הי,
לאחר ועדת ההיגוי בשבוע שעבר,
ביצענו חשיבה מחודשת לשימוש ברכיב ה –
FIM בפרויקט,
למרות שהושקעו בהקמתו מאות שעות, אנחנו מבינים שקיומו יוצר סיבוכיות שכנראה הווה
over kill לפתרון שאנחנו צריכים בפועל.
ממש"ז לא מעוניינים להחזיק בכפילויות של מאגר נתוני המשתמשים מטעמי מגבלות הרגולציה עליהם, כמחזיקי המידע.
בתכנית הקיימת, המאגרים הם:
1.
KS DB (CA
משתמשים באותו מאגר, אז אני סופר אותו כאחד)
2.
SHAREPOINT (צד ניהול מסמכים)
3.
FIM
4.
AD
5.
VARONIS
הכי מטריד אותם זה החיבור בין מספרי זהות לבין שמות המשתמשים (פרטי + משפחה), ולכן הם מבקשים שאנחנו נסנכרן
אך ורק מספרי זהות ל - AD.
תפקידו של ה
AD להוות מקור
LOOKUP עבור
VARONIS ע"מ שיוכלו לפרש (resolve)
את פרטי המשתמש מה SHAREPOINT
וגם להעשיר את פרופיל המשתמש שמגיע ב –
LOGIN
מול
CA ל –
share point (שם פרטי ושם משפחה).
חשוב להבין שה
AD לא קובע ולא משפיע מבחינת הרשאות למשל, אלא משמש כ"טבלת
LOOKUP" בלבד.
אם נוגבל ע"י ממשל זמין לסנכרן אך ורק מספרי זהות, נצטרך למצוא חלופה להצגת פרטי משתמש ב –
share point (מדובר בסקריפט
powershell או
c# שיבצע עדכון של שמות המשתמשים אל מול ה
DB של ה
KS).
הסיבה שה -
FIM נמצא בתכלול הפרויקט כרגע, היא שבתחילת הדרך היתה תפישה שגויה שה
CA יעבוד מול
AD כמו ב
ADFS.
במקרה כזה באמת ה
AD הוא זה שקובע את זהות המשתמש, הקבוצות וכיו"ב.
היום, אנחנו סבורים שנכון יותר שאת איכלוס ה
AD לבצע ע"י קוד ייעודי שאנחנו נכתוב (console app
ב
C#, לדוגמא).
כל מה שהסקריפט הזה צריך לעשות זה לרוץ על טבלת השינויים ב
SQL ולעדכן את פרטי המשתמשים ב
AD.
היתרונות:
1.
התקנה – נחסוך את ימי ההתקנה ובמקומם נתקין במספר שעות את ה –
scriptים המדוברים.
2.
תחזוקה – לא תידרש תחזוקה למוצר צד ג' שלישי.
3.
ניהול מאגר מידע נוסף וכל המשתמע מכך
במידה ואין מצדכם התנגדות אנחנו נלך על הפתרון הזה ונכתוב את קוד הסנכרון המיועד להתקנה.
אני מחכה להתייחסותכם בהקדם ע"מ לתאם עמדה זו גם מול ממשל זמין.
תודה,
מעיין
מעיין ציז|
מנהלת פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות |
מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il
| www.matrix.co.il
