Der Forefront Identity Manager 2010 (FIM) wurde im März 2010 als finale Version freigegeben. Diese haben wir für einen kurzen Praxistest verwendet. Das Testszenario für den FIM besteht aus einem Windows Server 2008 R2. Daneben benötigt der Forefront Identity Manager einige weitere Microsoft-Systembausteine wie das .NET-Framework 3.0 beziehungsweise 3.51 für die Setup-Prozesse. Ferner ist zur Ablage der FIM-Daten ein SQL Server in der Version 2008 SP1 oder höher erforderlich. Die dritte zentrale Komponente stellen die Dienste von SharePoint dar. Hierbei können eine bestehende SharePoint-Infrastruktur oder die reduzierten SharePoint Services eingesetzt werden. In unserem Test verwendeten wir Letzteres. Die weiteren Anforderungen hinsichtlich Soft- und Hardware entsprechen der Vorgaben von Microsoft.
Bezogen haben wir die Software des FIM von der Microsoft-Website. Der Download liefert vier Dateien: die zentrale Funktion von FIM, eine Datei mit Group Policy Templates, die Language Packs und die Release Notes. Das Setup von FIM ist menügeführt und, sofern alle Voraussetzung wie oben erwähnt erfüllt sind, auch schnell und problemlos erledigt.
Nach dem Setup finden sich mehrere Programmeinträge zu den FIM-Tools unter dem Startmenü von Windows. FIM besteht - in vereinfachter Darstellung - aus folgenden Baugruppen:
• Der FIM-Managementkonsole. Diese integriert den Großteil der Arbeiten mit FIM unter einer Weboberfläche. Zu ihrer Benutzung wird ein Browser benötigt.
• Den Management-Agenten mit den Konnektoren für die diversen Verzeichnissysteme und Datenquellen, die Inhalte über die Benutzer beinhalten.
• Den Hintergrundprozessen, die die Inhalte zwischen dem angeschlossenen System und FIM austauschen. Diese Prozesse bedienen sich für den eigentlichen Datenaustausch der Hilfe sogenannter Konnektoren.
• Den Integrationsobjekten für Windows, Outlook 2007 und 2010. Über Outlook werden Nachrichten zwischen den beteiligten Personen ausgetauscht. So kann beispielsweise ein Genehmigungsprozess durch E-Mails in Outlook abgebildet werden.
• Einem Services Manager: Er dient zur Verwaltung und Überwachung der Hintergrundprozesse des FIM-Servers.
• Den FIM-Datenbanken, die zur Speicherung der Daten und der ausgeführten Operationen dienen.
Das Verwaltungsportal: Die FIM-Managementkonsole
Die Managementkonsole stellt das zentrale Benutzer-Interface zu FIM dar. Bei der Konsole des FIM handelt es sich um eine Webkonsole. Ihre Benutzung ist somit über jeden Browser und auch aus der Ferne durchführbar.
In der FIM-Managementkonsole erfolgen die Verwaltung der Distribution Groups (Verteilergruppen), der Security Gruppen, der Policies und der Profile sowie die allgemeine Administration der FIM-Arbeitsweise. Daneben stehen all die Hintergrundprozesse, die zwar nach außen nur wenig in Erscheinung treten, für die Arbeitsweise von FIM aber unerlässlich sind. Unter den Distribution Groups der FIM-Konsole finden sich beispielsweise die Möglichkeiten zum Erzeugen einer neuen Verteilergruppe, der Änderung einer Gruppe, der Verwaltung der Gruppenzugehörigkeit und ähnliche Aufgaben.
Entlastung der zentralen IT durch fachbereichsspezifische Verwaltung
Die Definition einer Gruppe ist - technisch gesehen - sicherlich ein trivialer Vorgang. Die eigentliche Herausforderung liegt darin zu definieren, wer die Gruppe verwalten soll, wer die Mitglieder sind und wie die Regeln für diese Mitgliedschaft aussehen. DiesAll diese Punkte muss der entsprechende Fachbereich vorher festlegen . Die IT-Verwaltung ist immer nur "ausführendes Organ", das die Gruppen und ihre Mitglieder mit den Rechten versorgt, die sie für ihrer Arbeit benötigen.
Das Beispiel zeigt aber die Stoßrichtung von FIM und seine Vorgehensweise an. Mit FIM möchte Microsoft jene Aspekte der IT-Verwaltung, die ebenso gut in den Händen der Anwender liegen könnten, auch dorthin verlagern.
Passwort-Reset durch den Anwender
Ein zweites Beispiel für die Strategie in FIM ist das Passwort-Reset. Nach Untersuchungen der Helpdesk-Aktivitäten zählt das Zurücksetzten (Reset) vergessener oder verlorener Passwörter der Benutzer nach wie vor zu den Hauptaufgaben der Helpdesk-Mitarbeiter. Das Reset eines Passworts ist weder komplex noch eine Tätigkeit, die ausschließlich durch die zentrale IT wahrgenommen werden muss. Allerdings gibt es keine entsprechend etablierten Verfahren und Möglichkeiten, das Passwort-Reset direkt durch die betroffen Benutzer ausführen zu lassen.
Überwachung der Hintergrundprozesse durch den Services Manager
Zu den weiteren Funktionen, die im FIM integriert sind, gehört die Verwaltung von Anforderungen und Workflows. Eine Anforderung ist dabei ein Wunsch eines Benutzers. Dieser Wunsch wird durch die FIM-Prozesse in Workflows abgebildet.
Beispiele sind der Zutritt eines Anwenders zu einer bestehenden Gruppe oder Änderungen an den Rechten des Benutzers, an seinen Mitgliedschaften und ähnlichen Dingen. Die gesamte interne und größtenteils verborgene Logik von FIM wird durch den Services Manager überwacht. Er verwaltet und sichert den FIM-Server und seine Hintergrundprozesse. Auch der Service Manager wartet mit einer Verwaltungskonsole auf.
Fazit
Der Forefront Identity Manager umfasst alle Aspekte rund um den Komplex der Benutzeridentitäten, der Zugangsberechtigungen, Passwörter, Tokens oder Verteilerleisten. Die Identität eines Benutzers ist für die kommenden Sicherheitsanforderungen von zentraler Bedeutung.
Nur wenn bekannt ist, wer beispielsweise einen Datentransfer initiierte, wer sind hinter der E-Mail verbirgt, welcher Benutzer einen Applikationszugang wünscht oder wer am anderen Ende eine VPN-Gateways sitzt, lassen sich Sicherheitskriterien benutzerspezifisch abbilden. Insofern ist die Verwaltung der Identitäten ein notwendiger Schritt hin zu mehr und spezifischer Sicherheit, die Rücksicht auf den Benutzer nimmt. (hal)