ТЕХНОЛОГИЯ
Forefront Identity Manager Certificate Management (FIM CM) – это система управления жизненным циклом сертификатов и смарт-карт, позволяющая существенно снизить затраты на обслуживание Инфраструктуры Открытых Ключей (ИОК) предприятия. Эффект достигается за счет использования таких средств, как:
- Управление на основе политик
- Гранулированное распределение разрешений на выполнение операций
- Автоматизация операций по управлению жизненным циклом сертификатов и смарт-карт
- Делегирование полномочий по выполнению ряда операций конечным пользователям
- Использование цепочек одобрения операций (workflow)
- Почтовые оповещения участников workflow
- Учет всех выполняемых операций
Компоненты
FIM CM представляет собой веб-портал, который содержит пользовательскую и администраторскую часть. Интерфейс портала определяется разрешениями конкретного пользователя.
Вся информация по операциям, выполняемым с сертификатами и смарт-картами хранится в базе данных Microsoft SQL.
FIM CM тесно интегрируется со службой каталогов Active Directory - для аутентификации пользователей и хранения конфигурационной информации.
Для оповещения пользователей FIM CM подключается к SMTP серверу.
Для запроса сертификатов FIM CM обращается от имени пользователя к корпоративному Центру Сертификации (Certification Authority).
Шаблоны профилей
Для управления процессами жизненного цикла сертификатов и смарт-карт FIM CM использует Шаблоны профилей (Profile Templates). Profile Template определяет следующие параметры:
- Набор сертификатов, выдаваемых пользователям
- Пользователей, имеющих право запрашивать сертификаты
- Политики управления жизненным циклом сертификатов и смарт-карт
- Участников операций (workflow)
Политики
Политики определяют параметры различных операций по управлению жизненным циклом сертификатов и смарт-карт. Настраивается множество параметров, в том числе определяется следующее:
- Кто может инициировать операцию
- Кто должен одобрить операцию
- Может ли пользователь использовать самообслуживание
- Текст почтовых оповещений
- Другие, специфические для операции параметры
В FIM CM могут быть определены следующие политики:
- Общие
- Enroll Policy
- Duplicate Policy
- Renew Policy
- Reinstate Policy
- Recover on Behalf Policy
- Online Updates Policy
- Для сертификатов
- Recover Policy
- Revoke Policy
- Для смарт-карт
- Replace Policy
- Disable Policy
- Retire Policy
- Unblock Policy
- Temporary Cards Policy
Автоматизация
Некоторые операции могут инициироваться и выполняться автоматически без участия администраторов. Это существенно снижает их нагрузку и увеличивает эффективность управления жизненным циклом сертификатов и смарт-карт.
Например, при истечении срока действия сертификата на смарт-карте FIM CM может отправить пользователю сообщение о необходимости обновления смарт-карты. От пользователя потребуется только пройти по ссылке на портал, вставить карту в считыватель и ввести ПИН. Без применения FIM CM подобная оптимизация невозможна.
Отчеты
FIM CM предлагает целый ряд отчетов, которые позволяют контролировать состояние ИОК и получать необходимую информацию об использовании сертификатов. Ниже приведен список встроенных отчетов:
- Request report
- Certificate expiry summary report
- Certificate usage
- Smart Card inventory report
- Smart card report
- Smart card history report
- Certificate template usage report
- Certificate revocation list report
- Profile template settings report
- Certificate template settings report
Администратор также может получать дополнительную информацию на основе запросов к базе данных SQL.
На рынке существует ряд похожих решений, например от компаний SafeNet, Gemalto и т.д. Однако в основном они специализированы для управления смарт-картами соответствующих производителей. По сравнению с конкурентами, FIM CM обладает следующими преимуществами:
- Может управлять как смарт-картами, так и простыми сертификатами;
- Может управлять смарт-картами широкого спектра производителей;
- Управление основано на гибкой системе workflow и оповещений;
Получить дополнительную информацию по описанной технологии и особенностях внедрения Вы можете здесь.