Suchen

Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 1

Robustes Identity Management schützt das Geschäft

Seite: 2/3

Firmen zum Thema

Das Zusammenspiel von Identität, Rolle, Ressourcenzugriff und Sicherheitsdomäne

Die grundlegende Idee hinter dem IAM ist denkbar einfach. Es werden Definition und Prozess der Berechtigungszuweisung – also das I – von der Umsetzung der Berechtigung, also vom A, getrennt. Als Verbindungskitt dient die Gruppenzugehörigkeit beziehungsweise das Rollenkonzept. Je nach Gruppe oder Rolle ist der Nutzer für bestimmte Anwendungen oder Dienste autorisiert. Der Zugriff auf die eigentliche Anwendung, beispielsweise ein Datenbanksystem oder Content Management System, erfolgt über eine fest eingerichtete Nutzeridentität.

Mit dem Rollenkonzept ist die Erfahrung verknüpft, dass auf der Mitarbeiterseite häufiger Wechsel stattfinden, als dass sich Tätigkeiten in einer Organisation wandeln. Die Identität des Nutzers ist dabei mit der beruflichen Aufgaben (Rolle) abgestimmt. Jeder Rolle sind wiederum Rechte und Systeme als Attribute zugeordnet, die letztlich auf Benutzerkonten verwalteter Systeme verweisen. Eine hierarchische Staffelung und das Zusammenfassen von Gruppen und Rollen zu (Stellen-)Profilen erlauben die differenzierte Zuordnung. Zusätzlich können sich abhängig von der betrieblichen Tätigkeit eines Mitarbeiters direkte Zugriffsrechte (Benutzerkonten oder ACL – Access-Control-Listen) für ausgewählte Ressourcen dem individuellen Rollen-Profil zugeordnet werden.

Bildergalerie

Die anfallenden Administrationsarbeiten bei einer Neueinstellung lassen sich beispielsweise direkt vom System der Personalabteilung initiieren. Einen neuen stellvertretenden Abteilungsleiter werden ausgewählte Rollen bezüglich Einkaufsberechtigung, Mitarbeiterbeurteilung etc. zugeordnet. Der erforderliche Workflow wird automatisch erzeugt, die Genehmigungsanforderungen werden verschickt. Nach Bestätigung folgen die Updates der Zugriffsberechtigungen für die notwendigen Anwendungen und Systeme. Ergänzend lässt sich für physische Gegenstände wie Telefon, PC, Kreditkarte, Firmenausweis oder Schreibtisch ein Auftrag an den Beschaffungs-Manager generieren. Falls ein Mitarbeiter das Unternehmen verlässt, kann seine Identität bzw. Gruppen- und Rollenzugehörigkeit einfach annulliert werden.

Seite 3: Authentifizierungs- und Autorisierungsstrategien in verteilten IT-Infrastrukturen

(ID:2043457)