Identity Management

Identity Management ist die Herausforderung des zentralen Verwaltens von Identitätsdaten. Dies ist der zentrale Grundstein jeder IAM Lösung und muss dementsprechend klar definiert sein.

Zuerst muss bestimmt werden welche Typen von Identitäten im Unternehmen vorhanden sind und wie deren Prozesse sind.

Gängige Identitätstypen sind: Mitarbeiter, Externe, Partner, Administratoren, Funktional User, Gruppen Mailboxen, Service User und Test User.

Gängige Prozesse dieser Typen sind: Eintritt, Austritt, Übertritt, Namenswechsel, Temporäre Suspendierung, Wechsel des Typs.

Für viele Identitätstypen ist die Personal Datendatenbank wie SAP HR als Identitätserzeugendes Systeme(autoritative Quelle) angeschlossen. Für externe oder temporäre Mitarbeitende kann aber auch das Identity System selbst, mittels eines entsprechenden Userportals die Identitätserzeugende Instanz sein.

Einige Identitätstypen sind vom Lebenszyklus an die Hauptidentität gekoppelt. So bspw. Eine persönlich Administrationsuser welcher beendet werden soll wenn der Mitarbeiter das Unternehmen verlässt. Bei anderen ist beim Austritt nur ein Besitzerwechsel notwendig die Identität bleibt weiter erhalten, so bspw. Bei Gruppen Mailboxen.

Weitere Systeme werden angeschlossen um die Identitäten mit weiteren Informationen anzureichern. Dabei werden die einzelnen Werte aus dem System genommen, welches für eine bestimmte Information die beste Qualität aufweist. Meist werden bsp. Mailadressen aus den Mailsystemen oder Telefonnummern aus der Telefonverwaltung dazugeschrieben. Dabei wird jeweils auf der Identität eine entsprechende Verknüpfung zum Datensatz vom Umsystem hinterlegt, um später Datenaktualisierungen gezielt schreiben zu können. Auf die Synchronisation erfolgt meist eine Datenbereinigung, da zu diesem Zeitpunkt die Inkonsistenzen erstmals sichtbar werden.

Der Lifecycle einer Identität ist oft abhängig vom Typ weisst aber doch grundlegende Merkmale auf.

Vorerfassung

Oft werden die Identitäten vor dem eigentlichen Eintritt des Users erfasst um damit den vorgängigen Ausrüstungsprozess unterstützen zu können.

vorerfassung

Bedingt eine Identitätsquelle welche solche Übertritte vorankündigen kann.

Eintritt

Beim eigentlichen Beginn einer Anstellung wir die Identität nur mehr aktiv geschaltet. Oft ist auch ein Prozess für das Initialpasswort damit verbunden.

Temporäre Suspendierung

Wird eine Identitäten über eine definierte Zeit nicht benötigt, kann diese deaktiviert werden. Solche Prozesse trifft man bei Sabbaticals, Mutterschaftsurlaub oder bei normalerweise deaktivierten Partner Accounts an.

Übertritt

Bei einem Übertritt von der Anstellung bei der Abteilung A zu Abteilung B, kann dies oft nicht einfach zu einem Stichtag erfolgen. Es Bedarf einer Logik wo die Identität für die Neue Abteilung B bereits aufgebaut werden kann vor dem Übertritt und ev. die Identität der Abteilung A zeitlich begrenzt noch aktiv weitergeführt werden muss um laufende Arbeiten abzuschliessen. Dies erfordert vom Identity Management entsprechende Prozesse und Möglichkeiten.

uebertritt

Bedingt eine Identitätsquelle welche solche Übertritte vorankündigen kann.

Austritt

Ein Austritt kann durch das Erreichen des EndeDatums einer Identität sein oder aber auch weil sie bei einer zyklischen Überprüfung der Identität nicht mehr bestätigt wurde. Länger nicht mehr benutze Identitäten können ebenfalls in diesen Status überführt werden, ist aber mit Vorsicht zu nutzen. Beim Austritt wird üblicherweise eine Identität erst nur deaktiviert und eine Nachhalteperiode (Retention) eingeleitet. Dabei bleiben die Rechte zugewiesen um so eine schnelle Reaktivierung ermöglichen zu können.

Nachhalteperiode Retention

Da in dieser Phase die Rechte noch vorhanden sind kann die Identität schnell wieder reaktiviert werden, sollte sich der Austritt als falsch herausstellen.

Löschung

Eine Identität welche nach der Nachhalteperiode steht muss gemäss DSGVO aus dem System gelöscht, pseudonymisiert oder anonymisiert werden. Daher ist diesem Schritt nun mehr Beachtung zu schenken, da die Identitäten in früheren Zeiten oft endlos im System verblieben sind zur Nachverfolgbarkeit.

Berechtigungsverwaltung & Zuweisung

Einerseits müssen die Berechtigungsemelemente selbst verwaltet werden. Dabei können Rollenmodelierungswerkzeuge helfen passende Rollen zu definieren und aktuell zu halten Es müssen aber klare Besitzerverhältnisse und die Veränderungsprozesse definiert werden. Veränderungen von Berechtigung Strukturen müssen von den Besitzern geprüft werden.

Die Zuweisung einer Bereichtung zur Identität kann über folgende Möglichkeiten erfolgen:

Regelbasiert

Anhand definierbaren Regeln welche Idenitätsattribute zur Entscheidung nutzen können Berechtigungen regelbasiert vergeben werden. Solche Zuweisungen können nicht abbestellt werden und eine Rezertifizierung macht dafür keinen Sinn.

Rollenbasiert

Die rollenbasierte Zuweisung ist eine Art der regelbasierten Zuweisung. Über eine bspw. Vom HR dem Benutzer zugeteilte Rolle werden diesem automatisch gewisse Berechtigungen vergeben. Dies bedingt eine enge Koordination und das Bewusstsein der HR Mitarbeiter wie die Zusammenhänge hinterlegt sind.

Vererbt von BusinessObjekten

Als BusinessObjekete bezeichnet man Objekte mit welchen die Identitäten verbunden sind. So bspw. Firmen, Abteilungen, Lokationen, Projekte usw.

Abhängig von diesen Objekten können den Identitäten gewisse Berechtigungen zugewiesen werden.

Auch solche Zuweisungen können nicht abbestellt werden und eine Rezertifizierung macht dafür keinen Sinn.

Geburtsrechte

In gewissen Fällen will man einer neu eintretenden Identität automatisch gewisse Berechtigungen zuweisen. Es soll aber möglich sein diese Rechte abzubestellen wenn diese bspw. Nicht benötigt werden aber Kosten verursachen.

Die Zuweisung von Geburtsrechten kann natürlich in Abhängigkeit von Regeln oder BusinessObjekten erfolgen. Eine Rezertifizierung solcher Zuweisungen kann hier sinnvoll sein.

Manuell bestellt

Berechtigungen können manuell bestellt werden. Allenfalls versehen mit den notwendigen Approval Step werden die Rechte anschliessend direkt zugewiesen.

Solche Zuweisungen können abbestellt werden und eine Rezertifizierung kann hier sinnvoll sein.

Provisioning

Die Identitäts- und Berechtigungsdaten sollen mit den im Unternehmen vorhandenen Umsysteme provisioniert und validiert werden. Dazu stellen die meisten Produkte spezifische Konnektoren zur Verfügung oder es können basierend auf dem Produkteframework spezifische programmiert werden.

Bei der Provisionierung ist wichtig das nebst der Neuanlage und Austritten, die vorhandenen Daten aktualisiert und nachgezogen werden um einen konsistenten Datenbestand gewährleisten zu können.

Identitäten, welche in den Umsystemen vorhanden sind aber nicht zu einer Identität zugewiesen werden können, müssen bereinigt oder entsprechend als selbstverwaltet markiert werden.

Die Provisionierung erfolgt dabei meist Event getrieben wobei die Validierung zeitgesteuert erfolgt.

Berechtigung

Wie soll man da die notwendige Berechtigung finden?

Benutzer

Woher kommt die Information welcher Benutzer, welche Berechtigung benötigt?

Abhängigkeit

Wie kann man Abhängigkeiten definieren (Anwendung X braucht ADS Gruppenmitgliedschaft Y)?

Konzentration

Können diese Berechtigung nicht konzentriert werden?

Compliance und Governance

Die Zahl der Auflagen und Bestimmungen für Firmen (nicht zuletzt bei Finanzinstitute) ist stetig steigend, anspruchsvoll und sie reichen von der DSGVO/GDPR bis zu den entsprechenden Anforderungen der Finanzaufsichtsbehörde in der Schweiz (FINMA).

Darunter fallen unter anderem die wichtigen Überprüfungen der Zugriffsberechtigungen auf Anwendungen und IT-Systeme. Diese Berechtigungen müssen regelmässig überprüft werden und es muss ein definierter Prozess zur Vergabe von Berechtigungen vorliegen. Weiter ist sicherzustellen, dass jeder Mitarbeitende nur über die Rechte verfügt, über die er nach seiner Tätigkeit und Funktion im Unternehmen verfügen darf/muss.

Hier helfen die folgenden Funktionen:

Rezertifizierung

Zyklische oder durch eine Veränderung angestossene Überprüfung der Berechtigung aus Sicht der Berechtigung. Im Sinne von, lieber Berechtigungsbesitzer - brauchen die hier angezeigten Benutzer weiterhin diese Berechtigung?

Daraufhin kann er mit Ja/Nein antworten und löst im Anschluss die entsprechende Aktion aus.

Solche Tasks können natürlich auch auf verschiedene zuständige Verantwortliche verteilt, weitergereicht/delegiert werden. Jedoch ist es pro Zuweisung immer eine einzelner Verantwortlicher, der entscheiden muss.

Reapproval

Zyklische Überprüfung einer Berechtigungszuweisung. Im Sinne von, lieber Berechtigungsbesitzer - brauchen der User diese Berechtigung weiterhin? Daraufhin kann er mit Ja/Nein antworten und löst im Anschluss die entsprechende Aktion aus.

Solche zyklischen Überprüfungen müssen veränderungssicher, in einer für Auditoren lesebaren Form auswertbar sein und entsprechend nachgehalten werden.

Audit und Reporting

Zum Nachweis von Rechenschaftspflichten und zur Berichterstattung über die Ergebnisse von IAM-Aktivitäten müssen Audit-Daten erzeugt und nachgehalten werden. Wie von den maßgeblichen Vorschriften gefordert, dient dies zur Darstellung, wie die Steuerung der Geschäftsprozesse hinsichtlich der Benutzerzugriffe und berechtigungen erfolgt.

In regelmäßigen Abständen oder bei Bedarf müssen Reports zum aktuellen Status und zur Historie von Informationen in den Datenhaltungen erzeugt werden können.

Die Audit-Daten sowie die historischen Daten, die von den IAM-Komponenten erzeugt werden, helfen dabei, die Fragen zu beantworten, die von Auditoren zum Nachweis der Einhaltung der Compliance gestellt werden. Bisher müssen für Fragen der Art “Wer hat im letzten Monat auf Finanzdaten zugegriffen?”, “Wer hat den Benutzern dafür Zugriffsrechte gegeben?” und “Wer hat diese Rechte genehmigt?” Audit- und historische Daten aus mehreren Anwendungen ausgewertet werden. Unterschiedliche Audit-Formate, verschiedene Benutzer-Identitäten derselben Person sowie parallele Zeitstränge in den einzelnen Anwendungen erschweren diese Auswertungen erheblich und machen sie kostenintensiv.

Basierend auf historischen Identitätsdaten und aufgezeichneten Aktivitäten aus den Identity und Access Management Prozessen ermöglicht ein Audit-System die Beantwortung der “Was, Wann, Wo, Wer und Warum”-Fragen bei Benutzerzugriffen und -berechtigungen.

Single Sign-On

Unter (Web) SingleSignOn verstehen wir, dass ein Client (sprich Benutzer oder auch Service) nach einmaliger Anmeldung (Authentifizierung) automatisch auch Zugriff auf weitere Ressourcen oder Informationen - für die er berechtigt ist - erhält. Dabei wird zudem nach Sicherheitsklassifizierung der Ressource bzw. Information unterschieden und diese entsprechend geschützt.

Vorteile

  • Einmalige Anmeldung des Clients (Benutzers oder Services) an der Web-Applikation oder dem Web-Service
  • Verbesserung der Compliance – Zentrale Auditierbarkeit nach dem Prinzip Wer, Was, Wann, Wo und Warum?
  • Zentrale Definition der Authentisierungstärke für die Ressourcen, welche in Web-SSO integriert sind
  • Mehrfache Accounterfassung in den Systemen (oft) nicht mehr notwendig z.B. durch die Verwendung von Identity- und Serviceprovidern
  • Realisierbarkeit des Zugriffsschutzes von Web-Services für Machine to Machine (SOAP) Kommunikation, unabhängig vom Web-Service-Transportprotokoll (http, smtp etc.)

Passwort Synchronisation

Passwort Synchronisation ist eine Vorstufe des Single-Sign-On. Der Ansatz versucht über alle Anwendungen dasselbe Passwort zu verwenden. Dabei wird das Passwort von einem Mastersystem (meist Windows Anmeldeserver) abgegriffen und über geschütztem Wege in eine Vielzahl von Zielsystemen geschrieben. Durch die reduzierte Anzahl und Verwendungshäufigkeit ist es für einen Benutzer einfacher ein sicheres Passwort zu wählen und zu merken. Dies steigert die Benutzerfreundlichkeit und verringert die Anrufe im Helpdesk.

Lösung

Eine vollumfänglich Single-Sign-On Lösung setzte sich aus mehreren Teilen zusammen.

Angreifer die Zugangsdaten hat, er damit auf alle angeschlossenen Systeme automatisch Zugang hat. Daher wird in den meisten Fällen der unsichere Anmeldevorgang wie der Windows Desktop oder VPN, durch den Einsatz von verschiedenen starken Authentifizierungsmechanismen ersetzt. Dabei wird ein breites Spektrum an Optionen angeboten wie, Biometrische Daten, SmartCards, One-Time-Password(OTP) token oder verschieden Proximity Cards.

Facescan

facescan

Smartcard

smartcard

OTP Token

op token

Fingerprint

fingerprint

Anpassen der Anmeldeprozesse

Durch die Verwendung einer modernen Signle-Sign-On Lösung werden alle globalen Anwendungen eines Unternehmens abgedeckt ohne irgendwelches kundespezifisches Skripten. Dadurch wird der Zugriff für Ihre Mitarbeiter schneller und einfacher. Damit steigert sich die Benutzerzufriedenheit und es senken sich die Kosten von Passwort Reset Anrufen bei Ihrem IT Help Desk.

Vereinfachung des Compliance Reporting

Durch den Einsatz einer zentralen Signle-Sign-On Lösung reduzieren sich die Kosten um die Einhaltung der Compliance nachzuweisen. Dies durch das zentrale aufzeichnen der Anmelde Vorgänge. Im Zusammenspiel mit einer Identitäts und Zugriffsverwaltungslösung IAM, lässt sich daher spielend leicht ermitteln wer, wann, wo Zugriff hatte und wann dieser genutzt wurde.

Email Kontakte Synchronisationen

In grösseren Unternehmen müssen bei Aquisitionen oder Zusammenschlüssen von Firmen der die Adressdaten gegenseitig zur Verfügung gestellt werden um eine effektive Zusammenarbeit gewährleisten zu können.

Die Kontaktesynchronisation ist dabei ein erster Schritt in Richtung Zusammenarbeit. Dabei können Kontakteinformationen und Verteilerlisten zwischen mehreren Active Directories oder auch zu Lotus Notes oder weiteren Mailsystemen synchronisiert werden. Dies ermöglicht den Benutzern (z.B. in Microsoft® Outlook®) in den einbezogenen Mailorganisationen Informationen über Benutzer und Gruppen der jeweils anderen Organisation zu nutzen. Eine Erweiterung zum Austausch der Frei/Gebucht-Zeiten ist möglich.

Einsatzszenarien

Unternehmensweit geteilte Mailsysteme

Ihr Unternehmen hat eine internes und ein externes Mailsystem (z.B. für den Vertrieb). Die Mailobjekte des externen Mailsystems sollen im internen für die Benutzer verfügbar sein. Umgekehrt sollen möglicherweise auch die Vertriebsmitarbeiter die Mailadressen des internen Mailsystems (oder einer Untermenge daraus) sehen können.

Firmenübernahme

Nach einer Firmenübernahme müssen Sie die verschiedenen Active Directory und Mailsysteme integrieren. Als Übergangslösung vor einer Zusammenführung der Mailsysteme oder als definitive Lösung kann eine Kontakte Synchronisation die einfache Zusammenarbeit ermöglichen. Alle oder Untermengen aller Mailobjekte sollen in der jeweils anderen Organisation zur Verfügung stehen.

Firma & Partner

Ihr Unternehmen hat ein Partnerunternehmen, mit dem reger E-Mailaustausch gemacht wird. Alle oder Untermengen aller Mailobjekte Objekte sollen in der jeweils anderen Organisation dem Benutzer zur Verfügung stehen.

Firmenübernahme

Ihre Firma möchte auf ein neues Mail System einführen und die Benutzer schrittweise migrieren. Sie müssen sicherstellen, dass alle migrierten Benutzer Mails an Benutzer im "alten" System senden können und anders herum.

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Ok