Microsoft Identity Managerin (MIM) kehitys on päättynyt

Useat organisaatiot käyttävät edelleen Microsoft Identity Manageria, jonka elinkaari on päättynyt tammikuussa 2021. Mikäli käytössäsi on Azure AD Premium, saat jatketun tuen 2026 loppuun asti. Nyt on viimeistään hyvä aika aloittaa ajoissa selvitystyö, miten MIM:in toiminnallisuus korvataan.

Mitä keskeisiä toiminnallisuuksia MIM:ssä on? 

MIM on laajasti käytetty ratkaisu organisaation omassa konesaliympäristössä työntekijöiden ja mahdollisten kumppanikäyttäjien AD-pohjaisten käyttövaltuuksien hallintaan sekä synkronointiin ulkoisiin järjestelmiin. MIM tarjoaa toimintoja seuraavilla osa-alueilla:

  1. Identiteetinhallinta
  2. Ryhmien hallinta
  3. Salasanapolitiikkojen hallinta
  4. Säännöstöjen hallinta

Lisäosina MIM:ssa on ollut saatavilla muun muassa roolipohjaisten käyttövaltuuksien ja pääsynhallinta RBAC (jo vanhentunut BHOLD lisäosa), pääkäyttäjätunnusten hallinta (PAM), sertifikaattien hallinta sekä raportointi.

Lisäksi on hyvä huomioida, että MIM:ssä on puutteita hybridi- ja julkipilviympäristöön liittyvissä toiminnoissa, joita on saatavilla nykyaikaisissa pilvipohjaisissa IAM-ratkaisuissa:

  • salasanaton tunnistautuminen
  • raportointi ja auditointi
  • vaatimustenmukaisuus ja hallinta
  • käyttövaltuuksien sertifiointi
  • käyttöoikeuksien hallinta
  • pilvipohjaisten sovellusten käyttäjien sekä pääsyn-  ja käyttövaltuuksien hallinta

Voidaanko Azure AD:lla korvata MIM:n toiminnot?

Joitakin asiakkaan oman konesaliympäristöön liittyviä käyttövaltuuksien hallintaan koskevia toimintoja ei voida ratkaista Azure AD:yssa saatavissa olevilla toiminnoilla. Alla on muutamia esimerkkejä koskien perinteistä konesaliympäristöä:

  • Käyttövaltuuksien hallintaan ei ole suoraan tukea Azure AD:yssa kuten roolipohjainen pääsynhallinta (RBAC), kielletyt työyhdistelmät ja käyttövaltuuksien sertifiointi
  • Pääkäyttäjätunnusten hallinta (PAM)
  • Ohjemistopohjaisten sertifikaattien ja älykortteihin liittyvien sertifikaattien hallinta
  • Auditointi- ja raportointitoiminnot

Kustannuksiin liittyviä asioita, joita on syytä huomioida.

  • Lisenssikulut
  • Muut huomioitavat kustannukset
    • Alustan kulut
    • Palvelukatkot (https://status.azure.com/en-us/status/history/)
    • Integraatiokustannukset
    • Räätälöity koodi ja skriptit, tyypillisesti monimutkaisten käyttötapausten ja integraatioiden toteutus vaatii skriptausta esim. Powershellillä.
    • Ylläpitokustannukset
    • Käyttöönottokustannukset

Edellä mainittujen asioiden perusteella vastaus kysymykseen on kyllä ja ei. Jos ympäristöösi liittyy muita teknologioita kuin Microsoftin ekosysteemin tarjoamat palvelut, todennäköisesti Azure AD tarjoamat toiminnot eivät ole riittäviä. Lisäksi on hyvä huomioida mahdollisiin integraatioihin ja monimutkaisiin käyttötapauksiin liittyvät ylläpito- ja kehityskustannukset.

Miten tästä eteenpäin?

Seuraavilla toimenpiteillä pääset hyvin alkuun MIM migraation tiekartan laatimisessa:

  1. Harkitse ja laadi pilvistrategia.
  2. Käy läpi nykyinen MIM-toimintaympäristö ja kirjaa ylös sekä toiminnot että käyttötapaukset, joita MIM-kokoonpanolla tällä hetkellä ratkotaan. 
    1. Mitkä ovat tällä hetkellä käytössä olevat avaintoiminnot MIM-kokoonpanossa, ja ovatko ne pakollisia migraatiossa?
  3. Päivitä tai laadi yhteistyössä kumppanin kanssa identiteetinhallinnan kuvaukset ajan tasalle tavoitetilaa kohden: liiketoimintatavoitteet, identiteetin elinkaari, identiteetin tulo-, muutos- ja lähtöprosesit sekä käyttäjätarinat.
  4. Yllä olevan listauksen perusteella priorisoi toiminnot, jotka migratoidaan ja toteutetaan ensin. Pyri vähentämään riippuvuutta vaiheittain MIM-alustasta. 
  5. Suunnittele ja kytke MFA-kirjautuminen päälle pilvipohjaisiin ja oman konesaliympäristön sovelluksiin, mikäli näin ei vielä ole.
  6. Etsi ja arvioi korvaava ratkaisu.
  7. Aloita toimintojen toteutus valittuun ratkaisuun vaiheistetusti.

Jos tarvitset apua ja näkemystä MIM:n korvaamiseksi, otappa reippaasti yhteyttä meihin!

Eero Kaipiainen

Eero Kaipiainen