Basic HTML-Version
Identity Management
Workflows.
Nach der erfolgten Berechtigungs–
zuweisung werden die für eine Genehmigung
relevanten Personen automatisch informiert.
Erst nach einer Freigabe durch die berechtigten
Personen wird die Berechtigungszuweisung
aktiviert und über die definierte Schnittstelle in
das angeschlossene Zielsystem übertragen.
Genehmigungs-Workflows lassen sich dabei in
gleicher Weise für automatische und manuelle
Berechtigungszuweisungen einrichten.
Schritt 7: Identity Management für
die Benutzer (Self-Service)
Eine zusätzliche IVIethode, um den Prozess für
Zuweisungen von Privilegien weiter zu verbes–
sern, besteht darin, den
Mitarbeitern des
Unternehmens selbst die
Möglichkeit
zu
geben, Privilegien zu beantragen.
Über so
genannte Seif-Service-Funktionen könnenMit–
arbeiter damit entsprechend den Anforder–
ungen ihres Arbeitsprofils neue Berechtigungen
beantragen. Die Absicherung der Berechti–
gungszuweisung erfolgt dabei wiederum durch
definierte Genehmigungs-Workflows. Die Kom–
bination aus Self-Service, Genehmigung und
Synchronisation in die angeschlossenen Ziel–
systeme führt zu einer erheblichen Entlastung
des Betriebs der IT-Infrastruktur. Die Adminis–
tratoren der Zielsysteme müssen die Zuwei–
sung von Berechtigungen nicht mehr per Hand
durchführen. Gleichzeitig erfolgt dennoch eine
Absicherung, die sicherstellt, dass nur berech–
tigte Personen Zugriffe erhalten.
Schritt 8: Nachweisbarkeit der
Berechtigungsvergabe (Compli–
ance)
Der gesicherte Zugriff auf Unternehmensinfor-
mationen hat auch eine rechtliche Bedeutung:
globale Gesetze für Finanzdienstleister, Organi–
sationen des Gesundheitswesens, Pharmazie–
unternehmen und andere Branchen stellen
hohe Anforderungen an die Sicherheit der IT-
Infrastruktur. Wenn die gesetzlichen Vor–
schriften nicht erfüllt sind, kann dies teils gra–
vierende rechtliche und in der Folge auch wirt-
44
schaftliche Konsequenzen für die betroffenen
Firmen
haben. Um die gesetzlichen Anforde–
rungen zu erfüllen, müssen die Unternehmen
nachweisen können, „wer wann was mit wel–
cher Information gemacht hat". Das Identity-
Management-System enthält wesentliche
Teile dieser Informationen. Veränderungen der
Berechtigungszuweisung können beispielswei–
se aufgezeichnet werden. Archiviert man diese
Informationen, so lassen sich zudemAussagen
über die Historie machen.
Mit diesen Mög–
lichkeiten wird die IT-Infrastruktur „ready
for compliance".
Aussagen in Bezug auf die
Vergabe von Privilegien, die aufgrund gesetz–
lichen Anforderungen bzw. Sicherheitsrichtli–
nien des Unternehmens notwendig werden,
können so einfacher und systemübergreifend
getroffen werden.
Schritt 9: Rollenmodellierung aus
Sicht der Unternehmensprozesse
(Role Engineering)
Neben der im Schritt 3 durchgeführten Bottom-
Up-Methode zur Bildung eines initialen Rollen–
modells, das auf die bereits vorhandenen
Rechtestrukturen in den IT-Systemen aufbaut,
kann in einem Identity- Management-System
auch ein organisatorisches Rollenmodell hinter–
legt werden. Ein solches Rollenmodell wird in
einem Unternehmen aus der Modellierung der
Geschäftsprozesse und falls vorhanden aus
den Informationen von Arbeitsplatzbeschrei–
bungen abgeleitet (Top-Down-Methode). Um
das entstandene Rollenmodell für den Prozess
der Berechtigungszuweisung nutzen zu kön–
nen, ist es notwendig, die Rollen den Berechti–
gungen der vorhandenen Zielsysteme zuzuord–
nen. Durch die in Schritt 2 durchgeführte Inte–
gration der Zielsysteme sind die Berechti–
gungen der Zielsysteme im zentralen
Identitätsspeicher verfügbar und können für die
notwendige Zuordnung genutzt werden.
Schritt 10: Rollenmodellierungs–
prozess
Veränderungen in der Organisation und IT-
Infrastruktur eines Unternehmens erfordern
Anpassungen des Rollenmodells einerseits, so–
wie zu einer Überprüfung der definierten Zuord–
nungen andererseits. Ein einmal festgelegtes
Rollenmodell ist somit nicht statisch, son–
dern einem kontinuierlichen Veränderungs–
prozess unterworfen. Rollenmodellierung ist
daher ein Prozess, der mit den notwendigen
Funktionen und Kompetenzen innerhalb des
Unternehmens ausgestattet werden muss. Es
sind daher Festlegungen notwendig, wer im
Unternehmen Rollen verändern darf, wer Zu–
ordnungen zu Benutzern und Berechtigungen
anpassen darf und wie eine Freigabe dieser
Anpassungen erfolgt. Durch diese stetigen Ver–
änderungen des im Identity-Management-Sys–
tem hinterlegten Rollenmodell, muss auch die
Historie der Entstehung abgelegt werden. Eine
Versionsführung des Rollenmodells ist also er–
forderlich.
Zusammenfassung
Identity-Management-Systeme bieten viel–
fältige Funktionen, die den Umgang mit Be–
rechtigungszuweisungen im Unternehmen ein–
facher und transparenter gestalten. Bei der Ein–
führung eines Identity Managements ist es
nicht erforderlich und auch nicht zielführend,
alle Funktionen in einem Projektschritt zu im–
plementieren. Vielmehr hat es sich in der Praxis
bewährt, die für die eigene Infrastruktur not–
wendigen Projektschritte klar zu definieren und
mit einer Umsetzungsstrategie zu hinterlegen.
Um die Vorteile eines Identity-Management-
Systems nutzen zu können, ist es auch nicht
notwendig dessen kompletten möglichen
Funktionsumfang auf einmal zu implemen–
tieren. Bereits die Umsetzung der ersten hier
vorgestellten Schritte bringt wesentliche
Vorteile in Bezug auf Sicherheit und den
effizienten Betrieb der IT-Infrastruktur
eines Unternehmens und reduziert Kosten,
Komplexität und Risiko der Einführung
beträchtlich. Der weitere, schrittweise Ausbau
des Systems kann dann entsprechend den
aktuellen Bedürfnissen des Unternehmens
erfolgen, wobei hier bereits die Erfahrungen
aus den ersten Schritten mit einfließen kön–
nen.
In jedem Fall lässt sich aber festhalten, dass
die nachweisbare und transparente Zuweisung
von Privilegien an Mitarbeiter, Partner und
Kunden einer der wichtigsten Hebel ist, um
Kosten einzusparen und die Sicherheit von IT-
Infrastrukturen wirksam zu verbessern.
•
ONTROLLER