Anbindung Active Directory an SecuIAM

Active Directory Anbindung an SecuIAM

Drei Administrationsmöglichkeiten des Active Directory in SecuIAM

SecuIAM übernimmt die Provisionierung von Accounts diverser Zielsysteme. Neben der Anbindung von SAP S/4HANA und weiteren Systemen nimmt das Microsoft Active Directory (AD) den wohl größten Part der täglichen Administrations- und Provisionierungsaufgaben von SecuIAM ein. Durch eine stetige Weiterentwicklung sind in den letzten Jahren die folgenden drei Administrationsvarianten für das AD entstanden, die mithilfe von SecuIAM weitestgehend automatisiert provisioniert werden können.

  • Anbindung des lokalen AD (on-premises)
  • Anbindung eines lokalen AD und eines Azure AD im Hybridbetrieb
  • Anbindung des Azure AD an SecuIAM

Anbindung des lokalen AD

Anbindung des lokalen AD Active Directory Die klassische AD-Administration erfolgt in der Regel über eine Domänenstruktur im unter­nehmens­eigenen Netzwerk. Auch bei einer Organisation über diverse Domänen mit uni- und/oder bidirektionalen Trusts untereinander automatisiert SecuIAM die Anlage, Änderung, Berechtigung, Sperrung und Löschung sämtlicher AD-Accounts. Accounts und deren Berechtigungen werden durch die SecuIAM Reconciliation regelmäßig geprüft und Differenzen zur Auflösung angezeigt. Darüber hinaus kann automatisiert Filespace (wie Benutzer­verzeichnisse oder Abteilungs­laufwerke) angelegt und die User daran berechtigt werden. Durch die Option, Ressourcen für sich selbst oder andere Nutzende zu beantragen, ist es auch ohne Eingriff durch die Administration möglich, notwendige Zugriffe zu erhalten. Auch die Versorgung von Accounts mit Postfächern, Verteilergruppen und Shared Mailboxes via Microsoft Exchange ist realisierbar.

Anbindung eines lokalen AD und
Azure AD im Hybridbetrieb

Anbindung eines lokalen AD und Azure AD im Hybridbetrieb Der Vorteil des Einsatzes eines hybriden Betriebs, also einer Kombination aus der Verwaltung im lokalen sowie im Azure AD, besteht im Wesentlichen in der Bereitstellung von Diensten aus beiden „Welten“. So können nicht nur Filespace im firmen­eigenen Netzwerk angelegt und Berechtigungen vergeben, sondern auch Cloud-Dienste für Microsoft 365 genutzt werden. Postfachanlagen könnten z. B. direkt in Exchange Online erfolgen.

Grundsätzlich sind drei verschiedene Szenarien der Nutzung eines hybriden Modells denkbar, wobei eine Synchronisation zwischen dem Azure AD und dem lokalen AD über die Microsoft Azure AD Connect-Dienste erfolgt.

  1. Unidirektionale Synchronisation des lokalen AD nach Azure AD
  2. Unidirektionale Synchronisation des Azure AD in das lokale AD
  3. Bidirektionale Synchronisation zwischen Azure AD und dem lokalen AD

Die Provisionierung der Accountdaten und Verwaltung von AD-Objekten ist hier vom jeweiligen Nutzungsmodell abhängig und kann den Anforderungen des Kundenunternehmens entsprechend in SecuIAM modelliert und konfiguriert werden, um ein Höchstmaß an Automatisierung und Nachvollziehbarkeit zu erreichen. Natürlich können auch das lokale AD und Azure AD parallel und unabhängig voneinander verwendet werden.

Anbindung des Azure AD (cloud only) an SecuIAM

Anbindung des Azure AD (cloud only) an SecuIAM Bei Anbindung des Azure AD unterstützt SecuIAM die Administration durch die manuelle und vor allem automatisierte Anlage, Sperrung und Löschung von Azure AD-Usern. Aufgrund der zukünftig immer weiter ausgebauten Integration der M365-Services bietet SecuIAM neben der Basisprovisionierung von Azure AD-Usern zudem die Möglichkeit, Lizenzvergaben im M365-Umfeld über eine direkte Vergabe oder aber durch Sicherheitsgruppen zu steuern, die auch automatisiert über das Businessrollen-Modell zugeordnet werden können.

Veröffentlicht in blog.