Microsoft Identity Manager (MIM) 2016 以 Forefront Identity Manager 的标识和访问管理功能为基础。 如同其前身,MIM 有助于管理组织中的用户、凭据、策略和访问。 此外,MIM 2016 增加了混合体验、特权访问管理功能,并支持新的平台。借助 MIM,组织可以通过自动化工作流、业务规则以及与整个数据中心的异类平台的轻松集成,简化标识生命周期管理。 使用 MIM,组织可以确保本地应用有正确的用户和 Active Directory 访问权限,然后 Azure AD 就能提供 Azure AD Connect 以供 Office 365 应用和云托管应用使用。 常见 MIM 方案包括基于业务策略的自动标识和组预配,以及工作流驱动的预配以及将目录内容与 HR 系统和其他权威来源集成。并通过常见的 API 和协议、Microsoft 提供的连接器和合作伙伴提供的连接器,同步目录、数据库和本地应用之间的标识。MIM 2016 Service Pack 2 是 MIM 2016 SP1 以来的现有修补程序的汇总。 它还引入了配置将组托管服务帐户用于 MIM 同步服务和 MIM 服务的选项,并允许使用其他更新的平台软件部署 MIM。
功能特色
1、本地身份和访问管理
-在目录,数据库和应用程序之间同步身份
-自助密码,组和证书管理
-通过策略,特权访问和角色提高管理员安全性
-使用Microsoft Identity Manager(MIM)阻止身份盗用
2、共同身份
通过自动化的工作流程,业务规则以及与跨数据中心和云的异构平台的轻松集成来简化身份生命周期管理。根据业务策略自动执行身份和组配置,并通过单个界面实施工作流驱动的配置。通过Visual Studio和.NET开发环境扩展MIM以支持新方案。
3、保护资料
发现跨多个系统的权限并将其映射到各个可分配的角色。使用角色挖掘工具发现整个企业中用户的权限集,以便稍后进行建模和集中应用。通过深入的审核和报告,提高对整个组织中合规性和系统安全状态的可见性。
4、启用用户
允许用户自我修复身份问题,包括组成员身份,智能卡和密码重置功能。易于使用的界面可提高生产率和满意度。
5、统一访问
减少登录所需的用户名和密码的数量。确保管理员帐户仅转到他们需要去的地方并执行所需的操作。网上论坛可以自动更新其成员身份,以确保只有合适的人才能访问您的资源。
使用说明
部署 Microsoft Identity Manager 2016 SP2
本部分中的文章提供部署 Microsoft 标识管理器 (MIM) 2016 的分步说明,这些说明适用于此前未部署过 FIM 或 MIM 的新服务器上的最终用户自助服务方案。
备
本部分中所述部署拓扑仅用于开始使用和了解 MIM。 容量计划指南提供有关生产部署拓扑的详细信息。 我们建议应在查看该文档后,再部署 MIM 生产规模或使用。
部署特许访问权限管理方案与其他 MIM 方案不同,因为其需要专用堡垒林环境。
部署 MIM 的过程与部署其前身 FIM 2010 R2 的过程非常类似。
第 1 步:准备域
MIM 与 Active Directory (AD) 协同工作,因此请按照以下步骤来配置你的 AD 域控制器。
第 2 步:准备标识管理服务器
设置并配置好域后,准备你的企业标识管理服务器。
这包括设置:
Windows Server
SQL Server
SharePoint Server
Exchange Server(可选)
第 3 步:安装 Microsoft 标识管理器 2016 SP2 组件
设置好域和服务器后,便可立即安装 MIM 组件,并将其配置为与 AD 同步。
MIM 同步服务
MIM 服务和门户
同步 Active Directory 和 MIM 服务数据库
二、Microsoft Identity Manager 数据处理
本文为组织如何作出可应用于多个连接的数据源的决定提供了指导。 这可以通过搜索、删除、更新和报告操作来实现。 在决定删除或更新方法前,了解身份管理器系统 (MIM) 的当前设计和配置至关重要。
下面介绍一些方案,客户将需要考虑并回答以下问题:
需要什么数据来进行身份管理以帮助完成业务流程?
当前数据将存储在 MIM 中的哪个位置?
将如何在系统中使用此数据?
是否要与任何外部合作伙伴数据源共享此数据(导出)
数据及其处理的权威来源是什么?
数据保留和数据删除计划将会就绪吗?
是否已找到处理和管理数据所需的所有技术?
为了帮助了解当前的 MIM 环境,你可以利用以下工具来记录 MIM 环境,或遵从实施设计文档。
1、搜索并标识个人数据
在 MIM 中搜索数据将取决于配置和设置。 大多数环境是互连的,但会为清楚起见,我们按照高级别组件对其进行分类。
同步服务
MIM 中与用户相关的所有数据均源自 Active Directory (AD) 和 HR 数据源。 在搜索个人数据时,应首先考虑的搜索位置是 AD 或已连接数据源。
如果不确定权威来源,则可以从 MIM Synchronization Service Manager 控制台跟踪此用户,单击“Metaverse 搜索栏”来查看存储在数据库中的个人身份数据。 用户可搜索特定的用户或属性。
执行审阅或搜索用户对象数据
打开“同步服务客户端”
使用 metaverse 设计器可查看属性流导入和优先级。
使用 metaverse 搜索可搜索数据库中的任何对象和属性
找到对象后,单击该对象将打开用户配置文件页。 对象详细信息会提供以下内容的全面详细信息:对象、其属性、最后修改时间和权威来源及从以下管理代理配置示例派生的相关已连接数据源。
2、服务和门户 / PAM
如果安装了服务和门户或 PAM 的实例,那么能够搜索用户非常重要。
如果安装了门户,则可以使用 UI 来搜索任何属性或查询特定用户。
如果只安装了服务服务器(不带门户 UI),则可基于 [FIMAutomation PSSnapin] 运行搜索语法,可在此处找到示例。
PAM 可以使用上述相同的语法,或者可以使用 MIMPAM 模块,特别是 get-pamuser cmdlet 来搜索 PAM 环境中的用户。
搜索可用数据的其他报告选项位于服务和门户中。
混合报告
通过 SCSM 进行报告
3、BHOLD
Bhold Core 服务有一个可用来搜索用户或属性的 UI。
如果正在将 BHOLD 与访问管理连接器同步以获取同步服务,用户将能够看到已连接的用户对象以及发送到 BHOLD Core 的属性。
此外,还可以加载 BHOLD 报告模块。
BHOLD 报告
4、证书管理
证书管理服务搜索内置于该 UI。 管理员将启动并选择“查找用户并查看或管理其信息”
5、导出个人数据
由于与 MIM 中的实体相关的数据派生自多个源,因此,大多数数据均存储在同步服务数据库中。 为此,应从 MIM 同步导出对象相关数据,或者你可以确定此数据的所有者。
同步服务
用于导出数据的同步服务只需从搜索 UI 选择该数据并复制粘贴到 csv 或首选格式。 导出此数据的另一种方法是创建基于文件的 MA,以删除所需的关于感兴趣的标记用户的最新数据。 可在此处找到使用基于文件的 MA 的示例。
服务和门户 / PAM
借助服务和门户以及 PAM,你可以导出此数据,基于 [FIMAutomation PSSnapin] 运行搜索语法(可在此处找到示例),并将其发送到 csv。
PAM 可以使用上述相同的语法,或者可以使用 MIMPAM 模块,特别是 get-pamuser 来搜索 PAM 环境中的用户并将其发送到 csv。
示例:使用 PowerShell 查询 MIM 服务
BHOLD
可以使用 bhold 报告模块将 Bhold 数据导出为首选格式。
证书管理
将与个人数据相关的证书管理数据连接到 Active Directory。 管理员可以使用 Active Directory powershell 导出此数据。
