Highlights 2018

Highlights 2018

Services

AD-geführte Applikationen
Weitere Informationen

 

Diverse Anwendungen authentifizieren ihre berechtigten User durch die Zuordnung zu einer AD-Gruppe, die dann die Zugangsberechtigung zu der sog. AD-geführten Applikation repräsentiert.

Zusätzlich können weitere Gruppen definiert werden, die dann spezifischen Rechten in der Anwendung entsprechen.
Bi-Cube verwaltet diese Anwendungen als reguläre Zielsysteme, wobei dann die Berechtigungen des Users dann über einen spezifischen AD-Connector verwaltet werden.

Es wird dringend empfohlen, diesen Service zu nutzen, da damit die Anwendung explizit in bi-Cube bekannt ist und alle Prozesse, Reports usw. direkt zugänglich ist, was bei der verdeckten Verwaltung im AD nicht möglich ist.

AD-PW-Control
Weitere Informationen

 

Der Anstoß zur Entwicklung dieses Service kam von Kunden, die den in bi-Cube möglichen PW-Sync vom AD zu anderen Systemen nutzen, um dem User nur eine Anmeldung zu ermöglichen.

Wenn nun (wie zum Beispiel bei SAP) die PW-Regeln des Zielsystems strenger als die von Windows sind, kann das PW zwar in Windows akzeptiert werden aber oft in dem Zielsystem nicht, da dort das Passwort strengeren Regeln unterliegt.

Dies führt regelmäßig zu Unmut beim User und aufwendigen manuellen Eingriffen in bi-Cube.

Aus dieser Problematik heraus wurde der AD-PW-Control Service entwickelt.

Dieser führt den PW-Control Dienst von Windows nach außen und setzt da seinen eigenen PW-Check mit strengeren Regeln auf und gibt das Ergebnis wieder an Windows zurück.

Von der iSM Secu-Sys AG wurde dieser externe PW-Check gleich um weitere Funktionen erweitert, die u. a. Compliance und Nachvollziehbarkeit unterstützen.

Zusätzlich wird eine Blacklist geführt und es erfolgt eine Prüfung gegen eine Bibliothek „geleakter“ Passworte. Diese Bibliothek enthält aktuell Millionen von Einträgen.

PW-Self-Service für Windows
Weitere Informationen

 

Ein weiterer neuer Service bietet die Möglichkeit, direkt in der Win-Anmeldung eine „Passwort vergessen“ Funktion zu aktivieren und im Self-Service das PW zurück zu setzen. Diese Funktion ergänzt den bisherigen PW-Self-Service.

Berechtigungsgruppen
Weitere Informationen

 

Auf Basis der erweiterten Objektmodellierung können in bi-Cube die Berechtigungsstrukturen komplexer Berechtigungsmodelle von Zielsystemen abgebildet werden.

Dies betrifft z. B. SAP, GMS (OMV), NGBS (e+) usw.

Aus der Menge von Einzelberechtigungen wird eine Teilmenge von Berechtigungen einem spezifischen internen Gruppen-Objekt zugeordnet.

Die Zuordnung von Berechtigungen zum User kann dann in 2 Ebenen erfolgen:

  1. Wie üblich in der Auswahl von Einzelberechtigungen und deren Zuordnung zum User. Ein bei einer hohen Zahl von Berechtigungen (AD-Gruppen oder SAP-Rollen) kann dies schon recht unübersichtlich sein. Oft kommen dann noch kryptische Bezeichnungen der Berechtigungen dazu.
  2. Durch die Auswahl einer vordefinierten Berechtigungsgruppe mit sprechendem Namen. Die Besonderheit und der Unterschied zu einer System-Rolle besteht darin, dass aus dieser Gruppe Berechtigungen entfernt oder auch individuell hinzugefügt werden können.

Am User erscheinen diese Berechtigungen dann als zugewiesene Einzelberechtigungen.

Die Berechtigungsgruppen sind also ein effektives Hilfsmittel zur Vereinfachung der Administration.

Die Admin-Accounts (sog privilegierte Accounts = PA) stellen für ein Unternehmen ein nicht zu vernachlässigendes Risiko dar. Wenn ein Admin-Account in die falschen Hände gerät, besteht damit ein hohes Risiko des Datenverlustes bzw. der Industriespionage.

Wobei es weniger um die „Dunkle Macht der Admins“ als um den Schutz dieser Accounts vor unberechtigter Nutzung und damit dem Schutz der Admins vor (in der Regel unbegründbaren) Vorwürfen der unzulässigen Nutzung ihrer Kompetenzen geht.

Deshalb ist der Schutz der privilegierten Accounts von hoher Bedeutung. Dieser Sicherheitsaspekt ist insbesondere bei den sog. Privilegierten Shared  Accounts (PSA) zu berücksichtigen, da diese Accounts von mehreren Personen benutzt werden, wobei es dann natürlich schwer ist, eine personenbezogene Rückverfolgung vorzunehmen.

Im Gegensatz zu anderen aufwendigen Ansätzen (z. B. CyberArc) ist es bei bi-Cube PSA nicht erforderlich, ein PW nach Nutzung automatisch zu ändern, was durchaus zu Inkonsistenzen führen kann.  Bi-Cube PSA nutzt die interne SSO-Technologie, um dem Antragsteller den Zugang zu einem solchen Account zu ermöglichen. SSO „weiß“ dann, wer den shared Account zu  welcher Zeit in Nutzung hatte.

bi-Cube GO
Weitere Informationen

 

Die wichtigsten Antrags- und Freigabeoperationen lassen sich auch im Smartphone bearbeiten.

Durch unsere Kooperation mit MobileIron können auch dadurch geschützte Netzwerke durch bi-Cube erreicht werden.

ID-Provider
Weitere Informationen

 

Zahlreiche Anwendungen, zahlreiche Kennwörter - eine zentrale Lösung zur Authentifizierung erspart Mitarbeitern im Unternehmen viel Ärger und dem User Help Desk viel Arbeit. bi-Cube übernimmt mit seinem Identity Provider die sichere Authentifizierung der Nutzer an Webanwendungen und realisiert damit die Funktion der Federation.

Eine Anmeldung am bi-Cube Workplace ermöglicht damit den Zugriff auf das Intranet des Unternehmens und zahlreiche externe Webanwendungen.

Wartungsfenster
Weitere Informationen

 

Wenn Zielsysteme durch bi-Cube längere Zeit nicht erreichbar sind, laufen die darauf bezogenen Prozesse und Transaktionen in einen Fehlermodus. Das hat aufwendige Korrekturen und Wiederanläufe zur Folge, wenn das System wieder verfügbar ist.

Mit Angabe des Wartungsfensters „weiß“ bi-Cube, dass das System nicht erreichbar ist und lässt die entsprechenden Messages in einen Cache laufen, aus dem sie erst dann herausgeholt werden, wenn das Problem behoben ist. Der Ende-Zeitpunkt kann während des Wartungsfensters auch geändert werden.

Shared Mailboxes
Weitere Informationen

 

Shared Mailboxes sind deaktivierte, aber mail-aktivierte User-Accounts, die durch mehrere Nutzer verwendet werden können. Die deaktivierten User-Accounts werden nicht durch den Benutzer, sondern durch Exchange selbst im Hintergrund angelegt.

Für eine Shared Mailbox ist kein User verantwortlich, deswegen wird die Zuordnung zu einem User nicht benötigt. Deswegen wird ein neuer Anker Exchange im Objekttyp Ressourcen eingeführt. Unter diesem Anker werden die Exchange-Server aufgelistet und darunter die Shared Mailbox erstellt.
Neue Definitionen für den Exchange-Server und die Shared Mailbox werden eingeführt.

An den Shared Mailboxes kann kein Attribut für die berechtigten Accounts angelegt werden, da es nicht möglich ist, in der Tabelle ‚Attribut‘ mehrere Werte zu einem Attribut zu hinterlegen.
Die User werden per AD-Gruppen an den Shared Mailboxes berechtigt.

Die Shared-Mailboxes werden über die Pool-Ressourcen Maske beantragt. Bei den „Typen der Ressource“ wird ein neuer Punkt „Shared-Mailbox“ hinzugefügt.

Prozess Rollen-Entzug

 

Beim vordefinierten Ende der Zuordnung einer Rolle wird diese bisher automatisch zum definierten Zeitpunkt entzogen. Durch den Einsatz des Prozesses Rollen-Entzug wird diese Aktion um eine Info und Verlängerungsoption ergänzt.

Damit werden Entzüge von Berechtigungen, die nicht mehr gewollt sind, einer Prüfung und evtl. Verlängerung unterzogen.

Mehrfach-Accounts in Rollen
Weitere Informationen

 

Mehrfach-Accounts am User sind nach wie vor gängige Praxis in der IT. Es geht dabei vor allem um die Trennung von bestimmten Arbeitsbereichen insbesondere von IT-Spezialisten. Neben dem regulären User-Account, können weitere Accounts zum selben System mit differenzierten Rechten zugeordnet werden.

Ausstattungsverwaltung
Weitere Informationen

 

Die organisatorische Bewältigung von Ausstattungsprozessen mit IT-Assets (Handy, Notebook,…) in überregional und international tätigen Unternehmen ist eine große Herausforderung.
Ein nicht zurückgegebenes Notebook nach Projektende, ein behaltenes Mobiltelefon nach der Kündigung, das nicht erfasste Tablet für den Praktikanten! Wenn es keinen Kontrollprozess für ausgegebene Geräte gibt, geht dem Unternehmen bares Geld verloren.

Durch die Verwaltung mit bi-Cube lassen sich nicht nur Verlustrisiken und Opportunitätskosten reduzieren, auch die allgemeinen Kosten der Ausstattungsverwaltung können deutlich verringert werden.

Weitere Vorteile generieren sich aus der Möglichkeit, die Geräte den Mitarbeitern aufgabenbezogen zuzuweisen. Die damit geschaffene Transparenz verringert das Sicherheitsrisiko einer missbräuchlichen Nutzung.

Die neue bi-Cube Ausstattungsverwaltung ermöglicht die prozessgestützte Beantragung und Zuweisung sowie den Entzug von Ausstattungsobjekten auf Grundlage vordefinierter Ausstattungscontainer mit festgelegten Eigenschaften, Verantwortlichen, Hierarchieregeln und Attributen.

Cloud-Services

Anlage Azure AD Account
Weitere Informationen

 

Verwaltung O365
Weitere Informationen

 

Voraussetzung ist der Service "Anlage Azure AD Account".

Antrag und Rezertifizierung
für virtuelle Maschinen

Weitere Informationen

 

Azure Billing Service

 

Neue Connectoren

Cherwell

 

Skype for Business

 

CMD-OC (Meet&Talk)