Welche Arten von Attributerweiterungen gibt es in Entra ID?

Attributerweiterungen in Entra ID bieten mehr Flexibilität und individuelle Anpassungsmöglichkeiten. Dank benutzerdefinierter Attribute können Sie zusätzliche Informationen speichern, um Benutzerkonten effektiver zu verwalten und Anwendungen zu personalisieren. Erfahren Sie, wie Erweiterungsattribute und Schemaerweiterungen sich unterscheiden, einschließlich ihrer Anwendungsgebiete und Beschränkungen.

Was sind Attributerweiterungen in Entra ID und welche Arten gibt es?

In Entra ID (ehemals Azure AD) gibt es zwei Hauptkategorien für die Implementierung von benutzerdefinierten Attributen: Erweiterungsattribute und Schemaerweiterungen. Diese Unterscheidung ermöglicht eine flexible Anpassung von Identitätsobjekten wie Benutzerkonten und Gruppen, um spezifische Anforderungen von Organisationen zu erfüllen, die über die Standardattribute hinausgehen.

Erweiterungsattribute

Erweiterungsattribute bieten eine einfache und direkt verfügbare Methode, um zusätzliche Informationen in Identitätsobjekten zu speichern. Entra ID enthält eine Reihe vorgefertigter Erweiterungsattribute (zum Beispiel extensionAttribute1 bis extensionAttribute15), die ohne vorherige Konfiguration zur Verfügung stehen. Diese Attribute sind besonders nützlich, da sie eine schnelle Implementierung ermöglichen, ohne dass komplexe Anpassungen des Schemas erforderlich sind. Die Werte dieser Attribute können sowohl über das Entra ID Admin Center als auch programmatisch über die Microsoft Graph API gesetzt werden, was eine hohe Flexibilität bei der Verwaltung ermöglicht.

Schemaerweiterungen

Neben den Standarderweiterungsattributen gibt es Schemaerweiterungen, die eine tiefere Anpassung des Entra ID-Schemas ermöglichen. Im Gegensatz zu den vordefinierten Erweiterungsattributen ermöglichen Schemaerweiterungen das Hinzufügen vollständig benutzerdefinierter Attribute zu verschiedenen Identitätsobjekten. Diese Flexibilität ermöglicht es, komplexere Anforderungen und Szenarien zu unterstützen. In diesen Fällen werden spezifische Datenmodelle benötigt, die über die Standardattribute und die einfachen Erweiterungsattribute hinausgehen. Die Verwendung von Schemaerweiterungen erfordert jedoch eine sorgfältige Planung und Implementierung, da sie das zugrundeliegende Schema von Entra ID direkt verändern.

Zusammenfassend bieten Erweiterungsattribute und Schemaerweiterungen in Entra ID zwei leistungsstarke Mechanismen zur Erweiterung und Personalisierung des Identitätsmanagements innerhalb einer Organisation. Während Erweiterungsattribute eine einfache und sofort einsetzbare Lösung für zusätzliche Benutzerdaten darstellen, ermöglichen Schemaerweiterungen eine tiefgreifende Anpassung des Verzeichnisschemas für komplexere Anforderungen. Die Wahl zwischen diesen Optionen hängt von den spezifischen Bedürfnissen und Szenarien einer Organisation ab.

Wozu werden Entra ID Attributerweiterungen benötigt?

Über die benutzerdefinierten Attribute lassen sich Adressen von Anwendern, zum Beispiel im Home-Office, oder Sicherheitsmerkmale und für die Benutzerzuordnung wichtige Informationen hinterlegen. Schließlich machen die Attribute die Benutzerkonten flexibler und besser filterbar.

Attributerweiterungen können auch beim Filtern von dynamischen Gruppen sinnvoll eingesetzt werden. Die Filter können auf Basis der unternehmensspezifischen Entra ID Attributerweiterungen aufgebaut und somit flexibel eingesetzt werden.

Kommen in diesem Zusammenhang Zusatzlösungen wie my-IAM DynamicSync zum Einsatz, werden die benutzerdefinierten Attribute schnell und einfach im DynamicSync-Konfigurator als Filter hinzugefügt. Diese Attribute stehen dann permanent als dynamischer Filter zur Verfügung.

Eine wichtige Rolle spielen die Attribute dabei auch im Rahmen der Synchronisierung lokaler AD-Umgebungen mit Entra ID.

Entra ID Verzeichnisschema mit AD Attributen erweitern

Das Verzeichnisschema in Entra ID kann um eigene Attribute aus einem lokalen Active Directory erweitert werden. Diese Funktionalität ermöglicht es Organisationen, zusätzliche Informationen zu Benutzerkonten zu speichern, die über die Standardattribute hinausgehen. Dies kann beispielsweise für die Verwaltung von Mitarbeiter-IDs, Abteilungszugehörigkeiten, die nicht direkt im Standardattributsatz abgebildet werden, oder für spezifische Anwendungsfälle wie Zugriffskontrolle und Personalisierung von Anwendungen nützlich sein.

So ist es möglich, über die Benutzersynchronisation auch eigene Attribute aus dem AD in die Cloud zu bringen und dort zu nutzen. Das bietet verschiedene Vorteile, zum Beispiel:

• eine effektivere Filterung von Benutzern und Gruppen,
• eine flexiblere Zuweisung von Berechtigungen und Rollen sowie
• eine unternehmensspezifische Zuordnung von Benutzern aus Entra ID zu eigenen Anwendungen.

Welche Vorteile haben die benutzerdefinierten Attribute?

Angenommen, ein Unternehmen möchte einen schnellen Überblick über alle Mitarbeiter erhalten, die an einem bestimmten Projekt arbeiten und gleichzeitig über eine bestimmte Sicherheitsfreigabe verfügen. Dazu könnten benutzerdefinierte Attribute wie „ProjectID“ und „SecurityClearanceLevel“ angelegt und den Benutzerprofilen zugeordnet werden. Auf die gleiche Weise ist es auch möglich, Attribute für die Zuordnung für dynamische Gruppen zu erstellen.

Mit Hilfe dynamischer Filterabfragen in der Administrationskonsole oder über die API können Administratoren eine Abfrage definieren. Diese Abfrage listet nur die Benutzer auf, deren ProjectID einem bestimmten Projekt entspricht und deren SecurityClearanceLevel einen bestimmten Wert überschreitet.

Microsoft hat die benutzerdefinierten Attribute (Custom Attributes) in Entra ID als Option zur Verfügung gestellt, aber die Verwaltung recht kompliziert gestaltet. Unternehmen, die eigene Filter verwenden möchten, um zum Beispiel die Mitgliedschaft in dynamischen Gruppen zu steuern, haben es mit den benutzerdefinierten Attributen nicht leicht. Standardmäßig müssen die Filter für jede Gruppe einzeln hinzugefügt werden. Bei einer großen Anzahl von Gruppen ist dies sehr umständlich und zeitaufwendig.

Durch den Einsatz von Lösungen wie my-IAM DynamicSync lässt sich dieses Problem schnell lösen, da die Zuordnung der Attribute direkt in einer übersichtlichen Oberfläche gelöst werden kann. Darüber hinaus stehen die Attribute permanent im Filter für alle Gruppen zur Verfügung. Eine manuelle Zuordnung von Attributen für jede einzelne Gruppe, wie in Entra ID, entfällt damit. Dies macht den Einsatz der benutzerdefinierten Attribute noch effektiver, da sie so schnell und übersichtlich genutzt werden können.

Wo können die Attributerweiterungen nicht verwendet werden?

In standardisierten Authentifizierungs- und Autorisierungsprozessen können wir oft benutzerdefinierte Attribute nicht direkt verwenden. Authentifizierungsprotokolle wie OAuth2 oder OpenID Connect erfordern spezifische Anpassungen oder Erweiterungen, um benutzerdefinierte Attribute zu den standardisierten Claim-Sets hinzuzufügen.

Die integrierten Sicherheits- und Compliance-Funktionen von Entra ID, wie Conditional Access oder Identity Protection, unterstützen nicht die Verwendung benutzerdefinierter Attribute. Diese Dienste verwenden die Standardattribute und Identitätsdaten von Entra ID. Benutzerdefinierte Attribute können in den meisten Fällen nicht direkt innerhalb dieser Sicherheitsmechanismen referenziert oder ausgewertet werden.

Wenn Benutzer Software und Dienste von Drittanbietern verwenden, die eine Integration mit Entra ID ermöglichen, können sie oft benutzerdefinierte Attribute nicht verwenden. Es sei denn, die Integration wurde speziell dafür entwickelt, diese zu unterstützen.

Viele Anwendungen sind in erster Linie für den Umgang mit Standardattributen konfiguriert. Sie bieten keine native Unterstützung für den Import oder die Verarbeitung benutzerdefinierter Attribute.

Für die Synchronisation mit anderen Identitätsanbietern oder Verzeichnisdiensten wie Active Directory on-premises kann die Verwendung von benutzerdefinierten Attributen eine Herausforderung darstellen. Während Entra ID Connect bestimmte benutzerdefinierte Attribute zwischen Entra ID und dem lokalen Active Directory synchronisieren kann, erfordert dies zusätzliche Konfiguration und ist nicht für alle benutzerdefinierten Attribute oder Szenarien geeignet.

Benutzerdefinierte Attribute werden nicht immer in der Benutzeroberfläche der Standard-Entra-Dienste und Management-Tools angezeigt oder können nicht bearbeitet werden. In solchen Fällen müssen Administratoren möglicherweise erweiterte Tools oder die Microsoft Graph API verwenden, um mit benutzerdefinierten Attributen zu arbeiten.

Diese Einschränkungen bedeuten nicht, dass benutzerdefinierte Attribute in Entra ID nicht nützlich sind, sondern dass Organisationen ihre Verwendung sorgfältig durchdenken müssen. Gegebenenfalls müssen sie durch zusätzliche Entwicklung oder Konfiguration unterstützt werden, damit sie effektiv in die bestehenden Prozesse und Systeme einer Organisation integriert werden können.

Entra ID Attributerweiterungen mit DynamicSync

my-IAM bietet mit DynamicSync einen Cloud-Dienst an, der es ermöglicht, dynamische Filter in Entra ID sehr flexibel zu erstellen und zu verwalten. Mit DynamicSync werden auch benutzerdefinierte Attribute unterstützt.

Über die verbesserte Konfigurationsoberfläche ordnen Administratoren benutzerdefinierte Attribute zu und verwenden diese direkt für die dynamischen Filter. Diese Neuerung stellt sicher, dass einmal definierte Attribute dauerhaft zur Verfügung stehen. Das bietet einen erheblichen Vorteil gegenüber der bisherigen Handhabung in Entra ID.

Darüber hinaus ermöglicht DynamicSync die Erstellung von bis zu 50 verschachtelten Filtern für dynamische Gruppen. Das unterstützt ein granulares und flexibles Gruppenmanagement auch in Verbindung mit dynamischen Gruppen.

DynamicSync Demo buchen

DynamicSync eröffnet neue Möglichkeiten für das Rollenmanagement innerhalb von Entra ID. Im Gegensatz zu den Einschränkungen von Entra ID ermöglicht DynamicSync die dynamische Zuweisung von Rollen auf der Grundlage von Abteilungszugehörigkeiten oder anderen Kriterien. So können beispielsweise Mitarbeiter automatisch die entsprechenden Zugriffsrechte erhalten, um bestimmte Bereiche innerhalb einer Cloud-Umgebung einsehen zu können.

Für die Nutzung von DynamicSync ist weder eine lokale Installation noch ein Entra ID P1-Abonnement erforderlich. Die Lösung kann Gruppen in Entra ID synchronisieren und Gruppenmitglieder über dynamische Filterabfragen hinzufügen. DynamicSync ist somit eine hilfreiche Lösung für die Verwaltung von Gruppen in Entra ID, die über die Standardfunktionen von Entra ID hinausgeht.