Microsoft FIM 2010 – Teil 2 Forefront Identity Manager – Dynamische Gruppen erleichtern Verwaltung

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Der Verwaltung der Benutzer und ihrer Rechte ist für das IT-Management eine zentrale Aufgabe. Wenn man dabei zu nachlässig vorgeht, beinträchtigt das die IT- und Datensicherheit. Der Forefront Identity Manager von Microsoft hilft mit neuen Gruppenmanagement-Funktionen dabei, die Benutzerrechte im Auge zu behalten.

Firma zum Thema

Dynamische Gruppen vereinfachen unter dem Forefront Identity Manager die Verwaltung der Anwenderrechte.
Dynamische Gruppen vereinfachen unter dem Forefront Identity Manager die Verwaltung der Anwenderrechte.
( Archiv: Vogel Business Media )

Zum Umfang von Microsoft Forefront gehören mehrere Sicherheitswerkzeuge wie beispielsweise Malware-Scanner für Viren oder Sypware, ein VPN-Gateway, eine Firewall und ähnliche Sicherheitseinrichtungen. Ganz neu in diesem Portfolio ist der Forefront Identity Manager. Seine Aufgabe ist die Verwaltung der Benutzer, ihrer Rollen, Rechte und Identitäten. Eingeschlossen ist ferner die Administration der Benutzerberechtigung (User Credentials) incl. Zertifikate, Smartcards und Tokens.

Wenngleich der Name Identity Manager neu ist, das Produkt selbst hat einen Vorgänger. Der Ursprung des Identity Manager liegt im Microsoft Identity Integration Server (MIIS) 2003. Dieser wurde dann im Jahre 2007 zum Information Lifecycle Manager 2007 (ILM 2007). Im ILM 2007 packte Microsoft bereits die Zertifikatsverwaltung dazu. Der ILM 2007 wurde nun zum FIM 2010.

Bildergalerie

Gruppen bündeln Anwender und ihre Rechte

Zu den Aufgaben des Identity Manager gehört die Verwaltung der Benutzeridentitäten und der Rechte der Anwender. Die Berechtigungen für die Benutzer bestimmen die Möglichkeiten, die die Anwender im Umgang mit den Systemen haben. Durch Berechtigungen erfolgt der Zugriff auf die Anwendungen und Daten gleichermaßen.

Um allerdings nicht jedem Benutzer eigenständig und individuell verwalten zu müssen werden Gruppen gebildet. Diese korrespondieren häufig mit den Organisationsstrukturen in den Unternehmen. In der Gruppe „Forschung und Entwicklung“ werden dann eben all die Mitarbeiter zusammengefasst, die sich mit der Entwicklung von neuen Produkten beschäftigen.

Das Zusammenfassen der Mitarbeiter in Gruppen ist sicherlich sinnvoll und vereinfacht die Verwaltung – reicht aber nicht immer aus. Oftmals werden weitere und übergreifende Gruppen benötigt, die keinen organisatorischen Bezug zueinander haben.

Eine „Arbeitsgruppe“ beispielsweise, die sich aus Mitarbeitern verschiedener Abteilungen zusammensetzt, hat keinerlei organisatorische Abbildung im Unternehmen. Dennoch sollen solche Mitarbeiter Zugang auf gemeinsame Sharepoint-Dokumente haben oder einen eigenen Mailverteiler besitzen. Um solche dynamische Gruppen dennoch zusammenfassen zu können werden heute oftmals „temporäre“ Gruppen gebildet.

Seite 2: Dynamische Gruppen vereinfachen die Verwaltung

Dynamische Gruppen vereinfachen die Verwaltung

Problematisch wird es schon bei der Definition: was heißt temporär und wann ist die Gruppe wieder aufzulösen? Das Anlegen einer Gruppe, egal ob temporär oder beständig, wird überwacht und kontrolliert. Die Mitglieder dieser Gruppe sorgen sicherlich selbst dafür, dass sie mit den notwendigen Rechten ausgestattet sind, denn andernfalls können sie ihre Arbeit nicht verrichten. Wer aber sorgt für die Auflösung der Gruppe und wann ist der richtige Zeitpunkt?

