Hosting Provisioning

Der permanente Wettbewerb und Kostendruck erfordert eine kontinuierliche Überprüfung der internen Kostenstrukturen und den Einsatz der Mittel. Bei Dienstleistern ist damit primär die Ressource "Mensch" gefragt, welche effektiver einzusetzen ist. Weg von "Regeltätigkeiten", die möglichst automatisiert erfolgen können zu individuellen Mehrwertleistungen, die aus einem Standardprodukt eine Kundenlösung schaffen.

Wirtschaftlichkeitsrechnung einer Provisioning Plattform

Kosten Nutzen

Zuerst einmal die Aufwände, die hinter eine Implementation eines Provisioning stehen:

  • Server
    Hardware, Betriebssystem, Backup, Antivirus, Betriebskosten
  • Kosten für Provisioning
    Software (Entwicklung oder Anschaffung und Updates)
  • Kosten für individuelle Anpassungen
    (Initial und laufende Anpassungen)
  • Projektaufwand für
    Dienstleistung, Schulung, Produktauswahl

Nutzen: Welche Einsparungen und Vorteile habe ich durch Provisioning

  • Fehlerarm
    Weniger manuelle fehlerträchtige "Routinearbeit"
  • Revision Änderungen werden protokolliert
  • Reaktionszeit Änderungen des Kunden werden umgehend umgesetzt auch nachts (24h Betrieb)
  • Kosteneinsparungen
    Manuelle Änderungen kosten Arbeitszeit, Tag für Tag

Aus diesen Gründen gehen nicht nur alle große Webhosting Provider für Firmen den Weg, den Kunden quasi selbst die Einstellungen über einen Webbrowser durchführen zu lassen, sondern auch immer mehr mittelständige unternehmen und Universitäten sind Kandidaten für diesen "SelfService", um Prozesse zu beschleunigen und letztlich Kosten zu sparen.

Provisioning von Hand

Wenn Sie heute ihre Anwender und Verteiler verwalten, dann nutzen Sie dazu wie selbstverständlich die Management Konsole für Benutzer und Computer. Um Einstellungen im Exchange Server durchzuführen, nutzen Sie den Exchange System Manager.

Diese Vorgehensweise ist für die meisten kleinen und mittleren Firmen üblich und effektiv aber stößt auch in ihre Grenzen. Hier eine kurze Liste der wünschenswerten Funktionen, die eine MMC nicht abbilden kann.

  • Plausibilitätsprüfung und Vorlagen
    In der MMC ist nur sehr schwer sicher zu stellen, dass die Felder alle "richtig" mit plausiblen Daten gefüllt wären. Leider kann man in der MMC keine Vorlagen einbinden (nur über Kopieren eines Anwenders) und selbst dann sind Tippfehler in der Abteilung erst beim Exchange Adressbuch später bemerkbar
  • Fehlender Prozessverarbeitung
    Oft ist es nicht nur "mal schnell einen Benutzer anlegen", sondern solch ein Vorgang betrifft gleich mehrere Abteilungen. Es muss nicht gleich ein Workflow sein, aber ideal  wäre es, wenn die Personalabteilung z.B.: bei der Neueinstellung die Daten in einem Formular eingibt und das System das meiste im Hintergrund alleine macht. Auch wenn der Personalchef kein Administrator ist.
  • keine angepasste Hilfe
    Dazu gehört auch, dass die MMC keine Hilfe für Anwender bereit stellt. Ich möchte natürlich erst gar nicht die MMC in die Hand eines Anwenders geben, aber wenn dies der einzige Weg wäre, sollte eine angepasste Hilfe möglich sein. Die TaskPad-Anzeige der MMC ist ein erster Schritt.
  • Change-Management/Protokollierung
    Ein großes Problem beim Active Directory ist die fehlende Protokollfunktion, die Veränderungen niederschreibt. Wie oft wird später gefragt: "Wer hat wann das getan" ? bzw. wie schnell wurde ein Auftrag eines Kunden oder Mitarbeiters bearbeitet.
  • Komplizierte Berechtigungen und schlechte Delegierung
    Um bestimmte Dinge zu tun, benötigt der Anwender entsprechende Berechtigungen. Damit könnten aber auch ein Virus oder andere Programme eben diese Rechte auch missbrauchen und jede Beschränkung der MMC umgehen. Der Benutzer darf eigentlich nicht die Rechte haben, sondern nur das Programm, welches die Funktionen kontrolliert ausführt. Wenn dies nicht geht, dann müssen Sie als Administrator aber komplizierte Berechtigungen auf OU's und Exchange Objekten einstellen. Das möchte ich eigentlich nicht.
  • Administrative Tools auf Verwaltungs-PCs
    Wenn die MMC wirklich das Mittel der Wahl ist, dann bedeutet dies aber, dass die MMC mit allen erforderlichen Erweiterungen auf die Clients verteilt wird. Auch Service Packs müssen so verteilt werden. Das ist keine einfache Aufgabe, zumal vielleicht die Systeme der Anwender gar nicht geeignet sind. (RAM, Betriebssystem, Netzwerkanbindung)
  • Self-Service
    Viele Tätigkeiten, die heute einen Helpdesk oder Administrator beschäftigen, könnte der Anwender auch problemlos selbst erledigen. So könnte z.B. ein Kollege oder der Vorgesetzte ein Kennwort zurücksetzen bzw. ein gesperrtes Konto wieder freigeben. Ebenso ist die Personalabteilung die richtige Stelle, um das Ausscheiden eines Benutzers im System als Verfallsdatum einzutragen.

Solche Anforderungen bzw. Probleme führen dazu, dass einige Administratoren bestimmte Tätigkeiten mit Skripten automatisieren oder über die Eingabe z.B. über eine Webseite durchführen lassen. Solche Lösungen laufen unter dem Begriff "Provisioning Systeme".

Provisioning per Skript

Eine Abhilfe verspricht, wie so häufig, eine geeignete Software, die den Einsatz der MMC überflüssig macht und den entsprechenden Personen bzw. Inhabern von funktionalen Rollen eine einfache Möglichkeit gibt, die Tätigkeiten auszuführen.

Es gibt entsprechende Werkzeuge, in die ein Administrator, ein Skript aber auch ein Benutzer über eine Oberfläche bestimmte Aktionen anstoßen können. Daraus ergeben sich Aufträge an verschiedene Backend-Systeme, die durch die Anwendung mit einem Systembenutzer umgesetzt werden. Die Personen selbst sind nur Auslöser, deren Eingaben auch verifiziert werden können. Die Business-Logik wird vom Server vorgegebenen und dran vorbei gibt es idealerweise keine Zugriffe. So werden die Änderungen "richtig" und nachvollziehbar gemacht.

Wenn Sie nicht alles selbst schreiben wollen, dann gibt es natürlich entsprechende Programme, die solche Funktionen umsetzen. Hier ein paar Beispiele als Startpunkt. Bitte nicht als Empfehlung falsch verstehen:

Weiter unten habe ich unter Who Is Who noch eine längere Liste von Programmen.

Provisioning per Verzeichnisabgleich

je größer eine Firma wird, desto höher sollte der Automatisierungsgrad werden. Die Einrichtung und Anpassungen sind dann zwar aufwändiger aber dafür ersparen Sie sich viele manuellen Schritte der Anwendern, wenn Sie die Daten nutzen, die eh schon da sind. Wir sprechen dann von einem Meta-Directory oder Verzeichnisabgleich, bei dem aus verschiedenen Systemen die relevanten Informationen extrahiert und in andere Systeme Übertragen werden. So kommen neue Benutzer dann aus dem Person/ERP-System, während die Mailadressen von Exchange erstellt und die Rufnummern aus der Telefonanlage beigesteuert werden. Auch Anbindungen an Applikationen (Rechtevergabe) und selbst Zugangssysteme sind möglich.

