MIIS 2003: Microsoft nimmt Identity Management endlich ernst

Microsofts Metadirectory Services überzeugen nur bei der Installation und der Bedienung, die Funktionalität dagegen bleibt hinter der Konkurrenz zurück.

Artikel erschienen in Swiss IT Magazine 2003/14

     

Microsoft, eigentlich eher als Ankündigungsweltmeister bekannt, schafft es gelegentlich auch, Produkte unter fast völligem Ausschluss der Öffentlichkeit zu entwickeln und nur an ausgewählte Kunden zu vermarkten. So war es bisher beim Microsoft Metadirectory Service (MMS). Unter der neuen Bezeichnung MIIS 2003 und nach einer gründlichen Überarbeitung soll das Produkt nun aber dafür sorgen, dass Microsoft auch im Bereich des Identity Management zu einem Key-Player wird.




Dazu hatte Microsoft schon Mitte 1999 das kleine Unternehmen Zoomit gekauft, um als Ergänzung zum Active Directory auch eine Metadirectory-Lösung anbieten zu können. Doch bis zur Version 2.2 wurde das als MMS bezeichnete Produkt ausschliesslich über eine kleine Zahl von spezialisierten Partnern als Teil eines Lösungspakets angeboten.
Das ändert sich mit dem MIIS 2003 grundlegend: Eine Basisversion, die als Active Directory Feature Pack bezeichnet wird, ist kostenlos als Add-on für den Windows Server 2003 in der Enterprise Edition verfügbar. Das Vollprodukt kann dagegen regulär zum beachtlichen Preis von immerhin $25'000 pro Prozessor lizenziert werden.


Einfache Installation, einfache Bedienung

Wie bei Microsoft zu erwarten, gestalten sich sowohl die Installation als auch die Nutzung der Standardfunktionalität des Produkts sehr einfach. Um den MIIS 2003 allerdings überhaupt nutzen zu können, bedarf es eines Windows Server 2003 in der Enterprise Edition und eines SQL Server 2000, ebenfalls in der Enterprise Edition. Bei diesem muss darüber hinaus noch das aktuelle Service Pack 3 eingespielt werden. Sind die Voraussetzungen erst einmal geschaffen, die die ohnehin beachtlichen Lizenzkosten des MIIS 2003 noch einmal erhöhen, ist die Installation innerhalb weniger Minuten zu bewerkstelligen.



Die Administration des MIIS 2003 erfolgt über den Identity Manager. Dort müssen im ersten Schritt Management Agents konfiguriert werden. Durch den Konfigurationsprozess für die Agents führt ein Assistent, mit dessen Hilfe sich die verschiedenen Schritte relativ schnell bewerkstelligen lassen, soweit man mit den jeweils anderen Verzeichnissen vertraut ist. Wichtig ist für die Abbildung von Attributtypen und Objektklassen dabei insbesondere auch ein profundes Verständnis für die unterschiedlichen Schemata von Verzeichnisdiensten. Auch die grundlegenden Regeln und Filter lassen sich mit Hilfe des Assistenten sehr einfach definieren. Der Assistent präsentiert sich dabei automatisch in an die Datenquellen angepasster Form.




Nach der Konfiguration der Agents geht es an die Definition der Operationen. Ausserdem lassen sich zusätzliche Objektklassen und Attributtypen für das Meta Directory konfigurieren und Informationen in diesem über den Identity Manager suchen. Damit ist eine Grundkonfiguration des Meta Directory für Administratoren, die sich mit Verzeichnisdiensten bereits gut auskennen, schnell möglich.




Anpassung durch Entwickler

Sobald aber Funktionen benötigt werden, die über die grundlegenden Möglichkeiten des MIIS 2003 hinausgehen, sind Entwicklungskenntnisse gefragt. Microsoft hat das Produkt dazu in sein .NET Framework integriert. Damit können einerseits Visual Basic .NET und andererseits C# .NET für die Erstellung komplexerer Regeln verwendet werden.



Darüber hinaus gibt es auch einen WMI-Provider für den MIIS 2003. Mit diesem lassen sich über WMI (Windows Management Instrumentation) beispielsweise Agents starten und statistische Informationen zum Status des Servers fragen. Auch hier sind aber zumindest umfassende Scripting-Kenntnisse erforderlich.





Eingeschränkte Agents

Dass man für die Erfüllung komplexerer Anforderungen auf Visual Studio .NET zurückgreifen muss, ist in einem so vielschichtigen Umfeld wie Meta-Directory-Diensten durchaus akzeptabel. Die Anpassungen sind auch bei anderen Meta-Directory-Produkten meist nicht trivial und verlangen einiges an Expertenwissen. Wirklich enttäuschend ist aber vor allem der Umfang der mitgelieferten Agents. Im aktuellen Release fehlen so wichtige Agents wie die für das HR-Modul von SAP und für PeopleSoft. Diese HR-Lösungen sind marktführend und in sehr vielen Meta-Directory-Implementierungen die führenden Verzeichnisse, aus denen heraus dann Informationen in anderen Verzeichnissen angelegt werden. Microsoft spricht immerhin bereits davon, dass weitere Agents in einem Feature-Pack nachgeliefert werden sollen.



