Das Ziel von modernen Identity- und Access Management Systemen (kurz: IAM-Systemen) liegt darin, nicht nur die Benutzerverwaltung und deren Prozesse zu verwalten, sondern auch die darin verwalteten Ressourcen und Berechtigungen effizient und bedarfsgerecht zu verteilen und auch zu entfernen. Dies geschieht in der Regel über sogenannte Rollen, in denen die notwendigen Ressourcen und Berechtigungen zusammengefasst werden. In den meisten Fällen befindet sich die Erfahrung darüber, wer welche Ressourcen zugewiesen und auch wieder entzogen bekommen soll, in den Köpfen der IT-Administratoren sowie der Fach- und Systemverantwortlichen. Und dieses Wissen wird erst abgerufen, wenn eine Veränderungsmitteilung zu einer Person oder deren Neueintritt bzw. Austritt vorliegt. In vielen Fällen kommt dann noch eine zeitliche Verzögerung dazu, weil „gerade etwas Wichtigeres dazwischengekommen ist“.
Um diesem Zustand entgegenzuwirken und ihn einheitlicher und schneller zu gestalten, bieten moderne IAM-Systeme Funktionen an, um dieses Wissen in ein Regelwerk zu transferieren und die oben beschriebenen Prozesse zu automatisieren.
Die Vorteile eines solchen Regelwerkes liegen auf der Hand:
- Das Wissen aus den Köpfen der Mitarbeiter ist in einem Regelwerk dokumentiert
- Die Zuweisung/ der Entzug von Ressourcen findet automatisiert statt
- Jeder Vorgang ist lückenlos dokumentiert
- Der Wegfall von wiederkehrenden Arbeiten schafft Zeit und Ressourcen für andere Projekte
- Regelgesteuertes Ressourcenmanagement verhindert einen Wildwuchs und das Sammeln von Berechtigungen und Zugriffen.
Doch wie funktioniert das Regelwerk eigentlich? Das wollen wir uns im Folgenden genauer anschauen.
Rolle heißt das Zauberwort
Rolle, auch Rollenprofile genannt, sind am ehesten mit einen Rollenpaket oder Ressourcenpaket zu vergleichen. Dabei handelt es sich um eine Zusammenstellung von IT-Ressourcen (Hardware, Software, Postfächer, Benutzeraccounts, …), Berechtigungen (Verzeichniszugriffe, Zugriffe auf Fremdsysteme, …) sowie non-IT-Assets (Schlüssel, Zugangskarten, Arbeitskleidung, Werkzeuge, …), welche zu einer logischen Einheit oder einer Rolle gehören. Diese Pakete können dann den Personen zugeordnet werden, welche zu der logischen Einheit gehören.
Moderne IAM-Systeme, wie tenfold, erweitern dieses Konstrukt, in dem sie diese Rollen/ Profile einer oder mehreren Personen automatisch zuordnen und auch automatisch wieder entziehen können. Das dazugehörige Regelwerk basiert auf sogenannten Feldregeln. Dabei werden die Stammdaten einer jeden Person bei einer erkannten Änderung analysiert und die entsprechende Rolle (oder Profil) zugewiesen oder entzogen.
Ein Beispiel:
Ein neuer interner Mitarbeiter bekommt die Rolle des Entwicklungsleiters in Berlin zugewiesen.
Das zugehörige Regelwerk in diesem Fall würde wir folgt aussehen:
- Personenart = Mitarbeiter
- Niederlassung = Berlin
- Abteilung = Entwicklung
- Position = Leitung
Diese sogenannte Feldregel bildet genau unser Beispielszenario ab und würde dann dem entsprechenden Profil für die Rolle des Entwicklungsleiters in Berlin zugewiesen werden. Damit würde das IAM-System bei jeder Personenanlage oder -änderung prüfen, ob die gerade betroffene Person in Ihren Stammdaten die erforderlichen Werte aufweisen kann.
Wenn ja, dann bekommt sie die Rolle zugewiesen und damit auch alle im „Paket“ hinterlegten Ressourcen und Berechtigungen.
Im anderen Fall würde die Rolle entweder ignoriert oder entzogen werden (wenn es zuvor einmal zugewiesen wurde).
Mit diesem Beispiel haben wir genau einen Fall abgedeckt, der sehr spezifisch auf die Rolle eines Entwicklungsleiters an einem bestimmten Standort abgestimmt war.
Erfahrungsgemäß gibt es in Unternehmen auch zahlreiche „allgemeine“ Ressourcen, die einem größeren Personenkreis zugewiesen werden sollen.
Auch das stellt für moderne IAM-Systeme, wie tenfold, kein Problem dar. Man definiert einfach die entsprechenden Feldregeln und weist diese den dazugehörigen Rollen/ Profilen zu.
Ganz konkret geht man dabei einer einfachen Strategie nach:
MERKE: Vom großen Allgemeinen hin zum kleinsten Detail.
Doch was bedeutet das genau?
Man baut sich für jeden Personenkreis, von dem man weiß, dass dieser eine oder mehrere Ressourcen oder Berechtigungen immer zugewiesen bekommen soll, eine entsprechende Rolle.
Beispiele:
- Eine Rolle für ALLE verwalteten Personen (interne Mitarbeiter, Dienstleister, Admin-Accounts, Service-Accounts, …)
- Eine Rolle für jede Personenart (interne Mitarbeiter, Dienstleister, Admin-Accounts, …)
- Eine Rolle für jede Niederlassung (Berlin, Hamburg, München, …)
- Eine Rolle für jede Abteilung einer jeden Niederlassung (HR, IT, Produktion, Entwicklung, …)
- Eine Rolle für jede Leitungsposition/Rolle (Abteilungsleiter, Teamleiter, Oberarzt, …)
Somit wird es zwangläufig den Effekt geben, dass ein Mitarbeiter in unserem Beispiel unter Umständen bis zu 5 Rollen automatisch zugewiesen bekommt. Aber das muss nicht zwingend falsch sein, sofern die zusammengefassten Ressourcen und Berechtigungen der zugewiesenen Rollen genau das abbilden, was die Vorgaben verlangen und was der Erfahrung der Fach- und Systemverantwortlichen entspricht.
Dabei zeigt die Erfahrung auch, dass es bei den Rollen der größeren Personenkreise seltener zu Änderungen an den Rollen- und Ressourcenzuordnungen kommt, als bei den kleineren Personengruppen.
Sehr häufig wird beim Aufbau von Rollen oder Profilen das Ziel verfolgt, das Organigramm des Unternehmens abzubilden. Das ist eine gute Grundlage für die Paketierung von Ressourcen und Berechtigungen.
IAM-Systeme bieten auch häufig Assistenten, um die gemeinsame Menge an Ressourcen für einen bestimmten Personenkreis zu ermitteln. Zusammen mit den Erfahrungen der Fach- und Systemverantwortlichen ist es damit noch einfacher, den Rollenaufbau voranzutreiben.
Jedoch sind die Erstellung und Befüllung der Rollen nur der eine Teil. Um effizient mit den Rollen zu arbeiten, bedarf es eines sauberen und detaillierten Regelwerkes. Wie man dieses aufbauen kann, schauen wir uns im Folgenden genauer an.
Laden Sie unser Whitepaper herunter!
Darin erfahren Sie alle notwendigen Schritte zur erfolgreichen Implementierung eines IAM Systems.
Feldregeln - wie baut man sie auf?
Wie wir bereits oben erfahren haben, basiert das Regelwerk, die Zuweisungsautomatik auf sogenannten Feldregeln. Diese Regeln prüfen bei jeder Personenänderung die Stammdaten, welche einer Person besitzt.
Nun stellt sich die Frage, wie man diese Regeln effektiv aufbaut, um einerseits seine Anforderungen abzubilden und nicht von der Menge der Regeln überschüttet zu werden und andererseits eine Flexibilität beim Umgang und Einsatz der Feldregeln zu erhalten?
Vorab sei gesagt, dass es dafür keine goldene Regel gibt und die Anforderungen von Umgebung zu Umgebung unterschiedlich sein können. Moderne IAM-Systeme, wie z.B. tenfold, sind in dieser Hinsicht sehr flexibel und in der Lage, sich an nahezu alle Gegebenheiten anzupassen.
Wir wollen an dieser Stelle die drei gängigsten Varianten für den Aufbau und Einsatz von Feldregeln betrachten.
Zusammengesetzte Regeln
Diese Variante besteht darin, alle notwendigen Prüfungen der Stammdaten in eine einzige Feldregel zu hinterlegen. Bezugnehmend auf das oben genannte Beispiel würden dann eine Regel so aussehen:
Damit kann man diese eine spezifizierte Regel der dazugehörigen Rolle zuweisen. Das würde am Beispiel von tenfold so aussehen:
Kurze, einzelne Regeln
Als Alternative kann man viele kleine Regeln aufbauen, die immer nur einen Stammdatentyp abfragen. z.B. so:
Damit schafft man sich Flexibilität beim Einsatz von Regeln in den Rollen. Man muss nicht, wie bei der ersten Variante, die ganze Regel austauschen/erweitern, sondern nur einen Teil. Auch die Anzahl der Regeln ist bei dieser Variante geringer.
In einem Profil kann das Regelwerk dann wie folgt aussehen:
Suchen Sie eine professionelle Beratung?
Benötigen Sie Unterstützung bei der Einführung eines IAM Systems? Sprechen Sie uns gerne an!
Gemischte Regeln
Die letzte Variante für den Aufbau von Feldregeln ist eine Kombination der beiden oberen Varianten. Man baut sich bis zu einer bestimmten Stammdatenebene eine kombinierte Regel auf und ergänzt sie dann durch eine kleinere Regel, z.B. so:
Somit könnte man seine Abteilungsregeln detailliert und genau abbilden und damit sein Abteilungsprofil bestücken. Das Profil für die Leitungsebene bedient sich der gleichen detaillierten Abteilungsregel, wird aber um eine kleine Regel für die Position erweitert und verändert.
Welche der drei Varianten die Beste ist, muss jeder für sich und seine Anforderungen selbst entscheiden.
Zusammenfassend lässt sich festhalten, dass Profile ein gutes Werkzeug sind, um wiederkehrende Aufgaben zu automatisieren, Rollen abzubilden und Ressourcen und Berechtigungen bedarfsgerecht und zum richtigen Zeitpunkt zu vergeben/entziehen. Dadurch entlasten Sie zusätzlich Ihre IT, welche sich um administrative Projekte und Aufgaben kümmern kann. Durch das resultierende Regelwerk werden auch die Erfahrungen der Fach- und Systemverantwortlichen digital abgebildet und finden damit einen zentralen Platz im Konzept der Benutzer- und Ressourcenverwaltung.
