Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 1

Robustes Identity Management schützt das Geschäft

19.02.2010 | Autor / Redakteur: Kurt Denk, Senior Customer Solutions Architect, CA Deutschland GmbH / Peter Schmitz

Identity- und Access-Management Systeme erfordern hohen Planungsaufwand, belohnen dies aber mit der effizienteren Bearbeitung von Standard-Aufgaben und höherer Sicherheit.
Identity- und Access-Management Systeme erfordern hohen Planungsaufwand, belohnen dies aber mit der effizienteren Bearbeitung von Standard-Aufgaben und höherer Sicherheit.

Das Zusammenspiel von Identität, Rolle, Ressourcenzugriff und Sicherheitsdomäne

Die grundlegende Idee hinter dem IAM ist denkbar einfach. Es werden Definition und Prozess der Berechtigungszuweisung – also das I – von der Umsetzung der Berechtigung, also vom A, getrennt. Als Verbindungskitt dient die Gruppenzugehörigkeit beziehungsweise das Rollenkonzept. Je nach Gruppe oder Rolle ist der Nutzer für bestimmte Anwendungen oder Dienste autorisiert. Der Zugriff auf die eigentliche Anwendung, beispielsweise ein Datenbanksystem oder Content Management System, erfolgt über eine fest eingerichtete Nutzeridentität.

Mit dem Rollenkonzept ist die Erfahrung verknüpft, dass auf der Mitarbeiterseite häufiger Wechsel stattfinden, als dass sich Tätigkeiten in einer Organisation wandeln. Die Identität des Nutzers ist dabei mit der beruflichen Aufgaben (Rolle) abgestimmt. Jeder Rolle sind wiederum Rechte und Systeme als Attribute zugeordnet, die letztlich auf Benutzerkonten verwalteter Systeme verweisen. Eine hierarchische Staffelung und das Zusammenfassen von Gruppen und Rollen zu (Stellen-)Profilen erlauben die differenzierte Zuordnung. Zusätzlich können sich abhängig von der betrieblichen Tätigkeit eines Mitarbeiters direkte Zugriffsrechte (Benutzerkonten oder ACL – Access-Control-Listen) für ausgewählte Ressourcen dem individuellen Rollen-Profil zugeordnet werden.

Die anfallenden Administrationsarbeiten bei einer Neueinstellung lassen sich beispielsweise direkt vom System der Personalabteilung initiieren. Einen neuen stellvertretenden Abteilungsleiter werden ausgewählte Rollen bezüglich Einkaufsberechtigung, Mitarbeiterbeurteilung etc. zugeordnet. Der erforderliche Workflow wird automatisch erzeugt, die Genehmigungsanforderungen werden verschickt. Nach Bestätigung folgen die Updates der Zugriffsberechtigungen für die notwendigen Anwendungen und Systeme. Ergänzend lässt sich für physische Gegenstände wie Telefon, PC, Kreditkarte, Firmenausweis oder Schreibtisch ein Auftrag an den Beschaffungs-Manager generieren. Falls ein Mitarbeiter das Unternehmen verlässt, kann seine Identität bzw. Gruppen- und Rollenzugehörigkeit einfach annulliert werden.

Seite 3: Authentifizierungs- und Autorisierungsstrategien in verteilten IT-Infrastrukturen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2043457 / Benutzer und Identitäten)