Grundlegende Konzepte

Artikel
03/19/2009

Kapitel 5: Verwaltung des Identitätslebenszyklus

Veröffentlicht: 11. Mai 2004 | Aktualisiert: 26. Jun 2006

Die meisten Organisationen müssen mit mehreren Identitätsspeichern arbeiten. Sobald eine Netzwerkumgebung mehr als einen Speicherort für digitale Identitäten verwendet, besteht das Problem der Verwaltung mehrerer Identitäten.

Die Verwaltung des Identitätslebenszyklus beinhaltet den Prozess und Technologien für die Bereitstellung, Entfernung, Verwaltung und Synchronisierung von digitalen Identitäten unter Einhaltung der geltenden Richtlinien. Der Erfolg der Identitäts- und Zugriffsverwaltung hängt in erster Linie davon ab, wie effizient der Lebenszyklus von digitalen Identitäten verwaltet werden kann.

Identitätslebenszyklus-Verwaltungsdienste ermöglichen die Erstellung von Sicherheitsprinzipalen, Attributverwaltung, Synchronisierung, Zusammenfassung und Löschung. Zudem müssen diese Aktionen sicher mit einer detaillierten Überwachungsliste ausgeführt werden. Dieser Abschnitt beschreibt, wie Produkte von Microsoft diesen Anforderungen gerecht werden.

Auf dieser Seite

Identitätsintegration
Bereitstellung
Delegierte Verwaltung
Benutzerverantwortliche Verwaltung
Verwalten von Anmeldeinformationen

Identitätsintegration

Identitätsintegrationsdienste (IdI) verknüpfen Identitätsinformationen in mehreren Verzeichnissen, Datenbanken und anderen Identitätsspeichern. Sie bieten eine einheitliche Benutzeransicht und können die Identitätsbereitstellung und -entfernung in mehreren Speichern implementieren.

In diesem Abschnitt werden zwei von Microsoft angebotene miteinander zusammenhängende Anwendungen für die Identitätsintegration vorgestellt. Diese Produkte sind:

Microsoft Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1)
Identity Integration Feature Pack 1a für Microsoft Windows Server™ Active Directory.

MIIS 2003 SP1 verbessert den Microsoft Active Directory®-Verzeichnisdienst durch die folgenden Interoperabilitätsfunktionen:

Integration mit einer Vielzahl von Identitätsrepositories
Bereitstellung von Identitätsinformationen in mehreren Speichern
Zuordnung von Identitätsinformationen, automatische Erkennung von Updates und systemübergreifende Synchronisierung von Änderungen
Umwandlung von Daten aus einem Identitätsspeicher entsprechend dem Schema eines anderen Speichers

Das Identity Integration Feature Pack 1a für Microsoft Windows Server Active Directory ist eine als kostenloser Download verfügbare Version von MIIS 2003 SP1 mit reduziertem Featureumfang. Das Feature Pack bietet die Möglichkeit der Integration von Identitätsinformationen zwischen Active Directory, ADAM und globalen Adresslisten von Exchange 2000/2003. Downloaden Sie das Feature Pack von der Seite Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory (in englischer Sprache) im Microsoft Download Center.

Microsoft bietet auch Produkte für die Integration mit spezifischen Plattformen an. Diese Produkte ermöglichen Ihnen die Integration von Nicht-Microsoft-Betriebssystemen in eine Windows-Umgebung und eignen sich ggf. für die wenigen nicht vollständig von MIIS 2003 SP1 unterstützten Szenarios oder Fälle, in denen nur eine andere Plattform integriert werden muss.

Zu diesen anderen Integrationsprodukten zählen:

Services for UNIX. Dieses Produkt erweitert Active Directory-Datensätze, so dass UNIX-Anmeldinformationen und -Berechtigungen eingeschlossen werden können. Auf diese Weise können Sie UNIX-Benutzer und -Gruppen wie Windows-Benutzer und -Gruppen verwalten. Das Produkt ermöglicht auch die Synchronisierung von Kennwörtern zwischen UNIX und Active Directory.
Services for NetWare. Dieses Produkt enthält einen sehr flexiblen Dienst, der eine vollständige Interoperabilitätslösung für Active Directory und Novell eDirectory 8.7 und seine Bindery bietet. Das Produkt reduziert die Kosten der Identitäts- und Zugriffsverwaltung durch eine bidirektionale Kennwortsynchronisierung zwischen Active Directory und Novell-Systemen.
Services for Macintosh. Mithilfe dieses Produkts kann eine integrierte Komponente von Microsoft Windows Server Computern mit Windows-gestützten Betriebssystemen und Macintosh-Betriebssystemen die gemeinsame Nutzung von Dateien und Druckern ermöglichen. Darüber hinaus kann Windows Server als AppleTalk-Router fungieren. Services for Macintosh beinhaltet auch das Microsoft User Authentication Module (MSUAM), das Macintosh-Clients einen sicheren SSO-Mechanismus für den Zugriff auf Anwendungen unter Windows Server 2003 bietet.
Host Integration Server (HIS). Dieses Produkt bietet eine Anwendungs-, Daten- und Netzwerkintegration zum Erweitern des Zugriffs von Windows-gestützten Betriebssystemen auf ältere Hostsysteme wie AS/400 und Mainframecomputer mit DB2, RACF, ACF2 und anderen Betriebssystemen. HIS kann auch Benutzer-IDs und Kennwörter aus einem Windows-Betriebssystem einem Hostsystem zuordnen, ohne die Hostsicherheitsumgebung zu ändern.

Bereitstellung

Das zentrale Problem bei der Verwaltung des Identitätslebenszyklus besteht darin, dass Sie sicherstellen müssen, dass im zentralen von Active Directory verwalteten Identitätsspeicher sowie in anderen Identitätsspeichern für nicht vollständig in Active Directory integrierte Anwendungen Sicherheitsprinzipale hinzugefügt und entfernt werden können. Dieses Szenario wird in der Regel als „Heuern/Feuern“-Szenario bezeichnet.

Hinzufügen eines Workflows für die Bereitstellung

Die Bereitstellung muss häufig den Betriebsverfahren der Organisation angepasst werden. Wenn z. B. ein neuer Mitarbeiter eingestellt wird, muss der zuständige Manager u. U. den Bereitstellungsprozess genehmigen. Drei Methoden stehen Ihnen zum Hinzufügen des Workflows für den Bereitstellungsmechanismus zur Auswahl.

MIIS 2003 SP1-Regelerweiterungen. Sie können mithilfe der MIIS 2003 SP1-Regelerweiterungen eine einfache workflowgesteuerte Bereitstellung implementieren. Eine Statusänderung in einer verbundenen Datenbank, z. B. einer Personalanwendung, kann dann eine automatische Bereitstellungssequenz auslösen. Die resultierende Erstellung von digitalen Identitäten in den entsprechenden Identitätsspeichern erfolgt gemäß den Regelerweiterungen in MIIS 2003 SP1. Dieser Mechanismus lässt jedoch keine manuellen Genehmigungsprozesse zu.
Einfacher Workflow. Eine weitere Option ist die Implementierung einer einfachen Workflowanwendung, eventuell mit einer webgestützten Schnittstelle, die die Ausführung von manuellen Workflowschritten innerhalb des automatischen Bereitstellungsprozesses ermöglicht. Diese Option unterstützt das Szenario, in dem ein neuer Mitarbeiter die Genehmigung eines Managers benötigt, ein Manager jedoch nur seine neuen Mitarbeiter genehmigen an. Wenn die Personalabteilung ein neues Mitarbeiterkonto erstellt, werden die Managerdetails eingegeben, um eine E-Mail-Benachrichtigung an den jeweiligen Manager zu senden. Wenn sich der Manager an der Website anmeldet, sieht er eine Liste der neuen zu genehmigenden Mitarbeiter. Durch das Erteilen der Genehmigung werden dann die neuen Benutzerkonten in allen relevanten Identitätsspeichern erstellt.
Microsoft BizTalk® 2004-Orchestrierung. Die BizTalk 2004-Orchestrierung bietet erweiterte Workflowfunktionen für komplexe heterogene Umgebungen.

