Active Directory nur zur Authentifizierung

[StefanWe 14]

Hallo,

wir haben einen EA Vertrag mit 850 qualifizierten Desktops, insgesamt aber 1800 Mitarbeiter. Rest sind gewerbliche Mitarbeiter welche nicht am PC arbeiten.

 

Nun möchten wir gerne eine neue Webseite, ein Mitarbeiter Info Portal einführen und jedem Mitarbeiter Zugriff über sein Handy und personalisiertem Zugriff ermöglichen.

 

Um es einfach zu halten, würden wir gerne alle Mitarbeiter im Active Directory aufnehmen. Die Authentifizierung findet über ADFS (SAML2) statt.

 

Die Anwendung basiert auf Typo 3 und läuft auf einem Linux System. Keine sonstigen Zugriffe auf Windows Server. Ausschließlich die Authentifizierung.

 

Müssen nun für die Differenz der Benutzer Lizenzen angeschafft werden, wenn ja, welche ?

[Nobbyaushb 1.580]

User-CAL, das das AUTH gegen das AD läuft

[lizenzdoc 237]

Hi,
eigentlich einfach... der EA ist scheinbar via "850 qualifizierten Desktops" im CPS definiert.

Liest sich i.M. auch so, dass da im DT(Desktops) die CORE-CAL-Suite als Device-CAL drin ist...
Da ein Handy nicht als DT gezählt wird, muss also auch nicht mehr als 850 DT bemeldet/bezahlt werden...
Die WIN-CAL würde ich dann via einem an dem EA gekoppelten MPSA kaufen (Ob SA nötig ist, ist Geschmacksache).

 

Ist die CORE-CAL-Suite im EA aber als USER-CAL selektiert, könnte MS auf die gierige Idee kommen,
die USER-CORE-CAL auf die dann relevante MA-Anzahl erhöhen zu wollen ...

Etwas schwierig, da ich das CPS nicht betrachten kann.

 

VG + Guten Rutsch,

Franz

[StefanWe 14]

Hi Franz,

 

die core cal ist via User lizenziert. 

[lizenzdoc 237]

Hi,
 

heikel!
Die Authentifizierung alleinig benötigt in der Lizenzierung die WIN-CAL, da ja "Interaktion" mit dem WIN-SVR.
Da es die WIN-CAL nicht einzelnd im EA gibt, sondern nur als Bestandteil der CORE-CAL-Suite,
darf somit MS die Erhöhung dieser auf 1.800 fordern.
Leider hat man das "Vorhaben" wohl nicht am EA-Start gewußt, oder?

Wenn doch, hätte ich das anders beraten ...
CORE-CAL nicht im EA sondern via MPSA lizenzieren für die, die es benötigen...
dann fürs Vorhaben (gewerbliche Mitarbeiter) nur die WIN-CAL via MPSA auf 950 nachkaufen,

ev. sogar ohne SA (dann Kauf sogar als ROK-/OEM-CALs!) ... wäre alles möglich gewesen, wenn man das Wissen hat ...

 

Ev. Lösung... Euer Vorhaben auf nach das Ende des EA (3-Jahre-Laufzeit) verschieben,
dann aber den EA im CSP neu definieren!

Zeiten und der Bedarf ändern sich im Laufe der Zeit eines Vertrages ....
Deswegen "begleite" ich meine Kunde über viele Jahre mit meiner Beratung...
Normalerweise trifft mein Spruch so gut wie immer zu:
"Ich koste nichts, der Kunde zahlt mich immer aus dem Ersparten..."

VG, Franz
 

[falkebo 21]

vor 8 Stunden schrieb Nobbyaushb:

User-CAL, das das AUTH gegen das AD läuft

Dann nen Linux DC auf Samba aufsetzen und Authentifizierung gegen den Linux Server laufen lassen.
Easy Probem behoben

[StefanWe 14]

vor 7 Stunden schrieb falkebo:

Dann nen Linux DC auf Samba aufsetzen und Authentifizierung gegen den Linux Server laufen lassen.
Easy Probem behoben

Interessanter Ansatz. 
aber zieht das? Im Endeffekt hängt ja doch das ad da hinter 

[lizenzdoc 237]

Hi,
Lizenzpflicht besteht weiterhin,
solange bei der Authentifizierung irgendwie mit dem WIN-SVR und dem dort "Authentifizierung-Ding"(sorry bin kein Technik-Fachmann)
interagiert wird. ...Nennt sich in den Produktbestimmungen bei MS "multiplexing" !
(Schalte den WIN-SVR aus, wenn`s dann immer noch funktioniert, keine CAL, ansonsten > WIN-CAL...)

VG, Franz

bearbeitet 1. Januar 2020 von lizenzdoc

[falkebo 21]

Hi @lizenzdoc,

 

mal unabhängig von dem Beitrag hier, finde ich es echt top das du immer wieder Hilfe zu Lizenzfragen gibst.
Ich hab von der Lizenzierung z.B. nur sehr oberflächlich Know-How, könnte mittlerweile nen eigener Studiengang sein...

 

vor 9 Stunden schrieb lizenzdoc:

solange bei der Authentifizierung irgendwie mit dem WIN-SVR und dem dort "Authentifizierung-Ding"(sorry bin kein Technik-Fachmann)
interagiert wird. ...Nennt sich in den Produktbestimmungen bei MS "multiplexing" !

Das wäre hier nicht der Fall.
Du könntest alle DCs abschalten, die Authentifizierung samt DNS Abfragen kann vom Linux Server erledigt werden.
Seit Samba 4 kann ein Linux DC (fast) vollständig die kompletten ADDS funktionalitäten abdecken. Größere Umgebungen mit mehreren Gesamtstrukturen und Domänen würde ich damit vielleicht nicht realisieren, aber ansonsten auf jeden Fall eine brauchbare Lösung.
 

Könnte für deine Anforderungen vielleicht wirklich Sinn machen diese Option zu evaluieren @StefanWe.
Vielleicht hat noch wer anders Erfahrung mit mixed environments?

bearbeitet 1. Januar 2020 von falkebo

[lizenzdoc 237]

Hi,
@Falkebo : Danke! Mir macht MS-Lizenzierung "Spass" ;) !

wenn die "gewerbliche Mitarbeiter" nie einen WIN-SVR nutzen (mit diesem interagieren, auch keinen Applikationsserver der auf WIn-SVR läuft), dann keine WIN-CAL

und man wäre fein raus.

VG, Franz

[NilsK 3.046]

Moin,

 

in solchen Fällen kann es tatsächlich ein Ausweg zu sein, die Authentifizierung über ein separates System zu steuern. Obacht aber, dann darf natürlich auch die SAML-Komponente nicht auf einem Windows-Server laufen ...

 

Und: Eine der eingangs genannten Anforderungen war Einfachheit. In dem jetzt diskutierten Konstrukt hätte man aber mindestens zwei Authentisierungsquellen. Einfach wird das dann nicht mehr sein. Und da kommt dann eine Kostenbetrachtung ins Spiel, zumindest rate ich entschieden dazu.

 

Gruß, Nils