Zugriff im Griff: Wie Cloutomate Serverzugriffe vereinheitlicht

Der Zugriff auf Server ist in vielen Unternehmensgruppen kein klar geregelter Prozess, sondern ein historisch gewachsener Kompromiss. Jede Gesellschaft, jede Business Unit, jede Region hat im Laufe der Jahre eigenen Lösungen und Vorgehensweisen etabliert. Die eine Business Unit nutzt Microsoft Active Directory, die andere Azure AD, eine dritte arbeitet ohne zentralen Verzeichnisdienst. Solange alles intern bleibt, ist das mühsam, aber beherrschbar. Spätestens wenn externe Partner – Wartungsdienstleister oder Consultants – eingebunden werden, kann es knifflig werden: Rechte- und Zugriffsmanagement werden schnell unübersichtlich und Sicherheitsfragen drängend.

Ein internationaler Kunde von Cloutomate stand genau an diesem Punkt. Die IT suchte eine Lösung, um Zugriffe auf Cloud- und On-Prem-Server zentral zu steuern, ohne die bestehende IT-Landschaft komplett umzubauen.

Tomate vor Servern

Ausgangslage: Viele Verzeichnisse, keine gemeinsame Klammer

Die Analyse zeichnete ein Bild, das in internationalen Konzernen typisch ist:

  • Heterogene IT-Landschaft: Windows-Server in verschiedenen Szenarien, teils AD-gebunden, teils völlig unabhängig.
  • Getrennte Identitäten: Mehrere Businessunits mit eigenen Azure-AD-Instanzen oder ohne Cloud-Verzeichnisdienst.
  • Externe Partner: Wartungsfirmen und Consultants benötigen selektiven Zugriff auf bestimmte Systeme.
  • Uneinheitliche Sicherheit: Je nach Gesellschaft und System unterschiedliche Mechanismen für Anmeldung, Rechtevergabe und Protokollierung.

Das Ziel war klar: Ein einheitlicher, zentral steuerbarer Mechanismus, der allen Beteiligten – intern wie extern – den passenden Zugriff ermöglicht und gleichzeitig die Sicherheits- und Compliance-Vorgaben erfüllt.

Die zentrale Herausforderung

Active Directory ist in vielen Unternehmen der Dreh- und Angelpunkt für Benutzer- und Zugriffsverwaltung. Aber in vielen Fällen zeigt sich deutlich, dass dieses Modell an seine Grenzen stößt. So auch in unserem Fall:

  • Systeme ohne AD-Anbindung entziehen sich der zentralen Steuerung.
  • Mehrere Azure-AD-Mandanten sind organisatorisch gewollt getrennt und lassen sich nicht ohne Weiteres zusammenführen.
  • Externe Partner sollen flexibel angebunden werden – aber eben auch sicher.

Die bisherige Praxis führte zu hohem manuellem Aufwand bei Benutzeranlage, Rechtevergabe und Offboarding und erhöhte die Gefahr, dass Zugriffsrechte nicht zeitnah angepasst oder entzogen werden.

Die IT-Abteilung suchte daher nicht nach einem weiteren Inselsystem, sondern nach einer verbindenden Schicht, die diese disparaten Strukturen kontrollierbar macht.

Die Lösung: Okta als verbindendes Element

Okta Identity Management fungiert als zentrale Instanz für Benutzeridentitäten: Interne Mitarbeitende aller Gesellschaften werden angebunden – unabhängig davon, ob ihre „Heimat“ im AD, in unterschiedlichen Azure-AD-Mandanten oder in anderen Quellen liegt. Gleichzeitig erhalten externe Partner kontrollierte Identitäten mit klar definierten Rollen. Über Single Sign-On (SSO) greifen Benutzer anschließend auf Cloud- und On-Prem-Systeme zu, ohne mehrere Konten verwalten zu müssen.

Okta Oktopus

Okta PAM übernimmt die Steuerung der privilegierten Zugriffe. Über fein granulare Access-Control-Listen wird festgelegt, wer auf welche Systeme mit welchen Berechtigungen zugreifen darf, während Zugriffe auf sensible Systeme einheitlich protokolliert werden. So lassen sich Audit- und Compliance-Anforderungen adressieren, weil jederzeit nachvollziehbar bleibt, wer wann welche Aktion ausgeführt hat.

Der Rollout startete mit einem Proof of Concept für ausgewählte Systeme, um die Lösung unter kontrollierten Bedingungen zu erproben. Nach den erfolgreichen Tests wurde Okta schrittweise auf weitere Server ausgedehnt. Perspektivisch soll Okta PAM automatisiert beim Server-Enrollment ausgerollt werden, direkt unter die zentrale Zugriffskontrolle fallen.

Diese Vorgehensweise reduziert das Risiko von Störungen im laufenden Betrieb und stellt sicher, dass Erfahrungen aus den ersten Implementierungen unmittelbar in die nächsten Ausbaustufen einfließen.

Was sich für den Kunden ändert

Mit der neuen Architektur hat der Kunde jetzt einen zentralen Mechanismus, um Serverzugriffe über alle Gesellschaften hinweg zu steuern, egal, ob dahinter ein AD, ein Azure-Mandant oder gar kein Verzeichnisdienst steht. Das macht die Verwaltung überschaubarer und schließt Sicherheitslücken: Rechte werden sauber zugeschnitten, externe Partner bekommen genau die Zugriffe, die sie brauchen, und jede kritische Aktion lässt sich im Nachhinein nachvollziehen.

Gleichzeitig bleibt die Umgebung flexibel. Externe Consultants können eingebunden werden, ohne erst mühsam ins Active Directory aufgenommen zu werden. Die einzelnen Gesellschaften behalten ihre gewachsenen Systeme, arbeiten aber trotzdem nach gemeinsamen Sicherheits- und Rollenmodellen.

Unterm Strich sinkt der Aufwand für die IT deutlich, Compliance-Vorgaben lassen sich einheitlich umsetzen, und die Basis für weitere Automatisierung ist gelegt – etwa für das Zusammenspiel mit Secret-Management-Lösungen, das im nächsten Schritt folgen soll.