Zum Inhalt wechseln


Foto

ADFS und die Zusammenarbeit mit externem Anbieter


  • Bitte melde dich an um zu Antworten
3 Antworten in diesem Thema

#1 TiWu

TiWu

    Newbie

  • 14 Beiträge

 

Geschrieben 08. Juni 2017 - 08:01

Hallo zusammen,

 

ich habe eine Verständnisfrage.

 

Kurze Schilderung der Situation:

Wir möchten gerne per ADFS eine externe Plattform eines Anbieters nutzen über dem am Ende Vorschriften und Compliance-Dokumente an Mitarbeiter ausgerollt werden können.

Der Anbieter hat initial damit geworben dies alles über ADFS deckeln zu können.

Nach einigen Gesprächen kam nun bei der technischen Umsetzung heraus das dieser Anbieter einen direkten Connect an unser AD benötigt, zwecks dauerhaftem zb. täglichem LDAP abgleich der aktuellen User und eventuell auch neuer User. Mir ist klar das natürlich ählich Office365 eine Syncronisation stattfinden muss, da die Gegenstelle die User schon kennen muss.

 

Nun meine Frage, wozu benötigt der Anbieter einen Connect an das AD. Sicherheittechnisch ist das trotz VPN der Supergau, odeR? So sehr einschränken kann man das doch kaum, um zu gewährleisten, das nur die Daten das Unternehmen verlassen die es auch sollen. Also zb. Username, Email, Abteilung, Gruppe.

 

Auf unseren Vorschlag dies mit unseren On und Offboarding Prozessen zu Verknüpfen und täglich oder monatlich per zb. CSV zu liefern wurde eher mürrisch reagiert.

 

Selbst der technische Kontakt der Gegenseite bestätigte das das normalerweise nicht notwendig wäre und nur hier in dieser Konstellation von nöten ist.

 

Gruß Tim


Bearbeitet von TiWu, 08. Juni 2017 - 08:06.


#2 NilsK

NilsK

    Expert Member

  • 12.467 Beiträge

 

Geschrieben 08. Juni 2017 - 08:49

Moin,

 

die Frage ist berechtigt. Das Thema solltet ihr mit dem Anbieter noch mal klären.

 

Grundsätzlich ist es bei den meisten SaaS-Anbietern, die eine Authentifizierung per SAML (also ADFS) anbieten, durchaus so, dass der Anbieter lokal in seiner Applikation Konten benötigt, um die einzelnen User auseinanderzuhalten. Manchmal wird das auch anders gelöst (anhand der Daten im SAML-Token), aber das Verfahren mit lokalen Konten ist üblich. Was hingegen unüblich ist und was du zu Recht kritisierst, ist der direkte Zugriff auf das AD, um die Konten abzugleichen. Das ist, wenn es tatsächlich so gefordert wird, natürlich ein No-Go.

 

Die meisten Anbieter arbeiten hier mit regelmäßigen Imports, die man z.B. per CSV regelmäßig zur Verfügung stellt. Varianten davon wären andere Importformate (etwa bei Azure/Office 365). In dem Fall benötigt der Anbieter aber natürlich nur wenige Rahmendaten zu den Usern (meist nur Name und Mailadresse, um die User eindeutig auseinanderzuhalten). Das funktioniert meist auch sehr gut, denn im Regelfall reicht es aus, neue User zügig übertragen zu haben. Ausgeschiedene User muss man nicht sofort beim Anbieter löschen, weil man die Anmeldung ja selbst über die ADFS-Regeln verhindern kann.

 

Hier solltet ihr also auf jeden Fall noch mal mit dem Anbieter besprechen, welche Importmöglichkeiten er vorsieht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 08. Juni 2017 - 08:59

Im Zweifel kann man eine AD-LDS Instanz dazwischen schieben, die nur noch die benötigten Infos beinhaltet. Aber Nils Vorschlag solltest du zuerst angehen. ;)

Make something i***-proof and they will build a better i***.


#4 TiWu

TiWu

    Newbie

  • 14 Beiträge

 

Geschrieben 08. Juni 2017 - 09:40

Ihr habt unsere Meinung hier auch bestätigt. Wir werden an dem CSV Konzept festhalten. Zumal das auch ein Weg ist den der Anbieter vorgeschlagen hatte und erst im nachinein mit dem LDAP-Konzept um die Ecke kam.

Vielen Dank!


Bearbeitet von TiWu, 08. Juni 2017 - 09:45.