Die Systemfamilie Forefront umfasst ein Set an Sicherheitswerkzeugen. Dazu gehören Funktionen wie Firewalls, Malware-Scanner für Viren oder Sypware, ein VPN-Gateway und ähnliche Sicherheitseinrichtungen. Der Forefront Identity Manager 2010 (FIM) hat einen gänzlich anderen Fokus: Er kümmert sich um die Benutzeridentitäten. Dies umfasst auch das Management der User Credentials inklusive Zertifikate, Smartcards und Tokens. Diese Bausteine sind für einen gesicherten IT-Betrieb unerlässlich, denn Sicherheit muss immer auch bezogen auf den Benutzer konsistent sein. Insofern ist es nur folgerichtig, FIM der Sicherheits-Suite Forefront zuzuordnen. Gänzlich neu ist FIM aber nicht. Er baut vielmehr, wie die meisten Forefront-Module, auf bestehenden Produkten auf und erweitert diese.
Die Wurzeln des FIM liegen im Microsoft Identity Integration Server 2003 (MIIS). Dieser wurde dann im Jahre 2007 zum Information Lifecycle Manager 2007 (ILM 2007). Neu beim ILM 2007 war unter anderem eine Komponente zur Zertifikatsverwaltung. Aus dem ILM 2007 geht nun der Forefront Identity Manager 2010 hervor. Dieser wurde um Workflows, Self-Services-Funktionen und Integrationsbausteine, wie zum Beispiel in Outlook, angereichert. Eines hatten beziehungsweise haben alle drei Sicherheitsprodukte gemein: Es ging bei diesen Komponenten im Wesentlichen immer um Benutzeridentitäten.
Microsoft hat seine Verwaltungssoftware für Benutzeridentitäten Zug um Zug ausgebaut. Im FIM 2010 nun wird der komplette Lebenszyklus eines Benutzer und seiner Identitäten abgedeckt. Dies geht weit über die einfache Synchronisation von Benutzerberechtigungen hinaus.
Der Benutzer und seine Arbeitsmittel im Sinne von FIM
Die Funktionen von FIM lassen sich in zwei relativ getrennte Bereiche einteilen. Das sind zum einen der Block für das Management von Benutzeridentitäten und zum anderen das Credential Management. Hierbei umfasst FIM ein vollständiges Paket mit all den Funktionen, Verwaltungshilfen und Schnittstellen zum Erstellen oder Ändern der Zugangsberechtigungen. Eingeschlossen sind auch die Verwaltung von Benutzergruppen sowie die Synchronisation der Passworte über Verzeichnisgrenzen hinweg. Dazu hat Microsoft in FIM eine Workflow Engine implementiert.
Konnektoren integrieren Fremdsysteme
Ziel der Benutzerverwaltung ist es, die Mitarbeiter mit den Rechten zu versorgen, die sie zur Durchführung ihrer Arbeit benötigen. Ein neuer Mitarbeiter „beginnt“ immer in der Personalabteilung. Funktionsänderungen für bestehende Mitarbeiter werden sich in der Regel auch zuerst in den Daten der Personalabteilung wiederfinden. Insofern ist es nur schlüssig, die IT-Benutzerverwaltung damit zu verzahnen.
Dies passiert in FIM durch Konnektoren in den Managementagenten. In FIM sind all jene Konnektoren integriert, die die gängigen und verfügbaren Verzeichnissysteme unterstützen, wie etwa das Novell eDirectory, die Verzeichnisse von Sun oder Oracle, die LDAP-Verzeichnisse, das SAP-Verzeichnis und natürlich auch das Active Directory.
