Was ein IdM-Portal leisten sollte – Identitäten und Berechtigungen besser im Griff

h_3-4-2016_300_shutterstock_71109703

Unternehmen brauchen ein Identity-Management-Portal mit integriertem Berechtigungsmanagement, das mit den grundsätzlichen Nachteilen klassischer IAM-Modul-Boliden nachhaltig aufräumt.

Klassische Identity and Access Management (IAM)-Ansätze haben die Unternehmen über die Jahre kaum weitergebracht. Die maßgeblichen Gründe dafür sind eine viel zu hohe technische Komplexität und in der Folge viel zu hohe Kosten über den kompletten Werdegang. Das gilt sowohl für die Projektierung, Implementierung, den Betrieb und die Bedienung bis hin zum Ausbau und zur Anpassung an veränderte sicherheitsstrategische, organisatorische und technische Gegebenheiten. Deshalb sind viele IAM-Projekte gescheitert. Andere wurden nur in Teilen realisiert, sind also Stückwerk geblieben. Die wenigen sogenannten IAM-Lösungen, die umfassender umgesetzt worden sind, haben nicht überzeugt. Sie werden in diesen Unternehmen, eben aufgrund ihrer zu hohen Komplexität und Kosten, nur halbherzig eingesetzt, betrieben und weiterentwickelt. Darunter, wiederum, leidet die Zugriffskontrolle und damit die Sicherheit von Daten, Anwendungen und Systemen. Was Unternehmen stattdessen brauchen, ist ein Identity Management (IdM)-Portal mit integriertem Berechtigungsmanagement, das mit den grundsätzlichen Nachteilen klassischer IAM-Modul-Boliden nachhaltig aufräumt.

Ideales Lösungskonzept. Wie müsste das ideale Lösungskonzept aussehen, um die hohe Komplexität und die hohen Kosten klassischer IAM-Systeme und die daraus erwachsenden negativen Folgen zu umgehen? Ein solches Lösungskonzept muss den Hebel an vier Stellen ansetzen:

  1. Es sollte weitgehend nur mit den Funktionen aufwarten, die das Unternehmen, allen voran die Benutzer, tatsächlich brauchen.
  2. Die Anzahl der Konnektoren zur Integration von Zielverzeichnissen sollte auf ein Mindestmaß begrenzbar sein.
  3. Komplizierte Workflow-Prozesse, die ebenfalls auf datenkonsistenzgefährdenden und anpassungsaufwendigen Synchronisationen aufbauen, sollten weitgehend außen vor bleiben.
  4. Die Gesamtlösung sollte als Portallösung ausgerichtet sein, innerhalb der ein Benutzer-Self-Service und für die Mitarbeiter eingängliche Bedieneroberflächen zentrale Rollen spielen sollten.

Welche Funktionen werden gebraucht? Für Punkt 1, nicht mehr Funktionen als notwendig, ist vor allem der normale Benutzer bestimmend. Das Unternehmen sollte wissen, welchen Nutzen die Mitarbeiter vom IdM-Portal mit Berechtigungsmanagement erwarten. Den Anteil, den die Administratoren beitragen müssen, damit die Mitarbeiter den erwarteten Nutzen erreichen, sollte, unterstützt durch das Lösungskonzept, so gering wie möglich ausfallen. Umso einfacher die Bedienung und bedarfsorientierter der Funktionsvorrat, desto effizienter und effektiver wird sich die Gesamtlösung erweisen.

Active Directory in zentraler Rolle. Um die Anzahl an Konnektoren, Punkt 2, auf ein Mindestmaß zurückzuführen, hat sich die Strategie bewährt, auf Microsofts Active Directory als zentralen Verzeichnisdienst in Bürokommunikationsumgebungen zu setzen. Für diesen intelligenten Schachzug sprechen viele Gründe. Active Directory wird fast in jedem Unternehmen eingesetzt. Die Identitäten und sonstigen Einträge sind darin bereits erfasst, müssen also nicht extra eingegeben werden. Mit Active Directory als zentralem Verzeichnis können viele Anwendungen beziehungsweise deren Verzeichnisse ohne Einsatz zusätzlicher Konnektoren eingebunden werden. Die Integration erfolgt stattdessen über einen Power Shell Service, angesiedelt innerhalb des IdM-Portals. Er kommt ohne komplizierte Synchronisationen aus und zieht, sobald Veränderungen auftreten, nur geringe Anpassungen nach sich. Dazu spielt der Power Shell Service mit einfach anpassbaren Skripts zusammen, die sich wiederum vordefinierter Templates als Informationslieferanten bedienen. Für die Einbindung der Fremdsysteme stellt der Markt ergänzend zum Power-Shell-Service Extensions bereit. Auf diese Weise können selbst große Organisationen im Vergleich zu klassischen IAM-Suiten bis zur Hälfte der Konnektoren einsparen. Zudem winken dem Unternehmen mit dem Einsatz von Active Directory als zentralem Verzeichnisdienst und Standard-Integrations-Services weitere Vereinfachungen. Der Standard Light Weight Directory Access Protocol (LDAP) unterstützt bei der Integration von Zielverzeichnissen ins Active Directory. Über Security Assertion Markup Language (SAML) ist der Single Sign-on (SSO) gegenüber den Zielanwendungen sicherer, schlanker und einfacher lösbar als über das SSO-Modul klassischer IAM-Suiten. Darüber hinaus unterstützt Active Directory weitere Authentisierungsmechanismen wie RADIUS und OAuth.