Hier schaffen die dynamischen Gruppen von Forefront Abhilfe. Dynamische Gruppen werden – ihren Namen entsprechend – bei Bedarf erzeugt. Statische Gruppen wiederum sind beispielsweise Organisationseinheiten im Aktive Directory. Für alle statische Gruppen gilt: Werden sie nicht explizit gelöscht, so verbleiben sie dort und haben damit eine ähnliche Wirkung wie die Benutzerleichen.

Dynamische Gruppen weisen eine Reihe von Vorteilen auf: dazu gehört die einfache und schnelle Erstellung aber auch das Deaktivieren nach einer voreingestellten Zeit. Eine dynamische Gruppe ist durch frei wählbare Eigenschaft gekennzeichnet. Diese kann z.B. ein bestimmtes Attribut eines Benutzers sein. Wenn der Anwender dieses Attribut aufweist, so gehört er automatisch zu dieser Gruppe.

Die Kriterien zur Zusammenstellung einer dynamischen Gruppe umfassen alle auswertbaren Attribute. Dies sind natürlich die in den Verzeichnissen hinterlegten Attribute und Felder. Ferner lassen sich aber auch ungewöhnlichere Eigenschaften der Benutzer als Kriterium heranziehen. Diese Kriterien müssen lediglich über die Skripte und Funktionen in FIM irgendwie als Daten erreichbar sein.

Dynamische Gruppen können außerdem mit einem definierten Ablaufdatum versehen werden. Damit wird vermieden, dass eine einmal erzeugt Gruppe unerkannt fortbesteht und so zum Sicherheitsrisiko wird.

Seite 3: Analyse der Benutzer und ihrer Berechtigungen

Analyse der Benutzer und ihrer Berechtigungen

Aber nicht nur Gruppen, die keiner mehr kennt oder benötigt, stellen ein Sicherheitsrisiko dar. Die Problematik der „schlafenden“ Credentials gilt auch analog für die Benutzer und deren Accounts. In vielen Unternehmen schlummert eine Menge an nicht mehr verwendeten Account-Leichen.

Als solche werden Benutzer und deren Berechtigungen verstanden, die es eigentlich nicht mehr geben dürfte. Beispiel dafür sind Mitarbeiter die aus den Unternehmen ausgeschieden sind oder aufgrund von Namenwechsel oder Versetzung in völlig anderen Bereichen versetzt wurden und gänzlich andere Berechtigungen erhielten.

Account-Leichen stellen mittlerweile ein erhebliches Sicherheitsrisiko dar, weil kaum ein Administrator an Benutzer denkt, die es nicht mehr geben dürfte oder kann. Die Gefahr dieser Accounts liegt im Missbrauch. Um schlafende Benutzerkonten aufzuspüren hilft nur der Abgleich mit den aktiven Anwendern mit Listen oder automatisierten Prozessen.

Hierzu hat Microsoft den Identity Manager erweitert. Durch eine Vielzahl an Berichten und Listen erhalten die Administratoren umfangreiche Informationen über die Benutzer, ihre Aktivität, den Gruppen, Zugrifflisten und dergleichen.

Fazit

Gruppen vereinfachen die Verwaltung der Anwender und deren Rechte in den Unternehmen. Sie müssen nun aber zusätzlich zu den Anwendern verwaltet werden. Eine unüberlegte Gruppenstruktur und -vielfalt erhöht allerdings den Verwaltungsaufwand. Oftmals werden Gruppen auch nur kurzzeitig benötigt.

Microsoft trägt diesem Umstand durch die dynamischen Gruppen im Forefront Identity Manager Rechnung. Diese Gruppen sind schnell erzeugt und lassen sich anhand beliebiger Kriterien definieren. Durch ein Ablaufdatum verlieren sie außerdem automatisch am Ende ihre Gültigkeit und stellen dann kein Sicherheitsrisiko mehr dar.

(ID:2045986)