www.axalon.ch

Identity- & Access Management

Identity Management

Identity Management ist die Herausforderung des zentralen Verwaltens von Benutzerdaten. Dazu werden Personal Datendatenbank wie SAP HR als Identitätserzeugende Systeme angeschlossen. Für externe oder temporäre Mitarbeitende kann aber auch das Identity System selbst, mittels eines entsprechenden Userportals die Identitätserzeugende Instanz sein.
Identity Management

Weitere Systeme werden angeschlossen um die Identitäten mit weiteren Informationen anzureichern. Dabei werden die einzelnen Werte aus dem System genommen, welches für eine bestimmte Information die beste Qualität aufweist. Meist werden bsp. Mailadressen aus den Mailsystemen oder Telefonnummern aus der Telefonverwaltung dazugeschrieben.

Dabei wird jeweils auf der Identität eine entsprechende Verknüpfung zum Datensatz vom Umsystem hinterlegt, um später Datenaktualisierungen gezielt schreiben zu können. Auf die Synchronisation erfolgt meist eine Datenbereinigung, da zu diesem Zeitpunkt die Inkonsistenzen erstmals sichtbar werden.

Provisioning

Als weiteren Schritt werden von Systemen welche provisioniert werden sollen, die Berechtigungselemente ins Identity System synchronisiert und die Userverknüpfungen erstellt. Auch nach diesem Schritt ist meist eine Datenbereinigung notwendig, da oft Berechtigungen ohne Benutzer oder andere Inkonsistenzen sichtbar werden. Sobald dieser Schritt abgeschlossen ist kann die Provisionierung technisch betrachtet genutzt werden. An dieser Stelle angelangt erscheint die Anzahl der Berechtigungen enorm und unübersichtlich.

Es stellen sich Fragen wie:

  • Wie soll man da die notwendige Berechtigung finden?
  • Woher kommt die Information welcher Benutzer, welche Berechtigung benötigt?
  • Wie kann man Abhängigkeiten definieren (Anwendung X braucht ADS Gruppenmitgliedschaft Y)?
  • Können diese Berechtigung nicht konzentriert werden?

Ein Berechtigungskonzept (Rollenmodell) muss definiert werden um auf diese Fragen konkrete Lösungen bieten zu können. Dies wird vorzugsweise im Vorfeld der Provisionierung erarbeitet.

Berechtigungskonzept

Es gibt mehrer Verfahren wie dabei vorgegangen werden kann.

Aus den importieren Berechtigungen aus den Umsystemen werden sogenannte Anwendungsrollen definiert. Darunter versteht man das Zusammenfassen einzelner Berechtigungsobjekte von unterschiedlichen Umsystemen zu Anwendung Rollen.
Identity Management

Access Management

Access Management ist die Disziplin Berechtigungsobjekte dem User im Identity System zuzuordnen und die damit verbundenen Berechtigungen in den Umsystemen zu vergeben. Dabei können sowohl physikalische Umsysteme mit eigener Benutzer- und Berechtigungsverwaltung wie aber auch virtuelle welche den Identity Store dafür benutzen, bedient werden.

Die Vergabe der Berechtigungen kann auf verscheidenen Wegen erfolgen:

Manuell zugewiesen

Über ein entsprechendes Web GUI kann den Benutzer jedes Berechtigungs- oder Rollenobjekte zugewiesen werden. Dabei steht die Möglichkeit von Approval Workflows zur Verfügung, um Bestätigungen von Linienvorgesetzten oder Verantwortlichen des zugewiesenen Objektes einzuholen.

Regelbasiert

Anhand von Eigenschaften des Benutzers oder von zugeordneten Standorten, Firmen, Länder oder Abteilungen, können direkt Berechtigungs- oder Rollenobjekte zugeteilt werden.
Speziell die Variante der Zuordnung basierend auf zugeordneten Standorten, Firmen, Länder oder Abteilungen bietet den grossen Vorteil das bei einem Wechsel sofort die alten Berechtigungen entzogen und die neuen zugewiesen werden.

Rollenbasiert

Die rollenbasierte Zuweisung ist eine Art der regelbasierten Zuweisung. Über eine bspw. Vom HR dem Benutzer zugeteilte Rolle werden diesem automatisch gewisse Berechtigungen vergeben.
Dies bedingt eine enge Koordination und das Bewusstsein der HR Mitarbeiter wie die Zusammenhänge hinterlegt sind.


Weiterführende Informationen:

Hersteller:
Atos Identity & Access Management
Microsoft Forefront Identity Manager

Analysten Berichte:
Kuppinger & Cole

 
Sie befinden sich: Home Identity- & Access Management
LösungenLösungenLösungenLösungen