Das IAM leistet mit einer zentralisierten Verwaltung von Identitäten und Zugriffsberechtigungen eine effiziente Lösung für Unternehmen.

Es stellt sicher, dass Zugriffsberechtigungen den internen und externen Richtlinien entsprechen. Es verhindert, dass aufgrund vieler einzelner, dezentraler Freigabe- und Berechtigungsprozesse der Überblick über die Identitäten und Zugriffsrechte verloren geht. Die User und deren Berechtigungen werden einer klaren Struktur unterworfen und lassen sich zentral verwalten. Dies minimiert Risiken durch unbefugte Zugriffe interner aber auch externer User wie Kunden oder Partner.

Die IAM-Systeme sorgen für eine Vereinfachung der Erfassung und automatisieren die Authentifizierung und Autorisierung der User. So kann sichergestellt werden, dass die erteilten Zugriffsrechte der tatsächlichen Rolle des Benutzers im Unternehmen entsprechen. Dank Self-Service-Schnittstellen für die Benutzer und automatischer Prozesse minimiert sich der Aufwand für die Administration.

Identitätsdaten Verwaltung (Identity Management)

 

Identity Management ist die Herausforderung des zentralen Verwaltens von Identitätsdaten. Dies ist der zentrale Grundstein jeder IAM Lösung und muss dementsprechend klar definiert sein.

Zuerst muss bestimmt werden, welche Typen von Identitäten im Unternehmen vorhanden und wie deren Prozesse sind. Gängige Identitätstypen sind: Mitarbeitende, Externe, Partner, Administratoren, Funktionale User, Gruppen Mailboxen, Service User und Test User. Gängige Prozesse dieser Typen sind: Eintritt, Austritt, Übertritt, Namenswechsel, Temporäre Suspendierung, Wechsel des Typs.

Für viele Identitätstypen ist die Personal-Datendatenbank wie SAP HR als Identität erzeugendes System (autoritative Quelle) angeschlossen. Für externe oder temporäre Mitarbeitende kann aber auch das Identity-System selbst mittels eines entsprechenden Userportals die Identitätserzeugende Instanz sein.

Einige Identitätstypen sind vom Lebenszyklus an die Hauptidentität gekoppelt. Z.B. ein persönlicher Administrations-User, welcher beendet werden soll, wenn der Mitarbeitende das Unternehmen verlässt. Bei anderen ist beim Austritt nur ein Besitzerwechsel notwendig. Die Identität bleibt weiter erhalten, z.B. bei Gruppen-Mailboxen.

Weitere Systeme werden angeschlossen, um die Identitäten mit weiteren Informationen anzureichern. Dabei werden einzelne Werte aus dem System genommen, welche für eine bestimmte Information die beste Qualität aufweist. Oft werden Mailadressen aus den Mailsystemen oder Telefonnummern aus der Telefonverwaltung dazugeschrieben. Dabei wird jeweils auf der Identität eine entsprechende Verknüpfung zum Datensatz vom Umsystem hinterlegt, um später Datenaktualisierungen gezielt schreiben zu können. Auf die Synchronisation erfolgt eine Datenbereinigung, da zu diesem Zeitpunkt die Inkonsistenzen erstmals sichtbar werden.

Der Lebenszyklus einer Identität ist oft abhängig vom Typ und weist grundlegende Merkmale auf.

 

Vorerfassung

Oft werden die Identitäten vor dem eigentlichen Eintritt des Users erfasst, um damit den vorgängigen Ausrüstungsprozess unterstützen zu können. Dies bedingt eine Identitätsquelle, welche solche Übertritte vorankündigen kann.

vorerfassung

 

Eintritt

Beim Beginn einer Anstellung wird die Identität aktiv geschaltet. Oft ist damit auch ein Prozess für das Initialpasswort verbunden.

 

Temporäre Suspendierung

Wird eine Identität über eine definierte Zeit nicht benötigt, kann diese deaktiviert werden. Solche Prozesse trifft man bei Sabbaticals, Mutterschaftsurlaub oder bei normalerweise deaktivierten Partner Accounts an.

 

Übertritt

Bei einem Übertritt von der Anstellung bei der Abteilung A zu Abteilung B kann dies oft nicht einfach zu einem Stichtag erfolgen. Es Bedarf einer Logik, wo die Identität für die neue Abteilung B bereits aufgebaut werden kann. Um laufende Arbeiten abzuschliessen, wird vor dem Übertritt die Identität der Abteilung A zeitlich begrenzt noch aktiv weitergeführt. Dies erfordert vom Identity Management entsprechende Prozesse und Möglichkeiten, welche die Identitätsquelle für solche Übertritte vorankündigen kann.

uebertritt

 

Austritt

Ein Austritt kann durch das Erreichen des Enddatums einer Identität sein. Oder weil sie bei einer zyklischen Überprüfung der Identität nicht mehr bestätigt wurde. Länger nicht mehr benutzte Identitäten können ebenfalls in diesen Status überführt werden. Dies ist aber mit Vorsicht zu nutzen. Beim Austritt wird üblicherweise eine Identität erst nur deaktiviert und eine Nachhalteperiode (Retention) eingeleitet. Dabei bleiben die Rechte zugewiesen, um so eine schnelle Reaktivierung ermöglichen zu können.

 

Nachhalteperiode Retention

Da in dieser Phase die Rechte noch vorhanden sind, kann die Identität schnell wieder reaktiviert werden, sollte sich der Austritt als falsch herausstellen.

 

Löschung

Eine Identität, welche nach der Nachhalteperiode steht, muss gemäss DSGVO aus dem System gelöscht, pseudonymisiert oder anonymisiert werden. Daher ist diesem Schritt nun mehr Beachtung zu schenken, da die Identitäten in früheren Zeiten oft endlos im System verblieben sind zur Nachverfolgbarkeit.

 

Berechtigungsverwaltung & Zuweisung

Berechtigungs-Elemente müssen selbst verwaltet werden. Dabei können Rollenmodellierungswerkzeuge helfen, passende Rollen zu definieren und aktuell zu halten. Es müssen klare Besitzerverhältnisse und Veränderungsprozesse definiert werden. Veränderungen von Berechtigungs-Strukturen müssen von den Besitzern geprüft werden.

Die Zuweisung einer Berechtigung zur Identität kann über folgende Möglichkeiten erfolgen:

 

1. Regelbasiert

Anhand definierbarer Regeln, welche Identitäts-Attribute zur Entscheidung nutzen, können Berechtigungen regelbasiert vergeben werden. Solche Zuweisungen können nicht abbestellt werden und eine Rezertifizierung macht dafür keinen Sinn.

2. Rollenbasiert

Die rollenbasierte Zuweisung ist eine Art der regelbasierten Zuweisung. Beispiel: Mit einer vom HR zugeteilte Rolle an einen Benutzer werden automatisch gewisse Berechtigungen vergeben. Dies bedingt eine enge Koordination und das Bewusstsein der HR Mitarbeiter, wie die Zusammenhänge hinterlegt sind.

3. Vererbt von Business-Objekten

Als Business-Objekte werden Objekte bezeichnet, welche mit Identitäten verbunden sind. Z.B. Firmen, Abteilungen, Projekte. Abhängig von diesen Objekten können den Identitäten gewisse Berechtigungen zugewiesen werden. Solche Zuweisungen können nicht abbestellt werden und eine Rezertifizierung macht dafür keinen Sinn.

4. Geburtsrechte

In gewissen Fällen will man einer neu eintretenden Identität automatisch gewisse Berechtigungen zuweisen. Es soll aber möglich sein, diese Rechte abzubestellen, wenn diese zum Beispiel nicht benötigt werden, aber Kosten verursachen. Die Zuweisung von Geburtsrechten kann in Abhängigkeit von Regeln oder Business-Objekten erfolgen. Eine Rezertifizierung solcher Zuweisungen kann hier sinnvoll sein.

5. Manuell bestellt

Berechtigungen können manuell bestellt werden. Allenfalls versehen mit den notwendigen Approval-Steps werden die Rechte anschliessend direkt zugewiesen. Solche Zuweisungen können abbestellt werden und eine Rezertifizierung kann hier sinnvoll sein.

Provisionierung

Die Identitäts- und Berechtigungsdaten sollen mit den im Unternehmen vorhandenen Umsysteme provisioniert und validiert werden. Dazu stellen die meisten Produkte spezifische Konnektoren zur Verfügung oder es können basierend auf dem Produkteframework spezifische programmiert werden.

Bei der Provisionierung ist wichtig, dass nebst von Neuanlegungen und Austritten, die vorhandenen Daten aktualisiert und nachgezogen werden, um einen konsistenten Datenbestand gewährleisten zu können.

Identitäten, welche in den Umsystemen vorhanden sind, aber nicht zu einer Identität zugewiesen werden können, müssen bereinigt oder entsprechend als selbstverwaltet markiert werden.

Die Provisionierung erfolgt dabei meist Ereignis getrieben, wobei die Validierung zeitgesteuert erfolgt.

Berechtigung

Wie soll man da die notwendige Berechtigung finden?

Benutzer

Woher kommt die Information welcher Benutzer, welche Berechtigung benötigt?

Abhängigkeit

Wie kann man Abhängigkeiten definieren (Anwendung X braucht ADS Gruppenmitgliedschaft Y)?

