Active Directory

Die AD-Anbindung eines CAFM-Systems ist meist Teil einer übergeordneten SSO-Strategie im Unternehmen. Sie ermöglicht, dass Benutzer nahtlos zwischen verschiedenen Anwendungen wechseln können, ohne sich jedes Mal neu anmelden zu müssen.

• SSO im Windows-Netzwerk: Wie oben beschrieben, kann durch Kerberos-Authentifizierung ein Single Sign-On innerhalb einer Domäne erreicht werden. Sobald der Benutzer sich am PC (in der Domäne) anmeldet, gelten seine Domänen-Anmeldeinformationen für alle angebundenen Dienste. Greift der Nutzer auf das (on-premise gehostete) CAFM-Webportal zu, übernimmt der Browser bzw. der Server die Windows-Auth (Negotiate mit Kerberos/NTLM), und der Benutzer ist direkt angemeldet. Die Zugriffsrechte im CAFM werden anhand seines Domänenaccounts ermittelt, ohne dass er nochmals Benutzername/Passwort eingeben muss. Diese transparente Anmeldung steigert die Sicherheit und den Komfort, da Tickets im Hintergrund ausgetauscht werden.

• SSO über Identity Provider (föderiertes SSO): In Szenarien, wo Benutzer auch von außerhalb des internen Netzwerks oder aus Cloud-Anwendungen auf das CAFM-System zugreifen, wird SSO via zentralem Identity Provider umgesetzt. Beispielsweise kann ein Unternehmen einen IdP wie ADFS, Azure AD oder einen Drittanbieter (Okta, etc.) nutzen. Der Vorteil: Der Benutzer meldet sich einmal am IdP (mit seinen AD-Zugangsdaten) an und erhält Zugriff auf alle angebundenen Anwendungen. Für das CAFM-System bedeutet dies, dass es keine eigene Anmeldung mehr präsentieren muss, sondern beim Zugriff ein Redirect zur IdP-Anmeldung erfolgt. Nach erfolgreicher Authentifizierung liefert der IdP ein Token (SAML/OIDC), und der Nutzer ist im CAFM eingeloggt. So wird eine zentrale Vertrauensstelle geschaffen, die z. B. Policies wie MFA oder Session-Management einheitlich durchsetzt. Das Active Directory bleibt im Hintergrund die Quelle der Identitätsdaten, aber die Authentifizierung erfolgt über standardisierte SSO-Protokolle. Dieses Vorgehen ermöglicht Single Sign-On über verschiedene Systeme und Domänen hinweg, nicht nur innerhalb eines Windows-Netzwerks. Insbesondere bei Cloud-basierten CAFM-Lösungen ist diese Integration in die bestehende SSO-Landschaft entscheidend, um den Benutzern ein nahtloses Nutzungserlebnis zu bieten.

Die Anbindung an Active Directory beeinflusst auch maßgeblich die Benutzer- und Berechtigungsverwaltung im CAFM-System. Statt Benutzer manuell im CAFM anzulegen, können diese aus dem AD importiert oder synchronisiert werden. Häufig erfolgt ein regelmäßiger Abgleich der Benutzerstammdaten (Name, Login, E-Mail, Abteilung etc.) aus dem AD ins CAFM. Damit wird sichergestellt, dass alle Personen, die Zugriff benötigen, im CAFM bekannt sind, und es werden Dubletten vermieden.

Wichtig ist dabei das Rollen- und Rechtemanagement: Ein gängiger Ansatz ist, AD-Gruppen zur Steuerung von Zugriffsrechten im CAFM zu nutzen. So kann man beispielsweise im AD Sicherheitsgruppen anlegen wie CAFM-Basisnutzer, CAFM-Manager, CAFM-Admin etc. Das CAFM-System wird so konfiguriert, dass es diese Gruppenzugehörigkeiten ausliest und intern auf entsprechende Rollen oder Berechtigungsprofile mappt. Dadurch erhält man rollenbasierte Zugriffsrechte auf Basis der im AD gepflegten Gruppen. Die Verwaltung der Berechtigungen kann somit zentral in AD erfolgen: ordnet die IT einen Benutzer der Gruppe CAFM-Manager zu, erhält er automatisch die hinterlegte Manager-Rolle im CAFM (z. B. erweiterte Auswertungsrechte oder Schreibrechte in bestimmten Modulen). Dieser Ansatz vereinfacht die Rechtevergabe enorm und sorgt für Konsistenz, da Rechte zentral und reproduzierbar vergeben werden können.

Allerdings müssen unter Umständen feingranulare Berechtigungen weiterhin im CAFM selbst konfiguriert werden, falls das System sehr spezifische Rechte kennt, die nicht 1:1 aus AD-Gruppen abgeleitet werden können (etwa Objektzugriffe auf einzelne Liegenschaften o. ä.). In der Praxis hat sich ein hybrider Ansatz bewährt: Grobzuständigkeiten und Systemzugänge werden über AD-Gruppen geregelt, während detaillierte Berechtigungen innerhalb des CAFM verwaltet werden. Dennoch bleibt das Active Directory der Ausgangspunkt für die Benutzerverwaltung: Neue Mitarbeiter erhalten über AD-Zuweisung sofort Zugang gemäß ihrer Rolle, und Entfernungen oder Änderungen (z. B. Abteilungswechsel) können durch Anpassung der Gruppenmitgliedschaften umgesetzt werden. Insgesamt ermöglicht dies eine zentrale Benutzerverwaltung mit rollenbasierter Rechtevergabe, was Verwaltungslast und Fehleranfälligkeit deutlich reduziert.

Für eine erfolgreiche AD-Anbindung eines CAFM-Systems ist nicht nur die Technik, sondern auch die organisatorische Abstimmung zwischen den beteiligten Abteilungen entscheidend. In der Regel sind hier zwei Parteien involviert: die IT-Abteilung, welche das Active Directory betreibt und verantwortet, und die Fachabteilung bzw. das CAFM-Admin-Team, das für den Betrieb des CAFM-Systems zuständig ist.

• Verantwortlichkeiten klären: Die IT übernimmt typischerweise die Pflege der Benutzerkonten im AD (Anlegen, Ändern, Deaktivieren) sowie den Betrieb der Verzeichnisdienste und eventuell notwendigen Föderationsdienste. Das CAFM-Team definiert die Rollen im System und welche AD-Gruppen welchen Rollen entsprechen. Beide Seiten müssen zusammen festlegen, welche AD-Attribute importiert werden und in welcher Frequenz Synchronisierungen erfolgen.

• Berechtigungsmanagement in Abstimmung: Häufig obliegt der IT die Verwaltung der AD-Gruppen. Es sollte definiert werden, wer z. B. neue Nutzer einer CAFM-Gruppe hinzufügt – geschieht dies durch einen Service-Request der Fachabteilung an die IT, oder erhält das CAFM-Team eingeschränkte Admin-Rechte im AD, um bestimmte Gruppen selbst zu pflegen? Active Directory bietet die Möglichkeit, administrative Aufgaben gezielt zu delegieren, sodass man solche Verantwortlichkeiten an berechtigte Personen übertragen kann, ohne ihnen volle Domänen-Adminrechte zu geben. So könnte man z. B. einem CAFM-Administrator das Recht einräumen, die Mitglieder einer bestimmten AD-Gruppe (für CAFM-Benutzer) selbst zu verwalten. Dies erhöht die Effizienz, da das CAFM-Team schnell reagieren kann, ohne die IT für jede Kleinigkeit einbinden zu müssen – gleichzeitig bleibt die Sicherheit gewahrt, indem die Delegation begrenzt ist.

• Prozesse für On-/Offboarding: Es sollten gemeinsame Prozesse definiert sein, wie neue Mitarbeiter im CAFM freigeschaltet werden. In vielen Fällen reicht es, wenn die IT den neuen Nutzer im AD anlegt und den entsprechenden Gruppen zuweist; das CAFM-System importiert den Nutzer dann automatisiert beim nächsten Sync oder on-demand. Ebenso beim Offboarding: Sobald die IT einen Nutzer im AD deaktiviert oder löscht, sollte der Nutzerzugang zum CAFM automatisch entzogen werden (ggf. kann das CAFM den Nutzerstatus auf "gesperrt" setzen). Die Fachabteilung sollte über solche Vorgänge informiert sein (z. B. damit offenen Aufgaben eines deaktivierten Nutzers neu zugewiesen werden können).

• Kommunikation und Troubleshooting: Beide Teams müssen eng zusammenarbeiten, insbesondere anfangs bei der Einrichtung der Schnittstelle. Etwaige Fehler (z. B. ein Benutzer kann sich nicht anmelden) erfordern Abstimmung: Liegt es an fehlenden Rechten im CAFM oder an der AD-Konfiguration? Daher ist es sinnvoll, klare Ansprechpartner zu benennen und ggf. gemeinsame Schulungen durchzuführen. Auch Sicherheitsvorfälle (verdächtige Loginversuche etc.) sollten koordiniert betrachtet werden, da das CAFM Teil der gesamthaften IT-Sicherheitsarchitektur ist.

Die organisatorische Einbindung der AD-Schnittstelle erfordert klare Verantwortlichkeiten und definierte Prozesse zwischen IT und CAFM-Betrieb. Wenn dies umgesetzt ist, profitieren beide – die IT behält die zentrale Kontrolle über Accounts und Policies, während die CAFM-Administratoren deutlich weniger Aufwand bei der Benutzerverwaltung haben und sich auf die fachliche Betreuung des Systems konzentrieren können.

• Komplexes Rechtemanagement: Die Abbildung von teils sehr fein granulierten CAFM-Berechtigungen auf die oft groberen Konzepte von AD-Gruppen erfordert Planung. Es müssen passende Gruppenstrukturen definiert und gepflegt werden. Änderungen in der Organisationsstruktur (neue Abteilungen, Projekte) müssen sich eventuell in neuen Rollen und AD-Gruppen niederschlagen. Ohne klares Rollen- und Gruppenkonzept kann es zu Wildwuchs kommen. Deshalb ist es wichtig, vorab ein Rollenmodell zu erstellen und dieses konsistent im AD und CAFM umzusetzen. Auch die Zuweisung mehrerer Rollen an einen Benutzer (wenn jemand mehrere Funktionen innehat) muss gelöst werden – oft durch Mitgliedschaft in mehreren AD-Gruppen. Das CAFM-System muss solche Mehrfachzugehörigkeiten verarbeiten können. Nicht zuletzt sollten regelmäßige Berechtigungsaudits durchgeführt werden, um sicherzustellen, dass die Zuordnungen noch stimmen und keine Überberechtigungen entstehen.

• Sicherheit und Datenschutz: Die Verbindung zwischen CAFM und AD muss sicher gestaltet werden. Unverschlüsselte LDAP-Verbindungen sind zu vermeiden – stattdessen LDAPS oder andere verschlüsselte Mechanismen nutzen. Die im CAFM gespeicherten AD-Daten (z. B. Benutzernamen, E-Mail, ggf. Telefonnummern) unterliegen dem Datenschutz; man sollte nur notwendige Attribute übernehmen. Zudem darf das CAFM keine Passwörter speichern – die Authentifizierung erfolgt entweder direkt gegen AD oder über Tokens. Ein potenzielles Risiko besteht darin, dass durch die zentrale Anmeldung ein Single Point of Failure entsteht: Ist das AD nicht verfügbar (z. B. Netzwerkproblem), können sich Benutzer womöglich nicht am CAFM anmelden. Dem kann man durch Fallback-Lösungen begegnen, etwa einem Notfall-Admin-Konto im CAFM für solche Fälle. Auch Brute-Force-Schutz und Account-Locking-Policies sollten abgestimmt sein: Das CAFM sollte Loginversuche idealerweise an AD delegieren, damit AD-eigene Mechanismen wie Account Lockout greifen. Schließlich ist die Sicherheit der Schnittstelle selbst wesentlich: Service-Accounts, die das CAFM für den AD-Zugriff nutzt, sollten nur minimale Rechte besitzen (z. B. Leserechte im erforderlichen Verzeichniszweig).

• Mandantenfähigkeit: In Szenarien, in denen ein CAFM mehrere Mandanten oder Organisationen bedient (z. B. Facility-Management-Dienstleister mit verschiedenen Kunden, die alle das System nutzen), stellt die AD-Anbindung besondere Anforderungen. In der Regel darf kein Mandant die Benutzer und Objekte eines anderen Mandanten sehen. Dies erfordert strikte Trennung. Eine Möglichkeit ist, für jeden Mandanten ein eigenes AD oder zumindest eine eigene Domäne/OU zu betreiben, was jedoch administrativen Mehraufwand bedeutet. Moderne AD-Umgebungen bieten Features wie den List Object Mode, in dem Benutzer nur noch die Objekte sehen, für die sie berechtigt sind – so könnte man mehrere Mandanten in einem AD halten, ohne dass sie voneinander Kenntnis haben. Diese Konfiguration ist jedoch komplex und muss sorgfältig getestet werden. Alternativ kann das CAFM-System selbst Mandantenfähigkeit abbilden und pro Mandant einen eigenen AD-Bindungskontext verwenden. Dabei verbindet sich das System je nach Mandant an unterschiedliche Verzeichnisdienste oder unterschiedliche Bereiche des AD. Die Herausforderung besteht darin, Überschneidungen zu vermeiden und die Verwaltung der Zugriffsrechte pro Mandant klar zu trennen. Auch bei Cloud-CAFM-Lösungen für mehrere Kunden kommt es vor, dass pro Kunde eine separate Azure-AD-Mandantendomäne integriert wird. Insgesamt ist Mandantenfähigkeit mit AD-Anbindung machbar, aber mit erhöhtem Planungsaufwand und oft Performance-Overhead verbunden.

• Hybride Umgebungen: Viele Unternehmen befinden sich in einer Hybridwelt, d.h. sie nutzen sowohl ein lokales Active Directory als auch Azure AD (bzw. andere Cloud-IdPs). Die CAFM-Schnittstelle muss daher mit beiden Welten umgehen können. Typischerweise werden lokale AD-Konten via Azure AD Connect in die Cloud synchronisiert. Eine Herausforderung ist, ob das CAFM direkt ans lokale AD angebunden wird (für internen Gebrauch) und gleichzeitig externe Zugriffe über Azure AD ermöglicht. Hier muss eine saubere Authentifizierungsstrategie entworfen werden, etwa: Interne Nutzer authentifizieren über Kerberos/LDAP ans AD, während externe via SAML/OIDC an Azure AD kommen. Die Konsistenz der Benutzeridentitäten ist dabei kritisch – oft nutzt man UPN/E-Mail als gemeinsamen Identifier zwischen On-Prem und Cloud. Ein weiteres Problemfeld ist die Netzwerkanbindung: Befindet sich das CAFM in der Cloud (SaaS) und das AD On-Prem, braucht es sichere Verbindungen (VPN, AD-Proxy) für LDAP-Abfragen oder man verlagert auf Azure AD. Zudem sollten hybride Szenarien auch Redundanz berücksichtigen: z. B. Authentifizierung vorzugsweise über Azure AD mit Fallback auf lokal, falls die Synchronisierung mal hängt. Unternehmen müssen auch entscheiden, wo Gruppen und Rollen primär gepflegt werden – manche belassen gruppenbezogene Rechtevergabe im On-Prem-AD und synchronisieren Gruppen nach Azure; andere nutzen Cloud-only Gruppen. Diese Koexistenz beider Verzeichnisdienste erfordert klare Richtlinien und gegebenenfalls Unterstützung durch Funktionen wie Azure AD DS (für legacy LDAP) oder ADFS für föderierte Authentifizierung. Nicht zuletzt sollten in hybriden Umgebungen die Zuständigkeiten noch deutlicher abgegrenzt werden, da Cloud-Team und On-Prem-IT zusammenwirken müssen.

Zusammenfassend bietet die Anbindung eines CAFM-Systems an Microsoft Active Directory enorme Vorteile in Bezug auf Effizienz, Sicherheit und Benutzerkomfort. Sie ermöglicht zentrale Verwaltung und SSO, verlangt aber auch sorgfältige Planung in technischer und organisatorischer Hinsicht. Mit den genannten Umsetzungsmöglichkeiten und einem Bewusstsein für die typischen Herausforderungen kann eine solche Schnittstelle produktneutral und erfolgreich implementiert werden – zum Nutzen aller Beteiligten.