Valmistelu käyttäjätunnushallinnan automatisoinnille Microsoft System Center 2012:n avulla

Abstract

Helsingin kaupungilla on käytössään selainkäyttöinen tunnushallintatyökalu, jonka kaupungin aktiivihakemistoa ylläpitävä toimittaja tarjoaa. Julkishallinnon kilpailuttamisvelvoitteen myötä on tunnistettu, että mikäli toimittaja vaihtuu, työkalun käyttöoikeus lakkaa.

Opinnäytetyössä selvitettiin voidaanko tällä hetkellä oleva käyttäjätunnushallinnan työkalu korvata Microsoft System Centerin Service Managerin ja Orchestratorin toiminnallisuuksilla. Lisäksi selvitettiin mahdollisuuksia lisätä automaatiota. Ohjelmistojen ja itsepalveluportaalin asennukset ja alkukonfiguroinnit on rajattu pois työn laajuudesta.

Työn teoriaosuudessa käsitellään palvelunhallintaa ITIL:in ja Microsoft Operations Frameworkin (MOF) näkökulmista, joihin myös Service Manager vahvasti nojaa. Lisäksi esitellään Service Managerin ja Orchestratorin ominaisuuksia, toimintaa ja tärkeimpiä käsitteitä.

Tuotoksena syntyi proof of concept –tyyppinen versio tunnushallintaportaalista, jossa palvelupyynnön tiedoista muodostettiin käyttäjätunnus ja luotiin se runbook-työnkulun avulla aktiivihakemistoon. Aiempien testien perusteella oli todettu, että Service Managerin omaa itsepalveluportaalia ei haluta käyttää. Itsepalveluportaalina käytettiin Ciresonin kehittämää portaaliratkaisua.

Johtopäätöksenä Service Managerin ja Orchestratorin toiminnallisuuksilla voidaan toteuttaa tunnushallinnan toiminnallisuudet, joissa on suurin volyymi (mm. uuden tunnuksen luominen ja käyttäjän salasanan palauttaminen). Nykyisin käytössä olevan työkalun monipuolista hakutoiminnallisuutta ei voida portaaliin toteuttaa. Haut on käytännössä toteutettava yksittäisinä palveluina, jotka muodostavat tarvittavat raportit dokumenttina. Service Managerissa ei voida arkistoida tietoja pitkiä aikoja, joten käyttöoikeuksien jäljitettävyysvaatimus edellyttää erillistä lokiratkaisua.

City of Helsinki is currently using a web browser based tool to manage user accounts and other active directory objects. The tool is provided by the AD provider. As public admin-istration is required by law to invite to tender, a concern has risen that the license to use the tool will cease if the AD provider is changed.

The main objective of this thesis was to find out if the current tool can be replaced with the functionalities of the Microsoft System Center Service Manager and Orchestrator. Another objective was to find possibilities to increase automation in the user account management process. Installations and out-of-the-box configurations of the software and the self-service portal were left outside the scope of this thesis.

The theory section covers service management from the points of view of ITIL and Mi-crosoft Operations Framework. These are strongly implemented in Service Manager pro-cesses. Furthermore, the theory section covers functionalities of Service Manager and Or-chestrator and some of the most important concepts of the products.

The actual product was a proof-of-concept type of version of the user account manage-ment portal. As a service request is sent, a user account is automatically formed from the information of the request and the runbook creates the account into the active directory. On the basis of the results of earlier testing it was decided that the native portal of Service Manager will not be used. Instead, the self-service portal Cireson has developed will be used.

In conclusion, the functionalities of Service Manager and Orchestrator can handle the user cases with the highest volume, such as creating a new user or resetting a user password. However, it is not possible to create as versatile search and reporting functionalities as the current tool provides. They have to be implemented as single services that form a docu-ment, based on in advance defined criteria. It is also not possible to store information for a long period of time in Service Manager. In order to trace user account requests as policy and regulation dictates, a separate solution for logging is required.