Schöne neue Welt

Verfasst vonClick Coach - Approach the CoachVeröffentlicht inCloud Dienste, Identität, M365, MultifaktorSchlagwörter:, , , , ,
architecture black and white challenge chance

English

Azure / M365 werden immer mehr zur Drehscheibe für alle Systeme und Applikationen in der Firma. Viele denken dabei nur an Microsoft aber die Lösung geht weit darüber hinaus und kann auch Drittanbieter sicher einbinden.

Ueber Passwörter

Wenn wir uns am Computer in der Firma anmelden brauchen wir einen Benutzernamen und ein Passwort (Authentisierung). Damit haben wir dann Zugriff auf viele Applikationen und Daten (Autorisierung). Nun kann es sein, dass wir beim Zugriff auf weitere Applikationen plötzlich wieder nach einen Benutzernamen oder Passwort gefragt werden. Das kann viele Gründe haben, aber zwei davon sind sehr häufig:

  • Die Applikation wurde nicht sauber in unsere Umgebung integriert (kein SSO)
  • Die Applikation enthält sehr sensitive Informationen und man möchte sie zusätzlich schützen (z.B. die Lohnbuchhaltung, Personaldatenbank etc.)

Es kann auch sein, dass wir einfach eine ‚Zugriff verweigert‘ oder ähnliche Fehlermeldung bekommen, ohne Passwortabfrage. In diesem Fall müssen wir den Zugriff erst noch beantragen. Damit nicht jeder der neu in die Firma kommt für seinen Job alles einzeln beantragen muss gibt es den rollen-basierten Zugriff aber das ist ein Thema für einen anderen Beitrag.

close up photo of programming of codes
SSO Integration nicht vergessen

Die Applikation wurde nicht sauber in unsere Umgebung integriert (kein SSO)

Wenn alle Applikationen der Firma im eigenen Rechenzentrum stehen, dann ist die technische Integration nicht besonders schwierig. In der Regel gibt es ein Active Directory, also ein zentrales Verzeichnis (mit oder ohne LDAP Unterstützung) und dann erstellen wir einen Service Account und gut ist. Wenn wir Glück haben macht sich der Projektleiter noch Gedanken über die Applikationsgruppen, d.h. wer kann was und wie kommen neue Benutzer in die richtige Gruppe.

So weit, so gut. Nun sind aber neue Applikationen oft in der Cloud. Salesforce, Dropbox, Acrobat, Zoom… um nur einige zu nennen. Nun kann ich hingehen und eine eigene Benutzerdatenbank in der Cloud bewirtschaften mit eigenen Passwörtern. Muss ich aber nicht. Und warum sollte sich der Benutzer verschiedene Identitäten merken? Das macht die Systeme nicht sicherer sondern bewirkt das Gegenteil.

  • Im Beitrag Passwortsalat fertig erkläre ich wie wir alle Cloud Applikationen, ob Microsoft oder nicht über einen Identity Provider anbinden können, in wenigen Schritten.
black android smartphone on top of white book
Besonders schützenswerte Daten… wie sichern?

Die Applikation enthält sehr sensitive Informationen

Was heisst zusätzlich schützen? Einerseits möchten wir einschränken, wer Zugriff hat. Das ist noch einfach, z.B. über eine Zugriffsgruppe. Doch mit welchem Gerät wird zugegriffen? kann ein Verkaufsmitarbeiter sämtliche Kundendaten ansehen? Vermutlich ja, wenn ihm der Zugriff erteilt wurde. Kann er auch die Addressdaten der Kunden herunterladen oder per e-mail weiterleiten, ohne dass jemand es weiss? Kann er die Kundendaten im Internet Café anschauen? Und in der Zeit von Home Office und Remote Work immer wichtiger ist auch, dass wir nicht nur ein Passwort eingeben müssen. Denn Passwörter können gestohlen oder erraten werden. Wir möchten zusätzlich, dass bei wichtigen Applikationen eine zweite Sicherheits-Stufe aktiviert wird. Das könnte eine Authenticator App auf dem Mobiltelefon sein (MFA).

Die gute Nachricht: Beides ist möglich und noch mehr! Wer sich in das Thema vertiefen möchte kann hier anfangen:

  • Im Artikel Du darfst nicht rein erkläre ich wie wir mit Conditional Access genau definieren wer zugreifen darf, von wo aus er zugreifen darf, von welchem Gerät aus er zugreifen darf etc.

Und noch zum Schluss

Es ist sicherer nur ein Passwort zu haben und das dafür einheitlich und gut zu schützen. Ist es unsicher, wenn ich M365 als Identity Provider verwende? Und kennt Microsoft mein Passwort? Was ist, wenn ich das ‚eine‘ Passwort vergesse? Diese Fragen werde ich im nächsten Beitrag beantworten.

M365 als zentraler Identity Provider

Zum guten Schluss noch einmal eine Erinnerung an wichtige Seiten:

  • Die Feedbackseite „Vorschlaghammer“ – hier kannst Du Fragen stellen oder Wünsche oder Ideen einbringen
  • Die T-Shirt Seite – hier kannst Du das ClickCoach Team unterstützen und dabei noch gut aussehen

Veröffentlicht von Click Coach - Approach the Coach

I’ve been working in IT for over 20 years, mainly within the Microsoft world. Over the years, I’ve come across the same questions and problems again and again. On my blog, I share tips and tricks on all kinds of IT topics. It’s not meant for IT pros — but they’re welcome to read along too! 😊

Hinterlasse einen Kommentar