Alle Unternehmen die den Microsoft Identity Manager (MIM) als Identity & Access Management Lösung im Einsatz haben wissen seit geraumer Zeit, dass dieses Produkt per 9. Januar 2029 (Stand vom Oktober 2024) End of Life sein wird. Details dazu unter dem folgenden Link: Microsoft Identity Manager 2016 - Microsoft Lifecycle | Microsoft Learn

Die meisten betroffenen Unternehmen sind sich der Problematik bewusst, meist ist aber kein konkreter Masterplan vorhanden wie damit umgegangen werden soll. Dies ist jedoch dringend empfohlen, um den Weg in den Ruhestand des Microsoft Identity Manager zu begleiten. Vermutlich liegt das daran, dass keiner wirklich an ein End of Life glaubt, da Microsoft dieses Ende schon mehrfach nach hinten verschoben hat.

Dennoch sollten betroffene Unternehmen früh genug anfangen mögliche Optionen zu prüfen, denn eine Evaluation oder gar eine öffentliche Ausschreibung mit allen Schritten (Anforderungserhebung, Offert Einholung, Präsentationen, Entscheidung inkl. aller Fristen) kann schnell 1 bis 2 Jahre in Anspruch nehmen. Die anschliessende Implementierung und Migration der bestehenden Umgebung werden sich ebenfalls in dieser Grössenordnung bewegen.

Kurz gesagt, es ist noch nicht zu spät aber diese 4 Jahre bis zum End of Life im Jahr 2029 sind schneller vorbei als ihnen als betroffenes Unternehmen lieb sein kann.

Dieser Bericht zeigt mögliche Szenarien, wie der Weg in den Ruhestand des Microsoft Identity Manager aussehen kann.

Greifen wir die erste, bereits in der Einleitung beschriebene Variante, direkt auf. Dies würde bedeuten, dass eine komplett neue IAM-Lösung gesucht wird, die bis im Jahre 2029 einsatzbereit sein soll. Für welche Unternehmen ist diese Lösung denkbar oder sinnvoll? Hier einige Schlüsselfragen, die bei der Beantwortung dieser Frage helfen können:

• Sind die aktuell im MIM implementierten IAM-Prozesse noch aktuell?
   
• Gibt es zusätzliche funktionale Anforderungen an das IAM System?
   
• Macht die IT-Strategie Vorgaben an die Plattform des neuen IAM Systems oder stellt Anforderungen, um die künftige Ausrichtung der IT zu unterstützen?
   
• Ist das Unternehmen bereit die Investitionen, die in den MIM-Umgebung gesteckt wurden abzuschreiben?

Meines Erachtens nach, wird bei den meisten Unternehmen vor allem der Schutz der Investitionen ein Kriterium sein, das zu Diskussionen führen wird, gerade dann, wenn es sich um eine MIM Umgebung handelt, die immer noch weiterentwickelt und ausgebaut wird.

Aus diesem Grund wird diese Option, ein komplett neues IAM-System anzuschaffen, bei den meisten Unternehmen nicht zuoberst auf der Wunschliste stehen. Ein solcher Neubau bedeutet doppelte Investitionen oder lange Change-Freeze-Perioden, was faktisch einer Schockstarre der IAM-Prozesse für viele Monate gleich kommt.

Die Lösung einer schrittweisen Ablösung geht in die Richtung, die Microsoft immer wieder gerne skizziert. Microsoft zeichnet die Zukunft ohne den Microsoft Identity Manager vorzugsweise mit den verschiedenen Entra ID Governance Funktionalitäten, allen voran mit den folgenden Funktionalitäten:

• LifeCycle Workflows ermöglichen grundlegende Lifecycle Prozesse mit einfachen Aktivitäten für den Joiner-, Mover- und Leaver-Event.
   
• Access Reviews ermöglichen es Organisationen Berechtigungszuweisungen sowie Applikationszugriffe effizient zu verwalten und diese regelmässig zu prüfen.
   

Für die Provisionierung und verschiedene hybride Szenarien können die weiteren Entra ID und Azure Komponenten genutzt werden. In diesem Szenario sieht eine Landschaft für das Identity Management wie folgt aus:

Mit diesen verschiedenen Komponenten kann es für Unternehmen mit einer klaren Cloud Strategie sinnvoll sein, eine schrittweise Pensum-Reduktion für den Microsoft Identity Manager anzustreben. Dies bedeutet, dass nach und nach Funktionalitäten und Services aus der MIM Umgebung durch Entra ID Komponenten ersetzt werden.

Dieses Szenario eignet sich vor allem für Kunden mit einer einfachen MIM Umgebung. Was ist unter einfach zu verstehen:

• Es gibt klare Prozesse und wenige Ausnahmen
   
• Es werden nur Standard-Objekte, wie User und Gruppen, verwaltet
   
• Für die Objekte gibt es klar definierte Import Schnittstellen aus Quellsystemen
   
• Das MIM Portal wird von den Endbenutzern nur eingeschränkt genutzt

Die Möglichkeiten für Custom Schemaerweiterungen und Formulare in den Entra ID Komponenten sind nicht oder nur sehr eingeschränkt vorhanden. Es besteht eine grosse und unkontrollierbare Abhängigkeit zu Microsoft und deren leider intransparenter Feature-Roadmap. Aus diesem Grund ist diese Variante nur für einfache Szenarien geeignet.

Diese Methode ist eine spannende Option für Kunden, die nicht alle oder gar keine ihrer Funktionalitäten durch die Entra ID Komponenten erledigen lassen wollen. Dennoch sollen die Investitionen in den Microsoft Identity Manager geschützt und die Implementierungen weiter genutzt werden können.

Für dieses Szenario bietet sich die Option mit dem Produkt IDABUS Identity Solution eine schrittweise Ablösung und Migration des Microsoft Identity Managers zu planen. Es handelt sich dabei um ein Produkt, das von der Design Idee auf den gleichen Grundsätzen wie der Microsoft Identity Manager basiert. Sprich es gibt auch Policies, Workflows und Sets, welche für die ganzen Business Logiken genutzt werden können. Einzelne Komponenten heissen etwas anders, so sind Sets beispielsweise XPath Templates und Policies werden Trigger genannt. Letzen Endes werden diese Komponenten aber gleich eingesetzt. 

Die Lösung basiert auf den Microsoft Azure Microservices und läuft im Azure Tenant des Unternehmens. Der Vorteil ist, dass die Datenhoheit in ihrem Tenant bleibt und auch alle Netzwerk Restriktionen durch die Administratoren des Unternehmens in der Azure Cloud festgelegt werden können.

Sie stellen sich nun die Frage, wie kann denn hier ein Wissenstransfer stattfinden? Dies ist mittels dem IDABUS Migration Tool problemlos und effizient möglich. Das IDABUS Migration Tool verarbeitet die Microsoft Identity Manager Konfiguration und transformiert diese in die IDABUS Syntax. Dies funktioniert, weil nicht nur die ganzen Activities weitestgehend gleich funktionieren, sondern auch ein vollständiger WAL-Support in der IDABUS Identity Solution gewährleistet ist.

Auch hier ist eine schrittweise, risikoarme Migration möglich, in dem zuerst nur das MIM Portal durch das IDABUS UI abgelöst wird. Dies kann in einem Parallelbetrieb passieren, so dass sich die End User Schritt für Schritt daran gewöhnen können. In einem nächsten Schritt wird begonnen die MIM Service Konfiguration zu migrieren. Dabei werden in der MIM Umgebung soweit möglich alle Migrationsfehler oder nicht mehr benötigten Komponenten ausgebaut oder behoben. Dieser Prozess ist iterativ und kann auch problemlos mit der Weiterentwicklung im MIM vereinbart werden. Es gibt einzelne kleinere Bausteine, die nach erfolgter Migration in IDABUS nachgebessert werden müssen, aber diese Aufwände sind natürlich nicht vergleichbar mit einem kompletten Neubau einer IAM-Lösung. Es können so viel schneller Verbesserungen in den Prozessen und weitere Anforderungen umgesetzt werden.

Die oben genannten Beispiele sind kombinierbar oder können durch weitere Lösungsansätze für die Planung des Ruhestands ergänzt werden.

Gerne steht IPG mit ihrer 360 Grad Expertise im IAM-Umfeld zur Verfügung. Als ausgewiesene Brownfield-Experten verstehen wir uns darauf, bestehende Systeme nahtlos in neue Lösungen zu überführen, ohne die laufenden Prozesse zu beeinträchtigen. Wir können gemeinsam mit ihren Entscheidungsträgern den Weg in den Ruhestand des Microsoft Identity Manager evaluieren und sie begleiten.

Buchen Sie jetzt einen Termin für ein kostenloses Beratungsgespräch oder eine IDABUS Identity Solution Demo.