今天去参加了两天的关于ILM V2 的培训，大概总结一下相对于ILM 2007 有哪些新的特性。

ILM 是什么？

顾名思义是一个身份管理软件。

当一个人进入一个企业之后，他会有不同的身份。比如AD帐号是他的一个身份，ERP 系统的帐号是他的一个身份， EMail帐号也是一个身份，考勤卡也是个身份，工资系统ID也是他的一个身份。所以我们经常会看到一个人使用不同的系统有不同的帐号，一个人在不同的系统之间Profile也不尽一样。比如A系统中的电话号码是旧的，B系统中的Title是过时的因为该员工已经升值了。财务系统中的工资卡仍然在发钱，尽管已经离职了。Email 也还在，没准该离职员工还可以访问Email。

所有这些问题，归纳下来就是要回答。

• 如何保证用户的身份的完整性和一致性。
• 员工入职的时候，如何及时Provion到各个系统，比如自动开Email，自动开ERP帐号
• 员工走的时候，如何收回各个权限。
• 员工状态变了之后，比如换Location了，Email box 有没有及时切换， 换手机了，是否及时更新到各个系统中。

这些问题，当公司做大之后，比如要准备上市了，那么 Auditor 就会问你以上四个问题。 因为这几个问题牵涉到公司的财务是否有完整的控制基础。这时候一般的公司都会采用所谓的ILM软件来实现这个需求。微软的 ILM，以前叫 MIIS 就是其中的一个方案。当然Oracle，Sun，CA，Novell也都有类似的方案。微软的方案Link： http://www.microsoft.com/windowsserver/ilm2/technicalresources.mspx

EBay 有一个典型的案例研究。http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=49509

ILM V2 有哪些新的特性呢。

多了一个web Portal和背后的ILM service。 以前的ILM 就是一个winform程序，系统管理员、Auditor 是唯一的用户。ILM 能够实现大多数HelpDesk琐碎的任务。有些公司使用ILM，也是为了减低HelpDesk的成本。

新的web portal的角色：

• 最终用户的一个自助服务Portal，比如 可以更改一下自己的电话号码，自助请求就如一个Security Group 或者 Distribution List，或者自助的重设密码。在以前都要通知公司的HelpDesk，让他们更新特定的系统，然后ILM 负责Sync
• 系统管理员通过web portal 定义工作流以及Policy，包括同步的Policy 和 Process的Policy。还有一些Permission的设置。比如可以定义所有的人都可以看其他人的基本信息。HR 的员工可以查看所有人信息。
• 作为一个中小企业的HR系统，如果公司有成熟的HR系统，那么HR系统是员工很多属性的权威，对于公司如果没有HR系统的话，那么该Portal 可以作为一个小的HR系统。你可以输入用户信息，ILM 会拿到这个信息，自动去开AD帐号，同步身份到其他系统。
• 声明性的定义你的同步策略或者Provision、Deprovision 策略。”=无须代码“
• 之前的ILM，我们往往会有两类C#项目，一类是某Agent的Extension，比如Import或者Export的策略
• CSentry["DisplayName"].Value=mvEntry["nickname"].Value + "." + mvEntry["sn"].Value，当然还有一些超级复杂的。比如如果是男，则加上male，否则加上female。如果是老大，则加上Cxo之类的
• 另外一类是Provision Extension。 比如新建帐号到AD或者其他系统。
• 还有一些JOin的extension
• 之前的做法，最大的不足时。需要开发人员介入，每次更改，都要写代码。时间久了，开发人员也看不到所谓的规则了
• 新的方式让你通过web portal 定义同步的Policy，所谓FROM TO。 可以加上一些表达式，还有流程，比如Provision AD的流程，需要谁审批，然后通过后，在Provision。provision成功之后发Email给用户
• 背后的做法。
• ILM Service 有一个新的数据库和模型，以及一个新的Agent。 当用户通过Portal 更新了这些策略、流程之后，写到数据库中（ILM service V2 自己的）
• ILM 通过Agent 读到Policy，定义新的Metaverse object。然后Sync的时候，动态的执行新的MV object定义的Policy。从而实现不需C#代码就可以Sync和Provision
• 当然仅限于简单的表达式，如果C#代码超过十行的话，很难通过一个表达式描述清楚
• outlook 2007 有一个Group的Add-in, Group 有两种一种是无须审批的或者基于规则自动管理的。比如所有IT部门的人都在ALL IT中。 另外一种则是Owner可以决定的，比如杀人俱乐部。 新员工入职后，可以点这个Add Group Addin，申请加入。确定后，系统会发Email给owner, owner 会在Outlook中直接Approve。所有这些动态运行遵守一个Workflow的定义。

对于证书管理CLM，没有太大的加强

这些特性看上去不错，最后确认了一下需要的系统环境，呵呵，一贯的捆绑强行审计策略。

• Windows Server 2008
• SQL Server 2008
• Exchange 2007
• Office 2007
• AD 2007

特性很好，想想这些升级代价，值吗？呵呵。最后很搞笑，有人问，为什么数据库一定要2008？ 2005 不行吗

答案： 设计使然。By Design，哈哈。好经典回答。