Cesta: Reference / Případové studie / Přechod na Windows/Exchange 2003 včetně řešení správy identit (MIIS)

Přechod na Windows/Exchange 2003 včetně řešení správy identit (MIIS)

Řešení postavené na produktech Microsoft Identity Integration Server 2003 a Microsoft SQL Server 2000 přineslo Ministerstvu práce a sociálních věcí (MPSV) nástroj pro synchronizaci identit v průběhu probíhající migrace ze systému Microsoft Exchange 5.5 na Microsoft Exchange 2003. Zároveň tím byl připraven prostor pro nasazení této technologie do připravované komplexní synchronizace identit všech adresářových služeb a aplikací, které MPSV využívá.

Situace

Ministerstvo práce a sociálních věcí (MPSV) je státní organizací. Provozuje síť WAN o 9.000 uživatelích v přibližně 650 lokalitách po celé ČR.
Hlavními nedostatky původního řešení byla zastaralá platforma, roztříštěnost řešení a absence podpory mobilních zařízení: ve WAN síti byl provozován poštovní systém Microsoft Exchange Server 5.5 jako jedna organizace se společným globálním adresářem a doménový model tvořily samostatné NT 4.0 domény pro poštu a různé verze Microsoft Windows NT/2000P2003 pro přihlašování, souborový systém a aplikace.
Zadáním bylo přejít na Microsoft Windows Server 2003 a Microsoft Exchange Server 2003 - sjednotit platformy OS a povýšit poštu na aktuální verzi s podporou mobilních služeb. Kromě této skutečnosti došlo k významným organizačním změnám, které vedly k restrukturalizaci celé WAN sítě.

„Společnost ANECT, a.s. je dlouhodobým dodavatelem komunikačního prostředí, řešitelem celé řady projektů v rámci výstavby a provozu celoplošné komunikační sítě resortu MPSV - sítě WAN; jeho volba tedy byla logickým vyústěním dlouhodobé úspěšné spolupráce, a to jak doufám, oboustranné."
Ing. Roman Kučera, ředitel odboru informatiky

Obchodní cíle

Při přechodu z Microsoft Exchange Server 5.5 na Microsoft Windows Server 2003 a Microsoft Exchange Server 2003 vyvstala otázka, jak efektivně a pokud možno bez zásahu do současné topologie sítě a nastavení domén vytvořit globální adresář kontaktů. Dále bylo nutné zajistit vzájemnou doručitelnost jak mezi nově migrovanými systémy, tak i se systémy ještě běžícími na Microsoft Exchange Server 5.5. Zároveň zde byl požadavek na vytvoření otevřeného systému, který umožní budoucí rozvoj dle požadavků zákazníka.

Řešení

Při přechodu z Microsoft Exchange Server 5.5 na Microsoft Windows Server 2003 a Microsoft Exchange Server 2003 bylo nutné dodržet požadavek zákazníka na zachování současné topologie sítě, kde je přibližně 80 nezávislých lokalit. Z tohoto důvodu nebylo možné využít vnitřní synchronizaci a postavit jednu Active Directory přes celou organizaci, ale vytvořit 80 nezávislých adresářů na bázi Active Directory. Pro synchronizaci mezi jednotlivými Active Directory organizacemi byl využit Microsoft Identity Integration Server 2003 (MIIS), který umožňuje synchronizaci identit (uživatelských účtů, skupin, zdrojů a dalších objektů) mezi velkým množstvím nejenom adresářových služeb ale i databází. Synchronizace identit a jejich atributů probíhá podle zadaných požadavků nastavovaných v agentech pro jednotlivé adresářové služby. Dále je možné upravit chování MIIS pomocí programových doplňků, psaných v prostředí Microsoft .NET, a tím docílit funkcionality přesně na míru. Těmito doplňky je naprogramována celá logika mapování atributů mezi Microsoft Exchange Server 5.5 a Microsoft Exchange Server 2003, vytváření a mazání kontaktů v cílových adresářích a také ošetření možných chybových stavů (např. shodnost jmen apod.).
V rámci migrací bylo nutné zajistit několik základních funkcí:
• možnost výběru emailové adresy z libovolné lokality v adresáři v Outlooku
• doručitelnost jak na staré e-mailové adresy z Microsoft Exchange Server 5.5 tak i na nové v Microsoft Exchange Server 2003
• funkčnost jak samostatných emailových adres, tak i distribučních skupin
• pravidelnou aktualizaci synchronizovaných záznamů ve všech připojených systémech

Obr.1: Princip fungování synchronizace

Synchronizace funguje ve třech základních krocích a to následujícím způsobem:
Nejprve MIIS naimportuje všechny nově vytvořené, změněné a odstraněné identity z organizačních jednotek určených pro synchronizaci (Export) ze všech připojených lokalit. Poté dojde k synchronizaci načtených informací v rámci MIIS databáze. Zde se podle předem zadaných pravidel určí, je-li daná identita určená k exportu do cílových lokalit. V pravidlech je nastaveno například, že identita musí obsahovat emailovou adresu, dále jedná-li se o kontakt, uživatele nebo distribuční skupinu a také, které další atributy budou synchronizovány. V případě splnění všech podmínek k exportu, dojde v posledním kroku k zápisu do cílových organizačních jednotek (WAN) v Active Directory a také do Microsoft Exchange Server 5.5.

Uživatelé v aplikaci Microsoft Outlook 2003 mají následně možnost použít informace v organizační jednotce WAN jako globální adresář celé organizace, ve kterém jsou informace v pravidelných intervalech aktualizovány.

Přínosy

Nasazením Microsoft Identity Integration Serveru 2003 získalo MPSV mocný nástroj umožňující centrální správu identit, jejich synchronizaci mezi všemi spolupracujícími systémy, dále také možnost doručení emailových zpráv mezi jednotlivými lokalitami bez nutnosti měnit topologii sítě a v neposlední řadě i globální adresář všech kontaktů v celé organizaci. Pomocí programovatelných doplňků v Microsoft .NET je možné daný systém dále rozvíjet podle požadavků zákazníka. Jedná se například o:
• napojení dalších spolupracujících systémů
• ověření aplikací vůči budované interní autorizační databázi (IAD) synchronizované pomocí MIIS
• zjednodušení a zautomatizování vytváření, rušení a úprav identit v cílových adresářových systémech a aplikacích bez nutnosti zásahu správce
• správu identit v celé organizaci z jednoho místa

„Přes problémy s implementací nového řešení, které byly dány novostí produktu a specifikou prostředí WAN sítě MPSV - 80 nezávislých adresářů, a které se dodavateli, společnosti ANECT, a.s. podařilo odstranit ve spolupráci s technickými experty společnosti Microsoft, funguje MIIS ke spokojenosti jak uživatelů, tak i správců. Všechny kontaktní údaje jsou synchronizovány správně a v předem nastavených intervalech, provoz je plně v souladu s projektovým záměrem. Produkt Microsoft Identity Integration Server 2003 lze bez obav doporučit k implementaci i v rozsáhlých sítích."
Ing. Roman Kučera, ředitel odboru informatiky

Produkty a technologie

Microsoft Identity Integration Server 2003
Microsoft SQL Server 2000
Microsoft Windows Server 2003
Microsoft Exchange Server 2003
Microsoft Outlook 2003
Microsoft Visual Studio .NET

Přechod na Windows/Exchange 2003 včetně řešení správy identit (MIIS)

Reference

Novinky

Notebook pro děti s poruchou krvetvorby z Fondu ANECT

ANECT generálním partnerem největší letošní jezdecké události v ČR - Mistrovství světa ve voltiži

Už 4. ročník závodu anectextrem® se bude konat 13. září 2008 opět na Malé Skále.

Zákazníci a obchodní partneři ANECTu poznávali Afriku

Český expert představil v USA vizi nového řešení elektronické identity

Ředitelem pro inovace a strategický rozvoj ANECTu se stal Tomáš Prošek