Bereitstellen von Schattenkonten

Kapitel 6, „Zugriffsverwaltung“, beschreibt, wie Sie Schattenkonten als Alternative zum Erstellen einer Vertrauensstellung zwischen zwei sich andernfalls nicht vertrauenden Bereichen verwenden können. Zum Verwalten und Gewährleisten der Stabilität dieses Mechanismus sollte die Erstellung und Entfernung von Schattenkonten zwischen unterschiedlichen Bereichen möglichst automatisiert werden. MIIS 2003 SP1 ist ein hervorragendes Tool für die Bereitstellung und Synchronisierung von Schattenkonten.

Delegierte Verwaltung

Die Verwaltung des Identitätslebenszyklus beinhaltet das Delegieren der Verwaltung von bestimmten Aspekten der in Active Directory verwalteten digitalen Identität. Hierzu können Sie die in Active Directory integrierte präzise Zugriffssteuerung über unterschiedliche Schnittstellen verwenden. Wenn das Schema eine korrekt konfigurierte Autorisierungsrichtlinie für Active Directory-Objektzugriffssteuerungslisten (ACL) enthält, kann die Verwaltung beliebiger Objekte in Active Directory mithilfe von Snap-Ins der Microsoft Management Console (MMC) delegiert werden. Dies umfasst auch die Verwaltung der Benutzerkonten, die digitale Identitäten darstellen.

Eine weitere häufig verwendete Option zum Bereitstellen einer Verwaltungsschnittstelle ist das Erstellen einer in Active Directory integrierten Webanwendung zur Verwaltung von Konten und Attributen. Diese Funktion ist normalerweise in den Produkten der auf die Zugriffsverwaltung spezialisierten Partner von Microsoft verfügbar.

Weitere Informationen zu den Active Directory-Funktionen für die delegierte Verwaltung finden Sie auf der Seite Design Considerations for Delegation of Administration in Active Directory (in englischer Sprache) auf der Microsoft TechNet-Website.

Benutzerverantwortliche Verwaltung

Ein entscheidender Faktor für die Reduktion der Verwaltungskosten ist die Fähigkeit regelmäßiger Benutzer, einen Teil ihrer Verzeichnisattribute selbst verwalten zu können. Produkte von Microsoft bieten diese Funktion indirekt über eine detaillierte Autorisierung auf der Attributebene in Active Directory. Viele Kunden von Microsoft haben mit Visual Studio.NET eigene Schnittstellen (meistens Webseiten) für die Selbstverwaltung von Attributen entwickelt. Für Kunden, die ein vorhandenes Produkt erwerben möchten, bieten Microsoft-Partner benutzerfreundliche Webschnittstellen, über die Benutzer bestimmte Attributinformationen selbst verwalten können.

Verwalten von Anmeldeinformationen

Unterschiedliche Authentifizierungsmechanismen verwenden häufig unterschiedliche Anmeldeinformationen (z. B. x.509-Zertifikate, Kerberos-Kennwörter und Microsoft Passport-Kennwörter). Daher sollte jede Plattform, die mehrere Authentifizierungsmechanismen unterstützt, Benutzern die Verwaltung mehrerer Anmeldeinformationen ermöglichen. In Windows wird dieses Feature als Windows-Anmeldeinformationsverwaltung bezeichnet.

Die Windows-Anmeldeinformationsverwaltung bietet Endbenutzern die Möglichkeit, Anmeldeinformationen zwischenzuspeichern und spezifischen Speicherorten zuzuordnen. Sie können z. B. unterschiedliche Microsoft Passport-Konten mit unterschiedlichen Websites verwenden, und Sie können verschiedene Zertifikate zur Verwendung mit unterschiedlichen Webanwendungen identifizieren.

Kennwortverwaltung

Viele Umgebungen enthalten Systeme und Anwendungen, die sich nicht ohne weiteres mit den Sicherheitsfeatures in Windows Server 2003 und Active Directory integrieren lassen. Diese Systeme verwenden normalerweise andere Authentifizierungsprotokolle oder einen separaten Identitätsspeicher für die Authentifizierung.

Viele dieser Systeme verwenden jedoch Kennwörter für die Authentifizierung. Die Benutzerfreundlichkeit kann verbessert werden, indem die für die Anmeldung bei Active Directory verwendeten Konten und Anmeldeinformationen (Kennwörter) zusammen mit den in anderen Systemen verwendeten Konten und Kennwörtern bereitgestellt, synchronisiert und verwaltet werden (dadurch wird jedoch möglicherweise auch die Angriffsfläche vergrößert). Microsoft bietet folgende Produkte für die Kennwortverwaltung an:

MIIS 2003 SP1. Dieses Produkt ermöglicht die Kennwortpropagierung zwischen verbundenen Verzeichnissen über eine WMI-Schnittstelle (Windows Management Instrumentation). Die WMI-Schnittstelle wird von in MIIS enthaltenen vorkonfigurierten Webseiten zum Ändern und Zurücksetzen von Kennwörtern verwendet. Auch angepasste Lösungen, die andere Funktionen von Windows nutzen (z. B. den im Folgenden beschriebenen Kennwortbenachrichtigungsfilter), arbeiten mit der WMI-Schnittstelle.
Services for UNIX. Dieses Produkt führt eine Kennwortpropagierung zwischen Active Directory und der UNIX-Plattform aus.
Services for NetWare. Dieses Produkt führt eine Kennwortpropagierung zwischen Active Directory und NetWare aus.
Host Integration Server (HIS). Dieses Produkt führte eine Kennwortsynchronisierung zwischen Active Directory und verschiedenen hostgestützten Systemen aus.
Angepasste Active Directory-Kennwortbenachrichtigungsfilter. Das Software Development Kit (SDK) der Windows-Plattform und das Dokument „Kennwortverwaltung“ dieser Serie enthalten Informationen zum Entwickeln eines angepassten Kennwortbenachrichtigungsfilters für erweiterte Kennwortverwaltungsdienste.

Über MIIS 2003 SP1 können Sie Konten und Kennwörter mit anderen Systemen verwalten, insbesondere mit anderen Verzeichnissystemen und Identitätsspeicherdatenbanken. Die im Programm enthaltenen Connectors lassen sich in die meisten gängigen Verzeichnisse und Datenbanken integrieren und vereinfachen dadurch die Bereitstellung eines Kennwortverwaltungsmechanismus. MIIS 2003 SP1 bietet folgende Unterstützung für die Kennwortverwaltung:

Zurücksetzen durch den Helpdesk. Helpdesk-Mitarbeiter setzen Benutzerkennwörter über die mit MIIS bereitgestellte Webschnittstelle zurück. Sie können die Kennwortänderung so konfigurieren, dass Änderungen an Active Directory und andere von MIIS 2003 SP1 für die Kennwortverwaltung unterstützte Verzeichnisse übertragen werden.
Webinitiierte Änderungen. Benutzer ändern Kennwörter über eine allgemeine webgestützte Anwendung zum Ändern von Kennwörtern. Das Kennwort wird dann an alle von MIIS unterstützten Verzeichnisse und Systeme verteilt, einschließlich Active Directory.
Windows-initiierte Änderungen. Benutzer ändern Kennwörter über das Dialogfeld „Kennwort ändern“ auf Windows-gestützten Clientcomputern. Der Active Directory-Kennwortbenachrichtigungsfilter ruft das geänderte Kennwort ab und verteilt es dann über MIIS 2003 SP1 an die anderen Systeme. Diese Funktion ist derzeit nicht in MIIS 2003 SP1 enthalten, sie kann jedoch mithilfe von Visual Studio .NET und angepasster Codierung implementiert werden (siehe hierzu das Beispiel im Dokument „Kennwortverwaltung“ dieser Serie).
Von anderen Systemen initiierte Änderungen. Benutzer ändern Kennwörter über Nicht-Windows-Betriebssysteme. Das Kennwort wird über die vom Betriebssystem unterstützten Mechanismen abgerufen und dann über MIIS 2003 SP1 verteilt. Diese Funktion wird nur durch die Verwendung von Nicht-Microsoft-Anwendungen unterstützt, die sich in Active Directory oder MIIS 2003 SP1 integrieren lassen.

Unabhängig davon, welches Kennwortverwaltungssystem Sie verwenden, wird es Ihnen nur dann von Nutzen sein, wenn es leicht anwendbar ist und von den Benutzern verstanden wird.