TiWu 0 Geschrieben 8. Juni 2017 Melden Geschrieben 8. Juni 2017 (bearbeitet) Hallo zusammen, ich habe eine Verständnisfrage. Kurze Schilderung der Situation: Wir möchten gerne per ADFS eine externe Plattform eines Anbieters nutzen über dem am Ende Vorschriften und Compliance-Dokumente an Mitarbeiter ausgerollt werden können. Der Anbieter hat initial damit geworben dies alles über ADFS deckeln zu können. Nach einigen Gesprächen kam nun bei der technischen Umsetzung heraus das dieser Anbieter einen direkten Connect an unser AD benötigt, zwecks dauerhaftem zb. täglichem LDAP abgleich der aktuellen User und eventuell auch neuer User. Mir ist klar das natürlich ählich Office365 eine Syncronisation stattfinden muss, da die Gegenstelle die User schon kennen muss. Nun meine Frage, wozu benötigt der Anbieter einen Connect an das AD. Sicherheittechnisch ist das trotz VPN der Supergau, odeR? So sehr einschränken kann man das doch kaum, um zu gewährleisten, das nur die Daten das Unternehmen verlassen die es auch sollen. Also zb. Username, Email, Abteilung, Gruppe. Auf unseren Vorschlag dies mit unseren On und Offboarding Prozessen zu Verknüpfen und täglich oder monatlich per zb. CSV zu liefern wurde eher mürrisch reagiert. Selbst der technische Kontakt der Gegenseite bestätigte das das normalerweise nicht notwendig wäre und nur hier in dieser Konstellation von nöten ist. Gruß Tim bearbeitet 8. Juni 2017 von TiWu
NilsK 3.046 Geschrieben 8. Juni 2017 Melden Geschrieben 8. Juni 2017 Moin, die Frage ist berechtigt. Das Thema solltet ihr mit dem Anbieter noch mal klären. Grundsätzlich ist es bei den meisten SaaS-Anbietern, die eine Authentifizierung per SAML (also ADFS) anbieten, durchaus so, dass der Anbieter lokal in seiner Applikation Konten benötigt, um die einzelnen User auseinanderzuhalten. Manchmal wird das auch anders gelöst (anhand der Daten im SAML-Token), aber das Verfahren mit lokalen Konten ist üblich. Was hingegen unüblich ist und was du zu Recht kritisierst, ist der direkte Zugriff auf das AD, um die Konten abzugleichen. Das ist, wenn es tatsächlich so gefordert wird, natürlich ein No-Go. Die meisten Anbieter arbeiten hier mit regelmäßigen Imports, die man z.B. per CSV regelmäßig zur Verfügung stellt. Varianten davon wären andere Importformate (etwa bei Azure/Office 365). In dem Fall benötigt der Anbieter aber natürlich nur wenige Rahmendaten zu den Usern (meist nur Name und Mailadresse, um die User eindeutig auseinanderzuhalten). Das funktioniert meist auch sehr gut, denn im Regelfall reicht es aus, neue User zügig übertragen zu haben. Ausgeschiedene User muss man nicht sofort beim Anbieter löschen, weil man die Anmeldung ja selbst über die ADFS-Regeln verhindern kann. Hier solltet ihr also auf jeden Fall noch mal mit dem Anbieter besprechen, welche Importmöglichkeiten er vorsieht. Gruß, Nils
NorbertFe 2.283 Geschrieben 8. Juni 2017 Melden Geschrieben 8. Juni 2017 Im Zweifel kann man eine AD-LDS Instanz dazwischen schieben, die nur noch die benötigten Infos beinhaltet. Aber Nils Vorschlag solltest du zuerst angehen. ;)
TiWu 0 Geschrieben 8. Juni 2017 Autor Melden Geschrieben 8. Juni 2017 (bearbeitet) Ihr habt unsere Meinung hier auch bestätigt. Wir werden an dem CSV Konzept festhalten. Zumal das auch ein Weg ist den der Anbieter vorgeschlagen hatte und erst im nachinein mit dem LDAP-Konzept um die Ecke kam. Vielen Dank! bearbeitet 8. Juni 2017 von TiWu
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden