Werbung

Automatisiertes und dokumentiertes Identity Access Management (IAM)

Es ist Ihr erster Tag im neuen Unternehmen. Ihre neuen Kollegen freuen sich, dass sie da sind. Die Arbeitsumgebung ist hell, modern und alles macht einen guten ersten Eindruck.
Ihr Arbeitsplatz ist vorbereitet und der im Vorfeld gewünschte Rechner steht auch bereit. Ein Kollege aus der IT – Wolfgang Meier – kommt um 10 Uhr, um Sie in die Umgebung des Unternehmens einzuweisen.

Die Anmeldung hat geklappt und nun möchte Ihnen Wolfgang das Intranet und die Teamspaces zeigen. Dazu öffnet er den Browser, der versucht eine Seite zu öffnen. Es erscheint das Login-Fenster. Wolfgang flucht und greift zum Telefon: „Könnt Ihr mal bitte die neue Kollegin im Vertrieb in die interne Gruppe aufnehmen.“ Einmal ESC und F5 gedrückt und es geht weiter. Die Weiten des Intranets stehen bereit, erkundet zu werden.

Wenige Minuten später stöhnt Wolfgang und greift wieder zum Telefonhörer: „Nimm bitte die neue Kollegin auch in die Teamspacesgruppen für den Vertrieb auf.“ – damit wäre auch dieses Problem gelöst.

So geht das weiter: Bei vielen Applikationen und Webapps fehlen Ihnen einfach die Berechtigungen. Einige kann Wolfgang durch einen Anruf einrichten lassen. Bei vielen anderen bedarf es der Genehmigung des Vorgesetzten oder eines Data Owners. „Das kann dauern!“, weiß Wolfgang zu berichten. 

Sie sitzen den Rest des Tages vor Ihrem Rechner, mit dem Sie außer Internet und Intranet nicht viel anfangen können. Viele Termine Ihres Einarbeitungsplans müssen verschoben werden, weil der Zugang zu den nötigen Anwendungen fehlt.

Sie kommen am Abend nach Hause und sind total gefrustet: „In was für einem Laden bin ich denn da gelandet – Außen hui; Innen pfui?“.

Sie kennen das, oder?

Können Sie sich vorstellen, was diese Situation für den neuen Mitarbeiter bedeutet? Wollen Sie, dass das der erste Eindruck von Ihrem Unternehmen ist?

Identity Management mit Efecte IGA

Dabei ist es doch gar nicht so schwierig. Zumindest für die technische Umsetzung des On-boarding stehen in verschiedenen Service-Management-Tools die richtigen Werkzeuge zur Verfügung.

Im April diesen Jahres hat Efecte eine neues Modul im Efecte Service-Management genau für diesen Einsatzzweck vorgestellt: Identity Governance and Administration – IGA.

Schon der Name verrät, dass sich Efecte da mehr Gedanken gemacht hat. Es geht nicht einfach um das automatisierte Request-Fulfilment. Es geht ganz konkret um die automatisierte und Compliance-treue Verwaltung digitaler Identitäten. Es geht um die Verwaltung der digitalen Identität eines Nutzers entsprechend den vorgegebenen Regeln.

„Mit IGA erhalten mittelständische Unternehmen nun ein Cloud-basiertes Werkzeug, mit dem sie sicherstellen, dass die richtigen Leute den richtigen Zugang aus den richtigen Gründen zur richtigen Zeit erhalten und mit dem sie sämtliche Aktionen jederzeit nachvollziehen und belegen können“, sagt Peter Schneider, Chief Product Officer von Efecte.

Die Funktionalität ist in die ESM-Plattfom von Efecte integriert. Dem Manager, dem Nutzer und HR stehen die entsprechenden Funktionen direkt als Self-Service im entsprechenden Portal zur Verfügung. 
Jeder Mitarbeiter kann über das Portal Zugriffberechtigungen beantragen und seine Berechtigungen einsehen. Als Vorgesetzter stehen Ihnen mehr Optionen zur Verfügung. Sie können unter anderem:

  • Berechtigungen für Ihre Mitarbeiter beantragen, entfernen oder erneuern
  • Accounts Ihrer Mitarbeiter aktivieren und deaktivieren
  • Veränderungen an der Rolle eines Mitarbeiters beantragen
  • neue Nutzer oder externe Benutzer beantragen und deaktivieren

Beantragung eines neuen Nutzers im Self-Service-Portal.

Spannend finde ich das Wort „erneuern“. Efecte IGA hat das Ziel die Verwaltung des gesamten Lebenszyklus von Benutzer und Zugriffsberechtigungen zu automatisieren. Es geht als nicht allein um das On-Boarding oder Off-Boarding. Es geht um alles was mit benutzerbezogener Informationssicherheit zu tun hat – vom Eintritt bis zum Austritt. Wichtige Leistungsmerkmale von Efecte IGA sind:

  • Werkzeuge für den automatischen Rechte-Entzug von Benutzern (Deprovisioning)
  • Definition maximaler Dauer und Anzahl von Verlängerungen für die jeweiligen Berechtigungen
  • Definition von unzulässigen Kombinationen oder Kombinationen von mehreren Zugriffsrechten, die den Benutzern eine zu große Autorität verleihen und ein Risiko für das Unternehmen darstellen
  • Automatische Ablehnung der Anforderung von Zugriffsrechten
Workflows in Efecte IGA

Efecte IGA beinhaltet eine vollständig integrierte Transit-Map-Stil-Workflow-Engine, mit der Unternehmen schnell und einfach die Bereitstellung, Genehmigung oder Benachrichtigung automatisieren können. Out-of-the-Box beinhaltet Efecte IGA eine Reihe von Workflows, darunter das Hinzufügen, Entfernen und Verlängern von Zugriffsrechten.

Segregation of Duties (SoD)

Besonderen Wert legt Efecte auf das Thema Compliance. Sie kennen doch bestimmt auch den einen oder anderen Mitarbeiter, der mal als Azubi in Ihrem Unternehmen angefangen hat. Der hat meist mehr Zugriffsrechte als die Leitungsebene oder der Geschäftsführer. Als Azubi hat er in allen Abteilungen gearbeitet und die entsprechenden Rechte erhalten. Entzogen werden diese in den wenigsten Fällen.

Die Aufgabentrennung (SOD) ist ein wichtiger Aspekt jeder IGA-Lösung. Diese Trennung ermöglicht es Ihrem Unternehmen, schnell und unkompliziert zu arbeiten. Rechte einschränken, Konten überprüfen und eine Reihe von anderen Problembereichen mit klaren Schritten und Prozessen zu unterstützen. Efecte IGA verfügt über eine Reihe von verschiedenen Funktionen, um die primären Überwachungsanliegen von SOD zu berücksichtigen.

Schon beim Import (SoD Risk Analysis) werden die Daten aus dem AD überprüft:

  • verwaiste Accounts, die aktiv aber nicht genutzt werden und so ein hohes Risiko darstellen
  • Accounts mit nicht gewollten Kombinationen oder einer hohen Zahl von Zugriffsrechten
  • Accounts denen wichtige Informationen (Vorgesetzter, Kostenstelle, …) fehlen

Damit erhalten Sie eine Liste mit Accounts, bei denen es Handlungsbedarf gibt.

SOD-Risk-Analysis-Report

SoD-Analysis: Ansicht eines Reports, welcher die Accounts zeigt, die eine nicht gewünschte Kombination / Anzahl von Berechtigungen haben.

Damit es nicht zum „Azubi-Account“ kommt, hat jedes Recht in Efecte IGA ein Ablaufdatum. Wird es nicht aktiv erneuert, wird der Zugriff automatisch entzogen. Auch wunderbar für Accounts externer Mitarbeiter zu verwenden. 
Natürlich können auch die automatische Erneuerung der Zugriffsrechte konfiguriert werden – wäre ja blöd, wenn der externe Berater erstmal einen Tag nicht arbeiten kann. Dafür können Sie die Anzahl der Verlängerungen beschränken. Ist diese erreicht, muss ein Genehmiger einer weiteren Verlängerung zustimmen. Entsprechende Regeln, auch für die manuelle Verlängerung, können granular konfiguriert werden.

Alle Transaktionen in IGA werden überwacht, aufgezeichnet und können ausgewertet werden. Somit ist das Thema Auditing und Nachweis der Compliance gleich mit erledigt.

Robert Sieber

Gründer servicemanagement.tools


A fool with a tool is still a fool - A service-organisation without a sufficient tool is even a bigger fool! Zwei Extreme zwischen denen Robert Sieber versucht einen Weg zu finden. Am Ende stehen Kunden und Nutzer, die die IT-Abteilung oder den Service-Provider als Partner auf Augenhöhe sehen.

Robert Sieber ist Gründer von servicemanagement.tools, different-thinking.de, IT-Management-Podcast, servicenerds.camp und Berater mit einem richtigen Servicekatalog.

Leave a comment: