8 Min

Microsoft Identity Manager (MIM) und Privileged Access Management (PAM) bieten Unternehmen Werkzeuge, um den Zugriff auf privilegierte Konten zu verwalten und abzusichern. Eine MIM-PAM-Testumgebung ermöglicht es, die Funktionalität und Sicherheitsaspekte von MIM und PAM zu testen, bevor sie in einer Produktionsumgebung implementiert werden. Hier ist eine Übersicht darüber, wie diese Testumgebung aufgebaut und verwendet werden kann.

1. Was ist Microsoft Identity Manager (MIM)?

Microsoft Identity Manager (MIM) ist ein Identitäts- und Zugriffsverwaltungssystem. Es hilft Unternehmen dabei:

  • Identitäten über verschiedene Systeme hinweg zu verwalten
  • Benutzerrollen und Berechtigungen zu definieren
  • Automatisierte Workflows für die Verwaltung von Benutzerkonten und Zugriffen einzurichten

2. Was ist Privileged Access Management (PAM)?

Privileged Access Management (PAM) von Microsoft ist eine Sicherheitslösung, die entwickelt wurde, um den Zugriff auf hoch privilegierte Konten und sensible Systeme zu steuern. PAM hilft, den Zugriff auf administrative Konten zu sichern, indem:

  • Der privilegierte Zugriff auf Basis von Just-In-Time-Zugriffsrichtlinien gewährt wird
  • Spezielle administrative Forests oder Umgebungen erstellt werden, um kritische Systeme von regulären Active Directory (AD)-Umgebungen zu trennen

3. Warum eine Testumgebung für MIM und PAM?

Eine MIM-PAM-Testumgebung wird oft verwendet, um:

  • Neue Konfigurationen zu testen, bevor sie in der Produktionsumgebung angewendet werden
  • Sicherheitsfunktionen und potenzielle Angriffsvektoren zu simulieren
  • Änderungen in der Identitäts- und Zugriffskontrolle zu analysieren, ohne dass reale Daten gefährdet werden
  • Die Funktionalität von MIM und PAM in einer sicheren und kontrollierten Umgebung zu evaluieren

4. Komponenten einer MIM-PAM-Testumgebung

Die Einrichtung einer MIM-PAM-Testumgebung umfasst mehrere Komponenten, die miteinander interagieren:

A. Active Directory (AD)

Eine AD-Umgebung dient als primäre Quelle für die Verwaltung von Benutzerkonten und Berechtigungen. In einer Testumgebung wird oft ein isoliertes AD eingerichtet.

B. Privileged Access Management (PAM)-Forest

PAM implementiert häufig einen separaten PAM-AD-Forest, der nur für administrative Konten und sensible Aufgaben verwendet wird. Dieser Forest ist von der regulären AD-Umgebung isoliert, um den Zugriff besser zu kontrollieren.

C. Microsoft Identity Manager (MIM)

MIM orchestriert den Identitätslebenszyklus und die Verwaltung von Benutzerrechten. Es integriert sich mit AD und PAM, um Benutzern den Zugriff zu ermöglichen und Rollen basierte Zugriffskontrollen umzusetzen.

D. SQL Server

Für die Datenbank, in der MIM die Identitäts- und Zugriffsinformationen speichert, wird ein SQL-Server benötigt.

E. PAM Components

Die spezifischen PAM-Komponenten in einer Testumgebung umfassen:

  • PAM Trust: Ermöglicht die Verbindung zwischen dem regulären AD und dem privilegierten PAM-AD.
  • PAM Role: Spezifische Rollen, die den Zugang zu privilegierten Konten gewähren.
  • PAM Requests: Mechanismen, über die Benutzer zeitlich begrenzten Zugriff auf sensible Aufgaben anfordern.

5. Einrichten einer MIM-PAM-Testumgebung

A. Installation der Komponenten

  1. AD Domain Controller: Installiere eine AD-Domäne und setze einen Forest auf.
  2. SQL Server: Installiere SQL Server als Backend für MIM.
  3. MIM Service und Portal: Installiere den MIM-Dienst und das MIM-Portal, um Benutzerrollen und Workflows zu verwalten.
  4. PAM Environment: Richte den PAM-AD-Forest ein, der den privilegierten Zugriff isoliert.

B. Konfiguration von PAM

  1. Erstellen des PAM-Trusts: Setze eine Vertrauensstellung zwischen der regulären AD-Domäne und dem PAM-AD-Forest auf.
  2. Definieren von PAM-Rollen: Erstelle privilegierte Rollen, die temporären Zugriff auf sensible Konten oder Ressourcen gewähren.
  3. PAM-Workflows: Konfiguriere die Workflows, die festlegen, wie und wann Benutzer Zugriff auf privilegierte Rollen anfordern können.

C. Testen von Szenarien

  1. Szenario 1: Just-In-Time (JIT) Zugriff
    • Simuliere den temporären Zugriff auf ein administratives Konto durch einen Benutzer, der über das PAM-Portal einen Antrag stellt.
  2. Szenario 2: Role-based Access Control (RBAC)
    • Teste den Zugriff auf administrative Funktionen auf Basis der vordefinierten Rollen und der erteilten Berechtigungen.
  3. Szenario 3: Multi-Factor Authentication (MFA)
    • Implementiere und teste MFA, um den Zugriff auf privilegierte Konten zusätzlich abzusichern.

6. PAM-Sicherheitsfunktionen in der Testumgebung

In der MIM-PAM-Testumgebung kannst du die folgenden Sicherheitsfunktionen testen:

  • Just-In-Time (JIT) Privilege Elevation: Teste den zeitlich begrenzten Zugriff auf administrative Rollen, um das Risiko dauerhafter Rechte zu minimieren.
  • PAM Monitoring und Auditing: Stelle sicher, dass alle privilegierten Zugriffe protokolliert und überwacht werden.
  • PAM Role Approvals: Teste die Genehmigungsprozesse für den Zugriff auf administrative Konten.
  • Isolierte PAM-Forest Architektur: Überprüfe die Isolation des privilegierten AD-Forests von der regulären Umgebung.

7. Tools und Ressourcen zur Einrichtung der Testumgebung

Microsoft bietet verschiedene Tools zur Unterstützung der Einrichtung einer MIM-PAM-Testumgebung:

  • Microsoft PAM PowerShell Cmdlets: Diese helfen bei der Verwaltung und Automatisierung von PAM-Komponenten.
  • PAM Monitoring Tools: Überwachen und protokollieren den Zugriff auf privilegierte Konten.
  • MIM Portal: Ermöglicht die Verwaltung von Benutzern, Rollen und Genehmigungsprozessen.

8. Vorteile einer MIM-PAM-Testumgebung

  • Sicherheitstests: Teste alle Sicherheitsmechanismen, bevor du sie in der Produktionsumgebung aktivierst.
  • Fehleranalyse: Fehler oder Fehlkonfigurationen in einer isolierten Umgebung lassen sich einfach identifizieren und beheben.
  • Kompetenzaufbau: Teams können Erfahrungen mit MIM und PAM sammeln, bevor sie die Verwaltung von produktiven Identitäten übernehmen.

9. Fazit

Errors

Unable to create a PAM request (approval is required)

Der Fehler “Unable to create a PAM request (approval is required) after implementation of MIM 2016” in Microsoft’s MIM-PAM-Software tritt auf, wenn ein Benutzer versucht, einen privilegierten Zugriff anzufordern, der jedoch nicht gewährt werden kann, weil ein Genehmigungsprozess erforderlich ist, der nicht ordnungsgemäß konfiguriert oder abgeschlossen wurde.

Hintergrund des Fehlers

In Microsoft Identity Manager (MIM) 2016 mit Privileged Access Management (PAM) wird der Zugriff auf privilegierte Konten über Rollenanforderungen geregelt. Diese Anforderungen durchlaufen oft einen Genehmigungsprozess, um sicherzustellen, dass der Zugang zu administrativen Funktionen nur autorisierten Benutzern gewährt wird. Der Fehler deutet darauf hin, dass eine Genehmigung für die Rolle erforderlich ist, aber nicht ordnungsgemäß erteilt wurde.

Mögliche Ursachen des Fehlers

  1. Fehlende Genehmigungs-Workflows: Die PAM-Anforderung erfordert eine Genehmigung, aber der entsprechende Genehmigungs-Workflow ist nicht richtig konfiguriert.

  2. Genehmigungsrichtlinien-Fehler: Es könnte ein Problem mit der Genehmigungsrichtlinie (MPR – Management Policy Rule) geben, die festlegt, welche Schritte erforderlich sind, um die Genehmigung für den privilegierten Zugriff zu erhalten.

  3. Fehlende Genehmiger: Der Benutzer oder die Gruppe, die die Genehmigung erteilen sollte, ist nicht konfiguriert oder steht nicht zur Verfügung.

  4. Rollen-Konfiguration: Die PAM-Rolle, die beantragt wurde, erfordert eine Genehmigung, aber die zugehörige Konfiguration (z.B. die PAM-Richtlinie oder Genehmigungsregeln) ist unvollständig oder fehlerhaft.

  5. Verzögerungen im Workflow-Prozess: Der Genehmigungsprozess könnte sich verzögern oder in einer Warteschlange steckenbleiben, was dazu führt, dass die Anforderung blockiert wird.

Schritte zur Fehlerbehebung

  1. Überprüfen der Genehmigungs-Workflows:
    • Stelle sicher, dass der Workflow, der die Genehmigung der PAM-Anforderung steuert, ordnungsgemäß konfiguriert ist.
    • Vergewissere dich, dass die entsprechenden Genehmiger in der richtigen Rolle oder Gruppe zugewiesen sind.
  2. Überprüfung der Management Policy Rules (MPRs):
    • Überprüfe die MPRs, die mit der Rolle verbunden sind, die angefordert wurde. Stelle sicher, dass die MPRs korrekt konfiguriert sind und die Genehmigungsanforderung ordnungsgemäß auslösen.
  3. Prüfen der Gruppen- oder Benutzerzuweisung:
    • Überprüfe, ob der Benutzer, der die Genehmigung erteilen soll, ordnungsgemäß in der entsprechenden Gruppe oder Rolle registriert ist.
  4. Überprüfung von PAM-Richtlinien und Rollen:
    • Überprüfe die PAM-Richtlinie und stelle sicher, dass die richtige Genehmigungsregel für die beantragte Rolle zugewiesen ist.
  5. Überwachung der Workflow-Statusmeldungen:
    • Verwende das MIM-Portal oder entsprechende PowerShell-Cmdlets, um den Status des Workflows zu überprüfen. Wenn der Workflow steckenbleibt, prüfe die Ursachen wie Serververzögerungen oder Berechtigungsprobleme.
  6. Prüfen von Logs und Ereignisprotokollen:
    • Durchsuche die Ereignisprotokolle auf dem MIM-Server, um Hinweise auf spezifische Fehler im Zusammenhang mit dem Workflow oder der Genehmigungsanforderung zu finden.
  7. Testumgebung einrichten:
    • Wenn der Fehler weiterhin besteht, kann eine Testumgebung hilfreich sein, um die Konfigurationen Schritt für Schritt zu überprüfen, ohne die Produktionsumgebung zu beeinträchtigen.

MIM PAM sample web portal won’t open error 406

Der Fehler “MIM PAM sample web portal won’t open error 406” tritt auf, wenn das PAM Web-Portal nicht geöffnet werden kann und der Webserver den HTTP-Statuscode 406 Not Acceptable zurückgibt. Dieser Fehler bedeutet, dass der Server die Anfrage vom Client (Browser) nicht verarbeiten kann, weil der angeforderte Inhaltstyp oder die akzeptierte Sprache nicht unterstützt wird.

Ursachen des Fehlers “406 Not Acceptable”

Der HTTP-Fehlercode 406 wird normalerweise durch Probleme in der Konfiguration des Servers oder des Webportals verursacht. Die häufigsten Ursachen sind:

  1. Falsche Anfragen: Der Client fordert einen Inhaltstyp oder eine Sprache an, die der Server nicht bereitstellen kann. Dies könnte auf Probleme mit der Accept-Header-Konfiguration des Browsers oder Server-Einstellungen hindeuten.

  2. Webserver-Einstellungen: Der Webserver (IIS, der Internet Information Services Webserver, der für das MIM-PAM-Webportal verwendet wird) könnte so konfiguriert sein, dass bestimmte Content-Typen oder -Sprachen blockiert oder nicht akzeptiert werden.

  3. Fehlende Module oder Erweiterungen im IIS: Möglicherweise fehlen auf dem Server bestimmte IIS-Module, die für die Verarbeitung bestimmter Inhalte erforderlich sind.

  4. Falsche Konfiguration des PAM-Portals: Das MIM PAM Sample Web Portal könnte aufgrund einer inkorrekten Konfiguration, fehlerhaften Content-Negotiation-Einstellungen oder falsch installierter Abhängigkeiten nicht ordnungsgemäß arbeiten.

Schritte zur Fehlerbehebung

1. Überprüfung des IIS (Internet Information Services) Servers

  • IIS-Logs durchsuchen: Überprüfe die IIS-Logs (normalerweise unter C:\inetpub\logs\LogFiles) auf detaillierte Informationen über den Fehler. Suche nach Anfragen mit dem Fehler 406, um herauszufinden, welche Header oder Inhalte abgelehnt wurden.

  • Konfiguration von MIME-Typen: Stelle sicher, dass alle erforderlichen MIME-Typen (Multipurpose Internet Mail Extensions) im IIS korrekt konfiguriert sind. Falls ein angeforderter Dateityp nicht unterstützt wird, füge ihn hinzu:
    • Öffne IIS Manager.
    • Navigiere zu deinem PAM-Webportal.
    • Wähle “MIME Types” und überprüfe, ob alle relevanten Typen (wie .json, .xml usw.) konfiguriert sind.
  • Sprachen akzeptieren: Überprüfe die Konfiguration für Sprachannahmen in IIS und stelle sicher, dass der Server Anfragen in der vom Browser akzeptierten Sprache verarbeiten kann.

2. Überprüfung der PAM-Webportalkonfiguration

  • Web.config-Datei überprüfen: Überprüfe die web.config-Datei des PAM-Webportals auf mögliche Konfigurationsfehler. Achte besonders auf:
    • Die akzeptierten Content-Type-Header und andere Einstellungen, die für das Routing oder die Ausgabe von Inhalten zuständig sind.
    • Überprüfe, ob es Anpassungen im Bereich der MIME-Typen oder Content-Negotiation gibt, die das Problem auslösen könnten.

3. Browser-Einstellungen überprüfen

  • Accept-Header des Browsers prüfen: Manchmal liegt das Problem auf Client-Seite, insbesondere wenn der Browser einen Accept-Header sendet, der nicht kompatibel ist. Du kannst die Anfrage mit Entwicklertools (F12) im Browser überprüfen und sicherstellen, dass der angeforderte Inhaltstyp korrekt ist (z. B. application/json, text/html).

4. IIS-Module installieren

  • Installiere fehlende IIS-Module: Möglicherweise fehlen wichtige IIS-Module (wie ASP.NET oder das URL-Rewrite-Modul). Überprüfe, ob alle erforderlichen Module für das MIM-PAM-Webportal installiert sind:
    • Öffne IIS Manager und gehe zu “Modules”.
    • Vergewissere dich, dass alle benötigten Module vorhanden sind (z. B. ASP.NET-Module für die richtige Content-Ausgabe).

5. Überprüfung der Firewall/Antivirus-Einstellungen

  • Firewall/Antivirus blockiert Anfragen: Es besteht die Möglichkeit, dass eine Firewall oder ein Antivirus-Programm bestimmte Inhalte oder Anfragen blockiert. Überprüfe die Protokolle und deaktiviere vorübergehend die Firewall oder Antivirus-Software, um festzustellen, ob dies das Problem verursacht.

6. Kompatibilitätsmodus im Browser prüfen

  • Kompatibilitätsprobleme: Versuche, das PAM-Portal in einem anderen Browser oder im Inkognito-Modus zu öffnen, um sicherzustellen, dass keine Erweiterungen oder Cache-Probleme das Problem verursachen.

Fazit

Der Fehler “406 Not Acceptable” in MIM-PAM deutet darauf hin, dass der Server die Anfrage nicht verarbeiten kann, weil der angeforderte Inhaltstyp oder die Sprache nicht akzeptiert wird. Dies kann durch falsche Konfigurationen im IIS, fehlerhafte MIME-Typen oder Konfigurationen im PAM-Webportal verursacht werden. Durch das Überprüfen und Anpassen der IIS- und Webportaleinstellungen sowie der Browser-Anfragen lässt sich das Problem in der Regel beheben.

Updated: