AD Identity Management

Das Active Directory dient bei vielen Unternehmen als zentraler Verzeichnisdienst. Hier werden die aktuellen Informationen der Benutzerkonten bereitgestellt. Von Haus aus stellt das AD allerdings wenig eigene Identity Management (IDM) Möglichkeiten bereit.

Bei FirstAttribute führen wir seit vielen Jahren Projekte für Active Directory und Identity Management durch. Für uns gehören beide Themen zusammen. Wir zeigen Ihnen gern, wie Sie mit Ihrem AD und wenigen Hilfsmitteln einzelne IDM-Funktionalitäten bereitstellen.

Die Aufgaben des Active Directorys beziehen sich in der Regel auf die Bereitstellung der Authentifizierung (wer bin ich) und der Autorisierung (was darf ich).

IDM-Funktionalitäten implementieren wir als AD-Experten an dieser Stelle schnell und kostensparend.

Nutzen Sie Ihr AD direkt für Ihr Identity Management, wir unterstützen Sie dabei.

---

Active Directory und Identity Management Funktionalitäten

Identity Management ist für die FirstAttribute eine system- und abteilungsübergreifende Gesamtaufgabe. Zusammengefasst geht es den meisten Unternehmen um die Vereinfachung, Standardisierung und Automatisierung von Abläufen der Benutzer- und Identitätsverwaltung.

Das Active Directory ist dabei fast immer involviert.
Sie könnten auch den direkten Weg über Ihr AD nehmen...oder?

Klarheit: Zuerst das Ziel, dann die Aufgabe und die Technik

Natürlich benötigen Sie eine geeignete Technologie um die Automatisierungs- und Standardisierungsaufgaben zu erledigen. Diese könnte Ihr AD sein.
Doch was ist eigentlich Ihr Ziel?

• Anwenderzufriedenheit?
• Kosten senken?
• IT-Administration entlasten?
• schnellere Prozesse?
• Stammdaten-Qualität erhöhen?

Identity Management ist nie Selbstzweck. Legen Sie zuerst klare Ziele fest.
Wir halten mit Ihnen an Ihren Zielen fest, damit nicht die Einführung einer Technologie zum Ziel wird, sondern der Nutzen für Ihr Unternehmen.

Daraus ergibt sich, ob Sie ein IMS benötigen oder den schnellen Weg über Ihr Active Directory nehmen können. Wir erklären Ihnen gern die Unterschiede.

Lösungsweg: Identity Management System

Sie können die Aufgaben mit einem Identity Management System lösen.
Dieses hat sehr viele Funktionen und benötigt sehr viel Konfigurationsaufwand. Identity Management Systeme sind komplexe Systeme mit einer langen Implementierungsdauer. In der Regel erreichen Sie nach mehreren Jahren einen soliden Zustand und eine hohe Integration verschiedener Systeme. Umfangreiche und sehr detaillierte Anforderungen.

Wir unterstützen Sie gern bei Einführung und Betrieb bekannter IDM-Systeme.

Lösungsweg: Alternative Active Directory

Aus den Erfahrungen unserer Kunden ist eine zeitnahe Bereitstellung von 80% der Hauptfunktionalitäten oft wichtiger als eine 100%-Lösung, die erst Jahre später zum Tragen kommt - für die Reputation der IT und den erwarteten Nutzen (ROI).

Wir schauen uns deshalb mit Ihnen die Zielstellung zuerst "technikneutral" an:

• Was wollen Sie genau erreichen?
• Wie umfangreich sind Ihre Anforderungen?
• Welche Abhängigkeiten gibt es?
• Lassen sich im Vorfeld Schwierigkeiten wegkonstruieren?
• Welches Budget und welchen Zeitrahmen steht zur Verfügung?

Sofern die Anforderungen an IDM-Funktionalitäten in den Bereichen Benutzerverwaltung und Berechtigungsautomatisierung liegen, können wir Ihnen diese Funktionalitäten auf Basis des Active Directorys schnell bereitstellen. Das kann die Integration des Identity Management Portals oder die Integration von dynamischen Gruppen sein.

Beispielsweise können Sie folgende AD-IDM Funktionalitäten nutzen:

• Delegation der Benutzerverwaltung
• User Self Service (z.B. Telefon, Mobil-Nummer, Foto)
• Single Sign-on
• Zentrales Mitarbeiterverzeichnis (AD Telefonbuch)
• Automatisierung von Prozessen zur Benutzeranlage, -veränderung und -löschung
• Automatisierung von Rollen, Verteilerlisten, Gruppen und Berechtigungsgruppen im Active Directory
• Datenaustausch mit anderen Systemen

Welcher Lösungsweg ist der Richtige?

Unsere Erfahrung zeigt, dass beide Wege zum Erfolg führen können.
Wir betreuen Großkunden, die unterschiedliche Wege erfolgreich eingeschlagen haben.

Wir besprechen mit Ihnen gern die verschiedene Möglichkeiten. Sie können gern mit uns in Kontakt treten.

---

Active Directory als Stammdaten-Repository

Stammdaten aktuell zu halten wird zukünftig immer wichtiger werden. Berechtigungen werden zukünftig verstärkt aus Benutzereigenschaften (z.B. DAC) ermittelt. Die einfachste Möglichkeit dieses zu tun ist im Active Directory. Grund genug darüber nachzudenken, ob AD nicht zum aktuellen Stammdaten-Repository ausgebaut werden sollte.

Wir passen das Active Directory an Ihre Bedürfnisse an, nicht Sie sich an die Technik.
 

Flexible Stammdaten im Active Directory

Das Active Directory eignet sich sehr gut um Stammdaten bereitzustellen. Nach der Grundinstallation des ADs sind bereits viele Attribute verfügbar, die einen Benutzer beschreiben. Neben den persönlichen Attributen gibt es auch eine Reihe von unternehmensbezogenen Attributen (Business-Attribute).

Viele Unternehmen nutzen nur eine geringe Anzahl an Attributen.
Zum einen, weil viele Business-Attribute nicht bekannt sind, zum anderen weil oft ein HR-System führend ist.

Grundsätzlich können Sie jedes Attribut auch im AD anlegen. Sollte ein Attribut tatsächlich noch nicht vorhanden sein, können Sie dies über eine Schema-Erweiterung nachholen.

Wenn Sie später weitere Systeme verbinden wollen, könnten Sie jedes weitere Attribut auch im AD anlegen. Erfahren Sie mehr über die Attribute und Benutzerverwaltung.
 

Wichtigkeit der AD-Datenqualität in naher Zukunft

Die Bedeutung der AD-Stammdaten nimmt zu. Berechtigungen auf Windows 2012 R2 File Servern können heute bereits über Eigenschaften der Benutzerkonten gesteuert werden.

Zusätzlich verwenden immer mehr Firmen interne Anwendungen oder Cloud Applikationen, bei denen die Authentifizierung über SAML Token läuft. Die Token können dann zusätzliche Eigenschafts-Informationen zur Steuerung von Berechtigungen enthalten.

Microsoft stellt mit den Active Directory Federation Services (ADFS) eine Infrastruktur bereit, welche die Authentifizierung über SAML-Token ermöglicht.

Single-Sign-On und die Verbindung von Active Directory mit anderen Systemen wird einfacher und kann auch für Sie sehr interessant sein.

---

Definition des Attribute Flows

In jedem Identity Management Projekt muss definiert werden, welche Attribute einen Anwender beschreiben und welche Attribute zur Vergabe von Berechtigungen verwendet werden sollen.

Auf Basis dieser Planung muss der Attribute-Flow definiert werden, sodass klar wird, welches System welche Attribute schreibend bearbeiten darf. Sollten mehrere Systeme ein Attribut beschreiben können, muss eine Priorität vergeben werden, sodass klar geregelt ist, welches System für das spezielle Attribute das führende System ist.

---

Identity Management auf AD Basis

---

Sie möchten Identity Management auf der Basis Ihres Active Directories gestalten. Wir zeigen Ihnen gern, welche Möglichkeiten bestehen - und wie Sie bereits in kurzer Zeit diese Funktionen nutzen können: