Abhilfe bei hohen Synchronisationszeiten zwischen Azure und Unternehmensanwendungen

Stellen Sie sich Folgendes vor: Sie sind für das Onboarding neuer Angestellter zuständig. Office365, Mailbox, Standardanwendungen und vor allem ein (abgesicherter) Internetzugang müssen für die neue Kollegen eingerichtet werden. Wie mittlerweile viele andere Unternehmen pflegen Sie Ihr lokales AD (Active Directory) und lassen Änderungen in ein Cloud-basiertes Verzeichnis, z.B. Azure (genauer; Entra ID) synchronisieren, da Sie fast alle Anwendungen auf Basis der Daten in Azure handhaben. Danach werden die betroffenen Ressourcen – in diesem Fall die benötigten Services – in die jeweiligen Anwendungen synchronisiert. Theoretisch erleichtert das die Rollen- und Rechtevergabe: Mit ein paar Klicks ist man fertig. Praktisch ist es leider oft eine ganz andere Sache.

Die Synchronisation enthält immer eine Verzögerung

Echtzeitsynchronisation ist ein Märchen, denn die Realität zeigt, dass die Synchronisation zwischen dem Cloud-AD und den Anwendungen immer eine gewisse Verzögerung mit sich bringt. Bei kleineren Unternehmen mit wenigen Nutzern beträgt diese vielleicht Minuten, bei größeren Konzernen eher Stunden.

Bei einem unserer Kunden haben wir festgestellt, dass neue Nutzer in einer bestimmten Anwendung kontinuierlich erstellt werden. Doch sie bekommen die notwendigen Gruppen, die ihnen die Berechtigungen für diese Anwendung erteilen, von Azure nicht direkt synchronisiert, sondern erst nach einer gewissen Zeit. Etwa alle paar Stunden erhalten neue Nutzer ihre entsprechenden Gruppen zugewiesen. Die Zeit, die ein Nutzer benötigt, um Gruppen zu empfangen, ist zusätzlich nicht einheitlich. Es gibt bestimmte Intervalle, in denen die Zuweisung erfolgt. Wenn ein Nutzer kurz vor diesem Intervall erstellt wird, erfolgt die Zuweisung schneller als bei einem Nutzer, der deutlich früher erstellt wurde. Damit ist es wichtig zu wissen, wie lange ein Synchronisationsdurchlauf dauert, um Tickets zu vermeiden („Berechtigung erteilt, Zugriff funktioniert aber nicht“) oder Abhängigkeiten besser planen zu können – etwa wenn ein Nutzer Internetzugriff benötigt, um sich bei einem weiteren Service zu registrieren.

Wenn ein neuer Kollege am ersten Tag nicht arbeiten kann, weil sein Internetzugriff durch eine Internetberechtigungsgruppe nicht schnell genug synchronisiert werden konnte, ist das in den meisten Fällen zwar unschön, aber nicht schlimm. Doch was passiert, wenn es sich um einen zeitkritischen Fall handelt oder mehrere Nutzer nicht arbeiten können? Der Worst Case wäre hier eine Sicherheitslücke, die es notwendig macht, Nutzer schnell aus einer Unternehmensanwendung raussynchronisieren zu lassen. Zwar bereitet man sich auf solche Fälle durch Disaster-Recovery-Prozesse vor, die sollten jedoch dem Notfall vorbehalten sein. Eine kurze Synchronisationszeit beugt einem solchen Notfall vor.

Welche Faktoren beeinflussen die Synchronisationsdauer?

Um die Synchronisationsdauer zu verringern, muss man seine Architektur besser dimensionieren können. Dabei ist es wichtig, die Faktoren, die die Synchronisationsdauer beeinflussen, zu kennen:

1. Anzahl von Nutzern und Gruppen
   Eine Unternehmensanwendung, zu der sowohl einzelne Nutzer als auch viele Gruppen synchronisiert werden, braucht sehr viel Zeit, um alle Nutzer und Gruppen zu evaluieren.
2. Anzahl von Nutzern in einer Gruppe
   Jedes Mal, wenn ein neuer Nutzer einer verbundenen Gruppe hinzugefügt wird, werden alle Nutzer in der Gruppe erneut evaluiert. Aus unserer Erfahrung kann eine Gruppe bis zu maximal 250.000 Nutzer beinhalten, jedoch mit sehr negativen Auswirkungen auf die Synchronisationsdauer. Laut einer Rückmeldung des Microsoft Supports haben wir erfahren, dass die maximale Anzahl von Nutzern in einer Azure-Gruppe 50.000 beträgt, um weiterhin eine akzeptable Synchronisationsdauer zu gewährleisten.
3. Anzahl von verschachtelten Gruppen
   Wenn sich alle Nutzer einer verbundenen Gruppe in einer größeren, übergeordneten Gruppe befinden, kann dies ebenfalls zu Problemen führen. Die Nutzer werden dadurch mehrmals synchronisiert, obwohl dies für eine ordentliche Berechtigung nicht erforderlich ist, wodurch die Synchronisationsdauer unnötig steigt.

Fazit

Die Dimensionierung der Anzahl von Nutzern und Gruppen ist eine Kunst. Es gibt keine Lösung, die für alle Anwendungsfälle passt. In einem Fall kommt man ohne verschachtelte Gruppen nicht aus, um Rollen und Rechte für einzelne Anwendungen und Use Cases widerzuspiegeln. Im anderen Fall ist die Mitarbeiterzahl so hoch, dass sowohl die Anzahl der Gruppen als auch die Anzahl der Nutzer in diesen Gruppen zu schnell wachsen. Daher gilt es, in jedem Fall die einzelnen Vor- und Nachteile abzuwägen und zu einer Entscheidung zu gelangen, die einen Kompromiss zwischen detaillierter Berechtigungsstruktur und kurzer Synchronisationsdauer beinhaltet.