Unternehmensweites
Identity Management
mit dem Firstware IDM-Portal im Griff
Ein umfassender Blick auf die technische Funktionsweise
einer IAM-Lösung, die Ihre vorhandene IT effektiv nutzt.
Unternehmensweites
Das FirstWare IDM-Portal — Technischer Überblick
Eine Betrachtung aus Sicht der Technik, IT-Infrastruktur und Innvestitionen
Mit dem webbasierten IDM-Portal 2020 von firstattribute können Organisationen ihr komplettes, unternehmensweites Identity Management (IDM) auf Basis von Active Directory und AAD zentral, einheitlich, effektiv und vor allem schnell erlernbar durchführen. Dazu zählt auch die Delegierung von Aufgaben in die Personalabteilung oder an andere Stellen des Unternehmens.
- Dabei wird das Active Directory als Speicherort genutzt,
es sind keine zusätzlichen Datenbanken notwendig. - Die vorhandene IT-Infrastruktur wird umfassend genutzt, und erhält dadurch einen deutlichen Mehrwert, ohne zusätzliche Investitionen tätigen zu müssen.
- Unternehmen nutzen dadurch das Active Directory sehr viel effektiver und umfassender.
- Für die Hochverfügbarkeit setzen Sie auf die Standardmittel in Windows-Servern.
Die komplette, vorhandene IT-Infrastruktur kann dazu genutzt werden.
Das IDM-Portal ermöglicht eine umfassende Automatisierung von allen Aufgaben rund um das Identity Management
Der IDM-Portal Ansatz
FirstWare IDM-Portal ist eine webbasierte Software zum einfachen Identitätsmanagement.
Sie nutzen Ihre vorhandene Infrastruktur und schonen Zeit, Geld und Nerven.
Vorhandene IT-Infrastruktur nutzen
Sie benötigen:
Active Directory, M365, AAD
Anwender in den Mittelpunkt setzen
Sie benötigen:
Ihre Anwender
IDM für Anwender
etablieren
Sie benötigen:
FirstWare IDM-Portal
Eine Oberfläche — hoher Automatisierungsgrad
Hinter der bedarfsangepassten Oberfläche für einzelne Nutzergruppen stecken umfassende Automatisierungsmöglichkeiten
Die Weboberfläche zum Anlegen oder Anpassen von neuen Benutzern ist sehr einfach gehalten.
Die meisten Aufgaben werden im Hintergrund durchgeführt.
Die Oberfläche des IDM-Portals ist dazu bewusst einfach gehalten, sodass auch Anwender die Aufgaben durchführen können, die ansonsten keine umfassenden IT-Kenntnisse haben. Schulungen sind für die Mitarbeiter nicht notwendig, da die Vorgehensweise zum Anlegen von neuen Benutzerkonten oder Änderungen unkompliziert vorgenommen werden.
Unternehmensweites Identity Management bereitstellen
Das IDM-Portal nutzt die bestehende IT-Infrastruktur und ermöglicht unternehmensweites Identity Management
Eine eigene Software für die Verwendung des IDM-Portals dazu muss nicht auf den PCs installiert werden, der Zugriff erfolgt über einen Webbrowser.
Dadurch kann der Schwerpunkt zum Anlegen von neuen Benutzern in die Personalabteilung (Human Resources, HR) und andere Abteilungen verlegt werden.
Der Vorteil dabei ist, dass neue Mitarbeiter sofort mit ihrer Arbeit beginnen können, weil keine Informations- und Workflowkette notwendig ist.
Die Personalabteilung und andere Abteilungen können durch den Einsatz des IDM-Portals die IT-Abteilung deutlich entlasten.
Aufgabenteilung über das gesamte Unternehmen hinweg
Viele Aufgaben können schneller erledigt werden, da Mitarbeiter nicht mehr in der IT-Abteilung anrufen müssen, um Änderungen für ihr Benutzerkonto vorzunehmen oder ein neues Konto anzulegen. Die meisten Daten können selbst geändert werden, oder durch andere Abteilungen, die mit wenigen Klicks Berechtigungen oder andere Einstellungen bei Benutzerkonten ändern können. Änderungen werden genau an und von der Stelle vorgenommen, wo sie notwendig sind, also in der jeweiligen Abteilung. Administratoren und Support-Mitarbeiter sind für diese Änderungen nicht notwendig.
Das IDM-Portal entlastet die IT-Abteilung und verbessert deutlich den Prozess zum Anlegen und Ändern von Benutzerkonten.
Anwender müssen nicht wissen, was technisch im Hintergrund abläuft
Die notwendigen Schritte, die zum Neuanlegen von Benutzern oder zum Ändern von Benutzerkonten erforderlich sind, werden im Hintergrund durch das IDM-Portal automatisch durchgeführt. Dazu werden Vorlagen und PowerShell-Skripte genutzt, die transparent zum Einsatz kommen und auch jederzeit angepasst oder erweitert werden können.
Benutzer, die das IDM-Portal nutzen, sehen nur die Bereiche, die sie ausfüllen müssen. Die anderen Bereiche und Aktionen laufen im Hintergrund ab und werden im Vorfeld durch die IT-Abteilung definiert. Wenn ein Benutzer ein Benutzerkonto anlegt, kann das IDM-Portal zum Beispiel automatisiert die richtige Syntax für Anmeldenamen, E‑Mail-Konto oder Telefonummern hinterlegen. Anwender können dadurch Aufgaben von Administratoren übernehmen, die sich wiederum um wichtige Aufgaben in der Infrastruktur kümmern können.
Das Pflegen von Mitarbeiterdaten wie Fotos, Telefonnummern, Adresse und andere Möglichkeiten ist delegierbar. Die Benutzer können selbst die Daten pflegen, die in Active Directory zur Verfügung stehen sollen. Dazu nutzen sie ein Webportal, das an die CI von Unternehmen angepasst werden kann. Gleichzeitig erhalten Unternehmen durch diese Self Service-Funktionen auch zusätzliche Funktionen, wie ein Webportal für die Mitarbeiter oder ein internes Telefonbuch. Die Anwender sehen die Informationen im Webportal, für die sie berechtigt sind.
Das IDM-Portal für Anwender nutzen
Durch die Replikation in andere Systeme, wie zum Beispiel Azure Active Directory, stehen die Anmeldedaten überall da zur Verfügung, wo sie benötigt werden. Die zentrale Stelle zur Änderung und Verwaltung der Benutzer bleibt Active Directory. Das System nutzt Technologien wie Azure AD Connect, um die Anmeldedaten auch mit Microsoft Azure oder Microsoft 365/Office 365 zu synchronisieren. Gleichzeitig werden Administratoren deutlich entlastet, da Sie das System nur einrichten und zentral steuern müssen.
Identity Management mit Active Directory und Azure Active Directory
Mit dem IDM-Portal können Unternehmen bereits beim Anlegen von neuen Benutzerkonten in Active Directory einheitliches, unternehmensweites Identity Management durchführen. Viele Aufgaben, die beim Anlegen von neuen Benutzern notwendig sind, können von Administratoren über das IDM-Portal problemlos delegiert werden. Das Anlegen können auch berechtigte Anwender von anderen Abteilungen im Unternehmen durchführen. Da Skripte und Vorlage im IDM-Portal dafür sorgen, dass die Syntax von Benutzernamen, Gruppen und anderen Objekten immer einheitlich sind, lassen sich neue Objekte wie Benutzer sehr schnell und unkompliziert anlegen, bei gleichzeitig sauberer Datenbasis.
Dabei besteht der Umfang des IDM-Portals nicht nur darin Benutzerkonten zu erstellen und einzurichten:
- Über Vorlagen und PowerShell-Skripte werden auch weiterführende Maßnahmen
automatisch durch das IDM-Portal durchgeführt. - Das IDM-Portal basiert auf .NET und bietet einen integrierten PowerShell-Provider.
- Das ermöglicht eine flexible und transparente Erweiterung der Funktionen
über Standard-Technologien, wie Vorlagen auf Basis von CSV-Dateien oder PowerShell-Skripte.
Gruppen, Berechtigungen und Postfächer auf Echange (Online)
Zu den Standardaufgaben, die mit dem IDM-Portal durchgeführt werden können, gehören die Verwaltung der Gruppenmitgliedschaften, das Anlegen von Postfächern auf Exchange-Servern, das Zuweisen von Berechtigungen und vieles mehr.
Die Aufgaben lassen sich flexibel an Ihr Unternehmen anpassen.
Basis dafür sind Vorlagen (CSV-Dateien) und PowerShell-Skripte.
Alle Prozesse, die zum Anlegen von neuen Benutzerkonten gehören, lassen sich mit dem IDM-Portal umfassend automatisieren. Dazu nutzen Sie entweder die bereits erwähnten Vorlagen oder PowerShell-Skripte. Sie können auch steuern an welcher Stelle der Prozesse die Skripte ausgeführt werden sollen, zum Beispiel automatisch nach dem Anlegen eines neuen Benutzerkontos.
PowerShell-Integration: Selber machen oder Experten holen
Wer sich mit der PowerShell etwas auskennt, kann eigene Skripte in die Prozesse integrieren und deren Ausführung mit dem IDM-Portal automatisieren. Die meisten Aufgaben, die das IDM-Portal durchführt, werden bei der Einrichtung zusammen mit den Spezialisten von firstattribute definiert.
Natürlich können Sie jederzeit Anpassungen vornehmen und die Funktionen erweitern. Ein besonderer Vorteil dabei besteht darin, dass Administratoren diese Aufgaben an Benutzer delegieren können. Aktionen, die im IDM-Portal durchgeführt werden, protokolliert das Portal. Die Protokolle können bei Audits verwendet und auch zur Überwachung genutzt werden.
Einheitliches Identity Management auch mit Azure AD und Microsoft 365
Das IDM-Portal setzt nicht auf proprietäre Technologien, sondern nutzt Funktionen, die Microsoft in Windows, Active Directory, Azure und Microsoft 365/Office 365 integriert hat. Neben Microsoft Azure oder Microsoft 365/Office 365 können auch andere Systeme integriert werden, die mit Anmeldedaten aus Active Directory arbeiten.
Die Systeme profitieren von der sauberen Datenbasis und dem effektiven Betrieb von Active Directory:
- Für die Automatisierung werden Vorlagen verwendet,
deren Inhalt die Verantwortlichen im Unternehmen überprüfen, anpassen und erweitern können. - Außerdem werden PowerShell-Skripte genutzt, die sich auf Anforderung erweitern lassen.
- Auch eigene PowerShell-Skripte können in das Portal ohne Umwege integriert und aktiviert werden.
- Dazu stehen im IDM-Portal Bereiche zur Verfügung, mit denen Skripte an verschiedenen Stellen der Vorgänge ausgeführt werden können.
- Das Anlegen von Freigaben mit den dazu notwendigen Berechtigungen können im IDM-Portal ebenfalls über Skripte und Vorlagen vorgenommen werden.
Um die Benutzerkonten in Azure oder Microsoft 365/Office 365 zu nutzen, können die Benutzerkonten mit dem Windows-Tool Azure AD Connect zwischen Active Directory und Azure Active Directory synchronisiert werden. Durch die Einbindung von Standard-Tools in das IDM-Portal ist sichergestellt, dass alle Aufgaben nachvollziehbar, schnell und sicher ablaufen.
Unterschied von IDM-Portal zu einem Identity Management System
Im Gegensatz zu einem Identity Management System (IMS) liegt der Schwerpunkt des IDM-Portals nicht auf den hinterlegten Prozessen, Konnektoren und Funktionen. Die Daten liegen beim Einsatz eines IMS auch innerhalb des IMS selbst. Das IDM-Portal macht bestehendes Daten für unternehmensweites Identity Management nutzbar.
Hierbei gibt es große Unterschiede zwischen IMS und dem IDM-Portal:
- Das IDM-Portal fokussiert sich Benutzerfreundlichkeit, ist sehr schnell einsatzbereit und
wird als Frontend und Schnittstelle zu Active Directory genutzt. - Dazu nutzt das IDM-Portal keine proprietäre Technologin, sondern setzt auf Microsoft-Technologien, die im Unternehme im Einsatz sind
(Active Directory, Azure, Microsoft 365, Office 365, Azure AD Connect, PowerShell und Exchange). - Dadurch kann das System einen deutlichen Mehrwert aus den eingesetzten Systemen holen.
Über den Autor
Dieser Artikel entstand in Zusammenarbeit mit Thomas Joos. Der Autor kennt die Herausforderungen der Microsoft-Welt und des Identitätsmangement aus vielen Sichten. So arbeitete er als IT-Administrator, selbstständiger Consultant und IT-Leiter.
Zu seinen technischen Schwerpunkten zählen:
Windows Server, Microsoft 365, Exchange und Active Directory
Als Autor veröffentlichte er über 100 Fachbücher (u.a. Microsoft Press) und eine Vielzahl von Fachartikeln.
