Microsoft FIM 2010 – Teil 3 Forefront Identity Manager – Self-Service-Funktionen für Anwender

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Mit dem Forefront Identity Manager (FIM) 2010 will Microsoft die Verwaltung der Benutzergruppen und ihrer Rechte zu einem gewissen Teil in die Hände der Anwender geben. Im Praxistest hat sich Security-Insider.de die Management-Funktionen des neuen Microsoft-Security-Tools angesehen.

Firmen zum Thema

Mit dem Forefront Identity Manager erhalten Anwender mehr Kontrolle über die Rechtverwaltung.
Mit dem Forefront Identity Manager erhalten Anwender mehr Kontrolle über die Rechtverwaltung.
( Archiv: Vogel Business Media )

Als Testumgebung für den Forefront Identity Manager wählten wir den Windows Server 2008 R2. Die Architektur des Forefront Identity Manager unterscheidet nach mehreren Bausteinen. Dies sind unter anderem die Komponenten des Verwaltungsservers und der Client-Module.

Bei den Systemvoraussetzungen für den Server gilt, dass es sich dabei um einen Rechner mit einem 64-Bit Prozessor und mindestens 2 Gigabyte Arbeitsspeicher (RAM) handeln muss. Software-seitig verlangt der Forefront Identity Manager (FIM) einen Windows Server 2008 oder 2008 R2.

Ferner werden eine Reihe weiterer Microsoft-Systembausteine benötigt. Dazu gehören der Web Server (Internet Information Server 7), das .NET-Framework 3.0 bzw. 3.51 und der Windows Installer 4.5. Zur Ablage der FIM-Daten wird ein SQL-Server in der Version 2008 SP1 oder höher benötigt. Und schließlich werden die Dienste von Windows SharePoint Services verlangt.

Hierbei kann eine bestehende Sharepoint-Infrastruktur oder die reduzierten Sharepoint Services eingesetzt werden, im Test verwendeten wir letztere. Die Clientbausteine hingegen begnügen sich mit 512 Megabyte RAM. Die genauen Soft-und Hardware-Anforderungen des Forefront Identity Manager finden Sie im Microsoft Technet Center.

Bezogen haben wir die Software von der Microsoft Website. Microsoft hat den FIM in vier Download-Dateien aufgeteilt: die Serverfunktionen von FIM, eine Datei mit Gruppenrichtlinien-Templates, die Sprachpakete und die Release Notes. Der Kern von FIM steckt in den Servermodulen. Das Setup der Software ist menügeführt und schnell erledigt, sofern die Systemvoraussetzungen alle eingerichtet sind.

Seite 2: Bestandteile des Forefront Identity Manager

Die Baugruppen des Forefront Identity Manager

Der Installationsprozess unterscheiden nach dem FIM-Service, dem FIM-Verwaltungsportal und einem FIM-Passwort-Reset. Im Test haben wir alle Module auf einem Rechner eingerichtet. Nach dem Setup finden sich mehrere Programmeinträge zu den FIM-Tools im Startmenü von Windows.

Der Forefront Identity Manager besteht – in vereinfachter Darstellung – aus folgenden Baugruppen:

  • Die FIM-Managementkonsole. Diese integriert den Großteil der Arbeiten mit FIM unter einer Weboberfläche. Zu ihrer Benutzung wird ein Browser benötigt.
  • Den Management-Agenten mit den Konnektoren für die diversen Verzeichnissysteme und Datenquellen, die Inhalte über die Benutzer umfassen.
  • Den Hintergrundprozessen, die zum Austausch der Benutzerinformationen mit den angeschlossenen Systemen und FIM benötigt werden. Diese Prozesse bedienen sich der Konnektoren für den eigentlichen Datenaustausch.
  • Den Integrationsobjekten für Windows, Outlook 2007 und 2010. Über Outlook werden dabei Nachrichten zwischen den beteiligten Personen ausgetauscht. So kann beispielsweise ein Genehmigungsprozess durch Emails in Outlook abgebildet werden.
  • Der FIM-Server. Auf dem FIM-Server laufen all die Hintergrundprozesse. Diese treten nach außen kaum in Erscheinung, sind aber für die Funktionsweise von FIM unerlässlich.
  • Ein Services Manager, der zur Verwaltung und Überwachung der Hintergrundprozesse des FIM-Servers dient.
  • Der FIM-Datenbank, in der die Daten und ausgeführten Operationen gespeichert werden.

Seite 3: Rollenbasiertes Verwaltungsportal

Rollenbasiertes Verwaltungsportal

Zur Verwaltung des FIM liefert Microsoft eine zentrale Managementkonsole. Diese basiert auf den Webtechniken und erlaubt damit eine Verwaltung des FIM durch einen Browser.

