marco-83
Goto Top

OnPrem AD Forest Germany - AWS managed AD Forest China - Benutzer abgleichen - Microsoft Identity Manager

Hallöchen,

ich habe da einmal eine Frage an die Kollegen, die ähnliche Konstellationen evtl. schon umgesetzt und geplant haben.

Es geht um folgendes:
In Germany befindet sich unsere gesamte onPrem AD Struktur mit ca. 300 Benutzern.

In China befinden sich alle Server in der AWS Cloud, dort habe ich ein verwaltetes AWS AD mit ca. 15 Benutzern, die in unserem Office in Shanghai arbeiten.

Bei der Planung haben wir uns gezielt dafür entschieden, China als eignenen Forest und Insel zu betrachten. Es gibt zwar einen VPN Tunnel durch einen Cloud Anbieter, dieser dient aber nur zum Austausch von Daten. Es gibt keinerlei AD Vertrauensstellungen etc. bewusst nicht.

Wir haben ein webbasiertes ERP/CRM System in Deutschland und eins in China welches sich für die Authentifizierung am AD bedient. Die Datenbank bzw. die Basis im ERP/CRM ist in ebenfalls bewusst eine eigene und hat mit unseren Systemen in Deutschland nichts zu tun. Also beides die gleichen Systeme nur eine getrennte Datenbasis face-wink

Nun habe ich eine Möglichkeit geschaffen, von Deutschland aus durch den Tunnel auf den Server in China zuzugreifen, damit die Kollegen aus dem Controlling und der FIBU die Kollegen in China entsprechend monitoren können.

Jetzt könnte ich natürlich die Benutzer im China AD nach gleichem Design wie in Deutschland anlegen etc. Gefällt mir aber nicht. Alternativ könnte ich eine Vertrauensstellung (zur Not auch einseitig) einrichten. Gefällt mir auch nicht wirklich.

Ein Plan der mir gefällt, wäre der Abgleich der Konten über Microsoft Identity Manager. Was mir nicht gefällt, ich kenne mich bis jetzt noch nicht damit aus. face-confused Kann da jemand etwas zu sagen?

Also Benutzer und Kennwörter kann man damit ja abgleichen, geht das auch permanent? stündlich, täglich, etc.? Was passiert mit Gruppen der Benutzer? Wenn es die erstens auf der Gegenseite evtl. nicht gibt und zweitens haben diese wenn sowieso eine unterschiedliche SID. Wie soll das gehen?

Gibt es vielleicht noch andere Werkzeuge?

Danke für Eure Antworten und Ideen

Content-ID: 591275

Url: https://administrator.de/forum/onprem-ad-forest-germany-aws-managed-ad-forest-china-benutzer-abgleichen-microsoft-identity-manager-591275.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Dani
Dani 28.07.2020 um 18:10:34 Uhr
Goto Top
Moin,
bisschen wirr geschrieben... es geht dir darum, dass Benutzer aus dem AD DS in Deutschland sind an dem ERP/CRM in China anmelden können, richtig? Unterstützt das ERP/CRM evtl. weitere Identitätsprovider mit Hilfe von SAML, OAUTH, etc...? Dann könntes du auf AD FS zurückgreifen und müsste keinen Trust, keine Konto abgleichen, etc...


Gruß,
Dani
Marco-83
Marco-83 28.07.2020 um 19:04:34 Uhr
Goto Top
Moin,

😅 sorry, war am telen als ich diesen Artikel verfasste 🙈

Leider kann unser System weder saml noch OAuth. Aber die Idee wäre natürlich Perfekt.

Hast du mit ADFS gute Erfahrungen ? Ich hab da vor zwei Jahren ca. mal versucht ne Nextcloud und ein Zammad anzubinden. Das war echt gruselig. Haben damals noch Univention und div. Tools ausprobiert. Da träume ich heute noch schlecht von. 😅 am Ende haben wir einen ad Proxy in die DMZ gepackt und alles per LDAP gefiltert angebunden.
Dani
Dani 28.07.2020, aktualisiert am 29.07.2020 um 11:47:05 Uhr
Goto Top
Moin,
Leider kann unser System weder saml noch OAuth. Aber die Idee wäre natürlich Perfekt.
Schade. Wie heißt das CRM/ERP, welches ihr einsetzt? Dann tun sich ander und ich evtl. leichter eine Lösung vorzuschlagen.

Hast du mit ADFS gute Erfahrungen ?
Wie immer muss man verstehen wie ein Produkt funktioniert und zu nutzen ist. Dann ist die Implementierung auch kein Hexenwerk. Wir haben Nextcloud, Wordpress, Typo3, Office 365, etc... integriert und bisher keine Probleme. face-smile

am Ende haben wir einen ad Proxy in die DMZ gepackt und alles per LDAP gefiltert angebunden.
Im Vergleich wie hoch du hier die Messlatte an Sicherheit legst, hast das Thema damals flappsig abgehandelt.


Gruß,
Dani
Marco-83
Marco-83 29.07.2020 um 12:11:55 Uhr
Goto Top
Das gesamte System ist eine Entwicklung aus unserem Hause, kennt man nicht am Markt, da es nur intern bei uns und unseren Unternehmen zum Einsatz kommt. Das wird schon seit Ende der 90er Anfang 2000er entwickelt. Ich bekomme aber für Features wie oauth saml etc. kein Zeitfenster, deshalb muss ich mich auf dem Bestand ausruhen. Zum kotzen.

Ich hatte damals mit ADFS echt zu kämpfen, z.B. der Sign Out funktionierte nicht sauber, die Nextcloud leitet einen ja quasi dann auf die Login Page vom ADFS, das funktionierte mit der APP auf IOS damals nicht sauber und die Windows Applikation musste nach einem Neustart wieder neu angemeldet werden etc. Mit LDAP ist‘s nun alles fein face-smile Auch wenn das Design nicht schön ist, wir haben das möglichst Beste draus gemacht (Linux AD Proxy der nur ganz bestimmte Felder in die DMZ gibt)


Die Messlatte lege ich hier nur relativ hoch, weil es China ist. Man weiß halt nicht was dort passiert. Wenn ich schon sehe, dass wir vom AWS Konto in China nicht den Master Account bekommen, werde ich nachdenklich. Ebenfalls betreibt AWS die Region nicht selbst, sondern ein chinesischer RZ Betreiber face-smile

Würdest Du da eine Vertrauensstellung einrichten? Ich bin mir echt unschlüssig, klar wäre es der einfachste Weg. Evtl. dann halt oneway.
Am liebsten wäre mir dennoch die Trennung.

Ich lasse mich da gerne eines besseren belehren, gibt ja sicher zahlreiche Firmen die Niederlassungen in China haben.
Dani
Dani 29.07.2020 um 18:51:13 Uhr
Goto Top
Moin,
Am liebsten wäre mir dennoch die Trennung
zweites Benutzerkonto für die betroffenen Personen in Deutschland im AD von chin. Standort anlegen. Der Benutzer sollte natürlich nicht das gleiche Passwort wählen. Aber das lässt sich nicht vermeiden. Je nach dem wie eure Unternehmensstruktur und Abhängigkeit aussieht, sind evtl. dafür Microsoft Zugriffs-CALs notwendig.


Gruß,
Dani