AD Identity Management
Das Active Directory dient bei vielen Unternehmen als zentraler
Verzeichnisdienst. Hier werden die aktuellen Informationen der
Benutzerkonten bereitgestellt. Von Haus aus stellt das AD
allerdings wenig eigene Identity Management (IDM)
Möglichkeiten bereit.
Bei FirstAttribute führen wir seit vielen Jahren Projekte für
Active Directory und Identity Management durch. Für uns gehören
beide Themen zusammen. Wir zeigen Ihnen gern, wie Sie mit Ihrem AD
und wenigen Hilfsmitteln einzelne IDM-Funktionalitäten
bereitstellen.
Die Aufgaben des Active Directorys beziehen sich in der Regel
auf die Bereitstellung der Authentifizierung (wer
bin ich) und der Autorisierung (was darf ich).
IDM-Funktionalitäten implementieren wir als AD-Experten an
dieser Stelle schnell und kostensparend.
Nutzen Sie Ihr AD direkt für Ihr Identity Management, wir
unterstützen Sie dabei.
Active Directory und Identity Management Funktionalitäten
Identity Management ist für die FirstAttribute eine system- und
abteilungsübergreifende Gesamtaufgabe. Zusammengefasst geht es den
meisten Unternehmen um die Vereinfachung, Standardisierung und
Automatisierung von Abläufen der Benutzer- und
Identitätsverwaltung.
Das Active Directory ist dabei fast immer involviert.
Sie könnten auch den direkten Weg über Ihr AD nehmen...oder?
Klarheit: Zuerst das Ziel, dann die Aufgabe und die
Technik
Natürlich benötigen Sie eine geeignete Technologie um die
Automatisierungs- und Standardisierungsaufgaben zu erledigen. Diese
könnte Ihr AD sein.
Doch was ist eigentlich Ihr Ziel?
- Anwenderzufriedenheit?
- Kosten senken?
- IT-Administration entlasten?
- schnellere Prozesse?
- Stammdaten-Qualität erhöhen?
Identity Management ist nie Selbstzweck. Legen Sie zuerst klare
Ziele fest.
Wir halten mit Ihnen an Ihren Zielen fest, damit nicht die
Einführung einer Technologie zum Ziel wird, sondern der Nutzen für
Ihr Unternehmen.
Daraus ergibt sich, ob Sie ein IMS benötigen oder den schnellen
Weg über Ihr Active Directory nehmen können. Wir erklären Ihnen
gern die Unterschiede.
Lösungsweg: Identity Management System
Sie können die Aufgaben mit einem Identity Management System
lösen.
Dieses hat sehr viele Funktionen und benötigt sehr viel
Konfigurationsaufwand. Identity Management Systeme sind komplexe
Systeme mit einer langen Implementierungsdauer. In der Regel
erreichen Sie nach mehreren Jahren einen soliden Zustand und eine
hohe Integration verschiedener Systeme. Umfangreiche und sehr
detaillierte Anforderungen.
Wir unterstützen Sie gern bei Einführung und Betrieb bekannter
IDM-Systeme.
Lösungsweg: Alternative Active Directory
Aus den Erfahrungen unserer Kunden ist eine zeitnahe
Bereitstellung von 80% der Hauptfunktionalitäten
oft wichtiger als eine 100%-Lösung, die erst Jahre später
zum Tragen kommt - für die Reputation der IT und den erwarteten
Nutzen (ROI).
Wir schauen uns deshalb mit
Ihnen die Zielstellung zuerst "technikneutral" an:
- Was wollen Sie genau erreichen?
- Wie umfangreich sind Ihre Anforderungen?
- Welche Abhängigkeiten gibt es?
- Lassen sich im Vorfeld Schwierigkeiten wegkonstruieren?
- Welches Budget und welchen Zeitrahmen steht zur Verfügung?
Sofern die Anforderungen an IDM-Funktionalitäten in den
Bereichen Benutzerverwaltung und Berechtigungsautomatisierung
liegen, können wir Ihnen diese Funktionalitäten auf Basis des
Active Directorys schnell bereitstellen. Das kann die Integration
des Identity Management Portals oder die Integration von
dynamischen Gruppen sein.
Beispielsweise können Sie
folgende AD-IDM Funktionalitäten nutzen:
Welcher Lösungsweg ist der Richtige?
Unsere Erfahrung zeigt, dass beide Wege zum Erfolg führen
können.
Wir betreuen Großkunden, die unterschiedliche Wege
erfolgreich eingeschlagen haben.
Wir besprechen mit Ihnen gern die verschiedene Möglichkeiten.
Sie können gern mit uns in Kontakt treten.
Active Directory als Stammdaten-Repository
Stammdaten aktuell zu halten wird zukünftig immer wichtiger
werden. Berechtigungen werden zukünftig verstärkt aus
Benutzereigenschaften (z.B. DAC) ermittelt. Die einfachste
Möglichkeit dieses zu tun ist im Active Directory. Grund genug
darüber nachzudenken, ob AD nicht zum aktuellen
Stammdaten-Repository ausgebaut werden sollte.
Wir passen das Active Directory an Ihre Bedürfnisse an,
nicht Sie sich an die Technik.
Flexible Stammdaten im Active Directory
Das Active Directory eignet sich sehr gut um Stammdaten
bereitzustellen. Nach der Grundinstallation des ADs sind bereits
viele Attribute verfügbar, die einen Benutzer beschreiben. Neben
den persönlichen Attributen gibt es auch eine Reihe von
unternehmensbezogenen Attributen (Business-Attribute).
Viele Unternehmen nutzen nur eine geringe Anzahl an
Attributen.
Zum einen, weil viele Business-Attribute nicht bekannt sind, zum
anderen weil oft ein HR-System führend ist.
Grundsätzlich können Sie jedes Attribut auch im AD anlegen.
Sollte ein Attribut tatsächlich noch nicht vorhanden sein, können
Sie dies über eine Schema-Erweiterung nachholen.
Wenn Sie später weitere Systeme verbinden wollen, könnten Sie
jedes weitere Attribut auch im AD anlegen. Erfahren Sie mehr über
die Attribute und
Benutzerverwaltung.
Wichtigkeit der AD-Datenqualität in naher Zukunft
Die Bedeutung der AD-Stammdaten nimmt zu. Berechtigungen auf
Windows 2012 R2 File Servern können heute bereits
über Eigenschaften der Benutzerkonten gesteuert werden.
Zusätzlich verwenden immer mehr Firmen interne
Anwendungen oder Cloud Applikationen, bei denen die
Authentifizierung über SAML Token läuft. Die Token können dann
zusätzliche Eigenschafts-Informationen zur Steuerung von
Berechtigungen enthalten.
Microsoft stellt mit den Active Directory Federation
Services (ADFS) eine Infrastruktur bereit,
welche die Authentifizierung über SAML-Token ermöglicht.
Single-Sign-On und die Verbindung von Active
Directory mit anderen Systemen wird einfacher und kann auch für Sie
sehr interessant sein.
Definition des Attribute Flows
In jedem Identity Management Projekt muss definiert werden,
welche Attribute einen Anwender beschreiben und welche
Attribute zur Vergabe von Berechtigungen verwendet werden
sollen.
Auf Basis dieser Planung muss der Attribute-Flow definiert
werden, sodass klar wird, welches System welche
Attribute schreibend bearbeiten darf. Sollten mehrere
Systeme ein Attribut beschreiben können, muss eine Priorität
vergeben werden, sodass klar geregelt ist, welches System für das
spezielle Attribute das führende System ist.
Identity Management auf AD Basis
Sie möchten Identity Management auf der Basis Ihres Active
Directories gestalten. Wir zeigen Ihnen gern, welche Möglichkeiten
bestehen - und wie Sie bereits in kurzer Zeit diese Funktionen
nutzen können:
