Fünf Schritte zur Anwendungsintegration mit Selfservice-Funktionen in PingCentral

Eine optimale Umsetzung von Identitätssicherheit heißt auch, alles so einfach wie möglich zu halten. PingCentral ist als On-Premises-Software erhältlich, die in einem dedizierten Tenant gehostet wird, und macht das Onboarding und die Verwaltung von Anwendungen in Ihrem Unternehmen so leicht wie nie zuvor. PingCentral ist ein Betriebsportal, das die zentralisierte Verwaltung von Anwendungsressourcen in PingFederate und PingAccess mit Selfservice-Funktionen ermöglicht. Da dies einiges an Zeit und Ressourcen freisetzt, könnten Ihre Teams noch mehr strategischen Geschäftswert liefern, während Sie gleichzeitig für die schnelle Modernisierung Ihrer veralteten Infrastruktur sorgen.

PingCentral kann die Einführung von PingFederate in Ihrem gesamten Unternehmen optimieren und letztendlich Ihre digitale und Cloud-Transformation beschleunigen. Die folgenden fünf Schritte empfehlen wir Ihnen für die Umsetzung in Ihrem Unternehmen:

1. Erkennen Sie Nutzungsszenarien und Ressourcenprioritäten

2. Stellen Sie PingFederate und PingAccess optimal auf

3. Richten Sie PingCentral ein

4. Schulen Sie Nicht-IAM-Experten

5. Geben Sie auch anderen Teams die Möglichkeit, die Leistungsmerkmale von PingFederate und PingAccess Ihren Anwendungen mit Selfservice-Funktionen hinzuzufügen

    

Eine der besten Möglichkeiten, den Erfolg von PingCentral sicherzustellen, besteht darin, von Anfang an die passenden Vertreter der Geschäftszweige einzubeziehen. Verschaffen Sie sich einen Überblick über die häufigsten Nutzungsszenarien Ihrer wichtigsten Interessenvertreter, damit Sie auch wirklich verstehen, welchen Aufwand eine Anwendungsintegration als Selfservice-Funktion für sie bedeutet. 

Mithilfe der Angaben Ihrer internen Kunden als Orientierungshilfe können Sie die für Ihr Unternehmen vorteilhaftesten Nutzungsszenarien ermitteln. Kategorisieren und priorisieren Sie Ihre kundenorientierten, partnerseitigen und internen Ressourcen, einschließlich aller SaaS-Anwendungen von Anbietern, und gruppieren Sie sie nach Benutzer und Authentifizierungstyp, damit Sie sehen können, welche Arten von OAuth-, OIDC- und SAML-Authentifizierungsmethoden am häufigsten verwendet werden, und wie andere Geschäftsbereiche ihre Bedürfnisse umreißen.

Überprüfen Sie als Erstes Ihre Authentifizierungsrichtlinien in PingFederate und PingAccess, und erstellen Sie Beispielclients für OAuth/OpenID Connect oder SAML-Verbindungen, die über "Policy Contract" (Richtlinienvereinbarungen) laufen. Sie müssen auch darauf achten, dass die Konfigurationen der Authentifizierungsrichtlinien, Richtlinienverträge und Attribute in jeder Zielumgebung von PingFederate und PingAccess konsistent sind. Außerdem finden Sie weitere Informationen über die Nutzung erweiterter Eigenschaften zur Erstellung von Vorlagen für Ihre Richtlinienbäume und Selektoren:

Zusätzliche Attribute aus Datenspeichern

PingCentral unterstützt keine anwendungsspezifischen Aufrufe (z. B. ein OGNL-Ausdruck, der eine bestimmte Verzeichnisgruppe als Teil der Attributzuordnung für eine SAML-Verbindung referenziert). Alle im Attribut-Zuordnungs-Assistenten von PingCentral angezeigten Attribute stammen aus der primären Authentifizierungsrichtlinien-Vereinbarung (Authentication Policy Contract, APC). Und jetzt kommt der Clou: Nichts hindert Sie daran, diesem APC weitere Attribute zuzuweisen und sie jeder beliebigen Anwendung für das Mapping zur Verfügung zu stellen. 

Wir empfehlen Ihnen, alle zusätzlichen Attribute aus benötigten Datenquellen zu übernehmen und diese Ihrem APC zuzuweisen, anstatt sie im Rahmen eines Attribut-Mappings dem Dienstanbieter direkt zuzuordnen. Wir haben beobachtet, dass einige unserer Großkunden auf diese Weise arbeiten, um ein flexibles Attribut-Mapping zu erreichen, das für delegierte Benutzer einfach zu handhaben ist. Im Allgemeinen raten wir davon ab, benutzerdefinierte Datenquellen direkt einer einzelnen Anwendung zuzuordnen, da dies eine Wiederverwendung verhindert.

Verbindungen zu bestimmten Selektoren hinzufügen

Mit PingFederate können erweiterte Eigenschaften (benutzerdefinierte Metadaten) als Teil des Datenmodells und des JSON für jeden von Ihnen erstellten Client bzw. jede Verbindung erstellt werden. Darüber hinaus verfügt PingFederate über einen Selektortyp, der auf den Werten der erweiterten Eigenschaften basiert. Dies bedeutet, dass Sie ein Flussdiagramm mit beliebig vielen Ebenen und Verzweigungen erstellen können, die zu bestimmten Adaptern und Authentifizierungsrichtlinien-Vereinbarungen (APCs) führen. Da jeder Client bzw. jede Verbindung in diesem Richtlinien-Flow nur durch APCs und die erweiterten Eigenschaften an der richtigen Stelle zugeordnet wird, muss keine explizite Verbindung hergestellt werden. Die folgenden Schritte erläutern dies.

Schritt 1: In PingFederate „Extended Properties“ (Erweiterte Eigenschaften) aktivieren.

Schritt 2: Ihre eigene Authentifizierungsrichtlinie zur Verwendung mit dem Selektor in „Extended Properties“ (Erweiterte Eigenschaften) erstellen.

Sobald Sie die Optimierung von PingFederate abgeschlossen haben, ist der Zeitpunkt gekommen, um PingCentral einzurichten. Stellen Sie PingCentral auf einem Server mit Netzwerkverbindungen zu allen Ihren PingFederate-Umgebungen bereit. Als Nächstes müssen Sie SSO einrichten, damit sich Ihre Entwickler und Administratoren bei PingCentral über Ihr bestehendes Single Sign-on anmelden können. Zu diesem Zweck wird PingCentral in der Datei für seine Anwendungseigenschaften als OIDC-Client konfiguriert. Auf diese Weise brauchen Sie den lokalen Benutzerspeicher nicht verwenden; Sie können das Eigentumsrecht für die Anwendungen vorab bereitstellen, und die Benutzer können ihre Unternehmensanmeldedaten verwenden.

In PingCentral fügen Sie dann alle Ihre verschiedenen PingFederate-Umgebungen hinzu, wie z. B. „Dev“, „Staging“ und „Production“. Sie müssen auch Anwendungen und Verbindungen in PingFederate erstellen, die dann in PingCentral als Templates für die Abbildung der häufigsten Anwendungsfälle importiert werden. So erhalten Sie ein frisches Set mit Anwendungseigentümern, aus denen Sie beim Öffnen der PingCentral-Konsole auswählen können, um eine neue Anwendung oder Verbindung hinzuzufügen.

Ein weiterer Schritt, mit dem Sie PingCentral einsatzfähig machen können, besteht darin, die bereits in PingFederate vorhandenen Anwendungen in PingCentral zu übernehmen und die passenden Anwendungseigentümer für diese vorhandenen Anwendungen bereitzustellen. Dies lässt sich zwar auch manuell erledigen, wir empfehlen aber, hier ein Skript über API-Aufrufe an PingCentral zu verwenden.

Schritt 3: Einen Client oder eine Verbindung erstellen, welche die Werte der erweiterten Eigenschaften vorgibt, die Sie in einem Template verwenden möchten.

Sie haben bereits eine Reihe von Mitarbeitern, die sich mit den Anfragen der Anwendungsteams für die Authentifizierung und das Single Sign-on mit PingFederate befassen. Bei diesen Anfragen handelt es sich möglicherweise um das Hinzufügen neuer Anwendungen, Änderungen an der Authentifizierungskonfiguration, das Befördern in neue Umgebungen, das Rotieren von Client-Geheimnissen und weitere Aufgaben, die künftig in PingCentral erledigt werden. Für das Zusammenstellen eines offiziellen Teams für das Onboarden von PingCentral sollten Sie sich also genau an diese Personen wenden, die Anfragen von Anwendungsteams dieser Art bereits bearbeiten. Sie sind wahrscheinlich im Sicherheitsteam oder in einer daran angrenzenden Arbeitsgruppe tätig. 

Teilen Sie diesen Personen mit, dass sie von nun an offiziell zu einem PingCentral-Onboarding-Team gehören und worin ihre Funktion in dieser Phase besteht. Machen Sie alle Mitglieder Ihres Onboarding-Teams (vor allem jene, die an den ersten drei Schritten nicht beteiligt waren) mit der Funktionalität von PingCentral und den von Ihnen konfigurierten Templates, Umgebungen, Ressourcen und Eigentümern vertraut.

Sobald sich das Team eingearbeitet hat, sollte jedes Mitglied des Onboarding-Teams eine gewisse Zeit lang versuchen, die Anfragen der Anwendungsteams mit PingCentral zu bearbeiten. Melden Sie sich als Anwendungseigentümer an und prüfen Sie, ob Sie das tun können, was Sie von Anwendungseigentümern erwarten würden, wenn Sie ihnen PingCentral überlassen. Als weiteres wichtiges Ziel sollten Sie herausfinden, ob Sie die PingFederate-Verwaltungskonsole aus der Bearbeitung des Großteils der Anfragen von Anwendungsteams ausklammern können.  

Mithilfe dieser Onboarding-Übung erzielen Sie hoffentlich viele schnelle Lernerfolge und folgende Fähigkeiten:

• Schnelleres Bearbeiten allgemeiner Anfragen

• Verstehen, welche Vorlagen am häufigsten verwendet werden

• Beurteilen geeigneter Konfigurationen für jede PingFederate-Zielumgebung

Jetzt ist der Moment gekommen, um die Verwaltung an Ihre Anwendungseigentümer außerhalb des Onboarding-Teams zu delegieren. Beginnen Sie mit den Anwendungsteams, die sich am besten mit IAM auskennen, denjenigen mit dem umfassendsten IAM-Wissen und denjenigen, mit dem größten Anfragevolumen (d. h. die Ihre Dienste am stärksten in Anspruch nehmen). Sobald diese Teams die Selfservice-Funktionen nutzen und Ihnen Feedback geben, können Sie Ihre Vorlagen und internen Schulungen auf der Basis der häufig gestellten Fragen verfeinern und die Anleitung für den Rest Ihres Unternehmens verbessern. 

Führen Sie die delegierte Administration von PingCentral nach Bedarf in überschaubaren Schritten ein, damit Sie eventuelle Unregelmäßigkeiten bei der Umstellung glätten können und Zeit haben, Fragen zu klären. Dabei sollten Sie beim Austausch mit den Anwendungsteams auf Rückmeldungen in beide Richtungen achten. Einige Unternehmen fanden eine monatliche „Büro“-Sitzung hilfreich für die Kommunikation und Verwaltung der Umstellung, um auch den Rest des Unternehmens in den PingCentral-Express miteinzubeziehen.

Weitere Informationen über PingCentral finden Sie hier: https://www.pingidentity.com/de/pingone/pingcentral.html