Gruppenmanagement mit ACF – Ordnung im Chaos

Gruppenmanagement. Seit Dekaden ein Dauerbrenner im Identity & Access Management (IAM) – und trotzdem wirkt es häufig wie gewachsene Legacy-Strukturen: unübersichtlich, inkonsistent und voller Überraschungen.

Mal ehrlich: Nach über 25 Jahren Active Directory müsste das Thema doch eigentlich durch sein, oder? Aber auch 2025 stolpert man bei Enterprise-Setups regelmäßig über Gruppenstrukturen, die eher nach Trial-and-Error als nach sauberem Konzept aussehen. Gruppen, die keiner mehr braucht. Berechtigungen, die nie dokumentiert wurden. Und niemand kann heute noch nachvollziehen, wer das ursprünglich eingerichtet hat - oder warum.

Warum ist das so? Warum schaffen es gerade große Unternehmen häufig nicht, ihre Gruppen sauber zu managen? Und vor allem: Geht das nicht auch anders – automatisierter, nachvollziehbarer, resilienter?

Ich hab da ein reales Beispiel aus einem Kundenprojekt, bei dem unser Automation Control Framework (ACF) genau an dieser Stelle angesetzt hat. Die gute Nachricht: Es funktioniert - nachweislich.

Lasst uns das mal gemeinsam auseinandernehmen.

Der Status Quo

Zum Projektstart sah die Lage wie folgt aus: Gerade frisch vom ursprünglichen Konzernverbund abgespalten, befand sich das Unternehmen in einer mehrjährigen Umstellungsphase. Dienste wurden übernommen oder auf neue, eigene, interne Prozesse umgestellt. Die IAM-Umgebung wurde neu aufgebaut, Entra ID (damals noch Azure AD) eingeführt, Identitätsverwaltung glattgezogen – kurzum: Jede Menge Zeit, Geld und Gehirnschmalz floss in die neue Infrastruktur. Trotz der großen Komplexität stand das IAM-Konstrukt endlich auf eigenen Beinen – wenn auch noch etwas wackelig.

Da man ab einer gewissen Unternehmensgröße nie wirklich von 100%-Ergebnissen ausgehen kann, wurde zum Ende des Langlauf-Projekts noch eine abschließende Lückenanalyse durchgeführt. Dabei zeigte sich: Zwar waren alle Gruppen für den Kunden erreichbar, ihre Verwaltung beruhte jedoch noch immer auf einem vererbten Prozess des ehemaligen Konzernverbunds. Außerdem wurden bei der Migration verwaiste Gruppen einfach mit übernommen – weil es keinen effizienten Prozess zu deren Identifikation und Verwaltung gab. Wie so oft bei Migrationen galt: Haben ist besser als brauchen. Und kümmern kann man sich ja später.

Das Problem mit den verwaisten Gruppen erklärt sich von selbst. Aber warum sollte man den vererbten Prozess nicht einfach übernehmen? Schließlich funktioniert er doch?

Ganz einfach: Die Gruppenverwaltung war an einen externen Service-Dienstleister ausgelagert. Wenn ein Mitarbeiter z. B. eine neue Gruppe für ein Projektteam benötigte, musste er über das interne Service-Portal eine Anfrage stellen. Nach Genehmigung wurde ein Ticket an den externen Dienstleister erstellt, der in einem manuellen Prozess die Gruppe über ein IAM-Tool erstellte und im lokalen Active Directory ausrollte. Aufgrund der vielen Schnittstellen waren lange Reaktions- und Wartezeiten vorprogrammiert.

Die Anforderung

Unser Kunde suchte nach einer Lösung, die den alten Prozess durch einen effizienteren ersetzt – inklusive Verwaltung bestehender Gruppen und Reporting zu verwaisten Gruppen.

Wichtig: Es sollte kein weiteres Outsourcing erfolgen, sondern alles innerhalb der eigenen IAM- und Prozesslandschaft stattfinden.

Wie sieht ein solcher Prozess aus, der Geld spart, ohne auf externe Anbieter zu setzen? Richtig: Automatisierung! Neben der Zeitersparnis für Teamleiter reduziert sie die Fehlerquelle „Mensch“. Richtlinien lassen sich direkt im Anforderungsformular durchsetzen – und automatisierte Systeme sind weniger fehleranfällig als menschliche Bearbeiter. Ergebnis: bessere User Experience und geringere Kosten.

Der Lösungsansatz

Entra ID bietet seit einigen Jahren Self-Service-Gruppenmanagement – allerdings mit Einschränkungen in hybriden Szenarien, z. B. bei benutzerdefinierten AD-Attributen. In Kombination mit einem komplexen AD-Forest war die Entra-eigene Lösung hier nicht praktikabel.

An dieser Stelle kommt unser eigens entwickeltes Automation Control Framework (ACF) ins Spiel. Es wurde entwickelt, um kritische IT-Operationen zu automatisieren, Carve-Outs und Fusionen zu orchestrieren und durch Automatisierung Effizienz und Sicherheit zu steigern. Wie genau?

ACF besteht aus folgenden Kernkomponenten:

• Azure Data Factory (ADF): Orchestriert Datenströme und -transformationen. Implementiert Prozesse als Workflow-Pipelines.
• Azure Functions: Ermöglicht ereignisgesteuerte Automatisierung und APIs.
• Azure SQL-Datenbank: Dient als Datenspeicher und Business-Logik-Schicht.
• Azure Storage Account: Dient als Zwischenspeicher für temporäre Dateien und Artefakte.
• Web Application (UI): Weboberfläche zur Steuerung und Überwachung der Prozesse.

ACF lässt sich flexibel in jede Azure-Umgebung integrieren und übernimmt verschiedenste Automatisierungsaufgaben.

Der Daten- und Schreibzugriff zu Entra ID erfolgt über Microsoft Graph; der Zugriff zum lokalen Active Directory über Hybrid-Worker bzw. LDAP. Diese Schnittstellen können auch mit externen Systemen kommunizieren. Dank der modularen Architektur von Azure Functions lässt sich ACF jederzeit um neue oder spezifische Funktionen erweitern.

Die Umsetzung

In den ersten Meetings mit dem Kunden wurde klar: ACF bringt bereits viele Voraussetzungen mit. Es war ohnehin schon im Einsatz – die Erweiterung der Funktionalität war also der nächste logische Schritt.

Da der bestehende Prozess auf das intern genutzte ServiceNow-Portal setzte, konnten wir dieses einfach anbinden. Für die Nutzer blieb der Prozess gleich – außer, dass es jetzt schneller ging.

Ein initiales Deployment war nicht nötig – dafür mussten neue Schnittstellen geschaffen werden. Ziel: Anforderungen aus ServiceNow sollten nicht mehr nur Tickets erzeugen, sondern als Requests direkt in der Data Factory landen.

So funktioniert es im Detail: ServiceNow übergibt Anfragen über eine REST API an eine Azure Function, die sie in eine SQL Queue schreibt. Die Data Factory verarbeitet diese zusammen mit Gruppeninformationen aus Entra ID und dem lokalen AD (z. B. Inhaber, Verantwortliche). Skalierbare SQL Worker greifen diese Informationen auf und führen Änderungen per LDAP (lokales AD) oder GraphAPI (Entra ID) durch.
Erfolg oder Fehler wird über eine weitere SQL Function in die Queue zurückgeschrieben. Ist die Änderung erfolgreich, wird der Request gelöscht und der Status an ServiceNow zurückgemeldet. Ist sie fehlgeschlagen, wird sie erneut versucht oder als nicht durchführbar markiert und entfernt.

Weitere Maßnahmen: ein neuer Hybrid Worker mit passenden Berechtigungen, Firewall-Anpassungen, neue Katalogeinträge in ServiceNow. Die alten Items konnten weitgehend übernommen werden – optisch und prozessual blieb für die Nutzer alles wie gewohnt.

Testphase

Wie schon viele weise Menschen sagten: Vertrauen ist gut, Kontrolle ist besser. Deshalb entwickelten wir natürlich nicht am offenen Herzen.

Ein separater QA-Tenant stellte alle nötigen Komponenten bereit – unsere bunte Blumenwiese für Entwicklung und Tests. Nach Fertigstellung wurden die Funktionen mit einer Proof-of-Concept-Gruppe getestet, optimiert und finalisiert.

Danach erfolgte der Go-live – ohne Nebengeräusche.

Das Ergebnis: Nachdem alle Formalitäten geklärt und die Dokumentation übergeben war, konnte der Kunde das automatisierte Gruppenmanagement vollständig übernehmen. Anfragen, die früher mehrere Tage dauerten, lassen sich jetzt selbst bei hoher Auslastung in wenigen Minuten abwickeln. Durch die direkte Anbindung von Entra ID und AD an ACF können verwaiste Gruppen erkannt, automatisiert gelöscht oder als CSV-Report exportiert werden.

Für den Kunden war es eine echte Win-Win-Win-Win-Situation:

• Der alte Vertrag mit dem externen Dienstleister wurde gekündigt.
• Die Servicezeiten wurden deutlich reduziert.
• Die Gruppenverwaltung wurde zurück ins Unternehmen geholt.
• Die User Experience wurde verbessert – ohne den Prozess zu verändern.