MIIS, IIFP, ILM – was ist da aktuell?
Identity Management ist derzeit noch nicht so weit verbreitet, natürlich gibt es viele Firmen die sich damit befassen, aber man kann hier nicht von einer flächendeckenden Anwendung sprechen. Ein Teil Aspekt des Identity Managements ist unser Identity Integration Server, hier möchte ich einfach ein paar Begrifflichkeiten klären, welche Versionen aktuell sind (mit ein paar bekannten Limitationen) und wie es weiter geht.
Angefangen hat alles mit Microsoft Metadirectory Services, zunächst als Version 2.1, 2.2 und dann als 3.0. Dies war ein eingekauftes Produkt und war eher ein reines Meta Directory als eine Identity Lösung. Von Vorteil war sicherlich: es war ein eigenes LDAP Directory und konnte so auch per LDAP Anfragen genutzt werden. Als Abschreckung war damals ZScript als relativ proprietäre Scriptsprache vorhanden.
Daraus entstand als komplette Neuentwicklung der Microsoft Identity Integration Server. Diesen gab es in zwei Ausführungen: das kostenfreie Identity Integration Feature Pack (IIFP 2003) und die Enterprise Edition MIIS 2003. Der Unterschied war eigentlich nur eine Beschränkung der möglichen Management Agenten. IIFP 2003 beschränkt sich auf die Microsoft LDAP Directorys Active Directory und ADAM, MIIS 2003 hat eine Vielzahl von Management Agenten, u.a. Datei-basierend (LDIF, CSV usw.) oder auch Erweiterbar (ERP MA, CA-ACF2 usw.). IIFP 2003 ist heute noch als kostenfreier Download zu erhalten, in der aktuellen Version IIFP 2003 SP2. Eine Weiterentwicklung ist hier nicht angedacht, d.h. es gibt derzeit keine Pläne für eine weitere Kostenfreie Version. Auch die vorhandenen Hotfixes sind derzeit eingefroren auf dem Stand Build 1008 (IIFP) und 1013 (MIIS). Aufgrund unserer Erfahrung raten wir unbedingt dazu zumindest auf die Version 1008 zu wechseln. Die Versionsnummer sieht man im Identity Manager – Help – About (z.B. 3.2.559.0 – das ist SP2).
Durch die Limitierung auf AD und ADAM ist IIFP 2003 für viele kleine Umgebungen ausreichend, schließlich kann man damit auch GALSync verwirklichen (mit Exchange 2000, 2003 und 2007).
MIIS 2003 ist dann in ILM 2007 aufgegangen. Der Identity Lifecycle Manager 2007 Enterprise Edition beinhaltet im wesentlich einfach nur MIIS 2003 SP2 und CLM (Certificate Lifecycle Manager – hier wird nur die Sync Komponente, also MIIS, betrachtet). Getreu dem Motto „Aus Raider wird Twix“ wurde also aus MIIS 2003 SP2 einfach ILM 2007. Heute kann man also kein MIIS mehr kaufen, sondern nur noch ILM. Etwas schwierig wird es da mit den Hotfixen. Jeder Hotfix überprüft immer das Ziel, daraus ergibt sich das man leider für IIFP, MIIS und ILM für das gleiche Problem jeweils einen eigenen Hotfix benötigt.
Da im Oktober der Mainstream Support für IIFP und MIIS endet (siehe Support Lifecycle) ergeben sich Änderungen für den Support Umfang: (siehe Lifepolicy)
Support provided |
Mainstream Support phase |
Extended Support phase |
Paid support (per-incident, per hour, and others) |
X |
X |
Security update support |
X |
X |
Non-security hotfix support |
X |
Requires extended hotfix agreement, purchased within 90 days of mainstream support ending. |
No-charge incident support |
X |
|
Warranty claims |
X |
|
Design changes and feature requests |
X |
|
Product-specific information that is available by using the online Microsoft Knowledge Base |
X |
X |
Product-specific information that is available by using the Support site at Microsoft Help and Support to find answers to technical questions |
X |
X |
Mit dem Ende des Mainstream Supports werden nur noch Security Hotfixes erstellt, wer andere Hotfixes benötigt, der müsste in den nächsten 4 Monaten noch einen speziellen Vertrag abschließen. Was sicher nicht gerade preiswert ist. Da die Preise für ILM 2007 im Vergleich zu MIIS 2003 gesenkt wurden, wäre ein Umstieg von MIIS 2003 auf ILM 2007 sicher zu empfehlen. Es ist ja unter Haube immer noch MIIS 2003 SP2, also ein leichter Umstieg ist garantiert.
Aktuell ist derzeit die Version ILM 2007 FP1 (Feature Pack 1), hier wurde im Wesentlichen die Exchange 2007 Unterstützung verbessert.
Einige Begrenzungen:
- KEIN 64bit Support für IIFP, MIIS, ILM
- Der Einsatz in Virtuellen Umgebungen ist nicht supportet (es gibt bekannte Probleme, in erster Linie mit der Performance)
- Der Einsatz auf Clustern ist nicht supportet
- unterstützte bzw. empfohlene Datenbank: bis SP2: SQL 2000 SP4, ab SP2: SQL 2005
Aktuelle Hotfixes:
IIFP: Build: 3.2.1008
(Kein veröffentlichter Artikel vorhanden)
MIIS: Build: 3.2.1013
KB950370, A hotfix rollup package (build 3.2.1013) is available for Microsoft Identity Integration Server 2003 Service Pack 2
https://support.microsoft.com/default.aspx?scid=kb;EN-US;950370
ILM: Build: 3.3.1051.2
KB952308, A hotfix rollup package (build 3.3.1051.2) is available for Identity Lifecycle Manager 2007 Feature Pack 1, https://support.microsoft.com/default.aspx?scid=kb;EN-US;952308
Wohin geht die Entwicklung?
ILM „2“ ist derzeit noch in der Betaphase und wird einiges mehr an Funktionalität bieten. RTM Termin ist nach derzeitiger Planung immer noch Beginn 2009. In einer Betaphase können wir keine zuverlässigen Aussagen treffen was dann endgültig im Produkt zu finden ist. Zu den Begrenzungen der Vorgängerversion lassen sich derzeit folgende Aussagen treffen:
- ILM „2“ wird höchstwahrscheinlich nur als 64bit Version verfügbar sein
- Der Einsatz in Virtuellen Umgebung wird vermutlich unterstützt sein
- Der Einsatz auf Clustern wird vermutlich immer noch nicht unterstützt sein
- unterstützte bzw. empfohlene Datenbank: vermutlich SQL 2008
Tschau, Hans-Jürgen