Microsoft Identity Manager 2016: Überblick über die Funktionen

    Microsoft Identity ManagerDie wichtigsten Funk­tionen von Micro­soft Iden­tity Manager (MIM) bestehen in der Synchro­nisierung von Objek­ten zwischen dem (Azure) AD und anderen Ver­zeich­nissen. Außer­dem um­fasst er ein Self-Service-Portal, ein Modul für die Zerti­fikats­ver­waltung und für Privileged Access Management (PAM).

    Microsoft Identity Manager liegt aktuell in der Version 2016 SP1 vor und ist eine Weiter­entwicklung von Forefront Identity Manager (FIM). Mit dem Ende Forefront-Produktreihe wurde FIM im Jahr 2014 umbenannt und firmiert seither als MIM.

    Die wichtigsten Features von Microsoft Identity Manager 2016

    Benutzerkonten in heterogenen Umgebungen verwalten

    Im Kern handelt es sich dabei um ein so genanntes Virtual Directory (früher auch als Metadirectory bezeichnet). Seine wesentliche Aufgabe besteht darin, Benutzerkonten in heterogenen Umgebungen zu verwalten. Dazu zählt das zentrale Anlegen oder Löschen von Usern in verschiedenen Verzeichnis­diensten.

    Darüber hinaus kann der Identity Manager die Änderungen von Benutzerkonten, etwa von Passwörtern, zwischen mehreren Directories unterschiedlicher Hersteller synchronisieren. Zu diesem Zweck bringt er eine Reihe von Konnektoren mit, unter anderem für (Azure) Active Directory, IBM Tivoli Directory Server, SAP, Lotus Notes und mehrere relationale Datenbanken (siehe hier die Liste der Konnektoren).

    Wer eine Cross-Forest-Migration mit dem Active Directory Migration Tool (ADMT) geplant und durch­geführt hat, wird je nach Anforderung schnell an seine Grenzen gestoßen sein, da ADMT nicht für die Synchronisation von User-Attributen gedacht ist. MIM bildet also eine sinnvolle Ergänzung bei solchen Migrations­szenarien.

    SSO, Zertifikate und Workflows

    Die zweite wesentliche Funktion von MIM besteht neben der Verwaltung von Benutzer­konten und der Bereitstellung eines Single-Sign-on im Management von Zertifikaten und Smartcards. Dabei kann die Software ebenfalls mit Zertifizierungs­stellen anderer Anbieter zusammen­arbeiten.

    Definition von Workflows über das Web-basierte Portal

    MIM erlaubt darüber hinaus die Definition von Identitäts-bezogenen Workflows. So könnte für einen neuen Mitarbeiter ein Prozess definiert werden, der für ihn automatisch ein Benutzerkonto in mehreren Verzeichnissen anlegt, ein Zertifikat ausstellt und eine PIN für seine Smartcard erzeugt.

    Self-Service-Portal

    Das Web-basierte Self-Service-Portal delegiert gängige Aufgaben des Helpdesks an die Benutzer. Dazu gehören häufige Anfragen zum Zurück­setzen von Passwörtern oder dem Entsperren von Konten.

    Dafür bietet MIM mehrere Verfahren an, darunter die Authentifizierung per Telefonanruf, der über den Microsoft Azure Multi-Factor Authentication-Dienst (MFA) erfolgt.

    Privileged Access Management

    Mit der Version 2016 ist als neues Feature das Privileged Access Management (PAM) neu hinzu­gekommen. Es erlaubt die Definition von Rollen, die maßge­schneidert für bestimmte Aufgaben sind und so das Prinzip des Just Enough Administration umsetzen.

    Der Zugriff mit erhöhten Rechten lässt sich zudem zeitlich über die Festlegung eines Time to Live (TTL) einschränken (Just-in-Time-Verwaltung).

    Funktionsübersicht

    Folgende Features sind mithin verfügbar:

    • Synchronisation von Objekten (Benutzer, Gruppen und Kontakte) zwischen Verzeichnissen, Datenbanken und Anwendungen.
    • Bereitstellung von Identitäten und Verwaltung des Lebenszyklus
    • Aufgaben per Self-Service an Benutzer delegieren
    • Management von Smartcards
    • Zertifikatsverwaltung
    • Rollenbasiertes Zugriffsmanagement (mit temporärem Zugriff auf Ressourcen)
    • Privileged Access Management (PAM)

    MIM-Komponenten

    MIM besteht aus insgesamt vier Komponenten, welche auf unterschiedlichen Maschinen installiert werden können.

    • MIM-Portal: Verwaltungs­portal für die Administration, für das Zurücksetzen von Kennwörtern und für die Verwaltung von Gruppen
    • MIM-Dienst: Web-Dienst für die MIM Identitäts­verwaltungs­funktion
    • MIM-Synchronisations-Service: Zum Synchronisieren von Daten mit anderen Identitäts­systemen
    • Microsoft SQL Server: Datenbank-Server, den der MIM-Dienst und der MIM-Synchronisations-Service für ihre Daten benötigen.

    Zusammenspiel der MIM-Komponenten

    Systemvoraussetzungen und Verfügbarkeit

    Die MIM-Lizensierung erfolgt benutzerbasiert, das heißt, für jeden Benutzer, welcher verwaltet wird, muss eine Clientlizenz (CAL) erworben werden. Für die Installation auf Windows Server wird für diesen eine Software Assurance benötigt.

    Der Identity Manager ist zudem Bestandteil der Microsoft Enterprise Mobility Suite, zu der auch Azure Active Directory Premium gehört.

    Die System­voraussetzungen für MIM sind recht überschaubar. Als Betriebs­system kann Windows Server ab 2008 R2 SP1 verwendet werden, als Datenbank SQL Server ab 2008 R2 SP3. Nähere Informationen zu den weiteren unterstützten Systemen wie Exchange oder SharePoint sind hier erhältlich.

    Keine Kommentare