RBAC - Role Base Access Control
Cloud basierte Zugriffssteuerung, um kritische Funktionen innerhalb Ihrer Organisation zu kontrollieren und zu steuern. Wer hat Zugriff, in welcher Ausprägung (Lesen, Ändern, Vollzugriff), auf welche IT Ressource, zu welcher Zeit, etc.
Conditional Access
Der "Bedingte Zugriff" ermöglicht Ihnen "Signale" zu erkennen, Zugriffsversuche zu automatisieren oder manuell zu prüfen und im Anschluss Apps und Daten den kontrollierten Zugriff zu ermöglichen.
Kennworthashsynchronisierung
AD DS speichert Kennwörter in Form einer Hashwertdarstellung des tatsächlichen Benutzerkennworts. Der ursprüngliche MD4-Hash wird nicht an Azure AD übertragen, stattdessen der SHA256-Hash des ursprünglichen MD4-Hashs.
SSO - Single Sign On
Durch die nahtlose Anmeldung in fast alle Online & viele On Premise Systeme, erleichtern Sie den Nutzern den Umgang mit neuen modernen Tools und Apps. Wenn Sie es richtig machen, auch in Ihrer On Premise Umgebung!
Passthrough-Authentifizierung
Mit der Azure AD-Passthrough-Authentifizierung (Azure Active Directory) können sich Benutzer mit denselben Kennwörtern sowohl an lokalen als auch an cloudbasierten Anwendungen anmelden.
Modern Auth
In der Microsoft Cloud werden moderne Authentifizierungs- Methoden verwendet: "Windows Hello", "Authenticator APP", FIDO2. OATH, SMS, etc. Sie haben selbst die Möglichkeit festzulegen, welche Methoden Sie einsetzen.
Was ist IAM und Azure Active Directory?
Die meisten IT’ler kennen den klassischen On Premise Active Directory Verzeichnisdienst.
Sobald Sie den Sprung in die Azure oder Microsoft 365 / Office 365 Welt planen, kommen Sie um das Thema IAM – Identity Access Management – und Azure Active Directory nicht herum. Als eines der ersten zu konfigurierenden und umzusetzenden Technologien ist das Azure Active Directory auf Ihrer Cloud Agenda ganz weit oben.
Active Directory ist jedoch nicht gleichzusetzen mit IAM – Identity Access Management, denn das IAM besteht aus mehreren Funktionen und Prozessen, als nur ein LDAP System wie das (Azure) Active Directory.
In Azure und Microsoft 365 / Office 365 werden mehr Tools, Funktionen und Prozesse bereitgestellt, als nur das Azure AD, um den hohen Ansprüchen und Sicherheitsanforderungen an ein IAM zu genügen.
Die in Microsoft 365 / Office 365 und Azure bereitgestellten Tools ergänzen sich und bilden somit ein modernes und mächtiges IAM ab. Durch die Flexibilität und Erweiterbarkeit der vorhandenen Systeme und Tools im Microsoft Cloud Universum (natürlich auch On Premise), können Sie überall, wo Sie eine Funktion oder Schnittstelle vermissen, andere oder eigene vorhandene Tools einsetzen.
Microsoft arbeitet in diesem Umfeld mit allen gängigen und namhaften Herstellern zusammen und bietet Ihnen als Kunden und Nutzern die maximale Flexibilität und Freiheit an.
Wie funktioniert IAM / Azure Active Directory in der Cloud?
Wie aus dem Kürzel IAM – „Identity Access Management“ bereits abzulesen ist, beinhaltet dieses Thema zwei separate Themenkomplexe:
- Identity
- Access
Für beide Themenblöcke bietet Microsoft sich ergänzende Tools und Lösungen, die zum Teil gemeinsame Schnittmengen haben und sich funktional „überschneiden“. Das ist jedoch nicht zwingend von Nachteil, sondern ist tatsächlich so gewollt.
Beispielsweise können Microsoft 365 User und Gruppen sowohl von den meisten Office 365 Admin-Centern heraus erstellt werden (Bsp.: SharePoint Admin Center, Exchange Admin Center, Teams Admin Center, etc.) als auch über das altbekannte Azure Active Directory Dashboard / Console im Azure Admin Portal.
In größeren Organisationen und Konzernen sind die Admin-Rollen für die verschiedensten Themen getrennt zugeordnet. Ein Azure AD Admin hat in der Regel andere Aufgabenschwerpunkte wie ein SharePoint Admin. Dabei kann der SharePoint Admin Gruppen erstellen und in SharePoint zuweisen, ohne dass er auf die Zuarbeit vom Azure AD Admin angewiesen ist. Das macht Sinn und lässt alle Beteiligten schneller und effektiver arbeiten.
Jedoch müssen die jeweiligen Aufgaben, Rollen und Berechtigungen miteinander „synchronisiert“ sein. Dafür stellt Microsoft intelligente und ausgeklügelte Funktionen und Tools zur Verfügung, welche einen rollenbasierten Zugriff mit entsprechenden zeitlichen Begrenzungen und Überwachungsmechanismen ermöglichen. Beispielhafte Funktionen hierzu wären: RBAC (Role Base Access Control), Conditional Access, etc.
Um die Möglichkeiten sinnvoll und effektiv zu nutzen, müssen Sie als Nutzer erst einmal wissen, welche Optionen und Möglichkeiten Ihnen überhaupt zur Verfügung stehen und im nächsten Schritt entscheiden, welche Option Sie in welcher Ausprägung nutzen möchten. Wie Sie sich denken können, müssen hier eher strategische, architektonische und organisatorische Entscheidungen getroffen werden. Im Anschluss ergeben sich die technischen Optionen und Maßnahmen in der Regel von selbst.
Wir beraten Sie hierzu sehr gerne im Detail über die Möglichkeiten, die für Sie und Ihr Unternehmen in Frage kommen.
Welche Optionen und Services gibt es zu IAM / Azure AD in der Cloud?
Das Kern-Tool für IAM in Azure ist natürlich das Azure Active Directory (Azure AD oder AAD abgekürzt). Die flache Struktur von Azure AD bietet jedoch keine Organisationseinheit und keine Gruppenrichtlinien.
Anstelle von Kerberos verwendet Azure AD Authentifizierungs- und Sicherheitsprotokolle wie „Security Statement Markup Language“ (SAML) und „Open Authorization“ (OAuth2). Dazu kommt, dass die AD Graph API den Cloud-Dienst Azure AD anstelle von LDAP nutzt.
Ein weiterer Vorteil von Azure AD gegenüber On Premise AD ist die Funktion zum Verwalten von Lizenzen für Microsoft-Dienste direkt über das Administratorenportal. Admins können ihre aktuellen Lizenzzahlen überprüfen und sie einem Benutzer oder einer Gruppe zuweisen, ohne in ein anderes Portal zu wechseln.
Microsoft bietet Azure AD in verschiedenen Ausführungen und Preisklassen an: kostenlos, Premium P1 und Premium P2, die alle jeweils einen unterschiedlichen Funktionsumfang aufweisen.
Wir bei AURUM beraten Sie gerne auch in Bezug auf die Vor- und Nachteile der unterschiedlichen Szenarien im Einsatz von IAM und Active Directory (Azure und On Premise) für Ihren Betrieb. Für weitere Informationen kommen Sie gerne auf uns.
Was bietet AURUM zum Thema IAM und Active Directory?
Das Thema IAM und Active Directory bringt vielfältige Aufgaben und Themen mit sich, welche Sie im Betrieb oder im Rahmen Ihrer IT Projekte beherrschen und bewältigen müssen. Wir unterstützen Sie sehr gerne mit profundem Wissen und echter nachweislicher Erfahrung aus dutzenden IT Projekten.
Folgende beispielhafte Services und Dienstleistungen bieten wir als AURUM:
- Beratung, Analyse und Empfehlungen zur Lizensierung
- Beratung, Analyse und Empfehlungen zur Skalierung und Sizing
- Beratung, Analyse, Empfehlungen und Hands-On Unterstützung bei Migration und Portierung
- Architektur, Konzeptionierung und Design von IAM und Active Directory
- Unterstützung bei Hybrid-Lösungen (Cloud und On Premise)
- Entwicklung und Bereitstellung von IAM und AD Lösungen inkl. selber entwickelter Erweiterungen
- Anbindung von IAM und AD mit 3rd Party Lösungen
- Entwicklung von neuen bzw. eigenen Authentication Providern
- Unterstützung bei Ihrer IAM / Active Directory Umgebung (Administration, Operations, etc.)
- etc.
Wenn Sie ein Thema vermissen, sprechen Sie uns gerne an.
Diese Seite teilen / Share this Page