Mobile-Menu

Cloud, Active Directory, HR, Datenschutz und Sicherheit Das sind die Herausforderungen der Benutzerverwaltung

Von Thomas Joos

Organisationen und Unternehmen stehen vor großen Herausforderungen, wenn es darum geht, die Benutzeranmeldungen im Netzwerk im Griff zu behalten. Active Directory, Cloudienste wie Azure und AWS aber auch SAP müssen unter Kontrolle gebracht werden. Wir zeigen, was wichtig ist.

Anbieter zum Thema

Mit Zusatztools ist es möglich, Benuterkonten von verschiedenen Abteilungen pflegen zu lassen und gleichzeitig auf eine gemeinsame Datenbank zuzugreifen.
Mit Zusatztools ist es möglich, Benuterkonten von verschiedenen Abteilungen pflegen zu lassen und gleichzeitig auf eine gemeinsame Datenbank zuzugreifen.
(Bild: FirstAttribute AG / Joos)

Der Trend, dass Organisationen nicht nur Ressourcen im lokalen Netzwerk zur Verfügung stellen, sondern auch Clouddienste nutzen, teilweise von verschiedenen Anbietern, geht weiter voran. Dazu kommen immer mehr Arbeitsplätze von Anwendern, die mobil oder im Homeoffice arbeiten und ebenfalls Zugriff auf alle Ressourcen im Netzwerk erhalten sollen. Gleichzeitig schaffen Organisationen immer mehr Arbeitsplätze, bei denen sich Anwender schnell an verschiedenen Orten anmelden müssen, um Zugriffe auf die verschiedenen Ressourcen zu erhalten, zum Beispiel in der Produktion oder direkt an Verkaufspunkten.

Das Active Directory spielt in den nächsten Jahren eine immer wichtigere Rolle

Hinzu kommen Anforderungen von der Personalabteilung/Human Resources für den Zugriff auf die Anmeldedatenbanken und die Pflege von Benutzerkonten. Es kommen häufig verschiedene Anmeldesysteme zum Einsatz, die aber zusammenarbeiten sollen; idealerweise sollen zudem auch Funktionen wie Single-Sign-On (SSO) genutzt werden. Zusätzlich müssen Anwender auch selbst in der Lage sein, Kennwörter zurückzusetzen, oder Daten zu pflegen, ohne jedes Mal die IT-Abteilung oder den Support des Unternehmens mit einbinden zu müssen. Active Directory stellt dazu die optimale Grundlage dar, benötigt aber zum Teil noch etwas Unterstützung, um allen Herausforderungen gewachsen zu sein.

Bildergalerie

Auch Dienste wie Microsoft Teams nutzen Anmeldedaten von Active Directory und können mit der Synchronisierung von Anmeldedaten aus lokalen Netzwerken dynamische Gruppen und dynamische Mitgliedschaften in Teams steuern. Wir haben uns bereits im Beitrag "So verknüpfen Sie Azure AD, Microsoft 365 und MS Teams" mit dem Thema auseinandergesetzt.

Vielfältige Anmeldemöglichkeiten, Datenaustausch mit Sicherheit und Datenschutz verbinden

Parallel zu den vielfältigen Anmeldeszenarien mit verschiedenen Datenbanken und Anmeldeorten von Anwendern steigen aber auch die Anforderungen an Sicherheit und Datenschutz. Es gibt immer mehr Angriffe auf Unternehmen, die auch auf die Anmeldungen von Benutzern zielen. Dazu kommen Vorgaben, wie die DSGVO, die den Datenschutz für Benutzer gewährleisten sollen. Datenschutz spielt nicht nur in der EU mit der DSGVO eine Rolle, auch viele andere Länder nehmen sich die DSGVO als Vorbild.

Beispiele dafür sind der California Consumer Privacy Act (CCPA) in den Vereinigten Staaten, das Lei Geral de Proteção de Dados Pessoais (LGPD) in Brasilien und der Protection of Personal Information Act (POPIA) in Südafrika. In Australien gibt es ebenfalls verschiedene Datenschutzgesetze, die auf ähnliche Vorschriften setzen, aber nicht einheitlich geregelt sind. Aus diesem Grund sollten sich internationale Unternehmen genauso wie kleine Organisationen damit auseinandersetzen, wie sie in Zukunft die Anmeldevorgänge im Netzwerk und die Speicherung und Pflege von Benutzerkonten optimal und sicher durchführen können. Das Active Directory ist in diesem Zusammenhang sicher die ideale Plattform für Benutzeranmeldungen und auch für Herausforderungen der Zukunft gewappnet.

Sicherheit und Schutz der Kennwörter mit Windows Hello for Business

Die Anforderungen an die Authentifizierungsmöglichkeiten von Benutzerkonten steigen auch bezüglich der Sicherheit immer weiter an. Kennwörter müssen genauso geschützt sein, wie die Benutzernamen und die Anmeldevorgänge selbst. Im Fokus von vielen Organisationen steht hier Active Directory, da das System sehr vielfältig eingesetzt werden kann. Gleichzeitig ermöglicht die Anmeldung mit Active Directory auch sichere Single-Sign-On-Szenarien (SSO).

Dazu kommen neue Technologien wie kennwortloses Anmelden, zum Beispiel über Windows Hello for Business. Microsoft erweitert ständig die Möglichkeiten von Active Directory sowie die Replikationsmöglichkeiten mit Azure Active Directory und die Zusammenarbeit mit anderen Systemen wie zum Beispiel auch SAP. Wichtig ist an dieser Stelle jedoch die richtige Pflege der Benutzerkonten und Gruppen.

Flexibilität von Anmeldedatenbanken und die Sicherheit müssen noch besser werden

Eines ist schnell klar, die Anmeldedatenbanken für Benutzerkonten spielen in Unternehmen eine immer wichtigere Rolle. Gleichzeitig müssen Flexibilität, Sicherheit und Datenschutz mit den Herausforderungen mitwachsen und auch die Anmeldung mit Active-Directory-Konten aus dem Internet und in der Cloud müssen gewährleistet sein. Greifen Anwender über ihre Benutzerkonten auf sensible Daten in der Cloud zu, zum Beispiel SAP, Datenbanken oder andere personenbezogene Daten, ist schnell klar, dass diese Daten optimal geschützt werden müssen.

Mit herkömmlichen Bordmitteln ist es kaum möglich die Daten in Benutzerkonten von Active Directory so zu pflegen, dass alle Daten korrekt in die richtigen Felder geschrieben werden und gleichzeitig auch vollständig ausgefüllt sind. Dazu kommen die Anforderungen der Personalabteilungen/Human Resources (HR), um selbst auf die Daten zuzugreifen oder auch selbst Zugriffe zu pflegen und Benutzerdaten einzutragen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Komplexe Szenarien erfordern einfache Lösungen – auch in Active Directory

In vielen Unternehmen ist es nicht mehr die Aufgabe von IT-Abteilungen, Benutzerkonten anzulegen und Zugriffe zu steuern. Häufig übernehmen verschiedene Abteilungen diese Aufgaben, auch Fachabteilungen oder die Personalabteilung/HR. Hier wird schnell klar, dass die Vorgänge zum Anmelden der Benutzerkonten möglichst einfach und effektiv sein müssen, da hier keine IT-Spezialisten die Benutzerkonten anlegen, sondern Anwender mit mehr oder weniger Erfahrung in der IT.

Dennoch müssen Sicherheit und Datenschutz genauso gewährleistet sein, wie richtige Einstellungen und korrekt gepflegte Felder in Active Directory. Wie soll das mit Bordmitteln gehen? Die Standardtools von Microsoft sind klar für IT-Profis ausgelegt, die genau wissen was sie ausfüllen und auf was sie achten müssen. Es müssen also einfache Lösungen her, mit denen sichergestellt ist, dass alle Daten richtig gepflegt werden und gleichzeitig auch automatische Vorgänge im Hintergrund ablaufen, die Gruppenmitgliedschaften, Rechte und Einstellungen genauso pflegen, wie es geplant ist.

Auch Wechsel von Abteilung und Position müssen schnell umgesetzt werden können, da Mitarbeiter flexibel zwischen Abteilungen wechseln und oft auch externe Fachkräfte eingebunden werden sollen. Neue Mitarbeiter müssen schnell in der Lage sein, sich am Netzwerk anzumelden, um auf die notwendigen Ressourcen zugreifen zu können. Es kostet viel Geld, wenn neue Mitarbeiter tagelang nicht auf Ressourcen zugreifen können, weil die Berechtigungen und Anmeldedaten noch nicht korrekt gesetzt sind.

Was sind die Lösungen für die Herausforderungen an Benutzeranmeldungen in 2022?

Um die Benutzerverwaltung zu steuern, helfen zentrale Tools, die dazu in der Lage sind, Active-Directory-Konten anzulegen, zu pflegen und gleichzeitig auch sicherzustellen, dass alle Daten vollständig vorhanden sind und von verschiedenen Anwendern eingetragen werden können. Dabei spielt es auch eine Rolle, dass die Pflege dieser Daten auch von Benutzern durchgeführt werden kann, die keine IT-Spezialisten sind. Beispiel für eine solche Lösung ist das webbasierte IDM-Portal von FirstWare.

IDM-Portal kann Active Directory auf eine neue Ebene heben

Das IDM-Portal ermöglicht eine umfassende Automatisierung von allen Aufgaben rund um das Identity Management und die Delegierung von Aufgaben in die Personalabteilung oder an andere Stellen des Unternehmens. Dabei wird das Active Directory als Speicherort genutzt, es sind keine zusätzlichen Datenbanken notwendig. Das ist das Interessante an dieser Lösung: Es kommt keine eigene Datenbank zum Einsatz, sondern das Active Directory ist das zentrale Element.

Unternehmen nutzen dadurch das Active Directory sehr viel effektiver und umfassender. Die vorhandene IT-Infrastruktur kommt zum Einsatz, und erhält dadurch einen deutlichen Mehrwert, ohne zusätzliche Investitionen. Eine eigene Software für die Verwendung des IDM-Portals muss nicht auf den PCs installiert werden, die Verwaltung erfolgt über einen Webbrowser. Ähnlich wie das Windows Admin Center von Microsoft, kann das IDM-Portal von FistWare zentral über eine Weboberfläche die Anmeldungen von Benutzern steuern, auch bei Zugriff auf die Cloud über Azure Active Directory.

Hier lassen sich die Daten über Azure AD Connect zwar zwischen Active Directory und Azure Active Directory synchronisieren, es gibt aber verschiedene Informationen und Daten, die in der Standardlösung nicht möglich sind. Beispiele dafür sind die Synchronisierung von Gruppen in der Art, dass diese auch sinnvoll in Microsoft Teams und anderen Bereichen einsetzbar sind.

Im IDM-Portal gibt es hier noch die Möglichkeit, parallel auf die Graph-API oder auf PowerShell-Skripte, Connectoren und Dienste wie DynamicSync zu setzen. Das IDM-Portal bietet hier eine wichtige Zentrale für die Pflege von Active Directory und Azure Active Directory.

Der Schwerpunkt zum Anlegen von neuen Benutzerkonten muss nicht die IT-Abteilung sein

Durch die Möglichkeiten des IDM-Portals kann der Schwerpunkt zum Anlegen von neuen Benutzern in die Personalabteilung (Human Resources, HR) und andere Abteilungen verlegt werden. Der Vorteil dabei ist, dass neue Mitarbeiter sofort mit ihrer Arbeit beginnen können, weil keine Informations- und Workflowkette notwendig ist. Viele Aufgaben können schneller erledigt werden, da Mitarbeiter nicht mehr in der IT-Abteilung anrufen müssen, um Änderungen für ihr Benutzerkonto vorzunehmen oder ein neues Konto anzulegen. Zum Teil können Benutzer auch selbst Daten ändern. Mit solchen Lösungen können Unternehmen bereits beim Anlegen von neuen Benutzerkonten in Active Directory einheitliches Identity Management durchführen.

Über Vorlagen und PowerShell-Skripte werden auch weiterführende Maßnahmen automatisch durch das IDM-Portal durchgeführt. Zu den Standardaufgaben, die mit dem IDM-Portal durchgeführt werden können, gehören die Verwaltung der Gruppenmitgliedschaften, das Anlegen von Postfächern auf Exchange-Servern, das Zuweisen von Berechtigungen und weitere Aufgaben, die sich im Netzwerk automatisieren lassen. Auch das Einbinden von eigenen PowerShell-Skripten ist problemlos möglich.

Fazit

Active Directory spielt auch in Zukunft eine wesentliche und zentrale Rolle für Workloads im lokalen Rechenzentrum, aber auch für Ressourcen in der Cloud. Durch die Synchronisierung mit Azure Active Directory erweitern sich die Möglichkeiten von lokalen Active-Directory-Umgebungen deutlich. Kommen Tools wie das IDM-Portal zum Einsatz, wird die Pflege der Daten einfacher, effektiver und gleichzeitig auch wesentlich sicherer. Es lohnt sich, auch in Zukunft auf Active Directory zu setzen und dabei darauf achten, dass alle Daten richtig gepflegt sind und somit alle Funktionen von Active Directory auch richtig genutzt werden können.

(ID:48106519)