שלום לכולם,

לאחר ועדת ההיגוי בשבוע שעבר,

ביצענו חשיבה מחודשת לשימוש במוצר ה – FIM בפרויקט,

אנחנו מבינים שקיומו יוצר סיבוכיות שכנראה הווה over kill לפתרון שאנחנו צריכים בפועל.

תפקידו של ה AD להוות מקור LOOKUP עבור VARONIS ע"מ שיוכלו לפרש (resolve) את פרטי המשתמש מה SHAREPOINT וגם להעשיר את פרופיל המשתמש שמגיע ב – LOGIN מול CA ל – share point (שם פרטי ושם משפחה).

חשוב להבין שה AD לא קובע ולא משפיע מבחינת הרשאות, אלא משמש כ"טבלת LOOKUP" בלבד.

הסיבה שה - FIM נמצא בתכלול הפרויקט כרגע, היא שבתחילת הדרך היתה תפישה שגויה שה CA יעבוד מול AD כמו ב ADFS.

במקרה כזה באמת ה - AD הוא זה שקובע את זהות המשתמש, הקבוצות וכיו"ב.

היום, אנחנו סבורים שנכון יותר שאיכלוס ה AD יבוצע ע"י קוד ייעודי שאנחנו נכתוב.

כל מה שהסקריפט הזה צריך לעשות זה לרוץ על טבלת השינויים ב SQL ולעדכן את פרטי המשתמשים ב AD.

היתרונות:

1. התקנה – נחסוך את התקנת המוצר וכל המשתמע מכך כמו serviceים של share point 2010.

2. תחזוקה – לא תידרש תחזוקה למוצר צד ג' נוסף.
ה – scriptים יהיו תחת תחזוקה שלנו.

מה אנחנו מתכננים לממש:

מדובר על קוד c# שירוץ ואחת לזמן מה יבדוק / יסנכרן את הפערים בין ה AD לבין ה SQL (פעולה שגם FIM היה מבצע).

הקשר ל AD מתבצע בפורטים שהוגדרו גם ל – FIM: 389 , 636

הקשר ל SQL – כמו של FIM –בפורט 1433

הסקריפט ירוץ עם הרשאת משתמש שיכול ליצור / למחוק / לעדכן משתמשים וקבוצות ב AD (כמו שתוכנן ב FIM)

הכוונה היא להתקין את ה – scriptים הללו על השרת שיועד ל – FIM.

אנא אישורכם לפתרון זה ע"מ שנתקדם עם כתיבת ה – scriptים.

תודה,

מעיין