Basic HTML-Version
Oer zentrale Identitätsspeicher Ist in der
Lage, systemübergreifend Informationen
für das Role-Mining-Tool bereitzustellen,
und bietet damit eine sehr gute Datengrund–
lage, um sinnvolle Rechtebündelungen zu
identifizieren. Über diesen Bottom-Up-Ansatz
lassen sich die bestehenden Berechtigungs–
strukturen transparent darstellen und bereits
eine erste
Vereinfachung des Zuweisungs–
prozesses für Berechtigungen realisieren.
Schritt 4: Steuerung der Berechti–
gungsvergabe
Die Berechtigungsstrukturen in den bestehen–
den IT-Systemen eines Unternehmens enthal–
ten oftmals auch Rechtezuweisungen, die nicht
mehr aktuell sind und bereits wieder entzogen
sein müssten. Da oftmals kein Überblick über
die aktuell gültigen Berechtigungszuweisungen
existiert und kein sauberer Prozess zum Entzug
bereits zugewiesener Berechtigungen besteht,
bleiben Rechtezuweisungen auch über den
definierten Gültigkeitszeitraum hinaus erhalten.
Häufig fehlt zudem eine klar nachvollziehbare
Zuordnung der Identitäten in den Zielsystemen
zu den tatsächlichen Identitäten der Personen.
Der Aufbau des Identitätsspeichers, der einer–
seits durch die Identitätsquellen und anderer–
seits durch die Integration der Zielsysteme
gefüllt wird, ermöglicht dagegen diese saubere
Zuordnung.
Auf dieser Basis lassen sich zusätzliche Er–
gebnisse aus den Identitätsquellen nutzen,
um
den Lebenszyklus
(Eintritt, Ruhephase, Aus–
tritt) einer Identität zu steuern und damit auch die
ihr zugehörigen Benutzerkennungen gezielt zu
aktivieren bzw. zu deaktivieren. Signalisiert das
Personalsystem beispielsweise den Austritt eines
Mitarbeiters, so wird sein Identitätsobjekt im
zentralen Identitätsspeicher automatisch deakti–
viert. Autgrund des geänderten Status des Iden–
titätsobjektes werden auch alle ihm zugeord–
neten Benutzerkennungen deaktiviert. Dies ge–
schieht dabei automatisiert. Damit lassen sich
Sicherheitsverletzungen aufgrund veralteter nicht
zuordenbarer Benutzerkennungen vermeiden.
Außerdem lassen sich Berechtigungszuwei–
sungenmit einem definierten Gültigkeitszeitraum
versehen. Nach Ablauf dieses Zeitraums wird
die Berechtigung automatisch entzogen.
Schritt 5: Automatisierung in der
Berechtigungsvergabe (Provisio-
nlng)
Ein wichtiges Ziel eines Identity-Management-
Systems ist es, den Automatisierungsgrad der
Berechtigungszuweisung zu erhöhen. Denn
manuelle Zuweisungen sind kostenintensiv und
fehleranfällig. Durch eine Automatisierung las–
sen sich Fehler dagegen minimieren.
Um die Berechtigungsvergabe zu automatisie–
ren, können bereits vorhandene Informationen
zu den im Identitätsspeicher hinterlegten Per–
sonen genutzt werden. Beispiele hierfür sind:
Zugehörigkeit zu Organisationseinheiten,
Standortinformationen, Mitarbeit in Projekten.
Diese notwendigen Informationen stehen durch
die im Schritt 1 eingeführten Synchronisationen
zur Verfügung und können als Kriterien für die
Zuweisung von Berechtigungen genutzt wer–
den. Auf der Ebene der Berechtigungszuwei–
sung wird die Automatisierung mit Hilfe von Re–
geln umgesetzt. Zu den Regeln gehören:
- Zuweisungs-Regeln führen automatisierte
Rechtezuweisungen durch.
- Validierungs-Regeln
überprüfen Daten
der Zielsysteme mit den im Identitäts–
speicher abgelegten Daten.
- Konsistenz-Regeln überprüfen die Konsis–
tenz von Benutzer- und Privilegiendaten
innerhalb des Identitätsspeichers.
Schritt 6:4-Augen-Prinzip für die
sichere Berechtigungsvergabe
Eine Automatisierung bei der Berechtigungszu–
weisung erhöht die Effizienz und vermindert die
Fehleranfälligkeit. Eine Absicherung der auto–
matischen Zuweisung kann jedoch zusätzlich
notwendig sein. Beispielsweise dann, wenn ein
Vorgesetzter der Zuweisung von Privilegien für
einen Mitarbeiter zustimmen muss.
Daher er–
laubt ein Identity-Management-System
häufig die Definition von Genehmigungs-
HESSENBRUCH
PERSONALBERATUNG & VERfvI lTTLUNG
Wir sind ein Spezialist in der Vermittlung von
Fach- und Führungskräften für das Finanz- und Rechnungswesen/Controlling.
Darüber hinaus vermitteln wir Führungskräfte für technisch/gewerbliche Bereiche.
Langjährige Berufserfahrung unserer Berater aus dem Personalmanagement
verschiedener Unternehmen garantiert Ihnen unser Know-how und eine hohe Kompetenz.
Besuchen Sie unsere Homepage:
und rufen Sie uns an unter 030-85621390
HESSENBRUCH • Am Potsdamer Platz - Ebertstraße 1 - 10117 Berlin
43