Worum geht’s in diesem Beitrag?
Immer mehr Unternehmen wollen ihre Zugriffs- und Benutzerverwaltung unabhängiger, sicherer und transparenter aufstellen – und dabei Cloud-Abhängigkeiten hinterfragen.
Was tun wir?
weSystems berät Organisationen strategisch und technisch beim Aufbau moderner, eigenständiger Access-Management-Architekturen, auf Wunsch Cloud-frei und meist Open Source-basiert.
Für wen ist das interessant?
Für CEOs, CIOs, CTOs, IT-Architekten, CISOs und Admins, die sich fragen, wie viele Schatten-Accounts, Wildwuchs in den Rechten oder Sicherheitslücken in ihrer Organisation verborgen sind. Gibt aber natürlich keiner zu.
Was konkret ist unser Sweet Spot?
Von der Bestandsaufnahme über die Analyse der Authentifizierungsstrukturen bis hin zur Konzeption, Umsetzung und Integration bieten wir umfassende Identity-&-Access-Beratung mit Weitblick.
Was ist der Anlass für diesen Beitrag?
Ein cooles Projekt, in dem wir für einen Kunden FreeIPA als Teil einer komplett neuen, souveränen IAM-Strategie eingeführt haben. Nicht als Tool-Hype, sondern als durchdachtes Architekturkonzept.
Cloud, Kontrolle oder beides?
Die Benutzerverwaltung funktioniert. Irgendwie. Aber nur solange niemand genauer hinschaut. In vielen Unternehmen ist das Identitäts- und Zugriffsmanagement ein Thema, das eher „mitläuft“ als geführt wird. Systeme wurden nach und nach angebunden, Logins zentralisiert, Gruppen erstellt, aber selten wirklich hinterfragt. Wenn heute jemand fragt, wer worauf Zugriff hat und warum, ist die Antwort oft: „Das müssen wir prüfen.“ Das wäre harmlos, wenn es nicht sicherheitskritisch wäre.
Viele verlassen sich dabei auf zentrale Cloud-Services wie Azure AD oder Microsoft Entra ID. Sie bieten Komfort, Integrationen und skalierbare Verwaltungsmöglichkeiten, aber sie bringen auch ein Problem mit: die komplette Abhängigkeit von externen Systemen. Wer auf einen Cloud-Login angewiesen ist, um sein internes Netzwerk zu betreiben, hat die Kontrolle abgegeben. Und genau hier beginnt das eigentliche Risiko.
Vom Symptom zur Architekturfrage
In unserem Kundenprojekt war genau das der Ausgangspunkt: Die Authentifizierung lief vollständig über Azure. Es funktionierte, ja. Aber es war teuer, intransparent, schwer kontrollierbar und von einem Anbieter abhängig. Besonders in einem sensiblen Umfeld wie Forschung oder Industrie, wo Netzwerke oft abgeschottet betrieben werden müssen, ist diese Abhängigkeit ein strategisches Risiko.
Gemeinsam mit dem Kunden haben wir deshalb die komplette IAM-Architektur neu gedacht. Nicht als Technologiewechsel, sondern als strategische Entscheidung. Die Frage war nicht: Welches Tool können wir ersetzen? Sondern: Wie schaffen wir eine Zugriffsinfrastruktur, die nachvollziehbar, resilient und unabhängig ist?
FreeIPA als Antwort aber nicht als Selbstzweck
Die technische Lösung hieß in diesem Fall FreeIPA. Ein Open-Source-Projekt von Red Hat, das im Grunde ein freies, Cloud-unabhängiges Active Directory darstellt. Es vereint Benutzer- und Gruppenverwaltung, rollenbasiertes Access Management, integrierte Zertifikatsdienste, DNS, RADIUS und Multi-Faktor-Authentifizierung. Alles in einem lokal betriebenen System.
Das Entscheidende war aber nicht das Tool, sondern der Weg dorthin. Wir haben gemeinsam mit dem Kunden analysiert, welche Applikationen eine zentrale Authentifizierung brauchen, welche davon bisher in der Cloud liefen und wie man diese sauber migrieren kann. In vielen Unternehmen hängen 90 % der Systeme am AD, der Rest läuft unter der Hand. Lokale Admin-Konten, eigene Rollenmodelle in Applikationen wie Jira oder Proxmox, es fehlt die zentrale Sicht und Steuerung.
Wir haben die komplette interne Domänenstruktur neu definiert, Security-Gruppen aufgebaut und abgestufte Rechte innerhalb der Applikationen eingeführt. Dadurch ist heute klar geregelt, wer worauf zugreifen darf und unter welchen Bedingungen. WLAN-Zugänge, Server-Management, virtuelle Maschinen oder Netzwerkgeräte wie OPNsense, alle sind eingebunden in ein einheitliches, transparentes IAM-Konzept. Ohne Cloud, aber mit maximaler Kontrolle.
Das wahre Problem: fehlende Übersicht
Was viele Unternehmen nicht sehen (oder nicht sehen wollen): Ihre Zugriffsstruktur ist historisch gewachsen und nicht gestaltet. Sie funktioniert, aber sie ist nicht dokumentiert. Wer hat Adminrechte? Wer kann neue Benutzer anlegen? Wie viele Gruppen gibt es und wie viele davon überschneiden sich? Diese Fragen werden oft nicht gestellt, weil sie unbequem sind. Oder weil die Antworten fehlen.
Der Glaube, mit Single Sign-On sei alles geregelt, ist weit verbreitet. Aber SSO ist nur ein Login. Was dahinter passiert, wer in der Applikation welche Rechte hat, wie Rollen gepflegt werden, wie sicher Passwörter übertragen werden, das wird oft ignoriert. Gerade bei hybriden Infrastrukturen, wo LDAP, AD, SAML, OAuth und lokale Datenbanken nebeneinander existieren, entsteht ein unkontrollierbarer Flickenteppich.
Die Folge: Schatten-Accounts, übermäßige Berechtigungen, veraltete Nutzerprofile und schlimmstenfalls Sicherheitslücken, die niemand auf dem Schirm hat.
Was wir leisten und warum es nicht bei der Technik bleibt
Unsere Rolle bei weSystems beginnt dort, wo viele andere aufhören. Wir sehen IAM nicht als Toolfrage, sondern als Architekturaufgabe. Deshalb liefern wir keine „FreeIPA-Installation“, sondern einen ganzheitlichen Beratungs- und Umsetzungsprozess: von der Bestandsaufnahme über die Konzeptionsphase bis hin zur Integration in bestehende Infrastruktur.
Im konkreten Projekt haben wir nicht nur FreeIPA eingeführt, sondern die komplette Logik dahinter neu entworfen: interne DNS-Zonen, Security-Groups mit abgestuften Rechten, die Integration von Authentik für modernes SSO, die Einrichtung eines internen Zertifizierungsdienstes, RADIUS für sichere WiFi-Nutzung und eine klare Trennung von Zuständigkeiten und Berechtigungen. Die Cloud wurde bewusst außen vorgelassen. Nicht aus Prinzip, sondern weil sie in diesem Fall keinen Mehrwert, sondern nur Abhängigkeit gebracht hätte.
IAM ist keine Checkbox, sondern Kern der Sicherheitsstrategie
Wer denkt, Identity & Access Management sei nur ein Thema für Admins, irrt. IAM ist heute ein zentrales Element jeder IT-Sicherheitsstrategie. Es entscheidet darüber, wie resilient ein Unternehmen gegenüber Ausfällen, Angriffen oder internen Fehlern ist. Es ist entscheidend für Audits, für Datenschutz, für Compliance und letztlich auch für Effizienz.
FreeIPA ist kein Zauberwerk. Es ist kein Selbstzweck. Es ist ein Werkzeug, mit dem man eine Infrastruktur aufbauen kann, die das eigene Unternehmen wirklich versteht, betreibt und entwickelt. Ohne Abhängigkeit, ohne Lizenzschmerzen, ohne Kontrollverlust.
Wenn du beim Lesen merkst, dass eure Zugriffsinfrastruktur eher gewachsen als geplant ist, dann sprich mit uns. Wir unterstützen dich nicht nur beim Aufräumen. Sondern beim Neudenken. Strategisch, pragmatisch und technologieoffen. Denn Identität ist das neue Perimeter. Und der gehört in deine Hände.
Kontaktieren Sie uns für eine individuelle & kostenfreie Beratung.
