tenfold Active Directory User Lifecycle

Active Directory User Lifecycle

Mit dem Active Directory User Lifecycle Plugin wird die Verwaltung der Benutzer und Gruppen in Ihrem Active Directory wesentlich vereinfacht.

Ausgangslage

Die Standardwerkzeuge, welche mit Windows Server mitgeliefert werden, erlauben lediglich eine oberflächliche Administration der Objekte – viele Vorgänge, die sich mittlerweile als Best Practice etabliert haben, müssen händisch durchgeführt werden.

Vorteile

Durch das Active Directory User Lifecycle Plugin erhalten Sie wertvolle Unterstützung:

Für häufig benötigte Funktionen und Abläufe, wie beispielsweise die Anlage neuer Benutzer oder die Anpassung von Benutzern bei Übertritt in andere Abteilungen.
Alle Änderungen werden automatisch dokumentiert und sind damit nachvollziehbar. Besonders für gesetzliche Regelungen (allen voran die neue europäische Datenschutzgrundverordnung), als auch für gängige Standards (ISO 27001, SOX und ähnliche) bringt dies erhebliche Vereinfachungen mit sich.
Die Funktionen des Plugins erhöhen die Effizienz des Helpdesk. Durch Standardisierung können Aufgaben schneller erledigt werden und es passieren dabei weniger Fehler. Anfragen, die den Helpdesk überdurchschnittlich belasten, wie das Zurücksetzen von Passwörtern, kann von den Benutzern selbst erledigt werden.

Ihre Vorteile auf einem Blick

Benutzeranlage
- Automatische Erzeugung eines neuen Benutzerobjekts im Active Directory
  
  Einheitliches und automatisches Setzen der richtigen Attribute im Active Directory, basierend auf einem konfigurierbaren Mapping
  
  Automatische Auswahl der richtigen Organisationseinheit im Active Directory, basierend auf Standort, Abteilung oder mehreren Merkmalen des Benutzers
  
  Automatische Festlegung des Benutzernamens auf Basis von konfigurierbaren Regeln. Der Benutzername wird auch auf Duplikate geprüft und anschließend wird gegebenenfalls eine regelkonforme Alternative generiert.
  
  Aktivierung des Benutzerkontos entweder sofort oder automatisiert erst vor dem hinterlegten Eintrittsdatum
  
  Festlegen eines Initialpassworts entsprechend der Active Directory-Passwortrichtlinie. tenfold verwendet einen Mechanismus, den wir als One-Time-Secret (OTS) bezeichnen, um die sichere Übermittlung des Initialpasswortes zu garantieren.
  
  Automatische Zuordnung von Berechtigungsgruppen und Verteilergruppen auf Basis von Abteilung, Position oder Standort des Benutzers
Änderungen
- Automatische Aktualisierung der Attribute des Benutzers. Die Änderung wird protokolliert und der Zugriff auf historische Daten ist möglich
  
  Verschiebung des Benutzerobjekts aufgrund der Datenänderung, wenn eine andere Organisationseinheit im Active Directory vorgesehen ist – zum Beispiel, weil der Mitarbeiter an einen anderen Standort wechselt – so wird das Benutzerobjekt automatisch in die nunmehr zutreffende Organisationseinheit verschoben
  
  Ändern sich Vor- oder Nachname, so kann bei Bedarf auch der Benutzername automatisch neu generiert werden
  
  Automatische Anpassung der Berechtigungsgruppen und Verteilergruppen auf Basis von Abteilung, Position oder Standort des Benutzers. Nicht mehr benötigte Gruppen werden automatisch und bei Bedarf zeitverzögert entfernt
Benutzersperre und Löschung
- Wahlweise sofortige Löschung des Benutzerkontos oder Soft-Delete (Deaktivierung des Benutzerkontos und Verschiebung in eine konfigurierbare Organisationseinheit)
  
  Entfernung der gewünschten Gruppen („Alle Gruppen“, „Keine Gruppen“ oder „Nur Verteilergruppen“)
  
  Automatische Sperre oder Löschung bei Erreichen des hinterlegten Austrittsdatums
Gruppenverwaltung
- Individuelle Zuordnung und Entfernung von Gruppen bei Benutzern. Diese Funktion steht neben der automatischen Zuweisung, basierend auf Merkmalen des Mitarbeiters, zur Verfügung.
  
  Durchführung der Änderung entweder in der Administrationsoberfläche oder im Self-Service-Bereich durch den Benutzer selbst
  
  Hinterlegung von Verantwortlichen (Data Owner) für einzelne Gruppen. Die Zuordnung und Entfernung von Gruppenmitgliedschaften kann über Workflows gesteuert werden
  
  Unterstützung sowohl für Sicherheits-, als auch für Verteilergruppen
Passwort Reset
- Möglichkeit, das eigene Active Directory-Passwort über ein Webportal zurückzusetzen
  
  Die Validierung der Benutzer kann durch Geheimantworten und/oder über SMS-Tokens realisiert werden
  
  Voraussetzung ist der Zugriff auf ein Endgerät, welches mit dem Firmennetzwerk verbunden ist (PC eines Kollegen, Tablet, Kiosk oder ähnliches)
Sonstige Funktionen
- Alle Änderungen können über Workflows gesteuert werden. Die Workflows können vom Administrator in einem grafischen Editor direkt auf der Weboberfläche verwaltet werden
- Regelmäßiges Synchronisieren mit den tatsächlichen Daten im Active Directory, um auch Änderungen zu erfassen, die nicht über tenfold abgewickelt wurden

Was steckt drin?

Automatisierung:

Änderungen an Benutzern und Gruppen werden durch tenfold automatisch übertragen. Damit sparen Sie Zeit, weil manuelle Tätigkeiten entfallen.

Reporting:

Erhalten Sie jederzeit einen Überblick, welche Benutzer bzw. Gruppen Zugriff auf Berechtigungen haben, oder auf welche Berechtigungen ein spezieller Benutzer bzw. eine spezielle Gruppe Zugriff hat.

Profile/Rollen:

Berechtigungen können gemeinsam mit Ressourcen und Berechtigungen anderer Zielsysteme gruppiert und mit den Organisationseinheiten verknüpft werden. Damit werden den Benutzern bzw. Gruppen Berechtigungen automatisch zugeordnet und, z.B. bei Abteilungswechsel, wieder entzogen.

Genehmigungsworkflows:

Es können sowohl einstufige als auch mehrstufige Workflows erstellt werden.

Rezertifizierung:

Data Owner können Berechtigungen für Benutzer bzw. Gruppen regelmäßig auf ihre Aktualität kontrollieren und veraltetet Einträge zur Entfernung markieren. Die Zuordnung der Berechtigungen wird durch tenfold automatisch entfernt. Näheres zur Rezertifizierung in tenfold.

Auditing:

Änderungen an Berechtigungen bzw. Gruppen werden automatisch dokumentiert. Sie können jederzeit auf historische Daten zugreifen und nachvollziehen, welche Benutzer bzw. Gruppen Zugriff auf sensible Daten hatten.

Einbindung von Data Ownern:

Legen Sie für Berechtigungen Verantwortliche dem Fachbereich fest, welche Anträge freigeben und die Berechtigungen laufend kontrollieren können.

Einblick in das Modul

Lore Ipsum

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam