A termék alapkoncepciójában hordozza az eltérő rendszerekben definiált felhasználói adatok szinkronizációját. A különböző metacímtárak közötti adatcserét akár mindkét irányba konfigurálhatjuk, átjáróként a FIM-et használva. A FIM telepítésekor egy saját adatbázist hoz létre, ahol a szinkronizált információk átmenetileg tárolódnak. A szoftver tervezésekor fontos szempont volt, hogy akár heterogén rendszerekben, fejlesztői ismeretek nélkül is könnyedén bevezethető legyen. Ezen igények miatt a termék beépítve 19 különböző adatforráshoz (pl.: Active Directory, Novell, Sun, IBM, Lotus Notes, Microsoft Exchange Server, Oracle és Microsoft SQL Server adatbázisok, SAP, stb.) tartalmaz testre szabható kapcsolati ügynök komponenst, mellyel az adat-szinkronizáció működésre bírható.

Az eltérő rendszerek közötti replikáció ütemezhető és beállítható úgy, hogy csak a változások kerüljenek átvitelre. Ezen képességek birtokában például a vállalat HR rendszerében rögzített új dolgozó, az összes információjával és csoporttagságával együtt automatikusan létrejöhet az Active Directoryban is. Ezzel a tipikus felhasználói adminisztrációs feladatok jó része delegálhatóvá válik, így a felesleges és költséges redundáns munkavégzés csökkenthető.

 

A FIM 2010 a munkafolyamat felügyeleti konzolján keresztül lehetővé teszi, hogy a rendszergazdák könnyedén definiálhassák a jóváhagyó/elutasító automatizmusokat, melyek például a felhasználói fiókok kezeléséhez vagy a jogdelegáláshoz lehetnek szükségesek. Az alkalmazás mögött a Windows Workflow Foundation működik, amely egyúttal biztosítja a termék rendkívül széleskörű testreszabhatóságát, platform és megoldás szinten egyaránt. Fontos, hogy a munkatársak számára is könnyedén használhatóak legyenek a FIM bizonyos képességei, így a felhasználói és rendszergazdai funkciók szintén a SharePoint alapú portál felületen keresztül érhetőek el.

 

Mivel a felhasználói fiókok és jogaik kezelésével kapcsolatos napi rutin műveletek a FIM segítségével könnyedén automatizálhatóak, illetve a végrehajtási jogok delegálhatóak, így az ilyen tevékenységek a rendszergazdák elől rejtve maradnak. Természetesen ezen eseményekhez részletes naplózás és automatikus jelentéskészítés konfigurálható, így a szükséges biztonsági információk állandóan rendelkezésre állnak.

 

A vállalati rendszerek üzemeltetésében az egyik legnagyobb kihívás az elfelejtett felhasználói jelszavak kezelése. Átlagosan a helpdesk hívások 10-20%-a ezzel kapcsolatos feladat. A munkatársak jelszócsere igénye általában telefonon történő bejelentéssel kezdődik, majd a sikeres azonosítást követően megtörténik a jelszó lecserélése és a felhasználó felé történő kommunikációja. Jó esetben a cég rendelkezik egy megfelelően kidolgozott, biztonságos eljárással erre a folyamatra nézve is, hiszen egy sikertelen azonosítást követően a támadó is hozzáférhet a titkos információhoz.

Vegyünk egy példát: ha a kolléga az elfelejtett jelszavát szeretné lecserélni, akkor a vonal túloldalán lévő operátor a jelszót a biztonság kedvéért két részre bontja. Az első részét elküldi a telefonáló számára mondjuk a vállalati belső Office Communication rendszeren keresztül, melynek kliense (Office Communicator) az erre alkalmas asztali telefonokon is futhat. A jelszó második részét az alkalmazott közvetlen felettesének küldi el levélben. Ez a folyamat magas szinten garantálja, hogy a szenzitív információk ne kerülhessenek illetéktelen kezekbe, de megvan a hátránya is: viszonylag lassú folyamat, ami a komplex jelszavak használatakor és a gyakori jelszócserét követelő házirenddel szinte ellehetetleníti bevezetését.

A FIM megoldása rendkívül egyszerű: hagyjuk a felhasználóra az elfelejtett jelszavának lecserélését, természetesen a megfelelő biztonsági folyamatok betartása mellett. A konfiguráció kezdeti lépéseiben a rendszergazda beállíthatja, hogy kik azok a kollégák, akik megkaphatják a jogot az elfelejtett jelszavaik kicseréléséhez. Így akár a magas jogkörrel rendelkező munkatársak (pl.: vezetőség, jogászok, humán erőforrás, stb.) számára megtiltható ez a funkció, hiszen egy esetleges támadás során a megkaparintott jelszó birtokában ezekkel az objektumokkal számos védett információhoz is hozzáférhetnek. Azok számára, akiknek engedélyeztük az elfelejtett jelszavak cseréjét, egy kezdeti konfigurációs fázisban előre meghatározott kérdésekre kell válaszokat adniuk. A későbbiekben ezen kérdésekre adott válaszok alapján fogja a rendszer azonosítani a felhasználót. A kérdések szövegét és darabszámát szabadon összeállíthatjuk. Miután a felhasználó megfelelően válaszolt a feltett kérdésekre, a rendszer készen áll a jelszócserére.

A jelszócsere a FIM ügynök telepítését követően a Windows bejelentkező képernyőjén keresztül is elérhető, de a funkcióhoz tartozik egy portál felület is. Megtehetjük akár azt is, hogy a vállalaton belül elhelyezünk néhány olyan kiosk számítógépet, ahol egy szolgáltatás fiók nevében bejelentkezve a jelszócsere portál felülete érhető el. A felhasználó az előre meghatározott kérdésekből a rendszergazda által meghatározott mennyiségű kérdést kap, melyekre szintén egy előre definiált százalékban helyes választ kell adnia. A rendszer a sikertelen jelszócsere kísérleteket is rögzíti, melyhez ugyanolyan zárolási logika tartozik, mint a rosszul beírt jelszavakhoz.

 

 Időről-időre a felhasználók személyes információi megváltozhatnak (pl.: mobilszám, vezetéknév, megszólítás, stb.) amit a FIM segítségével önállóan is módosíthatnak az adatbázisban.