TiWu 0 Geschrieben 8. Juni 2017 Melden Teilen Geschrieben 8. Juni 2017 (bearbeitet) Hallo zusammen, ich habe eine Verständnisfrage. Kurze Schilderung der Situation: Wir möchten gerne per ADFS eine externe Plattform eines Anbieters nutzen über dem am Ende Vorschriften und Compliance-Dokumente an Mitarbeiter ausgerollt werden können. Der Anbieter hat initial damit geworben dies alles über ADFS deckeln zu können. Nach einigen Gesprächen kam nun bei der technischen Umsetzung heraus das dieser Anbieter einen direkten Connect an unser AD benötigt, zwecks dauerhaftem zb. täglichem LDAP abgleich der aktuellen User und eventuell auch neuer User. Mir ist klar das natürlich ählich Office365 eine Syncronisation stattfinden muss, da die Gegenstelle die User schon kennen muss. Nun meine Frage, wozu benötigt der Anbieter einen Connect an das AD. Sicherheittechnisch ist das trotz VPN der Supergau, odeR? So sehr einschränken kann man das doch kaum, um zu gewährleisten, das nur die Daten das Unternehmen verlassen die es auch sollen. Also zb. Username, Email, Abteilung, Gruppe. Auf unseren Vorschlag dies mit unseren On und Offboarding Prozessen zu Verknüpfen und täglich oder monatlich per zb. CSV zu liefern wurde eher mürrisch reagiert. Selbst der technische Kontakt der Gegenseite bestätigte das das normalerweise nicht notwendig wäre und nur hier in dieser Konstellation von nöten ist. Gruß Tim bearbeitet 8. Juni 2017 von TiWu Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 8. Juni 2017 Melden Teilen Geschrieben 8. Juni 2017 Moin, die Frage ist berechtigt. Das Thema solltet ihr mit dem Anbieter noch mal klären. Grundsätzlich ist es bei den meisten SaaS-Anbietern, die eine Authentifizierung per SAML (also ADFS) anbieten, durchaus so, dass der Anbieter lokal in seiner Applikation Konten benötigt, um die einzelnen User auseinanderzuhalten. Manchmal wird das auch anders gelöst (anhand der Daten im SAML-Token), aber das Verfahren mit lokalen Konten ist üblich. Was hingegen unüblich ist und was du zu Recht kritisierst, ist der direkte Zugriff auf das AD, um die Konten abzugleichen. Das ist, wenn es tatsächlich so gefordert wird, natürlich ein No-Go. Die meisten Anbieter arbeiten hier mit regelmäßigen Imports, die man z.B. per CSV regelmäßig zur Verfügung stellt. Varianten davon wären andere Importformate (etwa bei Azure/Office 365). In dem Fall benötigt der Anbieter aber natürlich nur wenige Rahmendaten zu den Usern (meist nur Name und Mailadresse, um die User eindeutig auseinanderzuhalten). Das funktioniert meist auch sehr gut, denn im Regelfall reicht es aus, neue User zügig übertragen zu haben. Ausgeschiedene User muss man nicht sofort beim Anbieter löschen, weil man die Anmeldung ja selbst über die ADFS-Regeln verhindern kann. Hier solltet ihr also auf jeden Fall noch mal mit dem Anbieter besprechen, welche Importmöglichkeiten er vorsieht. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 8. Juni 2017 Melden Teilen Geschrieben 8. Juni 2017 Im Zweifel kann man eine AD-LDS Instanz dazwischen schieben, die nur noch die benötigten Infos beinhaltet. Aber Nils Vorschlag solltest du zuerst angehen. ;) Zitieren Link zu diesem Kommentar
TiWu 0 Geschrieben 8. Juni 2017 Autor Melden Teilen Geschrieben 8. Juni 2017 (bearbeitet) Ihr habt unsere Meinung hier auch bestätigt. Wir werden an dem CSV Konzept festhalten. Zumal das auch ein Weg ist den der Anbieter vorgeschlagen hatte und erst im nachinein mit dem LDAP-Konzept um die Ecke kam. Vielen Dank! bearbeitet 8. Juni 2017 von TiWu Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.