Delen via


Wachtwoordbeheer voor Microsoft Identity Manager 2016

Het beheren van wachtwoorden voor meerdere gebruikersaccounts is een van de complexiteit van het beheren van een bedrijfsomgeving met meerdere gegevensbronnen. Microsoft Identity Manager 2016 (MIM) biedt twee oplossingen voor wachtwoordbeheer:

  • Wachtwoordsynchronisatie: maakt gebruik van de notification service voor wachtwoordwijzigingen (PCNS) om wachtwoordwijzigingen van Active Directory vast te leggen en door te geven aan andere verbonden gegevensbronnen.

  • Beheer van wachtwoordwijziging op basis van gebruikers: maakt gebruik van WMI (Windows Management Instrumentation) via de helpdesk op internet en selfservicetoepassingen voor het opnieuw instellen van wachtwoorden.

Door wachtwoordsynchronisatie en op gebruikers gebaseerd wachtwoordwijzigingsbeheer te gebruiken, kunt u het volgende doen:

  • Verminder het aantal verschillende wachtwoorden dat gebruikers moeten onthouden.

  • Stel wachtwoorden in de meerdere accounts van een gebruiker tegelijk in of wijzig deze in hetzelfde wachtwoord.

  • Gebruikers toestaan hun eigen wachtwoorden in Active Directory te wijzigen en de wachtwoordwijziging naar andere systemen te pushen.

  • Elimineer het risico van het bouwen van een extra wachtwoord of referentiearchief.

  • Synchroniseer wachtwoorden in meerdere gegevensbronnen met behulp van Active Directory als gezaghebbende bron.

  • Voer in realtime wachtwoordbeheerbewerkingen uit, onafhankelijk van MIM-bewerkingen.

Wachtwoordextensies

Beheeragents voor adreslijstservers ondersteunen standaard wachtwoordwijziging en instellen van bewerkingen. Voor agents voor bestandsgebaseerde, database- en uitbreidbare connectiviteitsbeheer, die standaard geen ondersteuning bieden voor wachtwoordwijziging en het instellen van bewerkingen, kunt u een .NET-wachtwoordextensie dynamic-link library (DLL) maken. De DLL van de .NET-wachtwoordextensie wordt aangeroepen wanneer een wachtwoordwijziging of set-aanroep wordt aangeroepen voor een van deze beheeragents. Instellingen voor wachtwoordextensie worden geconfigureerd voor deze beheeragents in Synchronization Service Manager. Zie de FIM Developer Reference (Naslaginformatie voor FIM-ontwikkelaars) voor meer informatie over het configureren van wachtwoordextensies.

Wachtwoordbeheer wordt standaard ondersteund in de beheeragents voor: Met behulp van een wachtwoordextensie wordt wachtwoordbeheer ook ondersteund in de beheeragents voor:
Active Directory Tekstbestanden met kenmerk-waardepaar
Active Directory Lightweight Directory Services (ADLDS) Tekstbestanden met scheidingstekens
IBM Directory Server Directory Services Markup Language (DSML)
Lotus Notes Uitbreidbare connectiviteit
Novell eDirectory Tekstbestanden met vaste breedte
Sun- en Netscape-directoryservers IBM DB2 Universal Database
LDAP Data Interchange Format (LDIF)
Microsoft SQL Server
Oracle Database

Wachtwoordsynchronisatie

Wachtwoordsynchronisatie werkt met de meldingsservice voor wachtwoordwijzigingen (PCNS) in een Active Directory-domein en staat toe dat wachtwoordwijzigingen die afkomstig zijn van Active Directory automatisch worden doorgegeven aan andere verbonden gegevensbronnen. MIM doet dit door uit te voeren als een RPC-server (Remote Procedure Call) die luistert naar een melding voor wachtwoordwijziging van een Active Directory-domeincontroller. Wanneer de aanvraag voor wachtwoordwijziging wordt ontvangen en geverifieerd, wordt deze verwerkt door MIM en doorgegeven aan de juiste beheeragents.

Belangrijk

Synchronisatie van bidirectionele wachtwoorden wordt niet ondersteund door MIM. Het configureren van bidirectionele wachtwoordsynchronisatie kan een lus maken, die serverbronnen verbruikt en een potentieel negatief effect heeft op zowel Active Directory als MIM.

De PCNS wordt uitgevoerd op elke Active Directory-domeincontroller. De systemen die de wachtwoordmeldingen ontvangen, worden doelen genoemd. Uw MIM-server moet worden geconfigureerd als een PCNS-doel in Active Directory voordat wachtwoordmeldingen worden verzonden. De PCNS-configuratie moet een insluitingsgroep en eventueel een uitsluitingsgroep definiëren. Deze groepen worden gebruikt om de stroom van gevoelige wachtwoorden van het domein te beperken. Als u bijvoorbeeld wachtwoorden voor alle gebruikers wilt verzenden, maar geen beheerderswachtwoorden wilt verzenden, kunt u domeingebruikers gebruiken als de insluitingsgroep en domeinadministrators als uitsluitingsgroep. Zie Wachtwoordsynchronisatie gebruiken voor meer informatie over het configureren van de meldingsservice voor wachtwoordwijzigingen

De onderdelen die betrokken zijn bij het wachtwoordsynchronisatieproces zijn:

  • meldingsservice voor wachtwoordwijzigingen (Pcnssvc.exe)–De meldingsservice voor wachtwoordwijzigingen wordt uitgevoerd op een domeincontroller en is verantwoordelijk voor het ontvangen van meldingen over wachtwoordwijzigingen van het lokale wachtwoordfilter, het in de wachtrij plaatsen van de doelserver waarop MIM wordt uitgevoerd en het gebruik van RPC om de meldingen te leveren. De service versleutelt het wachtwoord en zorgt ervoor dat het wachtwoord veilig blijft totdat het is geleverd aan de doelserver waarop MIM wordt uitgevoerd.

  • SPN (Service Principal Name) : de SPN is een eigenschap in het accountobject in Active Directory dat wordt gebruikt door het Kerberos-protocol om de PCNS en het doel wederzijds te verifiëren. De SPN zorgt ervoor dat de PCNS wordt geverifieerd bij de juiste server waarop MIM wordt uitgevoerd en dat er geen andere service meldingen over wachtwoordwijziging kan ontvangen. De SPN wordt gemaakt en toegewezen met behulp van het hulpprogramma setspn.exe. Zie Wachtwoordsynchronisatie gebruiken voor meer informatie over het configureren van de SPN.

  • meldingsfilter voor wachtwoordwijzigingen (Pcnsflt.dll): het wachtwoordfilter wordt gebruikt om wachtwoorden zonder opmaak te verkrijgen uit Active Directory. Dit filter wordt geladen door de Local Security Authority (LSA) op elke Windows Server-domeincontroller die deelneemt aan wachtwoorddistributie naar een doelserver waarop MIM wordt uitgevoerd. Zodra het filter is geïnstalleerd en de domeincontroller opnieuw is opgestart, begint het filter meldingen over wachtwoordwijzigingen te ontvangen voor wachtwoordwijzigingen die afkomstig zijn van die domeincontroller. Het wachtwoordmeldingsfilter wordt gelijktijdig uitgevoerd met andere filters die op de domeincontroller worden uitgevoerd.

  • hulpprogramma voor het configureren van de meldingsservice voor wachtwoordwijzigingen (Pcnscfg.exe) : het hulpprogramma pcnscfg.exe wordt gebruikt voor het beheren en onderhouden van de configuratieparameters voor de meldingsservice voor wachtwoordwijzigingen die zijn opgeslagen in Active Directory. Deze configuratieparameters, zoals het definiëren van de doelservers, het interval voor opnieuw proberen van de wachtwoordwachtrij en het in- of uitschakelen van een doelserver, worden gebruikt bij het verifiëren en verzenden van wachtwoordmeldingen naar de doelserver waarop MIM wordt uitgevoerd. De serviceconfiguratie wordt opgeslagen in Active Directory, dus het is alleen nodig om de configuratie op één domeincontroller bij te werken. Active Directory repliceert de wijziging naar alle andere domeincontrollers.

  • RPC-server (Remote Procedure Call) op de server waarop MIM wordt uitgevoerd: wanneer wachtwoordsynchronisatie is ingeschakeld, wordt de RPC-server op de server waarop MIM wordt uitgevoerd gestart, zodat deze meldingen kan ontvangen van de meldingsservice voor wachtwoordwijzigingen. RPC selecteert dynamisch een bereik van poorten dat moet worden gebruikt. Als u miM nodig hebt om via een firewall met het Active Directory-forest te communiceren, moet u een bereik van poorten openen.

  • DLL voor wachtwoordextensie : het DLL-bestand met de wachtwoordextensie biedt een manier om bewerkingen voor het instellen of wijzigen van wachtwoorden te implementeren met behulp van een regelsextensie voor elke database, uitbreidbare connectiviteit of beheeragent op basis van bestanden. Dit wordt bereikt door een alleen-exporterend, versleuteld kenmerk met de naam 'export_password' te maken dat niet daadwerkelijk bestaat in de verbonden map, maar kan worden geopend en ingesteld in extensies voor inrichtingsregels of kan worden gebruikt tijdens de exportkenmerkstroom. Zie de FIM Developer Referencevoor meer informatie over het configureren van wachtwoordextensies.

Voorbereiden voor wachtwoordsynchronisatie

Controleer het volgende voordat u wachtwoordsynchronisatie instelt voor uw MIM- en Active Directory-omgeving:

  • MIM wordt geïnstalleerd volgens installatie-instructies.

  • Beheeragents voor de verbonden gegevensbronnen die moeten worden beheerd voor wachtwoordsynchronisatie, worden al gemaakt en de objecten worden gekoppeld en gesynchroniseerd.

Wachtwoordsynchronisatie instellen:

  • Breid het Active Directory-schema uit om de klassen en kenmerken toe te voegen die nodig zijn voor het installeren en uitvoeren van de PCNS (Password Change Notification Service).

  • Installeer de PCNS op elke domeincontroller.

  • Configureer de naam van de service-principal (SPN) in Active Directory voor het MIM-serviceaccount.

  • Configureer de PCNS om te communiceren met de MIM-doelservice.

  • Configureer de beheeragents voor de verbonden gegevensbronnen die moeten worden beheerd voor wachtwoordsynchronisatie.

  • Schakel wachtwoordsynchronisatie in op MIM.

Zie Wachtwoordsynchronisatie gebruiken voor meer informatie over het instellen van wachtwoordsynchronisatie.

Wachtwoordsynchronisatieproces

Het proces voor het synchroniseren van een aanvraag voor wachtwoordwijziging van een Active Directory-domeincontroller naar andere verbonden gegevensbronnen wordt weergegeven in het volgende diagram:

  1. De gebruiker initieert de aanvraag voor wachtwoordwijziging door op Ctrl+Alt+Del te drukken. De aanvraag voor wachtwoordwijziging, inclusief het nieuwe wachtwoord, wordt verzonden naar de dichtstbijzijnde domeincontroller.

  2. De domeincontroller registreert de aanvraag voor wachtwoordwijziging en meldt het meldingsfilter voor wachtwoordwijzigingen (Pcnsflt.dll).

  3. Het meldingsfilter voor wachtwoordwijzigingen geeft de aanvraag door aan de meldingsservice voor wachtwoordwijzigingen (PCNS).

  4. De PCNS controleert de aanvraag voor wachtwoordwijziging, verifieert vervolgens de SPN (Service Principal Name) met behulp van Kerberos en stuurt de aanvraag voor wachtwoordwijziging in versleutelde RPC door naar de MIM-doelserver.

  5. MIM valideert de brondomeincontroller en gebruikt vervolgens de domeinnaam om de beheeragent te zoeken die services die domein gebruiken, en gebruikt de gebruikersaccountgegevens in de aanvraag voor wachtwoordwijziging om het bijbehorende object in de connectorruimte te vinden.

  6. Met behulp van de jointabelgegevens bepaalt MIM de beheeragents die de wachtwoordwijziging ontvangen en pusht het wachtwoord naar deze agents.

Wachtwoordsynchronisatiebeveiliging

De volgende beveiligingsproblemen met wachtwoordsynchronisatie zijn opgelost:

  • Verificatie van de wachtwoordbron: wanneer de melding voor wachtwoordwijziging wordt ontvangen, wordt kerberos-verificatie uitgevoerd door MIM en de brondomeincontroller om ervoor te zorgen dat zowel de ontvanger als de afzender geldig zijn. Na ontvangst van een melding over wachtwoordwijzigingen zorgt MIM ervoor dat de beller een account heeft in de container Domeincontrollers van het domein waartoe het behoort.

  • Wachtwoordsynchronisatie met een doelgegevensbron is mislukt vanwege een onveilige verbinding: als de beheeragent is geconfigureerd om een beveiligde verbinding te vereisen, maar er geen wordt gedetecteerd, mislukt de synchronisatie. Synchronisatie vindt nog steeds plaats als de beheeragent is geconfigureerd om onbeveiligde verbindingen toe te staan. Het toestaan van niet-beveiligde verbindingen mag alleen worden ingeschakeld nadat de risico's zijn onderzocht en begrepen.

  • Veilige opslag van wachtwoorden: MIM slaat versleutelde wachtwoorden alleen tijdelijk op. Alle wachtwoorden die door MIM worden ontvangen tijdens een meldingsbewerking voor wachtwoordwijzigingen, worden versleuteld zodra ze het MIM-proces invoeren. Het moment dat ze naar de doelgegevensbron worden verzonden, worden ze ontsleuteld en wordt het geheugen dat het wachtwoord opslaat onmiddellijk gewist. Als de bewerking niet naar de doelgegevensbron kan worden geschreven, wordt het versleutelde wachtwoord opgeslagen totdat alle nieuwe pogingen zijn geprobeerd en vervolgens uit het geheugen wordt gewist.

  • Veilige wachtwoordwachtrijen: wachtwoorden die zijn opgeslagen in PCNS-wachtwoordwachtrijen worden versleuteld totdat ze worden geleverd.

Herstelscenario's voor wachtwoordsynchronisatiefouten

Wanneer een gebruiker een wachtwoord wijzigt, wordt de wijziging idealiter gesynchroniseerd zonder fouten. In de volgende scenario's wordt beschreven hoe MIM herstelt van veelvoorkomende synchronisatiefouten:

  • Melding van wachtwoord is mislukt van Active Directory naar MIM: dit kan gebeuren als het netwerk offline is of als de server waarop MIM wordt uitgevoerd niet beschikbaar is. De melding voor wachtwoordwijziging blijft lokaal in de wachtrij op de domeincontroller door de PCNS. De PCNS-reattempt de melding volgens de configuratie van het interval voor opnieuw proberen.

  • mislukte wachtwoordsynchronisatie naar een doelgegevensbron: dit kan ook gebeuren als het netwerk niet beschikbaar is of als de doelgegevensbron niet beschikbaar is. De melding voor wachtwoordwijziging wordt in de wachtrij geplaatst en opnieuw geprobeerd volgens de configuratie van de beheeragent voor een poging en interval voor opnieuw proberen. Alle wachtwoorden worden versleuteld terwijl ze zijn opgeslagen voor opnieuw proberen en worden verwijderd wanneer de bewerking is geslaagd of als de limieten voor opnieuw proberen worden bereikt.

  • Het activeren van een warme stand-byserver waarop MIM wordt uitgevoerd na een fout: in het geval dat de primaire server waarop MIM wordt uitgevoerd mislukt, kunt u een warme stand-byserver configureren voor wachtwoordsynchronisatie en deze activeren zonder wachtwoordwijzigingen. Zie MIISactivate: Hulpprogramma voor serveractivering voor meer informatie

Sommige fouten zijn ernstig genoeg dat er geen aantal nieuwe pogingen kan leiden tot een geslaagde bewerking. In deze gevallen wordt een foutgebeurtenis geregistreerd en wordt het proces gestopt. De volgende gebeurtenissen worden niet opnieuw geprobeerd:

Gebeurtenis Ernstigheid Beschrijving
6919 Gegevens Er is geen ingestelde bewerking voor wachtwoordsynchronisatie uitgevoerd omdat de tijdstempel verouderd was.
6921 Fout De ingestelde bewerking voor wachtwoordsynchronisatie is niet verwerkt omdat wachtwoordbeheer niet is ingeschakeld op de doelbeheeragent.
6922 Fout De ingestelde bewerking voor wachtwoordsynchronisatie is niet verwerkt omdat wachtwoordbeheer niet is geconfigureerd op de doelbeheeragent.
6923 Waarschuwing De bewerking voor wachtwoordsynchronisatieset is niet verwerkt omdat het doelconnectorruimteobject niet kan worden gevonden in de verbonden map.
6927 Fout De ingestelde bewerking voor wachtwoordsynchronisatie is mislukt omdat het wachtwoord niet voldoet aan het wachtwoordbeleid van het doelsysteem.
6928 Fout De ingestelde bewerking voor wachtwoordsynchronisatie is mislukt omdat de wachtwoordextensie voor de doelbeheeragent niet is geconfigureerd ter ondersteuning van bewerkingen voor wachtwoordsets.

Beheer van wachtwoordwijziging op basis van gebruikers

MIM biedt twee webtoepassingen die WMI (Windows Management Instrumentation) gebruiken voor het opnieuw instellen van wachtwoorden. Net als bij wachtwoordsynchronisatie activeert u wachtwoordbeheer wanneer u de beheeragent configureert in Management Agent Designer. Zie de MIM Developer Reference (Naslaginformatie voor MIM-ontwikkelaars) voor informatie over wachtwoordbeheer en WMI.

MIM maakt twee beveiligingsgroepen tijdens de installatie die specifiek ondersteuning bieden voor wachtwoordbeheerbewerkingen:

  • FIMSyncBrowse: leden van deze groep zijn gemachtigd om informatie te verzamelen over de accounts van een gebruiker bij het uitvoeren van zoekbewerkingen met WMI-query's.

  • FIMSyncPasswordSet: leden van deze groep zijn gemachtigd om bewerkingen voor accountzoekopdrachten, wachtwoordensets en wachtwoordwijziging uit te voeren met behulp van de interfaces voor wachtwoordbeheer met WMI.