Die Hauptaufgabe von Service Packs ist die Korrektur von Fehlern, die im Laufe der Zeit in Produkten entdeckt wurden. Microsoft nutzt Service Packs aber auch, um neue Funktionen bereitzustellen. Dafür gibt es zwar auch Feature Packs, in die aber eher komplexere Zusatzdienste gepackt werden. Beim Windows Server 2003 sind das beispielsweise die ADS (Automated Deployment Services) oder die Basisversion des MIIS 2003, das Identity Integration Feature Pack.
Wenn man den Funktionsumfang des Service Pack 1 für den MIIS 2003 betrachtet, finden sich darin auch Funktionen, für die man an ein Feature Pack hätte denken können. Da die meisten Neuerungen aber Verbesserungen bereits vorhandener Fähigkeiten des Produkts darstellen, ist die Lieferung im Zusammenhang mit dem Service Pack durchaus konsequent. Zusätzlich gibt es auch noch eine erweiterte Version 2.0 des MIIS 2003 Resource Toolkit mit zusätzlichen Werkzeugen für die Administration und Konfiguration von MIIS-2003-Servern.
Die erste Version des MIIS 2003 wies etliche Schwachstellen auf. Einige davon waren konzeptbedingt, so etwa der relativ hohe Entwicklungsaufwand für komplexere Filter und Regeln. Andere zeugten von Schwächen bei der Implementierung, wie beispielsweise die Versionsabhängigkeiten beim Management Agent für das Novell eDirectory.
Seit dem Release des MIIS 2003 hat Microsoft mehrere Update Rollups herausgegeben, mit denen bereits einige der kritischen Punkte adressiert wurden. Dazu gehörte beispielsweise die Unterstützung weiterer eDirectory-Versionen, auch wenn dabei noch keine weitreichende Flexibilität erzielt wurde – es wurden neben den zunächst unterstützen Versionen 8.6.2 und 8.7 noch einzelne kleinere Releases wie 8.7.1 hinzugefügt.
Ausserdem hat Microsoft schon relativ früh das erste Resource Kit für den MIIS auf den Markt gebracht. Im Resource Kit 2.0 sind verschiedene Tools enthalten, mit denen MIIS-Systeme insbesondere Remote einfacher administriert und konfiguriert werden können. Dabei handelt es sich gleichermassen um grafische Werkzeuge wie Lösungen an der Befehlszeile und Skripts. Für einen produktiven Betrieb von MIIS-Umgebungen ist das Resource Kit ebenso unverzichtbar wie die online auf der Microsoft-Website verfügbare technische Referenz zum MIIS 2003.
Erwähnenswert ist in diesem Zusammenhang auch die MMSUG (MMS User Group), die mittlerweile eigentlich eine MIIS User Group ist. Diese wird von Microsoft-Mitarbeitern sehr intensiv durch inhaltliche Beiträge unterstützt und ist eine der bestfunktionierenden Benutzergruppen im Microsoft-Umfeld überhaupt. Sie ist allerdings etwas unkonventionell als geschlossene Benutzergruppe unter Yahoo realisiert (groups.yahoo.com/group/ MMSUG). Dies liegt in ihrer Entstehungsgeschichte begründet.
Über die kleineren Änderungen der verschiedenen Update Rollups hinaus hat sich mit dem Service Pack 1 einiges getan. An erster Stelle ist die Unterstützung für die Kennwortsynchronisation zu nennen. Kennwortänderungen auf Active-Directory-Domänenkontrollern können nun abgefangen und an den MIIS 2003 übergeben werden, der sie dann weiter an die Zielsysteme verteilt, bei denen Kennwörter zurückgesetzt werden können. Aus Sicht anderer Systeme ist die Änderung ja nichts anderes als das Zurücksetzen eines Kennworts auf einen definierten Wert.
Für die Kennwortsynchronisation muss der PCNS (Password Change Notification Service) auf jedem Domänenkontroller installiert werden. Dazu gehört auch ein Passwortfilter, der definierte Schnittstellen in der Windows-Systemarchitektur verwendet, um die Kennwortänderungen abzufangen. Diese werden dann verschlüsselt an den MIIS übergeben.
Im Zusammenhang mit dieser Änderung stehen auch die Password Extensions for Management Agents. Fast alle Management Agents sind so erweitert worden, dass Operationen auf Kennwörtern über sie ausgeführt werden können. Dies ist besonders dann wichtig, wenn beispielsweise geänderte Kennwörter aus dem Active Directory an diese Systeme übergeben werden sollen.
Mit dieser grundlegenden Unterstützung der Kennwortsynchronisation wird eine der grössten Schwachstellen des MIIS 2003 adressiert. In der ersten Version wurde nur ein Password Reset angeboten, mit dem Benutzer über definierte Schnittstellen Änderungen vornehmen können. Wenn ein Benutzer aber beispielsweise lokal auf dem Windows-Client sein Active-Directory-Kennwort geändert hat, ging das völlig am MIIS 2003 vorbei und führte in der Folge zu inkonsistenten Kennwörtern. Nun werden zwar weiterhin keine Kennwortänderungen auf anderen Systemen als dem Active Directory abgefangen – mit den Änderungen von Kennwörtern für das Active Directory am Windows-Client wird aber zumindest der kritischste Punkt adressiert.
Auch bei den Management Agents hat sich einiges getan. Das beginnt bei der erweiterten Versionsunterstützung des eDirectory Management Agent, der nun alle aktuellen eDirectory-Versionen unterstützt, wobei dies immer noch hart codiert zu sein scheint, so dass bei neuen eDirectory-Versionen jeweils auf ein Update von Microsoft für den Management Agent gewartet werden muss. Mit den Management Agents für die IBM DB2 UDB und den IBM Directory Server wird zudem auch die Unterstützung von IBM-Umgebungen deutlich verbessert. In diesem Zusammenhang ist auch der laufende Betatest des Management Agent für RACF erwähnenswert, der in absehbarer Zeit auf den Markt kommen soll.
Damit Partner einfacher weitere Management Agents entwickeln können, gibt es mit dem Service Pack 1 zusätzlich ein SDK (Software Development Kit) und ein Management Agent Packaging Tool, den MApackager. Mit diesen Werkzeugen werden mehr Schnittstellen für Management Agents offengelegt. Von einigen Microsoft-Partnern war allerdings zu hören, dass diese mit dem angebotenen Funktionsumfang des SDK noch nicht zufrieden sind. Zumindest handelt es sich aber um einen grossen Schritt in die richtige Richtung, denn die Menge der verfügbaren Management Agents (Connectoren zu Zielsystemen) entscheidet letztendlich mit über den Projektaufwand in Identity-Management-Projekten.
Neben einigen anderen funktionalen Erweiterungen wie der Unterstützung von mehrwertigen Attributen wird vor allem ein Punkt bei den potentiellen Nutzern gut ankommen: Statt der Enterprise Edition kann nun auch mit der Standard Edition des Microsoft SQL Server 2000 gearbeitet werden, was die Lizenzkosten insgesamt doch deutlich reduzieren kann.
Der MIIS 2003 profitiert aber nicht nur von den Verbesserungen, die Microsoft im Service Pack 1 vorgenommen hat. Microsoft hat auch eine beachtliche Zahl an Partnern gewinnen können. Identity-Management-Spezialisten wie Blockade, OSM, M-Tech oder Maxware haben Schnittstellen zum MIIS 2003 realisiert oder sogar spezielle Produkte herausgebracht, die den MIIS 2003 erweitern. So fokussiert Blockade auf die Mainframe-Integration für den MIIS 2003 mit der Unterstützung von RACF ebenso wie von ACF2 und TopSecret. OSM ist dagegen ein Spezialist für das Identitätsmanagement in Linux- und Unix-Umgebungen und hat hier eine entsprechende Integration realisiert. Während sich die Anbieter solcher Lösungen, in den meisten Fällen kleinere Spezialisten, davon einen besseren Marktzugang erhoffen, profitiert Microsoft durch eine breitere Plattformunterstützung und einen grösseren Funktionsumfang. Aus Sicht des Kunden bedeutet es allerdings unter Umständen, dass für eine Komplettlösung Produkte von Microsoft und anderen Lieferanten bezogen, installiert und betrieben werden müssen.
Wenn man den aktuellen Status des MIIS 2003 mit dem beim Release der ersten Version vergleicht, dann hat sich doch einiges getan. Der MIIS 2003 hat weiterhin eine gut nutzbare Benutzerschnittstelle und eine enge Integration mit den Microsoft-Entwicklungsumgebungen. Wie bisher muss man aber in den Projekten auch fast zwangsläufig Code schreiben, sobald die Integrationsanforderungen etwas komplexer werden. Die Zahl der mitgelieferten Management Agents und deren Funktionalität wurde wesentlich verbessert, wobei vor allem das Kennwortmanagement erwähnenswert ist.
Noch fehlen aber wichtige Management Agents beispielsweise für SAP oder Peoplesoft. Partner können aber inzwischen viele der Lücken, die Microsoft noch offen lässt, füllen. Auch Workflow-Funktionen fehlen noch, so dass weitergehende Provisioning-Lösungen selbst entwickelt werden müssen, falls man nicht auf Lösungen anderer Anbieter ausweicht.
Positiv zu bewerten ist vor allem, dass Microsoft die Entwicklung des Produkts in engem Zusammenspiel mit den Kunden vorantreibt und es beachtliche Fortschritte gab. Diese sind auch deutlich näher am tatsächlichen Bedarf als bei manch anderem Microsoft-Produkt wie dem Systems Management Server, bei dem man manchmal das Gefühl hat, dass die Entwicklung im stillen Kämmerchen erfolgt und nicht vom Markt getrieben ist.
Microsoft muss zwar immer noch viel tun, um mit dem MIIS 2003 an die Spitze zu gelangen. Gerade für Umgebungen, in denen das Active Directory im Mittelpunkt steht und andere Systeme mit diesem integriert werden sollen, ist der MIIS 2003 mittlerweile aber ein durchaus interessantes Produkt geworden. Man sollte sich nicht «blind» und ohne intensiven Vergleich dafür entscheiden, ihn aber zumindest ernsthaft in die Evaluation von Integrationslösungen für Identitätsinformationen einbeziehen.
