dani
Goto Top

Typo3 - Ideen für zentrale Benutzerverwaltung?

Guten Abend Kolleginnen und Kollegen,
wir haben bisher für alle unsere Typo3 Seiten im jeweils Backend die verschiedenen Benutzer verwaltet (Rechte, Gruppen, etc...). Zu Beginn (vor 4-5 Jahren) waren es einige Seiten. Inzwischen geht's in den 2stelligen Bereich. Die Jungs von der Benutzerverwaltung verlieren langsam den Überblick welcher Benutzer in welcher Site Zugang hat. Dazu kommt, dass der Helpdesk gerade nach den Ferien Paswörter im Tagesrhythmus zurücksetzen muss. Nach langem hin und her soll eine zentrale Benutzerverwaltung (Fronted und Backend) her.

Es geht mir erst einmal um die technische Umsetzung:
Grundsätzlich (unahängig von den verschiedenen Ideen) werden die Abfragen ausschließlich über LDAPs (Port 636) erfolgen. Zusätzlich wird der Zugriff von außen nur von bestimmten IP-Adressen möglich sein.

  • Meine erste Idee ist ein (Open)LDAP in die DMZ zustellen. Über eine entsprechende Baumstruktur die Benutzer der jeweiligen Site zu verwalten. Über ein (vorhandenes) Webinterface den Benutzer die Möglichkeit zu geben, das Passwort zu ändern und eine Passwort vergessen - Funktion bereitzustellen. Das hat aber zu Folge, dass wir eine zweite Benutzerverwaltung aufbauen, welche unabhängig von unseren Microsoft Active Directory läuft. Der Aufwand ist sicherlich überschau aber, aber halt zwei Baustellen die gepflegt und gewartet werden müssen.
  • Eine andere Idee war bis heute Abend, über einen Windows Server mit Hilfe einer AD LDS - Instanz nur die notwendigen Benutzer/Gruppen aus dem Active Directory zu klonen. Den Server steht natürlich in der DMZ. Aber leider werden keinerlei Passwörter synchronisiert ohne Tools wie z.B. FIM 2010. Somit fällt diese unter den Tisch.
  • Parallel zur (Open)LDAP Variante steht im Raum, einen RDOC (ohne DNS und GC) in der DMZ zu plazieren. Die Daten werden von einem fest zugewiesenen WRDC aus dem LAN repliziert. Die Kommunikation zwischen den beiden würde über die Windows-Firewall absichert/verschlüsselt (IPSec mit Zertifikaten). An dieser Idee stört mich, dass alle Objekte und Attribute in der DMZ verfügbar sind und ggf. bei einer Fehkonfiguration abgegriffen werden können.

Am sinnvollesten wäre aus meiner Sicht ein Microsoft ADFS-Proxy mit ADFS-Server. Aber laut meinen Informationen existiert keine Typo3 Extension im Repository, welche Benutzerverwaltung auf dieser Basis ermöglicht. Für LDAP gibt 2-3 Stück, welche vernünftigt funktionieren. Im schlimmsten Fall müssen wir das Geld in die Hand nehmen und eine Extension entwickeln lassen.

Hat jemand in der Vergangenheit solch eine zentrale Benutzerverwaltung erfolgreich/erfolgsos aufgebaut?
Gibt es aus eurer Sicht noch andere Ansätze/Ideen?


Schönen Abend,
Dani

Content-Key: 281668

Url: https://administrator.de/contentid/281668

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 31.08.2015 um 23:11:35 Uhr
Goto Top
Hallo Dani,

sind dies alles eigene Sites? Warum dann nicht eine "große" Installation?
Ich kenn Typo3 nun nur von einem Kunden, weiss daher nicht zu 1000% wie dies mit der MultiSiteUmgebung ist. Generell dürfte dies, HV ausgebaut sinnvoller sein als eine Querverästelung.

VG
Mitglied: Dani
Dani 01.09.2015 aktualisiert um 11:19:18 Uhr
Goto Top
Moin Christian,
Warum dann nicht eine "große" Installation?
Es fängt schon an, dass verschiedene Typo3 - Versionen eingesetzt werden. Das ist wohl auf Grund der verschiedenene Extensions und des Wachstums (da ne Microsite, da ne Partnersite, etc...) zurückzuführen ist. Die Zusammenführung ist auf Grund der verschiedenen Zuständigenkeiten und der Komplextität von den einzelnen Seiten schwierig, ist aber ein langfristiges Ziel. Dazu kommt der Aufbau einer neuen Plattform in unserer DMZ für die Zusammenführung. Denn die jetzt verteilten Ressourcen müssten an min. zwei RZs bereitgestellt, installiert, konfiguiert, usw... werden. Das ist kurzfristig kaum realisierbar. Schon alleine bis das Design steht und die Kostenverteilung mit dem Töchterunternehmen geregelt ist, vergehen 6 Monate...


Gruß,
Dani
Mitglied: eagle2
eagle2 01.09.2015 um 12:01:50 Uhr
Goto Top
Hi Dani,

wir haben eine Zeit lang eine Extension fuer OpenID zum Backend-Login genutzt. Problem dabei ist, dass die Benutzer und Rechte in Typo3 weiterhin manuell angelegt werden muessen, der zentrale Vorteil war aber die Nutzung des eigenen Accounts (quasi SSO) und das damit entfallende separate Passwort (und die existierende PW-Reset-Seite).

Viele Gruesse
eagle2
Mitglied: falscher-sperrstatus
falscher-sperrstatus 01.09.2015 um 12:57:09 Uhr
Goto Top
Zitat von @Dani:

Moin Christian,
> Warum dann nicht eine "große" Installation?
Es fängt schon an, dass verschiedene Typo3 - Versionen eingesetzt werden. Das ist wohl auf Grund der verschiedenene
Extensions und des Wachstums (da ne Microsite, da ne Partnersite, etc...) zurückzuführen ist. Die Zusammenführung
ist auf Grund der verschiedenen Zuständigenkeiten und der Komplextität von den einzelnen Seiten schwierig, ist aber ein
langfristiges Ziel. Dazu kommt der Aufbau einer neuen Plattform in unserer DMZ für die Zusammenführung. Denn die jetzt
verteilten Ressourcen müssten an min. zwei RZs bereitgestellt, installiert, konfiguiert, usw... werden. Das ist kurzfristig
kaum realisierbar. Schon alleine bis das Design steht und die Kostenverteilung mit dem Töchterunternehmen geregelt ist,
vergehen 6 Monate...


Gruß,
Dani

Hi Dani,

nun, je nach Größe bin ich von keiner "halbe Stunde" Aktion ausgegangen. Aber da der Wildwuchs sowieso bekämpft werden sollte... face-wink

Denke auch eine Anpassung aller, bzw ein Großteil der Site und Subsites dürfte gleichermaßen eine längere Zeit dauern.

VG
Mitglied: Dani
Dani 01.09.2015 aktualisiert um 13:26:56 Uhr
Goto Top
Hallo @eagle2,
wir haben eine Zeit lang eine Extension fuer OpenID zum Backend-Login genutzt.
Worin wäre der Vorteil gegenüber meine bisherigen Ideen?

Problem dabei ist, dass die Benutzer und Rechte in Typo3 weiterhin manuell angelegt werden muessen,
Wir wollen es eigentlich soweit automatiseren, dass jede Typo3 Instanz eine LDAP-Gruppe abfragt, die die berechtigten Benutzer enthält. Mit einer Task im Typo3 soll alle x Minuten ein Abgleich erfolgen und ggf. Benutzer importiert bzw. gelöscht werden. Somit können die Site-Admins der jeweiligen Tochter die entsprechenden Berechtigungen vergeben (wie bisher halt auch).

der zentrale Vorteil war aber die Nutzung des eigenen Accounts (quasi SSO) und das damit entfallende separate Passwort (und die existierende PW-Reset-Seite).
Das ist auch unser Ziel. face-smile


Gruß,
Dani
Mitglied: eagle2
eagle2 01.09.2015 um 15:06:07 Uhr
Goto Top
Hi Dani,

ueber OpenID laesst sich auch das AD integrieren, damit laeufst du dann aber in die gleiche Problematik wie Vorschlag 3 hinein, ein wirklicher Vorteil ist es also nicht.

Rein Interessehalber: Wie granular habt ihr denn die Zugriffsteuerung? In unserem Fall muesste jeder Benutzer in eine oder mehrere Typo3-Backend-Gruppen aufgenommen werden, je nach Berechtigung (wir haben ein recht komplexes Review-System mit verschiedenen Workspaces).

Viele Gruesse,
eagle2
Mitglied: Dani
Dani 06.01.2019 aktualisiert um 12:42:30 Uhr
Goto Top
Guten Abend,
wir haben inzwischen eine finale Lösung erarbeitet und auch umgesetzt. Die Basis ist ein WAP-Server und AD FS Server Cluster. Inzwischen gibt es auch SAML Extensions für Wordpress, Typo3, Nextcloud, etc... welche eine längere Testphase in verschiedenen Umgebungen hinter sich haben und somit "gereift" sind.

Zusätzlich haben wir über ein OTP-System integiert. Dabei handelt es sich un ein Plugin für Microsoft AD FS und lässt sich über Vertrauensstellung in ADFS entsprechend aktivieren. Da wir das OTP System für andere Anwendungen bereits nutzen, hat ein Teil der betroffenen Nutzern ein Hardware-Token. Die restlichen Nutzer haben ebenfalls nun einbekommen.

Über enstprechende Vertrauenstellungen, jeweiligen Claims und Gruppenmitgliedschaften in Active Directory steuern wir, wer auf welche Internetseite zugreifen darf. Über weitere Token Claims weisen wir die Benutzer entsprechende Gruppen in dem jeweiligen CMS zu. Somit werden die Berechtigungen vollständig über das Active Directory Gruppen gesteuert.

Bezüglich der Problematik Active Directory Benutzerkonto wird durch Fehleingaben gesperrt, greifen wir auf ADFS Extranet Lockout zurück. Damit bleibt das Benutzerkonto im LAN aktiv und nutzbar.

Passwortänderungen sind nach wie vor nur im lokalen Netzwerk möglich. Grund dafür ist, dass für die Passwortänderung kein 2FA konfigurierbar ist.


Gruß,
Dani