Active Directory® User Lifecycle Plugin




Ausgangslage

Die Standardwerkzeuge, welche mit Windows Server mitgeliefert werden, erlauben lediglich eine oberflächliche Administration der Objekte – viele Vorgänge, die sich mittlerweile als Best Practice etabliert haben, müssen händisch durchgeführt werden.

Vorteile

Durch das Active Directory User Lifecycle Plugin erhalten Sie wertvolle Unterstützung:

  • Für häufig benötigte Funktionen und Abläufe, wie beispielsweise die Anlage neuer Benutzer oder die Anpassung von Benutzern bei Übertritt in andere Abteilungen.

  • Alle Änderungen werden automatisch dokumentiert und sind damit nachvollziehbar. Besonders für gesetzliche Regelungen (allen voran die neue europäische Datenschutzgrundverordnung), als auch für gängige Standards (ISO 27001, SOX und ähnliche) bringt dies erhebliche Vereinfachungen mit sich.

  • Die Funktionen des Plugins erhöhen die Effizienz des Helpdesk. Durch Standardisierung können Aufgaben schneller erledigt werden und es passieren dabei weniger Fehler. Anfragen, die den Helpdesk überdurchschnittlich belasten, wie das Zurücksetzen von Passwörtern, kann von den Benutzern selbst erledigt werden.

Organisationseinheiten bequem auswählen

Organisationseinheiten bequem auswählen


Erforderliche Lizenz

Systemanforderungen

Unterstützung für folgende Domänenumgebungen:

  • Single-Forest / Single-Domain
  • Single-Forest / Multi-Domain
  • Multi-Forest

Zur Verbindung mit dem Active Directory werden folgende Windows Server Varianten unterstützt:

  • Windows Server 2016
  • Windows Server 2019

Sonstige Anforderungen

  • Auf dem verwendeten Domain-Controller muss der Zugriff via LDAPS aktiviert sein. Das Zertifikat muss bei Bedarf in tenfold konfiguriert werden
  • Für die Nutzung von SMS-Tokens beim Password Reset ist ein SMS-Email-Gateway oder ein SMS-Dienst erforderlich, der eine REST-Schnittstelle bereitstellt
  • Abhängig von der jeweiligen Konfiguration werden Dienstkoten mit entsprechenden Berechtigungen benötigt, unter deren Kontrolle tenfold Änderungen an den Daten im Active Directory durchführen kann

Hinweis: Samba (und darauf aufbauende Lösungen) werden nicht unterstützt.





Feldmappings zwischen tenfold & Active Directory

Feldmappings zwischen tenfold & Active Directory


Einen Benutzer ganz einfach löschen

Einen Benutzer ganz einfach löschen




Funktionsumfang

  • Automatische Erzeugung eines neuen Benutzerobjekts im Active Directory
  • Einheitliches und automatisches Setzen der richtigen Attribute im Active Directory, basierend auf einem konfigurierbaren Mapping
  • Automatische Auswahl der richtigen Organisationseinheit im Active Directory, basierend auf Standort, Abteilung oder mehreren Merkmalen des Benutzers
  • Automatische Festlegung des Benutzernamens auf Basis von konfigurierbaren Regeln. Der Benutzername wird auch auf Duplikate geprüft und anschließend wird gegebenenfalls eine regelkonforme Alternative generiert.
  • Aktivierung des Benutzerkontos entweder sofort oder automatisiert erst vor dem hinterlegten Eintrittsdatum
  • Festlegen eines Initialpassworts entsprechend der Active Directory-Passwortrichtlinie. tenfold verwendet einen Mechanismus, den wir als One-Time-Secret (OTS) bezeichnen, um die sichere Übermittlung des Initialpasswortes zu garantieren.
  • Automatische Zuordnung von Berechtigungsgruppen und Verteilergruppen auf Basis von Abteilung, Position oder Standort des Benutzers
  • Automatische Aktualisierung der Attribute des Benutzers. Die Änderung wird protokolliert und der Zugriff auf historische Daten ist möglich
  • Verschiebung des Benutzerobjekts aufgrund der Datenänderung, wenn eine andere Organisationseinheit im Active Directory vorgesehen ist – zum Beispiel, weil der Mitarbeiter an einen anderen Standort wechselt – so wird das Benutzerobjekt automatisch in die nunmehr zutreffende Organisationseinheit verschoben
  • Ändern sich Vor- oder Nachname, so kann bei Bedarf auch der Benutzername automatisch neu generiert werden
  • Automatische Anpassung der Berechtigungsgruppen und Verteilergruppen auf Basis von Abteilung, Position oder Standort des Benutzers. Nicht mehr benötigte Gruppen werden automatisch und bei Bedarf zeitverzögert entfernt
  • Wahlweise sofortige Löschung des Benutzerkontos oder Soft-Delete (Deaktivierung des Benutzerkontos und Verschiebung in eine konfigurierbare Organisationseinheit)
  • Entfernung der gewünschten Gruppen („Alle Gruppen“, „Keine Gruppen“ oder „Nur Verteilergruppen“)
  • Automatische Sperre oder Löschung bei Erreichen des hinterlegten Austrittsdatums
  • Individuelle Zuordnung und Entfernung von Gruppen bei Benutzern. Diese Funktion steht neben der automatischen Zuweisung, basierend auf Merkmalen des Mitarbeiters, zur Verfügung.
  • Durchführung der Änderung entweder in der Administrationsoberfläche oder im Self-Service-Bereich durch den Benutzer selbst
  • Hinterlegung von Verantwortlichen (Data Owner) für einzelne Gruppen. Die Zuordnung und Entfernung von Gruppenmitgliedschaften kann über Workflows gesteuert werden
  • Unterstützung sowohl für Sicherheits-, als auch für Verteilergruppen
  • Möglichkeit, das eigene Active Directory-Passwort über ein Webportal zurückzusetzen
  • Die Validierung der Benutzer kann durch Geheimantworten und/oder über SMS-Tokens realisiert werden
  • Voraussetzung ist der Zugriff auf ein Endgerät, welches mit dem Firmennetzwerk verbunden ist (PC eines Kollegen, Tablet, Kiosk oder ähnliches)
  • Alle Änderungen können über Workflows gesteuert werden. Die Workflows können vom Administrator in einem grafischen Editor direkt auf der Weboberfläche verwaltet werden
  • Regelmäßiges Synchronisieren mit den tatsächlichen Daten im Active Directory, um auch Änderungen zu erfassen, die nicht über tenfold abgewickelt wurden



Möchten Sie tenfold LIVE erleben?

Melden Sie sich jetzt zu unserer Produktdemo an!
tenfold – einfach, sicher, ready to go.

Jetzt anmelden




Tipps & Tricks aus unserem IT-Security-Ratgeber!