Sicherer Hybridzugriff in Active Directory und Azure AD
Ein sicherer Hybridzugriff ist in Active Directory und Azure AD möglich. Bei Hybrid-Zugriffen in Azure AD ist es möglich, dass Anwender auch auf ältere Anwendungen zugreifen können. Nicht alle Anwendungen unterstützen die modernen Technologien in Azure AD. Einige Programme nutzen noch Legacy-Authentifizierung. Dazu gehören Kerberos, NTLM, aber auch Zugriffe per RDP, LDAP oder SSH und formularbasierte Authentifizierung.
Mit dem Azure AD-Anwendungsproxy lassen sich Anmeldedaten aus Azure AD auch in lokalen Rechenzentren für Legacy-Apps nutzen. Dazu kommen Kooperationen von Microsoft, mit denen es möglich ist, mit Azure AD-Authentifizierung auch auf On-Premises-Anwendungen zuzugreifen, zum Beispiel auch auf SAP-Anwendungen.
Index
Azure AD mit Active Directory verbinden
Azure AD und Active Directory arbeiten eng zusammen. Bei einer Synchronisierung der Benutzerkonten und Gruppen zwischen lokalen AD-Umgebungen und Azure AD ist es möglich, Benutzerkonten aus Active Directory in die Cloud zu bekommen. Das hat den Vorteil, dass Legacy-Authentifizierungen, aber auch moderne Anmeldefunktionen aus Azure AD zum Einsatz kommen können. Die Anmeldedaten in Azure AD sind wiederum auch von Legacy-Anwendungen nutzbar. Dazu gibt es verschiedene Technologien.
Wir haben die mögliche Synchronisierung von lokalen Active Directory-Umgebungen mit Azure AD bereits im Beitrag „Azure AD Connect und Azure AD Connect Cloud Sync“ umfassend behandelt. Die Synchronisierung ist auch mit der kostenlosen Version von Azure AD möglich und auch bei der Synchronisierung von lokalen Umgebungen für Microsoft 365. Auch hier ist Azure AD über das Abonnement von Microsoft 365 lizenziert. In diesem Zusammenhang sollten Sie sich auch den Text „Azure AD Connect installieren“ genauer anschauen.
Im Zusammenhang mit einer optimal gelösten Synchronisierung zwischen Active Directory und Azure Active Directory lassen sich auch Single-Sign-On-Szenarien umsetzen. Das setzt ebenfalls ein richtig gepflegtes Active Directory voraus. Wie Sie solche Szenarien umsetzen, haben wir im Beitrag „Single-Sign-On in Microsoft 365 nutzen“ besprochen. Um weiterführende Funktionen aus Azure AD für die Authentifizierung von Legacy-Apps zu nutzen, spielt es daher eine sehr wichtige Rolle, dass die lokale AD-Umgebung so sauber gepflegt ist, wie nur möglich.
Optimale Benutzerverwaltung im Hybrid-Umfeld
Damit Benutzerkonten in Active Directory optimal, sicher und auch übersichtlich nutzbar sind, benötigen die meisten Unternehmen ohnehin eine Zusatzlösung, mit der sich die Verwaltung vereinfachen und sauberer durchführen lässt. Spätestens bei einer Synchronisierung mit Azure AD ist es nahezu unerlässlich, dass Active Directory mit Zusatzlösungen auf einem sauberen Datenbestand basiert. Unsere IAM-Lösung FirstWare IDM-Portal gehört zu den besten in diesem Bereich und vereinfacht die Benutzerverwaltung von AD und Azure AD, bei gleichzeitiger Verbesserung der Datenqualität.
Nur bei einer optimalen Pflege von Active Directory können die Benutzerkonten in Azure AD auch korrekt genutzt werden. Es ist sicherer – auch aus Gründen der Zuverlässigkeit, Stabilität und Benutzerzufriedenheit – die Pflege der Daten in einem speziellen System durchzuführen, das gleichzeitig auch noch in der Lage ist, die Gruppenzuordnungen richtig zu pflegen.
Synchronisierung von lokalen AD-Umgebungen mit Azure AD
Vorteile bei der Pflege von Benutzerkonten mit dem IDM-Portal
Durch das IDM-Portal geben Sie einen administrativen Rahmen vor, der die Sicherheitsanforderungen des Unternehmens abbildet. Bei einer freien, manuellen Administration durch den Administrator haben die Admin-Benutzer sehr viel mehr Freiheitsgrade und Möglichkeiten. Das stellt aber eher einen Nachteil dar. Denn dadurch entstehen Abweichungen zwischen den einzelnen Administrationsschritten. Nicht nur wenn Administrationsarbeit an weniger gut ausgebildetes Personal delegiert ist, bietet ein Portal die einzige Möglichkeit, über mehrere Personen hinweg ein hohes Maß der Durchsetzung von Administrations-Richtlinien zu ermöglichen.
Dabei spielt es keine Rolle, ob Sie AD, Azure-AD oder Hybrid-Umgebungen verwalten. Eine richtig vorgegebene Struktur entlastet Administratoren, Support-Mitarbeiter und schafft eine hohe Akzeptanz bei den Benutzern. Bei hybriden Zugriffen ist das besonders wichtig. Denn hier müssen sich die Benutzer darauf verlassen können, dass ihre lokalen Anmeldedaten auch in der Cloud funktionieren und umgekehrt. Das geht nur bei weitgehender Automatisierung der Pflege von Benutzerdaten über ein Portal.
SharePoint- und Teams-Zugriffe aus Active Directory
Zur Identitätsverwaltung gehört auch die Verwaltung von Gruppen. In einer hybriden Umgebung ist es schwierig, den Überblick zu behalten. Es ist ein Risiko für Ihr Unternehmen, wenn Mitarbeiter den falschen Zugang haben. FirstWare IDM-Portal bietet eine Lösung.
Erster Schritt: Die Verwaltung von AD-Gruppen
Die Verwaltung der AD-Gruppen erfolgt automatisch über das IDM-Portal. Pflegen Sie eine Abteilung oder einen Status und der User wird automatisch in die richtige Gruppe zugeordnet.
Schritt 2: Azure AD Connect
Mit Azure AD Connect werden Ihre AD-Gruppen in Azure synchronisiert. Es gibt jedoch ein Problem. Die Gruppen können nicht mehr bearbeitet werden, außer mit IDM-Portal.
Schritt 3: AD-synchronisierte Gruppen in Azure AD Gruppen synchronisieren
Gruppen, die mit AD Connect synchronisiert wurden, werden mit IDM-Portal automatisch in eine oder mehrere Azure AD-Gruppen (z.B. M365) Ihrer Wahl synchronisiert.
Ergebnis: Ändern Sie die Abteilung eines Benutzers, erhält dieser automatisch Zugriff auf das richtige Team. Lesen Sie dazu auch unseren Artikel „Teams-Mitglieder aus Abteilungsgruppen übertragen“.
Hybride Bereitstellungsszenarien bieten viele Vorteile – richtige Pflege vorausgesetzt
Bei korrekt gepflegten Daten aus Active Directory lassen sich Benutzeranmeldungen auch sicher in Azure AD nutzen. Dabei können Funktionen für die erweiterte Sicherheit, inklusive bedingte Zugriffe, Identity Protection und mehrstufige Authentifizierung zum Einsatz kommen. Diese Funktionen stehen dadurch auch für Legacy-Apps zur Verfügung.
In diesem Zusammenhang ist auch das einmalige Anmelden (Single Sign On, SSO) umsetzbar. Auch das funktioniert bei modernen Anwendungen und auch in hybriden Szenarien mit Legacy-Anwendungen. Dadurch entsteht eine zentrale Zugriffsverwaltung in Azure AD für alle Ihre Anwendungen. Datenbasis dafür ist das lokale AD, gepflegt mit Ihrem IDM-Portal.
Microsoft arbeitet mit verschiedenen Unternehmen zusammen, um nach der Authentifizierung in Azure AD und den unterstützten Sicherheitsmechanismen, inklusive Multifaktor-Authentifizierung, den Zugriff auf andere Cloud-Apps außerhalb von Azure AD zu nehmen. Über Netzwerk- und Delivery-Controller von Akamai, Citrix (ADC), F5 und Zscaler ist eine Anbindung an Lagay-Apps möglich. Auch hier gilt wieder, dass die Datenbasis (Active Directory und Azure AD) so sauber wie möglich gepflegt sein muss.
Microsoft bietet in Azure AD auch umfassende Möglichkeiten zur Authentifizierung von Legacy-Apps (Screenshot: Microsoft)
On-Premises-Apps mit Azure AD nutzen – auch SAP-Anwendungen
Microsoft zeigt auf seiner Seite „Sicherer Hybridzugriff in Azure Active Directory“ die Möglichkeit, auch eigene Legacy-Apps über diesen Weg anzubinden. Hier wird auch beschrieben, wie der Zugriff auf lokale Anwendungen mit dem Azure AD-Anwendungsproxy erfolgen kann. Parallel dazu ist es auch möglich, über diesen Weg mit On-Premises SAP-App zu arbeiten und die Anmeldung über Azure AD abzuwickeln.
Kontaktieren Sie uns, wenn Sie erfahren möchten, wie Sie Ihre Benutzerdaten mit Identity & Access Management on-premise und in der Cloud absichern können.