Gestione delle password di Microsoft Identity Manager 2016
La gestione delle password per più account utente è una delle complessità della gestione di un ambiente aziendale con più origini dati. Microsoft Identity Manager 2016 (MIM) offre due soluzioni di gestione delle password:
Sincronizzazione delle password: usa il servizio di notifica delle modifiche delle password (PCNS) per acquisire le modifiche delle password da Active Directory e propagarle ad altre origini dati connesse.
Gestione delle modifiche delle password basata sull'utente: usa Strumentazione gestione Windows (WMI) tramite help desk basato sul Web e applicazioni di reimpostazione della password self-service.
Usando la sincronizzazione delle password e la gestione delle modifiche delle password basate sull'utente, è possibile:
Ridurre il numero di password diverse che gli utenti devono ricordare.
Impostare o modificare contemporaneamente le password in più account di un utente con la stessa password.
Consentire agli utenti di modificare le proprie password in Active Directory ed eseguire il push della password in altri sistemi.
Eliminare il rischio di creare una password o un archivio credenziali aggiuntivo.
Sincronizzare le password tra più origini dati usando Active Directory come origine autorevole.
Eseguire operazioni di gestione delle password in tempo reale, indipendentemente da operazioni MIM.
Estensioni password
Gli agenti di gestione per i server directory supportano le operazioni di modifica e impostazione della password per impostazione predefinita. Per gli agenti di gestione della connettività estendibili, basati su file e database, che non supportano le operazioni di modifica e impostazione della password per impostazione predefinita, è possibile creare una libreria dll (Dynamic Link Library) dell'estensione password .NET. La DLL dell'estensione password .NET viene chiamata ogni volta che viene richiamata una chiamata di modifica o set di password per uno di questi agenti di gestione. Le impostazioni dell'estensione password sono configurate per questi agenti di gestione in Synchronization Service Manager. Per altre informazioni sulla configurazione delle estensioni delle password, vedere le informazioni di riferimento per gli sviluppatori FIM.
| La gestione delle password è supportata per impostazione predefinita negli agenti di gestione per: | Usando un'estensione password, la gestione delle password è supportata anche negli agenti di gestione per: |
|---|---|
| Active Directory | File di testo della coppia di valori di attributo |
| Active Directory Lightweight Directory Services (ADLDS) | File di testo delimitati |
| IBM Directory Server | Directory Services Markup Language (DSML) |
| Lotus Notes | Connettività estendibile |
| Novell eDirectory | File di testo a larghezza fissa |
| Server di directory Sun e Netscape | IBM DB2 Universal Database |
| Formato interscambio dati LDAP (LDIF) | |
| Microsoft SQL Server | |
| Oracle Database |
Sincronizzazione delle password
La sincronizzazione delle password funziona con il servizio di notifica delle modifiche delle password (PCNS) in un dominio di Active Directory e consente la propagazione automatica delle modifiche delle password provenienti da Active Directory ad altre origini dati connesse. MIM esegue questa operazione eseguendo come server RPC (Remote Procedure Call) in ascolto di una notifica di modifica della password da un controller di dominio Active Directory. Quando la richiesta di modifica della password viene ricevuta e autenticata, viene elaborata da MIM e propagata agli agenti di gestione appropriati.
Importante
La sincronizzazione bidirezionale delle password non è supportata da MIM. La configurazione della sincronizzazione bidirezionale delle password può creare un ciclo, che utilizzerà le risorse del server e avrà un effetto potenzialmente negativo su Active Directory e MIM.
PcNS viene eseguito in ogni controller di dominio di Active Directory. I sistemi che ricevono le notifiche delle password sono noti come destinazioni. Il server MIM deve essere configurato come destinazione PCNS in Active Directory prima dell'invio delle notifiche delle password. La configurazione PCNS deve definire un gruppo di inclusione e, facoltativamente, un gruppo di esclusione. Questi gruppi vengono usati per limitare il flusso di password sensibili dal dominio. Ad esempio, per inviare password per tutti gli utenti, ma non inviare password amministrative, è possibile scegliere di usare Utenti di dominio come gruppo di inclusione e Domain Admins come gruppo di esclusione. Per altre informazioni sulla configurazione del servizio di notifica delle modifiche delle password, vedere Using Password Synchronization
I componenti coinvolti nel processo di sincronizzazione delle password sono:
servizio di notifica delle modifiche delle password (Pcnssvc.exe): il servizio di notifica delle modifiche delle password viene eseguito in un controller di dominio ed è responsabile della ricezione delle notifiche di modifica della password dal filtro password locale, accodandoli per il server di destinazione che esegue MIM e usando RPC per recapitare le notifiche. Il servizio crittografa la password e garantisce che la password rimanga sicura fino a quando non viene recapitata correttamente al server di destinazione che esegue MIM.
nome dell'entità servizio (SPN): il nome SPN è una proprietà dell'oggetto account in Active Directory usato dal protocollo Kerberos per autenticare a vicenda PCNS e la destinazione. Il nome SPN garantisce che il PCNS esegua l'autenticazione al server corretto che esegue MIM e che nessun altro servizio possa ricevere le notifiche di modifica della password. Il nome SPN viene creato e assegnato usando lo strumento di setspn.exe. Per altre informazioni sulla configurazione del nome SPN, vedere Uso della sincronizzazione delle password.
filtro di notifica delle modifiche delle password (Pcnsflt.dll): il filtro password viene usato per ottenere password in testo non crittografato da Active Directory. Questo filtro viene caricato dall'Autorità di sicurezza locale (LSA) in ogni controller di dominio di Windows Server che partecipa alla distribuzione delle password a un server di destinazione che esegue MIM. Dopo l'installazione del filtro e il controller di dominio è stato riavviato, il filtro inizia a ricevere notifiche di modifica della password per le modifiche delle password che hanno origine nel controller di dominio. Il filtro di notifica delle password viene eseguito simultaneamente con altri filtri in esecuzione nel controller di dominio.
'utilità di configurazione del servizio di notifica delle modifiche delle password (Pcnscfg.exe): l'utilità pcnscfg.exe viene usata per gestire e gestire i parametri di configurazione del servizio di notifica delle modifiche delle password archiviati in Active Directory. Questi parametri di configurazione, ad esempio la definizione dei server di destinazione, l'intervallo di ripetizione dei tentativi della coda delle password e l'abilitazione o la disabilitazione di un server di destinazione, vengono usati durante l'autenticazione e l'invio di notifiche password al server di destinazione che esegue MIM. La configurazione del servizio viene archiviata in Active Directory, pertanto è necessario aggiornare la configurazione solo in un controller di dominio. Active Directory replica la modifica a tutti gli altri controller di dominio.
server RPC (Remote Procedure Call) nel server che esegue MIM: quando la sincronizzazione delle password è abilitata, viene avviato il server RPC nel server che esegue MIM, consentendo di ricevere notifiche dal servizio di notifica delle modifiche delle password. RPC seleziona dinamicamente un intervallo di porte da usare. Se è necessario che MIM comunichi con la foresta Active Directory tramite un firewall, è necessario aprire un intervallo di porte.
DLL dell'estensione password: la DLL dell'estensione password consente di implementare operazioni di modifica o set di password tramite un'estensione delle regole per qualsiasi database, connettività estendibile o agente di gestione basato su file. Questa operazione viene eseguita creando un attributo crittografato di sola esportazione denominato "export_password" che non esiste effettivamente nella directory connessa, ma è possibile accedervi e impostare nelle estensioni delle regole di provisioning oppure può essere usato durante il flusso dell'attributo di esportazione. Per altre informazioni sulla configurazione delle estensioni delle password, vedere la guida di riferimento per gli sviluppatori FIM.
Preparazione per la sincronizzazione delle password
Prima di configurare la sincronizzazione delle password per l'ambiente MIM e Active Directory, verificare quanto segue:
MIM viene installato in base alle istruzioni di installazione.
Gli agenti di gestione per le origini dati connesse da gestire per la sincronizzazione delle password sono già stati creati e gli oggetti vengono aggiunti e sincronizzati correttamente.
Per configurare la sincronizzazione delle password:
Estendere lo schema di Active Directory per aggiungere le classi e gli attributi necessari per l'installazione e l'esecuzione del servizio di notifica delle modifiche delle password (PCNS).
Installare PCNS in ogni controller di dominio.
Configurare il nome dell'entità servizio (SPN) in Active Directory per l'account del servizio MIM.
Configurare PCNS per comunicare con il servizio MIM di destinazione.
Configurare gli agenti di gestione per le origini dati connesse da gestire per la sincronizzazione delle password.
Abilitare la sincronizzazione delle password in MIM.
Per altre informazioni sulla configurazione della sincronizzazione delle password, vedere Uso della sincronizzazione delle password.
Processo di sincronizzazione delle password
Il processo di sincronizzazione di una richiesta di modifica della password da un controller di dominio di Active Directory ad altre origini dati connesse è illustrato nel diagramma seguente:
L'utente avvia la richiesta di modifica della password premendo CTRL+ALT+CANC. La richiesta di modifica della password, inclusa la nuova password, viene inviata al controller di dominio più vicino.
Il controller di dominio registra la richiesta di modifica della password e notifica al filtro di notifica delle modifiche della password (Pcnsflt.dll).
Il filtro di notifica delle modifiche della password passa la richiesta al servizio di notifica delle modifiche della password (PCNS).
PCNS verifica la richiesta di modifica della password, quindi autentica il nome dell'entità servizio (SPN) usando Kerberos e inoltra la richiesta di modifica della password in RPC crittografato al server di destinazione MIM.
MIM convalida il controller di dominio di origine, quindi usa il nome di dominio per individuare l'agente di gestione che servizi tale dominio e usa le informazioni sull'account utente nella richiesta di modifica della password per individuare l'oggetto corrispondente nello spazio connettore.
Usando le informazioni sulla tabella di join, MIM determina gli agenti di gestione che ricevono la modifica della password e ne esegue il push.
Sicurezza della sincronizzazione delle password
Sono stati risolti i problemi di sicurezza di sincronizzazione delle password seguenti:
Autenticazione dall'origine password: quando viene ricevuta la notifica di modifica della password, l'autenticazione Kerberos viene eseguita da MIM e dal controller di dominio di origine per assicurarsi che il destinatario e il mittente siano validi. Quando si riceve una notifica di modifica della password, MIM garantisce che il chiamante disponga di un account nel contenitore Controller di dominio del dominio a cui appartiene.
Sincronizzazione password non riuscita in un'origine dati di destinazione a causa di una connessione non sicura: se l'agente di gestione è stato configurato per richiedere una connessione sicura, ma non ne viene rilevato uno, la sincronizzazione non riesce. La sincronizzazione si verifica comunque se l'agente di gestione è stato configurato per consentire connessioni non sicure. L'abilitazione delle connessioni non sicure deve essere abilitata solo dopo aver esaminato e compreso i rischi coinvolti.
Archiviazione sicura delle password: MIM archivia temporaneamente solo le password crittografate. Tutte le password ricevute da MIM durante un'operazione di notifica delle modifiche della password vengono crittografate non appena immettono il processo MIM. Quando vengono inviati correttamente all'origine dati connessa di destinazione, vengono decrittografati e la memoria che archivia la password viene immediatamente cancellata. Se l'operazione non riesce a scrivere nell'origine dati connessa di destinazione, la password crittografata viene archiviata fino a quando non vengono tentati tutti i tentativi e quindi viene cancellata dalla memoria.
Code password sicure: le password archiviate nelle code delle password PCNS vengono crittografate fino a quando non vengono recapitate.
Scenari di ripristino degli errori di sincronizzazione delle password
Idealmente, ogni volta che un utente modifica una password, la modifica viene sincronizzata senza errori. Gli scenari seguenti descrivono in che modo MIM viene ripristinato da errori di sincronizzazione comuni:
Notifica della password non riuscita da Active Directory a MIM: può verificarsi se la rete è inattiva o se il server che esegue MIM non è disponibile. La notifica di modifica della password rimane in coda in locale nel controller di dominio dal PCNS. PCNS annulla nuovamente la notifica in base alla configurazione dell'intervallo di ripetizione dei tentativi.
Sincronizzazione password non riuscita a un'origine dati di destinazione: può verificarsi anche se la rete è inattiva o se l'origine dati di destinazione non è disponibile. La notifica di modifica della password viene accodata e ritentata in base alla configurazione dell'agente di gestione per il tentativo di ripetizione e l'intervallo di tentativi. Tutte le password vengono crittografate mentre vengono archiviate per riprovare ed eliminate quando l'operazione ha esito positivo o vengono raggiunti i limiti di ripetizione dei tentativi.
L'attivazione di un server warm standby che esegue MIM dopo un errore: in caso di errore del server primario che esegue MIM, è possibile configurare un server warm standby per la sincronizzazione delle password e attivarlo senza perdita di modifiche della password. Per altre informazioni, vedere MIISactivate: Server Activation Tool
Alcuni errori sono abbastanza gravi che non è probabile che nessun numero di tentativi generi un'operazione riuscita. In questi casi viene registrato un evento di errore e il processo viene arrestato. Gli eventi seguenti non vengono ritentati:
| Evento | Severità | Descrizione |
|---|---|---|
| 6919 | Informazione | Un'operazione del set di sincronizzazione password non è stata eseguita perché il timestamp non è aggiornato. |
| 6921 | Errore | L'operazione del set di sincronizzazione password non è stata elaborata perché la gestione delle password non è abilitata nell'agente di gestione di destinazione. |
| 6922 | Errore | L'operazione del set di sincronizzazione password non è stata elaborata perché la gestione delle password non è configurata nell'agente di gestione di destinazione. |
| 6923 | Avvertimento | L'operazione del set di sincronizzazione password non è stata elaborata perché l'oggetto spazio connettore di destinazione non è stato trovato nella directory connessa. |
| 6927 | Errore | L'operazione del set di sincronizzazione password non è riuscita perché la password non soddisfa i criteri password del sistema di destinazione. |
| 6928 | Errore | L'operazione del set di sincronizzazione password non è riuscita perché l'estensione password per l'agente di gestione di destinazione non è configurata per supportare le operazioni del set di password. |
Gestione delle modifiche delle password basata sull'utente
MIM fornisce due applicazioni Web che usano Strumentazione gestione Windows (WMI) per reimpostare le password. Come per la sincronizzazione delle password, si attiva la gestione delle password quando si configura l'agente di gestione in Progettazione agenti di gestione. Per informazioni sulla gestione delle password e WMI, vedere le informazioni di riferimento per gli sviluppatori MIM.
MIM crea due gruppi di sicurezza durante l'installazione che supportano in modo specifico le operazioni di gestione delle password:
FIMSyncBrowse: i membri di questo gruppo dispongono dell'autorizzazione per raccogliere informazioni sugli account di un utente durante l'esecuzione di operazioni di ricerca con query WMI.
FIMSyncPasswordSet: i membri di questo gruppo dispongono dell'autorizzazione per eseguire operazioni di ricerca, set di password e modifica delle password dell'account usando le interfacce di gestione delle password con WMI.