Beta Systems SAM Enterprise Erweitertes Identity- und Access-Management dank Rollen-Verwaltung

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Die Verwaltung der Anwender, ihrer Rollen und Berechtigungen über alle IT-Systeme und Verzeichnisdienste hinweg ist eine komplexe Aufgabe. Dieser Beitrag widmet sich dem SAM Enterprise Identity Manager von Beta Systems, einer umfassenden Identity-Management-Suite.

Firma zum Thema

Rollenspiel: Der SAM Enterprise Identity Manager von Beta Systems unterstützt jetzt auch Rollen-basierende Berechtigungskonzepte.
Rollenspiel: Der SAM Enterprise Identity Manager von Beta Systems unterstützt jetzt auch Rollen-basierende Berechtigungskonzepte.
( Archiv: Vogel Business Media )

Das deutsche Unternehmen Beta Systems zählt zu den weltweit etablierten Lösungsanbietern im Bereich Identity- und Access-Management (IAM). Der Hersteller hat das Flaggschiff-Produkt SAM funktional erneuert.

Mit dem SAM Enterprise Identity Manager liefert Beta Systems einen umfassenden Ansatz zur Benutzerverwaltung und den angrenzenden Aufgaben. Die Identity-Management-Suite umfasst die Funktionsblöcke des User-Managements samt Benutzerrechte-Verwaltung, die Administration von Rollen und Passworten sowie weitere wichtige Funktionalitäten.

Bildergalerie

Das Verwaltungstool spannt dabei den Bogen von der RACF-Administration der Mainframes bis hin zum Active Directory von Windows. Die über 20 Konnektoren integrieren dabei alle gängigen Systeme. Unterlegt mit Workflows und automatisierten Prozessen liefert das Toolset damit eine Grundlage für eine effiziente Benutzer- und Rechteverwaltung.

Die Weiterentwicklung zu SAM Enterprise

Die Rechte, die der Benutzer im Umgang mit den Applikationen und Daten erhält, werden dabei an Rollen gebunden. Ein Mitarbeiter erhält in der Regel immer eine oder mehrere Rollen zugewiesen. Die Rollen-Administration hat sich bewährt und ist heute allgemein anerkannt. Bei SAM Enterprise nimmt die Definition der Rollen einen zentralen Platz ein.

Eine zweite wichtige Komponente von SAM Enterprise ist das Repository (SAM Database). Dieses dient als Speicher für die Definitionen der Rollen und aller weiteren Verwaltungsobjekte. Die SAM Database setzt auf einer der gängigen Datenbanken auf.

Um den Benutzern nicht ein weiteres Datenbanksystem vorzusetzen, unterstützt Beta Systems alle bekannten Datenbanksysteme. Diese sind die DB2 von IBM, Oracle und in der neuen Version nun auch den SQLServer. Ähnlich breit ist das Unternehmen auch in Hinblick auf die Unterstützung der Betriebssysteme und deren Ausführumgebung aufgestellt. SAM Enterprise kommt dabei mit den Großrechnersystemen z/OS, aber auch Unix und Windows gleichermaßen zurecht.

Seite 2: Integration der Verzeichnissysteme mittels Konnektoren

Integration der Verzeichnissysteme mittels Konnektoren

SAM Enterprise sieht sich als IAM-System mit integrativem Ansatz. Es bindet alle gängigen Verzeichnissysteme in seiner Verwaltung ein. Hierzu stellt der Hersteller über 20 Konnektoren zu den führenden Plattformen, Verzeichnissen und Applikationen zur Verfügung.

Unterstützt werden Mainframe-Systeme, die Welt der Open Systems, spezielle Anwendungssysteme und natürlich auch das Active Directory von Microsoft. Zu den Konnektoren im Großrechnerumfeld zählen jene zu RACF, ACF2, TopSecret und TSO. Hinsichtlich der Open Systems werden die Benutzerverwaltungssysteme von Linux, HP-UX, Solaris, Netware und OS/400 unterstützt; ferner besteht eine LDAP-Anbindung.

Bezüglich der Anwendungssysteme kooperiert SAM Enterprise mit SAP, TAM (Tivoli Access Management), Microsoft Exchange Groupwise und Lotus Notes. Bei den Datenbanken sind Anbindungen zu DB2 und Oracle im Programm. Beim Microsoft SQLServer erfolgt die Benutzerverwaltung vorzugsweise über das Active Directory.

Zu den wichtigsten Neuerungen, die mit der Umbenennung zu SAM Enterprise einhergehen, zählen:

  • Web Services: ermöglichen die Nutzung der integrierten Funktionen durch Standardschnittstellen.
  • End-User-orientierte Geschäftsprozesse: verlagern Verwaltungsprozesse hin zu den Fachbereichen und entlasten die zentrale IT-Administration.
  • Trennung der Verantwortlichkeiten (Segregation of Duties): wurde nun auf Rollen ausgedehnt; bis dato bezog sich diese Trennung auf die Benutzer.
  • Neue Role-Mining-Funktionen: liefern Aufschluss über die Rollen und deren Auswirkungen auf die Verwaltung und die Sicherheit.
  • Das Lifecycle Management: ermöglicht eine umfassende Betrachtung der Rollen – über den gesamten Lebenszyklus hinweg.

Seite 3: Lifecycle Management für Rollen

Lifecycle Management für Rollen

Um die Benutzer mit den Zugriffsrechten auf die Daten und Applikationen zu versorgen, gibt es zwei prinzipielle Möglichkeiten: Entweder man bindet die Berechtigung eines Anwenders an seine Benutzerdaten oder aber die Rechte werden mit Rollen verknüpft.

Die direkte Verknüpfung der Rechte eines Anwenders mit seinen Daten ist nur in Ausnahmefällen zu empfehlen. Der Nachteil ist die immense Verwaltung, denn alle Berechtigungen und Änderungen müssen dann für jeden einzelnen Anwender vorgenommen werden.

Weitaus komfortabler allerdings ist die Verknüpfung der Rechte mit den universelleren Rollen. Eine Rolle stellt dabei einen Container dar. In diesen Container werden Benutzer mit vergleichbaren Berechtigungen eingefügt. Rollen lassen sich oftmals auch mit Abteilungen gleichsetzen. Die Rolle „Entwicklung“ kann dabei beispielsweise für alle Mitarbeiter der Entwicklungsabteilung stehen. Die Berechtigungen werden dann der Rolle zugewiesen. Alle Mitarbeiter der Entwicklungsabteilung erben damit diese Berechtigungen.

Da Rollen immer mehrere Mitarbeiter zusammenfassen, sinkt die Zahl der Objekte, die mit Berechtigungen auszustatten sind. Gleichzeitig gilt aber auch: je weniger Mitglieder die Rollen besitzen, desto geringer ist der Vorteil der Rollen gegenüber der direkten Zuweisung der Berechtigungen.

Pflegebedürftig

Rollen müssen gleichsam wie die Benutzer verwaltet und gepflegt werden. Es genügt nicht mehr, nur die Benutzer zu verwalten und mit Rechten zu versorgen, sondern auch deren Zugehörigkeit zu bestimmten Rollen. Besondere Beachtung verdient dabei der Aspekt des Lifecycle Management für Benutzer und Rollen.

Die Erfahrungen mit dem bisherigen Benutzermanagement zeigt: Die Problematik liegt weniger in der eigentlichen Erfassung einer Rolle oder eines Benutzers, sondern in dessen konstanter Pflege und den damit verbunden Änderungen. Untersuchungen beim Benutzermanagement zeigen zudem, dass in den Unternehmen große Mengen an unbenutzten Berechtigungen (Account-Leichen) bestehen. Diese stellen eine permanente Gefahr dar.

Aus diesem Grund hat Beta Systems das bestehende SAM Enterprise um ein Lifecycle Management für Rollen erweitert. Damit lassen sich in Zukunft, neben den Benutzern, auch die Rollen über den gesamten Lebenszyklus hinweg automatisiert und sicher verwalten. Begleitend dazu wurde das Rollenmanagement um dynamische Aspekte erweitert. Rollen sind nun nicht mehr fest in ihrer Definition, sondern lassen sich weitaus dynamischer nach den jeweiligen Anforderungen zusammenstellen.

Seite 4: Role Mining schafft Transparenz für die Rollen

Role Mining schafft Transparenz für die Rollen

Weitere neue Funktionen bietet der SAM Enterprise Identity Manager dank des Role Mining. Hierbei erfolgt eine Analyse der Rollen nach deren Rechten und Möglichkeiten.

