In neun von zehn Fällen möchten Unternehmen, dass sich die Mitarbeiter sowohl innerhalb als auch außerhalb des Unternehmensnetzwerks mit den gleichen Daten anmelden wie im Büro, d.h. mit ihrer Identität aus dem Active Directory. Mit Tools4evers Identity-as-a-Service-Tool HelloID werden Benutzer, nachdem sie sich einmal eingeloggt haben, automatisch bei allen ihren Webanwendungen angemeldet (SSO-Prinzip).
Neben einer On-Premise-Installation bieten wir HelloID auch als Software-as-a-Service an, die nicht im Netzwerk der Organisation installiert, sondern als gehosteter Dienst bei Microsoft Azure angeboten wird. Dadurch kann HelloID in den meisten Fällen Informationen nicht direkt im Active Directory des Unternehmensnetzwerks abfragen, da dieses von externen Verbindungen (per Firewall) abgeschirmt wird. Hier finden Sie eine Übersicht der Ausgangssituation.
Diagramm 1: Die Firewall lässt keine Verbindung von außen zu.
Im obenstehenden Diagramm möchte sich der Benutzer mit seinem AD-Account bei HelloID anmelden und HelloID möchte seine Identität im Active Directory überprüfen. Das ist in dieser Situation jedoch nicht möglich, da externe Verbindungen von der Firewall nicht zugelassen werden.
Lösung: Federated Identity (föderierte Identität)
Um dafür zu sorgen, dass sich der Benutzer dennoch mit seiner AD-Identität anmelden kann, und die Organisation keine Änderungen in ihrer Infrastruktur vornehmen muss, haben wir für HelloID den AD-Connector entwickelt. Dieser Connector dient als Brücke zwischen dem Active Directory eines Unternehmens und dem Cloud-Portal HelloID, eine sogenannte Federated-Identity-Lösung.
Der Connector muss im Unternehmensnetzwerk installiert werden und initiiert eine Bridge aus dem Netzwerk zu HelloID. Diese wird normalerweise standardmäßig von der Firewall zugelassen oder kann leicht angepasst werden. HelloID verwendet diese Verbindung, um die Identität des Benutzers gegenüber dem AD-Account zu überprüfen. Hier sehen Sie die neue Situation.
Diagramm 2: Der AD-Connector initiiert die Verbindung.
In diesem Diagramm möchte sich der Benutzer ebenfalls mit seinem AD-Account bei HelloID anmelden. Sein Anmeldeversuch wird in HelloID registriert. Im Unternehmensnetzwerk ist ein AD-Connector installiert. Dieser stellt eine Verbindung zu HelloID her, die nun konstant geöffnet bleibt.
Über diese Brücke werden registrierte Login-Versuche erkannt und im AD überprüft. Die Identität des Benutzers kann verifiziert und der User erfolgreich bei HelloID angemeldet werden.
Vorteile von Federated Identity mit Single Sign-on (SSO)
Tools4ever hat eine Lösung geschaffen, die dafür sorgt, dass sich Benutzer mit der Federated Identity aus dem Active Directory bei jeder in HelloID eingebunden Webanwendung anmelden können. Diese über Single Sign-On realisierte Funktion freut die Endnutzer, die sich nicht mehrere komplizierte Passwörter merken müssen und bei der automatischen Anmeldung außerdem Zeit sparen. Insbesondere mobile Benutzer müssen nicht mehr die komplizierte Menüführung für Logins nutzen, sondern switchen einfach zwischen Apps innerhalb HelloIDs.
Für viele Unternehmen ist dieses Federated Identity Management außerdem äußerst vorteilhaft, weil keine doppelten Accounts entstehen, sondern die User- und Berechtigungsverwaltung weiterhin zentral über das Active Directory gemanagt werden kann. Neben dem geringeren Verwaltungsaufwand bleiben so auch die Kosten gering und die Datenqualität aufgrund zentraler Richtlinien hoch. Die IT-Abteilung behält die Kontrolle über Benutzer-Accounts, deren Berechtigungen und die zugelassenen Webanwendungen.
Ein weiterer Vorteil ist die Security Assertion Markup Language (SAML). SAML und jede andere Identity-Federation-Technologie dient dazu, das Arbeitsleben der Benutzer einfacher und sicherer zu machen. Ohne sie sind Benutzer gezwungen, verschiedene Anmeldeinformationen für jede Website, die sie verwenden, zu verwalten. Diese Sammlung von Anmeldeinformationen ist schwer zu verwalten. Dank einem Identity Management Systems verhindern Sie böswillige Angriffe und Identitätsdiebstahl und schützen Ihre Daten und Systeme.
Möchten Sie mehr über HelloID und weitere Active Directory Connectors erfahren? Für eine kostenlose Online-Präsentation können Sie uns gerne jederzeit persönlich kontaktieren!
Geschrieben von:
Ali Özdogan
Senior Consultant IAM/SAP & HelloID
Ali Özdogan ist als Senior Consultant IAM/SAP seit mehr als 10 Jahren fester Bestandteil von Tools4ever. Er studierte Computer Engineering an der Galatasaray University in Istanbul und später an der RWTH in Aachen und ist unser Spezialist für Cloud-Access-Management mit HelloID.
