Lesezeit ca. 13 Min.
arrow_back

Selbstbedienung


Logo von IT Administrator
IT Administrator - epaper ⋅ Ausgabe 8/2022 vom 29.07.2022

FirstWare IDM-Portal Professional Edition 2020.4

Artikelbild für den Artikel "Selbstbedienung" aus der Ausgabe 8/2022 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 8/2022

D ie deutsche FirstAttribute AG existiert seit 2001 und damit ungefähr so lange wie Microsofts Active Directory (AD). Das Unternehmen hat sich auf Consulting und Software rund um Verzeichnisdienste und Identitätsmanagement, insbesondere das Microsoft AD, spezialisiert. Dazu gehören auch hybride oder rein cloudbasierte Infrastrukturen mit Azure Active Directory (AAD). Neben der Unterstützung rund um den Einsatz der Bordmittel von Microsoft bietet FirstAttribute unter dem Label FirstWare selbst Software an, darunter das Werkzeug DynamicGroup, das bereits Gegenstand eines Tests im Oktober 2020 war [1]. Hatte sich DynamicGroup als praktisches Tool bei der automatischen Verwaltung von Berechtigungsgruppen und E-Mail-Verteilern erwiesen, spannt FirstAttribute den Bogen mit dem erstmals 2013 vorgestellten IDM-Portal deutlich weiter.

AD-Verwaltung per ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 8/2022 von Raus aus dem Teufelskreis. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Raus aus dem Teufelskreis
Titelbild der Ausgabe 8/2022 von Malvertising einmal anders. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Malvertising einmal anders
Titelbild der Ausgabe 8/2022 von Follina für Angriffe genutzt. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Follina für Angriffe genutzt
Titelbild der Ausgabe 8/2022 von Bessere Sicht. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bessere Sicht
Mehr Lesetipps
Blättern im Magazin
»Vertrauen muss immer wieder neu gewonnen werden«
Vorheriger Artikel
»Vertrauen muss immer wieder neu gewonnen werden«
Who is who
Nächster Artikel
Who is who
Mehr Lesetipps

... Webinterface

Das IDM-Portal stellt die Anwender und ihre Benutzerkonten in den Mittelpunkt, für die das AD als Datenbank dient und doch mit Bordmitteln allein kein umfassendes Identity-Management-System abbilden kann. Nur mit dem Active Directory fällt die Verwaltung sämtlicher Benutzerkonten mitsamt ihrer Gruppenmitgliedschaften auf die Administratoren zurück. Und dies, obwohl es in der Regel nicht im Ermessen der Admins liegt, wann neue Konten entstehen, wie lange diese existieren und welche Berechtigungen sie haben.

Hier setzt FirstAttribute mit dem IDM-Portal an. Das Portal verfolgt als grundlegende Idee, die Eingabe und Pflege von Benutzerstammdaten zu standardisieren und so weit wie gewünscht zu delegieren.

Die Software ergänzt das AD dazu um zusätzliche Funktionen für das Identitätsmanagement. Anstelle nur von Spezialisten handhabbarer Werkzeuge, wie der MMC "Active Directory-Benutzer und -Computer" oder des "Active Directory-Verwaltungscenter", möchte das Portal mit seiner Weboberfläche als Single-Point-of-Contact sowohl für Administratoren als auch Fachabteilungen und die Endanwender selbst fungieren.

Administratoren können über das Webfrontend des Portals sämtliche Tätigkeiten rund um das Benutzermanagement selbst erledigen oder standardisierte Aufgaben delegieren, ohne befürchten zu müssen, dass weniger IT-affine Anwender das AD in Unordnung bringen. Das intuitiv bedienbare Portal ermöglicht es etwa auch der Personalabteilung, Benutzer im AD anzulegen, deren Eigenschaften und Gruppenmitgliedschaften zu editieren sowie die Konten beim Ausscheiden aus dem Unternehmen wieder zu löschen.

