Microsoft Forefront Identity Manager 2010 (FIM) bietet eine integrierte Lösung für die Verwaltung des gesamten Lebenszyklus von Benutzeridentitäten und deren Berechtigungen und kombiniert dabei Identitätssynchronisierung, Zertifikats- und Kennwortverwaltung sowie Provisionierung in einem Produkt.

Microsoft Forefront Identity Manager 2010 (FIM, bisher als "Identity Lifecycle Manager") kombiniert die Synchronisation von Identitäten, die Zertifikats- und Kennwortverwaltung sowie die Provisionierung von Benutzern in einem Produkt. (DemoVideo Teil 1).  

Self-Service-Funktionen für Endbenutzer bieten neue und effektive Möglichkeiten zur Lösung täglicher und wiederkehrender Arbeiten (z.B. Delegation der Verwaltung, Workflow-Erstellung). Das Beitreten zu Verteilergruppen sowie das eigenständige Rücksetzen von Kennwörtern lassen sich nun einfach bewerkstelligen (DemoVideo Teil 2).   

Durch die Integration von z.B. SharePoint in die Benutzerbezogenen Daten des Active Directory wird es immer wichtiger, Identitäten zentral zu pflegen. Da dies aber nicht die Aufgabe der IT-Abteilung ist, kann das Ändern von Telefonnummern, Vorgesetzten oder Büronummern an den Mitarbeiter gegeben werden.

Der FIM integriert über ein SharePoint-Portal diese Daten ins AD. ​ Der Forefront Identity Manager ist .NET- und WS.-basiert und ermöglicht Entwicklern, individuell angepasste, erweiterbare Lösungen zu erstellen.  

User Centric Management, so die Microsoft Strategie, die Identität eines Benutzers ins Zentrum der Verwaltungs- und Sicherheitsbemühungen jeder IT-gestützten Organisation zu stellen. Der Forefront Identity Manager 2010 stellt dazu die Werkzeuge bereit, die benötigt werden, um Benutzer-Identitäten zu provisionieren und über die heterogene IT-Landschaft hinweg konsistent zu halten.

Sychronisations-Dienst
Der FIM Synchronization Service übernimmt die Funktion eines Metadirectory, um die Identitäten, z.B. Username, Büro und Abteilung (Objekt mit Attributen), die eigtl. in verschiedenen Datenquellen wie z.B. der Personalabteilungsdatenbank und dem Active Directory liegen, übergeordnet zentral zu halten und automatisch zu synchronisieren. “Management Agenten” kommunizieren mit den externen Quellen über eine einheitliche Schnittstelle . Für jeden Agenten werden Regeln definiert, woher Attributwerte bezogen und wohin diese synchronisiert werden sollen. Die Daten des FIM Synchronization Services werden in einer SQL Server-Datenbank gespeichert.

FIM Portal
Das FIM Portal basiert auf SharePoint und erlaubt Konfiguration, Administratoren, wie z.B. Unternehmensrichtlinien zu definieren, Benutzer und Gruppen anzulegen und zu verwalten. Das Portal kann auch für den User Self-Service (z.B. Verwalten der eigenen Benutzerinformationen, Anlegen von E-Mail-Verteilerlisten) genutzt werden. Jede vorgenommene Aktion wird dabei als eine Anfrage (Request) behandelt. SharePoint stellt ein integriertes Autorenwerkzeug für die Definition der Regeln bereit (“Codeless Provisioning”).
Über ein Password Reset Portal (ebenfalls SharePoint-basiert) können unauthentifizierte Benutzer nach erfolgreichem Durchlaufen eines “Q&A Gates” (Frage/Antwort Folge) ihr Passwort selbstständig zurücksetzen, z.B. über die Windows Anmeldung, ohne dass die IT HelpDesk-Abteilung involiviert werden muss.

Es muss aber nicht zwangsweise das FIM Portal genutzt werden. Über Client Extensions können ausgewählte Funktionalitäten wie z.B. Genehmigungen erteilen oder Verteilergruppen beitreten in Outlook integriert werden.

Eine andere Erweiterung integriert das “Question & Answer Gate” zum Zurücksetzen eines Benutzer-Passworts in den Windows 7 oder Windows Vista Anmeldebildschirm. Auch hier muss also nicht zwangsläufig das Portal genutzt werden.

(Quelle)

Am besten ist das Produkt beschreibbar durch folgende DemoVideos (beide noch unvertont):

Typische Einsatzgebiete für FIM

• Abgleich mehrerer Quellen von Benutzerinformationen (Active Directory, SAP HR, Exchange, Lotus Notes, IBM Directory Server, Oracle DB, Novell eDirectory u.v.m.)
• Kopplung mit den Active Directory Federation Services 2.0 in Office 365
• Automatisieren der Benutzer-Bereitstellung
• Kriterien-basierte Mitgliedschaft in Sicherheitsgruppen (z.B. Mitarbeiter mit dem selben Manager)
• Abbildung von Genehmigungsprozessen (SharePoint/Outlook-Integration)
• Self-Service für das Zurücksetzen von Passwörtern (mit Integration in den Windows-Anmeldebildschirm oder über SharePoint-Portal) und die Pflege von Benutzerinformationen
• Self-Service für die Erstellung und Verwaltung von E-Mail Verteilergruppen und Beitritt zu E-Mail Verteilerlisten mit Outlook-Integration (inklusive Genehmigungsprozesse)