Konzentration

Können diese Berechtigung nicht konzentriert werden?

Compliance und Governance

Die Zahl der Auflagen und Bestimmungen für Firmen ist stetig steigend, anspruchsvoll und sie reichen von der DSGVO/GDPR bis zu den entsprechenden Anforderungen der Finanzaufsichtsbehörde in der Schweiz (FINMA).

Darunter fallen unter anderem die wichtigen Überprüfungen der Zugriffsberechtigungen auf Anwendungen und IT-Systeme. Diese Berechtigungen müssen regelmässig überprüft werden und es muss ein definierter Prozess zur Vergabe von Berechtigungen vorliegen. Weiter ist sicherzustellen, dass jeder Mitarbeitende nur über die Rechte verfügt, über die er nach seiner Tätigkeit und Funktion im Unternehmen verfügen darf/muss.

Hier helfen die folgenden Funktionen:

Rezertifizierung

Zyklische oder durch eine Veränderung angestossene Überprüfung der Berechtigung aus Sicht der Berechtigung. Im Sinne von, lieber Berechtigungsbesitzer - brauchen die hier angezeigten Benutzer weiterhin diese Berechtigung?

Daraufhin kann er mit Ja/Nein antworten und löst im Anschluss die entsprechende Aktion aus.

Solche Tasks können auch auf verschiedene verantwortliche Personen verteilt, weitergereicht/delegiert werden. Jedoch ist es pro Zuweisung immer eine einzelne verantwortliche Person, die entscheiden muss.

Reapproval

Zyklische Überprüfung einer Berechtigungszuweisung. Im Sinne von, lieber Berechtigungsbesitzer - braucht der User diese Berechtigung weiterhin? Daraufhin kann er mit Ja/Nein antworten und löst im Anschluss die entsprechende Aktion aus.

Solche zyklischen Überprüfungen müssen veränderungssicher, in einer für Auditoren lesbaren Form auswertbar sein und entsprechend nachgehalten werden.

Audit und Reporting

Zum Nachweis von Rechenschaftspflichten und zur Berichterstattung über die Ergebnisse von IAM-Aktivitäten müssen Audit-Daten erzeugt und nachgehalten werden. Wie von den massgeblichen Vorschriften gefordert, dient dies zur Darstellung, wie die Steuerung der Geschäftsprozesse hinsichtlich der Benutzerzugriffe und Berechtigungen erfolgt.

In regelmäßigen Abständen oder bei Bedarf müssen Reports zum aktuellen Status und zur Historie von Informationen in den Datenhaltungen erzeugt werden können.

Die Audit-Daten sowie die historischen Daten, die von den IAM-Komponenten erzeugt werden, helfen dabei, die Fragen zu beantworten, die von Auditoren zum Nachweis der Einhaltung der Compliance gestellt werden. Bisher müssen für Fragen der Art “Wer hat im letzten Monat auf Finanzdaten zugegriffen?”, “Wer hat den Benutzern dafür Zugriffsrechte gegeben?” und “Wer hat diese Rechte genehmigt?” Audit- und historische Daten aus mehreren Anwendungen ausgewertet werden. Unterschiedliche Audit-Formate, verschiedene Benutzer-Identitäten derselben Person sowie parallele Zeitstränge in den einzelnen Anwendungen erschweren diese Auswertungen erheblich und machen sie kostenintensiv.

Basierend auf historischen Identitätsdaten und aufgezeichneten Aktivitäten aus den Identity und Access Management Prozessen ermöglicht ein Audit-System die Beantwortung der “Was, Wann, Wo, Wer und Warum”-Fragen bei Benutzerzugriffen und Berechtigungen.

Single Sign-On

Unter (Web) Single Sign-On verstehen wir, dass ein Client nach einmaliger Anmeldung automatisch auch Zugriff auf weitere Ressourcen oder Informationen - für die er berechtigt ist - erhält. Dabei wird nach Sicherheitsklassifizierung der Ressource bzw. Information unterschieden und diese entsprechend geschützt.

 

Vorteile

  • Einmalige Anmeldung des Clients (Benutzers oder Services) an der Web-Applikation oder dem Web-Service
  • Verbesserung der Compliance – Zentrale, Auditierbarkeit nach dem Prinzip Wer, Was, Wann, Wo und Warum?
  • Zentrale Definition der Authentisierungsstärke für die Ressourcen, welche in Web-SSO integriert sind
  • Mehrfache Accounterfassung in den Systemen sind (oft) nicht mehr notwendig, z.B. durch die Verwendung von Identity- und Serviceprovidern
  • Realisierbarkeit des Zugriffschutzes von Web-Services für Machine to Machine (SOAP) Kommunikation, unabhängig vom Web-Service-Transportprotokoll (http, smtp etc.)
 

Passwort Synchronisation

Passwort Synchronisation ist eine Vorstufe des Single Sign-On. Der Ansatz versucht, über alle Anwendungen dasselbe Passwort zu verwenden. Dabei wird das Passwort von einem Mastersystem (meist Windows Anmeldeserver) abgegriffen und über geschütztem Wege in eine Vielzahl von Zielsystemen geschrieben. Durch die reduzierte Anzahl und Verwendungshäufigkeit ist es für einen Benutzer einfacher ein sicheres Passwort zu wählen und zu merken. Dies steigert die Benutzerfreundlichkeit und verringert die Anrufe im Helpdesk.

 
 

Lösung

Eine vollumfänglich Single Sign-On Lösung setzt sich aus mehreren Teilen zusammen.

Ein Angreifer, der die Zugangsdaten hat, hat damit auf alle angeschlossenen Systeme automatisch Zugang. Daher wird in den meisten Fällen der unsichere Anmeldevorgang, wie der Windows Desktop oder VPN, durch den Einsatz von verschiedenen starken Authentifizierungsmechanismen ersetzt. Dabei wird ein breites Spektrum an Optionen angeboten wie biometrische Daten, SmartCards, One-Time-Password (OTP) Token oder verschiedene Proximity Cards.

Facescan

facescan

Smartcard

smartcard

OTP Token

op token

Fingerprint

fingerprint

Anpassen der Anmeldeprozesse

Durch die Verwendung einer modernen Single-Sign-On Lösung werden alle globalen Anwendungen eines Unternehmens abgedeckt, ohne irgendwelches kundenspezifisches skripten. Dadurch wird der Zugriff für Mitarbeitende schneller und einfacher. Damit steigert sich die Benutzerzufriedenheit und es senken sich die Kosten von Passwort Reset Anrufen beim IT Help Desk.

Vereinfachung des Compliance Reporting

Durch den Einsatz einer zentralen Single-Sign-On Lösung reduzieren sich die Kosten, um die Einhaltung der Compliance nachzuweisen. Dies durch das zentrale aufzeichnen der Anmeldevorgänge. Im Zusammenspiel mit einer Identitäts- und Zugriffsverwaltungslösung IAM lässt sich daher spielend leicht ermitteln wer, wann, wo Zugriff hatte und wann dieser genutzt wurde.

Email Kontakte Synchronisationen

In grösseren Unternehmen müssen bei Akquisitionen oder Zusammenschlüssen deren Adressdaten gegenseitig zur Verfügung gestellt werden, um eine effektive Zusammenarbeit gewährleisten zu können.

Die Kontaktesynchronisation ist dabei ein erster Schritt in Richtung Zusammenarbeit. Dabei können Kontakteinformationen und Verteilerlisten zwischen mehreren Active-Directories oder auch zu Lotus Notes und weiteren Mailsystemen synchronisiert werden. Dies ermöglicht den Benutzern (z.B. in Microsoft® Outlook®) in den einbezogenen Mailorganisationen Informationen über Benutzer und Gruppen der jeweils anderen Organisation zu nutzen. Eine Erweiterung zum Austausch der Frei/Gebucht-Zeiten ist möglich.

 

Einsatzszenarien

Unternehmensweit geteilte Mailsysteme

Ein Unternehmen hat eine internes und ein externes Mailsystem (z.B. für den Vertrieb). Die Mailobjekte des externen Mailsystems sollen im internen für die Benutzer verfügbar sein. Umgekehrt sollen möglicherweise auch die Vertriebsmitarbeiter die Mailadressen des internen Mailsystems (oder einer Untermenge daraus) sehen können.

Firmenübernahme

Nach einer Firmenübernahme müssen verschiedene Active-Directories und Mailsysteme integriert werden. Als Übergangslösung vor einer Zusammenführung der Mailsysteme oder als definitive Lösung kann eine Kontakte Synchronisation die einfache Zusammenarbeit ermöglichen. Alle oder Untermengen aller Mailobjekte sollen in der jeweils anderen Organisation zur Verfügung stehen.

Firma & Partner

Ein Unternehmen hat ein Partnerunternehmen, mit dem reger E-Mailaustausch gemacht wird. Alle oder Untermengen aller Mailobjekte sollen in der jeweils anderen Organisation dem Benutzer zur Verfügung stehen.

Firmenübernahme

Ein Unternehmen möchte ein neues Mail System einführen und die Benutzer schrittweise migrieren. Es muss sichergestellt werden, dass alle migrierten Benutzer Mails an Benutzer im "alten" System senden können und umgekehrt.

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.