Einer der Punkte bei der Kundenmigration zu Amazon Web Services war die Einbindung von SSO (Single Sign On) – eine sehr praktische Lösung. Nach einer schnellen Überprüfung unserer Fähigkeiten stellte sich heraus, dass wir ADFS verwenden können. Der Client hat ADFS bereits für andere Dienste verwendet, sodass wir die überzeugende Phase des Security Teams überspringen konnten. Nach mehreren Tagen voller Ping Federate Schwierigkeiten gelang es, SSO einzuschalten und eine schöne Umleitungsschleife durch das erwähnte ADFS zu machen. Zurückgegebene SAML hatte alles, was wir brauchen, und Windchill antwortete…“Fehler 500″. Eine eingehendere Lektüre der Dokumentation ergab, dass SSF mit ADFS natürlich von Windchill unterstützt wird, die Erstellung eines neuen Benutzers auf der Grundlage von SAML, der von ADFS erhalten wurde, jedoch nicht. Windchill benötigt zum Vergleichen eine Benutzerdatenbank. Am bequemsten ist es, einen Domänencontroller mit LDAP, vorzugsweise mit SSL, abzufragen.

Infrastruktur in AWS und Domänencontrollern in den Serverräumen des Clients

Es ist unwahrscheinlich, dass das Sicherheitsteam den Controller der Welt aussetzt, und wir müssen ihn irgendwie befragen. Man muss eine Verbindung zum VPN-Client und den Controllern über sichere LDAPs über den Tunnel herstellen. Das ist leider nicht so einfach. In AWS werden bereits mehrere Umgebungen ausgeführt, jede in einer anderen VPC und jede muss ihre Abfrage an AD senden.

 

 Wie komme ich von Amazon Web Services zu Active Directory

Was tun, wie leben?

Es gab viele Varianten (dies sind nur einige):

  • Transit Gateway zu verwenden und auf der Clientseite NAT durchzuführen

Transit Gateway und NAT auf der Client-Seite

Leider stimmten die vorhandenen VPCs mit den Adressen des Clients in seinem Netzwerk überein. Natürlich könnte dies umgangen werden, aber die Zeit drängte, und der Spaß am Routing in einer globalen Organisation könnte Jahre dauern.

  • Eine neue VPC mit einem Netzwerk hinzufügen, über das der Kunde noch nicht verfügt. Ein Routing durchzuführen, zwischen anderen VPCs zu blättern und dieser VPC ein VPN-Gateway hinzufügen.

 Neue VPC, Routing, Peering zwischen anderen VPCs, VPN Gateway

Eine kurze Präsentation (die das Problem für den Kunden hervorhob) führte dazu, dass die Position entwickelt wurde, dass wir eine neue VPC erstellen, Routing durchführen, zwischen anderen VPCs blättern, VPN verbinden und den VPC AWS Directory Service darin einfügen.

Es war das gleiche, aber leider stellte sich heraus, dass die Einschränkungen des letzteren nicht wirklich eine LDAP-Abfrage über Objekte in der Domäne des Clients ermöglichen. Ja, ein kleiner Fehler. Ganz zu schweigen von der Einrichtung domänenübergreifender Trust Relationship.
In der Zwischenzeit haben wir, um die Entwicklung eines zusätzlichen Tools nicht zu blockieren, gewöhnliches Amazon Linux in VPC integriert und durch die Verwendung eines einfachen SSH-Tunnels mehrere Einschränkungen in Bezug auf das Fehlen von Transit-VPC in AWS umgangen.

Ein anderer Ansatz bestand darin, einen schreibgeschützten Clientdomänencontroller in AWS auszustellen. Diese Lösung ermöglichte den Zugriff auf die Anwendung auch bei Problemen mit VPN-Tunneln. Die Organisation des VPN verlief überraschend gut.

Wir dachten bereits, wir wären nah dran: ein schreibgeschützter Controller, der mit LDAP abgefragt werden konnte und alles war schön, aber nicht für den Security, die sich zuvor auf diese Option geeinigt hatte. Die Security weiß es und der öffentliche Schlüssel für die interne Zertifizierungsstelle wird uns nicht geben – ah, diese PKI…

Mit einer gewissen Emotion getragen, beschlossen wir, dass genug von diesem schönen Tanz. Schnelle Statusübersicht:

  • VPC mit dem Client-Netzwerk verbunden – check
  • Anmeldeinformationen für AD über LDAP – check

Was fehlt?

So etwas wie ein Active Directory LDAP-Proxy. Wir haben VPC mit VPN eingerichtet, LDAP-Abfragen in diesen Proxy geworfen, dann wurden wir reibungslos an das Client-AD weitergeleitet, und wir wussten, was los war!
Weitere 5 Stunden Test und TAADAAM – es funktioniert. OpenLDAP hat es geschafft. Überprüfung in Windchill und es ist vorbei. EC2 mit OpenLdap funktioniert und … im Grunde ist gelangweilt.

Hmm, wie wäre es, diesen Docker in einen Container zu stecken?

Hmm, vielleicht würde dieser Container in ECS laufen?

Hmm, alles in allem braucht persistenter Speicher das nicht, vielleicht Fargate?

Das Erstellen eines Containers mit LDAP-Proxy unter CentOS umfasst insgesamt einige Zeilen. Dann schnelles Hochladen zu ECR, Definition der Task und man kann eine Website erstellen.
Wie soll der Datenverkehr auf diese Site geleitet werden? Immerhin wird die IP jedes Mal anders sein. Vielleicht mit LoadBalancer? – nein.

Bei der Definition der Website kann man die Option „Service Discovery“ verwenden, mit der die Hosted Zone in Route53 erstellt und der „A“ -Datensatz aktualisiert wird, der zur Website führt – brillant. Jetzt muss man nur noch eine solche Hosted Zone an VPC mit Windchill anhängen und LDAPs-Abfragen an den dort registrierten Namen richten.

Um sich später nicht darum zu kümmern, genügt es, einen einfachen Healthcheck zu definieren, mit dem ECS den kaputten Container durch einen neuen ersetzt – in der Regel innerhalb einer Minute.

 Bereit Windchill Single Sign On

Wie hoch waren die Kosten?

  • Option 1 mit AWS AD Service – ungefähr 90 USD / Monat
  • Option 2 mit EC2, einem Domänencontroller im Read-Only Modus – ca. 80 USD / Monat
  • Option 3 mit Container im Fargate-Startmodus – ca. 10 USD (0,25 CPU mit 1 GB RAM)

 

_Alle Beiträge in dieser Kategorie

blogpost
Artikel

Azure Cloud Security: Wie können wir das Zero Trust Model sicherstellen und KI zu unserem Vorteil nutzen?

Seit der weltweiten Verbreitung von Remote Work in den letzten Jahren stehen IT-Sicherheitsteams vor immer größeren Herausforderungen, um einen effektiven und sicheren Zugang zu den kritischen Anlagen, Ressourcen und Daten von Unternehmen zu gewährleisten. Ausgefeilte Phishing-Angriffe, bei denen Benutzerdaten preisgegeben werden, was Angriffe von der Seite oder die Installation von Ransomware auf unternehmenskritische Infrastrukturen ermöglicht. Zero-Day-Schwachstellen ermöglichen es böswilligen Akteuren, zugängliche Dienste zu stören.

Mehr lesen
blogpost
Artikel

Ist der Edge eine neue Cloud?

Heutzutage betrachten viele Unternehmen, die die Cloud eingeführt haben, Edge als eine natürliche Erweiterung ihrer Cloud-basierten Lösungen. Andererseits sind diejenigen, die noch ganz am Anfang ihrer Cloud-Reise stehen, viel bewusster mit Edge und Cloud umgegangen, so dass sie die Nutzung beider Technologien von Anfang an in Betracht ziehen.

Mehr lesen
blogpost
Artikel

Quanten-Computing: Wo Schrödingers Katze es sich in der Cloud gemütlich macht

Begleiten Sie mich auf eine Reise, die uns aus dem Reich der Realität, wie wir sie kennen, in eine Welt führt, in der eine Katze sowohl tot als auch lebendig sein kann und ein Teilchen an zwei Orten gleichzeitig sein kann. Schnallen Sie sich an, wenn wir die faszinierende Welt des Quantencomputers und seine Rolle im Cloud Computing erkunden.

Mehr lesen
blogpost
Artikel

Werden Hybrid-Cloud und Multi-Cloud Sie vor einer Anbieterbindung schützen? Müssen Sie sich davor wirklich in Acht nehmen?

Der Begriff "Vendor Lock-in" wird allzu oft mit der IT-Branche und in den letzten Jahren vor allem mit dem Cloud Computing in Verbindung gebracht, obwohl er nicht untrennbar mit ihnen verbunden ist. Wirtschaftswissenschaftler betrachteten ihn in einem breiteren Kontext, lange bevor die Welt zum ersten Mal von AWS oder Azure hörte. Aus der Sicht der Kunden und Nutzer wird der Begriff eher negativ gesehen, was oft zu Abneigung und Skepsis vor der Nutzung eines bestimmten Dienstes oder Produkts führt.

Mehr lesen
blogpost
Artikel

Die entscheidende Rolle von Cloud-basierten Datenplattformen und die Umgestaltung des Datenmanagements in der Fertigung

Mit dem Aufkommen cloudbasierter Datenplattformen können Hersteller eine effiziente und kostengünstige Möglichkeit zur Verwaltung und Speicherung großer Datenmengen anbieten, die aus verschiedenen Prozessen stammen. Jetzt können sie diese nicht nur von IoT-Geräten und Maschinen in den Produktionslinien sammeln, sondern auch Informationen aus dem Lieferkettenmanagement, der Qualitätskontrolle und sogar der Zufriedenheit der Endkunden mit dem Service erfassen. Natürlich geschieht alles in Echtzeit.

Mehr lesen
blogpost
Artikel

Wie kann AI Data Discovery Fertigungsunternehmen helfen?

Wir alle haben das Glück, in sehr aufregenden Zeiten zu leben. Der exponentielle technologische Fortschritt der letzten Jahrzehnte hat nicht nur unser persönliches Leben beeinflusst, sondern sich auch stark auf die Wirtschaft ausgewirkt. Natürlich entwickeln sich die Trends von Zeit zu Zeit weiter, aber man kann mit Sicherheit sagen, dass jetzt die Zeit der fortgeschrittenen Analytik ist.

Mehr lesen
blogpost
Artikel

Wie kann man die öffentliche Cloud im Jahr 2023 richtig verstehen? Und warum ist das so schwierig?

Das Cloud Computing unterliegt einem ständigen Wandel und entwickelt sich weiter. Was wir heute sehen, unterscheidet sich von dem, was gestern war, und ist nicht dasselbe, was es morgen sein wird. Die einzige Konstante ist der Wandel. Heute werden Gespräche über Veränderungen nicht nur mit den IT-Abteilungen geführt, sondern vor allem mit den Unternehmen, einschließlich der Marketing-, Personal- oder Finanzabteilungen. Jeder hat andere Bedürfnisse, die durch die Cloud abgedeckt werden können.

Mehr lesen
blogpost
Artikel

ThingWorx AWS Connector

Die gegenwärtige vierte industrielle Revolution, genannt Industrie 4.0, ist heute einer der am schnellsten wachsenden IoT-Märkte. Der Weg der digitalen Transformation ist mehr als das Aufzeigen von intelligenten Innovationen und Gadgets. Sie ist eine der besten Lösungen für die Herausforderungen in der Industrie, wie z. B. häufige Ausfallzeiten und komplette Stillstände von Produktionslinien. ThingWorx, als Teil von Industrie 4.0 und dem reichhaltigen Katalog von Tools, die es unterstützen, ist ein umfassendes IoT-Produkt, das die schnelle Erstellung und Entwicklung von IoT-Lösungen ermöglicht. Durch die Kombination der Funktionen von ThingWorx mit der AWS-Cloud können diese Lösungen um neue Funktionen erweitert werden. Die Ausführung von ThingWorx in der Cloud (Connector) ermöglicht unter anderem die Aufbereitung von IoT-Daten, noch bevor diese in ThingWorx eingehen. Diese Funktion ist besonders nützlich für Big Data in Echtzeit, die ThingWorx sonst überfordern könnten, wenn sie direkt an ThingWorx gesendet werden.

Mehr lesen
blogpost
Artikel

Wie lassen sich die Kosten der AWS-Cloud mit FinOps optimieren?

Die Cloud ist überall und jederzeit verfügbar. Das bedeutet, dass IT-Käufe nicht nach einem strategischen Plan erfolgen, sondern spontan, sobald der Architekt neue Ressourcen in der Cloud bereitstellt. Wie kann man also mit übermäßigen Kosten in der AWS-Cloud umgehen? Die erste und schnelle Lösung sind Kostenoptimierungen, die damit beginnen, die Konten zu analysieren und zu sehen, welche AWS-Cloud-Services wie genutzt werden. Auf dieser Grundlage werden Empfehlungen für Optimierungsmaßnahmen ausgesprochen. Diese Maßnahmen sind Teil der langfristigen Einführung einer FinOps-Kultur, bei der Finanzen, Technologie und Unternehmen zusammenarbeiten, um einen Prozess der kontinuierlichen Cloud-Kostenkontrolle im Unternehmen aufzubauen.

Mehr lesen
blogpost
Artikel

Mit der Cloud die Digitale Transformation vorantreiben

Die Cloud ist ein zentraler Erfolgsfaktor bei der Digitalen Transformation. Sie bietet den Unternehmen viele entscheidende Vorteile. Voraussetzung dafür ist jedoch ein gut überlegte Cloud-Strategie. In dem Interview mit Christian Thiem, Senior Business Analyst bei TT PSC Germany GmbH, geht es um Fragen wie: Was ist bei der Migration in die Cloud zu beachten? Welche Strategien gibt es für die Umsetzung?

Mehr lesen
blogpost
Artikel

9 Gründe, warum Sie die Cloud geschäftlich nutzen sollten

Laut dem Bericht “2019 State of the Cloud Report from Flexera” von RightScale nutzen 94% der Unternehmen die Cloud. Es ist kein Zufall, dass so viele Unternehmen auf Cloud-Computing-Lösungen umsteigen. In diesem Artikel erfahren Sie, warum Cloud-Lösungen so populär sind, wie Ihr Unternehmen profitieren kann und wie Sie durch eine Cloud-Strategie langfristig Wettbewerbsvorteile erreichen.

Mehr lesen
blogpost
Artikel

Eine Cloud für die Zeit der Krise – wie man die Arbeit im Unternehmen verbessern kann

Die Welt, die wir in den letzten Jahren kennen, verändert sich stark. Es zwingt uns, unsere Gewohnheiten sowie die Art und Weise, wie wir arbeiten und unsere täglichen Aufgaben erfüllen, zu ändern. Sowohl beruflich als auch privat. Die Umstände, unter denen wir uns befanden, führten dazu, dass viele Menschen jetzt remote arbeiten. In diesen verrückten Zeiten ist es ein großer Trost, und das Home Office ist zu einem vollwertigen Arbeitsplatz geworden. Diese Änderung fällt nicht jedem leicht. Für Unternehmen, die mit der Entwicklung zur digitalen Transformation begonnen haben, sollte die Anpassung an neue Bedingungen viel einfacher sein als für Unternehmen, die dies noch nicht getan haben.

Mehr lesen
blogpost
Artikel

Wie AWS hilft uns, die Sicherheit von Serverless Apps zu gewährleisten?

Die AWS re: Invent 2019 Konferenz war wie ihre vorherigen Ausgaben voller interessanter Breakout Sessions, die darauf abzielten, die Teilnehmer mit dem ausgewählten technischen Problem im Zusammenhang mit der Amazon Web Services Cloud vertraut zu machen. Eine dieser Reden hat mich dazu inspiriert, ein paar Worte über die Sicherheit von Apps zu schreiben, die im Serverless Modell erstellt wurden. Das Vertrauen der Unternehmen in diese Architektur wächst nicht nur bei Startups und kleinen Unternehmen, sondern auch bei großen Unternehmen stetig. Es gibt viele Anzeichen dafür, dass sich dieser Trend in den kommenden Jahren fortsetzen wird und die Anzahl der Serverless Produktion Implementierungen zunehmen wird. Aus diesem Grund lohnt es sich auf jeden Fall, sich die von AWS bereitgestellten Tools anzusehen, mit denen Programmierer, Administratoren und Architekten das Risiko von Datenlecks oder die Kontrolle über ihre Software minimieren können.

Mehr lesen
blogpost
Artikel

Wie kann Talend Open Studio in der Medizinbranche eingesetzt werden?

Der Einsatz moderner Technologien in der Medizin wird immer häufiger. Papier-Patientenkarten sind nicht mehr im Umlauf und werden durch elektronische Datenspeicher ersetzt. Der Prozess der Digitalisierung des Gesundheitswesens ist im Gange! In welchen Bereichen? Die Antwort auf diese Frage finden Sie später in diesem Artikel.

Mehr lesen
blogpost
Artikel

Was ist Amazon Web Services Cloud Computing?

Die Rechnerwolke (oder Datenwolke) ist eine der sich weltweit am schnellsten entwickelnden Technologien. Nach und nach verdrängt sie die traditionellen Serverlösungen und gewinnt einen immer größeren Marktanteil. Das Forschungsunternehmen Gartner prognostiziert, dass 2019 die gesamten Aufwendungen für öffentliche Clouds um 17,5 % steigern und sich auf 214 Milliarden Dollar belaufen werden. Um eine Vergleichsgröße heranzuziehen: Im polnischen Haushalt sind 2019 Einnahmen von 387,7 Mrd. Zloty (knapp 100 Mrd. Dollar) vorgesehen. Es unterliegt keinem Zweifel, dass es ein großer und attraktiver Markt ist.

Mehr lesen
blogpost
Artikel

Warum serverless die Zukunft von Apps ist

Alle paar Jahre erscheint eine neue, bahnbrechende Lösung in der IT-Welt. Derzeit konzentrieren sich alle Augen auf maschinelles Lernen (ML) und künstliche Intelligenz (AI). Früher waren es Container, an die sich wahrscheinlich jeder gewöhnt hatte. Was vor ein paar Jahren noch eine absolute Neuheit war, ist heute Routine.

Mehr lesen

Sie möchten mehr Informationen?

Kontaktieren Sie uns