FirstWare IDM-Portal Review
Benutzer und Berechtigungen in Active Directory zu managen bringt zwei Nachteile mit sich:
- Es wird schnell komplex und unübersichtlich
- Aufgaben können nur von der IT-Abteilung mit Server Zugriff erledigt werden.
Beides führt zu langwierigen Prozessen, wenn Mitarbeiter Änderungen beantragen. Hinzu kommt, dass Daten häufig unvollständig oder nicht aktuell sind und die IT-Abteilung ist überlastet ist. Das FirstWare IDM-Portal hilft dabei, die Identitätsverwaltung zu erleichtern und zu verteilen.
IDM-Portal Übersicht
Typische Herausforderung im Identity Management
Als IT-Admin sind wir bei jeder Änderung von Adresse, Passwort oder Gruppe verantwortlich. Angesichts dieser zahlreichen Anfragen, neben den eigentlichen Aufgaben, ist die ganze IT-Abteilung schnell überlastet. Für die Anwender bedeutet das warten und teilweise Frustration.
Darüber hinaus hat die AD Verwaltung in der IT-Abteilung weitere Herausforderungen. Die Daten sind häufig unvollständig oder werden je nach Admin unterschiedlich bearbeitet. Soll neben Daten aus dem AD auch noch O365 oder Azure AD integriert werden, wird es ungemütlich. Klassische Identity Management Systeme würden vielleicht helfen, sind aber teuer, komplex und aufwendig zu implementieren. Deshalb haben wir über eine neue Lösung nachgedacht, die die Verwaltung des Active Directory erleichtert.
FirstWare IDM-Portal – Anwender im Mittelpunkt
Mit dem IDM-Portal von FirstWare haben alle Mitarbeiter des Unternehmens – wenn gewollt – Zugriff auf bestimmte Daten aus dem AD. Das IDM-Portal wird dazu an den Bedürfnissen der Anwender ausgerichtet. Das Software bietet eine intuitive und benutzerfreundliche Oberfläche, so dass normale Mitarbeiter AD-Routineaufgabe übernehmen – ohne IT-Kenntnisse oder Zugriff auf Windows Server.
Rollenbasierte Berechtigungen
Es werden dafür durch verschiedene Rollen definiert. In diesen wird genau festgelegt, welche Benutzergruppe welchen Zugriff auf bestimmte IDM Daten über das Portal bekommt. Die Rollen können für Abteilungen (z.B. HR), für Positionen (z.B. Manager) oder nach anderen Kriterien erstellt werden.
Entsprechend seiner Rolle hat der Anwender dann Zugriff auf mehr oder weniger Daten und kann mehr oder weniger viele Aktionen führen.
Typische Aktionen sind: Eigene Attribute aktualisieren, einen neuen Benutzer erstellen oder Berechtigungen (über Gruppen) verwalten.
Wir können nun einige Aufgaben wie die Anlage von neuem Benutzer und Gruppenberechtigungen sowie die Rücksetzung des Passworts an unsere Personalabteilung delegieren. Dies erleichtert den Prozess erheblich und entlastet die IT-Abteilung.
Trotzdem behalten die Administratoren, dank einer Log-Funktion die Möglichkeit, alle Änderungen eines Benutzers zu sehen.
Um Fehler zu vermeiden, werden Automatismen in PowerShell eingesetzt, die vor und nach der Bearbeitung von Daten ablaufen. Telefonnummer werden so automatisch korrigiert oder angeschlossene Systeme wie Exchange getriggert. Mittels Dropdown Auswahl können auch ganze Adressen im Vorfeld definiert werden.
Das spart Zeit für IT und Anwender und erhöht die Datenqualität.
Datenqualität durch Anwender
Ob Straße oder Strasse, es ist schwierig gute AD-Datenqualität zu schaffen, wenn mehrere Mitarbeiter für die Datenpflege verantwortlich. Ein AD Self Service erhöht das Problem, wenn dieser nicht ordentlich konzipiert ist. Dann könnte jeder Mitarbeiter Daten nach seinen Vorstellungen eintragen. Datenqualität und Anwendernutzen können aber mit Vorgaben und Automatismen vereinbart werden.
Ein Beispiel für schlechte Datenqualität sind Telefonnummern. Jeder Admin – und jeder Mitarbeiter – trägt Telefonnummern anders ein.
Manchmal finden wir +49 123 oder 00 123, mit oder ohne Leerzeichen, mit oder ohne Vorwahl. Mit einem integrierten Powershell Skript können wir die Formatierung automatisieren.
0172345566 ➔ PowerShell Skript ➔ +49 1723 4556 6
1
2 3 4 |
if ($mobile.StartsWith(“0”)){
$mobile = $mobile.substring(1) $mobile = [String]::Format(‘+49 {0:### #######}’,[int]$mobile) } |
Das IDM-Portal kann PowerShell-Skripte integrieren und über Aktionen ansteuern und Veränderungen mitloggen.
Vorteile und Nachteile
Zeit sparen und Fehler vermeiden
Was uns am meisten gefällt ist die Zeitersparnis. Als Administrator müssen wir viel weniger Daten pflegen oder Passwort zurücksetzen. Mit dem Self Service und dem rollenbasierten Zugriff können die Abteilungsverantwortliche und Endanwender selbst Ihre Daten pflegen.
Das IDM-Portal dient auch als Intranet Telefonbuch. Das spart dem Anwender Zeit, denn er muss keine andere Anwendung benutzen, um auf bestimmte Daten seiner Kollegen zuzugreifen. Die Administration braucht nur einmal Daten pflegen, nämlich das Active Directory.
Die Aktualisierung der Daten zu delegieren ist eine Zeitersparnis. Wenn wir jedoch alles, was die Mitarbeiter eingeben, korrigieren und kontrollieren müssen, kann dies zu noch mehr Arbeit führen.
Glücklicherweise wird mit dem IDM-Portal die Dateneingabe erleichtert. z.B.: Telefonnummern, die automatisch korrigiert werden, Datentemplates, etc …
Zugriff auf AD für alle
Alle IT-ferne Mitarbeitern könnten jetzt Routineaufgabe übernehmen.
Die Daten werden schneller von den Mitarbeitern direkt oder Verantwortlichen, wie der Personalabteilung, aktualisiert. Einen direkten Zugriff auf einen Windows Server bekommen sie nicht..
Als Admin kann man dennoch das Gefühl bekommen, hier den Überblick oder die Kontrolle zu verlieren. Der Überblick bleibt allerdings durch das Logging aller Änderungen und den Echtzeitzugriff auf aktuelle Daten erhalten. Die Kontrolle bleibt bei der IT, denn Rollen können gezielt eingegrenzt werden. Zudem gibt es mehrere Sicherheitsmechanismen, die verhindern, dass den Zugriffseinstellungen “vorbeigearbeitet” wird.
Somit kann die IT-Abteilung sich auf andere Aufgabe konzentrieren und die Datenarbeit abgeben..
Fazit
Mit dem IDM-Portal können wir Routineaufgaben, wie das Aktualisieren von Benutzerdaten, delegieren. Das senkt die Wartezeit bei Mitarbeitern und gibt uns die Möglichkeit, uns auf technisch wichtigere Themen zu konzentrieren.
Weitere Informationen über IDM-Portal Software finden Sie hier: