Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
TiWu

ADFS und die Zusammenarbeit mit externem Anbieter

Empfohlene Beiträge

Hallo zusammen,

 

ich habe eine Verständnisfrage.

 

Kurze Schilderung der Situation:

Wir möchten gerne per ADFS eine externe Plattform eines Anbieters nutzen über dem am Ende Vorschriften und Compliance-Dokumente an Mitarbeiter ausgerollt werden können.

Der Anbieter hat initial damit geworben dies alles über ADFS deckeln zu können.

Nach einigen Gesprächen kam nun bei der technischen Umsetzung heraus das dieser Anbieter einen direkten Connect an unser AD benötigt, zwecks dauerhaftem zb. täglichem LDAP abgleich der aktuellen User und eventuell auch neuer User. Mir ist klar das natürlich ählich Office365 eine Syncronisation stattfinden muss, da die Gegenstelle die User schon kennen muss.

 

Nun meine Frage, wozu benötigt der Anbieter einen Connect an das AD. Sicherheittechnisch ist das trotz VPN der Supergau, odeR? So sehr einschränken kann man das doch kaum, um zu gewährleisten, das nur die Daten das Unternehmen verlassen die es auch sollen. Also zb. Username, Email, Abteilung, Gruppe.

 

Auf unseren Vorschlag dies mit unseren On und Offboarding Prozessen zu Verknüpfen und täglich oder monatlich per zb. CSV zu liefern wurde eher mürrisch reagiert.

 

Selbst der technische Kontakt der Gegenseite bestätigte das das normalerweise nicht notwendig wäre und nur hier in dieser Konstellation von nöten ist.

 

Gruß Tim

bearbeitet von TiWu

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

die Frage ist berechtigt. Das Thema solltet ihr mit dem Anbieter noch mal klären.

 

Grundsätzlich ist es bei den meisten SaaS-Anbietern, die eine Authentifizierung per SAML (also ADFS) anbieten, durchaus so, dass der Anbieter lokal in seiner Applikation Konten benötigt, um die einzelnen User auseinanderzuhalten. Manchmal wird das auch anders gelöst (anhand der Daten im SAML-Token), aber das Verfahren mit lokalen Konten ist üblich. Was hingegen unüblich ist und was du zu Recht kritisierst, ist der direkte Zugriff auf das AD, um die Konten abzugleichen. Das ist, wenn es tatsächlich so gefordert wird, natürlich ein No-Go.

 

Die meisten Anbieter arbeiten hier mit regelmäßigen Imports, die man z.B. per CSV regelmäßig zur Verfügung stellt. Varianten davon wären andere Importformate (etwa bei Azure/Office 365). In dem Fall benötigt der Anbieter aber natürlich nur wenige Rahmendaten zu den Usern (meist nur Name und Mailadresse, um die User eindeutig auseinanderzuhalten). Das funktioniert meist auch sehr gut, denn im Regelfall reicht es aus, neue User zügig übertragen zu haben. Ausgeschiedene User muss man nicht sofort beim Anbieter löschen, weil man die Anmeldung ja selbst über die ADFS-Regeln verhindern kann.

 

Hier solltet ihr also auf jeden Fall noch mal mit dem Anbieter besprechen, welche Importmöglichkeiten er vorsieht.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ihr habt unsere Meinung hier auch bestätigt. Wir werden an dem CSV Konzept festhalten. Zumal das auch ein Weg ist den der Anbieter vorgeschlagen hatte und erst im nachinein mit dem LDAP-Konzept um die Ecke kam.

Vielen Dank!

bearbeitet von TiWu

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×