הי אלעד,
1.
ל –
CA אין שום קשר או תלות ב –
AD ולכן לא נוגע להם כלל.
2.
עבור
WISE השינוי הוא שקוף ואין לו כל השפעה עליהם.
במבחן התוצאה – הנתונים יושבים ב – AD
ולא משנה להם מה הרכיב שסינכרן אותם.
3.
לגבי ממשל זמין – חלק מהסיבה להצעה היא ממש"ז כי הם לא בעד להכניס את ה –
FIM לפרויקט.
כמובן שנאשר מולם את הפתרון.
4.
אנחנו לא יכולים להתקדם בשני הערוצים, צריכים לקבל החלטה ולהתקדם איתה.
או שמשקיעים באפיק שבו מתקדמים עם הכנת חומרים להתקנת
FIM +התקנתו בממשל זמין
או שמשקיעים בהכנת הפתרון השני והתקנתו.
מעיין
מעיין ציז|
מנהלת פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות |
מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il
| www.matrix.co.il
From: Elad.rom [mailto:Elad.rom@mail.gov.il]
Sent: Sunday, August 03, 2014 8:21 PM
To: Maayan Cyzs; טל זמירי
Cc: Tal Ben Yosef; Yizhar Mizrachi; Udi Eilon; Tal.zmiri; Elazar.stern
Subject: RE: פרויקט מילואים - אתר המפקדים - רכיב FIM
זה נשמע לי בסדר בגדול אבל קשה לי להאמין שיאושר על ידי ממשל זמין או ייתמך על ידי
ca+wise,
אשמח אם תוכלו לשלוח תיאור מפורט של הפתרון ולאשרו מול הנ"ל.
עם זאת, לצערי אין לנו יותר מידי זמן לדיונים ומסמכים ולכן הייתי דווקא רוצה להתקדם במקביל עם 2 הפתרונות: להמשיך להתקין את הfim
בשביל האפשרות שלא יאושר הפתרון החדש ולהכין את הסקריפט כאילו אושר.
תודה רבה
אלעד רום, 0529257368
קפ"ט אתר המילואים
מדור מערכות אינטרנט, צה"ל
-------- Original message --------
From: Maayan Cyzs
Date:03/08/2014 15:20 (GMT+02:00)
To: טל זמירי , "Elad.rom"
Cc: Tal Ben Yosef , Yizhar Mizrachi , Udi Eilon
Subject: פרויקט מילואים - אתר המפקדים - רכיב FIM
הי,
לאחר ועדת ההיגוי בשבוע שעבר,
ביצענו חשיבה מחודשת לשימוש ברכיב ה –
FIM בפרויקט,
למרות שהושקעו בהקמתו מאות שעות, אנחנו מבינים שקיומו יוצר סיבוכיות שכנראה הווה
over kill לפתרון שאנחנו צריכים בפועל.
ממש"ז לא מעוניינים להחזיק בכפילויות של מאגר נתוני המשתמשים מטעמי מגבלות הרגולציה עליהם, כמחזיקי המידע.
בתכנית הקיימת, המאגרים הם:
1.
KS DB (CA
משתמשים באותו מאגר, אז אני סופר אותו כאחד)
2.
SHAREPOINT (צד ניהול מסמכים)
3.
FIM
4.
AD
5.
VARONIS
הכי מטריד אותם זה החיבור בין מספרי זהות לבין שמות המשתמשים (פרטי + משפחה), ולכן הם מבקשים שאנחנו נסנכרן
אך ורק מספרי זהות ל - AD.
תפקידו של ה
AD להוות מקור
LOOKUP עבור
VARONIS ע"מ שיוכלו לפרש (resolve)
את פרטי המשתמש מה SHAREPOINT
וגם להעשיר את פרופיל המשתמש שמגיע ב –
LOGIN
מול
CA ל –
share point (שם פרטי ושם משפחה).
חשוב להבין שה
AD לא קובע ולא משפיע מבחינת הרשאות למשל, אלא משמש כ"טבלת
LOOKUP" בלבד.
אם נוגבל ע"י ממשל זמין לסנכרן אך ורק מספרי זהות, נצטרך למצוא חלופה להצגת פרטי משתמש ב –
share point (מדובר בסקריפט
powershell או
c# שיבצע עדכון של שמות המשתמשים אל מול ה
DB של ה
KS).
הסיבה שה -
FIM נמצא בתכלול הפרויקט כרגע, היא שבתחילת הדרך היתה תפישה שגויה שה
CA יעבוד מול
AD כמו ב
ADFS.
במקרה כזה באמת ה
AD הוא זה שקובע את זהות המשתמש, הקבוצות וכיו"ב.
היום, אנחנו סבורים שנכון יותר שאת איכלוס ה
AD לבצע ע"י קוד ייעודי שאנחנו נכתוב (console app
ב
C#, לדוגמא).
כל מה שהסקריפט הזה צריך לעשות זה לרוץ על טבלת השינויים ב
SQL
ולעדכן את פרטי המשתמשים ב AD.
היתרונות:
1.
התקנה – נחסוך את ימי ההתקנה ובמקומם נתקין במספר שעות את ה –
scriptים המדוברים.
2.
תחזוקה – לא תידרש תחזוקה למוצר צד ג' שלישי.
3.
ניהול מאגר מידע נוסף וכל המשתמע מכך
במידה ואין מצדכם התנגדות אנחנו נלך על הפתרון הזה ונכתוב את קוד הסנכרון המיועד להתקנה.
אני מחכה להתייחסותכם בהקדם ע"מ לתאם עמדה זו גם מול ממשל זמין.
תודה,
מעיין
מעיין ציז|
מנהלת פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות |
מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il
| www.matrix.co.il
This mail was received and tested using PineApp HZ