Nutzermanagement für Cloud-Anwendungen

Besonders im Marketing oder bei Office-Programmen nutzen immer mehr Unternehmen Software aus der Cloud. So sind beispielsweise Salesforce.com, Office365 und auch Google Apps längst im Geschäftsalltag angekommen. Dabei wirkt sich die Nutzung dieser Services in vielerlei Hinsicht auf Sicherheit und Compliance aus. Beispiel Benutzerrechte: Zwar besteht einer der wichtigsten Vorteile von Cloud-Anwendungen darin, dass die Anwender ohne weitere Vorbereitungen darauf zugreifen können, doch müssen die Firmen diese Zugriffe kontrollieren und dokumentieren – genau wie bei lokalen Programmen. Im Fall der Cloud gestaltet sich das Benutzerkontenmanagement jedoch deutlich komplexer, auch weil die Cloud-Anbieter derzeit noch wenig Wert auf Funktionalitäten legen, um die Zugriffsrechte steuern zu können.

Zahlreiche Herausforderungen

In den meisten Unternehmen dient das Active Directory (AD) des Betriebssystems als zentrales Benutzerkontenverzeichnis. Bei traditionellen, LAN-basierten Anwendungen erfolgt die Integration beispielsweise per LDAP (Lightweight Directory Access Protocol) und auf diese Weise lassen sich Passwörter, Benutzerkonten und andere Attribute akzeptabel bis gut synchronisieren. Verlagern die Beteiligten eine Anwendung jedoch in die Cloud, entfallen diese Integrationsformen. Dazu kommt, dass manche Cloud-Anbieter ihre eigenen Standards in punkto Benennung und Zugangsverwaltung nutzen. Wer die vielfältigen, regulatorischen Auflagen auch bei seinen Cloud-Anwendungen erfüllen will, muss daher in verschiedenen Bereichen Anpassungen vornehmen.

• Unterschiedliche Quellen synchronisieren

Das Arbeiten mit Cloud-Anwendungen bringt mehr Authentifizierungsquellen mit sich. Neben dem eigenen AD kommt beispielsweise die Datenbank in der Cloud dazu. Doch bestehen nur wenige Möglichkeiten zur Synchronisation der Benutzerkonten zwischen beiden Authentifizierungsquellen (etwa die AD Federation Services von Microsoft oder der SAML-Standard). Allerdings bieten diese Technologien keinen Ersatz für ein grundlegendes Benutzermanagement. Rollen innerhalb einer Cloud-Anwendung zu pflegen und Konten zu verknüpfen, bleibt daher eine wichtige Aufgabe, um die Zugriffe zu regeln.

• Manuelle Nacharbeiten

Wo derartige Synchronisationsmöglichkeiten nicht bestehen – etwa bei vielen HR-Programmen – stellen die Anbieter Browseranwendungen zur Verfügung, um die Nutzung ihrer Software direkt zu steuern. Damit lassen sich jedoch keine automatischen Prozesse implementieren; die Folge sind zeitraubende und fehleranfällige Zuweisungen per Hand. Sogar wenn der Import einer bestehenden CSV-Datei mit den Benutzerdaten möglich ist, bedarf es manueller Eingriffe durch den Programm-Manager und damit zusätzlicher Arbeit. Beispiel Ausscheiden eines Mitarbeiters: Viele Firmen regeln diesen Prozess in unterschiedlichen Phasen. Zuerst werden die Login-Daten gesperrt, dann das Konto entfernt, danach die Daten an einen anderen Benutzer übertragen und schließlich eine E-Mail-Benachrichtigung an den Manager gesendet. Jede dieser Phasen erfordert einen separaten, manuellen Arbeitsschritt in der Cloud-Anwendung.

• Konventionen einhalten

Standards zum Aufbau von Namen und Passwörtern weisen in Netzwerk- auf der einen und Cloud-Anwendungen auf der anderen Seite oft Unterschiede auf. Im Firmennetzwerk basiert eine Benutzer-ID beispielsweise auf den Login-Namen, in der Cloud dagegen auf den E-Mail-Adressen. Diese Differenzen erschweren den Austausch der Benutzerkontodetails zwischen den Umgebungen. Verlangt ein Unternehmensnetzwerk komplexe Passwörter, können viele Cloud-Anwendungen diese nicht umsetzen. Auch erfordern beide Welten oftmals eine unterschiedliche Dauer für das Ablaufen von Kennwörtern. So gestaltet sich die Synchronisierung von Passwörtern zwischen Netzwerk und Cloud schwierig.

• Organisationsstruktur

Organisationen verwenden häufig ihre hierarchische Struktur, um Autorisierungen aufgrund einer Rolle oder Position zuzuweisen. Innerhalb des Unternehmensnetzwerks bilden HR-System oder AD diese Struktur ab, Cloud-Anwendungen können derartige Organisationsstrukturen dagegen selten übersetzen und ihre webbasierten Interfaces bieten keine belastbare Methode, diese Details einzubeziehen. Natürlich ist es möglich, die gesamte Organisationsstruktur auf die Cloud-Anwendung zu übertragen, ein derartiges Vorgehen erfordert jedoch enormen Verwaltungsaufwand, wenn sich etwas in der Hierarchie ändert.

• Ausfall der Verbindung

Cloud-Anbieter setzen häufig auf eine Event-basierte Synchronisation zwischen den Systemen. Allerdings verfügen sie in der Regel über keine Absicherung für temporäre Ausfälle der Internetverbindung. Wird also beispielsweise ein Nutzerkonto in dem Moment eingerichtet, in dem die Leitung ausfällt, geht auch der Antrag für den neuen Account verloren. Viele Cloud-Anwendungen bieten keine Garantie, dass die Synchronisation erfolgreich abgeschlossen wurde – oftmals weisen sie nicht einmal darauf hin.

• Sammelverarbeitungen

Häufig begrenzen Cloud-Anwendungen die Anzahl der gleichzeitig durchführbaren Aktionen oder sie gestatten während der Ausführung solcher Jobs keine anderweitigen Prozesse im Netzwerk. Doch oftmals erlauben sie überhaupt keine Durchführung von Sammelverarbeitungen. Sollen beispielsweise 1.000 Schüler einer Schule Zugriff auf eine neue E-Learning-Anwendung aus der Cloud erhalten, erfordert dies einen hohen Aufwand.

Verbindungen schaffen

Grundsätzlich gilt: Wer mit Cloud-Anwendungen arbeitet, gibt das Nutzer- und Zugriffsmanagement aus der Hand und ist auf die geltenden SLAs angewiesen. Damit das Nutzermanagement auch in der Cloud trotzdem schnell, zuverlässig und nach den Regeln des jeweiligen Unternehmens funktioniert, kommt es auf die Integration der unterschiedlichen Welten an. Und da kaum jemand seine Systeme aufgrund neuer Möglichkeiten komplett umstellen wird, lässt sich diese Integration am besten mit Hilfe von Schnittstellen umsetzen. Im Unternehmensnetzwerk können diese beispielsweise Personalsystem, Active Directory und Microsoft Exchange einbeziehen und mit den darin enthaltenen Benutzerdaten auch den Zugriff auf die Cloud-Anwendungen steuern. Dazu nötig ist eine Software, die diese Benutzerdaten verknüpft und beispielsweise Benutzerkonten, E-Mail-Konten, Gruppen und Funktionen erstellen, modifizieren und löschen kann sowie Passwörter zurücksetzen, Benutzer umbenennen und Benutzer lizenzieren. User Management Ressource Administrator (UMRA) von Tools4ever etwa bietet Schnittstellen zu mehr als 140 unterschiedlichen Systemen. Derartige Verbindungen erlauben es, das Benutzermanagement zu vereinheitlichen und viele Abläufe zu automatisieren. Möglich ist etwa die Passwortsynchronisation zwischen internem Netzwerk und Cloud, das Auto-Provisioning von Benutzerkonten (automatische Zuweisung von Zugriffsrechten), eine integrierte Zugriffsverwaltung von Endbenutzern zur Cloud-Anwendung oder das Single Sign On für alle Cloud- und Web-Anwendungen auf der Basis bestehender AD-Anmeldeinformationen. (ak)