Automatisierte Berechtigungen basieren auf Eigenschaften
Berechtigungen werden bei vielen Unternehmen aufgrund von Eigenschaften des einzelnen Benutzers vergeben. Egal ob es sich dabei um dessen Abteilung, Standort, Status, oder um einen ganz eigenen Wert handelt, mithilfe von DynamicGroup lassen sich Berechtigungen basiert auf Eigenschaften automatisieren.
Index
Bedingungen für Gruppenmitgliedschaften festlegen in DynamicGroup
Ob Benutzer einer dynamischen Gruppe angehören sollen oder nicht, können Sie auf viele Art und Weisen konfigurieren. Die meist genutzte Konfiguration ist dabei die “Member Query”, insbesondere die, die darin enthaltene “Query Condition”, über die wir in diesem Artikel reden möchten.
Über die “Query Condition” (rot) können Sie komplexe Filter über ein oder mehrere AD-Attribute anlegen. Diese können beliebig mit”AND”- und “OR-Verknüpfungen kombiniert und verschachtelt werden.
In unserem Beispiel haben wir einen Filter mit drei Bedingungen. Die erste Bedingung (department is eqaul “HR”) ist zwingend und muss in Kombination mit der zweiten oder dritten Bedingung erfüllt werden
Wie Sie es sehen können wird die Query Condition zudem automatisch zu einem validen LDAP-Filter (blau) umgewandelt. Diese Umwandlung funktioniert in beide Richtungen. Sollten Sie also bereits einen LDAP-Filter vorliegen haben, der Ihren Bedingungen entspricht, können Sie diesen hier einfach einfügen und weiterverwenden.
Zudem ist es immer wichtig die korrekte “Search Root” (grün) zu hinterlegen. Nur Benutzer innerhalb dieser OU können Mitglied der dynamischen Gruppe werden. In unserem Artikel zu Standortberechtigungen können Sie sich im Detail zu dem Thema informieren.
Die einfache Erstellung und Anwendung von Filtern ist jedoch nicht Ihr einziger Vorteil daran mit DynamicGroup zu arbeiten. Außerdem werden die dynamischen Gruppen automatisch für Sie aktualisiert. Sollten sich also Eigenschaften eines Benutzer-Accounts ändern, wird dieser automatisch in dynamische Gruppen aufgenommen oder aus ihnen entfernt.
Automatisierte Berechtigungen – Anwendungsfälle
Benutzer inaktiv/disabled
Ein häufiger Anwendungsfall ist, dass Benutzer-Accounts, die inaktiv sind, Berechtigungen entzogen bekommen müssen. In diesem Beispiel sehen sie eine “Query Condition” mit der sichergestellt wird, dass alle Benutzer in dieser dynamischen Gruppe aktive Accounts sind.
Der LDAP-Filter “(!userAccountControl:1.2.840.113556.1.4.803:=2)” ist hier der entscheidende Part.
Die dynamischen Gruppen aktualisieren sich automatisch. Es bedeutet für Benutzer deren Accounts deaktiviert sind, die Berechtigungen werden automatisch entzogen.
Außerdem besteht die Möglichkeit inaktive Benutzer explizit einer dynamischen Gruppe hinzuzufügen. Der folgende Anwendungsfall geht näher darauf ein.
Berechtigungsverwaltung im Elternzeit
Benutzer die in Elternzeit, oder längere in den Urlaub gehen, benötigen oft gesonderte Berechtigungen oder müssen speziell verwaltet werden. Hier können wir mit DynamicGroup die Berechtigungen automatisieren.
In unserem Beispiel wird die Eigenschaft “Elternzeit” über mehrere Attribute abgebildet, unter anderem den inaktiv-Status des Benutzer-Accounts. Durch den zusätzlichen Wert “employeeStatus” wird sichergestellt, dass es sich wirklich nur um inaktive Benutzer in ihrer Elternzeit handelt, da Benutzer-Accounts natürlich auch aus anderen Gründen inaktiv sein könnten.
Interne und externe Mitarbeiter
Ein weiterer Anwendungsfall für die “Query Condition” ist die separate Behandlung von internen und externen Benutzer-Accounts. Wir möchten die Berechtigungen basiert auf einem Status automatisieren. In unserem Beispiel wird der Benutzertyp im AD-Attribut “employeeType” gespeichert und nur Benutzer vom Typ “internal” sind in dieser dynamischen Gruppe enthalten.
Auf diese Weise lassen sich ganz einfach getrennte Berechtigungen für interne und externe Benutzer vergeben.
Fazit
Mit der Verwendung von DynamicGroup und der darin enthaltenen “Member Query” lassen sich eine Vielzahl von Anwendungsfällen abdecken. Nicht nur lässt sich dadurch die initiale Berechtigungsvergabe und Gruppenzuordnung vereinfachen, auch werden Wartungsarbeiten erheblich reduziert und durch die Automatisierung sicherer.
30 Tage Testversion downloaden und weitere Informationen