Bei der Verwaltung von Accounts sorgt das Portal in Echtzeit für die Automatisierung, indem es etwa Attribute, wie Anzeige- oder Anmeldenamen, nach definierten Regeln vorbelegt oder etwa abhängig von Abteilungszugehörigkeit einen Standort zuweist. Weiterhin dürfen Endanwender definierbare Attribute und Eigenschaften ihrer Accounts im Self-Service selbständig pflegen, darunter persönliche Daten, wie ihre Adresse, Telefonnummer, Jobtitel oder auch den Raum.

Zwei Editionen, MFA nur bei Enterprise

All diese Funktionen zählen zum Umfang der Professional-Edition, die neben der grundlegenden Pflege der Accounts auch die Postfachanlage auf lokalen Exchange-Servern sowie in Microsoft 365 unterstützt. Die rollenbasierte Delegation von Berechtigungen (Role Based Access Control, RBAC) bildet das IDM-Portal auf Basis von Gruppenmitgliedschaften ab.

Hier schlägt es die Brücke zur Cloud, indem die Zuweisung von Lizenzen und Berechtigungen in der Welt von Microsoft 365 mittels via Azure AD Connect synchronisierter Gruppen erfolgt. Im Sinne der Compliance sorgt das IDM-Portal für ein nachvollziehbares Logging aller Ak-tionen. Weiterhin unterstützt die Professional Edition zeitgesteuerte Aktionen, wie die befristete Vergabe von Berechtigungen oder geplante Abwesenheiten. Bei plötzlicher ungeplanter Abwesenheit erlaubt es das Portal benannten Mitarbeitern in Stellvertretung, den Abwesenheitsassistenten zu aktivieren.

Die Enterprise-Edition umfasst sämtliche Funktionen der Professional-Edition, ergänzt um weitere Möglichkeiten. So erlaubt die Enterprise Edition die Implementierung mehrstufiger Genehmigungs-Workflows. Auch das Zurücksetzen des persönlichen Passworts wird ohne Interaktion mit dem IT-Service möglich. Das Portal für den Self-Service-Password-Reset (SSPR) schickt Benutzern, die einen Passwort-Reset auslösen, eine E-Mail oder SMS. Auf Wunsch integriert das Portal als zusätzliche Sicherheitsmaßnahme zuvor eine Genehmigung des Vorgangs durch einen Vorgesetzten und sichert den Prozess optional mittels Multifaktor-Authentifizierung (MFA) ab. Die Enterprise-Edition interagiert zudem entweder über Konnektoren oder generisch per CSV-Export/-Import mit HR-Systemen, wie dem von SAP. Dabei ist wahlweise das HR-System führend und schreibt Informationen ins AD oder das IDM-Portal übernimmt die führende Rolle und schreibt zurück ins HR-System.

Zu guter Letzt ist die Software DynamicGroup Bestandteil der Enterprise-Edition. Das IDM-Portal kümmert sich zwar auch allein bereits um Gruppenmitgliedschaften. Doch DynamicGroup macht die Verwaltung von Gruppen noch einmal deutlich flexibler, da es Benutzer auf Basis frei definierbarer Regelwerke dynamisch in Gruppen einsortiert und wieder daraus entfernt. Die Regeln erstellen Admins mithilfe eines Editors in Form von logisch UND sowie ODER verknüpften Abfragen von AD-Attributen oder direkt als Abfrage in der Syntax von LDAP-Filtern.

IIS, .NET und PowerShell als Basis

Das IDM-Portal ist als ASP.NET-Webapplikation auf Basis der Microsoft Internet Information Services (IIS) realisiert. Als Besonderheit benötigen beide Editionen des Portals, wie auch das Werkzeug DynamicGroup, keine separaten Datenbanken zur Speicherung der primären Informationen. Sie speichern sämtliche Daten zu Benutzern und Gruppen direkt im AD, also in einer sehr effizienten und ohnehin vorhandenen Datenbank, die sich bereits automatisch um Replikation, Hochverfügbarkeit und Lastverteilung kümmert – zumindest, wenn mehr als ein Domain Controller (DC) vorhanden ist.

Darüber hinaus verlangt das IDM-Portal zwar nach weiteren Datenbanken auf Basis des Microsoft SQL Servers. Hier reicht aber grundsätzlich auch die kostenfreie Express-Ausgabe. Das IDM-Portal nutzt diese Datenbanken lediglich zum Speichern der Loginformationen und für die Konfiguration des Automatisierungsdiensts. Sie sind aus Sicht der Endanwender im produktiven Betrieb nicht zwingend erforderlich. Sollten der Webserver des Portals oder die Datenbanken ausfallen, wären bis zur Wiederherstellung zwar keine Änderungen mehr möglich, alle Benutzer mit ihren Attributen und Gruppenmitgliedschaften blieben aber weiterhin verfügbar, da das AD als Speicher dient.

Das Portal verwendet unter der Haube weiterhin XML- und CSV-Dateien zur Konfiguration von Benutzeroberfläche und Attributen sowie PowerShell-Skripte zur Automatisierung von Aktionen, sodass Administratoren den Aufbau des Webfrontends und dessen Funktionen in hohem Maße anpassen können. Auf beides werden wir gleich zurückkommen.

Prozessorientierte Implementierung

Bei der Implementierung des IDM-Portals stehen laut FirstAttribute weniger technische Fragestellungen im Vordergrund als die Prozesse, denen der Lebenszyklus von Benutzerkonten im Unternehmen folgt. Typischerweise begleitet das Consulting des Herstellers die Einführung des Portals im Rahmen eines Projekts und implementiert die Umgebung gemeinsam mit dem Kunden. So hat uns FirstAttribute dankenswerterweise auch bei der Installation des Portals in unserer Testumgebung unterstützt.

Dazu hatten wir vorab exemplarisch ein überschaubares Szenario für den Test entworfen. So wollten wir drei Gruppen von Benutzern unterscheiden, zum einen die IT-Administratoren eines Unternehmens mit vollem Zugriff auf das AD, zum anderen die Personalabteilung (Human Resources, HR) und zu guter Letzt die Endanwender. Ziel sollte sein, dass das HR-Team Benutzer anlegen, editieren und in Gruppen einsortieren kann, während Endanwender nur jeweils einzelne Attribute ihrer persönlichen Accounts im Self-Service ändern und bestimmte Attribute anderer Nutzer, wie etwa die Telefonnummer, lesen dürfen. Für diese drei Kreise von Anwendern hatten wir entsprechend drei Berechtigungsgruppen im AD vorbereitet und an den Hersteller übermittelt, der uns neben Setuproutine und Lizenzdatei eine passende Grundkonfiguration für das Portal zur Verfügung stellte.

Windows-Rollen und SQL Server

Das Portal läuft auf allen derzeit von Microsoft unterstützten Serverversionen ab Windows Server 2012 R2 aufwärts. Im Hinblick auf die Hardware gibt sich das Portal bescheiden und verlangt zwei bis vier CPU-Kerne sowie acht bis 16 GByte Hauptspeicher. Wir installierten einen Member-Server mit dem aktuellen Windows Server 2022 und bereiteten das System auf die Implementierung des Portals vor. Dazu folgten wir der PDF-Dokumentation des Herstellers, die uns den passenden PowerShell-Befehl lieferte, um in einem Rutsch den Web-Server IIS mit allen nötigen Features zu installieren. Zusätzlich mussten wir aus dem Bereich der Remote Server Administration Tools (RSAT) noch mindestens die Kommandozeilen-Tools der AD DS Tools hinzufügen, da die PowerShell-Skripte des IDM-Portals die PowerShell-Cmdlets dieses Features nutzen.

FirstWare IDM-Portal Professional Edition

Produkt Software für das User-Management in hybriden Umgebungen mit AD und Azure AD.

Hersteller www.firstware.com/de/identity-management/ Preis Pro-Edition ab einem Euro pro Benutzer und Monat, Enterprise-Edition ab drei Euro pro Benutzer und Monat, Abrechnung pro Jahr. FirstAttribute AG

Projektpreise mit Consulting und Prozessberatung auf Anfrage.

