Dieser Artikel ist nur für DRACOON Cloud-Kunden relevant, die ein Active Directory zur Benutzer-Authentifizierung an DRACOON angebunden haben und hierbei die traditionelle, in DRACOON integrierte Active Directory-Unterstützung (via LDAP und nicht über OpenID Connect) verwenden.
Zum 31.12.2023 wird die integrierte Active Directory-Unterstützung (via LDAP) aus DRACOON entfernt. Danach kann ein Active Directory an DRACOON nur noch über OpenID Connect via Active Directory-Verbunddienste (auch bekannt als AD FS) oder Azure Active Directory angebunden werden.
Wenn Sie bisher die integrierte Active Directory-Unterstützung von DRACOON verwenden, müssen Sie bis zum Jahresende Ihre Active Directory-Anbindung in DRACOON auf OpenID Connect umstellen, damit sich Ihre Benutzer weiterhin über Ihr Active Directory an DRACOON authentifizieren können.
Warum stellt DRACOON die integrierte Active Directory-Unterstützung (über LDAP) ein?
Bisher gibt es folgende zwei Möglichkeiten, ein Active Directory zur Benutzer-Authentifizierung an DRACOON anzubinden:
1. Anbindung über die in DRACOON integrierte Active Directory-Unterstützung via LDAP (traditionelles Verfahren)
2. Anbindung über OpenID Connect via AD FS oder Azure Active Directory (modernes Verfahren)
Das erste, traditionelle Verfahren basiert auf der von Microsoft im Jahr 2000 eingeführten LDAP-AD-Schnittstelle, während das zweite, moderne Verfahren auf der deutlich flexibleren OpenID Connect-Unterstützung für AD FS (Active Directory-Verbunddienste) fußt, die von Microsoft mit Windows Server 2016 eingeführt wurde.
Das traditionelle Verfahren über LDAP bringt im Zusammenhang mit DRACOON einige Nachteile mit sich, während das modernere Verfahren über OpenID Connect ausschließlich Vorteile (s.u.) bietet.
Bisher musste DRACOON beide Verfahren unterstützen, da einige DRACOON-Kunden noch Windows Server 2012 R2 verwendeten, welcher noch keine OpenID Connect-Unterstützung für AD FS bietet.
Da jedoch im Oktober 2023 die Unterstützung für Windows Server 2012 R2 durch Microsoft endet und somit OpenID Connect für AD FS in Zukunft bei unseren Kunden vorausgesetzt werden kann (Windows Server 2016 ist dann allgemeine Mindestvoraussetzung), wird es für DRACOON nunmehr möglich sein, auf das limitierende LDAP-Verfahren zu verzichten und ausschließlich auf das modernere Verfahren via OpenID Connect zu setzen.
Dies wird auch die Benutzeroberfläche bei der Active Directory-Anbindung in DRACOON vereinfachen.
Welche Vorteile hat die moderne, OpenID Connect-basierte Active Directory-Anbindung an DRACOON?
- Höherer Datenschutz
Bei der OpenID Connect-Anbindung findet die Authentifizierung allein auf Ihrem Windows Server statt, und zu DRACOON wird von diesem abschließend nur ein neutraler Anmeldetoken übertragen. Bei der LDAP-Anbindung hingegen müssen die Active Directory-Kennwörter der Benutzer (freilich nur als Hash-Wert) in DRACOON gespeichert werden. - Unterstützung für Single-Sign-On
Wenn Sie Single-Sign-On für Ihre Benutzer aktiviert haben, können vorhandene Logindaten automatisch zur Authentifizierung an DRACOON übergeben werden und müssen vom Benutzer beim Aufruf von DRACOON nicht erneut eingegeben werden – er wird also automatisch an DRACOON angemeldet. - Mehr Flexibilität
AD FS über OpenID Connect bietet diverse Anpassungsmöglichkeiten des Anmeldevorgangs, die Sie bei Bedarf verwenden können – der gesamte eigentliche Anmeldevorgang findet auf Ihrem Windows Server statt, während bei der LDAP-Anbindung die Authentifizierung standardisiert und nicht-anpassbar von DRACOON durchgeführt wird. - Geringerer Wartungsaufwand
Wenn das Zertifikat einer DRACOON-Umgebung geändert wurde (z.B. weil das alte Zertifikat abgelaufen war), können sich Benutzer nicht mehr über ein via LDAP angebundenes Active Directory an DRACOON authentifizieren – der LDAP SSL Fingerprint, der in DRACOON für das Active Directory hinterlegt ist, verlor durch den Zertifikatswechsel seine Gültigkeit und muss dann in DRACOON erst neu hinterlegt werden. Dieser Aufwand und diese potenzielle Service-Unterbrechung für Ihre Benutzer entfällt bei der Authentifizierung über OpenID Connect. - Geringerer technischer Aufwand bei der Einrichtung
Bei der OpenID Connect-Anbindung muss kein VPN-Tunnel zu DRACOON eingerichtet werden, wie er bei der LDAP-Anbindung aus Sicherheitsgründen erforderlich ist.
Ist es möglich, die Umstellung auf OpenID Connect an einer DRACOON-Umgebung gefahrlos im Parallelbetrieb zu testen, während die bisherige Anmeldung über LDAP von den Benutzern unverändert weiter genutzt werden kann?
Ja, dies ist bis 31.12.2023 problemlos möglich. Sie können Ihr Active Directory via OpenID Connect an DRACOON anbinden, ohne dass die bestehende Active Directory-Anbindung über LDAP beeinträchtigt wird. Zudem können Sie die neue Anbindung über OpenID Connect danach z.B. mit einem Testbenutzer ausprobieren, während sich Ihre regulären Benutzer erstmal weiterhin über LDAP an DRACOON authentifizieren.
Anleitung: Migration einer bestehenden LDAP-basierten Active Directory-Anbindung an DRACOON in eine OpenID Connect-basierte (via AD FS oder Azure Active Directory)
1 Hinzufügen Ihres Active Directory als OpenID Connect-Provider in DRACOON
Lesen Sie unsere Schritt-für-Schritt-Anleitung – abhängig davon, ob Sie AD FS (die Active Directory-Verbunddienste) oder Azure Active Directory (das Cloud-basierte Active Directory von Microsoft) verwenden möchten:
Anleitung: Active Directory über OpenID Connect via AD FS anbinden
Anleitung: Active Directory über OpenID Connect via Azure Active Directory anbinden
2 Umstellen eines Testbenutzers auf die neue Authentifizierung
Stellen Sie einen Testbenutzer auf das neue Authentifizierungsverfahren um, um zu testen, ob dieses wunschgemäß funktioniert.
- Klicken Sie in der DRACOON Web App in der linken Seitenleiste auf Einstellungen. Die Benutzerliste wird angezeigt.
- Doppelklicken Sie auf den gewünschten Testbenutzer in der Liste. Wenn noch kein passender Benutzer in DRACOON existiert, legen Sie einen neuen Testbenutzer an.
- Wählen Sie im Feld Authentifizierungsmethode den Eintrag OpenID Connect.
- Das Feld OpenID-Provider wird sichtbar. Wählen Sie darin Ihren neu hinzugefügten Provider (Ihr Active Directory) aus.
- Geben Sie im Feld Login den Active Directory-Benutzernamen des Testbenutzers ein.
- Klicken Sie auf Speichern.
- Loggen Sie den Testbenutzer bei DRACOON ein, und prüfen Sie, ob der Vorgang erfolgreich ist.
3 Umstellen der regulären Benutzer auf die neue Authentifizierung
Wiederholen Sie die Schritte 1–6 im vorherigen Kasten für jeden Ihrer regulären Benutzer.
Wenn Sie viele Benutzer haben, können Sie auch ein Skript verwenden, um die Authentifizierungsinformationen zeitsparend in einer Sammelaktion bei mehreren oder allen regulären Benutzern umzustellen. Vereinbaren Sie in diesem Fall bitte ein Gespräch mit Ihrem Customer Success-Ansprechpartner bei DRACOON für weitere Unterstützung.
4 Entfernen Ihrer alten Active Directory-Anbindung aus DRACOON
Klicken Sie als Konfigurationsmanager in der linken Seitenleiste auf Einstellungen > Authentifizierung. Klicken Sie auf das Register Active Directory, und entfernen Sie Ihren Active Directory-Eintrag durch Klick auf die X-Schaltfläche rechts neben dem Eintrag.
Betrifft die Umstellung auch DRACOON Server (für On-Premises-Kunden)?
Nein, die Umstellung betrifft ausschließlich die DRACOON Cloud.
Bis wann muss die Umstellung meiner Active Directory-Anbindung von LDAP auf OpenID Connect erfolgt sein?
Ab 01.01.2024 kann auf der DRACOON Cloud keine Verbindung mit einem Active Directory über LDAP mehr hergestellt werden, es werden sich also keine Benutzer mehr auf diese Weise an DRACOON anmelden können. Bis dahin müssen Sie die Umstellung auf OpenID Connect vollzogen haben.
Wie kann ich Hilfe oder Unterstützung erhalten?
Sollten Sie weitere Fragen zu dieser Änderung haben oder Unterstützung bei notwendigen Anpassungen benötigen, vereinbaren Sie bitte ein Gespräch mit Ihrem Customer Success-Ansprechpartner bei DRACOON.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.