So können beispielweise Benutzerdaten der Personalabteilung direkt aus SAP heraus in FIM importiert werden. Ebenso lassen sich die Benutzerangaben aus einem Text-File oder einem Excel-Arbeitsblatt in FIM übernehmen. Und natürlich können die Daten auch direkt in FIM eingegeben werden. Microsoft stellt in FIM eine große Anzahl an Konnektoren direkt zur Verfügung. Für spezielle Verzeichnisimplementierungen liefern die Partner zusätzliche Anbindungen mit weiteren Konnektoren. Über die Konnektoren interagiert FIM mit den weiteren Systemen und tauscht mit diesen seine Informationen aus. Dabei übernimmt FIM entweder die Rolle des führenden Identity Systems oder es integriert sich in eine bereits bestehende Verzeichnisinfrastruktur. Für spezielle Verzeichnisimplementierungen liefern Partner zusätzliche Anbindungen mit weiteren Konnektoren beziehungsweise können durch den Administratoren für kundenspezifische Applikationen oder Systeme selber erstellt werden.
Self Service Passwort Reset
Zu den häufigsten Anrufen beim Help Desk gehören nach wie vor die Anfragen wegen falschen oder vergessenen Passwörtern. Diese Service Tickets sind einfach und schnell erledigt, doch in der Summe gewaltig. Durch das Self Service Passwort Reset in FIM wird dieser Teil der Passwortverwaltung auf die Benutzer übertragen. Hierbei kommt jenes Verfahren zu Einsatz, dass viele Anwender von Internet-Webseiten kennen.
Der Benutzer muss dabei eine Reihe von Fragen richtig beantworten, erst dann erhält er ein neues Passwort zugesandt. Diese Fragen und Antworten werden vorher einmalig festgelegt. Dieses Verfahren ist so einfach wie wirkungsvoll. Eine Frage nach dem Mädchennamen der Mutter kann beispielsweise kaum von einem unberechtigten Dritten beantwortet werden. Art und Anzahl der Fragen sind durch das Unternehmen frei zu konfigurieren. Dies gilt auch für die Menge der möglichen Fragen, die richtig beantwortet werden müssen. Auch können die Fragen frei definiert werden.
Dynamische Gruppen vermeiden Gruppen-Leichen
Als Account-Leichen werden Benutzer und deren Berechtigungen bezeichnet, die eigentlich nicht mehr aktiv sein sollten, weil zum Beispiel die betreffenden Mitarbeiter das Unternehmen verlassen haben. Account-Leichen stellen mittlerweile ein erhebliches Sicherheitsrisiko dar, weil kaum ein Administrator an die Benutzer denkt, die es nicht mehr geben dürfte oder kann. Die Gefahr dieser Accounts liegt in deren Missbrauch. Um sie aufzuspüren, hilft nur der Abgleich mit den aktiven Anwendern mittels Listen oder automatisierter Prozesse. Dies ist ein weiterer Bereich von FIM.
Durch die Funktionen des Reporting werden umfangreiche Informationen etwa über die Benutzer, ihre Aktivität, Gruppen und Zugrifflisten geboten. In eine ähnliche Kerbe schlagen die dynamischen Gruppen – eine weitere Neuerung von FIM 2010. Dynamische Gruppen werden – ihrem Namen entsprechend – bei Bedarf erzeugt und sind damit flexibler als ihre statischen Pendants.
Fazit
Mit dem Forefront Identity Manager 2010 (FIM) schreibt Microsoft die Geschichte des Microsoft Identity Integration Server (MIIS) 2003 und Information Lifecycle Manager 2007 fort. Der Identity Manager wurde gegenüber seinen Vorgängern um zahlreiche Funktionen erweitert. Hierzu zählen vor allem die verbesserte Workflow Engine mit der Workflow Orchestration, das Self Service Passwort Reset und die dynamischen Listen – allesamt technische Verbesserungen. Daneben stehen auch in Zukunft die Workflows der Unternehmen zur Verwaltung der Benutzer und ihrer Identitäten zur Verfügung. Doch diese muss und kann nur das jeweilige Unternehmen kennen und in FIM-Prozesse implementieren. Damit liegt nun die Verantwortung für mehr Sicherheit durch eine bessere Benutzerverwaltung bei den Unternehmen. (hal)