Identity-Management-Portale

Benutzerfreundliche Zugangskontrolle

| Autor: Dr. Andreas Bergler

Eine intelligente Identity-Management- und Zugriffskontrolllösung ist für den User nicht komplex.
Eine intelligente Identity-Management- und Zugriffskontrolllösung ist für den User nicht komplex. (Bild: © maxsim - Fotolia.com)

Identity and Access Management (IAM) ist für viele Unternehmen schlichtweg zu komplex geworden. „Das muss nicht sein“, meint Andreas Martin von FirstAttribute.

ITB: Was zeichnet für Sie eine intelligente IAM-Lösung aus?

Martin: Sie spart bewusst wenig nutzbringende Funktionen sowie komplizierte Konnektoren und Workflow-Prozesse mit fehleranfälligen Synchronisationen aus. Sie ist als Portal für Identity Management (IdM) mit integriertem Berechtigungs-Management ausgerichtet, in dem ein Benutzer-Self-Service eine zentrale Rolle spielt. Und sie überzeugt in Design und Sprache mit einer einfachen Bedieneroberfläche, in der technische Details für die User im Hintergrund bleiben und sie nur das zu sehen bekommen, was sie sehen sollen.

ITB: Aber wie können Unternehmen sicher sein, dass ihr IdM-Portal Funktionen ohne Mehrwert für die Benutzer von vornherein ausspart?

Martin: Bei FirstAttribute haben wir konsequent vorgearbeitet. In vielen Workshops mit Kunden, Software-Entwicklern und Beratern haben wir kritisch hinterfragt, was die Benutzer tatsächlich brauchen und welche Funktionen für das Unternehmen gewinnbringend eingesetzt werden können. Alle anderen Funktionen haben wir bereinigt oder erst gar nicht entwickelt. So haben wir die Komplexität bereits auf funktioneller Ebene reduziert.

ITB: Der Einsatz komplizierter Konnektoren und von Workflow-Prozessen erscheint mir innerhalb eines IAM-Systems als unausweichlich. Sie sagen aber, auch darauf könne in den meisten Fällen verzichtet werden. Wie ist das möglich?

Ergänzendes zum Thema
 
Identity-Management und Authentisierung
 
Zur Person

Martin: Indem innerhalb des IdM-Portals der Wahl Active Directory als zentraler Verzeichnisdienst zum Einsatz kommt, die Benutzerverwaltung von Active Directory genutzt wird und ein sogenannter Power Shell-Service in Aktion tritt. Über Active Directory als zentralem Verzeichnisdienst kann auf jedes AD-Objekt zugegriffen werden. Dadurch ist die Verwaltung nicht nur auf Identitäten und ihre Berechtigungen begrenzt, sondern sie bezieht auch andere Objekte wie Clients und Drucker ein. Nicht-Microsoft-Objekte können über Power Shell Extensions ins AD-Verzeichnis integriert werden. Viele Hersteller dieser Systeme bieten solche Power Shell Extensions mit an. Mit der Benutzerverwaltung von Active Directory können die Berechtigungen einfach und sicher mittels Rollen verwaltet werden. Das eröffnet unter anderem eine rollenbasierende Delegation von Verwaltungsaufgaben, die im Vergleich zu Genehmigungs-Workflows mit komplizierter Synchronisation erheblich einfacher und zudem fehlerfrei bewerkstelligt werden kann. Der Power Shell-Service übersetzt die Aktionen und Sprache der Oberfläche in die Strukturen, Logik und Formate der beteiligten Zielsysteme. Dadurch erspart er den Einsatz komplexer Konnektoren mit fehlerträchtigen Synchronisationen. Auch für die rollenbasierende Delegation von Verwaltungsaufgaben ist der Power-Shell-Service im Hintergrund die ausführende Instanz.

ITB: Sie haben eine konsequente Ausrichtung als IdM-Portal herausgehoben, in dem ein Benutzer-Self-Service eine zentrale Rolle spielt. Ist das nicht auch bei den klassischen und über die Zeit gewachsenen IAM-Suiten der aktuelle Stand der Technik?

Martin: Nein. Auf den ersten Blick verfügen sie zwar alle über ein Self-Service-Portal. Diese Portale sind aber nur eingeschränkt Self-Service-tauglich, weil sie nachträglich aufgesetzt wurden. Dies äußert sich für die Unternehmen darin, dass Änderungen durch die Benutzer oft erst nach Stunden in den Zielsystemen, angebunden über Konnektoren, synchronisiert werden. Anders, wenn direkt der Power Shell-Service in Aktion tritt. Dann werden die Änderungen ad hoc in die betroffenen Zielsysteme geschrieben. Die Änderungen sind damit sofort aktiv. Diese schnelle Umsetzung motiviert natürlich auch die Mitarbeiter, das Self-Service-Portal engagiert zu nutzen.

ITB: Inwieweit muss der Hersteller des IdM-Portals für eine einfache Bedieneroberfläche vorgearbeitet haben?

Martin: Die konsequente Reduzierung der technischen Komplexität kommt auch einer gut ersichtlichen Bedieneroberfläche zugute. Es bleibt mehr Raum für eine in Design und Sprache zeitgemäße Oberfläche, die die Benutzer organisations- und aufgabennah abholt. Mit Active Directory kommt hinzu, dass die Strukturen des zentralen Verzeichnisdienstes für die Benutzer und Administratoren ohnehin im Hintergrund bleiben. Zudem kann über die rollenbasierende Verwaltung und Delegation gesteuert werden, dass die Benutzer auf der Bedieneroberfläche nur das zu sehen bekommen, was sie zur Erfüllung ihrer Aufgaben brauchen. Die technische Umsetzung der Verwaltungs- und Delegationsaktivitäten ist in der darunterliegenden Active Directory-Schnittstelle implementiert. Sie können somit nicht aus der Oberfläche heraus beeinflusst oder manipuliert werden. Für das Unternehmen ist dies ein zusätzliches Sicherheitsfeature.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44296845 / Authentifizierung)