Cloud Anbindungen, insbesondere in der Connections Cloud, gehören zum Alltag der TIMETOACT. Eigentlich ist das keine große Sache wenn man sich mit SAML OAuth und OIDC auskennt. Dabei ist es völlig nebensächlich, ob als Tool IBM ISAM, TrustBuilder, RH KeyCloak, Shiboleth oder ADFS verwendet wird. Die Protokolle sind standardisiert und werden in weiten Teilen von allen Lösungen implementiert. Auch wenn es oft anders dargestellt wird – wer sich mit den Mechanismen und Standards gut auskennt, hat wenig Probleme die Tools diesbezüglich zu durchdringen.

Natürlich, am Ende sehen alle etwas anders aus und lassen sich auch unterschiedlich konfigurieren, mit recht wenig Aufwand aber kann sich ein interessierter und mit dem Verständnis der Protokolle und Standards ausgestatteter Consultant schnell einarbeiten. Entscheidend ist die Bereitschaft sich mit einer unbekannten Situation auseinander zu setzen und dies auch als Herausforderung anzunehmen.

So ähnlich lief es auch in unserem Projekt für einen großen Lebensmittelhersteller ab. Die spezielle Herausforderung hier war, dass unbedingt die Lösung Citrix Netscaler verwendet werden sollte. Ok, nun hatten wir uns mit dem Tool schon befasst, weil Netscaler eigentlich recht viel bieten kann und auch oft in Citrix Installationen zum Einsatz kommt. Also sagte ich nach kurzem Überlegen zu und habe erst einmal ein paar Tage für Evaluierung und Konzept angeboten. Die Aufgabenstellung war Connections Cloud mit dem AD zu verheiraten, so dass Anwender von internem Netz per SSO, also ohne neue Anmeldung auf die Cloud kommen, von außen sich jedoch über eine Tokenlösung anmelden müssen. Die Tokenlösung war im Prinzip vorhanden und wurde bereits mit dem Netscaler für VPN Zugang eingesetzt.

Connections Cloud und Active Directory seamless integration

Nach einigen prinzipiellen Überlegungen kamen wir zu der Lösung ADFS als Identity Provider mit der Connections Cloud als SAML Service Provider zu verbinden. Das sollte gut funktionieren, auch mit Federated Provisioning. Allerdings musste ja der Netscaler in der DMZ noch eingebunden werden. Das war, entgegen meiner Erwartung, eine echte Herausforderung. Selbst die Citrix SE’s konnten nur sehr bedingt weiterhelfen. Es war einfach kein Netscaler Know How zu finden, was sich mit SAML über eine Basiskonfiguration hinaus befasst hat. Am Ende ließ es sich dann doch mit einer aktualisierten Firmware realisieren. Nebenbei stellte sich heraus, dass die Tokenlösung out of Support war und ein Nachfolgemodul eingeführt werden musste, der Netscaler eine andere Lizenz benötigte und wir dann noch eine Citrix Lizenzberatung machen mussten. Das Projekt hat auf jeden Fall eine Menge neues Know How eingebracht, das wir auch bei anderen Kunden gewinnbringend einsetzen können.