Access Governance Zugriffsrechte im Griff behalten

Autor / Redakteur: Martin Kuppinger / Peter Schmitz

Access Governance-Lösungen erlauben die Steuerung und Kontrolle von Zugriffsberechtigungen. In einem Markt mit mindestens 20 relevanten Anbietern kann man nicht alle Produkte direkt miteinander vergleichen. Aber Experten wissen Rat.

Firmen zum Thema

Access Governance-Lösungen erlauben die Steuerung und Kontrolle von Zugriffsrechten und erlauben, genau das Mindestmaß an Rechten, für den richtigen Zeitraum, vergeben zu können.
Access Governance-Lösungen erlauben die Steuerung und Kontrolle von Zugriffsrechten und erlauben, genau das Mindestmaß an Rechten, für den richtigen Zeitraum, vergeben zu können.
(Bild: Nmedia - Fotolia.com)

Innerhalb des IAM-Marktes (Identity und Access Management) mit seinen Disziplinen wie dem Identity Provisioning, dem Enterprise Single Sign-On, der Identity Federation oder dem Web Access Management nimmt zur Zeit das Thema Access Governance eine dominante Position als eines der wichtigsten Handlungsfelder für Unternehmen ein. Access Governance-Lösungen erlauben die Steuerung und Kontrolle von Zugriffsberechtigungen. Sie sind die Basis dafür, genau das Mindestmaß an Berechtigungen vergeben zu können.

Aus einem ursprünglich recht überschaubaren Markt mit gerade einmal einer Hand voll an Anbietern hat sich Access Governance zu einem Marktsegment mit inzwischen immerhin rund 20 Herstellern entwickelt. Das auch als IAG (Identity and Access Governance) bezeichnete Marktsegment hat sich oberhalb des etablierten Identity Provisioning entwickelt.

Bildergalerie

Ergänzendes zum Thema
European Identity & Cloud Conference 2013

Die European Identity & Cloud Conference (EIC) hat sich als die führende Veranstaltung für Meinungsführerschaft und Best Practices für Identity Management, Cloud Security und GRC in Europa etabliert.

Mit 600 Teilnehmern aus über 20 Ländern, mehr als 50 Ausstellern und 150 Referenten, ist die European Identity & Cloud Conference eine der wichtigsten Plattformen für den Dialog zwischen IT Professionals, Vordenkern, Experten und Analysten zu Themen im Bereich Informationssicherheit - und hier insbesondere Identity Management, Cloud Computing, Governance, Risk Management und Compliance (GRC) etabliert. Die 7. EIC findet am 14.-17. Mai 2013 in München statt.

Ausrichter der EIC ist KuppingerCole. KuppingerCole ist eines der führenden europäischen Analystenunternehmen, das sich auf Information Security und digitale Identitäten spezialisiert hat. Die Senior Analysten des Teams unterstützen IT-Verantwortliche in allen Bereichen des Identity Management durch ihre Expertise sowohl bei strategischen als auch bei technischen Fragestellungen.

Während Identity Provisioning insbesondere auf die technische Bereitstellung von Benutzern und Zugriffsberechtigungen in verschiedenen Zielsystemen ausgerichtet ist, entstand Access Governance aus der Forderung von rechtlichen Regulierungen und auch von Prüfern nach der Fähigkeit zur Rezertifizierung von Berechtigungen.

Access Governance: Mehr als Rezertifizierung

Die Rezertifizierung, manchmal auch als Attestierung bezeichnet, ist damit auch eine der Kernfunktionen von Access Governance. Damit können die verantwortlichen Personen wie beispielsweise Abteilungsleiter in regelmäßigen Abständen Zugriffsberechtigungen der ihnen zugeordneten Mitarbeiter überprüfen und diese bestätigen oder Änderungen veranlassen.

Rezertifizierungsprozesse sind wichtig, weil in der Realität die Vergabe von Berechtigungen viel besser funktioniert als der Entzug. Die Aussage, dass ein Auszubildender nach drei Jahren mehr Berechtigungen als der Vorstand hat, weil er alle Abteilungen durchlaufen hat, enthält leider oft mehr als nur ein Körnchen Wahrheit. Daher braucht es nicht nur Prozesse für eine strukturierte Berechtigungsvergabe, sondern auch für die regelmäßige Überprüfung des Ist-Zustands.

Dazu gehören eben die genannte Rezertifizierung, aber auch weitergehende Analysefunktionen für die aktuellen Berechtigungen. Access Governance-Lösungen heutiger Prägung sammeln Berechtigungen von Zielsystemen ein und speichern diese. Das Resultat wird häufig als „Access Warehouse“ bezeichnet. Diese Informationen lassen sich auswerten, wobei zunehmend auch Business Intelligence-Technologien zum Einsatz kommen – ein Grund für manche Anbieter, das Schlagwort „Access Intelligence“ zu verwenden, auch wenn es sich dabei nur um eine ergänzende Funktionalität und kein neues Marktsegment handelt.

Rollenmanagement

Eine weitere wichtige Funktionalität von typischen Access Governance-Lösungen ist das Rollenmanagement, also die Definition von Rollen auf unterschiedlichen Hierarchieebenen, die für eine effiziente und strukturierte Steuerung der Berechtigungsvergabe verwendet werden können.

Da sich Access Governance-Lösungen mit der Rezertifizierung und dem Rollenmanagement ohnehin stärker an die Business-Bereiche gerichtet haben als das klassische Identity Provisioning mit seiner eher administrativen Ausrichtung, kam auch eine andere Entwicklung der letzten Jahre nicht überraschend: Access Governance wird zunehmend auch zur Schnittstelle für die Anforderung von Berechtigungen durch die Endanwender.

Ergänzendes zum Thema
European Identity & Cloud Conference 2013

Die European Identity & Cloud Conference (EIC) hat sich als die führende Veranstaltung für Meinungsführerschaft und Best Practices für Identity Management, Cloud Security und GRC in Europa etabliert.

Mit 600 Teilnehmern aus über 20 Ländern, mehr als 50 Ausstellern und 150 Referenten, ist die European Identity & Cloud Conference eine der wichtigsten Plattformen für den Dialog zwischen IT Professionals, Vordenkern, Experten und Analysten zu Themen im Bereich Informationssicherheit - und hier insbesondere Identity Management, Cloud Computing, Governance, Risk Management und Compliance (GRC) etabliert. Die 7. EIC findet am 14.-17. Mai 2013 in München statt.

Ausrichter der EIC ist KuppingerCole. KuppingerCole ist eines der führenden europäischen Analystenunternehmen, das sich auf Information Security und digitale Identitäten spezialisiert hat. Die Senior Analysten des Teams unterstützen IT-Verantwortliche in allen Bereichen des Identity Management durch ihre Expertise sowohl bei strategischen als auch bei technischen Fragestellungen.

Das war einer der Gründe, der dazu geführt hat, dass Access Governance-Lösungen heute zunehmend auch Änderungen direkt in Zielsysteme provisionieren können oder zumindest über gute Schnittstellen zu Identity Provisioning-Lösungen und Service Request Management-Systemen verfügen, um automatisierte und manuelle Änderungen in Zielsystemen durchführen zu können. Der zweite Grund war schlicht, dass es wenig Sinn macht, bei der Rezertifizierung zwar Abweichungen feststellen, diese aber nicht gleich automatisiert beheben zu können.

Der Markt: Viele Anbieter, große Unterschiede

Mit dieser Entwicklung wird die Schnittstelle zwischen Access Governance-Lösungen und den klassischen Identity Provisioning-Lösungen auch zunehmend unscharf. Deshalb gibt es im Markt auch reine Access Governance-Produkte ebenso wie integrierte Lösungen. Komplettiert wird der Markt von einigen spezialisierten Lösungen, die entweder primär auf die Analyse ausgerichtet sind oder, wie im Fall von SAP GRC, primär auf eine bestimmte Zielumgebung ausgerichtet sind und für die Unterstützung weiterer Produkte dann noch Add-On-Lösungen benötigen.

In einem Markt mit annähernd 20 relevanten Anbietern kann man nicht alle Produkte direkt miteinander vergleichen. In einer Gesamtsicht lassen sich natürlich die Lösungen identifizieren, die insgesamt die größte Breite an Funktionen liefern oder die am meisten innovative Funktionen wie erweiterte Access Intelligence-Funktionen, Cloud-basierende Deployment-Modelle oder eine enge Integration mit Privilege Management, Service Request Management und anderen Systemen unterstützen.

Ergänzendes zum Thema
European Identity & Cloud Conference 2013

Die European Identity & Cloud Conference (EIC) hat sich als die führende Veranstaltung für Meinungsführerschaft und Best Practices für Identity Management, Cloud Security und GRC in Europa etabliert.

Mit 600 Teilnehmern aus über 20 Ländern, mehr als 50 Ausstellern und 150 Referenten, ist die European Identity & Cloud Conference eine der wichtigsten Plattformen für den Dialog zwischen IT Professionals, Vordenkern, Experten und Analysten zu Themen im Bereich Informationssicherheit - und hier insbesondere Identity Management, Cloud Computing, Governance, Risk Management und Compliance (GRC) etabliert. Die 7. EIC findet am 14.-17. Mai 2013 in München statt.

Ausrichter der EIC ist KuppingerCole. KuppingerCole ist eines der führenden europäischen Analystenunternehmen, das sich auf Information Security und digitale Identitäten spezialisiert hat. Die Senior Analysten des Teams unterstützen IT-Verantwortliche in allen Bereichen des Identity Management durch ihre Expertise sowohl bei strategischen als auch bei technischen Fragestellungen.

Ebenso können auch die Hersteller identifiziert werden, die bezüglich Kundenzahl, globaler Reichweite und Partner-Ökosystem dominieren. Neben diesen Anbietern, die im aktuellen KuppingerCole Leadership Compass Access Governance die Product Leader, Innovation Leader und Market Leader bilden, braucht es aber noch andere Perspektiven.

So gibt es auf der einen Seite eben die Lösungen, die eher als integrierte Plattformen mit guten Provisioning-Fähigkeiten ausgelegt sind und auf der anderen Seite die Lösungen, die typischerweise in Ergänzung zu bestehenden Provisioning-Systemen eingesetzt werden. Letztere sind oft auch sehr gut als Integrationsplattform und Bindeglied zu den Business-Benutzern geeignet, weil sie die zentrale Schnittstelle für die Anforderung von Berechtigungen, die Rezertifizierung und Analyse und auch das Rollenmanagement bilden können. Sie können dann die Änderungsanforderungen sowohl an ein oder mehrere Provisioning-Systeme als auch an Service Request Management-Lösungen für die manuelle Umsetzung übergeben. In vielen Fällen werden zusätzlich sogar Provisioning-Funktionen für die direkte Anbindung von Zielsystemen unterstützt.

Solche mehrstufigen Architekturen sind interessant, um die Investitionen in bestehende Provisioning-Lösungen zu schützen und um Access Governance-Funktionen zu ergänzen, aber auch um in größeren Unternehmen ein Bindeglied über die oftmals vorhandenen unterschiedlichen Provisioning-Systeme zu bilden.

Entsprechend liefert der KuppingerCole Leadership Compass Access Governance auch eine Sichtweise, die diese integrative Fähigkeit in Relation zu der Gesamtbewertung der Produktfunktionalität setzt. Damit kann man erkennen, wo die Stärken liegen und ob eine Lösung insgesamt gut – also wohl auch auf längere Sicht gut geeignet – und gleichzeitig für die Integration vorhandener Systeme ausgelegt ist.

Ergänzendes zum Thema
European Identity & Cloud Conference 2013

Die European Identity & Cloud Conference (EIC) hat sich als die führende Veranstaltung für Meinungsführerschaft und Best Practices für Identity Management, Cloud Security und GRC in Europa etabliert.

Mit 600 Teilnehmern aus über 20 Ländern, mehr als 50 Ausstellern und 150 Referenten, ist die European Identity & Cloud Conference eine der wichtigsten Plattformen für den Dialog zwischen IT Professionals, Vordenkern, Experten und Analysten zu Themen im Bereich Informationssicherheit - und hier insbesondere Identity Management, Cloud Computing, Governance, Risk Management und Compliance (GRC) etabliert. Die 7. EIC findet am 14.-17. Mai 2013 in München statt.

Ausrichter der EIC ist KuppingerCole. KuppingerCole ist eines der führenden europäischen Analystenunternehmen, das sich auf Information Security und digitale Identitäten spezialisiert hat. Die Senior Analysten des Teams unterstützen IT-Verantwortliche in allen Bereichen des Identity Management durch ihre Expertise sowohl bei strategischen als auch bei technischen Fragestellungen.

Andere Kunden werden dagegen eher Lösungen brauchen, die als zentrale Lösung auch mit einer starken Provisioning-Komponente kommen. Auch solche Sichtweisen werden in der KuppingerCole-Analyse geliefert, ebenso Bewertungen beispielsweise für die Produkte, die besonders gut für Access Governance im SAP-Umfeld geeignet sind oder dort, wo das Access Risk Management besonders großen Stellenwert hat.

Den richtigen Anbieter finden

Dennoch reichen solche Analysen alleine nicht aus, um den bestgeeigneten Anbieter zu finden. Sie können dazu dienen, die Liste von Anbietern einzuschränken, um anschließend gezielt und in der Tiefe weitere Informationen anzufordern und schließlich zwei bis drei Produkte in einem PoC (Proof of Concept) im Detail zu bewerten. Dabei kann es hilfreich sein, sich in diesem weiteren Prozess von herstellerneutralen Experten begleiten zu lassen.

Was man ebenfalls nicht vergessen sollte: Access Governance ist in erster Linie eine organisatorische Herausforderung. Es geht um das Zusammenspiel zwischen Business und IT, um geeignete Richtlinien und Prozesse. Ohne diesen organisatorischen Rahmen bringt das beste Tool nichts. Diese Hausaufgaben sollte man also zuerst machen, bevor man ein Werkzeug zur Unterstützung auswählt.

(ID:38968920)