Относительные сильные и слабые стороны различных решений для управления идентификацией, которые вы использовали

Это в большей степени вопрос опроса, чем конкретный вопрос. (Я полагаю, это все еще нормально).

Я работаю консультантом в проектах по управлению идентификацией. В основном мы ориентируемся на продукт Novell Identity Manager, который, на наш взгляд, весьма хорош.

Мне любопытно узнать, какие продукты IDM вы использовали, и какие сильные и слабые стороны вы видели в них.

Я могу начать с продукта Novell.

Множество соединителей, которые действительно двунаправленные, включая синхронизацию паролей, а не просто отправку паролей. (Мы развернули драйверы AD, eDir, Notes, AS400, NIS / NIS +, LDAP, JDBC, HTML Screen scraper, TN3270 Screen scraper, SAP HR, SAP UM, Remedy, и есть еще много других, которые мы еще не коснулись, например драйверы SAP GRC, Netweaver, RACF / TopSecret / ACF2)

Управляемый событиями, который может быть очень мощным.

Хороший движок рабочего процесса.

Масштабируемость. (У нас есть клиент со 150 драйверами eDir и AD в производстве, 500 000 пользователей).

Отличные инструменты дизайна. (Novell Designer для Identity Manager).

Простой язык дизайна для управления событиями. (Скрипт DirXML).

Есть много других продуктов: IBM Tivoli Identity Manager (TIM). Sun's Identity Manager Oracle Identity Manager Courion Hitachi's (ранее Mtech из Калгари) ID-Synch и P-Synch MS ILM

Что вы использовали и каков был ваш опыт? Какие сильные и слабые стороны вы заметили?

Год назад я потратил некоторое время на создание прототипа Microsoft Identity Lifecycle Manager. С тех пор они перемещали вещи, поэтому это может не соответствовать текущему состоянию продукта. В то же время я действительно работал с Novell IDM.

ILM имел некоторые заметные отличия от IDM.

Значительно больше разъемов из коробки. В отличие от Novell IDM, вы не собираетесь доплачивать за такие вещи, как коннекторы Oracle и MS-SQL. Если вы хоть сколько-нибудь экономите, это большой плюс. В нашей среде разница в стоимости составила 100 тыс. Долларов против 15 тыс. Долларов.
Для репликации нового объекта требуется специальный код По крайней мере, на момент моего обзора продукта событие «Новый объект» требует связывания с скомпилированной DLL, которая фактически обрабатывает процесс создания объекта в удаленной среде. Предположительно скомпилированный в VisualStudio, он содержит функции, необходимые для фактической настройки нового объекта и связанной среды в удаленном домене идентификации. С одной стороны, это дает вам полный контроль над процессом установки, в чем Novell IDM не особенно хорош. С другой стороны, вам нужно иметь возможность создавать программы на C # / VB в Visual Studio.
Не так четко определены этапы трансформации IDM отлично справился с созданием визуальной среды, описывающей различные этапы преобразования объектов между двумя средами. В ILM этого нет. IDM интуитивно понятен. ILM требует много читать. Более того, чтобы разобраться в промежуточных этапах преобразования в ILM, требуется скомпилированная DLL, а в IDM она обрабатывается в значительной степени с помощью сценария DirXML, который Novell эволюционировал с 1999 года.
Плохие инструменты дизайна Не существует эквивалента Identity Manager Designer.

Novell IDM действительно является лучшим решением для управления идентификацией. Он существует на рынке дольше всех, и у него был шанс действительно укрепить свой набор функций и обмен мнениями. Несмотря на то, что это стоит чуть больше, чем ILM, вы действительно получаете то, за что платите. В конце концов, в нашей среде стоимость ILM по сравнению с IDM была бы незначительной из-за дополнительных человеко-часов, необходимых для запуска и работы среды на основе ILM.

В конце концов мы решили, что самый дешевый способ - продолжать катать свои собственные. У нас уже была самодельная система, и прогнозы затрат не сильно отличались от проекта внедрения IDM / ILM. Инерция победила.

Мы находимся на стадии поиска хорошего решения IDM среди Oracle, Sun, Microsoft и Novell. У вас есть сравнительная таблица, которая может рассказать нам о сильных и слабых сторонах.

Ваша помощь очень ценится.

-Srini srinivas.marni@gmail.com

Я хотел бы расширить комментарии Froosh относительно SUN IDM ...

Язык XPRESS немного странный, но он является результатом покупки SUN решения IDM у Waveset. Хотя он прав в том, что вы не можете написать рабочий процесс исключительно на Java, вы можете «вызывать» классы java изнутри XPRESS и передавать аргументы.

Решения в целом не ужасны, но вы пишете все в XPRESS, который затем конвертируется / интерпретируется в классы Java, так что накладных расходов много.

Изучая решения IDM, имейте в виду, что с приобретением Oracle компании SUN вполне вероятно, что SUN IDM каким-то образом будет перенесен / мигрирован на решение Oracle.

Я изучил несколько решений и ранжировал их следующим образом (имейте в виду, что у каждого есть своя ниша)

Novell (отличная интеграция с мэйнфреймами)
СОЛНЦЕ (только имейте в виду, его будущее под вопросом)
Oracle (хотя и имеет лучшее решение для управления доступом)

У меня не было возможности изучить решение Microsoft, но если вы работаете в магазине Microsoft, оно очень хорошо интегрируется (насколько я слышал) с AD и Sharepoint.

- Джон

Я участвую только на периферии проекта Sun IdM, и только последовательные комментарии, которые я слышал до сих пор, касаются довольно странного языка сценариев XPRESS. Он основан на xml и не похож ни на один другой язык сценариев.

Как ни странно, даже несмотря на то, что Sun IdM почти полностью построен на Java, вы не можете использовать Java или любой другой общепринятый язык для написания преобразований данных, рабочего процесса, импорта / экспорта и т. Д.

Единственное, за что я могу поручиться, - это то, что соединитель Active Directory работает довольно хорошо и обладает широкими возможностями настройки, позволяя практически неограниченное управление атрибутами и классами (не сразу, заметьте), а также некоторое управление безопасностью AD.