Identitäts- und Zugriffsmanagement

Lebenslange Rollenspiele

17.11.2006 | Autor / Redakteur: Armin Stephan, Secuirty Spezialist bei CA in Darmstadt / Achim Karpf

Bausteine einer umfassenden IAM-Lösung
Bausteine einer umfassenden IAM-Lösung

Identity and Access Management – kurz IAM genannt – bedeutet mehr als technisches Benutzer- und Zugriffsmanagement. Der vollständige Nutzen erschließt sich erst, wenn IAM im Kontext des „Life Cycles“ der Mitarbeiter eingebunden wird.

Identitätsdiebstahl ist kein Problem unserer Zeit. Die Geschichte ist voll von Beispielen, in denen Personen in die Rolle Dritter schlüpfen. Die digitale Variante des Identitätsdiebstahls entwickelt sich angesichts der wachsenden IT-Durchdringung aller Lebensbereiche zunehmend als Geisel der modernen Geschäftswelt. Die wachsende Anzahl kollaborativer, unternehmensübergreifender Prozesse verschärft diese Problematik zusätzlich, da sich der Kreis der Anwendergruppen stark erweitert. Unternehmen müssen in der Lage sein, Beziehungen zu unterschiedlichen und bestimmten Gruppen von „Identitäten“ zu verwalten. Darunter befinden sich Mitarbeiter, Kunden und Geschäftspartner.

Jede dieser Gruppe verlangt nach einem Identitäts- und Zugriffsmanagement, da sich die Anforderungen zum Teil erheblich unterscheiden. Die Gruppe der „Mitarbeiter“ benötigt beispielsweise eine traditionelle, nach innen gerichtete Sicherheitsmanagementlösung, die insbesondere Benutzerzugriffe auf physikalische Ressourcen und IT-Systeme im Visier hat und interne Systeme schützt. „Kunden“-Gruppen erwarten eine nach außen gerichtete Sicherheitsmanagementlösung, die einen sicheren, komfortablen Webzugriff ermöglicht. Business-to-Business-Szenarien sind wiederum auf organisationsübergreifende Transaktionen und Web-Services ausgerichtet, die im Zuge von regulativen Vorgaben zwischen unabhängigen Einheiten sicher durchzuführen sind.

Identity-MAnagement

Die Verwaltung von Benutzeridentitäten und deren Zugangsrechte bedeutet für Unternehmen längst keine einfache Aufgabe mehr. Denn ein System kommt selten allein. Und mit jedem System kommt eine separate Verwaltung der Nutzer und seiner Zugriffsrechte ins Haus. Diese verfügen in der Regel weder über kompatible Sicherheitsmodelle, noch über ein konsistentes Identitätsmanagement, noch über einheitliche Auditing-Mechanismen. Als Folge besaßen und besitzen die Nutzer eine Vielzahl nicht abgestimmter digitaler Identitäten und Berechtigungen für diverse Systeme, die sich mit vernünftigem Aufwand kaum mehr überblicken lassen. Diese Umgebungen zeichnen sich dadurch aus,

  • - dass so genannte Ghost User Accounts – also Mitarbeiter, die bereits das Unternehmen vor längerem verlassen haben – weiterhin in den Systemen verwaltet werden,
  • - dass es zu einer Akkumulation von Privilegien kommt, da User-Rechte bei neuen Aufgaben einfach hinzugefügt werden, während alte nicht gelöscht werden und
  • - dass Accounts schnell kopiert werden, obgleich die Privilegien für die Aufgabe nicht in Frage kommen.

In der Konsequenz führt dies zu einem erhöhten Risiko von Identitätsdiebstahl und unautorisierten Zugriffen als auch zur Nichteinhaltung gesetzlicher Vorschriften und Regularien (Compliance).