Die Schlüsselkomponente ist dabei ein Synchronisationsprozess, der die Daten zwischen einem zentralen Metadirectory und den über Connector angebundenen Systemen automatisch abgleicht. Natürlich kann ein Administrator über ein Portal auch im Metadiretory die Objekte verändern, die dann an die Systeme übertragen werden. Interessanter ist hier aber, dass auch Änderungen an den Zielsystemen zugleich auch Quelle für andere Systeme sein können. Wenn ein Administrator z.B. einen Benutzer im Active Directory mit den bordeigenen Mitteln ändert, kann dies auch in die anderen Systeme übertragen werden. Dies ist ein flexibler und leistungsfähiger Ansatz, der sich aber erst mit höheren Anforderungen an Sicherheit, Datenqualität, Änderungsraten und Firmengröße rechnet.

Client Server oder wer tut etwas?

Direkt mit der Wahl der Anwendung ist auch die Frage verbunden, welche Komponente nun die Einstellungen in das System schreibt. Drei Ansätze sind denkbar:

  • Anwendung schreibt mit Userrechten direkt
    Wenn der Anwender selbst die erforderlichen Berechtigungen im Active Directory und den Servern hat, kann eine eigens entwickelte Anwendung direkt die Felder beschreiben. Die Logik und Plausibilitätsprüfung als auch die Ausführung sind in einem Programm komprimiert und die Berechtigungen sind auf den Benutzer bzw. Gruppen gebunden.
  • Anwendung schreibt mit anderen Rechten
    Der Anwender startet zwar die Anwendung auf seinem PC oder nutzt eine Seite auf einem Webserver. Dieser Code hat dann die Rechte, entsprechende Aktionen auszuführen aber nicht der Anwender selbst. So könnte ein Windows Programm einfach ein "RunAs" nutzen, um die schreibenden Funktionen mit privilegierten Rechten zu starten. Eine ASP-Seite könnte ebenfalls beim LDAP-Connect explizit einen abweichenden Benutzernamen angeben.
  • Client Server-Prinzip
    Die wird die Anwendung nur genutzt, um die entsprechenden Aufträge und Anweisungen einzugeben. Ein zweiter Prozess im Hintergrund sorgt dann dafür, dass die Änderungen an den Zielsystemen durchgeführt werden. Solche Lösungen sind meist sehr viel besser Skalierbar und Führung zu einer Trennung der Eingabe und der Business Logik. Allerdings muss hier dann eine Art Warteschlange der Aufträge verwaltet werden und eine Problembehandlung muss dem Anwender eine Rückmeldung geben, wenn ein Vorgang nicht ausgeführt werden kann.

Am flexibelsten ist natürlich der Client-Server Ansatz, wenn der Client zudem ein Webbrowser ist und der Code auf der Webseite die Aufträge auf Plausibilität und Berechtigung prüft und direkt ausführt oder in eine Warteschlange stellt, die dann von einem anderen Prozess abgearbeitet wird.

Berechtigung und Datenhaltung

Bei der Nutzung eines Provisioning Systems stellt sich automatisch die Frage, wie denn gesteuert wird, wer was darf. Hier gibt es im Bereich Active Directory und Exchange zwei grundlegend unterschiedliche Konzepte

  • Active Directory Berechtigung
    Einige Provisioning Systeme (z.B. der Microsoft Webadmin) nutzen keine eigene Verwaltung von Berechtigungen und administrativen Rollen, sondern verlangen von dem Anwender eine Anmeldung und greifen mit diesen Daten dann auf das Active Directory zu. Damit wird direkt über die Berechtigungen auf OU's und Objekte auch die Funktionalität der grafischen Anwendung gesteuert. Dies führt dazu, dass Sie als Administrator klar Berechtigungen im AD vergeben müssen. Ohne besonderen Schutz ist es damit aber dem Anwender ebenfalls möglich, das Provisioning System zu umgehen und direkt per LDAP auf die Objekte zuzugreifen und diese außerhalb zu verändern. Diese Logik eignet sich daher eher für kleine und einfache Systeme
  • Rollenbasierte Berechtigung
    Leistungsfähiger ist sicher eine auf Rollen basierte Administration, bei der im System über Gruppen bestimmt wird, welche Nutzer welche Aufgaben durchführen dürfen. Nach der Anmeldung erhalten die Anwender dann auf Sie abgestimmte Oberflächen, die zudem mit individuellen Hilfetexten und anderen Zusatzfunktionen bestückt sein. Hinzu kommt, dass die Berechtigung in den Zielsystemen nicht für einzelne Benutzer gesetzt werden, sondern quasi das Servicekonto die Berechtigungen erhält. Das vereinfacht den Betrieb des AD und verhindert, dass Anwender am Provisioning System vorbei Änderungen durchführen können.

Prüfen Sie daher genau, ob die Vergabe von Berechtigungen über die Rechte auf dem Zielsystem oder eine eigene Berechtigungsstruktur erfolgt. Wobei die Nutzung einer eigenen Berechtigungsstruktur nicht ausschließt, dass dabei Windows Sicherheitsgruppen und Active Directory Benutzer einbezogen werden. Die erspart ihnen eine eigene Benutzerverwaltung im Provisioning System selbst.

Produkte

Einen richtigen Markt mit klaren Wettbewerbern gibt es im Bereich Provisioning meiner Ansicht nach nicht, da viele Produkte, die heute als "Fertig" verkauft werden, entweder stark in der Funktion eingeschränkt sind oder einer einen Bausatz zum Zusammenstellen und Anpassen darstellen,. Viele Produkte dürften aus einer Auftragsentwicklung bei einem Kundenprojekt hervor gegangen sein und wurden dann einfach weiter entwickelt. Jeder Anbieter versteht natürlich etwas eigenes und währen die einen Produkte eher klein und überschaubar, wenig anpassbar aber direkt einzusetzen sind, sind andere Lösungen eher umfangreich und komplex, um viele Einsatzfälle abzudecken. Nur ist hier dann auch eine längere Anpassungsphase einzuplanen.

Die Liste der Programm ist nicht vollständig und stellt keine Gewichtung oder Bewertung dar. Da ein Test und Bewertung der Produkte jenseits meiner Möglichkeiten liegt, bin ich auf Feedback der Firmen oder von Personen, die das ein oder andere Produkt einsetzen, angewiesen.

Firma/Produkt Plattform Berechtigung Ziele Preis

Microsoft WebAdmin (Nicht mehr zum Download verfügbar !!)
Frühere Beispielanwendung einer Weboberfläche mit ASP.

Web/ASP

Active Directory

  • Active Directory
  • Exchange
  • Office

free

Microsoft Provision System (MPS)
www.Microsoft.com/serviceproviders/mps/default.asp
http://www.microsoft.com/serviceproviders/solutions/
hostedmessagingprovisioning.mspx

 

?

?

 

Microsoft ADS
http://www.Microsoftcom/downloads/details.aspx?FamilyID=1cb154f4-2b88-45e8-8a6d-bf41ccbf386b&DisplayLang=en

?

?

  • Server Setup und Konfiguration

 

Adaxes
https://www.adaxes.com

Windows

 

  • Active Directory
  • Exchange 2007/2010
  • Und viele mehr

 

ScriptRunner
https://www.scriptrunner.com/de/

Windows

 

  • Active Directory
  • Exchange 2007/2010
  • Und viele mehr

 

OneLogin
https://www.onelogin.com/de/product/directory

?

 

  • Active Directory
  • Exchange 2007/2010
  • Und viele mehr

$

WebSitePanel
http://www.websitepanel.net/
Provisioning Framework per Webbrowser für Hoster

Exchange 2010 SP1 support status in WebsitePanel
http://social.msdn.microsoft.com/Forums/en-US/wspentsupport/thread/f4db8636-a3a3-4c1c-93dd-82390f9d1d8f

Win/ASPX

 

  • Active Directory
  • Exchange 2007/2010
  • OCS 2007
  • Sharepoint 3.0

Und viele mehr

Free !

Cloud Panel
https://cloudpanel.codeplex.com/

?

?

?

Free ?

