Red-Forest-Benutzerverwaltung mit dem IDM-Portal

Delegierte Benutzer- und Berechtigungsverwaltung in einer abgesicherten AD-Umgebung ist eine Herausforderung, mit der nur wenige IAM-Lösungen umgehen können. Das IDM-Portal ist mit ESEA/RedForest/SAE-Infrastruktur kompatibel und bei Kunden u.a. als Red-Forest-Benutzerverwaltung im Einsatz.

Öffentliche Verwaltung mit Red-Forest-Konzept und IDM-Portal

Nach der Einführung eines Red Forests fragte ein langjähriger IDM-Portal Kunde der öffentlichen Verwaltung im Südwesten an, ob wir unsere IAM-Lösung in die neue Forest-Struktur integrieren können. Unter anderem war das Ziel, das IDM-Portal auch für die User-Verwaltung anderer Tochtergesellschaften zur Verfügung zu stellen. Lesen Sie weiter, welche Besonderheiten und Lösungswege es in diesem Projekt gab.

Ausgangslage beim Kunden

Unser Kunde, eine öffentliche Staatsbehörde mit ca. 2.000 Mitarbeitern, nutzt das IDM-Portal seit vielen Jahren zur Benutzer- und Berechtigungsverwaltung. In der Vergangenheit arbeitete die Organisation mit einer einfachen Domäne, in der auch das IDM-Portal verwendet wurde.

Mehrere AD-Domänen in Red-Forest-Struktur organisieren

Aufgrund einer wachsenden Organisationsstruktur entstand über Jahre hinweg ein großes Verwaltungskonstrukt mit mehreren der Behörde zugehörigen Gesellschaften. Diese arbeiteten jeweils separat mit ihren eigenen Domänen. Der Verwaltungsaufwand war enorm und das Thema Sicherheit nicht mehr ausreichend bedacht.

Der Kunde verwaltete also technisch nicht nur sich selbst, sondern weitere Gesellschaften, z.B. eine Krankenhausgesellschaft, die ebenfalls eine eigene Domain hatten.

Gründe für die Einführung einer Red-Forest-Benutzerverwaltung

Rechtliche Vorgaben erfordern, dass der Kunde ausschließlich On-Premises arbeitet. Zudem bewertete er das Red-Forest-Konzept als besonders sicher. Aus diesem Grund wurde die Einführung dessen entschieden. Lesen Sie hierzu unseren Artikel Red Forest und IAM in Active Directory Umgebungen, der erläutert, warum ein Red Forest für viele Unternehmen nach wie vor eine gute Wahl ist.

Eine Anforderung war, dass z.B. keine Admin-Passwörter auf Geräten gespeichert werden dürfen. Um Geräte ändern zu können, ist zukünftig der Zugriff mit Anmeldung über eine Admin-Domain erforderlich.

Im Zuge der zentralen IT-Steuerung der verschiedenen Gesellschaften mit je eigenen (User-) Domänen wurde im ersten Schritt Outlook/Exchange ausgerollt.

Die Red-Forest-Struktur ermöglicht zentrale Anwendungsverwaltung für verschiedenen User-Domains der einzelnen Gesellschaften.

Der typische Aufbau für die einzeln stehende Forests/Domänen:

1. Ressourcen-Forest
2. User Forest
3. Admin Forest

Ziele der Red-Forest-Umstellung und Red-Forest-Benutzerverwaltung

Mit der On-Premises konzentrierten Neuausrichtung, will der Kunde folgende Ziele erreichen:

1. Konsolidierung der Domänen-Verwaltung und sichere Verbindung der Gesellschaften
2. Zentralisiertes Exchange On-Premises mit einheitlicher Exchange-Infrastruktur für alle Gesellschaften, um die Administration und Wartung von Exchange zu vereinfachen
3. Absicherung der Administration gegen Angriffe von außen durch getrennt liegende Admin-Konten
4. Standardisierung der Benutzerverwaltung über alle Gesellschaften, d.h. eine Red-Forest-Benutzerverwaltung mit dem IDM-Portals im Ressourcen-Forest:

• Implementierung und Test der IDM-Portal Grundfunktionen in der Red Forest Domänen-Struktur 
• Implementierung und Test der erweiterten IDM-Portal Funktionalitäten 
• Überführung von dem PoC in den Echtbetrieb 

IDM-Portal in Ressourcen-Forest für einheitliches Identitätsmanagement

Die Errichtung des Red Forests selbst und die Zusammenführung der Gesellschaften in eine zusammengehörige Red-Forest-Struktur hatte die Organisation bereits im Vorfeld durchgeführt.

Integration des IDM-Portals

Die FirstAttribute wurde bei der Integration des IDM-Portals in den Ressourcen-Forest involviert. Der Ressourcen-Forest beinhaltet die Anwendungen (z. Bsp. Exchange On-Premises), die ein Unternehmen für den Geschäftsbetrieb braucht. Das IDM-Portal wurde ebenfalls in den Ressourcen-Forest integriert, um die Verwaltung aller Gesellschaften zu ermöglichen.

Anschließend wurde die IDM-Portal-Konfiguration so angepasst, dass eine Ansteuerung der User-Accounts und deren Anwendungen in den jeweiligen Forests funktionierte.

So läuft bei der standardisierten Benutzerverwaltung die Namensgenerierung, Passwort- und Compliance-Regeln, aber auch die Erstellung einer Exchange Mailbox wie gehabt über nur eine IDM-Portal-Oberfläche.

Besonderheiten Red-Forest-Benutzerverwaltung

Und hier gibt es besondere Herausforderungen:

• Das IDM-Portal aber auch Exchange befinden sich im Ressourcen-Forest.
• Der zu bearbeitende User im User-Forest.
• Der User Forest wiederum kann auch mehrere Domains erhalten.
• Wird ein Benutzer bearbeitet, an dem weitere Anwendungen beteiligt sind, sind Forest-übergreifende Zugriffe notwendig.

Red-Forest-Benutzerverwaltung heißt also auch:

Identity-Management über mehrere Domänen und sogar Forests hinweg zu organisieren und zu integrieren.

Projektabschluss und Ihr sicheres IAM Projekt

Als Ergebnis des erfolgreichen Projekts steht unserem Kunden nun das IDM-Portal für die User-Verwaltung aller Gesellschaften einheitlich im Red Forest zur Verfügung.

Wir beraten Sie gern, wie Sie das Identity und Access Management in einem Red Forest einbinden. Als Experten im Bereich Identity & Access Management für On-Premises- und Cloud-Umgebungen wissen wir, worauf es bei der Benutzer- und Berechtigungsverwaltung ankommt. Kontaktieren Sie unser freundliches Team.  

Jetzt Kontakt aufnehmen