Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 2

Rollendesign im Kontext der Unternehmensstrukturen

Seite: 2/3

Firmen zum Thema

Die Vorteile von Top-Down und Bottom-Up Modellierung

Wer die Rollendefinition nach dem Top-Down-Prinzip starten möchte, sollte zu Beginn den Umfang eingrenzen. Insbesondere in Organisationen mit einem großen Benutzerkreis ist es ratsam, zunächst in kleineren überschaubaren Einheiten erste Erfahrungen im Umgang mit den Rollen-Definitionen und -Zuschnitten zu sammeln. Das Ziel der Übung ist es, Zugriffsprivilegien auf das Notwendigste zu begrenzen. Den Nutzern einer Unternehmenssparte werden je nach Aufgabenfeld die erforderlichen Zugriffsprivilegien zugeordnet.

Um die Arbeit der Rollen-Definition zu vereinfachen und Redundanzen auszuschließen, werden die Rollen in Hierarchien organisiert. Lässt man die übergeordneten reinen Sicherheits- und Administrationsfunktionen einmal außen vor, orientiert sich die Rollenhierarchie zumeist an der Organisationsstruktur. Eine Angestellte erhält beispielsweise über die Rolle „Mitarbeiter“ einen Account im unternehmensweiten E-Mail-System. Sie hält als Mitglied der Abteilung Fertigung die Nutzungsrechte an den Produktionsplanungssystemen. Da sie im Bereich Karosserie die Fertigungsplanung verantwortet, darf sie die entsprechenden Teile auf dem Marktplatz des Zulieferers ordern.

Bildergalerie

Das Pendant stellt das eher technisch ausgerichtete Bottom-Up-Vorgehen dar. Ausgehend von der Ist-Analyse vorhandener Zugriffsrechte werden in einer Art Reverse Engineering die Benutzer-Berechtigungen gruppiert und im Anschluss zu einer Rolle „normalisiert“. Dazu werden via LDIF (LDAP Data Interchange Format), CSV (Comma-Separated Values) o.ä. auch Informationen aus Komponenten zum Identitätsmanagement wie Meta Directories oder Provisionierungsverzeichnisse herangezogen, um (Nutzer-)Identität und Berechtigungen in Beziehung zu setzen. Innovative Data Mining-Techniken zur Mustererkennung und -analyse unterstützen den Prozess, Kandidaten für die Rollendefinition aufzuspüren.

Nachteile beider Rollen-Modelle

Ungeachtet der unstrittigen Eleganz kollidiert das Top-Down-Prinzip oftmals mit der „gelebten“ Realität in den Unternehmen. Die formale Grenzziehung zwischen den Abteilungen und weniger die Geschäftsprozesse prägen die Modellierung. Zugleich werden einst klare Trennlinien mit der Zeit durchlässig. Neue Unternehmensanforderungen hebeln bisherige Rollenzuordnungen oder Rollenmodelle aus. So wird das aus Compliance-Gründen via Rollenzuschnitt realisierte Vier-Augen-Prinzip ad absurdum geführt, wenn Mitarbeiter im Produktionssegment aufgrund einer Prozessneugestaltung sowohl Bestellungen aufgeben als auch Kassentransaktionen auslösen dürfen. Oder Anwendern werden Admin-Rechte eingeräumt, um am Arbeitsplatz schnell einen Drucker o.ä. zu konfigurieren.

Allerdings werden diese Rechte im Nachgang ebenso wenig entzogen wie die früheren Rollenprivilegien eines Mitarbeiters bei betriebsinternen Positionswechseln. Das Bottom-Up-Design kann wiederum nur so „gut“ sein, wie exakt der Zuschnitt der bereits eingerichteten Zugriffsrechte ist. Wenn sich aber keine Gemeinsamkeiten abstrahieren lassen, droht eine zu große Menge unterschiedlicher Rollendefinitionen. Auch mangelt es beim Bottom-Up-Vorgehen an der unternehmerischen Perspektive, da die technisch geprägten Zugriffsrechte den Ausgangspunkt bilden.

Seite 3: Die pragmatische Lösung ist die beste Lösung

(ID:2044254)