Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 2

Rollendesign im Kontext der Unternehmensstrukturen

07.04.2010 | Autor / Redakteur: Jens Pälmer, Director Solution Sales, CA Deutschland GmbH / Peter Schmitz

Rollen-Design und -Management senken Kosten und erhöhen die Systemsicherheit und zählen so zu den Garanten eines erfolgreichen IAM-Projekts.
Rollen-Design und -Management senken Kosten und erhöhen die Systemsicherheit und zählen so zu den Garanten eines erfolgreichen IAM-Projekts.

Die Vorteile von Top-Down und Bottom-Up Modellierung

Wer die Rollendefinition nach dem Top-Down-Prinzip starten möchte, sollte zu Beginn den Umfang eingrenzen. Insbesondere in Organisationen mit einem großen Benutzerkreis ist es ratsam, zunächst in kleineren überschaubaren Einheiten erste Erfahrungen im Umgang mit den Rollen-Definitionen und -Zuschnitten zu sammeln. Das Ziel der Übung ist es, Zugriffsprivilegien auf das Notwendigste zu begrenzen. Den Nutzern einer Unternehmenssparte werden je nach Aufgabenfeld die erforderlichen Zugriffsprivilegien zugeordnet.

Um die Arbeit der Rollen-Definition zu vereinfachen und Redundanzen auszuschließen, werden die Rollen in Hierarchien organisiert. Lässt man die übergeordneten reinen Sicherheits- und Administrationsfunktionen einmal außen vor, orientiert sich die Rollenhierarchie zumeist an der Organisationsstruktur. Eine Angestellte erhält beispielsweise über die Rolle „Mitarbeiter“ einen Account im unternehmensweiten E-Mail-System. Sie hält als Mitglied der Abteilung Fertigung die Nutzungsrechte an den Produktionsplanungssystemen. Da sie im Bereich Karosserie die Fertigungsplanung verantwortet, darf sie die entsprechenden Teile auf dem Marktplatz des Zulieferers ordern.

Das Pendant stellt das eher technisch ausgerichtete Bottom-Up-Vorgehen dar. Ausgehend von der Ist-Analyse vorhandener Zugriffsrechte werden in einer Art Reverse Engineering die Benutzer-Berechtigungen gruppiert und im Anschluss zu einer Rolle „normalisiert“. Dazu werden via LDIF (LDAP Data Interchange Format), CSV (Comma-Separated Values) o.ä. auch Informationen aus Komponenten zum Identitätsmanagement wie Meta Directories oder Provisionierungsverzeichnisse herangezogen, um (Nutzer-)Identität und Berechtigungen in Beziehung zu setzen. Innovative Data Mining-Techniken zur Mustererkennung und -analyse unterstützen den Prozess, Kandidaten für die Rollendefinition aufzuspüren.

Nachteile beider Rollen-Modelle

Ungeachtet der unstrittigen Eleganz kollidiert das Top-Down-Prinzip oftmals mit der „gelebten“ Realität in den Unternehmen. Die formale Grenzziehung zwischen den Abteilungen und weniger die Geschäftsprozesse prägen die Modellierung. Zugleich werden einst klare Trennlinien mit der Zeit durchlässig. Neue Unternehmensanforderungen hebeln bisherige Rollenzuordnungen oder Rollenmodelle aus. So wird das aus Compliance-Gründen via Rollenzuschnitt realisierte Vier-Augen-Prinzip ad absurdum geführt, wenn Mitarbeiter im Produktionssegment aufgrund einer Prozessneugestaltung sowohl Bestellungen aufgeben als auch Kassentransaktionen auslösen dürfen. Oder Anwendern werden Admin-Rechte eingeräumt, um am Arbeitsplatz schnell einen Drucker o.ä. zu konfigurieren.

Allerdings werden diese Rechte im Nachgang ebenso wenig entzogen wie die früheren Rollenprivilegien eines Mitarbeiters bei betriebsinternen Positionswechseln. Das Bottom-Up-Design kann wiederum nur so „gut“ sein, wie exakt der Zuschnitt der bereits eingerichteten Zugriffsrechte ist. Wenn sich aber keine Gemeinsamkeiten abstrahieren lassen, droht eine zu große Menge unterschiedlicher Rollendefinitionen. Auch mangelt es beim Bottom-Up-Vorgehen an der unternehmerischen Perspektive, da die technisch geprägten Zugriffsrechte den Ausgangspunkt bilden.

Seite 3: Die pragmatische Lösung ist die beste Lösung

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2044254 / Benutzer und Identitäten)