A Microsoft Identity Manager 2016 újdonságai

A Microsoft a közelmúltban jelentette be az Identity Manager 2016-ot. Ez a bejegyzés a legfontosabb fejlesztéseket járja körbe.

A vállalati informatikai biztonság egyik alappillére a felhasználói- és identitásadatok (credentials) és jogosultságok (csoporttagságok) megfelelő karbantartása. Ebben és a modern IT-fenyegetettségek elleni védelemben segít a Microsoft Identity Mannager 2016 (MIM).

A MIM 2016 a korábbi Forefront Identity Manager 2010 R2 termékek tovább fejlesztett változata, a Microsoft címtár szinkronizációs és identitás kezelési megoldása, amely az alábbi fő területekre fókuszál:

  • Biztonság
    • Privileged Identity Management
    • Csoporttagság és jogosultság kezelés
    • Active Directory adatok naprakészen tartása, címtár szinkronizáció
  • Önkiszolgáló funkciók
    • Önkiszolgáló smartcard, virtual smartcard és tanúsítvány életciklus kezelés
    • Önkiszolgáló jelszó helyre állítás
    • Önkiszolgáló csoporttagság kezelés
  • Hibrid identitáskezelés
    • Integráció az Azure Active Directory képességekkel
    • Integrált, egységes jelentés készítési felület a lokális és Azure AD identitásokhoz kapcsolódó aktivitásokról

Modern identitás

Az IT-biztonság, a vállalati hatékonyság és a felhasználói kényelem szempontjából is lehető legelőnytelenebb, ha a felhasználóknak a különböző rendszerek között különböző identitásokat (felhasználói fiókokat) kell használnia. IT-biztonság szempontjából nehezen követhetővé teszi, hogy ki mikor mihez kapott hozzáférést, illetve hogy ki milyen felesleges extra jogokkal rendelkezik, hiszen nehezen követhető, hogy mely felhasználónak mely rendszerekben mi az azonosítója. Ráadásul ha egy felhasználóhoz több identitás tartozik, akkor sokkal nehezebb a biztonságot növelő megoldások (pl.: kétfaktoros hitelesítés) bevezetése. A felhasználó számára kényelmetlen. hogy különböző felhasználói neveket, jelszavakat, hitelesítési adatokat kell megjegyeznie, ha ezeket elfelejti, akkor pedig helyreállíttatania, ami kiesett munkaidővel, a produktivitás csökkenésével jár. Egy csak saját infrastruktúrán megvalósított vállalati környezetben ezek a single sign-on, címtár-szinkronizációs és jogosultságkezelési kihívások.

Egy modern, felhőszolgáltatásokat és felhasználók által hozott eszközöket (Bring Your Own Device – BYOD) is tartalmazó IT környezet további kihívásokat jelent identitáskezelés szempontjából, hiszen a felhőszolgáltatások szintén újabb rendszerek bevonását jelenti a már meglevőek mellé. Ebben nyújt segítséget az Azure AD, a Windows Server Active Directory szolgáltatások, az Azure AD Connect és a Microsoft Identity Manager is. Ezeknek a szerepe:

  • Windows Active Directory szolgáltatások: A „hagyományos” lokális címtár és hitelesítés funkciók biztosításán felül az Active Directory Federation Services (ADFS) szolgáltatás biztosítja a single sign-on képességet a helyi Active Directory felhasználók számára a felhőszolgáltatások címtárai felé, így az Azure Active DIrectory felé is.
  • Azure Active Directory: A helyi Active Directory felhőbe szánt verziója. Hasonlóan a helyi AD-hez ez is felhasználó és csoport kezelési funkciókat biztosít felhő szolgáltatások számára. Ezen felhő szolgáltatások lehetnek olyanok amelyek úgy lettek megírva hogy az Azure AD-t használják mint hitelesítési forrás (pl.: Office 365 szolgáltatások), vagy lehetnek egyéb 3rd party felhő szolgáltatások amelyek az Azure AD Premium képességein keresztülképesek integrálódni felhasználói hitelesítés szempontjából (tehát a felhasználó az Azure AD-s identitásán keresztül éri el az adott 3rd party felhő szolgáltatást)
  • Azure AD Connect: A korábban DirSync, illetve AAD Sync nevű eszköz biztosítja a kapcsolatot a helyi Active Directory és az Azure AD között, kétirányú szinkronizációval. A helyi Active Directoryból képes szinkronizálni a felhasználókat és csoportokat az Azure AD-ba és támogatja az Azure AD Premium egyéb funkcióit (pl.: on-prem jelszó reset, és csoporttagság-kezelés).
  • Microsoft Identity Manager 2016: A helyi Active Directory adat karbantartását és a felhasználói identitáskezelést végzi (jelszó reset, smart card management, csoporttagság-kezelés) ha kell, integráltan az Azure AD képességeivel, beleértve az egységes felhasználói aktivitás jelentéseket is.

mim1

1. ábra Modern identitás

Az Azure AD Connect és a MIM szinkronizációs képességek összehasonlítása a hibrid identitáskezelésben:

Hibrid szcenárió Képesség leírása MIM Azure AD Connect
Helyi-helyi adatbázis szinkronizáció Helyi címtárak közötti identitás és csoport szinkronizáció (pl: AD, SAP, Oracle DB, stb. adatbázisok között) Igen Nem
Helyi AD-ból Azure AD felé Helyi Active Directory-ból a felhasználók, csoportok szinkronizációja az Azure AD felé Lehetséges, az AD Connector segítségével, de nem ajánlott) Igen
Azure AD-ból a helyi AD felé Azure AD Premium képességek pl.: csoport tagság kezelés, Azure AD jelszó helyreállítási portál funkcióinak vissza szinkronizálása a helyi AD-ba Nem Igen

1. táblázat Hibrid identitás szcenáriók

Mint látható, a fenti funkciók egymásra épülnek és egymást egészítik ki, ezért is van az, hogy a MIM 2016 és az Azure AD Premium funkciók egyaránt részei az Enterprise Mobility Suite (EMS) licenccsomagnak.

A Microsoft Identity Manager 2016 infrastruktúra újdonságai

A korábbi Forefront Identity Manager 2010 R2 alapjaira épülve a MIM 2016 infrastruktúrája az alábbi új képességekkel bővült:

  • Új programozási interface-k, RESTful API és PowerShell parancsok
  • Privileged Access Management
  • A tanúsítványkezelés most már támogatja a több AD forestes kialakítást, illetve az önkiszolgáló funkciókhoz érkezett egy Windows store alkalmazás
  • Az önkiszolgáló felhasználói funkciók a jelszó-helyreállítás mellett már támogatják a fiók feloldása (unlock) funkciót is, valamint ezen funkcióhoz lehetséges most már az Azure Multifactor Authentication (Azure MFA) használata is
  • Windows 10, és egyéb Windows kliensek támogatása
  • Windows Server 2012 R2 támogatása (illetve részben Windows Server 2016 képességek támogatása, lásd majd a Privileged Access Management cikk kapcsán)
  • SQL Server 2014 támogatás
  • Office 2013 támogatás
  • System Center Service Manager 2012 R2 támogatás

Önkiszolgáló MIM funkciók

A csoporttagság kezelése tekintetében nincs jelentős változás a FIM 2010 R2 vonatkozó képességeihez képes. A MIM Portálon keresztül delegálni tudjuk adott csoportok kezelését a csoport tulajdonosának. Ekkor a csoport tulajdonosa választhat, hogy a csoporttagságokat hogyan kívánja szabályozni:

  • Mindenki számára szabadon engedélyezett csatlakozás, távozás a csoportból
  • A tulajdonos jóváhagyásához kötött változások: egy felhasználható kérheti a felvételét a csoportba, ami csak akkor történik meg ha ezt a tulajdonos jóváhagyja. Természetesen a tulajdonos el is utasíthatja a kérelmet, illetve a tulajdonos maga is hozzáadhat vagy eltávolíthat tagokat a csoportból)
  • Valamilyen szabály alapján a felhasználok automatikusan kerüljenek be a csoportba (pl.: ha a department attribútumuk egy adott értéket kap, vagy ha azonos a felhasználók menedzsere, stb.)

Önkiszolgáló jelszó-helyreállítás és fiókfeloldás (unblock) funkciók esetében a felhasználónak regisztrálnia kell a szolgáltatásra. Ekkor, amennyiben elfelejtette az Active Directory jelszavát, akkor a MIM önkiszolgáló portál segítségével kezdeményezheti a jelszó helyreállítását. A korábbi funkciók (QA gateway, Email gateway, SMS gateway) hitelesítési opciók mellet most már beépítetten elérhető az Azure AD MFA Phone azonosítás is:

mim2

2. ábra Azure MFA integráció

Emellett a jelszó-helyreállítás képessége kibővült a fiók zárolásának feloldásával is, ami hasznos lehet a BYOD szcenáriókban, például ha egy jelszóváltoztatás után egy eszközünk a régi jelszó túl sok próbálgatása után zárolja a fiókunkat:

mim3

3. ábra Jelszó helyreállítása

Ami a tanúsítvány- és smartcard-kezelési képességeket illeti, fontos újdonság a Windows store (modern Windows) alkalmazás, amely elérhető a Windows 10 és Windows 8.1 kliensekre a fizikai és virtuális smart cardok és tanúsítványok kezelésére.

mim4

4. ábra Tanúsítvány és smart card kezelési modern Windows alkalmazás

Ennek segítségével akár céges, tartományi tag, akár BYOD szcenárióban levő gépek esetében biztosítható a tanúsítványok és smart cardok kezelése. A két faktorú hitelesítés használata így egyszerűen, önkiszolgáló módon biztosítható a felhasználók számára. Így sokkal egyszerűbben és könnyebben bevezethető a kétfaktorú hitelesítés használata.

Hibrid jelentések

A MIM 2016 egyik fontos újdonsága az Azure AD-vel való integráció képessége. Ennek részeként az Azure AD-ben levő identitás aktivitások és a MIM által végzett identitás aktivitások egy helyen, az Azure AD jelentési felületén keresztül megtekinthetők. Ez az integráció az alábbi módon épül fel:

mim5

5. ábra Hibrid jelentések

Ennek segítségével egy egységes jelentési felületet kapunk a helyi Active Directory címtárat és az Azure AD címtárat érintő identitásváltozásokról egyaránt.

Privileged Identity Management

Lásd vonatkozó cikkünket, amely hamarosan megjelenik… 🙂

 

Egy hozzászólás a(z) “A Microsoft Identity Manager 2016 újdonságai” bejegyzéshez

  1. anon szerint:

    Most akkor ez hanyadik neve is ugyanannak a terméknek?

    1) Microsoft Metadirectory Server (1999)
    2) Microsoft Identity Integration Server (2003)
    3) Identity Lifecycle Manager (2007)
    4) Microsoft Forefront Identity Manager (2010)
    5) most meg ez

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.