Intranetzugriffsverwaltung und Single Sign-On

Kapitel 1: Einführung

Veröffentlicht: 11. Mai 2004 | Aktualisiert: 26. Jun 2006

Auf dieser Seite

Zusammenfassende Darstellung
Überblick über den Artikel

Zusammenfassende Darstellung

Eine gemeinsame Infrastruktur für die Intranetzugriffsverwaltung, die Anwendungen und Plattformen umfasst, kann bedeutende Vorteile für Organisationen bieten, die die Nutzung und Verwaltung digitaler Identitäten verbessern möchte. Die Nutzung eines Standardsatzes von Sicherheitsprotokollen und die Beseitigung redundanter Identitätsspeicher können zum Beispiel eine Infrastruktur vereinfachen, den Verwaltungsaufwand verringern, das Einmalige Anmelden (SSO) ermöglichen, und die Sicherheitsüberwachung erleichtern.

Diese Vorteile sind vorrangig finanzieller Natur, einschließlich niedrigerer Verwaltungskosten, Lizenzgebühren und Anwendungsentwicklungskosten. Zusätzlich ergeben sich eine höhere Sicherheit, da die Angriffsfläche verkleinert wird, und bessere Möglichkeiten zum Schutz des Zugriffs auf vertrauliche Daten.

Die Verbesserung der Intranetzugriffsverwaltung durch enge Integration mit generischen Verzeichnis- und Sicherheitsdiensten stellt auf technischer Seite oft eine Herausforderung dar. Ein großer Teil dieser Herausforderung entspringt der Tatsache, dass zurzeit wenig unkomplizierte Hilfestellung für die Konfiguration von Plattformen und Anwendungen mit dem Ziel erhöhter Interoperabilität existiert. Im vorliegenden Artikel wird dieses Problem thematisiert. Es werden die geschäftlichen Herausforderungen, Sicherheitsaspekte, Tools und Protokolle erörtert.

Dieser Artikel ist Bestandteil der Serie Identitäts- und Zugriffsverwaltung mit Microsoft.

Geschäftliche Herausforderungen

Unternehmen haben in den letzten zehn Jahren bedeutende Summen in ihre technische Infrastruktur investiert, die jedoch in vielen Fällen nicht mit ihrem vollen Potenzial eingesetzt wird. Fast jedes Unternehmen nutzt unabsichtlich konkurrierende und sich überschneidende Lösungen für allgemeine Probleme bei der Intranetzugriffsverwaltung.

Die meisten Unternehmen stehen folgenden allgemeinen, geschäftlichen Herausforderungen bei der Verwaltung ihres Intranetzugriffs gegenüber:

• Zwischen Anwendungen ist meist keine SSO-Funktionalität gegeben, wodurch der Nutzer verwirrt, die Produktivität gesenkt und Helpdesk- und Verwaltungskosten erhöht werden.

• Bestehende mehrfache Identitätsspeicher verursachen eine hohe Anzahl von Anfragen nach dem Zurücksetzen von Kennwörtern.

• Verschiedene, inkonsistente Ansätze bei Sicherheitsdiensten wie Authentifizierung und Autorisierung machen es schwierig, wertvolle Geschäftsdaten umfassend zu schützen.

Mitarbeiter vieler Unternehmen verbringen mehr als eine Viertelstunde täglich damit, sich bei verschiedenen Betriebssystemen, Verzeichnisdiensten und Anwendungen anzumelden. Das bedeutet, dass durch die Vielzahl der Authentifizierungsmechanismen in einem Unternehmen mit 10.000 Computerbenutzern jeden Tag 2.666 Stunden verloren gehen. (Quelle: META Group research, durchgeführt für PricewaterhouseCoopers, Juni 2002.)

Verschiedene Anwendungen mit unterschiedlichen Identitätsspeichern erfordern normalerweise unterschiedliche Benutzernamen und Kennwörter, was direkt zu höheren Helpdeskkosten durch mehr Anfragen nach dem Zurücksetzen von Kennwörtern führt.

Datenschutz hat bei heutigen Unternehmen eine hohe Priorität. Daten über Produkte, Kunden und die Finanzsituation stellen für viele Unternehmen ein bedeutendes Kapital dar, und es ist unverzichtbar, diese Daten beim Zugriff und bei der Nutzung durch Büroanwender zu schützen. Zusätzlich zu Wettbewerbsrisiken, die durch gefährdete Daten verursacht werden, haben in vielen Branchen die Anforderungen der Aufsichtsbehörden an den Datenschutz bedeutend zugenommen. Die Nichteinhaltung solcher Anforderungen kann zu Geldstrafen für Unternehmen, dem Verlust des Kundenvertrauens oder beidem führen.

Geschäftliche Vorteile

Die Implementierung einer effizienten Intranetzugriffsverwaltung innerhalb eines Unternehmens kann eine Reihe von geschäftlichen Vorteilen mit sich bringen, zum Beispiel:

• Erhöhte Benutzerproduktivität. Wenn die Zeit, die Computerbenutzer zur Authentifizierung verwenden, von 16 auf 2 Minuten pro Tag gesenkt werden könnte, würde ein Unternehmen mit 10.000 Benutzern mehr als 2.300 Stunden pro Tag gewinnen, was ungefähr der jährlichen Arbeitszeit eines Vollzeitmitarbeiters entspricht. SSO ermöglicht dies: Durch Einmaliges Anmelden wird die Produktivität um 15 Prozent und die Anmeldeeffizienz um 18 Prozent erhöht.

• Verringerte Helpdesk-Kosten. Da sich Benutzer weniger Anmeldeinformationen merken müssen, können sie Sicherheitsrichtlinien besser befolgen und verursachen weniger Helpdesk-Anrufe zum Zurücksetzen ihres Kennworts.

• Verbesserte Netzwerksicherheit. Die Verringerung der nötigen Anmeldeinformationen verbessern außerdem die Netzwerksicherheit, da Benutzer weniger ungeeignete Methoden (z. B. Aufschreiben) zur Verwaltung verschiedener Kennwörter verwenden.

• Erhöhter Datenschutz. Durch die Sicherheitsfunktionalitäten der besten Infrastrukturprodukte verbessern Unternehmen den Datenschutz und erfüllen Anforderungen von Aufsichtsbehörden.

• Konsolidierung der Infrastruktur. Durch die Schaffung einer Umgebung für eine Anwendungs- und Plattformintegration können Unternehmen Identitätsspeicher konsolidieren sowie Verwaltungs- und Lizenzgebühren sparen.

• Verringerter Verwaltungsaufwand. Eine Zugriffsverwaltung, die sich über mehrere Plattformen erstreckt und die Mehrheit der Unternehmensanwendungen umfasst, erhöht die Rendite der Investitionen zur Konsolidierung der Identitätsspeicher noch weiter. Dies ist möglich, weil sich weitere Kosteneinsparungen durch den verkleinerten Verwaltungsapparat ergeben.

Zielgruppe

Zur Zielgruppe für diesen Artikel zählen unter anderem Architekten, IT-Experten, IT-Manager, Entscheidungsträger für technische Fragen sowie Berater, die an der Identitäts- und Zugriffsverwaltung beteiligt sind.

Zielgruppenvoraussetzungen

Dieser Artikel richtet sich an Leser mit durchschnittlichem Wissen über Konzepte der Identitäts- und Zugriffsverwaltung, wie sie im Artikel „Grundlegende Konzepte“ dieser Serie beschrieben werden.

Um die beiden Lösungen zu implementieren, die in diesem Artikel genannt werden, sollten Leser ausreichende Kenntnisse in der Infrastruktur besitzen, die im Artikel „Plattform und Infrastruktur“ dieser Serie beschrieben wird. Ebenso sind Kenntnisse in der Einrichtung dieser Infrastruktur erforderlich. Bei den verschiedenen Lösungsszenarios gelten folgende zusätzliche Anforderungen:

• Beim ersten Lösungsszenario sind Kenntnisse in der UNIX-Administration und -Konfiguration erforderlich.

• Beim zweiten Lösungsszenario sind Kenntnisse in der SAP-Administration und -Konfiguration erforderlich.

Feedback

Sollten Sie Fragen zu diesem Dokument haben oder Kommentare abgeben wollen, schreiben Sie bitte eine E-Mail an secwish@microsoft.com.

Überblick über den Artikel

In diesem Artikel werden die geschäftlichen Herausforderungen, Sicherheitsaspekte, Tools und Protokolle behandelt, mit denen die Intranetzugriffsverwaltung durch eine Integration in Windows Server 2003-Verzeichnis- und Sicherheitsdienste verbessert wird.

Der Artikel besteht aus den folgenden sieben Kapiteln:

Kapitel 1: Einführung

In diesem Kapitel wird der Artikel vorgestellt und die beiden Hauptszenarios beschrieben.

Kapitel 2: Ansätze zur Intranetzugriffsverwaltung

In diesem Kapitel werden verschiedene Möglichkeiten zur Verbesserung der Intranetzugriffsverwaltung erörtert, einschließlich:

• Direkte Integration in Microsoft Windows®-basierte Server- und Client-Betriebssysteme

• Individuelle Integration in Windows-basierte Verzeichnis- und Sicherheitsdienste

• Integration durch das Lightweight Directory Access Protocol (LDAP)

• Methoden zur Anmeldedatenzuordnung unter Verwendung von unternehmensweit eingesetzten Produkten für Einmaliges Anmelden (Enterprise Single Sign On, ESSO)

• Synchronisierte Benutzerkonten und Kennwörter über verschiedene Systeme hinweg

Das Kapitel listet die Vor- und Nachteile der einzelnen Methoden auf und hebt Situationen hervor, für die sich eine der Methoden am besten eignet.

Kapitel 3: Probleme und Anforderungen

Anhand des Contoso Pharmaceuticals-Szenarios werden in diesem Kapitel die technischen Aspekte und Anforderungen zur Verbesserung der Intranetzugriffsverwaltung in der Contoso-Umgebung erläutert.

Kapitel 4: Entwickeln einer Lösung

In diesem Kapitel wird die Entwicklung der zwei Lösungsszenarios für Contoso beschrieben. Mit den Informationen der vorherigen Kapitel werden die Komponenten der Intranetzugriffsverwaltung in jedem Szenario erklärt und deren Zusammenarbeit dargestellt.

Kapitel 5: Implementieren der Lösung

Dieses Kapitel enthält schrittweise, ausführliche Anleitungen zur Implementierung der Entwürfe aus dem vorherigen Kapitel. Diesem Kapitel liegt die Infrastruktur der Contoso-Identitäts- und Zugriffsverwaltung zugrunde. Es wird gezeigt, wie Sie jedes Intranetzugriffsverwaltungsszenario auf sichere und funktionelle Weise einrichten können.

Kapitel 6: Testen der Lösung

In diesem Kapitel erhalten Sie Hilfestellung bei der Problembehandlung und Überprüfung der im letzten Kapitel implementierten Contoso-Lösungsszenarios.

Kapitel 7: Operative Überlegungen

Das letzte Kapitel des Artikels vermittelt einen Überblick über einige Hauptprozesse, die für die routinemäßige Verwaltung der beiden Intranetzugriffsverwaltungslösungen erforderlich sind.

Lösungsszenarios

Die Kapitel 3 bis 7 enthalten Details zum Entwurf und zur Implementierung der folgenden zwei Szenarios:

• Integrieren von UNIX-Arbeitsstationen in Active Directory

• Integrieren der SAP R/3 Application Server-Authentifizierung mithilfe von Kerberos

Diese Szenarios wurden zusammengestellt, um die typischen Herausforderungen für Unternehmen bei der Bereitstellung von Intranetzugriffsverwaltungsdiensten darzulegen. Wie Sie mit Microsoft-Technologien diese Herausforderungen meistern können, wird in ausführlichen Leitfäden dargestellt.

Das fiktive Unternehmen Contoso Pharmaceuticals (detailliert im Artikel „Plattform und Infrastruktur“ dieser Serie vorgestellt) dient als Hintergrund für die Beispiele des ausführlichen Leitfadens.

Integrieren von UNIX-Arbeitsstationen in Active Directory

Die Integration von UNIX-Arbeitsstationen in Active Directory bietet für Unternehmen folgende Vorteile:

• Benutzer können sich von jeder Arbeitsstation aus mit einem einzigen Satz Anmeldeinformationen bei Active Directory anmelden, unabhängig davon, ob die Station mit einem Windows- oder UNIX-Betriebssystem betrieben wird.

• Auf UNIX-Arbeitsstationen verwendete Konten können von derselben Sicherheitsrichtlinie für Benutzerkonten profitieren, die auch für Windows-basierte Benutzer der Arbeitsstation gültig ist.

• Das auf einem Kerberos 5-Protokoll basierende und in Active Directory integrierte Schlüsselverteilungscenter (Key Distribution Center, KDC) stellt Anmeldeinformationen auf Kerberos-Basis für UNIX-Arbeitsstationenbenutzer zur Verfügung, mit denen diese einen nahtlosen und sicheren Zugang zu Netzwerkeressourcen erhalten.

• IT-Administratoren können sich darauf konzentrieren, einen einzigen Satz von Arbeitsstationenbenutzern in Active Directory zu verwalten.

Dieses Lösungsszenario zeigt, wie UNIX-Arbeitsstationen konfiguriert werden, die mit dem Betriebssystem Sun Solaris 9 als Teil einer Microsoft Windows Server™ 2003-Domäne betrieben werden, und wie deren Benutzer bei Active Directory mithilfe des Kerberos 5-Protokolls authentifiziert werden.

Weitere Informationen über Leitfäden und Szenarios, die die Integration von UNIX-Servern und UNIX-basierten Anwendungen in Active Directory enthalten, finden Sie im Microsoft Solution Guide for Windows Directory and Security Services for UNIX (in englischer Sprache).

Integrieren der SAP R/3 Application Server-Authentifizierung mithilfe des Kerberos-Protokolls

Geschäftskritische Anwendungen, einschließlich Unternehmensressourcenplanung (Enterprise Resource Planning, ERP) wie z. B. SAP, werden normalerweise in Unternehmensumgebungen mit eigenen Identitätsspeichern und Authentifizierungsmechanismen eingesetzt. Die Implementierung eines anwendungsspezifischen Identitätsspeichers ruft Fragen im Bereich der Verwaltung, Nutzbarkeit und oftmals der Sicherheit hervor, die in Ihrem Unternehmen besprochen werden müssen.

Eine mögliche Problemlösung besteht darin, die Anwendung in einen standardbasierten Identitätsspeicher wie Active Directory zu integrieren. Der SAP R/3-Anwendungsserver ist ein Beispiel für ein Plattform-neutrales Produkt eines Drittanbieters, das über das Kerberos 5-Protokoll in Active Directory integriert werden kann.

Durch die Nutzung des Kerberos 5-Protokolls zur Integration von Anwendungen in Active Directory entstehen folgende Vorteile:

• Benutzer können durch die SSO-Funktionalität ihre Desktop-Anmeldeinformationen für den Zugang zu Anwendungen verwenden.

• Sie können das Kerberos 5-Protokoll zur Herstellung eines sicheren Datenkanals für Client/Server-Anwendungen einsetzen.

• Anforderungen an die Verwaltung anwendungsspezifischer Identitätsspeicher können verringert und teilweise beseitigt werden.

In diesem Szenario bildet der SAP R/3-Anwendungsserver Prinzipale des Active Directory auf ein Konto im SAP-Identitätsspeicher ab. Obwohl dadurch die Bereitstellung und Verwaltung der Benutzerberechtigungen innerhalb von SAP nicht wegfällt (diese sind zu Zwecken der Autorisierung in SAP weiterhin erforderlich), ist der Verwaltungsaufwand geringer, da das Benutzerkennwort gleich bleiben kann. Ebenso wird die Entfernung eines Benutzerzugangs zu mehreren Ressourcen, einschließlich SAP, vereinfacht, da ein in Active Directory deaktiviertes Konto die Authentifizierung bei SAP verhindert.

Weitere Möglichkeiten zur Integration des SAP R/3-Anwendungsservers in Active Directory werden im Whitepaper SAP and Active Directory Identity Management (in englischer Sprache) aufgezeigt.

Allgemeine Informationen über eine SAP-Integration in Active Directory können SAP-Kunden im Microsoft-Abschnitt von SAP Service Marketplace finden, indem sie sich mit ihren SAP-Extranet-Anmeldedaten anmelden.

In diesem Beitrag

• Kapitel 1: Einführung
• Kapitel 2: Methoden der Intranetzugriffsverwaltung
• Kapitel 3: Probleme und Anforderungen
• Kapitel 4: Entwickeln einer Lösung
• Kapitel 5: Implementieren der Lösung
• Kapitel 6: Testen der Lösung
• Kapitel 7: Operative Überlegungen
• Links
• Danksagung

Download

Laden Sie die vollständige Serie in englischer Sprache herunter.

Update Notifications

Lassen Sie sich automatisch über neue Veröffentlichungen zu Themen wie diesem informieren (in englischer Sprache).

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).

1 von 9