Basic HTML-Version
• Michael GroB
Lead Consultant. Identity & Access Management, Siemens
Enterprise Communications, 13629 Berlin
E-Mail:
Benutzerverwaltung (Betriebssystemumge–
bung, ERP-Systeme, Mitarbeiterportale) was
dazu führt, dass ein Mitarbeiter für jedes be–
nutzte System eine eigene Benutzerkennung
erhält, mit der er sich dem System gegenüber
zu erkennen gibt (authentifiziert). Jeder Mitar–
beiter besitzt also in jedem System eine eigene
Identität.
und Administrationsabläufe der Berechtigungs–
verwaltung bereitstellt.
Der Nutzen einer Identity-Management-Lösung
steigt also mit der Anzahl der angeschlossenen
Systeme und dem Umfang der bereitgestellten
Funktionen. Für eine bedarfsgerechte und ziel–
orientierte Einführung empfiehlt es sich, die
IdM-Lösung stufenweise zu realisieren. Die
Vorteile können damit von Anfang an genutzt
werden.
In der Praxis haben sich dabei folgende Stufen
für den Aufbau einer solchen Lösung herausge-
- Stufe 1: Aufbau des Piloten Identity
Management
• Implementierung eines fest definierten Funk–
tionsumfangs
• Anbindung einer festen Anzahl von Syste–
men (Empfehlung ca. 5 Systeme)
•» Stufe 2: Erweiterung der Integrations–
dichte
• Erweiterung der Lösung durch Integration
weiterer Zielsysteme
•» Stufe 3: Erweiterung des
Funktionsum–
fangs
• En/veiterung der Lösung durch Implementie–
rung weiterer Funktionen (Rollenbasiertes
Identity Management, Genehmigungs-Vlfork-
flows)
Um diese Ausbaustufen umzusetzen, ist ein
zeitversetztes Vorgehen zu empfehlen, wobei
sich die folgenden 10 Arbeitsschritte bewährt
42
haben:
Schritt 1: Integration von Identi–
täten
Die zentrale Komponente eines Identity-Ma-
nagement-Systems ist der Identitätsspeicher.
Jede Person, die durch das IdM verwaltet wird,
ist darin als Identitätsobjekt hinterlegt. Herr
Mustermann wird dort also genau einmal mit
seinen Attributen (Name, Vorname, Organisati–
onsdaten, Kommunikationsdaten,...) geführt.
Zur eindeutigen Kennzeichnung empfiehlt es
sich, für jedes Identitätsobjekt automatisch
einen unternehmensweit eindeutigen globalen
Identifier (GID) zu erzeugen.
Die Identitäten können natüdich manuell im
Identitätsspeicher gepflegt werden. In Ab–
hängigkeit ihres Typs werden diese jedoch
bereits in verschiedenen Datenbanken des
Unternehmens verwaltet: Mitarbeiter im Per–
sonalsystem, Kundendaten im CRM-System,
Partnerdaten in eigenen Systemen etc.
Die Identitätsintegration identifiziert diese Sys–
teme und bindet sie an das Identity-Manage–
ment-System an. Dabei müssen Einträge zu ei–
ner Person aus verschiedenen Datenquellen
beim ersten Mal aufeinander abgebildet wer–
den. Über regelmäßige Synchronisationen wer–
den dann immer die aktuellen Daten aus dem
Quellsystem in den zentralen Identitätsspeicher
übertragen.
Schritt 2: Integration von Zielsy–
stemen
Zugriff auf ein IT-System (Zielsystem) erhält
man, wenn man eine Benutzerkennung besitzt.
In einem IT-System können Berechtigungen
aber nur dann individuell vergeben werden,
wenn jeder Benutzer identifiziert werden kann,
also eine eigene Identität im System besitzt.
Jedes System besitzt dabei eine eigenständige
Ein
Identity-Management-System hat die Auf–
gabe, die
Identitäten eines Benutzers an
einer zentralen Stelle zusammenzuführen,
so dass aus dem Blickwinkel der IT-Sicherheit
zu erkennen ist, auf welche Systeme eine Per–
son Zugriff hat. Diese Aufgabe wird in der Ziel–
systemintegration durchgeführt. Für jede an
das Identity-Management-System angeschlos–
sene Benutzerverwaltung werden alle Benutzer–
kennungen in den Identitätsspeicher übertra–
gen. Anschließend erfolgt die Zuordnung der
Benutzerkennungen zu den Personenidenti–
täten. Damit erhält man einen zentralen Über–
blick über alle Identitäten und den dazugehö–
rigen Benutzerkennungen.
Schritt 3: Analyse der bestehenden
Berechtigungsstrukturen (Role
Mining)
Für eine Vereinfachung des Prozesses der Be–
rechtigungszuweisung in IT-Systemen werden
immer öfter ein rollenbasiertes Rechtemodell
basierend auf dem NIST-Standard RBAC (Role
based acccess control) eingesetzt. Die Frage
hierbei ist: Wie lässt sich ein solches Rollenmo–
dell für ein Unternehmen erstellen? Durch die
ersten beiden Arbeitsschritte enthält der Identi–
tätsspeicher eine zentrale Übersicht der aktu–
ellen Rechtezuweisungen. Mit jedem neu inte–
grierten Zielsystem wird diese Übersicht um–
fassender und gibt damit ein vollständiges
systemübergreifendes Bild der Berechtigungs–
strukturen imUnternehmen ab.
Die bis hier erzeugte Übersicht der Rechtezu–
ordnung im Identitätsspeicher bildet die Grund–
lage für die Analyse der Daten mit einem Role-
Mining-Tool. Diese Methode analysiert die
bestehenden Berechtigungsstrukturen und
versucht über Clusterbildung sinnvolle Gruppier–
ungen von Rechten zu ermitteln, die dann zu
Rollen zusammengefasst werden können.
ONTROLLER