OnPrem AD Forest Germany - AWS managed AD Forest China - Benutzer abgleichen - Microsoft Identity Manager
Hallöchen,
ich habe da einmal eine Frage an die Kollegen, die ähnliche Konstellationen evtl. schon umgesetzt und geplant haben.
Es geht um folgendes:
In Germany befindet sich unsere gesamte onPrem AD Struktur mit ca. 300 Benutzern.
In China befinden sich alle Server in der AWS Cloud, dort habe ich ein verwaltetes AWS AD mit ca. 15 Benutzern, die in unserem Office in Shanghai arbeiten.
Bei der Planung haben wir uns gezielt dafür entschieden, China als eignenen Forest und Insel zu betrachten. Es gibt zwar einen VPN Tunnel durch einen Cloud Anbieter, dieser dient aber nur zum Austausch von Daten. Es gibt keinerlei AD Vertrauensstellungen etc. bewusst nicht.
Wir haben ein webbasiertes ERP/CRM System in Deutschland und eins in China welches sich für die Authentifizierung am AD bedient. Die Datenbank bzw. die Basis im ERP/CRM ist in ebenfalls bewusst eine eigene und hat mit unseren Systemen in Deutschland nichts zu tun. Also beides die gleichen Systeme nur eine getrennte Datenbasis
Nun habe ich eine Möglichkeit geschaffen, von Deutschland aus durch den Tunnel auf den Server in China zuzugreifen, damit die Kollegen aus dem Controlling und der FIBU die Kollegen in China entsprechend monitoren können.
Jetzt könnte ich natürlich die Benutzer im China AD nach gleichem Design wie in Deutschland anlegen etc. Gefällt mir aber nicht. Alternativ könnte ich eine Vertrauensstellung (zur Not auch einseitig) einrichten. Gefällt mir auch nicht wirklich.
Ein Plan der mir gefällt, wäre der Abgleich der Konten über Microsoft Identity Manager. Was mir nicht gefällt, ich kenne mich bis jetzt noch nicht damit aus. Kann da jemand etwas zu sagen?
Also Benutzer und Kennwörter kann man damit ja abgleichen, geht das auch permanent? stündlich, täglich, etc.? Was passiert mit Gruppen der Benutzer? Wenn es die erstens auf der Gegenseite evtl. nicht gibt und zweitens haben diese wenn sowieso eine unterschiedliche SID. Wie soll das gehen?
Gibt es vielleicht noch andere Werkzeuge?
Danke für Eure Antworten und Ideen
ich habe da einmal eine Frage an die Kollegen, die ähnliche Konstellationen evtl. schon umgesetzt und geplant haben.
Es geht um folgendes:
In Germany befindet sich unsere gesamte onPrem AD Struktur mit ca. 300 Benutzern.
In China befinden sich alle Server in der AWS Cloud, dort habe ich ein verwaltetes AWS AD mit ca. 15 Benutzern, die in unserem Office in Shanghai arbeiten.
Bei der Planung haben wir uns gezielt dafür entschieden, China als eignenen Forest und Insel zu betrachten. Es gibt zwar einen VPN Tunnel durch einen Cloud Anbieter, dieser dient aber nur zum Austausch von Daten. Es gibt keinerlei AD Vertrauensstellungen etc. bewusst nicht.
Wir haben ein webbasiertes ERP/CRM System in Deutschland und eins in China welches sich für die Authentifizierung am AD bedient. Die Datenbank bzw. die Basis im ERP/CRM ist in ebenfalls bewusst eine eigene und hat mit unseren Systemen in Deutschland nichts zu tun. Also beides die gleichen Systeme nur eine getrennte Datenbasis
Nun habe ich eine Möglichkeit geschaffen, von Deutschland aus durch den Tunnel auf den Server in China zuzugreifen, damit die Kollegen aus dem Controlling und der FIBU die Kollegen in China entsprechend monitoren können.
Jetzt könnte ich natürlich die Benutzer im China AD nach gleichem Design wie in Deutschland anlegen etc. Gefällt mir aber nicht. Alternativ könnte ich eine Vertrauensstellung (zur Not auch einseitig) einrichten. Gefällt mir auch nicht wirklich.
Ein Plan der mir gefällt, wäre der Abgleich der Konten über Microsoft Identity Manager. Was mir nicht gefällt, ich kenne mich bis jetzt noch nicht damit aus. Kann da jemand etwas zu sagen?
Also Benutzer und Kennwörter kann man damit ja abgleichen, geht das auch permanent? stündlich, täglich, etc.? Was passiert mit Gruppen der Benutzer? Wenn es die erstens auf der Gegenseite evtl. nicht gibt und zweitens haben diese wenn sowieso eine unterschiedliche SID. Wie soll das gehen?
Gibt es vielleicht noch andere Werkzeuge?
Danke für Eure Antworten und Ideen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 591275
Url: https://administrator.de/forum/onprem-ad-forest-germany-aws-managed-ad-forest-china-benutzer-abgleichen-microsoft-identity-manager-591275.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
bisschen wirr geschrieben... es geht dir darum, dass Benutzer aus dem AD DS in Deutschland sind an dem ERP/CRM in China anmelden können, richtig? Unterstützt das ERP/CRM evtl. weitere Identitätsprovider mit Hilfe von SAML, OAUTH, etc...? Dann könntes du auf AD FS zurückgreifen und müsste keinen Trust, keine Konto abgleichen, etc...
Gruß,
Dani
bisschen wirr geschrieben... es geht dir darum, dass Benutzer aus dem AD DS in Deutschland sind an dem ERP/CRM in China anmelden können, richtig? Unterstützt das ERP/CRM evtl. weitere Identitätsprovider mit Hilfe von SAML, OAUTH, etc...? Dann könntes du auf AD FS zurückgreifen und müsste keinen Trust, keine Konto abgleichen, etc...
Gruß,
Dani
Moin,
Gruß,
Dani
Leider kann unser System weder saml noch OAuth. Aber die Idee wäre natürlich Perfekt.
Schade. Wie heißt das CRM/ERP, welches ihr einsetzt? Dann tun sich ander und ich evtl. leichter eine Lösung vorzuschlagen.Hast du mit ADFS gute Erfahrungen ?
Wie immer muss man verstehen wie ein Produkt funktioniert und zu nutzen ist. Dann ist die Implementierung auch kein Hexenwerk. Wir haben Nextcloud, Wordpress, Typo3, Office 365, etc... integriert und bisher keine Probleme. am Ende haben wir einen ad Proxy in die DMZ gepackt und alles per LDAP gefiltert angebunden.
Im Vergleich wie hoch du hier die Messlatte an Sicherheit legst, hast das Thema damals flappsig abgehandelt.Gruß,
Dani
Moin,
Gruß,
Dani
Am liebsten wäre mir dennoch die Trennung
zweites Benutzerkonto für die betroffenen Personen in Deutschland im AD von chin. Standort anlegen. Der Benutzer sollte natürlich nicht das gleiche Passwort wählen. Aber das lässt sich nicht vermeiden. Je nach dem wie eure Unternehmensstruktur und Abhängigkeit aussieht, sind evtl. dafür Microsoft Zugriffs-CALs notwendig.Gruß,
Dani