Lösenordshantering i Microsoft Identity Manager 2016Microsoft Identity Manager 2016 Password Management

Att hantera lösenord för flera användarkonton är en komplicerad del i en företagsmiljö med flera datakällor.Managing passwords for multiple user accounts is one of the complexities of managing an enterprise environment with multiple data sources. Microsoft Identity Manager 2016 (MIM) har två lösningar för lösenordshantering:Microsoft Identity Manager 2016 (MIM) provides two password management solutions:

  • Lösenordssynkronisering – använder tjänsten för meddelanden om lösenordsändring (PCNS) för att samla in lösenordsändringar från Active Directory och sprida dem till andra anslutna datakällor.Password synchronization – Utilizes the password change notification service (PCNS) to capture password changes from Active Directory and propagate them to other connected data sources.

  • Användarbaserad hantering av lösenordsändring – använder Windows Management Instrumentation (WMI) genom program för webbaserad helpdesk och lösenordsåterställning via självbetjäning.User-based password change management – Utilizes the Windows Management Instrumentation (WMI) through Web-based Help Desk and self-service password reset applications.

Med hjälp av lösenordssynkronisering och användarbaserad hantering av lösenordsändring kan du:By using password synchronization and user-based password change management, you can:

  • Minska antalet olika lösenord användare måste komma ihåg.Reduce the number of different passwords users have to remember.

  • Samtidigt ange eller ändra lösenord i flera konton som tillhör en användare till samma lösenord.Simultaneously set or change passwords in a user's multiple accounts to the same password.

  • Tillåta att användare ändrar sina egna lösenord i Active Directory och sprider lösenordsändringen till andra system.Allow users to change their own passwords in Active Directory and push the password change out to other systems.

  • Eliminera risken för att skapa ett ytterligare lösenord- eller autentiseringsuppgiftslager.Eliminate the risk of building an additional password or credential store.

  • Synkronisera lösenord mellan flera datakällor med hjälp av Active Directory som auktoritativ källa.Synchronize passwords across multiple data sources by using Active Directory as the authoritative source.

  • Utföra åtgärder för lösenordshantering i realtid, oberoende av MIM-åtgärder.Perform password management operations in real time, independent of MIM operations.

LösenordstilläggPassword extensions

Hanteringsagenter för katalogservrar stöder åtgärder för lösenordsändring och lösenordsinställning som standard.Management agents for directory servers support password change and set operations by default. För filbaserade, databasanslutna och utökningsbara hanteringsagenter, som inte har stöd för åtgärder för lösenordsändring och lösenordsinställning som standard, kan du skapa ett dynamiskt länkat .NET-bibliotek (DLL) för lösenordstillägg.For file-based, database, and extensible connectivity management agents, which do not support password change and set operations by default, you can create a .NET password extension dynamic-link library (DLL). .NET DLL för lösenordstillägg anropas varje gång ett anrop görs för ändring eller inställning av lösenord för någon av dessa hanteringsagenter.The .NET password extension DLL is called whenever a password change or set call is invoked for any of these management agents. Inställningar för lösenordstillägg konfigureras för dessa hanteringsagenter i Hanteraren för synkroniseringstjänsten.Password extension settings are configured for these management agents in Synchronization Service Manager. Mer information om hur du konfigurerar lösenordstillägg finns i FIM för utvecklare.For more information about configuring password extensions, see the FIM Developer Reference.

Lösenordshantering stöds som standard i hanteringsagenter för:Password management is supported by default in the management agents for: Genom att använda ett lösenordstillägg stöds lösenordshantering även i hanteringsagenterna för:By using a password extension, password management is also supported in the management agents for:
Active DirectoryActive Directory Textfiler med attributvärdesparAttribute-value pair text files
ADLDS (Active Directory Lightweight Directory Services)Active Directory Lightweight Directory Services (ADLDS) Avgränsade textfilerDelimited text files
IBM Directory ServerIBM Directory Server Directory Services Markup Language (DSML)Directory Services Markup Language (DSML)
Lotus NotesLotus Notes Extensible ConnectivityExtensible Connectivity
Novell eDirectoryNovell eDirectory Textfiler med fast breddFixed-width text files
Sun och Netscape Directory ServersSun and Netscape directory servers IBM DB2 Universal DatabaseIBM DB2 Universal Database
LDAP Data Interchange Format (LDIF)LDAP Data Interchange Format (LDIF)
Microsoft SQL ServerMicrosoft SQL Server
Oracle DatabaseOracle Database

LösenordssynkroniseringPassword synchronization

Lösenordssynkronisering fungerar med tjänsten om meddelanden för lösenordsändring (PCNS) på en Active Directory-domän, och tillåter att lösenordsändringar som kommer från Active Directory sprids automatiskt till andra anslutna datakällor.Password synchronization works with the password change notification service (PCNS) on an Active Directory domain, and allows password changes that originate from Active Directory to be automatically propagated to other connected data sources. MIM åstadkommer detta genom att köras som en RPC-server (Remote Procedure Call) som lyssnar efter en avisering om lösenordsändring från en Active Directory-domänkontrollant.MIM accomplishes this by running as a Remote Procedure Call (RPC) server that listens for a password change notification from an Active Directory domain controller. När begäran om lösenordsändring tas emot och autentiseras bearbetas den av MIM och sprids till lämpliga hanteringsagenter.When the password change request is received and authenticated, it is processed by MIM and propagated to the appropriate management agents.

Viktigt

Dubbelriktad lösenordssynkronisering stöds inte av MIM.Bi-directional password synchronization is not supported by MIM. Konfiguration av dubbelriktad lösenordssynkronisering kan skapa en slinga, som förbrukar serverresurser och har en potentiellt negativ effekt på både Active Directory och MIM.Configuring bi-directional password synchronization can create a loop, which will consume server resources and have a potentially negative effect on both Active Directory and MIM.

PCNS körs på varje Active Directory-domänkontrollant.The PCNS runs on each Active Directory domain controller. System som tar emot lösenordsaviseringar kallas mål.The systems that receive the password notifications are known as targets. MIM-servern måste konfigureras som ett PCNS-mål i Active Directory innan lösenordsaviseringar skickas.Your MIM server must be configured as a PCNS target in Active Directory before password notifications are sent. PCNS-konfigurationen måste definiera en inkluderingsgrupp och eventuellt en undantagsgrupp.The PCNS configuration must define an inclusion group and, optionally, an exclusion group. Dessa grupper används för att begränsa flödet av känsliga lösenord från domänen.These groups are used to restrict the flow of sensitive passwords from the domain. Om du till exempel vill skicka lösenord för alla användare, men inte vill skicka administrativa lösenord, kan du välja att använda Domänanvändare som inkluderingsgrupp och Domänadminstratörer som undantagsgrupp.For example, to send passwords for all users, but not send administrative passwords, you might choose to use Domain Users as the inclusion group, and Domain Admins as the exclusion group. Mer information om att konfigurera tjänsten för meddelanden om lösenordsändring finns i Using Password Synchronization (Använda lösenordssynkronisering)For more information about configuring the password change notification service, see Using Password Synchronization

Komponenterna som ingår i processen för lösenordssynkronisering är:The components involved in the password synchronization process are:

  • Tjänsten för meddelanden om lösenordsändring (Pcnssvc.exe) – Tjänsten för meddelanden om lösenordsändring körs på en domänkontrollant och ansvarar för att ta emot aviseringar om lösenordsändring från det lokala lösenordsfiltret, placera dem i kö för målservern som kör MIM och använda RPC för att leverera aviseringarna.Password change notification service (Pcnssvc.exe)–The password change notification service runs on a domain controller and is responsible for receiving password change notifications from the local password filter, queuing them for the target server running MIM, and using RPC to deliver the notifications. Tjänsten krypterar lösenordet och ser till att lösenordet förblir skyddat tills det har levererats helt till målservern som kör MIM.The service encrypts the password and ensures that the password remains secure until it is successfully delivered to the target server running MIM.

  • Tjänstens huvudnamn (SPN) – SPN är en egenskap för kontoobjektet i Active Directory som används av Kerberos-protokollet för att ömsesidigt autentisera PCNS och målet.Service principal name (SPN) – The SPN is a property on the account object in Active Directory that is used by the Kerberos protocol to mutually authenticate the PCNS and the target. SPN säkerställer att PCNS autentiserar till rätt server som kör MIM och att ingen annan tjänst kan ta emot aviseringarna om lösenordsändring.The SPN ensures that the PCNS authenticates to the correct server running MIM, and that no other service can receive the password change notifications. SPN skapas och tilldelas med hjälp av verktyget setspn.exe.The SPN is created and assigned by using the setspn.exe tool. Mer information om att konfigurera SPN finns i Using Password Synchronization (Använda lösenordssynkronisering).For more information about configuring the SPN, see Using Password Synchronization.

  • Filter för avisering om lösenordsändring (Pcnsflt.dll) – Lösenordsfiltret används för att hämta lösenord i klartext från Active Directory.Password change notification filter (Pcnsflt.dll) – The password filter is used to obtain plaintext passwords from Active Directory. Det här filtret läses in av den lokala säkerhetskontrollen (LSA) på varje Windows Server-domänkontrollant som deltar i lösenordsdistributionen till en målserver som kör MIM.This filter is loaded by the Local Security Authority (LSA) on each Windows Server domain controller participating in password distribution to a target server running MIM. När filtret har installerats och domänkontrollanten har startats om börjar filtret ta emot aviseringar om lösenordsändring för lösenordsändringar som har sitt ursprung på den domänkontrollanten.Once the filter has been installed and the domain controller has been restarted, the filter begins to receive password change notifications for password changes that originate on that domain controller. Filtret för lösenordsavisering körs samtidigt med andra filter som körs på domänkontrollanten.The password notification filter runs simultaneously with other filters that are running on the domain controller.

  • Konfigurationsverktyg för tjänsten för meddelanden om lösenordsändring (Pcnscfg.exe) – Verktyget pcnscfg.exe används för att hantera och underhålla konfigurationsparametrarna för tjänsten för meddelanden om lösenordsändring som lagras i Active Directory.Password change notification service configuration utility (Pcnscfg.exe) – The pcnscfg.exe utility is used to manage and maintain the password change notification service configuration parameters stored within Active Directory. Dessa konfigurationsparametrar, t.ex. definition av målservrar, omförsöksintervall för lösenordskön och aktivering eller inaktivering av en målserver, används när lösenordsmeddelanden autentiseras och skickas till målservern som kör MIM.These configuration parameters, such as defining the target servers, the password queue retry interval, and enabling or disabling a target server, are used when authenticating and sending password notifications to the target server running MIM. Tjänstkonfigurationen lagras i Active Directory, så konfigurationen behöver bara uppdateras på en domänkontrollant.The service configuration is stored in Active Directory, so it is only necessary to update the configuration on one domain controller. Active Directory replikerar ändringen till alla andra domänkontrollanter.Active Directory replicates the change to all other domain controllers.

  • RPC-servern (Remote Procedure Call) på servern som kör MIM – När lösenordssynkronisering aktiveras startar RPC-servern på den server som kör MIM, vilket gör det möjligt för den att ta emot aviseringar från tjänsten för meddelanden om lösenordsändring.Remote Procedure Call (RPC) server on the server running MIM – When password synchronization is enabled, the RPC server on the server running MIM is started, enabling it to receive notifications from the password change notification service. RPC väljer dynamiskt ett portintervall som ska användas.RPC dynamically selects a range of ports to use. Om du vill att MIM ska kommunicera med Active Directory-skogen via en brandvägg måste du öppna en serie portar.If you require MIM to communicate with the Active Directory forest through a firewall, you must open a range of ports.

  • DLL för lösenordstillägg – DLL för lösenordstillägg ger ett sätt att implementera åtgärder för lösenordsändring eller lösenordsinställning med hjälp av ett regeltillägg för valfri databas, Extensible Connectivity eller filbaserad hanteringsagent.Password extension DLL – The password extension DLL provides a way to implement password set or change operations by means of a rules extension for any database, extensible connectivity, or file-based management agent. Det går att uppnå genom att skapa ett krypterat attributnamn endast för export med namnet "export_password" som inte finns rent faktiskt i den anslutna katalogen men som går att komma åt och ange i tillägg för etableringsregler eller som kan användas under exportattributflödet.This is accomplished by creating an export-only, encrypted attribute named "export_password" that does not actually exist in the connected directory but can be accessed and set in provisioning rules extensions or can be used during export attribute flow. Mer information om hur du konfigurerar lösenordstillägg finns i FIM för utvecklare.For more information about configuring password extensions, see the FIM Developer Reference.

Förbereda för lösenordssynkroniseringPreparing for password synchronization

Kontrollera följande innan du konfigurerar lösenordssynkronisering för MIM- och Active Directory-miljön:Before you set up password synchronization for your MIM and Active Directory environment, verify the following:

  • MIM har installerats enligt installationsanvisningarna.MIM is installed according to installation instructions.

  • Hanteringsagenterna för de anslutna datakällorna som ska hanteras för lösenordssynkronisering har redan skapats och objekten kopplas och synkroniseras.Management agents for the connected data sources to be managed for password synchronization are already created and the objects are being successfully joined and synchronized.

Konfigurera lösenordssynkronisering:To set up password synchronization:

  • Utöka Active Directory-schemat för att lägga till de klasser och attribut som krävs för att installera och köra tjänsten för meddelanden om lösenordsändring (PCNS).Extend the Active Directory schema to add the classes and attributes necessary for installing and running the password change notification service (PCNS).

  • Installera PCNS på varje domänkontrollant.Install the PCNS on each domain controller.

  • Konfigurera tjänstens huvudnamn (SPN) i Active Directory för MIM-tjänstkontot.Configure the service principal name (SPN) in Active Directory for the MIM service account.

  • Konfigurera PCNS för att kommunicera med MIM-tjänsten som är mål.Configure the PCNS to communicate with the target MIM service.

  • Konfigurera hanteringsagenterna för anslutna datakällor som ska hanteras för lösenordssynkronisering.Configure the management agents for the connected data sources to be managed for password synchronization.

  • Aktivera lösenordssynkronisering på MIM.Enable password synchronization on MIM.

Mer information om att konfigurera lösenordssynkronisering finns i Using Password Synchronization (Använda lösenordssynkronisering).For more information about setting up password synchronization, see Using Password Synchronization.

Processen för lösenordssynkroniseringPassword synchronization process

Processen för synkronisering av en begäran om lösenordsändring från en Active Directory-domänkontrollant till andra anslutna datakällor visas i följande diagram:The process of synchronizing a password change request from an Active Directory domain controller to other connected data sources is shown in the following diagram:

  1. Användaren initierar begäran om lösenordsändring genom att trycka på Ctrl+Alt+Del.The user initiates the password change request by pressing Ctrl+Alt+Del. Begäran om lösenordsändring, inklusive det nya lösenordet, skickas till närmaste domänkontrollant.The password change request, including the new password, is sent to the nearest domain controller.

  2. Domänkontrollanten registrerar begäran om lösenordsändring och meddelar filtret för meddelande om lösenordsändring (Pcnsflt.dll).The domain controller records the password change request and notifies the password change notification filter (Pcnsflt.dll).

  3. Filtret för meddelande om lösenordsändring skickar begäran till tjänsten för meddelanden om lösenordsändring (PCNS).The password change notification filter passes the request to the password change notification service (PCNS).

  4. PCNS verifierar begäran om lösenordsändring och autentiserar sedan tjänstens huvudnamn (SPN) med hjälp av Kerberos och vidarebefordrar begäran om lösenordsändring i krypterad RPC till MIM-målservern.The PCNS verifies the password change request, then authenticates the service principal name (SPN) by using Kerberos, and forwards the password change request in encrypted RPC to the MIM target server.

  5. MIM validerar källdomänkontrollanten och använder sedan domännamnet för att hitta hanteringsagenten som betjänar den domänen, och använder informationen om användarkonto i begäran om lösenordsändring för att hitta motsvarande objekt i anslutarplatsen.MIM validates the source domain controller, then uses the domain name to locate the management agent that services that domain, and uses the user account information in the password change request to locate the corresponding object in the connector space.

  6. MIM använder informationen om kopplingstabell för att fastställa de hanteringsagenter som tar emot lösenordsändringen och skickar ut lösenordsändringen till dem.By using the join table information, MIM determines the management agents that receive the password change, and pushes the password change out to them.

Säkerhet för lösenordssynkroniseringPassword synchronization security

Följande säkerhetsproblem med lösenordssynkronisering har åtgärdats:The following password synchronization security concerns have been addressed:

  • Autentisering från lösenordskällan – när meddelandet om lösenordsändring tas emot görs Kerberos-autentisering av både MIM och källdomänkontrollanten för att säkerställa att både mottagare och avsändare är giltiga.Authentication from the password source – When the password change notification is received, Kerberos authentication is done by MIM as well as the source domain controller to ensure both the recipient and sender are valid. När ett meddelande om lösenordsändring tas emot ser MIM till att den som anropar har ett konto i domänkontrollantbehållaren för den domän den tillhör.Upon receiving a password change notification, MIM ensures that the caller has an account in the Domain Controllers container of the domain it belongs to.

  • Misslyckad lösenordssynkronisering till en måldatakälla till följd av en osäker anslutning – synkroniseringen misslyckas om hanteringsagenten har konfigurerats för att kräva en säker anslutning men det inte går att hitta en sådan.Failed password synchronization to a target data source due to an insecure connection – If the management agent has been configured to require a secure connection but one is not detected, the synchronization fails. Synkroniseringen sker fortfarande om hanteringsagenten har konfigurerats för att tillåta ej säkra anslutningar.Synchronization still occurs if the management agent has been configured to allow nonsecure connections. Ej säkra anslutningar bör endast tillåtas efter att riskerna med detta har undersökts och förståtts.Allowing non-secure connections should be enabled only after examining and understanding the risks involved.

  • Säker lagring av lösenord – MIM lagrar bara krypterade lösenord tillfälligt.Secure storage of passwords – MIM only stores encrypted passwords temporarily. Alla lösenord som tas emot av MIM under en åtgärd för meddelande om lösenordsändring krypteras så snart de går in i MIM-processen.All passwords received by MIM during a password change notification operation are encrypted as soon as they enter the MIM process. De krypteras när de skickas framgångsrikt till den anslutna måldatakällan och minnet som lagrar lösenordet rensas omedelbart.The moment they are successfully sent out to the target connected data source, they are decrypted, and the memory storing the password is immediately cleared. Om åtgärden inte lyckas skriva till den anslutna måldatakällan lagras det krypterade lösenordet tills alla omförsök har gjorts och rensas sedan från minnet.If the operation fails to write to the target connected data source, the encrypted password is stored until all retry attempts have been attempted, and then is cleared from memory.

  • Säkra lösenordsköer – lösenord som lagras i PCNS-lösenordsköer krypteras tills de levereras.Secure password queues – Passwords stored in PCNS password queues are encrypted until they are delivered.

Återställningsscenarier vid fel med lösenordssynkroniseringPassword synchronization error recovery scenarios

Helst synkroniseras ändringen utan fel när en användare ändrar ett lösenord.Ideally, whenever a user changes a password, the change is synchronized with no errors. Följande scenarier beskriver hur MIM återställer efter vanliga synkroniseringsfel:The following scenarios describe how MIM recovers from common synchronization errors:

  • Misslyckat lösenordsmeddelande från Active Directory till MIM – Detta kan inträffa om nätverket ligger nere eller om servern som kör MIM inte är tillgänglig.Failed password notification from Active Directory to MIM – This can occur if the network is down, or if the server running MIM is unavailable. PCNS behåller meddelandet om lösenordsändring i kön lokalt på domänkontrollanten.The password change notification remains queued locally on the domain controller by the PCNS. PCNS försöker skicka meddelandet igen enligt konfigurationen för återförsöksintervall.The PCNS reattempts the notification according to its retry interval configuration.

  • Lösenordssynkronisering till en måldatakälla misslyckades – Detta kan också inträffa om nätverket ligger nere eller om måldatakällan inte är tillgänglig.Failed password synchronization to a target data source – This can also occur if the network is down, or if the target data source is unavailable. Meddelandet om lösenordsändring placeras i kö och nya försök görs enligt hanteringsagentens konfiguration för återförsöksintervall.The password change notification is queued and retried according to the management agent's configuration for retry attempt and retry interval. Alla lösenord krypteras när de lagras för återförsök och raderas när åtgärden lyckas eller gränsen för återförsök uppnås.All passwords are encrypted while they are stored for retry, and deleted when the operation succeeds or the retry limits are hit.

  • Aktivering av en varm standby-server som kör MIM efter ett fel – Om det blir fel på den primära servern som kör MIM kan du konfigurera en varm standby-server för lösenordssynkronisering och aktivera den utan att några lösenordsändringar går förlorade.Activating a warm standby server running MIM after a failure – In the case of the primary server running MIM failing, you can configure a warm standby server for password synchronization, and activate it with no loss of password changes. Mer information finns i MIISactivate: Server Activation Tool (MIISactivate: serveraktiveringsverktyg)For more information, see MIISactivate: Server Activation Tool

En del fel är så allvarliga att det inte är sannolikt att åtgärden lyckas oavsett hur många återförsök som genomförs.Some failures are serious enough that no amount of retries is likely to result in a successful operation. I dessa fall loggas en felhändelse och processen stoppas.In these cases, an error event is logged and the process is stopped. Nya försök görs inte för följande händelser:The following events are not retried:

HändelseEvent AllvarlighetsgradSeverity BeskrivningDescription
69196919 InformationInformation En åtgärd för lösenordssynkronisering utfördes inte på grund av att tidsstämpeln var för gammal.A password synchronization set operation was not performed because the timestamp was out of date.
69216921 FelError Åtgärden för lösenordssynkronisering bearbetades inte på grund av att lösenordshantering inte har aktiverats på hanteringsagenten som är mål.The password synchronization set operation was not processed because password management is not enabled on the target management agent.
69226922 FelError Åtgärden för lösenordssynkronisering bearbetades inte på grund av att lösenordshantering inte har konfigurerats på hanteringsagenten som är mål.The password synchronization set operation was not processed because password management is not configured on the target management agent.
69236923 VarningWarning Åtgärden för lösenordssynkronisering bearbetades eftersom anslutarplatsen som är mål inte gick att hitta i den anslutna katalogen.The password synchronization set operation was not processed because the target connector space object could not be found in the connected directory.
69276927 FelError Åtgärden för synkronisering av lösenord misslyckades eftersom lösenordet inte uppfyller målsystemets lösenordsprincip.The password synchronization set operation failed because the password does not satisfy the password policy of the target system.
69286928 FelError Åtgärden för synkronisering av lösenord misslyckades eftersom lösenordstillägget för målhanteringsagenten inte är konfigurerad för att ha stöd för åtgärder för lösenordsinställning.The password synchronization set operation failed because the password extension for the target management agent is not configured to support password set operations.

Användarbaserad hantering av lösenordsändringUser-based password change management

MIM tillhandahåller två webbprogram som använder Windows Management Instrumentation (WMI) för att återställa lösenord.MIM provides two web applications that use Windows Management Instrumentation (WMI) for resetting passwords. Liksom med lösenordssynkronisering aktiverar du lösenordshantering när du konfigurerar hanteringsagenten i hanteringsagentens designer.As with password synchronization, you activate password management when you configure the management agent in Management Agent Designer. Information om lösenordshantering och WMI finns i MIM för utvecklare.For information about password management and WMI, see the MIM Developer Reference.

MIM skapar två säkerhetsgrupper under installationen som specifikt stöder lösenordshanteringsåtgärderna:MIM creates two security groups during installation that specifically support password management operations:

  • FIMSyncBrowse – Medlemmar i den här gruppen har behörighet att samla in information om en användares konton under sökåtgärder med WMI-frågor.FIMSyncBrowse—Members of this group have permission to gather information about a user's accounts when doing search operations with WMI queries.

  • FIMSyncPasswordSet – Medlemmar i den här gruppen har behörighet att utföra åtgärder för kontosökning, lösenordsinställning och lösenordsändring med hjälp av gränssnitten för lösenordshantering med WMI.FIMSyncPasswordSet—Members of this group have permission to perform account search, password set, and password change operations using the password management interfaces with WMI.