Das IAM leistet mit einer zentralisierten Verwaltung von Identitäten und Zugriffsberechtigungen eine effiziente Lösung für Unternehmen.

Es stellt sicher, dass Zugriffsberechtigungen den internen und externen Richtlinien entsprechen. Es verhindert, dass aufgrund vieler einzelner, dezentraler Freigabe- und Berechtigungsprozesse der Überblick über die Identitäten und Zugriffsrechte verloren geht. Die User und deren Berechtigungen werden einer klaren Struktur unterworfen und lassen sich zentral verwalten. Dies minimiert Risiken durch unbefugte Zugriffe interner, aber auch externer User wie Kunden oder Partner.

Die IAM-Systeme sorgen für eine Vereinfachung der Erfassung und automatisieren die Authentifizierung und Autorisierung der User. So kann sichergestellt werden, dass die erteilten Zugriffsrechte der tatsächlichen Rolle des Benutzers im Unternehmen entsprechen. Dank Self-Service-Schnittstellen für die Benutzer und automatischer Prozesse minimiert sich der Aufwand für die Administration.

Identitätsdaten Verwaltung (Identity Management)

Im Identity Management werden Identitätsdaten zentral verwaltet.

Eine klare Definition bilder der Grundstein jeder IAM Lösung. Dabei wird bestimmt, welche Typen von Identitäten im Unternehmen vorhanden und wie deren Prozesse sind.

 

Identitätstypen und deren Prozesse

Verbreitete Identitätstypen sind: Mitarbeitende, Externe, Partner, Administratoren, Funktionale User, Gruppen Mailboxen, Service User und Test User.
Gängige Prozesse dieser Typen sind: Eintritt, Austritt, Übertritt, Namenswechsel, Temporäre Suspendierung, Wechsel des Typs.


Für viele Identitätstypen ist die Personal-Datendatenbank (wie SAP HR) als Identität erzeugendes System (autoritative Quelle) angeschlossen. Für externe oder temporäre Mitarbeitende kann aber auch das Identity-System selbst mittels eines entsprechenden Userportals die Identität erzeugende Instanz sein.

Einige Identitätstypen sind vom Lebenszyklus her an die Hauptidentität gekoppelt. Zum Beispiel ein persönlicher Administrations-User, welcher beendet werden soll, wenn der Mitarbeitende das Unternehmen verlässt. Bei anderen ist beim Austritt nur ein Besitzerwechsel notwendig. Die Identität bleibt weiter erhalten. Zum Beispiel bei Gruppen-Mailboxen.

Weitere Systeme werden angeschlossen, um die Identitäten mit weiteren Informationen anzureichern. Dabei werden einzelne Werte aus dem System genommen, welche für eine bestimmte Information die beste Qualität aufweist. Oft werden Mailadressen aus den Mailsystemen oder Telefonnummern aus der Telefonverwaltung dazugeschrieben. Auf der Identität wird eine entsprechende Verknüpfung zum Datensatz vom Umsystem hinterlegt, um später Datenaktualisierungen gezielt schreiben zu können. Auf die Synchronisation erfolgt eine Datenbereinigung, da zu diesem Zeitpunkt die Inkonsistenzen erstmals sichtbar werden.

 

Lebenszyklus einer Identität

 

Vorerfassung

Oft werden die Identitäten vor dem eigentlichen Eintritt des Users erfasst, um damit den vorgängigen Ausrüstungsprozess unterstützen zu können. Dies bedingt eine Identitätsquelle, welche solche Übertritte vorankündigen kann.

vorerfassung

 

Eintritt

Beim Beginn einer Anstellung wird die Identität aktiv geschaltet. Oft ist damit auch ein Prozess für das Initialpasswort verbunden.

 

Temporäre Suspendierung

Wird eine Identität über eine definierte Zeit nicht benötigt, kann diese deaktiviert werden. Solche Prozesse trifft man bei Sabbaticals, Mutterschaftsurlaub oder bei normalerweise deaktivierten Partner Accounts an.

 

Übertritt

Bei einem Übertritt von der Anstellung bei der Abteilung A zu Abteilung B kann dies oft nicht einfach zu einem Stichtag erfolgen. Es Bedarf einer Logik, wo die Identität für die neue Abteilung B bereits aufgebaut werden kann. Um laufende Arbeiten abzuschliessen, wird vor dem Übertritt die Identität der Abteilung A zeitlich begrenzt noch aktiv weitergeführt. Dies erfordert vom Identity Management entsprechende Prozesse und Möglichkeiten, welche die Identitätsquelle für solche Übertritte vorankündigen kann.

uebertritt

 

Austritt

Ein Austritt kann durch das Erreichen des Enddatums einer Identität sein. Oder weil sie bei einer zyklischen Überprüfung der Identität nicht mehr bestätigt wurde. Länger nicht mehr benutzte Identitäten können ebenfalls in diesen Status überführt werden. Dies ist aber mit Vorsicht zu nutzen. Beim Austritt wird üblicherweise eine Identität erst nur deaktiviert und eine Nachhalteperiode (Retention) eingeleitet. Dabei bleiben die Rechte zugewiesen, um so eine schnelle Reaktivierung ermöglichen zu können.

 

Nachhalteperiode Retention

Da in dieser Phase die Rechte noch vorhanden sind, kann die Identität schnell wieder reaktiviert werden, sollte sich der Austritt als falsch herausstellen.

 

Löschung

Eine Identität, welche nach der Nachhalteperiode steht, muss gemäss DSGVO aus dem System gelöscht, pseudonymisiert oder anonymisiert werden. Daher ist diesem Schritt nun mehr Beachtung zu schenken, da die Identitäten in früheren Zeiten oft endlos im System verblieben sind zur Nachverfolgbarkeit.

 

Berechtigungsverwaltung & Zuweisung

Vereinzelte Rechtevergaben bedeuten oft ständig wiederkehrende Administrationsaufwände für das IT Team. Viele Firmen legen deshalb heute Wert auf eine einfache, übersichtliche und automatisierte Zugriffsregelung für ihre IT-Systeme. Eine übersichtliche Rechteverwaltung auf den Systemen wirkt zudem der Gefahr von Betrug entgegen, die häufig durch Prozesse wie Mitarbeitereintritte, -austritte und Reorganisationen auftreten können. Werkzeuge zur Rollenmodellierung helfen, passende Rollen zu definieren und aktuell zu halten. Dafür sind klare Verantwortlichkeiten und zu definierende Veränderungsprozesse nötig.

Die Zuweisung einer Berechtigung zur Identität kann über folgende Möglichkeiten erfolgen:

 

Regelbasiert

Anhand definierbarer Regeln, welche Identitäts-Attribute zur Entscheidung nutzen, können Berechtigungen regelbasiert vergeben werden. Solche Zuweisungen können nicht abbestellt werden und eine Rezertifizierung macht dafür keinen Sinn.

Rollenbasiert

Die rollenbasierte Zuweisung ist eine Art der regelbasierten Zuweisung. Beispiel: Mit einer vom HR zugeteilten Rolle an einen Benutzer werden automatisch gewisse Berechtigungen vergeben. Voraussetzung: Eine enge Koordination mit der HR-Abteilung und das Bewusstsein der HR Mitarbeiter, wie die Zusammenhänge hinterlegt sind.

Vererbt von Business-Objekten

Als Business-Objekte werden Objekte bezeichnet, welche mit Identitäten verbunden sind. Das können beispielsweise Firmen, Abteilungen, Projekte sein. Abhängig von diesen Objekten werden den Identitäten gewisse Berechtigungen zugewiesen. Solche Zuweisungen können nicht abbestellt werden und eine Rezertifizierung macht dafür keinen Sinn.

Geburtsrechte

In gewissen Fällen will man einer neu eintretenden Identität automatisch gewisse Berechtigungen zuweisen. Es soll aber möglich sein, diese Rechte abzubestellen, wenn diese zum Beispiel nicht benötigt werden, aber Kosten verursachen. Die Zuweisung von Geburtsrechten kann in Abhängigkeit von Regeln oder Business-Objekten erfolgen. Eine Rezertifizierung solcher Zuweisungen kann hier sinnvoll sein.

Manuell bestellt

Berechtigungen können manuell bestellt werden. Allenfalls versehen mit den notwendigen Approval-Steps werden die Rechte anschliessend direkt zugewiesen. Solche Zuweisungen können abbestellt werden und eine Rezertifizierung kann hier sinnvoll sein.

Provisionierung

Die Identitäts- und Berechtigungsdaten sollen, mit den im Unternehmen vorhandenen Umsysteme, provisioniert und validiert werden. Dazu stellen die meisten Produkte spezifische Konnektoren zur Verfügung oder es können basierend auf dem Produkteframework spezifische programmiert werden.

Bei der Provisionierung ist wichtig, dass nebst von Neuanlegungen und Austritten, die vorhandenen Daten aktualisiert und nachgezogen werden, um einen konsistenten Datenbestand gewährleisten zu können.

Identitäten, welche in den Umsystemen vorhanden sind, aber nicht zu einer Identität zugewiesen werden können, müssen bereinigt oder entsprechend als selbstverwaltet markiert werden.

Die Provisionierung erfolgt dabei meist Ereignis getrieben, wobei die Validierung zeitgesteuert erfolgt.

Berechtigung

Wie soll man die notwendige Berechtigung finden?

Benutzer

Woher kommt die Information, welcher Benutzer, welche Berechtigung benötigt?

Abhängigkeit

Wie können Abhängigkeiten definiert werden?

Konzentration

Können diese Berechtigungen konzentriert werden?

Compliance und Governance

Die Zahl der Auflagen und Bestimmungen für Firmen ist stetig steigend, anspruchsvoll und sie reichen von der DSGVO/GDPR bis zu den entsprechenden Anforderungen der Finanzaufsichtsbehörde in der Schweiz (FINMA).

Darunter fallen auch regelmässige Überprüfungen der Zugriffsberechtigungen auf Anwendungen und IT-Systeme. Dabei muss eine klar definierte Prozess-Vorlage zur Vergabe von Berechtigungen vorliegen. Weiter ist sicher zu stellen, dass jeder Mitarbeitende nur über die Rechte verfügt, über die er nach seiner Tätigkeit und Funktion im Unternehmen verfügen darf.

Regelmässige Überprüfungen müssen veränderungssicher, in einer für Auditoren lesbaren Form auswertbar sein und entsprechend nachgehalten werden.

Folgende Funktionen helfen dabei:

Rezertifizierung

Zyklische oder durch eine Veränderung angestossene Überprüfung aus Sicht der Berechtigung.

Brauchen die hier angezeigten Benutzer weiterhin diese Berechtigung? Daraufhin kann der Vorgesetzte/Data Owner mit Ja/Nein antworten und im Anschluss löst sich die entsprechende Aktion aus.

Solche Tasks können auf mehrere verantwortliche Personen verteilt oder delegiert werden. Jedoch sollte pro Zuweisung nur eine einzelne Person die Entscheidungsbefugnis besitzen.

Reapproval

Zyklische Überprüfung einer Berechtigungszuweisung aus Sicht von bestehenden Rechten eines Benutzers.

Braucht der Benutzer diese Berechtigung weiterhin? Daraufhin kann der Verantwortliche mit Ja/Nein antworten und löst im Anschluss die entsprechende Aktion aus.

 

Audit und Reporting

Zum Nachweis von Rechenschaftspflichten und zur Berichterstattung über die Ergebnisse von IAM-Aktivitäten werden Audit-Daten erzeugt und nachgehalten. Diese dienen zur Darstellung von geforderten Vorschriften, wie die Steuerung der Geschäftsprozesse hinsichtlich der Benutzerzugriffe und Berechtigungen erfolgt.

In regelmäßigen Abständen oder bei Bedarf müssen Reports zum aktuellen Status und zur Historie von Informationen in den Datenhaltungen erzeugt werden können.

Die Audit- sowie historischen Daten, die von den IAM-Komponenten erzeugt werden, helfen dabei, die Fragen zu beantworten, die von Auditoren zum Nachweis der Einhaltung der Compliance gestellt werden.

 

Wer hat im letzten Monat auf Finanzdaten zugegriffen?
Wer hat den Benutzern dafür Zugriffsrechte gegeben?
Wer hat diese Rechte genehmigt? Wann, wo und warum?

 

Bisher mussten für solche Fragen, Audit- und historische Daten aus mehreren Anwendungen ausgewertet werden. Unterschiedliche Audit-Formate, verschiedene Benutzer-Identitäten derselben Person sowie parallele Zeitstränge in den einzelnen Anwendungen erschwerten diese Auswertungen erheblich und machten sie kostenintensiv.

Basierend auf historischen Identitätsdaten und aufgezeichneten Aktivitäten aus den Identity und Access Management Prozessen ermöglicht ein Audit-System die Beantwortung der “W”-Fragen bei Benutzerzugriffen und Berechtigungen.

Single Sign-On

Unter (Web) Single Sign-On verstehen wir, dass ein Client nach einmaliger Anmeldung automatisch auch Zugriff auf weitere Ressourcen oder Informationen - für die er berechtigt ist - erhält. Dabei wird nach Sicherheitsklassifizierung der Ressource bzw. Information unterschieden und diese entsprechend geschützt.

Vorteile

  • Einmalige Anmeldung des Clients (Benutzers oder Services) an der Web-Applikation oder dem Web-Service
  • Verbesserung der Compliance – Zentrale, Auditierbarkeit nach dem Prinzip Wer, Was, Wann, Wo und Warum?
  • Zentrale Definition der Authentisierungsstärke für die Ressourcen, welche in Web-SSO integriert sind
  • Mehrfache Accounterfassung in den Systemen sind (oft) nicht mehr notwendig, z.B. durch die Verwendung von Identity- und Serviceprovidern
  • Realisierbarkeit des Zugriffschutzes von Web-Services für Machine to Machine (SOAP) Kommunikation, unabhängig vom Web-Service-Transportprotokoll (http, smtp etc.)
 

Passwort Synchronisation

Passwort Synchronisation ist eine Vorstufe des Single Sign-On. Der Ansatz versucht, über alle Anwendungen dasselbe Passwort zu verwenden. Dabei wird das Passwort von einem Mastersystem (meist Windows Anmeldeserver) abgegriffen und über geschütztem Wege in eine Vielzahl von Zielsystemen geschrieben. Durch die reduzierte Anzahl und Verwendungshäufigkeit ist es für einen Benutzer einfacher ein sicheres Passwort zu wählen und zu merken. Dies steigert die Benutzerfreundlichkeit und verringert die Anrufe im Helpdesk.

 
 

SSO Lösung

Eine vollumfänglich Single Sign-On Lösung setzt sich aus mehreren Teilen zusammen.

Ein Angreifer, der die Zugangsdaten hat, hat damit auf alle angeschlossenen Systeme automatisch Zugang. Daher wird in den meisten Fällen der unsichere Anmeldevorgang, wie der Windows Desktop oder VPN, durch den Einsatz von verschiedenen starken Authentifizierungsmechanismen ersetzt. Dabei wird ein breites Spektrum an Optionen angeboten wie biometrische Daten, SmartCards, One-Time-Password (OTP) Token oder verschiedene Proximity Cards.

Facescan

facescan

Smartcard

smartcard

OTP Token

op token

Fingerprint

fingerprint

Effiziente Anmeldeprozesse

Durch die Verwendung einer modernen Single-Sign-On Lösung werden alle globalen Anwendungen eines Unternehmens abgedeckt, ohne irgendwelches kundenspezifisches skripten. Dadurch wird der Zugriff für Mitarbeitende schneller und einfacher. Damit steigert sich die Benutzerzufriedenheit und es senken sich die Kosten von Passwort Reset Anrufen beim IT Help Desk.

Vereinfachung Compliance Reporting

Durch den Einsatz einer zentralen Single-Sign-On Lösung reduzieren sich die Kosten, um die Einhaltung der Compliance nachzuweisen. Dies durch das zentrale aufzeichnen der Anmeldevorgänge. Im Zusammenspiel mit einer Identitäts- und Zugriffsverwaltungslösung IAM lässt sich daher spielend leicht ermitteln wer, wann, wo Zugriff hatte und wann dieser genutzt wurde.

Email Kontakte Synchronisationen

In grösseren Unternehmen müssen bei Akquisitionen oder Zusammenschlüssen deren Adressdaten gegenseitig zur Verfügung gestellt werden, um eine effektive Zusammenarbeit gewährleisten zu können.

Die Kontaktesynchronisation ist dabei ein erster Schritt in Richtung Zusammenarbeit. Dabei können Kontakteinformationen und Verteilerlisten zwischen mehreren Active-Directories oder auch zu Lotus Notes und weiteren Mailsystemen synchronisiert werden. Dies ermöglicht den Benutzern (z.B. in Microsoft® Outlook®) in den einbezogenen Mailorganisationen Informationen über Benutzer und Gruppen der jeweils anderen Organisation zu nutzen. Eine Erweiterung zum Austausch der Frei/Gebucht-Zeiten ist möglich.

 

Einsatzszenarien

Unternehmensweit geteilte Mailsysteme

Ein Unternehmen hat eine internes und ein externes Mailsystem (z.B. für den Vertrieb). Die Mailobjekte des externen Mailsystems sollen im internen für die Benutzer verfügbar sein. Umgekehrt sollen möglicherweise auch die Vertriebsmitarbeiter die Mailadressen des internen Mailsystems (oder einer Untermenge daraus) sehen können.

Firmenübernahme

Nach einer Firmenübernahme müssen verschiedene Active-Directories und Mailsysteme integriert werden. Als Übergangslösung vor einer Zusammenführung der Mailsysteme oder als definitive Lösung kann eine Kontakte Synchronisation die einfache Zusammenarbeit ermöglichen. Alle oder Untermengen aller Mailobjekte sollen in der jeweils anderen Organisation zur Verfügung stehen.

Firma & Partner

Ein Unternehmen hat ein Partnerunternehmen, mit dem reger E-Mailaustausch stattfindet. Alle oder Untermengen aller Mailobjekte sollen in der jeweils anderen Organisation dem Benutzer zur Verfügung stehen.

Firmenübernahme

Ein Unternehmen möchte ein neues Mail System einführen und die Benutzer schrittweise migrieren. Es muss sichergestellt werden, dass alle migrierten Benutzer Mails an Benutzer im "alten" System senden können und umgekehrt.

Mit IAM am Puls der Zeit.
Kompetent. Innovativ. Verlässlich.

 

 

Haben Sie Fragen oder wünschen Referenzen?

 

 

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.