Directory Update
http://www.directory-update.com
http://msmvps.com/blogs/ehlo/archive/2006/08/31/111367.aspx

Win/ASPX

XML-Steuerung mit Dienstkonto

  • Active Directory
  • Self-Service

299US-$
399US-$

rDirectory
http://www.namescape.com/Products/rDirectory/Default.aspx
CommunityEdition (FREE) Anzeige und "Self Editing"

?

?

?

 

cMatrix ITSM
http://www.econet.de/product/itsm/uebersicht.htm

Win/ASP

Mandanten
Rollen

  • Active Directory
  • Exchange
  • SelfService
  • Konfiguration

 

ALGACOM AG: algaCom Account provisioning System (aAPS)
http://www.algacom.ch/produkte

PowerShell Cmd-Line Administration Tool, Self-Service Portal, Password Reset Portal, Attestations Portal

Win/ASP

  • AD Integrated
  • Business Roles
  • Ulti-Tenancy
  • Active Directory
  • Exchange
  • NotuL Notes
  • SMTP Routing Tables
  • SharePoint
  • Generic XML

Basis 20cent / User

EasyExchangeAdministrator

http://www.system-hosting.com/de/index.php

 

 

 

 

ActiveRoles Server & Quest Quick Connect
http://www.quest.com/activeroles-server/

Windows/MMC Web/ASP

Active Directory & andere Zielsysteme

  • Active Directory
  • Exchange
  • Fileservices
  • SharePoint
  • OCS/Lync
  • SAP
  • Lotus Notes
  • Online Services ( z.B. GoogleApps)
  • RACF / ACF2 / TopSecret

div. Verzeichnisse, Identity Management Frameworks und Datenbanken

 

eQuest www.eqinc.com
http://www.eqinc.com/MPSQuickstart.aspx

?

?

?

 

Imanami Web Based Directory & Account Provisioning
http://www.imanami.com/products/webdir/web_provisioning.asp

Web/ASP

  • Active Directory
  • Exchange

250 uS-4 für 5 Administratoren

User Management Resource Administrator
http://www.tools4ever.de/software/User-management-resource-administrator/

Win

AD

  • Active Directory
  • Exchange

 

NETIQ Administration & Identity Management
http://www.netiq.com/solutions/security/administration.asp
http://www.netiq.com/solutions/administration/default.asp

NETIQ Exchange Administrator
http://www.netiq.com/products/exa/default.asp

Win

?

?

 

intermedia.net: HostPilot Control Panel
http://www.intermedia.net/hosting/hostpilot/

?

?

?

 

EQuant http://www.equant.com
http://www.equant.com/content/xml/
prod_serv_messaging_services.xml
Angeblich auch aktiv mit Provisioning

?

?

?

 

Unicat GmbH: Operations Manager 2.5
http://www.unicat-gmbh.com/

Web/ASPX

 

  • Windows
  • Fileservices

Add-ons für: NDS, LDAP, Exchange, Notes, Inventory u.a

1490€/100 User

2490€/500
Staffeln

PHAT Consulting Directory Manager
http://www.phatconsulting.de/hp/Default.aspx?content=68

Web/ASPX

 

  • Active Directory
  • Fileservices
  • Exchange
  • SQL

 

CA Admin
http://www3.ca.com/Solutions/Product.asp?ID=155

?

?

?

 

Faster.WAK von Faster Software AGCA Admin
http://www.faster-software.de/?Content=Projekte/TAdmin

http://www.Microsoft.com/windowsserver2003/
evaluation/casestudies/CaseStudy.aspx?CaseStudyID=14177

?

?

?

 

Ein Provisioningportal des CERN. Sehr schön gezeigt, was machbar ist und auf jeden Fall sehenswert. Leider kein Produkt zum Kaufen
http://winservices.web.cern.ch/winservices/

Allerdings etwas erschreckend, wie offen viele Informationen im Internet stehen, z.B.: https://weba5.cern.ch/Winservices/ServerStatus/

Web/ASP

?

  • Benutzermanagement
  • Workstationinstallation
  • Statusmanagement
  • Dokumentation

 

ChangeManager für Active Directory
http://www.netpro.com/products/changemanager/index.cfm

Win

?

?

 

bvAdmin von BindView

Web/Win

Rollen

  • Active Directory
  • Exchange

 

ActiveAdministrator von ScriptLogic

Win

Rollen

  • Active Directory

 

WebAdmin (Nicht mit dem Microsoft WebAdmin verwechseln
http://www.glueckkanja.com/Solutions/webadmin.aspx?lang=de

?

?

?

 

DotnetPanel
http://www.dotnetpanel.com/

Win

Rollen

  • AD
  • Exchange
  • OCS
  • CRM
  • Sharepoint
  • Und andere

2450 uS$/Server

Cion Systems Active Directory Manager
http://www.cionsystems.com/AD-manager.php

Active Directory Self Service
http://www.cionsystems.com/AD-selfservice.php

Web

 

  • Active Directory

 

Omni-TS eControl
http://www.omni-ts.com/web-management/
http://www.omni-ts.com/documentation/marketing/econtrol-active-directory.pdf

Web

?

  • Active Directory
  • Exchange
  • GroupWise
  • Novell eDirectory

 

AD Manager Plus
http://www.manageengine.com/products/ad-manager/index.html

Web

Admin, Helpdesk pro OU

  • Active Directory
  • Exchange

795 uS$ für 1 Domain zzgl. Helpdesk Users

Ensim unify
http://www.ensim.com/products/ensim_unify/unify_managed_edition/index.html
http://www.ensim.com/cloud-billing-provisioning-and-portal/automated-provisioning

 

 

  • Active Directory
  • Exchange
  • OCS

 

IAM/IDM/Personal-MangementIdentity Management & Berechtigungen
https://www.firstware.com/de/

 

 

 

 

Folgende Produkte gibt oder gab es mal, aber ich habe keine weiteren Informationen hierzu im Internet gefunden:

Firma/Produkt Plattform Berechtigung Ziele Preis

TÜV NORD Provisioning
Auf einer TechEd habe ich hierzu eine Vorstellung gesehen. Leider gibt es anscheinend kein offizielles Produkt, sondern es ist eine interne Lösung.

 

 

 

 

ManageMail, The Enterprise Mail Advantage
LOCKHEED MARTIN DISTRIBUTION TECHNOLOGIES

 

 

 

 

Empfehlung ?

Es ist leider nicht möglich, eine Empfehlung für das ein oder andere Produkt zu geben. Dazu sind die Produkte zu unterschiedlich und leider auf den Webseiten der Hersteller auch meist sehr sparsam beschrieben. Viele Informationsseiten zählen nur bekannte und nette Stichworte auf aber ich werde den Verdacht nicht los, dass es kein richtiges "Provisioning-Produkt" gibt, sondern alle Lösungen mehr aus Bausteinen und Komponenten bestehen, die zum einen zusammengefügt und mit mehr oder weniger Aufwand durch Programmierung auf ihre Bedürfnisse angepasst werden müssen. Das Problem ist aber nicht nur bei den Anbietern zu suchen, sondern auch bei den Personen, die einen Lösung suchen, die am besten perfekt auf die eigenen Belange abgestimmt ist, aber in einem Tag installiert und in Betrieb genommen sein muss. So kann Provisioning auch nicht funktionieren, denn eine Software kann keine Defizite in der Planung und der Organisation lösen. Wenn eine Provisioning Software ihnen Arbeit abnehmen und die Qualität verbessern soll, dann müssen Sie auch intern Richtlinien festlegen, damit die Software danach handeln kann. Da jeder hier andere Vorlieben und Anforderungen hat, werden Sie um eine Entwicklung und Anpassung nicht umhin kommen.

Deswegen sollten Sie aber nicht gleich die Flinte ins Korn werfen, denn der Aufwand, auch wenn er sich über Personentage und mehr hinzieht, kann sich sehr schnell rechnen. Nämlich dann, wenn nicht mehr mehrere Domänen Administratoren Tätigkeiten durchführen, die z.B. die Personalabteilung oder ein IT Ansprechpartner vor Ort viel besser tun könnte, wenn Sie denn nur die Möglichkeiten dazu hätten. Viel Erfolg bei der Suche nach ihrer Lösung.

Weitere Links