Automatisches anlegen/lösvchen von Benutzern über AD-Gruppen
Da unsere AD-Struktur es nicht möglich macht automatisch Benutezr in Passwordsafe anzulegen bzw zu löschen würden wir dies gene über AD-Gruppen Abwikeln, da dies einfacher über unser Antragswesen/Berechtigungsmanagement auszurollen ist.
D.h. es gibt eine "Master" AD-Gruppe und alle Mittglieder dieser Gruppe werden automatisch als User im Passwordsafe angelegt und Benutzer die aus der Gruppe raus fliegen sollen deaktiviert / geköscht werden (evtl. konfigurierbar)
Frank Baier
teilte diese Idee
Liebe Password Safe Benutzer,
hier wurde mittlerweile ein vereinfachter Modus integriert. Durch Aktivierung der Checkbox “Nutzerimport auf Rollenmitglieder beschränken” in einem AD Profil werden AD Benutzer nur importiert, wenn sie Mitglied mindestens einer Rolle sind. Sind sie nicht mehr Mitglied mindestens einer Rolle, so werden sie in Password Safe gelöscht.
Weitere Informationen findet man in unserer Onlinehilfe unter https://help.passwordsafe.de/v8/1/de/topic/import-mit-profil-mit-master-key.
Beste Grüße vom Produktteam,
Daniel
-
anonym
kommentierte
Ja, die Umsetzung würde ich sehr begrüßen. An der ADS Nutzerverwaltung krankt der Passwordsafe schon immer. Das ist mit der 8er Version nicht viel besser geworden.
Im Master Key Modus wird das ADS als führendes System verkauft. Dann sollte das auch so sein, dass die Nutzerverwaltung über das ADS erfolgt. Ein manueller Eingriffe in die Nutzerverwaltung am Endsystem, gerade wenn eine Benutzer entfernt werden soll, ist in einer komplexen und verteilten Umgebung zu aufwendig und fehlerbehaftet. Da bleibt mal schnell eine Zugriffsleiche überig. Wir haben sehr viele Systeme an das ADS für Berechtigungen angeschlossen und alles arbeitet hier mit Gruppenmitgliedschaften. Ich verstehe ehrlich nicht, warum man sich so vehement dagegen sperrt. Frag mich wie das die sonstigen "Großkunden" zeitlich bewältigen.
Es gab schon eine analoge Anfrage: https://mateso.uservoice.com/forums/156840-password-safe-v8-f%C3%BCr-unternehmen/suggestions/35912656-l%C3%B6schen-deaktivieren-eines-benutzers-wenn-der-a
Die wurde mit 85 Stimmen wohl auch schon abgelehnt. Darum hab ich ja wenig Hoffnung ...
-
Frank Baier
kommentierte
Hier wäre es schön wenn es einen extra Haken gäbe über den das anlegen der User gesteuert werden kann, da hier bisher 2 Features miteinander vermischt werden (Sync von Gruppen und anlegen von Benutzern). Bezgl. des Löschens ist es auch ein wichtiges (benötigtes) Feature wobei hier das löschen selbst kritisch sein kann. hier wäre es vielleicht besser wenn der User nur deaktiviert und mit einem anderen Symbol wie das Symbol welches beim deaktivieren im AD verwendet wird, kenntlich gemacht wird. Somit kann man direkt unterscheiden welche User sind aus der AD Gruppe für die Lizenzvergabe/anlegen von Usern geflogen und welche user wurden anderweitig im AD deaktiviert. Weiterhin wäre es sinnvoll wenn User manuell eingetragen wurden, diese auch direkt bei der Userverwaltung (Rollen) wieder Raus genommen werden könnten ohne den Umweg über den AD-Sync Wizard gehen zu müssen. Wenn es dann Eine Gruppe Gibt die Das anlegen und löschen von Benutzern steuert, dann sollte es halt so sein, das die User nicht entfernt werden können oder entfernt werden und durch den sync wieder rein kommen (Die Markierte AD-Gruppe ist führend)
-
MB - .XNC GmbH
kommentierte
es wäre schön wenn es eine aktivierbare Option gibt, die Benutzer
entfernt, wenn diese in keiner AD-Gruppe mehr sind. Damit müssen
Benutzer nicht noch extra (zusätzlich zu den AD-Gruppen) auch im
Password Safe entfernt werden.