Wenn die Autorisierung innerhalb der einzelnen Anwendungen ausgeführt wird, entstehen beispielsweise „Anwendungsinseln“, was eine ineffiziente und oftmals uneinheitliche Durchsetzung der Zugriffsbeschränkungen zur Folge hat. Eine verteilte Zugriffsdurchsetzung hat schwache interne Kontrollmechanismen zur Konsequenz, da die Feststellung, über welche Zugriffsrechte ein bestimmter Benutzer verfügt und wie diese Rechte für die gesamte Anwendungs-Suite durchgesetzt werden, für Administratoren zu einer schwierigen Aufgabe wird. Darüber hinaus ist eine manuelle Benutzerprovisionierung und -verwaltung ineffizient und teuer. Neue Benutzer müssen oft tagelang warten, bis ihre Konten und Anwendungszugriffe vollständig eingerichtet sind. Kostbare Zeit geht verloren und Produktivität wird verringert.

Unternehmensweite Identität

In Inseln lassen sich Identitäten nicht sicher und nicht kosteneffektiv verwalten. Das Verwalten von Identitäten quer durch die komplexe Landschaft – intern und extern – bedarf einer konsistenten und effizienten Verwaltung und Umsetzung von Zugriffsberechtigungen mit einem End-to-End-Auditing aller identitätsbezogenen Aktivitäten.

Um einen durchgängigen Identitätslebenszyklus sicher und vollständig zu verwalten und gleichzeitig Unternehmensressourcen schützen zu können, muss in Bezug auf Identitäts- und Zugriffsmanagement eine geschlossene, integrierte, modulare Strategie eingeschlagen werden. Die ideale Identitäts- und Zugriffsmanagementlösung kombiniert deshalb Identitätsverwaltung und -Provisionierung, Zugriffsmanagement und vollständiges Auditing (vergl. Grafik: Bausteine einer umfassenden IAM-Lösung). So wird sichergestellt, dass alle Aspekte des Identitätslebenszykluses im Auge behalten werden — einschließlich der Auswirkung der Identitätenaktivität auf die unternehmenskritischen IT-Ressourcen.

Ein wesentliches Merkmal der E-Trust Identity and Access Management Suite von CA ist es beispielsweise, einen Nutzer während der gesamten Zeit seiner Betriebszugehörigkeit managen zu können. Alle Nutzeridentitäten werden gemäß der Rolle des Nutzers im Unternehmen und den entsprechenden Richtlinien systemübergreifend generiert, modifiziert, vorübergehend außer Kraft gesetzt, widerrufen oder endgültig aufgehoben. So wird das Management der IT-Systeme vereinheitlicht und erheblich vereinfacht. Lösungen wie E-Trust Identity and Access Management Suite deuten bereits an, dass eine umfassende IAM-Lösung nicht allein auf den technischen Aspekt des Identitäts- und Zugriffsmanagement fokussiert. Es umfasst zugleich die Einbettung in die übergeordnete, umfassende Prozesskette. Die Auswahl der geeigneten Software-Unterstützung wird deshalb begleitet von konzeptionellen Überlegungen zum Aufbau und zur Struktur des unternehmensspezifischen IAM-Konzeptes.

IAM als Lösung

Das Ziel eines jeden IAM ist es, den Anwender so schnell wie irgend möglich mit der gebotenen Sicherheit produktiv zu setzen. Den Dreh- und Angelpunkt in der Umsetzung stellen deshalb stets konzeptionelle Überlegungen zum Nutzer und seinen Rechten dar. Das Identitäts- und Zugriffsmanagement umreißt in den Grundzügen die Aufgabe der Definition und des Prozesses der Berechtigungszuweisung sowie der Umsetzung dieser Berechtigung. Damit verknüpft sind die bekannten Fragen „Wer ist der Benutzer (Authentisierung)“, „Was soll er dürfen (Autorisierung, Zugriffskontrolle)“, „Wie lassen sich Benutzer verwalten (User-Management, delegierte Administration, Workflow)“ und „Was benötigt der Benutzer (Account/Ressourcen-Provisionierung bzw. De-Provisionierung)“.

Moderne Identitätsmanagements Tools sind in der Lage aus den diversen Nutzerkonten, insbesondere aus dem Personalmanagement, einen globalen Anwender zu korrelieren als auch Verwaltungsprozesse wie Passwort-Verwaltung, Anlegen/Ändern von Usern etc. zu automatisieren. Einen gewichtigen Teil im Zusammenhang mit dem Benutzer stellt seine Rolle dar, die er im Unternehmen einnimmt. Mit dem Konzept der rollenbasierenden Zugangskontrolle soll die Rechteverwaltung erheblich gestrafft werden, da traditionelle Autorisierungsverfahren mit der Menge heutiger Accounts und Rechte überfordert sind. Die Rolle stellt im betrachteten Zusammenhang stets die Verallgemeinerung einer Benutzergruppe dar und dient als Brücke zwischen Benutzern und Zugriffsrechten auf IT-Ressourcen. Dieser Benutzergruppe werden nun bestimmte Zugriffsrechte auf unterschiedliche Anwendungen (Autorisierungsdomänen) eingeräumt. Eine hierarchische Staffelung von Rollen bzw. das Zusammenfassen von mehreren Rollen zu (Stellen-)Profilen erlaubt eine differenzierte Zuordnung und vermeidet Redundanzen.

Die Rollenbildung selbst wird in der Regel in einem Mischansatz aus einem Top Down-Entwurf und einer Bottom Up-Analyse vorgenommen. Dies erlaubt, die Rollen unabhängig von der Technik, basierend auf dem Unternehmensmodell und den Geschäftsprozessen, zu beschreiben, um im Anschluss einen Abgleich mit der Realität (Ist-Zustand der Infrastruktur) vorzunehmen. Verwaltet werden sämtliche Rollen eines Unternehmens zumeist in einem LDAP-konformen Repository.

Role Based Access Control

Rollenbasierende Autorisierungsverfahren wie das Role Based Access Control- Konzept (RBAC) besitzen im Vergleich zu herkömmlichen Verfahren oder Alternativen wie dem Mandatory-Access-Control-Ansatz einige entscheidende Vorteile. So werden beispielsweise die Sicherheits- und Zugriffsinformationen unabhängig von den zu schützenden Ressourcen geführt. Änderungen lassen sich folglich direkt an der Rolle durchführen und bedürfen keines Eingriffs in die einzelnen Anwendungen. Zugleich ist damit die Hoffnung verbunden, dass die Anzahl der Rollen deutlich geringer ausfällt als die Anzahl der Nutzer und Zugriffsrechte. Dem Nutzer werden nun einfach die jeweiligen Rollen und Profile zugeordnet und die Berechtigungen für den Zugriff auf die entsprechenden Systeme oder Anwendungen steht damit bereit.

Zweifelsfrei bieten IAM-Lösungen geldwerte Vorteile in Bezug auf die technische Administration von Nutzern und deren Rechte. Der eigentliche Nutzen von IAM für ein Unternehmen liegt jedoch in seiner Integration in die betriebswirtschaftlichen Abläufe. Bei Neueintritt eines neuen Sachbearbeiters Einkauf wird beispielsweise eine komplette Prozesskette angestoßen. Wird der neue Mitarbeiter im HR-System angelegt, erfolgt sofort eine Zuordnung zu den Feldern des Identitätsverzeichnisses. Automatisch wird beispielsweise ein neuer Mail-Account eingerichtet, wobei sich die E-mail-Adresse aus Vor- und Nachname generieren und sich das Mail-Domain aus dem Standort ableiten lässt. Aufgrund der Stelle „weiß“ das IAM-System des Weiteren, welche grundsätzlichen Rollen mit der Aufgabe verknüpft sind und verbindet digitale Identität mit der RBAC-Autorisierung.

Zusätzlich wird ein Workflow für einen Zugriff auf physikalische Systeme wie Telefon, Kreditkarte, Firmenausweis und PC erzeugt und an den zuständigen Beschaffungsmanager geschickt. Parallel überprüft das Asset-Management, ob die verlangten Lizenzen noch vorhanden sind. Der Vorgänger des neuen Mitarbeiters, der in den wohl verdienten Ruhestand geht, verliert durch die De-Provisioning-Funktion mit dem Ausscheiden automatisch seine Rollen- und User-Accounts. Seine digitale Identität hat allerdings noch Bestand, da das globale Identitätsverzeichnis auch das HR-System steuert und von hieraus z. B. die monatlichen Auszahlungen der Pensionskasse angestoßen werden.

Auditiing

Eine Auditing-Lösung verfolgt alle mit Identitäten und Ressourcen verknüpfte Ereignisse und Aktivitäten. Auditoren sind so jederzeit in der Lage festzustellen, wann und durch wen eine Identität erstellt wurde, auf welche Funktionen sie zugegriffen hat, wann und durch wen sie gesperrt wurde und wann sie beendet wurde. Ein solches Szenario ist im Übrigen nicht nur auf die Behandlung von Personen-bezogenen Identitäten beschränkt, sondern kann mit Hilfe der Identity Federation (siehe Kasten) auf unternehmensübergreifende Prozesse ausgeweitet werden.

Das beschriebene Szenario verdeutlicht zugleich den Reifeprozess (vergl. Grafik High Level Identity Maturity Roadmap), den der Umgang mit digitalen Identitäten im Unternehmen durchläuft. Wurde mit IAM zunächst eine Entlastung des Helpdesks und später eine Reduktion der administrativen Kosten angestrebt, steht heute im Vordergrund, mit IAM auch die Geschäftsprozess-bezogenen Aufgaben zu unterstützen. Als integraler Bestandteil des umfassenden Konzeptes Enterprise IT Management (EITM) hilft ein umfassendes Identitäts- und Zugriffsmanagement den Unternehmen, ihre Prozesse leichter zu automatisieren, die Kosten und Risiken zu minimieren sowie die Zeit bis zur Realisierung des Nutzens neuer Applikationen und Services zu verkürzen.

Identity Federation – Einer für alle

Durch die zunehmende geschäftliche Verflechtung der Unternehmen über das Internet gewinnt das Management von Benutzeridentitäten und Zugriffsberechtigungen an Komplexität. Der einzelne Anwender muss bei komplexen Transaktionen bei den verschiedenen Sicherheitsdomänen mehrfach angemeldet sein. Ähnlich wie im internen Betrieb ist eine Mehrfachanmeldung lästig, fehleranfällig und aufwändig. Das Single Sign-On für diesen Fall heißt Federation (Verbund). Dieses liefert Unternehmen die technische Basis, sich mit den Sicherheitsdomänen ihrer Geschäftspartner zusammenzuschließen, um standardbasierende Benutzeridentitäten und Zugriffsberechtigungen gemeinsam zu nutzen und auszutauschen. Das Ziel: Unternehmensübergreifende Geschäftsmodelle im Internet aufbauen, bei denen sich die Benutzer etwa bei Buchungen von Flug, Hotel und Mietwagen nur einmal authentisieren muss. Der Austausch der relevanten Sicherheitsinformationen zwischen den IT-Systemen erfolgt transparent und automatisch. Die Vertraulichkeit der Benutzerinformation innerhalb eines solchen Verbundes setzt jedoch eine umfassende Sicherheitsinfrastruktur voraus. Dazu bedarf es erstens allgemein gültiger Standards und zweitens vollständig integrierter Sicherheitslösungen. Umgebungen wie eTrustSite Minder von CA setzen eine sichere Zugriffskontrolle innerhalb einer Föderation um, indem sie Benutzer- und Berechtigungsinformationen über Sicherheitsdomänen hinweg authentisiert und autorisiert. Die Federation-Plattform unterstützt dazu den Standard SAML (Security Assertion Markup Language), eine offene, plattformunabhängige Spezifikation für den Austausch von XML-basierenden Sicherheitsdokumenten. Vergleichbar arbeitet die Komponente eTrust Transaction Minder, die der sicheren Zugriffskontrolle auf Webservices im Rahmen der so genannten dokumentenbasierten Föderation etwa beim eProcurement oder bei Finanztransaktionen dient.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000916 / Allgemein)