administradores podem executar Observa o antes de implementar o gerenciamento de usu rios no CA IdentityMinder preciso determinar qual funcionalidade necess ria e desenvolver um plano na p gina 59 para implement la em est gios Para configurar o suporte ao gerenciamento de usu rios conclua as seguintes etapas de alto n vel 1 44 Guia de Implementa o Instale o Servidor e as Ferramentas administrativas do CA IdentityMinder Se precisar provisionar contas a usu rios gerenciados voc tamb m precisar instalar o suporte para provisionamento na p gina 45 Observa o consulte o Guia de Instala o para obter instru es Crie os seguintes itens no Management Console do CA IdentityMinder m Diret rio do CA IdentityMinder Descreve um reposit rio de usu rios para o CA IdentityMinder Ele inclui os seguintes itens Um ponteiro para um reposit rio de usu rios que armazena objetos gerenciados como usu rios grupos e organiza es Os metadados que descrevem como objetos gerenciados s o armazenados no diret rio e representados no CA IdentityMinder m Ambiente do CA IdentityMinder Oferece um namespace de gerenciamento que permite aos administradores do CA IdentityMinder gerenciar objetos como usu rios grupos e organiza es com um conjunto de fun es e tarefas ass
138. yMinder executa para processar a guia Fun es de provisionamento 1 Um administrador clica na guia Fun es de provisionamento na tarefa Modificar usu rio O CA IdentityMinder recupera as fun es de provisionamento onde o usu rio selecionado um integrante Se a guia estiver configurada para permitir o gerenciamento de administradores de fun o o CA IdentityMinder far uma segunda chamada para recuperar a lista de fun es de provisionamento em que o usu rio selecionado um administrador O CA IdentityMinder avalia cada fun o de provisionamento que o usu rio possui para verificar se o administrador que iniciou a tarefa pode gerenciar a associa o dessa fun o Se o administrador puder gerenciar os integrantes da fun o o CA IdentityMinder exibir uma caixa de sele o ativa na coluna Associa o para essa fun o na lista de fun es da guia O CA IdentityMinder avalia cada fun o de provisionamento que o usu rio possui para verificar se o administrador que iniciou a tarefa pode gerenciar os direitos administrativos dessa fun o Se o administrador puder gerenciar os direitos administrativos o CA IdentityMinder exibir uma caixa de sele o ativa na coluna Administrador para essa fun o na lista de fun es da guia O CA IdentityMinder deve concluir as etapas de 2 a 5 para exibir as fun es de provisionamento que o usu rio possui no momento Se o administrador precisa atribuir uma nova f
Download Pdf Manuals
Related Search