Beim Role Mining wird beispielsweise ermittelt, welche Rechte eine bestimmte Rolle (und deren Benutzer) zu bestimmten Zeiten hatten. In dieses Analyse-Verfahren fließt auch die Organisationsstruktur des Unternehmens ein. Anhand dieser Struktur und den aktuell vergebenen Rechten ermittelt das Tool die Rechte und Risiken.

Dies ermöglicht auch Antworten hinsichtlich der Frage nach Compliance und Risikoanalyse. Ferner liefert das Tool Hinweise über die bestehenden Rollen und deren Mitglieder. Es beantwortet Fragen nach leeren Gruppen (Rollen ohne Benutzer) oder nach den Berechtigungen der Benutzer und der entsprechenden Rollen.

Was wäre, wenn…?

Anhand grafischer Schaubilder liefert das Werkzeug eine schnelle Bestandsaufnahme. Änderungen an den Rollen lassen sich beispielsweise farblich darstellen. Damit hilft das Role Mining bei der Gestaltung und Optimierung der Rollen in den Unternehmen. Durch What-If-Szenarien lassen sich die Auswirkungen von Rollenänderungen bereits im Vorfeld aufzeigen und Zugriffsrisiken vermeiden.

Neuerungen hat Beta Systems auch bei der Verwaltung von Benutzern und deren Rechten angebracht. Durch die Öffnung der internen Verwaltungsfunktionen mittels Web Services lassen sich in Zukunft Verwaltungstätigkeiten delegieren. Hierzu wurde die Verwaltungsfunktion von SAM Enterprise mit der Standardschnittstelle SAML (Security Assertion Markup Language) ausgestattet.

Durch SAML werden Authentifizierungs- und Autorisierungsinformationen zwischen den Systemen ausgetauscht. Die SAML-Spezifikationen sind eine Entwicklung des OASIS-Konsortiums.

Seite 5: Entlastung der IT-Verwaltung durch Self-Service-Portale

Entlastung der IT-Verwaltung durch Self-Service-Portale

Unterstützt durch ein Self-Service-Portal können die Anwender und Fachbereiche in Zukunft Verwaltungsprozesse selbständig in die Wege leiten. Die Bearbeitung dieser Prozesse, wie etwa der Freigabe von Datenzugriffen oder ein Passwort-Reset, erfolgt dabei automatisiert durch die integrierten Workflows. Bis dato übernahm die zentrale IT-Verwaltung viele dieser Arbeiten.

Modelliert werden diese Prozesse durch einen integrierten Workflow-Designer. Die Öffnung der Verwaltungsprozesse und die Automatisierung entlasten zum Einen die zentrale IT, sie sorgen aber auch für schnellere Durchläufe. Ferner werden die Tätigkeiten dahin verlegt, wo sie auch hin gehören, denn letztendlich muss immer der Fachbereich bzw. dessen Vorgesetzter entscheiden, wer welche Rechte an Daten und Applikationen erhält.

Auch die Trennung der Berechtigungen und Aufgaben (Segregation of Duties) wurde erweitert. Nach den Vorgaben der Segregation of Duties (Funktionentrennung) sollten die Verwaltungsarbeiten immer auf mehrere Schultern verteilt sein. Ein „allmächtiger“ Administrator mit allen nur erdenkbaren Rechten ist zu vermeiden. Aus diesem Grund wird seit langem eine Trennung der Rechte in mehrere Akteure verlangt. Beta System hat diese Trennung nun in der neuen Version des SAM Enterprise weiter ausgebaut.

Fazit

SAM Enterprise umfasst alle Tools und Hilfen zur Verwaltung der Benutzer, ihrer Rechte, Rollen und Passwörter. Die über 20 Konnektoren sichern die Integration alle wichtigen und bekannten Verzeichnissysteme unter einem Dach. Gleichzeitig ist die Lösung durch die Unterstützung von Linux/Unix, Großrechnern und Windows unabhängig von einer bestimmten Ausführumgebung.

Unterlegt mit Workflows und automatisierten Prozessen liefert das Toolset damit eine Grundlage für eine effiziente Benutzer- und Rechteverwaltung. Das Rollenmanagement ermöglicht ein einfache Verwaltung und den Abgleich der Benutzer und ihrer Berechtigungen. SAM Enterprise schlägt mit seinen Funktionalitäten letztendlich auch die Brücke zwischen IT und Business.

(ID:2046554)