In Kombination mit Power Shell Service. Zentrale Active-Directory-Verzeichnisstrategie und Power Shell Service, das zahlt sich für das Unternehmen auch darin aus, Workflow-Prozesse mit komplizierten Synchronisationen weitgehend auszusparen (Punkt 3). Über den Power Shell-Service, der die Brücke zwischen IdM-Portal und den angebundenen Systemen schlägt, können Synchronisations- und Workflow-Prozesse vermieden werden. Alle Aktionen werden über den Power Shell-Service geloggt. Sie sind somit jederzeit nachvollziehbar. Rollen innerhalb des IdM-Portals können so konfiguriert werden, dass einzelne Benutzer nur das zu sehen bekommen, was sie sehen dürfen und nur erlaubte Änderungen treffen können.

Provisionierungs-Prozesse ziehen weder Dateninkonsistenzen nach sich noch führen sie zu hohen Anpassungsaufwendungen, wenn Power-Shell-Erweiterungen komplizierte Synchronisationen obsolet machen. Komplizierte und anpassungsaufwendige Rechtegenehmigungs-Prozesse können entfallen, wenn an deren Stelle eine Vordefinition der Rollen durch den Administrator und eine Verwaltung der eigenen Rolle mit den persönlichen Berechtigungen durch die Benutzer selbst tritt. Die notwendige Abwicklung im Hintergrund übernimmt in diesem Fall ebenso der Power Shell Service, der sich leicht anpassbarer Skripts und vordefinierter Templates für die erforderlichen Zuordnungen und Aktionen bedient. So gelöst, kann beispielsweise Pförtnern und Sekretärinnen das Zurücksetzen von Passwörtern für Mitarbeiter ihres Standorts respektive ihrer Abteilung übertragen werden. Bisher musste jedesmal der Helpdesk intervenieren.

Selbst ist der Benutzer. Wartet das IdM-Portal, Punkt 4, mit einem vollwertigen Benutzer-Self-Service und eingänglichen Bedieneroberflächen auf, werden die Mitarbeiter im Rahmen des Identitäten- und Berechtigungsmanagements auch Aufgaben übernehmen können, die bisher spezialisierten Administratoren oder dem Helpdesk-Personal vorbehalten waren. Wichtig dafür ist, dass die Bedienungsführung an der Organisation ausgerichtet wird und technische Details in den Hintergrund treten. Die Benutzer bekommen nichts davon mit, dass Power Shell-Service und Skripts sie bei ihren Aufgaben unterstützen. Zudem sollte die Suche ähnlich wie bei Google funktionieren. Bekommen die Benutzer gesteuert über ihre Rolle nur das angezeigt, was sie tatsächlich brauchen, werden sie andere Mitarbeiter und Informationen gezielt und schnell auffinden. Eine Authentisierung ohne sich einzuloggen (mittels Kerberos-Ticket), gegebenenfalls per Klick auf das eigene Foto, beschleunigt die Anmeldung und verbesserte die Akzeptanz der Selbstverwaltung unter den Mitarbeitern. Die Straffung von Anlegeprozessen – mit der Eingabe des Vor- und Zunamens des Mitarbeiters wird automatisch sein Benutzerkonto erstellt, sein E-Mail-Namen vergeben und seine Rolle mit den Berechtigungen zugewiesen – steigert zusätzlich ihre Akzeptanz und Motivation.

Vorteile, die zählen. Das IdM-Portal mit integriertem Berechtigungsmanagement von FirstAttribute wurde bewusst schlank und mit den nur notwendigen Funktionen gestaltet. Die Vorteile für die Unternehmen, alle verbunden mit erheblichen Kosteneinsparungen, können sich sehen lassen: Beschleunigung der Projektierung und Implementierung, einfache Handhabung, effizienter Betrieb, einfache Anpassungen und flexibler Ausbau der Gesamtlösung. Im Fall des IdM-Portals von FirstAttribute reicht ein Konzeptions- und Implementierungs-Workshop aus, um die Lösung einzuführen, danach zu betreiben.


autor_jens_fiedlerJens Fiedler ist
Entwicklungsleiter bei der
FirstAttribute AG.

 

 

 

Titelbild: © Michael D Brown/shutterstock.com