Realms ist ein neues Produkt, das einen anderen Ansatz für die Verwaltung von Personen in der Universal Directory von Okta eröffnet. Es bietet Flexibilität bei der Benutzerverwaltung, unabhängig davon, wie Ihr Unternehmen wächst. Ob dies durch natürliches Wachstum, Fusionen und Übernahmen oder die Einführung neuer Geschäftsbereiche geschieht, die Möglichkeit, die Verwaltung dieser verschiedenen Benutzergruppen nahtlos zu verwalten und zu delegieren, ist entscheidend für die Skalierung eines Unternehmens.
Mit Realms können zentrale IT-Administratoren die Benutzerverwaltung delegieren und erleichtern sowie die organisatorische Komplexität verbessern, indem sie Identitäten innerhalb einer einzigen Okta-Organisation zentralisieren und die Abhängigkeit von Gruppen oder mehreren Organisationen verringern. Im Folgenden werden wir einen Weg aufzeigen, wie Realms zur Verwaltung mehrerer Geschäftsbereiche eingesetzt werden kann und wie Sie dies auf Ihren eigenen Anwendungsfall anwenden können. (Lesen Sie einen weiteren Blog von Dipt Kanthilal für einen grundlegenden Hintergrund zu Realms.)
Erste Schritte: Aktivieren von Realms
Realms ist derzeit über Self Service in Early Availability über Okta Identity Governance verfügbar. Um zu beginnen, navigieren Sie durch die folgenden Schritte:
- Wählen Sie in der linken Navigation der Admin Console die Option „Einstellungen“.
- Wählen Sie „Features“.
- Enable Realms.
Sobald Realms aktiviert ist, können wir mit den folgenden Schritten mit der Konfiguration für den Beispiel-Anwendungsfall beginnen:
- Realms erstellen.
- Set up Realms Assignments.
- Delegieren Sie die Verwaltung an Realms-Administratoren.
- Erstellen Sie Zugriffszertifizierungskampagnen für bestimmte Realms.
- Realms-Authentifizierungsrichtlinien einrichten.
- Automatisieren Sie die Realm-Verwaltung mit Workflows.
Szenario: Windrides Aviation
Hintergrund: Bringen wir Realms in die Praxis. Windrides ist ein fiktives Luftfahrtunternehmen, das sein Geschäft von der Konzentration auf die kommerzielle Luftfahrt auf zusätzliche Geschäftsbereiche wie die Vermietung von Privatjets und die Beschaffung von Kabinenpersonal ausgeweitet hat. Die Einführung von zwei neuen Hauptgeschäftsbereichen hat das IT-Team bei der Verwaltung von Benutzern, deren Zugriff und deren täglichen IT-Bedürfnissen stark belastet. Sie haben einen gemeinsamen Anwendungsbedarf für ähnliche Jobfunktionen in ihren verschiedenen Geschäftsbereichen in verschiedenen geografischen Regionen. Windrides hat von Realms gehört und freut sich darauf, diese neue Funktion zu nutzen.
Aktuelle Bereitstellung: Windrides verwendet derzeit Gruppen, um den Anwendungszugriff zu modellieren und zu verwalten. Aufgrund der Überschneidung der Benutzerpopulationen in Gruppen haben Administratoren Schwierigkeiten, Benutzer aus verschiedenen Regionen zu verwalten. Nehmen Sie das folgende Szenario, das die aktuelle Struktur zur Verwaltung verschiedener Engineering-Gruppen basierend auf der Region darstellt.
Gewünschter Endzustand: Mit Realms möchte WindRides eine funktionale Gruppe für Engineering über verschiedene Regionen hinweg schaffen, um den gemeinsamen Anwendungszugriff zu ermöglichen und gleichzeitig unterschiedliche Benutzergruppen zu segmentieren.
Durch die Einführung dieses Modells können die zentralen IT-Administratoren von WindRides ihren Aufwand für die Benutzer- und Gruppenverwaltung reduzieren und die Benutzerverwaltung problemlos an regionale Administratoren delegieren. Zusätzliche Gruppen können für einen spezifischeren Anwendungszugriff erstellt werden, aber dies verhindert die Verbreitung regionaler Gruppen, die alle denselben Anwendungszugriff definieren.
Realms erstellen
Sobald Realms in der Organisation aktiviert wurde, ist ein neuer Abschnitt mit dem Titel „Realms“ unter „Directory“ in der linken Navigation der Admin Console verfügbar.
Navigieren Sie zuerst zum Abschnitt „Realms“, um Realms zu erstellen. Dem Windrides-Szenario folgend erstellen wir drei Realms: Engineering AMER, Engineering EMEA und Engineering APAC.