Systemvoraussetzungen

Microsoft Windows Server ab 2012 R2, .NET-Framework ab 4.7.2, PowerShell ab 5.0, Active-Directory-Module für PowerShell, Internet Information Services (IIS) mit ASP.NET 4.5 und .NET 4.5 Erweiterbarkeit, SQL Server 2017 (auch Express-Edition) oder höher, aktueller Browser

Technische Daten www.it-administrator.de/downloads/ datenblaetter

Weiterhin installierten wir den SQL Server 2019 Express und legten im AD einen Funktionsbenutzer für den Zugriff auf die Datenbank sowie als Dienst-Konto für die Dienste des Portals und dessen Anwendungspool im IIS an. Im einfachsten Fall erhält der Funktionsbenutzer die Rechte eines Domänen-Admins, doch im Hinblick auf die Informationssicherheit ist eine restriktivere Rechtevergabe zu empfehlen.

FirstAttribute beschreibt dazu in der Dokumentation detailliert, wie die granulare Vergabe von Rechten funktioniert. Wir wiesen dem Funktionsbenutzer über die Objektverwaltung im AD nur die minimal erforderlichen Aufgaben der Benutzerverwaltung zu – und dies für genau die Organisationseinheiten, in denen die vom Portal gesteuerten Objekte lagen.

Flinke Installation des Portals

Nun konnten wir das Portal installieren. Die Setuproutine präsentierte uns die obligatorischen Lizenzbestimmungen und prüfte dann sämtliche Voraussetzungen.

Im nächsten Schritt konfigurierte der Assistent den IIS. Da es sich in unserem Fall um einen frisch installierten Webserver handelte, akzeptierten wir die vorhandene "Default Web Site" als Ziel, übergaben die von FirstAttribute bereitgestellte XML-Konfiguration sowie die Lizenz und bestimmten unseren Funktionsbenutzer als Service-Account für den IIS-Anwendungspool. Das Setup bot daraufhin an, ein selbstsigniertes Zertifikat für die Webseite zu erstellen.

Im nächsten Dialogschritt erzeugten wir die Datenbank für die Audit-Logs. Dazu benötigt der Assistent einmalig die Zugangsdaten eines Datenbank-Administrators, um die Datenbank zu erstellen und zu konfigurieren, sowie wiederum unseren Funktionsbenutzer für den späteren Zugriff. Den Funktionsbenutzer verwendeten wir in den folgenden Schritten auch als Service-Account für den IDM-Automation-Service und dessen Datenbank sowie für den PowerShell-Provider des Portals.

Die Installation war in wenigen Minuten erledigt, woraufhin wir uns am IDM-Portal anmelden konnten – im einfachsten Fall als gerade aktiver Windows-Benutzer mithilfe von Single Sign-on.

Suche für große Umgebungen

Die Elemente der Benutzeroberfläche und Möglichkeiten im Portal unterscheiden sich je nach Nutzergruppe. Den größten Funktionsumfang konnten wir erwartungsgemäß als Administratoren nutzen.

In der Oberfläche fanden wir uns intuitiv zurecht. Das IDM-Portal organisiert die Arbeitsfläche mittels eines horizontalen Menüs, unterteilt in die drei primären Arbeitsbereiche der Benutzer, Gruppen und Geräte. Hier konnten wir nach Objekten der jeweiligen Kategorie suchen.

Im Fall der Benutzer sucht das Portal entweder nach Anmeldenamen, Vornamen, Nachnamen, der Abteilung oder alternativ per "Smart Search" ähnlich einer Suchmaschine in einer konfigurierbaren Liste von Attributen gleichzeitig (Bild 1).

Alle zum Suchkriterium passenden Benutzer zeigte uns das Portal in einer Liste an, die wir sortieren, über Filter weiter eingrenzen und auch nach Excel exportieren konnten. Hier fiel uns zunächst auf, dass eine Suche nach dem Inhalt des Attributs "Abteilung" nicht möglich war und die entsprechende Spalte in der Ergebnistabelle leer blieb, obwohl das Attribut bei all unseren Testbenutzern gefüllt war. Dies konnte der Support von FirstAttribute ebenso einfach erklären wie auch lösen: Das IDM-Portal ist von Haus aus auf den Einsatz in großen Gesamtstrukturen mit mehreren Domänen ausgelegt und befragt daher bei der Suche den Global Catalog (GC), der wiederum ab Werk das Attribut "Abteilung" nicht enthält.

Somit blieb uns die Wahl, die Abteilungszugehörigkeit in den GC zu replizieren oder das Portal für die Suche in der Domäne zu konfigurieren. In unserer kleinen Umgebung mit nur einer Domäne entschieden wir uns für Letzteres. Nachdem wir in der XML-Konfigurationsdatei "C:\ inetpub\wwwroot\IDMPortal\web.config" die Einstellung "ForestMode" auf False geändert und den Anwendungspool des IIS recycelt hatten, funktionierte auch die Suche nach der Abteilung.

Aus der Liste der Suchergebnisse konnten wir direkt in die Detailansicht eines einzelnen Benutzers wechseln, dessen Attribute bearbeiten, das Konto in eine andere Organisationseinheit verschieben und seine Gruppenmitgliedschaften verändern.

In ähnlicher Weise verfuhren wir mit Gruppen und Geräten unter den entsprechenden Punkten im Hauptmenü mit dem Unterschied, dass das Portal hier keine smarte Suche anbietet, sondern in diesen beiden Kategorien Objekte nur anhand ihres Namens sucht. Auch das Anlegen und Löschen von Objekten funktionierte in allen drei Kategorien ohne Probleme.

Automatisierung mittels PowerShell

Unter dem Menüpunkt der Logs ließen sich anschließend alle Änderungen detailliert nachvollziehen. Der Punkt "Konfiguration" des Hauptmenüs umfasst drei Registerkarten. Hier aktivierten wir die Skripte zur Verwendung mit dem Power-Shell-Provider, wie etwa das Trigger-Skript "UserGenerateNames", das automatisch Anmelde- und Anzeigenamen für Benutzer in Abhängigkeit von deren Vor- und Nachnamen erzeugt.

FirstAttribute unterscheidet drei Arten von Skripten. Änderungen an Attributen sowie Klicks auf Schaltflächen im Portal lösen Trigger-Skripte aus, deren Ergebnisse unmittelbar in der Oberfläche sichtbar werden. Weiterhin existieren Pre- und Post-Skripte, die vor oder nach dem Anlegen, Bearbeiten oder Löschen von Objekten laufen. Der Hersteller liefert einige gut kommentierte Beispiele für Skripte sowie einen PDF-Leitfaden zu deren Verwendung mit, sodass sich PowerShell-Kundige schnell einarbeiten und die Skripte nach ihrem Bedarf anpassen können. Zu guter Letzt definierten wir das Design der Oberfläche im Hinblick auf Farben sowie Logo. Das dritte Register "Import" ermöglichte Export sowie Import unserer Konfiguration, worauf wir gleich zurückkommen.

Granular konfigurierbare Oberfläche

Indem wir uns in weiteren Browsersitzungen mit Testkonten der HR sowie der übrigen Nutzerschaft am Portal anmeldeten, konnten wir uns davon überzeugen, dass Mitgliedern dieser Gruppen jeweils ein angepasster Funktionsumfang der Oberfläche zur Verfügung stand. So hatten die Mitarbeiter der HR keinen Zugriff auf die Logs und die Konfiguration, konnten aber an Benutzern und Gruppenmitgliedschaften Änderungen vornehmen. Anwender außerhalb von IT und HR sahen dagegen nur den Menüpunkt "Benutzer" und durften auch nur lesend auf die Eigenschaften der übrigen Nutzer zugreifen, um etwa deren Adresse oder Telefonnummer aus dem Verzeichnis zu ermitteln.

Das Fundament hierfür hatte FirstAttribute mit der für uns vorbereiteten Grundkonfiguration gelegt, doch die Funktionen waren keineswegs statisch vorgegeben. Mithilfe des online unter "https://configurator.firstware.com" erreichbaren IDM-Portal-Configurators konnten wir sämtliche Optionen der Benutzeroberfläche frei konfigurieren und dabei auch im Detail die gewünschten Rollen modellieren. Eine solche Konfiguration bietet der Hersteller seinen Kunden als Dienstleistung an oder weist interessierte Nutzer in die Bedienung des Konfigurators ein, sodass sie selbst Hand anlegen können.

Die Oberfläche ist ähnlich aufgebaut wie das Portal selbst. Nach einer kurzen Einführung in die Bedienung fanden wir uns im Konfigurator schnell zurecht.

Unter dem Menüpunkt "Master-View" legten wir – unterteilt nach den drei Objekt-Typen der Benutzer, Gruppen und Geräte – fest, welche Attribute das Portal anbieten soll. So konnten wir etwa das Feld "Beschreibung" komplett aus der Eingabemaske entfernen oder neue Felder für die erweiterten Attribute der Schemaerweiterung von Exchange hinzufügen. Reichen die verfügbaren Attribute nicht aus, bietet FirstAttribute optional eine Schemaerweiterung um eigene erweiterte Attribute an.

Der Konfigurator zeigt alle ihm bekannten Attribute in einer Dropdown-Auswahl an und unterstützt die spätere Eingabe von Werten mit Validierungshinweisen und der Möglichkeit, die Eingabe mittels regulärer Ausdrücke zu prüfen. An dieser Stelle kommen auch die Trigger-Skripte zum Einsatz. So legte die Beispielkonfiguration fest, dass die Attribute "sn", "givenName" und "personalTitle" das PowerShell-Skript "User-GenerateNames" anstoßen, das beim Anlegen neuer Benutzer automatisch Anzeige- und Anmeldenamen bildet, dabei auch bereits existierende Benutzer mit identischen Namen berücksichtigt und die Anmeldenamen bei Bedarf um Zahlen ergänzt.

Der Bereich "Beschriftung" des Menüs enthält für den allgemeinen Teil sowie wiederum differenziert nach Benutzern, Gruppen und Geräten sämtliche Bezeichnungen für Menüs, Schaltflächen und Tabs der Oberfläche in Deutsch wie auch in Englisch und erlaubt, diese umzubenennen.

Rollen erlauben detaillierte Konfiguration

Unter dem Menüpunkt der "Rollen" fanden wir den mächtigsten Bereich der Konfiguration. Hier konnten wir die bestehenden Rollen bearbeiten und auch neue anlegen. Die Herausforderung ist dabei weniger technischer als organisatorischer Natur, denn es setzt sorgfältige Planung voraus, welche Rollen mit welchen Optionen im Unternehmen abzubilden sind.

Auch die Eigenschaften einer Rolle bestehen aus vier Registern für allgemeine Einstellungen sowie für die Benutzer, Gruppen und Geräte. Im Bereich "Allgemein" legten wir global fest, welche Bereiche des Hauptmenüs die Oberfläche überhaupt anzeigt und ob die Rolle in den jeweiligen Bereichen Objekte anlegen, ändern, löschen oder nur anzeigen darf. In den Bereichen der Objekttypen konnten wir dies dann noch verfeinern und für jedes einzelne Attribut bestimmen, ob die Rolle es lesen, schreiben oder gar nicht sehen darf.

So sind granulare Berechtigungsstrukturen im Unternehmen abbildbar. Nahezu jede denkbare Rolle bekommt einen genau auf ihren Bedarf zugeschnittenen Zugriff auf das AD, kann ihre Anpassungen im Self-Service vornehmen und die IT-Admins entlasten. Unter dem Punkt "Datenquellen" des Hauptmenüs konnten wir die Liste der im Portal bekannten AD-Attribute als CSV-Datei exportieren und auch wieder importieren – praktisch bei Schemaerweiterungen durch Drittanbieter. Weiterhin exportierten wir dort unsere Konfiguration, um sie im IDM-Portal wieder einzulesen und die Anpassungen an den Rollen zu übernehmen.

Feintuning per CSV

Weitere Details bildeten wir über die CSV-Templates unter "C:\inetpub\wwwroot\ IDMPortal\Config\Templates" ab. Die Vorlagen helfen dabei, die logische oder geografische Struktur der Organisation zu hinterlegen. Sie geben die möglichen Werte für Attribute, wie Firma, Abteilung und Adressangaben, vor und beugen so Fehlern durch manuelle Eingabe vor.

Wir konnten steuern, dass bestimmte Rollen nur einzelne Einträge aus der Liste der möglichen Firmenbezeichnungen sehen, dass die Auswahl einer Firma per Dropdown-Liste bestimmte Werte für das Attribut der Abteilung zur Folge hat und dass die Auswahl einer Abteilung automatisch Straße, Postleitzahl und Ort vorbelegt (Bild 2). Die Vorlagen helfen ebenso beim Konfigurieren von E-Mail-Postfächern und -Adressen, was wir allerdings mangels Exchange-Server in unserer Testumgebung nicht ausprobieren konnten.

Mit Genehmigung oder zeitgesteuert

Zu guter Letzt aktivierten wir die Automatisierung. Dazu hatte das Setup eine Verknüpfung zur separaten Konfigurationswebseite auf dem Desktop angelegt, auf der wir zwei Beispiele hinterlegten.

Diese hatte FirstAttribute für uns vorbereitet, zum einen eine einfache Genehmigung von Gruppenmitgliedschaften und zum anderen die zeitgesteuerte Ausführung von Aktionen.

Im Fall der Gruppenmitgliedschaften nutzt das Portal das "ManagedBy"-Attribut der jeweiligen Gruppe. Sobald wir hier einen zuständigen Benutzer konfiguriert hatten, konnten etwa Mitarbeiter aus dem HR-Team zwar neue Nutzer zu einer Gruppe hinzufügen. Die Änderung wurde aber erst aktiv, sobald der Manager der Gruppe die Änderung im Portal akzeptiert hatte.

Gegenüber der MMC "Active Directory-Benutzer und -Computer" bietet das Portal im Hinblick auf zeitabhängige Aktionen den Vorteil, dass Änderungen nicht nur über die Schaltfläche "Speichern" unmittelbar und dauerhaft wirksam werden.

Alternativ dazu konnten wir über die Schaltfläche "Planen" auf Wunsch auch einen künftigen Startzeitpunkt und optional auch ein Ende festlegen. Für die Mitgliedschaft in einer Gruppe bedeutete dies etwa, dass das Portal den Benutzer zum gewählten Zeitpunkt automatisch der Gruppe hinzufügte und auch wieder daraus entfernte. Das funktionierte ebenso für Änderungen an Gruppen und Gerätekonten sowie auch für das Anlegen neuer Objekte in einer der drei Kategorien.

Lediglich das Löschen von Objekten wird unmittelbar wirksam.

Fazit

Das IDM-Portal vereinfacht viele Verwaltungsaufgaben im lokalen Active Directory und entlastet so die IT-Administratoren.

Diese können typische Aktionen einfach automatisieren oder an Fachabteilungen und sogar die Endanwender selbst delegieren – dank Logging konform zu Vorgaben der Compliance. Die Steuerung von Gruppenmitgliedschaften adressiert dabei viele nachgelagerte Themen, wie die Vergabe von Zugriffsrechten auf Dateiserver und andere Ressourcen wie auch die Zuordnung von Lizenzen, lokal sowie im Azure AD.

Das setzt vor allem eine saubere Planung und Abbildung der organisatorischen Randbedingungen voraus. Letzteres gelingt mithilfe des Konfigurators sowie der Skripte und CSV-Vorlagen. Das IDM-Portal integriert sich so flexibel in nahezu jede Organisationsform, die lokal mit einem AD oder hybrid in Verbindung mit AAD unterwegs ist. Unternehmen, die bereits komplett in die Cloud migriert sind, bietet First- Attribute mit der Plattform my-IAM eine separate Lösung für das Identitätsmanagement an.(dr)

Link-Codes

[1] Artikel "Herdentrieb" in IT-Administrator 10/2020 m8t11