Einheitliches Identity-Management wird heute immer schwieriger. Die Vision von Okta für Universal Directory beinhaltet einen zentralen Identity-Management-Ansatz, mit dem Kunden jeden Tech-Stack für eine einheitliche Verwaltung in ein umfassendes, zentrales Cloud-Directory integrieren können.
Mit einer Belegschaft aus Angestellten, Auftragnehmern, Zeitarbeitern und Geschäftspartnern bilden sich in Unternehmen durch Übernahmen, Tochtergesellschaften, Regionen, Abteilungen und/oder Business Units immer komplexere Geschäftsstrukturen heraus.
Für die flexible Identity-Modellierung stellt Okta Realms vor. Kunden können damit Universal Directory als zentrale Verwaltungsebene für individuelle Anwendungsfälle nutzen. Realms ist ein neues Directory-Konstrukt, mit dem Kunden Benutzerpopulationen in einer einzigen Org (Organisation) basierend auf ihren individuellen Bedürfnissen segmentieren können. Neben Bereitstellungsmodellen wie Hub & Spoke bietet Realms Kunden mehr Optionen für die Org-Architektur. Realms ist jetzt allgemein über Okta Identity Governance und Secure Partner Access verfügbar.
Warum einheitliches Identity-Management so herausfordernd ist
IT-Teams haben oft Schwierigkeiten, globale und heterogene Benutzer verschiedenen Ursprungs zu verwalten. Diese Komplexität kann zu fragmentierten Technologieumgebungen, Schwierigkeiten bei der Implementierung des Least-Privileged-Prinzips und einer verlangsamten Mitarbeiterproduktivität führen und letztendlich das Geschäftswachstum behindern.
Für diese Herausforderungen greifen Unternehmen derzeit auf Architekturen wie Hub & Spoke zurück, um die Verwaltung sich gegenseitig ausschließender Benutzerpopulationen zu segmentieren und zu delegieren. Eine Hub & Spoke-Architektur bietet eine effektive Möglichkeit zum Segmentieren von Benutzerpopulationen, insbesondere zum Erfüllen regionaler Compliance-Anforderungen. Sie kann aber auch erheblich den Aufwand von Administratoren erhöhen, die unterschiedliche Benutzerpopulationen verwalten möchten. Unternehmen und IT-Teams benötigen eine zentrale Möglichkeit, alle Identitäten zu verwalten und einen umfassenden Überblick darüber zu erhalten, wer Zugriff auf welche Anwendungen hat.
Wie Realms helfen kann
Realms führt eine strikte Segmentierung der Populationen innerhalb einer Org ein und bietet eine optimierte und sichere Experience für Administratoren, die Folgendes ermöglicht:
- Verwaltung dynamischer Orgs mit eigenständigen Benutzerpopulationen (z. B. Business Units, Übernahmen, Tochtergesellschaften, Abteilungen)
- Delegation eigenständiger Benutzerpopulationen an lokale Helpdesk-Administratoren
- Steigerung der IT-Effizienz steigern und Reduzierung der Anzahl der Benutzerverwaltung-bezogenen Tickets zentraler IT-Teams
Modellierung eindeutiger, unterschiedlicher Populationen innerhalb einer Org
Mit Realms können Administratoren Benutzer innerhalb einer Org in sich gegenseitig ausschließende Gruppen segmentieren. Damit ziehen sie strikte Grenzen zwischen Benutzersegmenten, sodass Benutzerdaten geschützt und die Verwaltung von Teilen der Belegschaft sicher delegiert wird, ohne Benutzer oder Richtlinien in mehreren Org zu duplizieren.
Automatisierte Realm-Zuweisung für vereinfachtes Benutzer-Onboarding
Mit neuen Realm-Zuweisungen können neue Benutzer automatisch dem richtigen Realm hinzugefügt werden, ohne dass ein Administrator eingreifen muss. Da der Prozess automatisiert abläuft, wird das Benutzer-Onboarding flexibler –ein wichtiges Argument für große Unternehmen, bei denen Benutzer aus Daten von HR-Abteilungen, von Identity-Anbietern und anderen Directorys kommen.
Delegierung der Benutzerverwaltung
Mit den benutzerdefinierten Admin Role Frameworks können flexible „Realm Admins“-Rollen erstellt werden, um Aufgaben wie Passwortrücksetzungen, Benutzererstellungen und Anwendungs- oder Gruppenzuweisungen innerhalb des Geltungsbereichs der Benutzerpopulation eines Realms wahrzunehmen. So können IT-Teams die Arbeitslast der zentralen IT-Administrationsteams effektiv steuern und reduzieren. Zentrale IT-Teams können tägliche Helpdesk-Aufgaben für eine bestimmte Teilmenge der Benutzer an lokale Administratoren delegieren, während der Zugriff der Administratoren minimiert und Administratoren mit übermäßigen Berechtigungen verhindert werden.
Automatisieren der Realm-Verwaltung
Administratoren können Realms mit Workflows automatisch erstellen, lesen, aktualisieren und löschen sowie die Erstellung und Verschiebung von Benutzern zwischen Realms automatisieren. Workflows bieten eine Möglichkeit, sich wiederholende Aktionen zu automatisieren und zu erleichtern, sodass IT-Teams entlastet und manuelle Aufgaben vermieden werden.
Zentralisierte Governance für die gesamte Belegschaft
Mithilfe der Expression Language können Access Certification-Kampagnen und Berechtigungsrichtlinien auf Benutzer in einzelnen oder mehreren Realms beschränkt werden. So kann Governance auf mehrere Benutzerpopulationen innerhalb einer einzelnen Org angewendet werden. Kunden, die mehrere Orgs für eine ausgelagerte Verwaltung nutzen, können hingegen keine ganzheitlichen Kampagnen im gesamten Unternehmen durchführen, sodass es zu einem Flickenteppich bei der Governance kommt.
Optimieren Ihres Ansatzes zur Org-Verwaltung
Unternehmen können Realms nutzen, um ihre Wachstums- und Geschäftsergebnisse zu verbessern, indem sie effizientes Identity-Management und zuverlässige Sicherheit innerhalb einer Org implementieren.
Flexible Bereitstellungsmodelle
Benutzer können flexibel wählen, wie sie eine Org strukturieren: mit Realms, mehreren Orgs oder beidem. Unternehmen mit logischen Benutzersegmentierungen und isolierten oder ausgelagerten IT-Teams müssen Administratoren Zugriff auf die Admin-Konsole gewähren, um wichtige Maßnahmen ergreifen zu können.
Doch selbst mit der Flexibilität benutzerdefinierter Administratorrollen ist der Umfang der Zugangsrechte für diese Administratoren oft zu hoch. Dies kann IT-Teams zu mehreren Orgs zwingen, wenn sie Benutzerpopulationen segmentieren wollen.
Realms bietet bei der Modellierung dieser Segmente architektonische Flexibilität, sodass Unternehmen Benutzerverwaltungsaufgaben delegieren und dem zentralen IT-Team eine zentrale Lösung bieten können, die die Verwaltung von Richtlinien, Anwendungen und der Governance für die gesamten Benutzerpopulation ermöglicht.
Zentralisierte Governance
Da Governance auf Org-Ebene implementiert wird, kann sich bei Kunden mit mehreren Orgs eine fragmentierte Governance-Struktur ergeben. Mit Realms kann ein Administrator der obersten Ebene alle Benutzer in eine Hub-Org mit eigenständigen Segmenten ziehen.
Sie können dann Kampagnen für die gesamte Benutzerpopulation (oder ein Segment der Population) durchführen und gleichzeitig Behebungsaktionen an die designierten „Realm-Admins“ delegieren. Globale IT-Administratoren können die vollständigen Ergebnisse einer Kampagne in der gesamten Org einsehen, ohne sie manuell mit fragmentierten Orgs oder Kampagnen abgleichen zu müssen.
Größere Flexibilität bei M&As
Unternehmen der obersten Ebene können Realms nutzen, um Benutzer effizient zu kritischen Anwendungen hinzuzuführen, während sie die IT-Integrationsstrategie und die organisatorische Struktur einrichten. Benutzer können in ihren eigenen Realms segmentiert werden und Administratoraufgaben können an die Administratoren des übernommenen Unternehmens delegiert werden, ohne ihnen Zugriff auf die gesamte Org und die Admin-Konsole zu gewähren. IT-Administratoren der obersten Ebene profitieren von einer einfachen und sicheren Möglichkeit für das Benutzer-Onboarding und behalten den Überblick über alle Anwendungszuweisungen, während die Verwaltung weiterhin delegiert wird.
Optimierte IT-Abläufe
Unternehmen können globale IT-Administratoraufgaben vereinfachen, indem sie globale IT-Administratoren in die Lage versetzen, sich auf Strategie und Infrastruktur zu konzentrieren, während tägliche Benutzerverwaltungsaufgaben an lokale Helpdesk-Administratoren delegiert werden. So können Unternehmen die Verwaltung delegieren, ohne dass die Transparenz leidet oder Silos entstehen. Komplexe Unternehmen können die Fragmentierung der Benutzeridentitäten beseitigen und unterschiedliche Benutzerpopulationen in einer einzigen, einheitlichen Ansicht zusammenführen, ohne die globalen IT-Teams zu belasten.
Vorher und nachher
Komplexe Unternehmen lassen sich auf verschiedene Weise strukturieren:
- Mehrere eigenständige Orgs, die nicht miteinander verbunden sind
- Mehrere Orgs, die über Org2Org verbunden sind (oft mit einem Hub & Spoke-Modell)
- Eine einzelne Org, in der Populationen in nicht eigenständigen Gruppen organisiert sind
Mehrere Orgs
Im Moment kann ein Unternehmen mit Mitarbeitern aus verschiedenen Business Units oder Abteilungen mit separaten Orgs eingerichtet sein. Okta-Administratoren müssen die Benutzer und Anwendungszuweisungen für jede Org separat verwalten. Zusätzlich werden Benutzer auf Org-Ebene verwaltet und die Governance kann sich nicht über separate Orgs erstrecken.
Mit Realms können eigenständige Benutzerpopulationen in einer einzigen Org in sich gegenseitig ausschließenden Segmenten existieren. Realm-Administratoren können die Benutzer dann innerhalb ihrer Realms verwalten, ohne ihnen zu viele Berechtigungen zu gewähren. Governance-Kampagnen können auf einen einzelnen Realm beschränkt oder auf mehrere Realms ausgeweitet werden.
Hub & Spoke-Modell
Alternativ kann ein Unternehmen mit einem Hub & Spoke-Modell strukturiert werden, bei dem Partner, Tochtergesellschaften oder übernommene Firmen in Spoke-Orgs existieren. Für den gemeinsamen Anwendungszugriff können viele oder alle Benutzer in die Spoke-Org dupliziert werden.
Mit Realms können die eigenständigen Benutzerpopulationen in der Hub-Org zunächst in Realms eingeteilt werden, um die sich gegenseitig ausschließenden Population von einer Spoke-Orgs zu trennen. Auf diese Weise können die Benutzer den Anwendungszugriff und die Anwendungsrichtlinien weiterhin gemeinsam nutzen, die Benutzerpopulationen aus administrativer Sicht aber weiterhin getrennt bleiben.
Im Endeffekt kann dies die langfristige Strategie unterstützen, weil Spoke-Orgs einfach in die Hub-Org integriert werden, um die Duplizierung von Benutzern und den Overhead zwischen Orgs zu minimieren.
Erste Schritte mit Realms
Realms ist als Teil von Okta Identity Governance und Secure Partner Access allgemein verfügbar. Sehen Sie sich Produkt-Dokumentation an und aktivieren Sie Realms in Ihrer Org, um loszulegen.
Zusätzlich ist Realms in viele Teile des Okta-Produktangebots integriert und nutzt diese. In unserer Dokumentation finden Sie Informationen zu folgenden Themen:
