Microsoft FIM 2010 – Teil 1 Integrierte Benutzerverwaltung mit dem Forefront Identity Manager

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Im Zuge der Forderungen nach Datenschutz, Compliance und einem einfachen Management gewinnt die Verwaltung der Benutzer und ihrer Rechte an Bedeutung. Mit dem Forefront Identity Manager (FIM) will Microsoft dem nachkommen. Security-Insider.de erläutert in diesem Beitrag die Möglichkeiten der integrierten Benutzerverwaltung.

Firmen zum Thema

Der Forefront Identity Manager 2010 soll die Benutzer- und Rechteverwaltung deutlich vereinfachen.
Der Forefront Identity Manager 2010 soll die Benutzer- und Rechteverwaltung deutlich vereinfachen.
( Archiv: Vogel Business Media )

Das Problem bei einer konsequenten Benutzerverwaltung ist weniger die Bereitstellung der Benutzeridentitäten und der notwendigen Rechte für die Anwender. Unternehmen vernachlässigen es eher all jene Rechte zu entziehen oder Benutzereinträge zu löschen, die nicht mehr benötigt werden.

Der Grund dafür ist einfach: Benötigt ein Anwender die Rechte für bestimmte Applikationen oder Datenzugriffe, dann meldet er sich ganz gestimmt beim Helpdesk und fordert die Erstellung seiner Identität und Zugriffsrechte. Wechselt der Mitarbeiter aber die Abteilung oder scheidet ganz aus dem Unternehmen aus, so unterbleibt das.

Bildergalerie

In diesem Fall sind die Änderungen allein von zuverlässigen Geschäftsprozessen und Administratoren abhängig. Nur wenn die IT-Abteilung über die Änderungen informiert wird und diese in die IT-bezogenen Änderungen der Zugriffsrechte umsetzt, kann das Benutzermanagement immer korrekt und aktuell sein.

Erschwerend kommt oftmals hinzu, dass die Informationen, welcher Benutzer welche Rechte besitzt, nur unzureichend oder umständlich zu gewinnen sind. So mag zwar der Administrator diese Rechte mithilfe von Administrationstools wie der Verwaltungskonsole des Active Directory zuverlässig auslesen. Doch das taugt kaum für den Vorgesetzen des Fachbereichs, in dem der Mitarbeiter beschäftigt war oder neu hinzukommt. Diese benötigen andere Hilfen, etwa in der Form von Zugrifflisten und ähnlichen Übersichten.

Unklare Zugriffsregelungen bergen Sicherheitslücken

Werden die Benutzerrechte nicht angepasst und verbleiben im System, so stellen sie ein erhebliches Sicherheitsrisiko dar. Dies gilt vor allem dann, wenn keiner mehr an Benutzer oder Mitarbeiter denkt, die es im System ja eigentlich nicht mehr geben dürfte. Denn demzufolge wird auch später niemand deren Rechte anpassen. Nicht selten sind es aber gerade alte und vergessene Rechte oder Passworte, die bei einem Datendiebstahl verwendet werden.

Sind die Daten verloren oder in falsche Hände geraten, so mag dies im besten Fall lediglich einen Reputationsverlust für das Unternehmen darstellen. Dieser bleibt meist aber nicht ohne Auswirkungen auf das Geschäftsverhalten der Kunden. Im schlimmsten Fall ist das Unternehmen jedoch nicht mehr arbeitsfähig und muss die Geschäftstätigkeit einstellen.

Die Bedeutung eines korrekt und fehlerfreien Benutzermanagements kann daher kaum hoch genug eingeschätzt werden. Auch der gesamte Bereich der DLP-Werkzeuge (Data Loss Prevention, Data Leakage Protection) verdankt seine Existenz nicht zuletzt den oftmals unklaren Zugriffregelungen. Auf den Einsatz dieser Tools könnte man bei korrekten und nachvollziehbaren Zugriffregelungen oftmals verzichten.

Seite 2: Benutze und Identitäten im Fokus

Benutze und Identitäten im Fokus

Dem widmet sich Microsoft mit dem Forefront Identity Manager (FIM) 2010, der ein umfassendes Toolset mit Werkzeugen und Hilfen zur Benutzerverwaltung bietet. Dazu gehören auch das Management der User Credentials inklusive der Zertifikate, Smartcards und Token.

Wie die meisten Forefront-Module baut FIM auf bestehenden Produkten auf und erweitert diese. Seine Wurzeln liegen im Microsoft Identity Integration Server (MIIS) 2003, der im Jahre 2007 zum Information Lifecycle Manager (ILM 2007) wurde. Neu beim ILM 2007 war unter anderem eine Komponente zur Zertifikatsverwaltung.

Aus dem ILM 2007 ging nun der FIM 2010 hervor. FIM wurde um Workflows, Self Services-Funktionen und Integrationsbausteine in z.B. Outlook angereichert. Microsoft hat damit seine Verwaltungssoftware für Benutzeridentitäten schrittweise ausgebaut. Im FIM 2010 nun wird der komplette Lebenszyklus eines Benutzer und seiner Identitäten abgedeckt.

Sicherheit durch Zugriffschutz

Die Integration des FIM in den Kontext von Forefront mag auf den ersten Blick etwas ungewöhnlich erscheinen – ist sie aber nicht. Forefront ist bis dato ein Set an Sicherheitswerkzeugen. Dazu gehören Funktionen wie Firewalls, Malware-Scanner für Viren oder Sypware, ein VPN-Gateway und ähnliche Sicherheitseinrichtungen.

All diese Werkezuge regeln den Zugriff der Anwender auf Server, Daten, Verzeichnisse, Webseiten oder ähnlichen Dinge. Am deutlichsten wird das vielleicht beim Intelligent Access Gateway oder der Firewall-Funktion des Threat Management Gateway.

Der FIM wiederum hat die gleiche Zielsetzung, wenn auch in einer anderen technischem Umsetzung: er regelt mithilfe der Benutzeridentitäten den Zugriff auf Daten oder Programme. Zum Umfang von FIM gehören ferner umfangreiche Workflows zur automatisierten Bereitstellung von Änderung und Rechten für Benutzer und Arbeitsgruppen. Durch dynamische Gruppen lässt sich diese Verwaltung noch schneller an die Anforderungen in den Unternehmen anpassen.

Seite 3: Konnektoren für fremde Verzeichnissysteme

Konnektoren für fremde Verzeichnissysteme

Durch eine Vielzahl an Konnektoren werden dabei auch weitere Verzeichnissysteme integriert. Dies ist auch notwendig, denn insbesondere in mittleren und gar größeren Unternehmen bestehen nach wie vor viele getrennte Verzeichnissysteme, die nicht mit dem Active Directory zusammenarbeiten.

Über die Konnektoren erfolgt der Abgleich der Zugriffsrechte mit allen weiteren Systemen. Zum Umfang des FIM gehören daher alle Konnektoren für die gängigen und verfügbaren Verzeichnissysteme. Dies sind beispielsweise das eDirectory von Novell, das Benutzermanagement von SAP, die Verzeichnissen von Sun oder Oracle, die LDAP-Verzeichnissen und natürlich auch das Active Directory.

Dadurch ist es beispielweise möglich, Benutzerdaten der Personalabteilung direkt aus SAP heraus in FIM zu importieren. Ebenso lassen sich die Benutzerangaben aus einem Textfile oder einem Excel-Arbeitsplatt in FIM übernehmen. Dies geht weit über die einfache Synchronisation von Benutzerberechtigungen hinaus.

Self Service Passwort Reset

Ein weiterer Funktionsbereich von FIM ist das Passwort Reset über ein Self-Service-Portal. Durch den Self Service Passwort Reset in FIM wird die Verwaltung der Benutzerpassworte durch die Anwender selbst übernommen.

Hierbei kommt jenes Verfahren zu Einsatz, dass viele Anwender von Internet-Webseite kennen: Der Benutzer muss dabei eine Reihe von Fragen richtig beantworten, erst dann erhält er ein neues Passwort zugesandt. Diese Fragen und Antworten werden vorher einmalig festgelegt. Die Art und Anzahl der Fragen lassen sich durch das Unternehmen frei konfigurieren. Dies gilt auch für die Menge der möglichen Fragen, die richtig beantwortet werden müssen. Darüber hinaus können die Fragen frei formuliert werden.

Fazit

Mit dem Forefront Identity Manager schließt Microsoft die Lücke in seinem Sicherheitswerkzeugen und liefert nun eine integrierte Benutzerverwaltung. Das Werkzeug umfasst alle Vorkehrungen um die Anwender und ihre Rechte einfach und flexibel zu verwalten. Das Self Service Passwort Reste erlaubt darüber hinaus eine Entlastung der zentralen IT und bietet dem Nutzer gleichzeitig einen besseren Komfort.

Im kommenden zweiten Teil dieser Reihe gehen wir auf die weiteren Details des Forefront Identity Manager ein und zeigen seinen Einsatz in der Praxis.

(ID:2045893)