Diese Konsole ist konfigurierbar und erlaubt eine rollenbasierte Verwaltung.

Das Konzept des FIM sieht eine Zuweisung von Verwaltungsfunktionen für die Benutzer vor. So kann beispielsweise der Anwender durch eine abgesteckte Konsole damit seine Passworte selbst zurücksetzen. Gleichzeitig allerdings erlaubt die Konsole auch eine Fernwartung aller FIM-Funktionen durch den Administrator.

In der FIM-Managementkonsole erfolgt die Verwaltung der Distribution Groups (Verteilergruppen), der Security Gruppen, der Policies, der Profile und die allgemeine Administration der FIM-Arbeitsweise. Unter den Distribution Groups der FIM-Konsole finden sich beispielsweise die Möglichkeiten zum Erzeugen einer neuen Verteilergruppe, der Änderung einer Gruppe, der Verwaltung der Gruppenzugehörigkeit und ähnliche Aufgaben.

Self Service Passwort Management durch die Anwender

Um beispielsweise eine Verteilergruppe aufzubauen ist die zugehörige Option in der Konsole zu wählen. Durch nachgeschaltete Assistenten werden dann die notwendigen Angaben abgefragt.

Im Rahmen unseres Tests haben wir mehrere Verteilergruppen erzeugt und diese mit Mitgliedern versehen. Das Erstellen einer Gruppe beispielsweise ist schnell erledigt und sicherlich ein einfacher Prozess. Die Herausforderung wird eher darin liegen, wer die Mitglieder sind und wie die Regeln für diese Mitgliedschaft aussehen. Ferner muss die Frage beantwortet werden, wer die Gruppe verwalten soll.

Dies aber sind alles Aspekte, die letztendlich der Fachbereich oder dessen Vorgesetzter entscheiden muss. Der IT-Administrator kann diese Anforderungen Vorgaben als ausführende Stelle nur umsetzen.

Dies gilt aber auch heute bei vielen Angelegenheiten der IT. Die IT führt aus – die Vorgaben dazu kommen fasst immer von den Fachbereichen. Das Beispiel zeigt aber die Stoßrichtung von FIM und seine Vorgehensweise an. Mit FIM möchte Microsoft jener Aspekte der IT-Verwaltung, die ebenso gut in den Händen der Anwender liegen können, auch dorthin verlagern.

Seite 4: Sicherheitsgruppen, Rollen und Profile

Sicherheitsgruppen, Rollen und Profile

Zu den weiteren Funktionen in FIM gehören die Verwaltung der Sicherheitsgruppen, der Benutzer und deren Profile. Auch diese Schritte sind schnell durchlaufen und stellen keine besonderen Anforderungen dar. Wie schon bei den Verteilergruppen gilt, dass die eigentliche Arbeit in der Definition der Gruppen und Profile liegen wird – weniger in der technischen Umsetzung durch die FIM-Konsole.

Eingeschlossen in FIM ist ferner die Verwaltung von Anforderungen und Workflows. Erzeugt werden die Anforderungen in der Regel durch die Anwender bzw. durch die Fachbereiche.

Eine Anforderung eines Anwenders kann beispielsweise die Aufnahme in eine bestehende Verteilergruppe sein. Auch Änderungen an den Rechten des Benutzers, an seinen Mitgliedschaften und ähnlichen Dingen sind Anforderungen, die zur Routine in der IT-Administration gehören.

FIM bildet diese Anforderungen dann in internen Workflows und Prozessen ab. Die interne und größtenteils verborgene Logik von FIM wird durch den Services Manager überwacht. Er dient zur Verwaltung und Steuerung des FIM-Servers und seiner Hintergrundprozesse. Die Verwaltung und Überwachung des Services Manager erfolgt in einer eigenen Verwaltungskonsole.

Fazit

Im Forefront Identity Manager bündelt Microsoft die Verwaltung der Benutzer, ihrer Identitäten, der Zugangsberechtigungen, Passworte, Tokens und vieles mehr. Ferner lassen sich hiermit Verteilergruppen, Sicherheitsgruppen, Profile und Passworte verwalten.

Durch die Zusammenarbeit mit allen gängigen Verzeichnissystemen und natürlich auch dem Active Directory erfolgt die Integration mit weiteren Verzeichnissystemen im Verwaltungskontext des Identity Managers. Die Bedienung des Tools ist einfach und schnell durchschaut. Die Herausforderung dabei wird aber in der Definition der jeweiligen Kriterien, der Rechte und der Listen liegen.

(ID:2046053)