Die meisten Organisationen verwalten die Benutzeridentität über ein LDAP- oder AD-Verzeichnis. Bei der Inbetriebnahme einer neuen Anwendung stellt sich immer wieder dieselbe Frage: Wie verbindet sich diese Anwendung mit dem Verzeichnis, wie authentifiziert sie den Benutzer, welche Gruppeninformationen liest sie und wo trifft sie die Zugriffsentscheidung? Wenn diese Verbindung in jeder Anwendung separat hergestellt wird, zerfällt die Identitätsarchitektur schnell.
LDAP-Integration pro Anwendung erzeugt operative Schulden. Jede Anwendung trägt ihr eigenes Servicekonto, ihre eigene Verbindungsadresse, ihren eigenen Suchfilter, ihren eigenen Timeout-Wert und ihre eigene Zertifikatsvalidierungseinstellung. Wenn sich das Verzeichnisschema ändert, die OU-Struktur verschoben wird, das Servicekonto-Passwort rotiert wird oder eine Domain-Migration erfolgt, breitet sich diese Änderung auf zahlreiche Anwendungen aus.
Auch auf der Sicherheitsseite wächst das Risiko. Die Verwendung von unverschlüsseltem LDAP kann dazu führen, dass Passwörter ungeschützt über das Netzwerk übertragen werden. Servicekonto-Passwörter werden in Anwendungskonfigurationen gespeichert. Die gruppenbasierte Autorisierung verteilt sich auf den eigenen Code der Anwendungen; Authentifizierung und Zugriffsrichtlinie werden in unterschiedlichen Systemen mit unterschiedlichen Regeln durchgesetzt.
Auch Audit und Sichtbarkeit zerfallen. Welche Anwendung sich mit welchem Servicekonto an das Verzeichnis gebunden hat, welcher Benutzer authentifiziert wurde, welche Gruppe abgefragt wurde, welcher Zugriff abgelehnt wurde — diese Informationen bleiben oft in Anwendungslogs vergraben. SOC- und Audit-Teams müssen verstreute Logs zusammenführen, anstatt einen zentralen Identitäts-Flow zu haben.
TR7 LDAP / AD Bind löst dieses Problem auf der Zugriffsplattform: Direct-Bind- und Search-Bind-Methoden, LDAPS-sicherer Transport, Gruppenmitgliedschaftsabfrage, Bind-Restriction-Filter, Failover über mehrere Server und AAM-Conditional-Access-Richtlinie vereinen sich in einer einzigen Architektur.
TR7 AAM behandelt die LDAP/AD-Anbindung nicht nur als Passwortvalidierung, sondern als Flow aus Benutzersuche, Gruppenabfrage, sicherem Transport und Erzeugung von Zugriffsrichtlinien.
Direct-Bind wandelt den Benutzernamen über UPN, NetBIOS, UID, CN oder ein benutzerdefiniertes Muster in einen Bind-Principal-Wert um. Search-Bind hingegen sucht mit einem Servicekonto die DN-Information des Benutzers und führt anschließend mit dem Passwort des Benutzers selbst eine Bind-Validierung durch.
Im Search-Bind-Modus kann die Gruppensuche aktiviert werden, und die Gruppenmitgliedschaften des Benutzers werden der AAM-Sitzung hinzugefügt. Diese Gruppeninformation kann bei Entscheidungen zu Anwendungszugriff, MFA-Pflicht oder backendbasierten Berechtigungen verwendet werden.
TR7 kann über LDAPS eine TLS-geschützte Verbindung aufbauen. Durch Konfiguration der Zertifikatsvalidierung und der Self-Signed-Zertifikatsrichtlinie wird das Sicherheitsniveau der Verzeichnisverbindung nach dem Standard der Organisation festgelegt.
Mehrere LDAP/AD-Server können in einer einzigen Konfiguration definiert werden. Verbindungen werden über die Methoden Round-Robin, Weighted oder Failover verteilt; ist der primäre Verzeichnisserver nicht erreichbar, kann der alternative Server in Betrieb genommen werden.
LDAP / AD Bind verbindet die Verzeichnisvalidierung des Unternehmens mit Bind-Vorlagen, Suchfiltern, Gruppenmitgliedschaft, sicherem Transport und Multi-Server-Verwaltung mit dem AAM-Flow.
Im Direct-Bind-Modus wird der Benutzername mit einer der Vorlagen UPN, NetBIOS, UID, CN oder Custom in einen Bind-Principal-Wert umgewandelt. In AD-Umgebungen sind die Formate UPN und NetBIOS verbreitet; in OpenLDAP- oder POSIX-Verzeichnissen können die Muster UID und CN besser geeignet sein. Mit einem Custom-Muster lässt sich eine organisationsspezifische Struktur wie uid={{username}},ou=people,dc=company,dc=com aufbauen. Diese Flexibilität erleichtert es, unterschiedliche Verzeichnisschemata an einen einzigen AAM-Validierungs-Flow anzubinden.
Im Search-Bind-Modus verbindet sich TR7 zunächst mit einem Servicekonto mit dem Verzeichnis und sucht die DN-Information des Benutzers. Wird der Benutzer gefunden, erfolgt im zweiten Schritt der Bind-Vorgang mit der DN und dem Passwort des Benutzers selbst. Dieses Modell ist in Umgebungen nützlich, in denen sich Benutzer in unterschiedlichen OUs befinden, die DN-Information nicht direkt aus dem Benutzernamen erzeugt werden kann oder ein kontrollierterer Suchfilter erforderlich ist. Servicekonto und Such-Base-DN-Information werden zentral verwaltet.
Der Search-Bind-Filter kann im Automatikmodus die Felder userPrincipalName, sAMAccountName und cn gemeinsam auswerten. Im Custom-Modus definiert der Operator seinen eigenen LDAP-Filter; so kann beispielsweise mit (sAMAccountName={{username}}) eine engere Suche durchgeführt werden. Dieser Ansatz passt sich an unterschiedliche Verzeichnisschemata und Benutzernamenformate an. Um falsche Benutzerübereinstimmungen zu reduzieren, sollte der Filter so präzise wie möglich definiert werden.
Auch wenn das Benutzerpasswort korrekt ist, ist nicht immer gewünscht, dass jeder Verzeichnisbenutzer auf jede Anwendung zugreift. Mit dem Bind-Restriction-Filter wird sichergestellt, dass nur Benutzer, die eine bestimmte OU-, Gruppen- oder Attributbedingung erfüllen, den Validierungs-Flow passieren. So können beispielsweise nur Benutzer der Gruppe VPN Users für ein bestimmtes Backend zugelassen werden. Dieser Filter bewertet die Authentifizierung zusammen mit dem Zugriffsumfang.
Wenn ldapEnableGroupSearch aktiv ist, kann TR7 unter Verwendung des Benutzer-DN-Werts die Gruppenmitgliedschaften abfragen. Mit ldapGroupSearchBase und ldapGroupFilter wird festgelegt, in welchem Verzeichnisbereich und mit welchem Filter Gruppen gesucht werden. Die zurückgegebene Gruppenliste wird der AAM-Sitzung hinzugefügt. Conditional-Access-Flows können anhand dieser Gruppeninformation eine unterschiedliche Anwendungs-, MFA-, Erlaubnis- oder Ablehnungsentscheidung treffen.
Bei Verwendung von LDAPS wird die LDAP-Verbindung mit TLS geschützt und läuft typischerweise über Port 636. Das Verhalten der Serverzertifikatsvalidierung kann mit Einstellungen wie sslValidateCertificate und sslAllowSelfSigned konfiguriert werden. In Produktionsumgebungen sollte unverschlüsseltes LDAP nicht bevorzugt werden. Die Sicherheit der Verzeichnisverbindung ist eine grundlegende Voraussetzung für den Schutz sensibler Daten wie Benutzerpasswort und Servicekonto.
LDAP-Verbindungs- und Vorgangs-Timeout-Werte sind konfigurierbar. Kann keine Verbindung aufgebaut werden oder antwortet der Verzeichnisserver langsam, wartet der AAM-Flow nicht endlos. Langsames Domain-Controller-Verhalten in Stoßzeiten oder Latenz eines Netzwerksegments lassen sich mit diesen Werten unter Kontrolle halten. Timeout-Einstellungen sollten zusammen mit dem Benutzererlebnis und dem Failover-Verhalten geplant werden.
TR7 kann unter einer bestimmten Search-Base Benutzer abrufen und Attributwerte wie Mail und Telefon in das lokale AAM-Benutzerprofil übertragen. Felder wie queryMailField und queryPhoneField können nach dem Schema der Organisation eingestellt werden. Diese Funktion hilft bei der Verwaltung von Benutzerliste und Kontaktinformationen. In einer Cluster-Umgebung wird der Benutzerlisten-Abruf so eingeschränkt, dass er nur auf dem Primary Node läuft.
Im hosts-Array können mehrere LDAP/AD-Server definiert werden. lbMethod kann als roundrobin, weighted oder failover gewählt werden. Im Failover-Modus wird auf den alternativen Server umgeschaltet, wenn der primäre Server nicht erreichbar ist. Der Verbindungspool- und Circuit-Breaker-Ansatz verringert, dass dauerhaft ausfallende Server den Flow stören.
Es ist konfigurierbar, über welchen Network-Namespace der LDAP-Server erreicht wird. Das ist wichtig für Domain Controller in einem separaten Segment oder für tenant-spezifische Verzeichnisstrukturen. Der Verkehr des Zugriffsmanagements wird über die richtige Routing-Tabelle und Netzwerkisolation transportiert. In Multi-Tenant- oder getrennten Rechenzentrumsarchitekturen bietet das eine klarere Netzwerkkontrolle.
LDAP / AD Bind wird zusammen mit Verbindungslebenszyklus, Filtersicherheit, Verbindungsbereinigung, Search-Bind-Verhalten, Cluster-Beschränkung und Attributauswahl betrieben.
Wenn die LDAP-Einstellungen aktualisiert werden, werden die Verbindungsinformationen neu vorbereitet, und der Validierungs-Flow läuft mit den neuen Einstellungen. Die Verbindungsinformationen werden aus den Parametern protocol, host, port, TLS und timeout erzeugt. Das Anwenden von Einstellungsänderungen innerhalb eines zentralen Lebenszyklus sorgt für Konfigurationskonsistenz.
Bevor Benutzereingaben in den LDAP-Filter eingesetzt werden, werden Sonderzeichen escapt. Werte wie Backslash, Stern, Klammern und Null-Zeichen werden escapt, um das Risiko von LDAP-Injection zu verringern. Dieses Verhalten ist besonders bei Strukturen mit Custom-Filter kritisch.
Nach der Nutzung der LDAP-Verbindung wird der Client bereinigt und die Listener werden entfernt. Dieser Ansatz verringert Zombie-Verbindungen und unnötigen Speicherverbrauch. Lang anhaltendes Keep-Alive-Verhalten sollte nur in speziellen Modi wie dem Benutzerlisten-Abruf verwendet werden.
Der automatische Search-Bind-Filter kann die Felder userPrincipalName, sAMAccountName und cn gemeinsam auswerten. Im Custom-Filter-Modus definiert der Operator seinen eigenen LDAP-Filter. Der Custom-Filter ist mächtig; da jedoch falsch zu weit gefasste Filter zu unerwarteten Benutzerübereinstimmungen führen können, sollte er sorgfältig gestaltet werden.
Die Pool-Struktur des LDAP-Backends der neuen Generation kann LDAP-Client-Verbindungen mit Pool-Logik verwalten. Wenn LDAPS gewählt wird, werden dem Verbindungsaufbau TLS-Optionen hinzugefügt. Spezielle DNS-Lookup-Zeit und Verbindungs-Timeout-Werte gewinnen in langsamen oder segmentierten Netzwerken an Bedeutung.
Der Benutzerlisten-Abruf wird in einer Cluster-Umgebung so eingeschränkt, dass er nur auf dem Primary Node läuft. Dieses Verhalten verhindert, dass dieselbe Benutzerliste gleichzeitig von mehreren Knoten abgerufen wird und unnötige Last erzeugt. Der Authentifizierungs-Bind-Flow läuft hingegen weiterhin nach dem definierten Verbindungsmodell.
Mit dem ldapAttributes-Array wird festgelegt, welche Felder aus dem Verzeichnis zurückgegeben werden. Die Standardfelder können Werte wie dn, cn, userPrincipalName, displayName, mail und Telefon umfassen. Zusätzliche Felder wie department, employeeID oder benutzerdefinierte Attribute können je nach Bedarf der Organisation der Liste hinzugefügt werden.
In einer großen Organisation greifen Mitarbeiter mit ihrem bestehenden AD-Benutzernamen und -Passwort über AAM auf Anwendungen zu. Gruppenmitgliedschaften werden in die AAM-Richtlinie übertragen; Finanz-, HR- und IT-Gruppen können an unterschiedliche Anwendungs- oder MFA-Flows geleitet werden. Wenn sich die AD-Passwortrichtlinie ändert, werden die Anwendungen nicht einzeln aktualisiert.
In einer Struktur mit zwei Domain Controllern in zwei Rechenzentren kann TR7 die Verbindung mit der Failover-Methode aufbauen. Ist der primäre Verzeichnisserver nicht erreichbar, wird auf den alternativen Server umgeschaltet. Der Benutzervalidierungs-Flow bleibt nicht vom Ausfall eines einzelnen DC abhängig.
Ein bestimmtes Backend kann nur für Benutzer der Gruppe VPN Users geöffnet werden. Auch wenn der Bind erfolgreich ist, wird ein Benutzer, der die bindRestrictionFilter-Bedingung nicht erfüllt, abgelehnt. So werden Passwortvalidierung und Anwendungszugriffsberechtigung nicht als dasselbe betrachtet.
Organisationen, die statt AD OpenLDAP nutzen, können die Benutzervalidierung mit den Bind-Vorlagen UID oder CN durchführen. In posixAccount-basierten Verzeichnissen können Mail-, Telefon- und benutzerdefinierte Attribut-Mappings in das AAM-Profil übertragen werden. Durch den Aufbau einer sicheren Verbindung mit LDAPS werden klassische LDAP-Verzeichnisse in den modernen Zugriffs-Flow einbezogen.
LDAP/AD-Anbindung, gruppenbasierte Richtlinie, LDAPS-sicherer Transport und zentrales Audit auf einer Plattform. Lassen Sie uns Sie durch eine Live-Einrichtung in Ihrer eigenen Umgebung führen.