Verbindungen zu Datenbanken werden direkt nur zu Oracle 8i und 9i sowie zum Microsoft SQL Server 7.0 und 2000 angeboten. Der Hinweis von Microsoft, dass man die DTS (Data Transformation Services) des SQL Server für die Verbindung zu weiteren Datenbanken verwenden könnte, ist dabei wenig hilfreich. Denn dann muss man zwei unterschiedliche Ansätze verwenden, um das Meta Directory aufzubauen, und hat keine zentrale Steuerung mehr.




Am ärgerlichsten ist aber die eingeschränkte Versionsunterstützung. So wird beispielsweise Lotus Notes/Domino offiziell nur in der Version 4.6 und 5.0 unterstützt, wobei der Zugriff auf Domino Directories von Servern mit R6 durch die Aufwärtskompatibilität kein Problem sein sollte. Dagegen ist eine Unterstützung des Novell eDirectory nur in den Versionen ab 8.6.2 wenig praxisgerecht. Denn gerade in den Umgebungen, in denen Active Directory und NDS respektive eDirectory über den MIIS 2003 integriert werden sollen, wird man typischerweise nicht diese sehr neuen Versionen des eDirectory vorfinden, sondern wesentlich ältere Versionen wie die Releases 5.x, die mit NetWare 4.x ausgeliefert wurden, oder das eDirectory 7.x, das mit NetWare 5 auf den Markt gekommen ist.



In dieses Bild passt auch, dass mit dem kostenlosen Active Directory Feature Pack, also der Basisversion des MIIS 2003, keine Schnittstellen zu Exchange-5.5-Servern oder zu Windows-NT-4.0-Domänen angeboten werden. Wer diese benötigt, muss den MIIS 2003 lizenzieren.




Kein Active Directory als Repository

Etwas überraschend ist beim MIIS 2003, dass das Repository ein Microsoft SQL Server 2000 in der Enterprise Edition sein muss und nicht das Active Directory verwendet wird. Microsoft begründet diesen Entscheid mit den leistungsfähigeren Reporting-Funktionen von SQL Server.



Aus Kundensicht bedeutet das aber zunächst, dass eine weitere teure Lizenz benötigt wird. Ausserdem hinterlässt die Aussage von Microsoft doch einen etwas schalen Nachgeschmack, insbesondere, da es allen anderen führenden Herstellern von Meta-Directory-Lösungen wie Novell, IBM oder Siemens gelingt, diese auf Basis von Verzeichnisdiensten aufzusetzen. Der Nachteil der Microsoft-Lösung liegt unter anderem darin, dass es damit keine direkte LDAP-Schnittstelle für die Informationen im Meta Directory gibt und statt dessen entweder über die noch nicht etablierte DSML (Directory Service Markup Language) 2.0 oder über LDIF - also den Transfer von Dateien - gearbeitet werden muss.





Kennwörter zurücksetzen, nicht synchronisieren

Schwach ist auch, dass Kennwörter zwar in den angeschlossenen Verzeichnissen zurückgesetzt werden können, dass aber die Kennwortsynchronisation noch nicht einmal zwischen so zentralen Verzeichnissen wie dem Novell eDirectory und dem Active Directory unterstützt wird. Microsoft verweist hier auf Lösungen von Partnern wie M-Tech. Auch wenn die Kennwortsynchronisation eines der komplexesten Themenfelder beim Identity Management ist, wäre hier eine Basisfunktionalität als Teil des MIIS 2003 doch zu erwarten gewesen. Hier zeigt sich aber wohl einmal mehr, dass Microsoft kein Systemintegrator ist, sondern vor allem Lösungen im Blick hat, die um die eigenen Systeme herum zentriert sind.





Zu kurz gesprungen

Microsoft nimmt mit dem MIIS 2003 für sich in Anspruch, nicht nur Informationen in verschiedenen Verzeichnissen synchronisieren zu können, sondern auch Provisioning- und Deprovisioning-Prozesse zu unterstützen. User Provisioning bedeutet, dass ein Benutzer automatisch in allen angeschlossenen Verzeichnissen angelegt wird, wenn er in einem führenden Verzeichnis definiert wird. Dazu gehören aber bei den führenden Produkten auch konfigurierbare, komplexere Workflows beispielsweise für die Genehmigung und Änderung von Benutzerinformationen.



Ein weiteres Feld ist das Resource Provisioning, bei dem auch Zugriffsberechtigungen vergeben werden. Microsofts Provisioning beschränkt sich dagegen auf rudimentäre Meta-Directory-Funktionalität, wenn man nicht Erweiterungen programmiert. Komplexere Prozesse sollen sich dabei später auch mit Hilfe des Biztalk Server 2004 abbilden lassen, für den es aber keine enge Integration mit dem MIIS 2003 geben soll. Auch hier ist also wieder der Entwickler gefragt.




Nimmt man die reine Meta-Directory-Funktionalität, dann ist MIIS 2003 ein Produkt, das - soweit die Agents vorhanden sind - die schnelle Implementierung von Meta Directories erlaubt. Genau diese Verfügbarkeit ist aber der Haken, weil die Versionsunterstützung bei den Agents doch oft enttäuscht. Wer aber komplexere Lösungen beispielsweise beim Provisioning oder der Kennwortsynchronisation benötigt, ist gut beraten, sich die Angebote der anderen führenden Anbieter im Bereich des Identity Management und der Meta Directories genau zu betrachten. Denn zumindest mit der Version 2003 des MIIS gelingt es Microsoft noch nicht, hier eine führende Rolle zu übernehmen.



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER