Jump to content

Active Directory nur zur Authentifizierung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

wir haben einen EA Vertrag mit 850 qualifizierten Desktops, insgesamt aber 1800 Mitarbeiter. Rest sind gewerbliche Mitarbeiter welche nicht am PC arbeiten.

 

Nun möchten wir gerne eine neue Webseite, ein Mitarbeiter Info Portal einführen und jedem Mitarbeiter Zugriff über sein Handy und personalisiertem Zugriff ermöglichen.

 

Um es einfach zu halten, würden wir gerne alle Mitarbeiter im Active Directory aufnehmen. Die Authentifizierung findet über ADFS (SAML2) statt.

 

Die Anwendung basiert auf Typo 3 und läuft auf einem Linux System. Keine sonstigen Zugriffe auf Windows Server. Ausschließlich die Authentifizierung.

 

Müssen nun für die Differenz der Benutzer Lizenzen angeschafft werden, wenn ja, welche ?

Link zu diesem Kommentar

Hi,
eigentlich einfach... der EA ist scheinbar via "850 qualifizierten Desktops" im CPS definiert.

Liest sich i.M. auch so, dass da im DT(Desktops) die CORE-CAL-Suite als Device-CAL drin ist...
Da ein Handy nicht als DT gezählt wird, muss also auch nicht mehr als 850 DT bemeldet/bezahlt werden...
Die WIN-CAL würde ich dann via einem an dem EA gekoppelten MPSA kaufen (Ob SA nötig ist, ist Geschmacksache).

 

Ist die CORE-CAL-Suite im EA aber als USER-CAL selektiert, könnte MS auf die gierige Idee kommen,
die USER-CORE-CAL auf die dann relevante MA-Anzahl erhöhen zu wollen ...

Etwas schwierig, da ich das CPS nicht betrachten kann.

 

VG + Guten Rutsch,

Franz

Link zu diesem Kommentar

Hi,
 

heikel!
Die Authentifizierung alleinig benötigt in der Lizenzierung die WIN-CAL, da ja "Interaktion" mit dem WIN-SVR.
Da es die WIN-CAL nicht einzelnd im EA gibt, sondern nur als Bestandteil der CORE-CAL-Suite,
darf somit MS die Erhöhung dieser auf 1.800 fordern.
Leider hat man das "Vorhaben" wohl nicht am EA-Start gewußt, oder?

Wenn doch, hätte ich das anders beraten ...
CORE-CAL nicht im EA sondern via MPSA lizenzieren für die, die es benötigen...
dann fürs Vorhaben (gewerbliche Mitarbeiter) nur die WIN-CAL via MPSA auf 950 nachkaufen,

ev. sogar ohne SA (dann Kauf sogar als ROK-/OEM-CALs!) ... wäre alles möglich gewesen, wenn man das Wissen hat ...

 

Ev. Lösung... Euer Vorhaben auf nach das Ende des EA (3-Jahre-Laufzeit) verschieben,
dann aber den EA im CSP neu definieren!


Zeiten und der Bedarf ändern sich im Laufe der Zeit eines Vertrages ....
Deswegen "begleite" ich meine Kunde über viele Jahre mit meiner Beratung...
Normalerweise trifft mein Spruch so gut wie immer zu:
"Ich koste nichts, der Kunde zahlt mich immer aus dem Ersparten..."

VG, Franz
 

Link zu diesem Kommentar

Hi,
Lizenzpflicht besteht weiterhin,
solange bei der Authentifizierung irgendwie mit dem WIN-SVR und dem dort "Authentifizierung-Ding"(sorry bin kein Technik-Fachmann)
interagiert wird. ...Nennt sich in den Produktbestimmungen bei MS "multiplexing" !
(Schalte den WIN-SVR aus, wenn`s dann immer noch funktioniert, keine CAL, ansonsten > WIN-CAL...)


VG, Franz

bearbeitet von lizenzdoc
Link zu diesem Kommentar

Hi @lizenzdoc,

 

mal unabhängig von dem Beitrag hier, finde ich es echt top das du immer wieder Hilfe zu Lizenzfragen gibst.
Ich hab von der Lizenzierung z.B. nur sehr oberflächlich Know-How, könnte mittlerweile nen eigener Studiengang sein...

 

vor 9 Stunden schrieb lizenzdoc:

solange bei der Authentifizierung irgendwie mit dem WIN-SVR und dem dort "Authentifizierung-Ding"(sorry bin kein Technik-Fachmann)
interagiert wird. ...Nennt sich in den Produktbestimmungen bei MS "multiplexing" !

Das wäre hier nicht der Fall.
Du könntest alle DCs abschalten, die Authentifizierung samt DNS Abfragen kann vom Linux Server erledigt werden.
Seit Samba 4 kann ein Linux DC (fast) vollständig die kompletten ADDS funktionalitäten abdecken. Größere Umgebungen mit mehreren Gesamtstrukturen und Domänen würde ich damit vielleicht nicht realisieren, aber ansonsten auf jeden Fall eine brauchbare Lösung.
 

Könnte für deine Anforderungen vielleicht wirklich Sinn machen diese Option zu evaluieren @StefanWe.
Vielleicht hat noch wer anders Erfahrung mit mixed environments?

bearbeitet von falkebo
Link zu diesem Kommentar

Moin,

 

in solchen Fällen kann es tatsächlich ein Ausweg zu sein, die Authentifizierung über ein separates System zu steuern. Obacht aber, dann darf natürlich auch die SAML-Komponente nicht auf einem Windows-Server laufen ...

 

Und: Eine der eingangs genannten Anforderungen war Einfachheit. In dem jetzt diskutierten Konstrukt hätte man aber mindestens zwei Authentisierungsquellen. Einfach wird das dann nicht mehr sein. Und da kommt dann eine Kostenbetrachtung ins Spiel, zumindest rate ich entschieden dazu.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...