AD Identity Management

Das Active Directory dient bei vielen Unternehmen als zentraler Verzeichnisdienst. Die Aufgaben beziehen sich in der Regel auf die Bereitstellung der Authentifizierung (wer bin ich) und der Autorisierung (was darf ich).

Active Directory und Identity Management gehören zusammen

Die FirstAttribute führt seit vielen Jahren Projekte für Active Directory und Identity Management durch. Für uns gehören beide Themen zusammen. Das AD stellt allerdings nur wenige eigene Identity Management (IDM) Möglichkeiten bereit.

Wir zeigen Ihnen gern, wie Sie mit Ihrem AD und wenigen Hilfsmitteln einzelne IDM-Funktionalitäten bereitstellen. Diese implementieren wir als IDM-Experten schnell und kostensparend.

Active Directory und Identity Management Funktionalitäten

Den meisten Unternehmen geht es bei Identity Management um die Vereinfachung, Standardisierung und Automatisierung von Abläufen der Benutzer- und Identitätsverwaltung. Das Active Directory kann die Technologie dafür sein, diese Aufgaben zu übernehmen. Doch ist Identity Management nie Selbstzweck, sondern ein Mittel zum Nutzen Ihres Unternehmens. Daher ist es sehr wichtig, zuerst Ihre individuellen Ziele klar zu definieren:

Was sind Ihre Ziele?

• Anwenderzufriedenheit?
• Kostensenkung?
• Entlastung der IT-Administration?
• Beschleunigung der Prozesse?
• Erhöhung der Stammdaten-Qualität?

Daraus ergibt sich, ob Sie ein Identity Management System benötigen oder den schnellen Weg über Ihr Active Directory nehmen können. Nachfolgend erklären wir Ihnen die Unterschiede:

Lösungsweg: Identity Management System

Sie können die Aufgaben mit einem Identity Management System lösen. Dieses hat zahlreiche Funktionen, benötigt als komplexes System jedoch eine lange Implementierungsdauer. Außerdem entsteht ein hoher Konfigurationsaufwand. In der Regel erreichen Sie nach mehreren Jahren einen soliden Zustand. Damit ist eine umfassende Integration verschiedener Systeme, sowie umfangreiche und detaillierte Anforderungen gemeint.

Lösungsweg: Active Directory

Aus den Erfahrungen unserer Kunden ist eine zeitnahe Bereitstellung von 80% der Hauptfunktionalitäten oft wichtiger, als eine 100%-Lösung, die erst Jahre später zum Tragen kommt – für die Reputation der IT und den erwarteten Nutzen (ROI).

Wir schauen uns deshalb mit Ihnen die Zielstellung zuerst „technikneutral“ an:

• Was wollen Sie genau erreichen?
• Wie umfangreich sind Ihre Anforderungen?
• Welche Abhängigkeiten gibt es?
• Lassen sich im Vorfeld Schwierigkeiten wegkonstruieren?
• Welches Budget und welcher Zeitrahmen steht zur Verfügung?

Sofern die Anforderungen an IDM-Funktionalitäten in den Bereichen Benutzerverwaltung und Berechtigungsautomatisierung liegen, können wir Ihnen diese Funktionalitäten auf Basis des Active Directorys schnell bereitstellen. Das kann die Integration unseres hauseigenen IDM Portals oder die Integration von dynamischen Gruppen sein.

Beispielsweise können Sie folgende AD-IDM Funktionalitäten nutzen:

• Delegation der Benutzerverwaltung
• Self Service (z.B. Telefon, Mobilnummer, Foto)
• Single Sign-on
• Zentrales Mitarbeiterverzeichnis (Telefonbuch)
• Automatisierung von Prozessen zur Benutzerverwaltung
• Automatisierung von Rollen, Verteilerlisten, Gruppen und Berechtigungsgruppen
• Datenaustausch mit anderen Systemen

Lösungsweg: IDM-Portal

Das IDM-Portal ist ein Identity Management System, das auf Ihrem AD basiert.

Mit dem IDM-Portal können Sie einfach und schnell eine höhere Datenqualität erreichen. Gleichzeitig lässt sich damit der Verwaltungsaufwand der Identitäten senken.

Das Portal bietet ihnen IDM Funktionalitäten, ohne lange Implementierungsdauer und ohne ein komplexes System.

Außerdem ist das IDM-Portal auch cloudbasiert und kann auf M365/Azure AD angepasst werden.

Welcher Lösungsweg ist der richtige?

Unsere Erfahrung zeigt, dass beide Wege zum Erfolg führen können.
Wir betreuen Großkunden, die unterschiedliche Wege erfolgreich eingeschlagen haben.

Sehr gerne besprechen wir mit Ihnen die verschiedenen Möglichkeiten.

Active Directory als Stammdaten-Repository

Stammdaten aktuell zu halten, wird immer wichtiger. Berechtigungen werden zukünftig verstärkt aus Benutzereigenschaften (z.B. DAC) ermittelt. Die einfachste Möglichkeit dieses zu tun, ist im Active Directory. Grund genug darüber nachzudenken, ob AD nicht zum aktuellen Stammdaten-Repository ausgebaut werden sollte.

Wir passen das Active Directory an Ihre Bedürfnisse an, nicht Sie sich an die Technik.

Flexible Stammdaten im Active Directory

Das Active Directory eignet sich sehr gut, um Stammdaten bereitzustellen. Nach der Grundinstallation des ADs sind bereits viele Attribute verfügbar, die einen Benutzer beschreiben. Neben den persönlichen Attributen gibt es auch eine Reihe von unternehmensbezogenen Attributen (Business-Attribute).

Viele Unternehmen nutzen nur eine geringe Anzahl an Attributen. Zum einen, weil viele Business-Attribute nicht bekannt sind. Zum anderen, weil oft ein HR-System führend ist.

Grundsätzlich können Sie jedes Attribut auch im AD anlegen. Sollte ein Attribut tatsächlich noch nicht vorhanden sein, können Sie dies über eine Schema-Erweiterung nachholen.

Wenn Sie später weitere Systeme verbinden wollen, könnten Sie jedes weitere Attribut auch im AD anlegen. Erfahren Sie mehr über die Attribute und Benutzerverwaltung.

Wichtigkeit der AD-Datenqualität in naher Zukunft

Die Bedeutung der AD-Stammdaten nimmt zu. Berechtigungen auf Windows 2012 R2 File Servern können heute bereits über Eigenschaften der Benutzerkonten gesteuert werden.

Zusätzlich verwenden immer mehr Firmen interne Anwendungen oder Cloud-Applikationen, bei denen die Authentifizierung über SAML Token läuft. Token können zusätzliche Eigenschaftsinformationen zur Steuerung von Berechtigungen enthalten.

Microsoft stellt mit den Active Directory Federation Services (ADFS) eine Infrastruktur bereit, welche die Authentifizierung über SAML-Token ermöglicht.

Single Sign-on und die Verbindung von Active Directory mit anderen Systemen wird einfacher und kann auch für Sie sehr interessant sein.

Definition des Attribute-Flows

In jedem Identity Management Projekt muss definiert werden, welche Attribute einen Anwender beschreiben und welche Attribute zur Vergabe von Berechtigungen verwendet werden sollen.

Auf Basis dieser Planung muss der Attribute-Flow definiert werden, so dass klar wird, welches System welche Attribute schreibend bearbeiten darf. Sollten mehrere Systeme ein Attribut beschreiben können, muss eine Priorität vergeben werden, so dass klar geregelt ist, welches System für das spezielle Attribute das führende System ist.

Identity Management auf AD Basis

Sie möchten Identity Management auf der Basis Ihres Active Directorys gestalten? Wir zeigen Ihnen gern, welche Möglichkeiten bestehen – und wie Sie bereits in kurzer Zeit diese Funktionen nutzen können.

Kontaktieren