von Redaktion IT-A…
Lesezeit
3 Minuten
Seite 2 - Identity und Access Management im Wandel
Identity Management
Das IdM stellt im Wesentlichen die Identitäten in den Systemen und Geschäftsanwendungen bereit (Access Privileges). Bei der Auswahl eines IdM-Produkts sind besonders der zuverlässige und langfristige Produktzyklus sowie die Reporting- und Audit-Möglichkeiten zu berücksichtigen. Durch einen hohen Grad an Automatisierung bietet die Einführung eines IdM umfängliche Möglichkeiten zur Standardisierung und Rationalisierung. Die Einführung eines IDM unterstützt und entlastet die IT-Administratoren und verbessert deren Arbeitsqualität.
Das Erstellen, Verwalten und Löschen von Identitäten (Identity Lifecycle) in den internen oder externen Informationssystemen eines Unternehmens sind fundamentale Komponenten für das IG. Denn sich verändernde IT-Standards wie hybride Infrastrukturen oder Cloud Computing, viele unterschiedliche Zugriffsmöglichkeiten (Heimarbeitsplätze, mobile Endgeräte), neue Arbeitsbedingungen sowie die zunehmende Internationalisierung von Unternehmen (Datenschutzbestimmungen, IT-spezifische Gesetzesregelungen) sind die großen Herausforderungen bei der Einführung und im Betrieb eines IdM, zumal das IdM eine zentrale Komponente der IT-Sicherheit repräsentiert. Als zentrale Komponente der IT-Sicherheit sollte der Verwaltung der Identitäten daher ein hoher Stellenwert eingeräumt werden. Insbesondere assoziierte und privilegierte Identitäten sind bei der Planung zu berücksichtigen.
Identity and Access Management
Wenn die benötigten Identitäten in der gewünschten Quantität und Qualität durch das IdM bereitgestellt sind und verwaltet werden können, geht es an die Einführung des IAM. IAM stellt den technisch abgebildeten Zusammenhang zwischen den geschäftlichen Anforderungen und den Berechtigungen in den Informationssystemen bereit. Dazu gehören die Systeme selbst und Geschäftsanwendungen. Zu den Aufgaben und Funktionen, die bei der Auswahl einer Lösung besonders zu beachten sind, gehören: die Abbildung komplexer Zugriffsrechte (Rolle), insbesondere bei kontextbasiertem Zugriff, der Zugriffs-Lebenszyklus (Access Life Cycle), das Auffinden und Eliminieren nicht regelkonformer Berechtigungen, die Re-Zertifizierung von Berechtigungen sowie die Möglichkeiten zum Reporting und Audit. Darüber hinaus bietet auch das IAM durch Automatisierung ein großes Potential zur Standardisierung und Rationalisierung.
Bei der Einführung des IAM sind vor allem die Anforderungen der Geschäftsbereiche, Abteilungen, Arbeitsgruppen und weiteres Teams zu erfassen und nach Absprache und Genehmigung umzusetzen. Hierbei sollten die technischen und organisatorischen Anforderungen in Einklang gebracht werden, um den Projekterfolg sicherzustellen. Im Vorfeld der Einführung sind dafür meist umfangreiche Datenerhebungen notwendig.
Dies führt zwangsläufig zu einer neuen Definition der Rolle. Entwickelt wurde das Rollenmodel 1992 von Ferraiola und Kuhn vom National Institute of Standards and Technology (NIST), 2004 wurde es als ANSI Norm 359-2004 übernommen. Die darin beschriebene Kapselung von Berechtigungen in Rollen und die Definition von Rollenhierarchien treffen aufgrund der komplexen Struktur beim Design und Verwaltung meist nur unzureichend die Anwendungsfälle einer modernen Identitätsverwaltung. Sie ist grundlegend zu theoretisch und technisch geprägt. Als besser verständlich hat sich die Aufteilung in IT-Rollen (technischer Bezug der zugewiesenen Berechtigung) und Business-Rollen (funktionaler Bezug der Identität in den internen und externen Informationssystemen des Unternehmens) gezeigt. Dadurch lassen sich komplexe Rollenhierarchien vermeiden und das Verfahren zur Modellierung einer Rolle an die dafür kompetente Ressource verweisen.
Die Abbildung und die Anpassung von bestehenden Richtlinien, Verfahren und Prozessen an die Möglichkeiten des ausgewählten IAM-Produkts sollte aufgrund der zu erwartenden und steigenden Komplexität von IT-Infrastruktur-Umgebungen Vorrang haben. Nur so lassen sich umfangreiche und technisch komplexe Anpassungen auch in Hinblick auf die IAM-Weiterentwicklung umgehen.
Identity Governance Management
Erscheint die Anlage und Verwaltung von Identitäten und deren Berechtigungen bereits komplex, so ist die Steuerung der Vielzahl einzelner Prozesse und Komponenten und deren Zusammenfassung in einer unternehmensweiten IT-Architektur durch die unmittelbar an der Einführung und dem Betrieb beteiligten Mitarbeiter kaum zu bewältigen.
Das Identity Governance Management (IGM) bietet hierfür einen Lösungsansatz. IGM umfasst die Definition von Entscheidungs- und Steuerungsprozesse sowie deren Orchestrierung in Form von Containern (Repository) in Bezug auf die Verwaltung von Identitäten und deren Berechtigungen. Ein Container kann dabei aus Authentifikations-, Autorisations- und Ressourcen-Container bestehen und bündelt die für den Zugriff benötigten Informationen. Dabei werden die Richtlinien, Verfahren und Prozesse für das IdM und IAM festgelegt und auf ihre Sicherheit, Compliance, Intelligence, Transparenz, Rechtsfähigkeit und Rechtsverträglichkeit überprüft und an den Geschäftsbereich (Line of Business) angepasst. Weitere wesentliche Bestandteile des IGM sind das Risiko- und Change-Management. Auch beim IGM ist sicherzustellen, dass Entscheidungen und Maßnahmen nachgehalten und auditiert werden können.
Fazit
Nur durch eine klare Strukturierung und Trennung einzelner Aufgaben innerhalb eines IAM-Projekts kann der langfristige Erfolg bei der Implementierung und dem Betrieb sichergestellt werden. Die steigende Komplexität von Informationssystemen, veränderte rechtliche Rahmenbedingungen, neue IT-Technologien, veränderte Bedrohungsszenarien und die sich verändernde IT-Infrastruktur-Umgebungen lassen sich aufgrund der Erfahrungen aus den vergangenen Jahren zwar tendenziell besser bewerten, klare Prognosen sind jedoch nicht möglich.
Einmal entwickelte Richtlinien, Verfahren und Prozesse zur Verwaltung von sich verändernden Identitäten und neue Anforderungen an Informationssysteme sowie sich rasant verändernde IT-Infrastrukturen bedürfen einer klaren Steuerung, Planung und Transparenz, um langfristig Bestand zu haben oder sich veränderten Bedingungen nachhaltig anpassen zu können. Dabei ist zu beachten, dass Veränderungen oft nicht mehr über die IT-Administration, sondern verstärkt durch die IT-Anwender und -Konsumenten von IS initiiert werden, die meist über ein geringeres IT-Wissen als die IT-Administration verfügen.
Seite 1: IdM und IAM im Kontext von Identity Governance
Seite 2: Elemente des Identity und Access Managements
ln/Andreas Bünseler, Senior Consultant Productivity Infrastructure & Cybersecurity bei Axians IT Solutions
Das IdM stellt im Wesentlichen die Identitäten in den Systemen und Geschäftsanwendungen bereit (Access Privileges). Bei der Auswahl eines IdM-Produkts sind besonders der zuverlässige und langfristige Produktzyklus sowie die Reporting- und Audit-Möglichkeiten zu berücksichtigen. Durch einen hohen Grad an Automatisierung bietet die Einführung eines IdM umfängliche Möglichkeiten zur Standardisierung und Rationalisierung. Die Einführung eines IDM unterstützt und entlastet die IT-Administratoren und verbessert deren Arbeitsqualität.
Das Erstellen, Verwalten und Löschen von Identitäten (Identity Lifecycle) in den internen oder externen Informationssystemen eines Unternehmens sind fundamentale Komponenten für das IG. Denn sich verändernde IT-Standards wie hybride Infrastrukturen oder Cloud Computing, viele unterschiedliche Zugriffsmöglichkeiten (Heimarbeitsplätze, mobile Endgeräte), neue Arbeitsbedingungen sowie die zunehmende Internationalisierung von Unternehmen (Datenschutzbestimmungen, IT-spezifische Gesetzesregelungen) sind die großen Herausforderungen bei der Einführung und im Betrieb eines IdM, zumal das IdM eine zentrale Komponente der IT-Sicherheit repräsentiert. Als zentrale Komponente der IT-Sicherheit sollte der Verwaltung der Identitäten daher ein hoher Stellenwert eingeräumt werden. Insbesondere assoziierte und privilegierte Identitäten sind bei der Planung zu berücksichtigen.
Identity and Access Management
Wenn die benötigten Identitäten in der gewünschten Quantität und Qualität durch das IdM bereitgestellt sind und verwaltet werden können, geht es an die Einführung des IAM. IAM stellt den technisch abgebildeten Zusammenhang zwischen den geschäftlichen Anforderungen und den Berechtigungen in den Informationssystemen bereit. Dazu gehören die Systeme selbst und Geschäftsanwendungen. Zu den Aufgaben und Funktionen, die bei der Auswahl einer Lösung besonders zu beachten sind, gehören: die Abbildung komplexer Zugriffsrechte (Rolle), insbesondere bei kontextbasiertem Zugriff, der Zugriffs-Lebenszyklus (Access Life Cycle), das Auffinden und Eliminieren nicht regelkonformer Berechtigungen, die Re-Zertifizierung von Berechtigungen sowie die Möglichkeiten zum Reporting und Audit. Darüber hinaus bietet auch das IAM durch Automatisierung ein großes Potential zur Standardisierung und Rationalisierung.
Bei der Einführung des IAM sind vor allem die Anforderungen der Geschäftsbereiche, Abteilungen, Arbeitsgruppen und weiteres Teams zu erfassen und nach Absprache und Genehmigung umzusetzen. Hierbei sollten die technischen und organisatorischen Anforderungen in Einklang gebracht werden, um den Projekterfolg sicherzustellen. Im Vorfeld der Einführung sind dafür meist umfangreiche Datenerhebungen notwendig.
Dies führt zwangsläufig zu einer neuen Definition der Rolle. Entwickelt wurde das Rollenmodel 1992 von Ferraiola und Kuhn vom National Institute of Standards and Technology (NIST), 2004 wurde es als ANSI Norm 359-2004 übernommen. Die darin beschriebene Kapselung von Berechtigungen in Rollen und die Definition von Rollenhierarchien treffen aufgrund der komplexen Struktur beim Design und Verwaltung meist nur unzureichend die Anwendungsfälle einer modernen Identitätsverwaltung. Sie ist grundlegend zu theoretisch und technisch geprägt. Als besser verständlich hat sich die Aufteilung in IT-Rollen (technischer Bezug der zugewiesenen Berechtigung) und Business-Rollen (funktionaler Bezug der Identität in den internen und externen Informationssystemen des Unternehmens) gezeigt. Dadurch lassen sich komplexe Rollenhierarchien vermeiden und das Verfahren zur Modellierung einer Rolle an die dafür kompetente Ressource verweisen.
Die Abbildung und die Anpassung von bestehenden Richtlinien, Verfahren und Prozessen an die Möglichkeiten des ausgewählten IAM-Produkts sollte aufgrund der zu erwartenden und steigenden Komplexität von IT-Infrastruktur-Umgebungen Vorrang haben. Nur so lassen sich umfangreiche und technisch komplexe Anpassungen auch in Hinblick auf die IAM-Weiterentwicklung umgehen.
Identity Governance Management
Erscheint die Anlage und Verwaltung von Identitäten und deren Berechtigungen bereits komplex, so ist die Steuerung der Vielzahl einzelner Prozesse und Komponenten und deren Zusammenfassung in einer unternehmensweiten IT-Architektur durch die unmittelbar an der Einführung und dem Betrieb beteiligten Mitarbeiter kaum zu bewältigen.
Das Identity Governance Management (IGM) bietet hierfür einen Lösungsansatz. IGM umfasst die Definition von Entscheidungs- und Steuerungsprozesse sowie deren Orchestrierung in Form von Containern (Repository) in Bezug auf die Verwaltung von Identitäten und deren Berechtigungen. Ein Container kann dabei aus Authentifikations-, Autorisations- und Ressourcen-Container bestehen und bündelt die für den Zugriff benötigten Informationen. Dabei werden die Richtlinien, Verfahren und Prozesse für das IdM und IAM festgelegt und auf ihre Sicherheit, Compliance, Intelligence, Transparenz, Rechtsfähigkeit und Rechtsverträglichkeit überprüft und an den Geschäftsbereich (Line of Business) angepasst. Weitere wesentliche Bestandteile des IGM sind das Risiko- und Change-Management. Auch beim IGM ist sicherzustellen, dass Entscheidungen und Maßnahmen nachgehalten und auditiert werden können.
Fazit
Nur durch eine klare Strukturierung und Trennung einzelner Aufgaben innerhalb eines IAM-Projekts kann der langfristige Erfolg bei der Implementierung und dem Betrieb sichergestellt werden. Die steigende Komplexität von Informationssystemen, veränderte rechtliche Rahmenbedingungen, neue IT-Technologien, veränderte Bedrohungsszenarien und die sich verändernde IT-Infrastruktur-Umgebungen lassen sich aufgrund der Erfahrungen aus den vergangenen Jahren zwar tendenziell besser bewerten, klare Prognosen sind jedoch nicht möglich.
Einmal entwickelte Richtlinien, Verfahren und Prozesse zur Verwaltung von sich verändernden Identitäten und neue Anforderungen an Informationssysteme sowie sich rasant verändernde IT-Infrastrukturen bedürfen einer klaren Steuerung, Planung und Transparenz, um langfristig Bestand zu haben oder sich veränderten Bedingungen nachhaltig anpassen zu können. Dabei ist zu beachten, dass Veränderungen oft nicht mehr über die IT-Administration, sondern verstärkt durch die IT-Anwender und -Konsumenten von IS initiiert werden, die meist über ein geringeres IT-Wissen als die IT-Administration verfügen.
Seite 1: IdM und IAM im Kontext von Identity Governance
Seite 2: Elemente des Identity und Access Managements
| << Vorherige Seite | Seite 2 von 2 |
ln/Andreas Bünseler, Senior Consultant Productivity Infrastructure & Cybersecurity bei Axians IT Solutions
