Hallo Zusammen,

ihr kennt das sicher: In vielen Abteilungen gibt es User die Kennwörter für Firmenaccounts bei externen Dienstleistern haben. Z.B: gibt es Accounts bei diversen Paketdienstleistern für den Versand, Zugriffe auf Kundenportale bei diversen Onlineshops im Einkauf, oder das Portal für die Handyverträge...

Diese Zugangsdaten stehen natürlich auf irgendwelchen Zetteln und die Kennwörter haben einen Bart, älter als Methusalem.

Um es mal etwas platt auszudrücken: "da krieg isch plaque von!", also will ich das gern ändern.

Innerhalb der IT organisieren wir und mit Keepass, weswegen mein erster Gedanke war, dass jede Abteilung ein eigene Keepass File bekommt und die Kennwörter dort brav hinterlegt und pflegt. Nachteil: Jede Datenbank hat ein eigenes Kennwort, jeder der das Kennwort kennt, kann zugreifen. Natürlich kann ich das zum Teil über die NTFS Berechtigungen abfangen, aber gegen ein "ich kopier dir das File da hin wo du es lesen kannst" komm ich damit auch nicht an.

Keepass biete die Möglichkeit, das Windowskonto als Legitimation zu verwenden, allerdings eben nur den, der das File erstellt hat, hilft mir also auch nicht wirklich, kommt der Sache (gedanklich) aber schon näher.

Ich würde gerne innerhalb eines einzelnen Kennwortfiles die verschiedenen Kennwortgruppen mit AD Gruppen verheiraten. Jeder in der Gruppe Einkauf kann die Kennwörter vom Einkauf sehen, wenn jemand Einkauf und Verkauf macht sieht er beide Gruppen, Azubis die den Bereich wechseln werden automatisch "umberechtigt" (wenn man die AD Gruppe anpasst :) ). Und die Anmeldung erfolgt entweder mit den normalen AD Zugangsdaten oder via SSO (wäre mir lieber).

Kennt jemand eine Software in der Art? Freeware bevorzugt, wenn kostenpflichtig, dann eher nicht pro User lizenziert sondern eben die Software.

Für Hilfe/Tipps oder Anregungen  wäre ich sehr dankbar.

 

Hi

das soll keine Empfehlung sein, aber grundsätzlich bietet https://thycotic.com/ eine Passwortdatenbank mit LDAP Anbindung an

Bist du dir auch sicher das dies die Abteilungen dann machen ? (Passwortpflege, bei Ausscheiden, Neuanlage etc.)

In meinen Augen sind für geschäftlich genutzte Konten die Admins zuständig. (auch wenn ich der Meinung bin das für geschäftliche Sachen ein Admin Konto was die Oberhand über alle unterkonten haben sollte zur Verfügung gestellt werden sollte, aber sowas bieten nur wenige Geschäftspartner an).

 

Wäre Okta interessant? https://www.okta.com/

Zumindest lässt sich dann ein Prozess dazu abbilden und eine Arbeitsanweisung schreiben. Wie das ganze dann gelebt wird ist natürlich wiederum eine andere Sache.

Nur, wie soll ich sonst die User zu sicheren Kennwörtern erziehen wenn (als Beispiel) DHL nur einen Account für die Firma rausrückt, bzw. es nicht praktikabel ist dort mit mehreren Accounts zu arbeiten weil diese nicht miteinander verknüpft werden? Allein das Erstellen des ersten Accounts hat so lange gedauert, dass in dem Bereich der Azubi gewechselt hat. :)

Besser wie Zettelwirtschaft ist es allemal. Und ich will gar nicht für diese Kennwörter zuständig sein, das sollen/können/müssen die Bereiche eigenverantwortlich lösen. Zumal bei den Usern dann auch die Erwartungshaltung "Du bist (Portal)Admin, du kennst dich in dem Ding aus" besteht. Darauf habe ich echt keine Lust.

Die beiden Vorschläge schaue ich mir mal genauer an, danke.