Active Directory ungeeignet
Identity & Access Management: Mit Kunden Daten teilen – aber sicher!
Will ein externer Nutzer Zugriff auf Daten im Unternehmensnetzwerk erhalten, muss er sich authentifizieren können
Von Jan Pieter Giele, Managing Director DACH bei Tools4ever
(03.09.14) - Früher betraf die IT im Unternehmen hauptsächlich die eigenen Mitarbeiter, nur sie mussten auf Informationen im Netzwerk zugreifen können. Heute beginnen viele Firmen damit, im Unternehmensnetzwerk gespeicherte Daten auch externen Kunden bereitzustellen. Das bedarf jedoch anderer Werkzeuge, sollen Sicherheit und Nutzbarkeit weiter gewährleistet bleiben. Zwei Seiten einer Medaille: Wer Partnern und Kunden den Zugriff auf Daten im eigenen Netzwerk gewährt, zeigt seine Serviceorientierung und vereinfacht die Kommunikation. Andererseits muss er gewährleisten, dass Daten mit externen Parteien sicher geteilt werden und keine Unbefugten Zugriff erhalten. Obwohl derartige Prozesse längst Standard sind – beispielsweise der Einblick in Lager- und Bestellstatus oder offene Rechnungen – stellen sie viele Unternehmen vor absehbare Probleme. Der Hintergrund ist ganz einfach: Will ein externer Nutzer Zugriff auf Daten im Unternehmensnetzwerk erhalten, muss er sich authentifizieren können. Damit sind Organisationen nicht mehr nur Identitätsanbieter für eigene Mitarbeiter, sondern auch für ganz unterschiedliche, externe Parteien.
Die meisten IT-Abteilungen setzen darauf, dass sich auch externe Nutzer über das bestehende Active Directory authentifizieren. Es hat sich schließlich als geeigneter Zugangsdatenspeicher für die Benutzerverwaltung interner Mitarbeiter erwiesen. Auch kennen sich die Beteiligten mit der Verwaltung des Active Directory meist sehr gut aus. So ist es reine Routine, auch für externe Kunden ein AD-Konto im eigenen Netzwerk zu erstellen und mit Microsoft eine kostengünstige Regelung in Bezug auf die Client Access Licenses (CALs) für relativ einfach genutzte Konten zu vereinbaren. Allerdings wächst jedoch die Zahl der AD-Konten in diesem Fall oft sehr stark und dazu kommt, dass der Identitätslebenszyklus externer Parteien besonderer Aufmerksamkeit bedarf: Kann sich beispielsweise ein Kunde mit "zweifelhaftem" Debitorstatus noch auf dem Bestellportal anmelden, wird das gegebenenfalls teuer. Ein Unternehmen muss also sicherstellen, dass das Active Directory bereinigt und aktuell ist. Eine hohe Belastung der IT-Abteilung ist oftmals die Folge.
CRM als Quelle
Dazu kommen häufig Unstimmigkeiten bei den Ausgangsdaten. Denn die Daten für interne Mitarbeiter stammen oft aus dem HR-System, wogegen als Quellsystem der externen Nutzer in der Regel das CRM-Systemdienst. Dieses ist jedoch nicht per se bereinigt und aktuell – eine schwierige Quelle also, um Benutzerkonten zu erstellen. Wer sein CRM-System als Quellenutzen will, muss dieses daher oft besser verwalten und damit zusätzliche Ressourcen aufwenden. Dazu kommt: Das Active Directory lässt sich erst dann befüllen, wenn sich die Kunden erstmals am Portal anmelden, dort ihre Daten hinterlassen und nach dem Abgleich mit dem CRM ihren Zugang erhalten. Hier ist also die Gefahr groß, dass Inkonsistenzen auftreten, beispielsweise wenn Nutzer ungeduldig werden und sich zweimal anmelden oder sich Schreibweisen unterscheiden. Deutlich vereinfachen lässt sich die Rechtevergabe an externe Kunden und Partner durch ein Identity & Access Management.
Prozesse vereinfachen
Lösungen wie etwa User Management Resources Administrator (UMRA) von Tools4ever gestatten die Benutzerkontenverwaltung externer Nutzer in Echtzeit. So lassen sich unterschiedliche Anwendungen über Schnittstellen mit UMRA verbinden und dadurch ein automatischer Datenaustausch beispielsweise zwischen Active Directory, HR-System, SAP, Mail-Anwendung oder CRM gewährleisten. Wird ein Kunde damit beispielsweise von der Buchhaltung deaktiviert, können die Daten automatisch zum Rechteentzug genutzt werden. Zudem sind für Administrationsaufgaben keine direkten Eingriffe mehr ins Active Directory nötig, über Formulare lassen sich die nötigen Eingaben erledigen. Fehler werden verhindert, weil nur vorab festgelegte Operationen möglich sind. So sind keine qualifizierten IT-Fachleute für die Datenpflege mehr erforderlich, vieles lässt sich beispielsweise vom Helpdesk erledigen. Zudem gestattet es ein Identity & Access Management, die Rechtevergabe jederzeit lückenlos zu kontrollieren und damit auch die stetig zunehmenden Compliance-Vorgaben zu erfüllen.
Der Autor:
Jan Pieter Giele ist Managing Director DACH bei Tools4ever (www.tools4ever.de) und Experte im Identity & Access Management. Mit UMRA (User Management Resource Administrator) bietet Tools4ever eine modulare IAM-Lösung, die sich flexibel einsetzen lässt.
(Tools4ever: ra)
Tools4ever: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.