Identity Governance regelt Zugriffskontrolle im Azure AD

Passende Rechte

Im Azure AD tummeln sich neben den eigenen Benutzern vermehrt Lieferanten, Partner oder externe Entwickler Teil. Liegen die eigenen Identitäten und die externen Partner in einem Verzeichnis, wird Kollaboration in den verschiedensten Anwendungen einfacher, die Verwaltung der verschiedenen Berechtigungen jedoch komplexer. Hier hilft das Identity-Governance-Paket in Azure.
Der Mailserver ist für Firmen das kommunikative Tor zur Welt. Hinzu kommen verschiedene Collaboration-Werkzeuge für die Zusammenarbeit der Mitarbeiter. Fallen ... (mehr)

Access-Management und Prozesse, die den Lebenszyklus hierfür unterstützen, sind selbst in Unternehmen, die kaum oder keine Kollaboration in der Cloud anstreben, interessant. Denn beispielsweise wechseln Mitarbeiter oft innerhalb des Unternehmens zwischen den Abteilungen. Dabei sammeln sie unterschiedliche Berechtigungen ein: Zugriff auf die Marketingablagen, Einsicht in diverse Schulungen, Informationen zu Budgetplanungen der vergangenen Jahre, dann ein Wechsel in eine Sales-Rolle, wo sie Einsicht in kundenbezogene Informationen erhalten. Selten wird hinter den Mitarbeitern aufgeräumt, wenn ein Rollenwechsel stattfindet. Wird der zugehörige Benutzeraccount durch Angreifer übernommen, erhalten diese Zugriff auf all diese Informationen. Bei administrativen Konten ist dies fatal: Auch hier behalten Administratoren nach dem Setup von Systemen weitreichende Berechtigungen – über verschiedene Projekte hinweg.

Access-Management für Ressourcen in der Cloud erreichen Administratoren von Azure AD (AAD) mit "Identity Governance". Die Funktion gibt Organisationen Möglichkeiten, Ressourcen zu bündeln, Endbenutzern zuzuweisen und den Zugriff über Automatismen regelmäßig zu überprüfen. Im AAD spaltet sich Identity Governance in zwei Teile, den Lebenszyklus von Berechtigungen für Administratoren (Privileged Identity Management; PIM) und für Endbenutzer (Entitlement Management; ELM). Diese Funktionen unterliegen jeweils den Premium-Lizenzen "P2". Zum Test der Funktionen reicht auch eine Trial-Lizenz.

Zugriffspakete erstellen und verwalten

ELM in Azure AD verwaltet im Moment Gruppen (sowohl Sicherheits- als auch Office-365-Gruppen), in AAD integrierte Anwendungen (sowohl SaaS als auch selbst erstellte) und SharePoint Online Sites. ELM schnürt Berechtigungen in "Zugriffspakete" (Access Packages), die aus einer oder mehreren Ressourcen und einer oder mehreren

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019