Identity & Access Management in AD und AAD

5 Herausforderungen in hybriden Active Directory-Umgebungen

| Autor / Redakteur: Susanne Haase / Peter Schmitz

Hybride Active-Directory-Umgebungen sind zur neuen Normalität geworden, hat allerdings ihre ganz speziellen Herausforderungen. Fünf wesentliche haben wir uns näher angesehen.
Hybride Active-Directory-Umgebungen sind zur neuen Normalität geworden, hat allerdings ihre ganz speziellen Herausforderungen. Fünf wesentliche haben wir uns näher angesehen. (Bild: Pixabay / CC0)

Fast 90 Prozent aller Unternehmen weltweit setzen Active Directory als On-Premises-Variante ein. In der Welt des Identity und Access Managements (IAM) ist AD heute so allgegenwärtig wie notwendig und Azure Active Directory, der Cloud-basierte Bruder, gewinnt zunehmend an Bedeutung.

Um Active Directory kommt kaum jemand herum. Beinahe 90 Prozent aller Unternehmen weltweit setzen die On-Premises-Variante ein. Das entspricht etwa 500 Millionen Organisationen und geschätzten 10 Milliarden Authentifizierungen täglich. In der Welt des Identity und Access Managements (IAM) ist AD so allgegenwärtig wie notwendig. Allerdings gewinnt Azure Active Directory, der Cloud-basierte Bruder, rasch an Boden. Weil der schnelle Sprung in die Cloud mit einigen Risiken verbunden ist, sind hybride Umgebungen zur neuen Normalität geworden. Die hat allerdings ihre ganz speziellen Herausforderungen. Fünf wesentliche haben wir uns näher angesehen.

Herausforderung Nummer 1: Zwei Tools sind eines zu viel

Das Problem: Es ist kein großes Geheimnis, dass die nativen AD-Tools, die bei der Verwaltung der betreffenden Identitäten und Zugriffsberechtigungen helfen sollen, einigermaßen limitiert sind. Microsoft hat sich zwar mit dem nativen Active Directory Users and Computers (ADUC) Tool redlich Mühe gegeben, trotzdem entscheiden sich die weitaus meisten Unternehmen für das Angebot eines Drittanbieters. Ziel ist es notwendige Aufgaben zu straffen, zu automatisieren und Berechtigungen konsistent zu halten. Entschließen sich Firmen dann AAD einzusetzen wird die Situation ungleich komplizierter. Azure Active Directory nutzt ADUC nämlich nicht. Für die administrativen Basisaufgaben braucht man ein eigenes Tool. Um eine einzige simple Aktion durchzuführen (wie etwa einen Benutzer in AD und AAD zuzuweisen), braucht man zwei völlig verschiedene Tools mit unterschiedlichen Schnittstellen und Funktionalitäten. Bei Aufgaben, die bereits in AD komplex, fehleranfällig und mühsam zu erledigen sind, wird das in AAD doppelt so schwierig. Zur Erinnerung: AAD ist nicht einfach eine Cloud-Version von AD. Eigenentwickelte Skripten, Automatisierung auf PowerShell-Ebene oder manuelle Prozesse lassen sich nicht einfach übertragen.

Die Lösung: Ein Tool für alle! Im Idealfall überwindet man mit einer Lösung die Schwierigkeiten, die zwei voneinander getrennte Tools mit sich bringen. Und zwar im Hinblick auf die Unzulänglichkeiten von ADUC und auf das administrative Interface von AAD. Dann sorgt ein Layer für die Automatisierung, wahrt die Konsistenz und vereinfacht die administrativen Aufgaben in AD und AAD. Das funktioniert nur, wenn eine Lösung sowohl für AD als auch für AAD entwickelt worden ist. Dann kann der Anwender mit einer einzigen Aktion eine Aufgabe in beiden Systemen ausführen. Das entspricht dem Anforderungsprofil in hybriden AD-Umgebungen und spart viel Zeit. Gleichzeitig wird die komplette Umgebung sicherer, weil es weniger Möglichkeiten gibt, Fehler zu machen. Etwa weil bestimmte wiederkehrende Aufgaben über Workflow-Vorlagen organisieren werden.

Herausforderung Nummer 2: Alte Fehler in neuer Umgebung

Das Problem: Azure AD enthält die Funktion Azure AD Connect. Darüber werden Nutzer, Gruppen, Attribute und Passwörter zwischen On-Premises AD und AAD synchronisiert. Es handelt sich dabei um eine Schlüsselfunktion, die nicht zuletzt zur Verbreitung von Office 365 beigetragen hat. Gerade weil sie quasi verschleiert, dass der Anwender mit diesem Schritt die On-Premises-Welt verlässt und sich in die Cloud begibt. Dank der Synchronisierung muss sich der betreffende User nur einmal anmelden und kann nahtlos sowohl auf sein AD als auch auf seine Cloud-basierten Ressourcen zugreifen. Das ist allerdings wie so oft leichter gesagt als getan. Die Sicherheit für den Cloud-basierten Zugriff basiert auf den Zugriffsberechtigungen und Mitgliedschaften der „alten“ On-Premises-Welt. Sämtliche Fehler, Risikofaktoren und durch Unachtsamkeit entstandene Sicherheitslücken, die bei der Verwaltung – mit potenziell unzulänglichen nativen Tools – entstanden sind, werden so gleich in die Azure AD-Umgebung importiert.

Ein Beispiel. Nehmen wir an, Sie haben eine AD-Gruppe unter dem Namen „Finanzen“ eingerichtet. Nehmen wir weiterhin an, sie fügen dieser Gruppe einen Nutzer hinzu, weil der betreffende Kollege im Urlaub ist. Bestimmte Aufgaben sollen aber weiterhin erledigt werden. Nehmen wird dann noch an, der ursprünglich verantwortliche Mitarbeiter kehrt aus dem Urlaub zurück und übernimmt ganz normal seine Jobpflichten. Gleichzeitig verbleibt aber der nur vertretungsweise übernommene User ebenfalls in der Gruppe. Das passiert nicht selten und hat verschiedene Ursachen. Welche Gründe auch immer ausschlagegebend sein mögen, wenn ein Unternehmen dann AD mit Azure AD synchronisiert, werden sämtliche unangemessen vergebenen Rechte in ADD repliziert. Sind beispielweise Ressourcen der Finanzabteilung auch in SharePoint Online, OneDrive, verfügbar oder in einer der unzähligen Applikationen, die in ADD dafür in Frage kommen, dann hat genau dieser Nutzer die „Erlaubnis“ (oder doch wenigstens die Rechte) auf diese Daten zuzugreifen und potenziell sensible Informationen zu manipulieren. Darin liegt ein großes Risiko solcher unbeabsichtigt gemachten Fehler.

Die Lösung: Bereinigt... Die Lösung des Problems klingt vergleichsweise banal. Fehler, die es in AD nicht gibt, werden auch nicht in AAD übernommen. Aber wie kann ein Unternehmen sicherstellen, dass tatsächlich alles bereinigt ist? Die Quelle für die meisten Fehler ist menschliches Versagen. Es muss also darum gehen, die Möglichkeit solcher Fehler von vorneherein zu begrenzen. Ein bereinigtes, sicheres AD führt quasi automatisch zu einem ebensolchen AAD. Ein automatisierter Workflow etwa gewährleistet, dass Benutzer nur die angemessenen Zugriffsberechtigungen erhalten und immer den richtigen Gruppen zugeordnet sind. Das sollte dann für sämtliche Freigabeprozesse, innerhalb des kompletten Audit-Trails und im Rahmen gegenseitiger Kontrollen gelten. Bestimmte Tools erlauben es zusätzlich mit der maßgeblichen Datenquelle zu kommunizieren (wie etwa dem System der Personalverwaltung), um Aktivitäten in AD und AAD automatisch anzustoßen. In unserem Beispiel würde das bedeuten, dass sobald der besagte Mitarbeiter aus seinem Urlaub zurückkommt, er wieder in seine ursprünglichen Rechte eingesetzt wird. Dem Mitarbeiter, der lediglich die Vertretung übernommen hat, werden die Rechte parallel dazu wieder entzogen.

Herausforderung Nummer 3: Mit der Bereitstellung fängt alles an

Das Problem: Viele Probleme beim Verwalten von AD und AAD fallen in den Bereich der Bereitstellung (Provisionierung). Dazu gehören das Anlegen von Benutzerkonten in AD, das Zuordnen von Mitarbeitern in die richtigen Gruppen und sicherzustellen, dass jeder Benutzer über die korrekten Berechtigungen verfügt und auf alle notwendigen Applikationen wie Exchange, Exchange Online, SharePoint, SharePoint Online, Office 365 und die Unzahl von Cloud-basierten Anwendungen in AAD zugreifen kann. Dabei ist es eine Sache die Konten anzulegen und eine andere, sie zu de-provisionieren.

Native Tools reichen an dieser Stelle selten aus. Eine On-Premises-Rechtevergabe setzt die Nutzung von ADUC für AD voraus, eine andere Schnittstelle und einen weiteren Prozess für Exchange und wieder einen anderen beispielsweise für Skype Business. Die Liste ließe sich beliebig verlängern. Und dabei ist noch nicht berücksichtigt, welche Tools nötig sind um denselben Nutzer in AAD anzulegen und allen damit potenziell verbundenen Cloud-Diensten. Es gibt eine ganze Reihe von Herausforderungen, die mit Provisionierung, Re- Provisionierung und De-Provisionierung in einer hybriden AD-Umgebung verbunden sind:

  • Eine Vielzahl von nativen Tools in einer Umgebung macht diese anfällig für menschliche Fehler und schafft Raum für Inkonsistenz.
  • Will man einem Nutzer in einer hybriden Umgebung sämtliche Tools bereitstellen, die er braucht, nimmt das ein gewisses Maß an Zeit in Anspruch. Für den Benutzer sind das oft lange Wartephasen, in denen er wenig tun kann. Bis alle notwendigen Berechtigungen erteilt worden sind leidet zwangsläufig die Produktivität.
  • Wenn erteilte Zugriffsberechtigungen verspätet widerrufen (oder erteilt) werden, führt das zu einem Risiko. Unter anderem können einmal vergebene Berechtigungen, die zu Unrecht weiterbestehen, später unrechtmäßig ausgenutzt werden. Und das oft lange nachdem sie eigentlich zurückgenommen worden sein sollten.
  • Die autoritative Datenquelle (typischerweise ein HR-System) zu ermitteln und einzubinden ist schon in AD nicht ganz einfach, ganz zu schweigen von AAD. Das führt zu einer nicht enden wollenden Reihe von manuellen Interventionen, um nur die grundlegendsten Berechtigungen ordnungsgemäß bereitzustellen/wieder bereitzustellen oder zu entziehen.
  • Wenn die Datengrundlage im AD fehlerhaft ist, kann man sich nicht auf die Synchronisation zwischen AD und AAD verlassen,– eine direkte Auswirkung von Irrtümern innerhalb des Bereitstellungsprozesses.

Fazit: Wenn nicht korrekt provisioniert wurde, kann man sich kaum darauf verlassen, dass eine hybride AD-Umgebung sicher und effizient ist.

Die Lösung: ein Mal provisionieren, aber richtig! Zunächst ist es wichtig menschliche Fehler möglichst von vorneherein auszuschließen. Das lässt sich beispielsweise über ein Tool bewerkstelligen, das die Bereitstellung und De-provisionierung durchgängig umsetzt und zwar sowohl im AD als auch im AAD. So wird der komplette Bereitstellungsprozess mit einer einzigen Aktion gestrafft einschließlich AD, AAD, Exchange, Exchange Online, SharePoint, SharePoint Online, Skype for Business und so weiter. Dazu dienen Workflow-Vorlagen und Automatisierung. Es ist dann auch möglich Daten aus der jeweiligen autoritativen Datenquelle zu ziehen (etwa dem HR-System) und auf dieser Basis die Bereitstellung anzustoßen und als Ende-zu-Ende-Provisionierung innerhalb der gesamten hybriden AD-Umgebung durchzuführen.

Herausforderung Nummer 4: Wer vergibt die Rechte?

Das Problem: Die eklatante Sicherheitslücke in nativen AD/AAD Management-Tools ist das fehlende Privileged Account Management. Auf Basis dieses Tools hält ein „Admin“-Account sämtliche Berechtigungen und alle Aktivitäten gehen folglich auf genau dieses eine Konto zurück. Etwa Berechtigungen vergeben, Mitarbeiter bestimmten Gruppen zuordnen, Passwörter zurücksetzen, Updates einspielen, das Directory Backup erstellen, einen neuen Domain Controller ausbringen und etliche weitere mehr. Das Problem besteht darin, dass das Konto an das Directory angebunden ist und nicht etwa der individuelle Administrator. Die Anmeldeinformationen werden dementsprechend zwischen einer ganzen Reihe von Mitarbeitern geteilt. Derjenige, der sich einloggt um ein vergessenes Passwort zurückzusetzen, hat faktisch dieselben Rechte wie ein IT-Manager auf Führungsebene, der autorisiert ist einen neuen Domain Controller zu installieren. Die Tatsache, dass es ausgerechnet für den Admin-Account keine individuelle Verantwortlichkeit gibt beschwört eine ausgesprochen riskante Situation herauf. So besteht das AD-Admin-Konto nicht als AAD-Konto und umgekehrt. Die Rechte funktionieren nur nach dem Alles-oder-Nichts-Prinzip. Das heißt selbst für die einfachsten Aufgaben braucht jemand dieselben Rechte wie für komplexe Tätigkeiten bei denen potenzielle Fehler viel Schaden anrichten.

Die Lösung: Die richtigen Rechte. Der richtige Weg Administratorenrechte in einer hybriden AD-Umgebung zu vergeben ist es, genau die Rechte zu vergeben, die ein Administrator braucht um seinen Job zu machen – nicht mehr und nicht weniger. Das Prinzip ist unter dem Namen Prinzip der minimalen Rechtevergabe (Least Privilege Access) bekannt. Dieses Prinzip sollte für den Sicherheitslayer in AD und AAD grundlegend sein. Hier lässt sich definieren, was ein einzelner Administrator tun darf und was nicht. Wer für das Zurücksetzen von Passwörtern zuständig ist, ist nur dafür zuständig – vielleicht sowohl in AD als auch in AAD. Derjenige, der für die Provisionierung zuständig ist, kann nicht auf Log-Files zugreifen und sie folglich auch nicht manipulieren. Und wer für das Installieren von Software zuständig ist, hat nichts mit den täglich anfallenden Aufgaben bei der Benutzerverwaltung zu tun. Es gibt geeignete Tools, die es erlauben administrative Rollen über AD, AAD, Office 365, Exchange und so weiter zu vergeben.

Herausforderung Nummer 5: Inkonsistenz

Das Problem: Hybride AD-Umgebungen sind komplex. Wenn Unternehmen gezwungen sind sich auf manuelle Prozesse zu verlassen hat das Folgen. Allein die Vielzahl der anfallenden Aufgaben führt gern zu einer „Hauptsache erledigt“-Haltung. Das „wie“ spielt weniger eine Rolle. Die Inkonsistenz von Prozessen (in der IAM-Welt allgemein als Workflows bezeichnet) ist nicht selten dafür verantwortlich, dass bei der Synchronisierung Irrtümer zu Tage treten oder die Provisionierung nicht korrekt ist.

Bereiche in denen AD-Umgebungen typischerweise inkonsistent sind:

  • Gruppenmitgliedschaften in AD und AAD an berufliche Rollen und Positionen binden
  • Angemessene Freigaben von der jeweiligen Sparte zu erhalten um notwendige Aktionen durchführen zu können
  • Einzelnen Administratoren die korrekten Zugriffsberechtigungen entsprechend ihrer beruflichen Rolle zuordnen (auf Basis des Prinzips der minimalen Rechtevergabe)
  • Sicherstellen, dass durchgängig dieselben Aktivitäten durchgeführt werden, wenn eine bestimmte Aufgabe es verlangt

Und wieder: AAD ist keine AD-Kopie. Es ist nicht gemeint den AD-On-Premises-Workflow für AAD in die Cloud zu kopieren (etwa einen, der mithilfe von PowerShell-Skripten erstellt wurde). Gemeint ist vielmehr, dass der Workflow alle individuellen Notwendigkeiten und Idiosynkrasien von AD und AAD gemeinsam umspannt.

Die Lösung: Vorlagen für wiederkehrende Aufgaben. In vordefinierte Templates für Workflows in AD und AAD und für Umgebungen in denen beide kombiniert sind, fließt eine Fülle von praktischen Erfahrungen ein. Über solche Templates lässt sich etwa die Provisionierung in den Directories steuern, die richtige Person für eine Freigabe in der betreffenden LOB (Line-of-Business) finden, Personen den richtigen Gruppen hinzufügen, DL-Mitgliedschaften in Exchange/Exchange Online oder in praktisch jedem vorstellbaren Szenario hinzufügen.

Viele Unternehmen setzen Skripte ein, wenn sie Workflows automatisieren und die notwendige Konsistenz herstellen wollen. Allerdings bevorzugen inzwischen etliche Firmen intuitiv zu nutzende Automatisierungs-Plattformen. Sie adressieren die weitaus meisten der in AD oder AAD und hybriden Umgebungen auftretenden Herausforderungen.

Schlussfolgerung

Auch wenn Azure Active Directory sich zunehmend weiter verbreitet kommen die meisten Unternehmen nicht umhin die bestehende AD-On-Premises-Umgebung für eine Weile aufrecht zu erhalten. Diese hybriden AD-Umgebungen haben ihre ganz eigenen Herausforderungen, die kaum über native Tools und manuelle Prozesse zu adressieren sind.

Über die Autorin: Susanne Haase ist Solution Architect für Identity und Access Management bei One Identity. Seit 17 Jahren unterstützt sie global Unternehmen in der Implementierung, dem Design und dem Aufbau von Identity und Access Management Lösungen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44908655 / Benutzer und Identitäten)