Centrify Privilege Service – On Premise vs. Cloud

Kunden haben seit September 2016 die Option, Centrify Privilege Management nicht nur als Cloud-Service zu nutzen, sondern auch im eigenen Data Center “On-Premise” zu installieren. Hierfür wird lediglich ein Windows Server 2012 R2 benötigt, der Member innerhalb einer Windows Domäne sein kann. Aber das ist keine zwingende Voraussetzung, eine Standalone-Installation ist ebenfalls möglich.

Die Installation ist recht einfach: Es handelt sich um einen typischen Windows Installer, der durch die Installation und Konfiguration führt. Während dieses Prozesses wird der Benutzer aufgefordert, den Centrify Identity Service User zu benennen, der als CPS Administrator fungieren soll. Es muss eine E-Mail-Adresse hinterlegt werden und ein Passwort für den Administrator definiert werden.

Zu guter Letzt wird noch der Fully Qualified Domain Name des Computers, auf dem der CPS Service laufen soll, eingegeben. Der FQDN ist dann auch die URL, mit der Clients auf den Service zugreifen.

Die CPS On-Premise-Installationsroutine erlaubt den Upload eines Trusted Host Certificate im pcks12 Format.

Nach erfolgreicher Beendigung der Installationsroutine steht dem Administrator ein CPS Service zur Verfügung, den er über die festgelegte URL im Internet Browser aufrufen kann. Nach dem Login kann mit der Festlegung der berechtigten Benutzer und der Definition der Ressourcen begonnen werden.

Grundsätzlich wurde Wert darauf gelegt, daß sich Cloud- und On- Premise-Version des Centrify Privilege Service vom Look and Feel und Handling her nicht unterscheiden. Ein Kunde, der bereits die Cloud-Version kennt, wird sich sofort in der On-Premise-Version zurechtfinden.

 

Gibt es Unterschiede zwischen beiden Versionen?

Ja. Obwohl Look and Feel und Funktionsumfang gleich sind, muß der On Prem Kunde einige Dinge selbst konfigurieren, die der Cloud-Service bereits beinhaltet. Dies betrifft den E-Mail-Versand (z.B. bei Login MFA, Workflow oder AD User Invite), SMS Versand, Google Maps und 42Matters.

Während der Mailversand beim Cloud-Service bereits vorkonfiguriert ist und SMTP Server Einstellungen lediglich alternativ zum Standardversand vorgenommen werden können, ist beim On Prem CPS ein SMTP Server durch den Kunden einzutragen. Desgleichen gilt für den Versand von SMS. Während dies in der Cloud-Lösung bereits vorkonfiguriert ist und von Anfang an funktioniert, muss der Administrator der On Prem Lösung einen Twilio Account konfigurieren.

Will man die aus der Cloud-Lösung bekannten Google Maps – beispielsweise beim Dashboard, das anzeigt, von welcher Lokation in der Welt sich die Benutzer in CPS einloggen – so muß man sie in der On Prem Version erst konfigurieren, bevor sie nutzbar sind. Dies geschieht über eine Google Client ID, die in der Konfiguration hinterlegt wird.

Um nach Mobile Applications im Mobile App Catalog zu suchen, wird zusätzlich noch ein 42Matters API Key benötigt. Werden diese Einstellungen alle gemacht, hat die On Prem Version den gleichen Funktionsumfang wie die Cloud-Version.

Hat es einen Vorteil gegenüber der Cloud-Version, mit CPS On Prem zu arbeiten? Das kommt auf die Sicht des Kunden an. Bei der On Prem Version kann darauf verzichtet werden, beim Privilege Management auf Cloud-Services zurückzugreifen. Für die Kunden der serverbasierten Identity Consolidation und Auditing Lösung Centrify Server Suite kommt als Vorteil noch hinzu, dass sich Server MFA (also Multi Faktor Authentifizierung beim Login auf einen Server bzw. bei der Privilege Elevation eines Benutzers) ebenfalls ohne Cloud-Service einrichten lässt. In diesem Fall wird auf Authentifizierungsprofile zurückgegriffen, die durch CPS On Prem verwaltet werden.

Kunden werden es eventuell auch als vorteilhaft empfinden, selbst über Updates oder Release-Wechsel bei CPS entscheiden zu können – was sie bei der Cloud-Lösung nur in eingeschränktem Maße können.

Bei Interesse an einer Evaluierung steht Ihnen das Centrify Team gern mit Rat und Tat zur Verfügung.