IAM- und HR-Systeme mit Active Directory koppeln

On- und Offboarding von Mitarbeitern neu gedacht IAM- und HR-Systeme mit Active Directory koppeln

22.06.2022 Von Thomas Joos

Anbieter zum Thema

Das Onboarding von neuen Benutzern bedeutet in vielen Netzwerken das mehrfache Anlegen von Benutzerkonten in verschiedenen Datenbanken. Das ist kompliziert, aufwändig, unsicher und sehr unflexibel. Es geht aber auch einfacher, der Beitrag zeigt, wie.

Durch die Verwendung eines IAM können Unternehmen einiges an Aufwand sparen und stellen eine korrekt gepflegte Datenbasis sicher.
(Bild: FirstAttribute AG)

Vor allem in mittleren und großen Unternehmen ist das Onboarding von neuen Mitarbeitern oft sehr komplex, weil die neuen Mitarbeiter erst umständlich in verschiedenen Systemen angelegt werden müssen. Dabei spielen auch verschiedene Abteilungen im Unternehmen eine Rolle, meistens die Personalabteilung (HR) und die IT sowie teilweise noch verschiedene Fachabteilungen.

Oft ist es notwendig, die Benutzer im HR-System anzulegen, parallel noch in Active Directory und beim Einsatz einer Cloudlösung auch hier noch. Obwohl es sich um die gleichen Daten, den gleichen Benutzer und die gleichen Anforderungen handelt, müssen mehrere Mitarbeiter im Unternehmen Zeit verschwenden, um Daten mehrfach zu pflegen.

Bildergalerie

Das Anlegen von Benutzerkonten mit dem IDM-Portal von Firstware kann Mitarbeiter entlasten, da die HR direkt in Active Directory die jeweiligen Daten pflegen kann.

Onboarding und Offboarding ist über externe Tools oft einfacher und effektiver steuerbar.

Am Beispiel des IDM-Portals lassen sich alle Vorgänge im Lifecycle von Benutzern zentral sicher verwalten. Bei einer großen Anzahl an Benutzerkonten ist das nahezu unerlässlich.

Dabei schleichen sich dann oft noch Schreibfehler und andere Probleme ein, die später nur umständlich zu korrigieren sind. Außerdem haben neue Mitarbeiter eine wesentlich längere Wartezeit, bis in allen Systemen die notwendigen Daten eingetragen sind und die Rechte entsprechend funktionieren. Sind an den Benutzerkonten Änderungen notwendig, geht der Vorgang von vorne los und kostet wieder verschiedene Mitarbeiter jede Menge Zeit, da Kontaktdaten und andere Informationen erneut an verschiedenen Stellen mehrfach gepflegt werden müssen.

Nutzen Unternehmen nicht die Synchronisierung zwischen Active Directory und Azure AD, sind auch hier mehrere Aktionen für das Anlegen notwendig. Es geht aber einfacher und besser. Grundlagen sollten ein vernünftiges Identity Access Management-System (IAM) und Active Directory sein. Wir zeigen nachfolgend, was das bringt.

Identity Access Management und Active Directory für einfache Benutzerverwaltung

Mit einem Identity Access Management (IAM) ist es einfacher, zentral Benutzer anzulegen und dabei primär auf eine ideale Datenbasis zu setzen. Active Directory ist hier das ideale Werkzeug. Sind die Benutzerkonten in Active Directory verfügbar, lassen sie sich optimal, sicher und flexibel für alle Anwendungen nutzen, die eine AD-Authentifizierung unterstützten. Hier spielt natürlich auch ein User Lifecycle Management eine wichtige Rolle, das Benutzerkonten von der Erstellung bis zum Löschen oder Archivieren unterstützt.

Ein IAM-System sollte zunächst über eine benutzerfreundliche Oberfläche verfügen, mit der auch Anwender arbeiten können, die nicht mit IT-Lösungen vertraut sind. Ein Beispiel dafür ist das IDM-Portal von Firstware. Ein Vorteil dieses Systems ist, dass nicht eine weitere Datenbank zum Einsatz kommt, sondern das IDM-Portal direkt auf Active Directory setzt. Dabei lassen sich die Aufgaben zum großen Teil auch vollständig automatisieren und mit Skripten optimieren. Die Pflege läuft über ein einfach zu bedienendes Webportal.

Hier können alle wichtigen Informationen eingetragen werden, die für das Onboarding eines Benutzerkontos notwendig sind. Das gilt übrigens auch für andere IAM-Systeme, die eine solch flexible Nutzung ermöglichen. Die HR-Abteilung kann in diesem Fall zum Beispiel über das IAM-System ein Benutzerkonto mit allen notwendigen Daten anlegen. Die IAM-Lösung, in diesem Fall das IDM-Portal speichert anschließend das Konto direkt in Active Directory. Der Vorteil dabei ist, dass der Benutzer gleich mit seiner Arbeit beginnen kann. In der IAM-Lösung sind alle Regeln hinterlegt, in welchen Gruppen ein Benutzer sein soll und welche Rechte er dabei erhält.

Anschließend kann das IAM-System im Hintergrund die Daten mit dem HR-System synchronisieren, damit auch hier die Daten erfasst sind. Dabei findet aber keine manuelle Pflege statt, sondern die Daten werden aus dem AD synchronisiert. Wichtig bei diesem Vorgang ist, dass das notwendige Benutzerkonto ohne komplexe Pflege schnell und unkompliziert zur Verfügung steht.

Nachträgliches Anpassen von Benutzerkonten ist problemlos möglich

Wenn anschließend noch Pflegemaßnahmen bezüglich einzelner Daten notwendig sind, zum Beispiel das Eintragen von Kontaktinformationen oder zusätzlichen Daten, die in einem Active-Directory-Konto hinterlegt werden können, kann das Sekretariat oder auch jede andere Abteilung mit entsprechenden Rechten im IAM-System diese Daten über das Portal direkt in Active Directory pflegen.

Auch hier ist der Benutzer nicht betroffen, er kann problemlos arbeiten, während notwendige Daten an einer zentralen Stelle eingetragen werden. Sind Synchronisierungen notwendig, läuft das im Hintergrund ab. Diese ganzen Vorgänge sparen deutlich Kosten und Zeit ein. Gleichzeitig erhöht sich die Zufriedenheit der Mitarbeiter, da das Anlegen einfacher und schneller geht. Neue Mitarbeiter sind zufriedener, da sie sofort mit ihrer Arbeit beginnen können. Gleichzeitig lassen sich dadurch auch Governance-Richtlinien besser einhalten.

Mitarbeiterdaten nur einmal in Active Directory pflegen

Durch die Möglichkeit, Benutzerdaten nur einmal pflegen zu müssen, ist das Onboarding mit einem IAM-System schneller und fehlerfreier abgeschlossen. Auch das Offboarding läuft schneller und sicherer ab. Doppelte Datenpflege ist nicht mehr notwendig, da alle Daten zentral im Active Directory gespeichert sind und von da auch in andere Dienste, wie zum Beispiel mit dem HR-System synchronisiert werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Wenn auch noch Clouddienste wie Microsoft Azure oder Microsoft 365 zum Einsatz kommen, können auch diese über kostenlose Tools von Microsoft direkt aus dem Active Directory synchronisiert werden. Auch hier lassen sich die Daten aus dem IAM-System übernehmen, da diese nicht in einer externen Datenbank gespeichert sind, sondern das Active Directory der zentrale Mittelpunkt aller Benutzerdaten ist. Die primäre Datenpflege erfolgt in diesem Fall direkt über das IAM-System in Active Directory.

HR-Datenbanken mit IAM-Systemen verbinden – SAP HR/HCM

Ein flexibles IAM-System bietet aber nicht nur die Möglichkeit, Daten über das eigene Portal direkt in AD anzulegen und in das HR-System zu synchronisieren. Das HR-System kann sich auch nach dem Anlegen über das IAM-System mit dem AD synchronisieren und die Vorgänge zum Anlegen von neuen Benutzerkonten automatisiert abwickeln. Auch hier ist das IDM-Portal ein gutes Beispiel dafür, wie ein IAM-System flexibel agieren kann und als Datenbasis auf Active Directory setzt.

Beim Einsatz von Systemen wie SAP HR/HCM ist es auch möglich, die Daten mit automatisierter Synchronisierung über das IAM-System mit Active Directory und anschießend zu Azure Active Directory zu synchronisieren. Wenn es IT-relevante Daten gibt, die das HR-System nicht kennt, ist es auch möglich, die Daten nach der Synchronisierung mit Active Directory über das IDM-Portal nachzupflegen. Dabei kann es sich um Berechtigungsgruppen handeln, um Lizenzen oder um Postfächer für Exchange oder Exchange Online in Microsoft 365.

Die nachträgliche Pflege dieser Daten kann wiederum zu Azure AD synchronisiert werden. Das HR-System benötigt diese Daten nicht, daher findet in diese Richtung keine Synchronisierung statt. Wichtig ist nur, dass der Benutzer nur einmal im HR-System angelegt wird und danach die Synchronisierung über das IAM-System mit dem Active Directory erfolgt.

Fazit

Um das Onboarding von neuen Benutzern effektiver, schneller und fehlerunanfälliger durchzuführen, ist ein Identity Access Management ideal – vor allem, wenn Active Directory als Datenbasis zum Einsatz kommt. Die Synchronisierung zum HR-System kann dann entweder durch das Identity Access Management erfolgen, oder das HR-System nutzt das Identity Access Management zum automatisierten Anlegen von Benutzerkonten in Active Directory. Das schafft eine einheitliche Datenbasis und stellt sicher, dass neue Mitarbeiter so schnell wie möglich arbeiten können, die gespeicherten Daten zu den Mitarbeitern in den richtigen Systemen korrekt gespeichert sind und gleichzeitig die Mitarbeiter durch das Anlegen neuer Benutzer nicht unnötig belastet werden.

(ID:48397615)