Das Identitätsmanagementsystem ist ein zentraler Bestandteil jeder IT-Abteilung. Solange es funktioniert, werden nur wenige Leute von seiner Existenz Notiz nehmen und folglich ist es oft nicht optimiert, um die Qualität des Systems zu verbessern. Mit 16 Jahren Erfahrung in der Entwicklung einer Serverlösung für das zentrale Identitätsmanagement (IdM) identifizierte Univention zehn Schritte zur Verbesserung Ihres IdM, unabhängig davon, ob Sie Ihr IdM vor Ort oder in der Cloud wie UCS auf AWS betreiben . Gehen wir sie durch.
Schritt 1:Führen Sie eine Bestandsaufnahme Ihrer Anwendungen durch und entfernen Sie Schatten-IT
Wenn wir an unsere IT-Umgebungen denken, denken wir oft in physikalischen Begriffen und überlegen, welche Server, Switches und Kabel wir haben. Das Führen eines Inventars davon ist definitiv eine Notwendigkeit und wird von jeder Buchhaltungsabteilung verlangt. Aber normalerweise denken wir weniger darüber nach, dasselbe für unsere Software zu tun. Dies gilt insbesondere für „Schatten-IT“, die möglicherweise außerhalb der IT-Abteilung gewachsen ist. Nur mit einer vollständigen Softwareliste können Sie Ihre IT weiter erheblich verbessern.
Die Suche nach Ihren offiziellen IT-Diensten sollte Teil der Lektüre Ihrer Dokumentation sein. Für die Schatten-IT ist es vielleicht nicht so einfach.
Unsere drei bevorzugten Methoden zur Bestimmung der verwendeten Schatten-IT-Produkte sind die folgenden:
- Fragen Sie Ihre Benutzer! Dies ist wahrscheinlich der einfachste Weg, dies herauszufinden. Dies gibt Ihnen auch die Möglichkeit, mehr darüber zu erfahren, welche Dienste und Tools sie schätzen und am meisten benötigen.
- Fragen Sie Ihre Buchhaltung nach einer Liste von Anbietern und durchsuchen Sie diese nach IT-Dienstleistern, die Ihnen Dienstleistungen anbieten. Die hier am häufigsten anzutreffenden Anwendungen sind Planungs- und Dashboard-Tools wie Trello.
- Und wenn die Richtlinien Ihres Unternehmens und geltende Gesetze dies zulassen, sehen Sie sich Ihre Firewall an. Wenn Sie die Möglichkeit haben, ausgehende Verbindungen zu exportieren und nach Verbindungsnummern zu sortieren, sollten Sie herausfinden, was Ihre Benutzer verwenden. Am häufigsten finden Sie hier Cloud-Dienste für Verbraucher. Dropbox und Box werden höchstwahrscheinlich hier auftauchen.
Die Übersicht über alle verwendeten Anwendungen, die Sie durch diesen Scan-Prozess erhalten, ermöglicht es Ihnen, das Anwendungsangebot für Ihre Benutzer zu verbessern und die Schatten-IT schrittweise zu reduzieren, was wiederum den Overhead reduziert und die Sicherheit und Stabilität verbessert.
Schritt 2:Erstellen Sie einen führenden Dienst
Zwischen LDAPs, SQL-Datenbanken und Onlinediensten wie dem Login mit Google gibt es zahlreiche Möglichkeiten, Ihre Identitäten innerhalb einer Organisation zu verwalten. In den meisten Fällen hat jede Anwendung die Möglichkeit, ihre Benutzerbasis beizubehalten, und hat möglicherweise auch die Möglichkeit, andere Software zu kontrollieren.
Eine explizite Entscheidung zu treffen, welches System die Identitäten beibehalten soll, ist ein wesentlicher Schritt beim Entwerfen des Systems und um sicherzustellen, dass das führende System über alle Informationen verfügt, um jede Anwendung zu steuern, die Sie finden können.
Stellen Sie sicher, dass Ihr gewähltes System Ihre Anwendungen steuern kann. UCS beispielsweise hält für Ihre Anwendungen sowohl OpenLDAP als auch AD sowie zahlreiche Konnektoren für Online-Dienste bereit. Alle für UCS verfügbaren Funktionen und Tools finden Sie im Univention App Center .
Nach der Entscheidung konzentrieren Sie sich darauf, die verschiedenen Systeme einzeln zu integrieren. Wenn Sie virtualisierte Systeme verwenden, können Sie möglicherweise eine Kopie der beteiligten Server erstellen, um sicherzustellen, dass Sie alle erforderlichen Einstellungen vorgenommen haben, bevor Sie sie auf die Produktivumgebung anwenden.
Schritt 3:Machen Sie es Ihren Benutzern bequemer
Die meisten Benutzer sind nicht besonders besorgt über die Privatsphäre und den Datenschutz. Während sich das Management ihrer Bedeutung oft bewusst ist, verweisen Benutzer sie oft auf den zweiten Platz hinter ihrem Komfort. Wenn Sie also versuchen, durch die Implementierung eines zentralen IdM Wirkung zu erzielen, ist der Komfort, den es Ihren Benutzern bieten kann, oft ein entscheidendes Instrument für Akzeptanz und Erfolg. Obwohl die Richtlinien „gleicher Benutzer, gleiches Passwort“ möglicherweise ausreichen, um die Anforderungen des Administrators oder Ihrer Strategie zu erfüllen, können Sie Ihre Benutzer nur mit einem Single-Sign-On-System davon überzeugen, dass Ihre Dienste besser sind als alle anderen Dienste zu Hause verwenden.
Schritt 4:Minimieren Sie Ihre Arbeit
Jetzt sind Benutzerkomfort und App-Abdeckung die wesentlichen Voraussetzungen für die anhaltende Akzeptanz Ihres IdM. Kein Managementsystem ist jedoch vollständig ohne eine Möglichkeit, es zu verwalten. Mit Vorlagen und vernünftigen Standardeinstellungen können Sie die Routineaufgaben beim Erstellen von Benutzern und deren Verschiebung in die jeweilige Abteilung minimieren. Wenn Ihr System es Ihnen ermöglicht, Standardeinstellungen festzulegen, verwenden Sie diese. Wenn nicht, sollten Sie sich nach einem neuen System umsehen.
Schritt 5:Überprüfen Sie Ihre Passwortrichtlinien
Empfehlungen und mögliche Anforderungen für Passwortrichtlinien haben sich geändert. Das National Institute of Standards and Technology hat seine Dokumentation aktualisiert, und Abschnitt 5.1.1 bietet einen hervorragenden (und kostenlosen) Ausgangspunkt, um die aktuellen Ideen zu sicheren Passwörtern zu sehen. Die aktuellen Richtlinien sind nicht nur ein Sicherheitsaspekt, sondern tragen auch direkt zum Benutzerkomfort bei. Wenn Sie drei Monate lang immer noch 6 Zeichen verwenden, sollten Sie die neuen Anforderungen überprüfen. Bei immer größer werdender Rechenleistung zu immer günstigeren Preisen geht die Empfehlung zu längeren Passwörtern für ein halbes Jahr oder noch länger. Je seltener Sie das Passwort ändern müssen, desto eher wählen die Benutzer ein vernünftig komplexes Passwort.
Schritt 6:Zwei-Faktor-Authentifizierung
Industriespionage betrifft nicht nur große Unternehmen. Auch mittelständische und kleine Unternehmen sind täglich davon betroffen. Eine der häufigsten Methoden, an Informationen zu gelangen, ist das Knacken von Passwörtern. Nun, eine gute Passwortrichtlinie, wie zuvor erwähnt, kann einige der Probleme entschärfen. Warum jedoch nicht 2018 zu dem Jahr machen, in dem Sie die Zwei-Faktor-Authentifizierung in Ihrer gesamten IT-Landschaft implementieren? Tools wie privacyIDEA und der YubiKey ermöglichen es Ihnen, Ihren Benutzern die Verwendung der hardwarebasierten Authentifizierung zu ermöglichen.
Schritt 7:Einzelne Administratorkonten verwenden
Root und Administrator sind zwei sehr praktische Konten, die Sie auf Ihren Servern und Workstations finden können. Sie sind für Ihre Administratoren leicht verfügbar und jeder wird sich an den Namen erinnern. Wenn Sie das Passwort vergessen, teilen Ihre Kollegen es Ihnen natürlich gerne mit.
Einzelne Konten mindern dieses Problem. Sie haben ein Konto pro Administrator mit seinem Passwort und Benutzernamen. Natürlich sollten sich diese Konten von denen unterscheiden, mit denen Sie sich bei der täglichen Arbeit anmelden.
Schritt 8:Änderungen aufzeichnen und Änderungen prüfen
Separate Konten für Administratoren ermöglichen es Ihnen außerdem, Änderungen zu protokollieren und zu überwachen, wer welche Einstellungen ändert. Die Überwachung von Änderungen ist nicht nur wichtig für die Rechenschaftspflicht, sondern noch hilfreicher, wenn Sie die Zukunft Ihrer Umgebungen untersuchen. Wenn Sie sehen, dass ein Administrator immer einen Parameter auf eine Klasse von Objekten anwendet, sollten Sie erwägen, ihn zum Standard zu machen.
Schritt 9:Servereinstellungen überprüfen
Die meisten von uns betreiben ihre Server lange Zeit. Insbesondere wenn Sie virtuelle Maschinen und vorhandene Softwareupdates verwenden, führen Sie möglicherweise immer noch Software aus, die Sie ursprünglich vor zehn Jahren installiert haben. Dies ist zwar großartig in Bezug auf die Effizienz, bedeutet aber auch, dass viele Ihrer Einstellungen möglicherweise länger verwendet werden, als einige von uns an diesem Server gearbeitet haben.
Die Überprüfung der Standardeinstellungen wird oft vergessen, und es könnte eine gute Idee sein, die Konfiguration zu überprüfen, um festzustellen, ob Verbesserungen erforderlich sind.
Schritt 10:Offsite-Kopien
Stellen Sie sich vor, Ihr Serverraum hat ein elektrisches Problem und ist nicht betriebsbereit. Da jetzt alle Ihre Cloud-Dienste ihre Passwörter vom Server erhalten, könnten Ihre Kollegen nicht einmal ihre Laptops mit nach Hause nehmen, da keiner Ihrer Cloud-Dienste verfügbar ist.
Hier ist ein Offsite-Server hilfreich. Wenn der Server weit genug von Ihnen entfernt ist, wird selbst ein schwerwiegendes Problem seinen Betrieb nicht beeinträchtigen. Mit Cloud-Diensten von AWS und Azure ist die Erstellung eines Offsite-Servers möglich, um ein Offsite-Backup für wenige Dollar pro Jahr zu erstellen.
Weitere Informationen zu Univention Corporate Server als Beispiel für ein offenes und zentrales IdM finden Sie in den folgenden vorangegangenen Artikeln:
- Einführung in Univention Corporate Server
- Installation und Konfiguration von Univention Corporate Server
- Einen privaten Server mit ownCloud, Kopano und Let’s Encrypt auf UCS einrichten
Schlussfolgerung
Durch Verbesserungen an Ihrem IdM wird Ihr Admin-Alltag einfacher und Ihre gesamte IT sicherer. Indem Sie kleine Projekte einzeln angehen, können Sie diese Änderungen nacheinander vornehmen und Ihre IT kontinuierlich verbessern. Obwohl die Auswirkungen der oben genannten Änderungen anfangs nicht groß erscheinen mögen, kann jede von ihnen auf lange Sicht erhebliche Auswirkungen auf Ihre IT haben.