Grundlegendes zur Mandantenmitgliedschaft
Die Mandantenmitgliedschaft stellt eine unidirektionale Verbindung zwischen zwei Arten von Assets innerhalb des Ökosystems eines Identitätsanbieters dar:
-
Einem Asset des Identitätsanbieters – z. B. ein Benutzerkonto, eine Gruppe oder eine Ressource.
-
Dem „Mandanten“-Asset – stellt die übergreifende Entität oder Domäne dar, die das Asset enthält. Die Art des „Mandanten“ hängt vom spezifischen Identitätsanbieter ab.
Diese Mandantenmitgliedschaft hilft dabei, Beziehungen zwischen Assets und ihren Mandanten zu identifizieren, und bietet Einblicke in die Organisation und Hierarchie von Assets.
Assets mit einem Mandanten verknüpfen
Für Active Directory (AD) werden Assets über den Distinguished Name (DN) des Assets mit ihrem Mandanten (AD-Domäne) verknüpft. Der DN stellt hierarchische Informationen über den Standort des Assets innerhalb der Verzeichnisstruktur bereit, die zur Bestimmung des Mandanten verwendet werden.
Mandanten identifizieren
Wenn ein Asset einem AD-Objekt entspricht (z. B. einem Benutzer oder einer Gruppe), wird sein Mandant wie folgt identifiziert:
-
Extrahieren Sie den Distinguished Name des Assets.
-
Identifizieren Sie den Mandanten anhand der Einträge der Domänenkomponente (DC) im DN.
Beispiel
-
Asset-DN: CN=UserA,CN=Users,DC=tenable,DC=corp
-
Mandant: DC=tenable,DC=corp (stellt die AD-Domäne dar)
Sonderfälle: Grundlegendes zu Verknüpfungen mit der Gesamtstruktur-Stammdomäne
In einigen Fällen folgt die Beziehung zwischen einem Active Directory(AD)-Asset und seinem Mandanten (Domäne) aufgrund der Art und Weise, wie AD bestimmte Objekte handhabt, möglicherweise nicht der erwarteten Struktur. In diesem Abschnitt werden diese „Sonderfälle“ zum besseren Verständnis genauer erläutert.
Was sind Gesamtstruktur-Stammdomänen?
Active Directory-Gesamtstrukturen bestehen aus einer oder mehreren hierarchisch organisierten Domänen. Die Stammdomäne der Gesamtstruktur ist die oberste Domäne in dieser Hierarchie und umfasst alle anderen Domänen in der Gesamtstruktur. Einige Objekte in AD verweisen in ihren Distinguished Names auf die Stammdomäne der Gesamtstruktur, auch wenn sie zu einer anderen Domäne gehören. Dieses Verhalten kann sich darauf auswirken, wie Mandanten identifiziert werden.
Entstehung von Sonderfällen
Bei der Identifizierung eines Mandanten anhand des Distinguished Name (DN) eines Assets geben die Domänenkomponenten (DC=...) in der Regel die Domäne des Assets an. Es gibt jedoch Ausnahmen:
-
Gesamtstrukturweite Konfigurationsobjekte
-
Bestimmte AD-Objekte sind an Konfigurationen oder Einstellungen gebunden, die für die gesamte Gesamtstruktur und nicht für eine bestimmte Domäne gelten.
-
Die Distinguished Names dieser Objekte enden auf:
-
CN=Configuration,DC=...
-
-
Solche Objekte werden mit der Stammdomäne der Gesamtstruktur verknüpft, nicht mit ihrer „wahren“ Domäne.
-
Beispiel
DN: CN=Configuration,DC=forestRoot,DC=com
Mandant: Die Stammdomäne der Gesamtstruktur (DC=forestRoot,DC=com).
-
DNS-Zonen der Gesamtstruktur
-
Einige Objekte verwalten DNS-Zonen, die von der gesamten Gesamtstruktur gemeinsam genutzt werden. Ihre Distinguished Names enden auf:
-
DC=ForestDnsZones,DC=...
-
-
Diese Objekte sind mit der Stammdomäne der Gesamtstruktur verknüpft, nicht mit ihrer spezifischen Domäne.
-
Beispiel
DN: DC=ForestDnsZones,DC=forestRoot,DC=com
Mandant: Die Stammdomäne der Gesamtstruktur (DC=forestRoot,DC=com)
Warum dies wichtig ist
Sie müssen diese Sonderfälle verstehen, um die Mandantenmitgliedschaft richtig zu interpretieren. Die wichtigsten Auswirkungen sind u. a.:
-
Die Mandantenidentifizierung kann von den Erwartungen abweichen
-
Ein Objekt, das scheinbar zu einer bestimmten Domäne gehört, kann stattdessen mit der Stammdomäne der Gesamtstruktur verknüpft sein.
-
Objekte im Namenskontext „Configuration“ oder „ForestDnsZones“ sind aufgrund ihres gesamtstrukturübergreifenden Anwendungsbereichs mit der Stammdomäne der Gesamtstruktur verknüpft.
-
-
Klarstellungen zu Hierarchie und Anwendungsbereich
-
Objekte, die an die Stammdomäne der Gesamtstruktur gebunden sind, haben oft einen breiteren Anwendungsbereich, da sie Einstellungen auf Ebene der Gesamtstruktur verwalten oder darstellen.
-
-
Verwendung bei Fehlerbehebung und Überwachung
-
Fehlinterpretationen dieser Fälle können zu Fehlern bei der Überwachung von Domänenstrukturen oder der Behebung von identitätsbezogenen Problemen führen.
-
Wenn Sie diese Nuancen verstehen, können Sie Feststellungen zuverlässig interpretieren und die Genauigkeit von Überwachungs- und Fehlerbehebungsaufgaben wahren.
Warum in Tenable Identity Explorer „Mandant“ als Name des Stammcontainers verwendet wird
Es ist ein allgemeiner, nicht IDP-spezifischer Name für den Stammcontainer jedes Identitätsanbieters (IDP), um sicherzustellen, dass er auf verschiedenen Systemen funktioniert, z. B. „Entra-Mandanten“ und „AD-Domänen“.
Der Begriff „Mandant“ wurde gewählt, weil er im Identitätsmanagement weit verbreitet und plattformübergreifend neutral ist und sich bereits an bestehenden Standards wie Microsoft Entra orientiert. Dies stellt Klarheit, Konsistenz und Flexibilität für die Verwaltung verschiedener IDP-Implementierungen sicher.