Das Identity Management verwaltet Personendaten und damit verbundene Zugrifsrechte für die Informatik Infrastruktur. Als Basis werden Stammdaten für die unterschiedlichen Zielsysteme zur Verfügung gestellt. Es verwaltet die individuellen Personen, reichert diese mit Daten an und stellt sie für die IT-Umgebung bereit. Des weiteren bietet das Identity Management Benutzeroberflächen um Personenbezogene konfigurationen wie die Beantragung von Zugriffsrechten, das ändern von Passworten oder die modifikation von spezifischen Daten vorzunehmen.
Die Prüfung von Benutzerrechten setzt das Vorhandenseins von klaren Identitäten voraus. Identity Management bietet aber mehr als reine Sicherheitsfunktionen. Es bietet eine einheitliche Plattform zur Integration verschiedenster Applikationen und Verzeichnisse, zur bereitstellung Plattformübergreifender Personendaten von Mitarbeitern, Kunden, Lieferanten etc.
Jede Firma muss Identitäten, Autorisierungen und User Accounts verwalten, ob dies nun rein manuell oder hoch automatisiert erfolgt - Die Wirklichkeit liegt oft in der Mitte.
Autorisierungen der Zielsysteme, meist Gruppen oder Rollen, werden vom Identity Manager verwaltet. Der Identity Manager teilt Zugriffsrechte aufgrund von User Requests zu, oft in Zusammenspiel mit sogenannten Approval-Workflows (Genehmigung). Berechtigungen können aber auch automatisiert vergeben werden, aufgrund zugrundeliegender Rollenkonzepten und Regeln. Ob einzelne Zugriffe per Ersuchen (Request) oder per Regelwerk vergeben werden, unterliegt einer fallspezifisch Beurteilung, eine Kombination ist zwar möglich, erhöht aber die komplexität erheblich.
Die Segregation of Duty oder auch Separation of Duty genannt, ist eine Kernaufgabe der IT-Governance und dafür da die Integrität von Zuständigkeiten im Betrieb sicherzustellen. Diese kann forcierend oder alarmierend zum Einsatz kommen, wobei letzterem meist der Vorzug aufgrund der Business Kontinuität gegeben wird. Der häufigste Einsatz findet in der Trennung von Ausführender und kontrollierender Instanz statt. Es geht darum, dass z.B. die Rolle des Bestellers und des entsprechenden Controllers nicht derselben Person zugeteilt wird. In der Praxis können aber auch solche Fälle nicht komplett ausgeschlossen werden, gerade wenn es um Stellvertreterregelungen in kleineren Firmeneinheiten geht.
Unter Rollenkonzepten versteht man die kumulierung mererer authorisierungen meist über verschiedene Zielsysteme hinweg. Mittels Job-Rollen werden Authorisierungskonzepte für gewisse Positionen überschaubarer. Dies gestaltet die Handhabung und Übersichtlichkeit simpler und erlaubt simple Abstraktion von komplexen Berechtigungen, damit diese für Mitarbeiter greifbar werden.
Dies ist ein Konzept um Temporär zusätzliche Autorisierungsrechte zu erlangen. Gegenüber dem Identity Manager authentifiziert man sich mit seinem persönlichen Benutzerkonto und erlangt so die Zugangsrechte zu einem Konto mit erhöhten Rechten. Das Privileged IAM kann direkt in den Authentifizierungsmechanismus eingebaut werden, um ein nahtloses Login zu erzielen, es kann aber auch ganz simpel eine Benutzeroberfläche stellen, um ein temporäres Passwort für ein bestimmtes Konto zu lösen. Der Nutzen von Privileged IAM wird selten in dem Umfang wahrgenommen den es bietet. Folgende Anwendungsfälle gilt es zu erwähnen:
- Zentrale übersicht, wann genau sich welcher Benutzer an welchem System angemeldet hatte.
- Sporadisch genutzte Rechte werden für einen klar definierten Zeitraum zugeteilt. Ein Paradebeispiel ist der externe Auditor, der während drei Tagen allumfassende Rechte im ERP benötigt oder ein IT-Spezialist, der vierteljährlich updates auf allen Serversystemen durchführt.
- Das zentrale Abspeichern von Passworten wird obsolet. Der Benutzer bekommt entweder das tatsächliche Passwort nie zu Gesicht oder es wird nach Gebrauch wieder automatisch verändert.
- Die Benutzer arbeiten immer nur mit den nötigen Rechten, was sie vor Fehlmanipulationen an unbeteiligten Systemen schützt. Nicht auszudenken was ein globaler Administrator beim versehentlichen aktivieren eines Viruses anrichten kann.
- Sporadische Benutzer arbeiten mit geteilten Benutzerkonten, was lizenztechnisch interessant sein kann oder den Administrationsaufwand der Benutzerverwaltung mindert. Trotz dem Accountsharing, weiss man aber genau, wann welche Person den entsprechenden Account genutzt hatte.
Privileged Identity Management kann mit proaktiver Information verbunden werden, z.B. eine Info im Falle von Login an kritischen Systemen. Oft wird auch ein Monitoring auf den Zielsystemen eingerichtet, damit die aktivitäten auf den Servern genau nachvollzogen werden können. Dies geschieht per Video Aufzeichnung, die im Normalfall mit Klartextsuche verbunden wird. Eine Funktion die nach anfänglicher Skepsis von Administratoren oft geschätzt wird, da Sie Ihre eigenen Schritte nachvollziehen und zu Dokumentationszwecken ablegen können.
Zurück zu Identity & Access Management