Zusätzlich zu den drei Realms gibt es ein Default Realm als Auffangbecken. Bestehende Benutzer beginnen im Default Realm, können aber später problemlos verschoben werden. Die Realms können auch über API oder Workflows erstellt werden.
Realm-Zuweisung
Wie oben erwähnt, müssen Benutzer zu einem Realm gehören. Bestehende Benutzer beginnen im Standard-Realm und können einzeln in andere Realms verschoben werden. Mit den neuen „Realm-Zuweisungen“ können Benutzer automatisch in das richtige Realm aufgenommen werden. Realm-Zuweisungen können auch verwendet werden, um Benutzer massenweise von einem Realm in einen anderen zu verschieben.
Einzelne Benutzerbewegung
Auf dem Benutzerprofil einer Person kann ein Benutzer durch Anklicken des Stiftsymbols von einem Realm in einen anderen verschoben werden. Alex Taylor, siehe unten, befindet sich derzeit im Standard-Realm, muss aber Teil des Engineering EMEA-Realms sein. Mit dem Stiftsymbol kann Alex in den gewünschten Realm verschoben werden.
Um Benutzer in großem Umfang zu verschieben, ist es besser, „Realm Assignments“ zu nutzen.
So verwenden Sie Realm Assignments
Innerhalb der Realms-Ansicht gibt es eine Ansicht mit dem Titel „Realm-Zuweisungen“. Als Backup gibt es eine standardmäßige „Catch-all Realm Assignment“, aber WindRides benötigt spezifischere Realm-Zuweisungen, die an ihre drei benutzerdefinierten Realms gebunden sind.
Bei der Erstellung einer Realm-Zuweisung gibt es verschiedene Informationen, die sicherstellen, dass ein Benutzer im richtigen Realm erstellt oder aufgenommen wird. Dies beinhaltet:
Name der Realm-Zuweisung | Dies ist der Name, der der Realm-Zuweisung zur einfachen Referenz zugeordnet ist. |
Profile source | Die Profile Source of Truth für Benutzer innerhalb der Organisation kann Okta, Verzeichnisse, HR-Quellen oder andere erkannte Profilquellen sein. |
Priorität | Aktuell halten: Priorität unten In den Vordergrund bringen: Priorität oben
Dies hilft, Konflikte zwischen Realm Assignments zu lösen. |
Umfang | Wenn eine einzelne Profilquelle auf mehrere Realms verweisen muss, helfen Benutzerprofilattribute, der Realm-Zuweisung zusätzliche Parameter hinzuzufügen. |
Realm zuweisen | The desired target realm |
Für WindRides erstellen wir drei Realm-Zuweisungen, um das Onboarding zu automatisieren und die Bewegung von Benutzern zu erleichtern, wobei wir die Profilquelle und die Expression Language als Teil des Umfangs nutzen.
Die Expression Language ermöglicht die Kombination zweier Attribute, um den Realm Assignment Scope zu steuern: Organisation = Regions und Department = Engineering
Sobald eine Realm Assignment erstellt wurde, muss sie aktiviert werden (ähnlich wie Gruppenregeln). Um sie zu aktivieren, navigieren Sie zum Menü „Actions“ und dann zu „Activate“.
Die Realm-Zuweisung wird automatisch für jeden neuen Benutzer ausgeführt, der nach der Aktivierung erstellt wurde. Um die Realm-Zuweisung für einen bestehenden Benutzer auszuführen, wählen Sie „Ausführen“ oder „Alle Realm-Zuweisungen ausführen“. Der Status des Auftrags kann unter der Registerkarte „Benutzerbewegung überwachen“ verfolgt werden.
Durch Ausführen der Realm-Zuweisungen sollten sich nun alle Benutzer in der Organisation in den korrekten Realms befinden.
Delegate admins
Einer der Hauptvorteile von Realms ist die Möglichkeit, die Benutzerverwaltung zu delegieren. Der nächste Schritt für das WindRides-Team ist die Einrichtung von Administratorrollen.
Schritt 1: Rolle erstellen
Unter der Ansicht „Administratoren“ besteht der erste Schritt darin, eine Rolle für den delegierten Administrator zu erstellen. Delegierte Realm-Administratoren benötigen mindestens Zugriff auf benutzer- und realmbezogene Berechtigungen. Darüber hinaus sind Gruppen- und Anwendungsberechtigungen optional und können nach Bedarf zugewiesen werden. Nachfolgend finden Sie ein Beispiel für die Berechtigungen, die zugewiesen werden können:
Berechtigungsname | Berechtigungssätze |
Benutzer | Benutzer verwalten Enthält alle Benutzerberechtigungen |
Realms | Bereiche und ihre Details anzeigen |
Anwendung | Edit application's user assignments |
WindRides möchte allen Realm-Administratoren die gleichen Berechtigungen delegieren, daher müssen sie nur eine Rolle erstellen.
Erstellen Sie eine neue Rolle unter Security > Administrators > Roles
Schritt 2: Ressourcensets erstellen
Ressourcensätze definieren die Ressourcen, für die die Verwaltung delegiert wird. Es müssen drei verschiedene Ressourcensätze erstellt werden, um sie an die drei Realms anzupassen, die verwaltet werden müssen.
Im WindRides-Szenario erstellen wir individuelle Ressourcensets für Engineering AMER, Engineering EMEA und Engineering APAC. Diese Ressourcensets enthalten Benutzer, Realms und Anwendungen.
Erstellen Sie eine neue Ressource unter Sicherheit > Administratoren > Ressourcen
Für Benutzer wählen wir „Users in realm“ und wählen dann den einzubeziehenden Realm aus. Dies definiert die Menge der Benutzer, die wir auf der Seite „People“ sehen.
Das Hinzufügen der Ressourcengruppe „Realms“ steuert, welche Realms vom delegierten Administrator angezeigt und verwaltet werden können. Das Hinzufügen einer Anwendung als Teil der Ressourcengruppe gibt an, welche Anwendungen der delegierte Administrator verwalten kann. Beachten Sie, dass der delegierte Administrator aufgrund der Auswahl „Benutzer im Realm“ Benutzer der Anwendung, die zu dem von ihm verwaltbaren Realm gehören, nur anzeigen, zuweisen und die Zuweisung aufheben kann.
Da WindRides über drei verschiedene Realms verfügt, müssen wir drei Ressourcensets erstellen, um die Benutzerpopulationen zu definieren, die jeder Administrator verwalten kann.
Schritt 3: Administratorzuweisung
Nachdem die Rolle und der Ressourcensatz definiert wurden, besteht der letzte Schritt darin, beides einem Benutzer zuzuordnen, der ein delegierter Administrator wird. Der Benutzer kann zuerst zusammen mit der Rolle und dem Ressourcensatz ausgewählt werden, um die Delegation abzuschließen.
Delegate Admin User Experience
In diesem Video kann der Administrator nur die Benutzer im Realm „Engineering EMEA“ verwalten. Basierend auf den zugewiesenen Berechtigungen können sie Benutzer erstellen, den Lebenszyklus verwalten und Anwendungen den Benutzern innerhalb des Realm zuweisen oder deren Zuweisung aufheben.
Okta Identity Governance Access Certification Campaign
Mit Realm-Zuweisungen kann WindRides die Erstellung von Benutzern in den richtigen Realms automatisieren. Mit dem Custom Admin Role Framework kann Windrides die Verwaltung dieser Benutzer delegieren. Ein weiterer wichtiger Teil der Benutzerverwaltung ist die Governance, um zu überprüfen, welche Benutzer Zugriff auf welche Ressourcen haben, und zu beurteilen, ob dieser Zugriff beibehalten werden sollte. Mit Okta Identity Governance kann WindRides Zertifizierungskampagnen erstellen, die Benutzern zugewiesen werden können, die Realm-Administratoren sind. Auf diese Weise können den delegierten Administratoren Überprüfungen für Benutzer innerhalb des von ihnen verwalteten Realms zur laufenden Governance zugewiesen werden.
Durch die Expression Language kann WindRides den Umfang der Benutzer, die in der Kampagne enthalten sind, und die Reviewer der Kampagne bestimmen. In diesem Beispiel verwendet WindRides die Expression Language, um die Benutzer in der Kampagne auf den Engineering Realm zu beschränken. Die im Ausdruck erwähnte RealmID kann per API oder über die Realms-URL gefunden werden. Hier ist die RealmID für Engineering EMEA als Beispiel.
Expression Language reference for access certification campaigns
Umfang | Ausdruck | Details |
Benutzer | user.realmId == "realmid" | Umfang für einen einzelnen Realm. Mehrere Bereiche können mithilfe von OR als Teil des Gültigkeitsbereichs definiert werden. Beispiel: user.realmId == "realmId1" Or user.realmId == "realmId2" ... |
Gutachter | user.realmId == "Realmid" ? "user@example.com": "backupuser@example.com" | Mit diesem Ausdruck wird geprüft, ob die Realm ID für den Benutzer im Scope zutrifft. Wenn 'False', wird der Review an den Fallback-Reviewer weitergeleitet. |
Schritt 1: Kampagne erstellen
WindRides kann zwar sowohl Ressourcen- als auch Benutzerkampagnen durchführen, ist aber daran interessiert, eine Ressourcenkampagne zu erstellen, um den Anwendungszugriff für die Google-Anwendung innerhalb des Engineering EMEA-Bereichs zu bewerten.
Schritt 2: Benutzerumfang
Der Benutzerbereich kann alle Benutzer oder eine bestimmte Teilmenge von Benutzern umfassen. Definieren Sie den Benutzerbereich mithilfe der Expression Language.
Schritt 3: Prüfer auswählen
Es gibt eine Reihe von Optionen, aus denen Sie auswählen können, um Reviewer zu definieren. Bei dieser speziellen Kampagne möchte WindRides die Reviews dem Realm-Admin zuweisen, daher wählen wir „Custom“.
Mithilfe der Expression Language kann der Prüfer als der Benutzer definiert werden, der der Realm-Administrator ist. Wenn ein Benutzer nicht Teil des definierten Realms ist, wird die Überprüfung an den Fallback-Prüfer weitergeleitet. Der Realm-Administrator muss nicht Teil des Realms sein, den er überprüft.
Access Certification Campaign
Das obige Video zeigt, wie die ressourcenorientierte Access Certification Campaign konfiguriert wird, einschließlich der Konfiguration des Benutzer- und Reviewer-Scopes mit der Expression Language.
Authentication policies
Genau wie Zugriffszertifizierungskampagnen nutzen auch Authentifizierungsrichtlinien die Expression Language, um Richtlinienregeln zu definieren.
Einrichten von Authentifizierungsrichtlinien
In diesem Video nutzt WindRides die Expression Language, um bestimmte Authentifizierungsrichtlinien auf Benutzer innerhalb bestimmter Realms anzuwenden, um eine zusätzliche Richtliniendetaillierung zu erreichen.
Okta Realms Workflows Connection
Automatisierung ist ein wichtiger Bestandteil des Benutzermanagements, und Workflows spielt eine Schlüsselrolle bei der Automatisierung des Lifecycle Managements. Workflows hat Realms-Karten bereitgestellt, die beim Erstellen von Flows helfen können, wie z. B. beim Erstellen und Löschen von Realms und beim Onboarding von Benutzern in den gewünschten Realm.
Um mit der Nutzung von Realms in Workflows zu beginnen, sind zwei wichtige Schritte erforderlich:
- Autorisierung
- Realm action card connection
Okta Workflows OAuth Authorization grants
Berechtigungen können erteilt werden, indem Sie in den Okta Workflows OAuth-Anwendungen unter „Applications“ navigieren. Erteilen Sie unter den OKTA API-Bereichen die unten aufgeführten Berechtigungen, die zum Erstellen von Workflows auf Realms erforderlich sind.
Gewährt |
okta.realms.manage |
okta.realms.read |
okta.schemas.read |
okta.users.manage |
okta.users.read |
Okta Realms Connector
Navigieren Sie in der Workflows-Konsole zu „Connections“ und fügen Sie einen neuen Verbindungsfilter für „Okta Realms“ hinzu.
Die erteilten Berechtigungen können auch über diese Ansicht validiert werden.
Um die Verbindung hinzuzufügen, rufen Sie die Client-ID und das Secret von Okta Workflows OAuth Application ab und fügen Sie sie zusammen mit der Domain-URL zur Verbindung hinzu.
Sobald die Authentifizierung erfolgreich war, ist die Actions-Karte bereit.
Nutzung von Workflow-Karten
Dieses Video zeigt den schrittweisen Prozess zum Einrichten der Workflow-Karten.
Fazit
Mit der Einführung von Realms konnte WindRides seine Organisation neu strukturieren, um die Anzahl der Gruppen zu reduzieren, verschiedene Geschäftsbereiche in einer einzigen Organisation zusammenzuführen und Benutzer einfach vom Onboarding über die Delegation bis zur Governance zu verwalten.
Da WindRides weiter expandiert, können sie weitere Möglichkeiten finden, Realms zu nutzen, um die zentralen IT-Teams bei der Verwaltung von Benutzern innerhalb ihrer Organisation weiterhin zu entlasten.
Weitere Ressourcen
- Erfahren Sie mehr in der Hilfedokumentation für Realms.
- Learn from Okta University Training.
Treten Sie dem #okta-Kanal auf MacAdmins Slack bei, um zu lernen und Hilfe von der Community zu erhalten.
